3G am Arbeitsplatz

Dez 13, 2021 | Allgemein

3G am Arbeitsplatz – Die Datenschutzkonforme Überprüfung und Speicherung der Personenbezogenen Daten

Die Zahl der Infektionen steigt kontinuierlich an und die 3G-Regelung am Arbeitsplatz hat sich in den letzten Tagen fest etabliert. In der Konsequenz bedeutet dies: Wer nicht geimpft, genesen oder getestet ist, hat rechtlich gesehen, keinen Zugang mehr zu seinem Arbeitsplatz. Aus diesem Grund müssen Arbeitnehmer eine Zugangskontrolle zu den Arbeitsräumen durchführen, bei der ein Impf- oder Genesenenstatus des Arbeitnehmers erfährt. Dennoch gilt es trotz aller Überprüfungen darauf zu achten, dass diese datenschutzkonform ablaufen: Hier hat die DSGVO klare Richtlinien geschaffen, an die sich Unternehmen halten müssen. Im Folgenden erfahren Sie alle wesentlichen Punkte zu diesem Thema, welches ebenfalls einen Bestandteil unserer individuellen Datenschutz Beratung darstellt.

Seit kurzem haben Arbeitgeber in Deutschland ein Auskunftrecht und sind dazu befugt, den 3G-Nachweis von ihren Mitarbeitern einzufordern. Kontrolliert der Arbeitnehmer die 3G-Regelung jedoch nicht oder fehlerhaft, so kann diese Missachtung ein Bußgeld in einer Höhe von bis zu 25.000 Euro zur Folge haben.

Datenschutz und 3G – das müssen Unternehmen am Arbeitsplatz beachten

Mit Einführung der 3G-Regel am Arbeitsplatz wird festgelegt, dass sowohl Arbeitgeber als auch Arbeitnehmer und weitere Personen nur dann Zutritt zur Arbeitsstätte haben, wenn diese einen gültigen Nachweis der 3G-Richtlinie mit sich führen. Das bedeutet: Genesen, geimpft oder getestet. Arbeitgeber sind dazu verpflichtet, ihre Beschäftigten hinsichtlich der Befolgung dieser Vorgabe zu kontrollieren. Ebenfalls unterliegen sie einer Dokumentationspflicht.

Für eine lückenlose und zuverlässige Umsetzung in der Praxis kommen unterschiedliche Kontrollmechanismen zum Tragen, die beim Betreten der Arbeitsstätte greifen. Damit diese datenschutzkonform ablaufen, genügt es am Kontrolltag den vollständigen Namen des Arbeitnehmers auf einer Liste zu vermerken, sofern er einen entsprechenden Nachweis vorlegen kann. Geimpfte Personen müssen diesen Nachweis nur einmalig in Form eines Impfpasses oder digitalen Passes vorlegen – dasselbe gilt auch für genesene Mitarbeiter. Allerdings müssen die entsprechenden Personen nach dem Ende des Genesenenstatus ebenfalls einen Test- oder Impfnachweis erbringen (einmalig). Für Unternehmen ist es daher auch wichtig das Enddatum eines Genesenennachweises zu protokollieren. Für Unternehmen ist eine fachkundige Datenschutz Beratung unter Umständen von Vorteil: Ein Experte für Datenschutz kann offene Fragen beantworten, damit keine Fehler passieren.

Wichtig: Unternehmen dürfen diese sensiblen Informationen nur speichern, sofern dies im Zuge der Nachweiskontrolle nötig ist. Es ist aus diesem Grund vom Gesetzgeber gestattet, diese Daten zugunsten des Hygienekonzepts innerhalb des Unternehmens zu speichern. Sie dürfen allerdings nicht für andere Zwecke verwendet werden.

Weitere relevante datenschutzrechtliche Grundsätze

Nach den Grundsätzen der DSGVO ist vorgeschrieben, dass der Personenkreis, der mit der Nachweiskontrolle beauftragt wird, so klein wie möglich gehalten wird. Die meisten Unternehmen lassen die Überprüfung durch einen Empfangsmitarbeiter oder den Sicherheitsdienst am Eingang durchführen. Sofern Unternehmen externe Dienstleister mit der Kontrolle beauftragen, so muss die Verarbeitung personenbezogener Daten im Rahmen einer Vereinbarung zur Auftragsverarbeitung erfolgen (siehe Art. 28 DSGVO)

Wichtig: Bei den dokumentierten Informationen handelt es sich um persönliche und sensible Gesundheitsinformationen eines jeden Beschäftigten, die von so wenig Personen wie nur möglich eingesehen werden sollen. Deshalb müssen Unternehmen entsprechend leistungsstarke organisatorische und technische Maßnahmen gegen das Risiko unbefugten Eintritts in das Unternehmen einführen und dafür sorgen, dass nur befugte Mitarbeiter Zugriff auf die Informationen haben.

Des Weiteren müssen Beschäftigte über die Verarbeitung ihrer persönlichen Daten in Kenntnis gesetzt werden. Weil es sich bei den 3G-Regeln um eine befristete Maßnahme handelt, ist es wichtig, dass die entsprechenden Informationen in einem speziell dafür aufbereiteten Dokument erfasst werden, in dem auch genau steht, wo und wie lange die Informationen gespeichert werden. Mittlerweile gibt es für Unternehmen praktische Vordrucke im Internet, mit denen sich die Erstellung eines solchen Dokuments leichter gestaltet. Der jeweilige Mitarbeiter muss dieses dann nur noch unterschreiben.

Das Datenschutz Audit

Das sogenannte Datenschutz Audit bietet Unternehmen die Möglichkeit, selbst zu kontrollieren, ob sie die Richtlinien hinsichtlich der DSGVO in Bezug auf die 3G-Kontrolle am Arbeitsplatz einhalten können. Weiterhin lassen sich mit Hilfe dessen mögliche Schwachstellen entdecken, die im Anschluss mit entsprechenden Maßnahmen behoben werden können. Idealerweise wird das Datenschutz Audit im Rahmen einer Datenschutz Beratung von einem unabhängigen Gutachter durchgeführt.

Umgangsweise mit den Nachweisen gemäß DSGVO

Eine Kopie eines Genesenen- oder Impfnachweises sollte – wenn möglich – nicht erstellt werden. Die damit verbundene Speicherung personenbezogener Gesundheitsdaten erfordert eine spezielle rechtliche Grundlage, welche nicht im Infektionsschutzgesetz vermerkt ist.
Möglich ist hier höchstens eine vom Mitarbeiter freiwillig abgegebene Einwilligung, die allerdings an verschiedene Anforderungen gekoppelt ist. So sollten Kopien von Testergebnissen nicht abgespeichert werden, da sie ohnehin nur für einen Tag gültig sind. Ebenfalls bedarf es eines Löschkonzepts: Grundsätzlich gilt, dass die gespeicherten Daten spätestens nach sechs Monaten gelöscht werden müssen.

Zusammenfassung

Sowohl Arbeitgeber als auch Beschäftigte dürfen den Arbeitsplatz nur dann betreten, wenn sie den 3G-Status nachweisen können. Hier ist der Arbeitgeber in der Kontrollpflicht und ist dazu befugt, personenbezogene Daten wie den Namen sowie die Vorlage eines Nachweises mitsamt seiner Gültigkeitsdauer zu erfragen, sowie diese zu protokollieren. Allerdings dürfen Kopien von Nachweisen nicht ohne triftigen Grund erstellt oder abgespeichert werden. Darüber hinaus verpflichtet sich der Arbeitgeber dazu, organisatorische und technische Maßnehmen hinsichtlich der Sicherheit der Daten zu ergreifen. Er muss gewährleisten, dass die erfassten Daten nicht von Dritten eingesehen werden können und mit einem Löschkonzept sicherstellen, dass die vollständige Löschung der Daten nach maximal sechs Monaten erfolgt.

PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)

Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.

Sie erreichen uns jederzeit über unser Kontaktformular !

Referenzen:

Wissenswertes