Stand 22.11.2021
Nach dem aufgrund des Wahlkampfs die „4. Welle“ verschlafen wurde, fallen im Herbst die Gesetze aus den Parlamenten. In diesem Fall haben wir das Gesetz über die Beschlussvorlage des Bundesrates abrufen müssen, da die Medienberichterstattung deutlich schneller als das Gesetzgebungsverfahren zu sein scheint. Für Datenverarbeitungsvorgänge lohnt aber immer der Blick in das Gesetz.
Wie das nun aussieht und was Sie zur Wahrung des Datenschutzes beachten müssen, darüber wollen wir mit diesem Newsletter informieren.
Erst einmal ein kleiner Blick ins Gesetz:
„§ 28b IfSG in der zukünftigen Fassung:*
Bundesweit einheitliche Schutzmaßnahmen zur Verhinderung der Verbreitung der Coronavirus-Krankheit2019 (COVID-19), Verordnungsermächtigung
(1) Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten und Arbeitgeber dürfen Transporte von mehreren Beschäftigten zur Arbeitsstätte oder von der Arbeitsstätte nur durchführen, wenn sie geimpfte Personen, genesene Personen oder getestete Personen im Sinne des § 2 Nummer 2, Nummer 4 oder Nummer 6 der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung vom 8. Mai 2021 (BAnz AT 08.05.2021 V1) sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis im Sinne des § 2 Nummer 3, Nummer 5 oder Nummer 7 der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung vom 8. Mai 2021 (BAnz AT 08.05.2021 V1) mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben. Sofern die dem Testnachweis zugrunde liegende Testung mittels Nukleinsäurenachweis (PCR, PoC-PCR oder weitere Methoden der Nukleinsäureamplifikationstechnik) erfolgt ist, darf diese abweichend von § 2 Nummer 7 der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung vom 8. Mai 2021 (BAnz AT 08.05.2021 V1) maximal 48 Stunden zurückliegen. Abweichend von Satz 1 ist Arbeitgebern und Beschäftigten ein Betreten der Arbeitsstätte erlaubt, um
1. unmittelbar vor der Arbeitsaufnahme ein Testangebot des Arbeitgebers zur Erlangung eines Nachweises im Sinne des § 4 Absatz 1 der SARS-CoV-2-Arbeitsschutzverordnung vom 25. Juni 2021 (BAnzAT 28.06.2021 V1), die durch Artikel 1 der Verordnung vom 6. September 2021 (BAnz AT 09.09.2021 V1) geändert worden ist, wahrzunehmen oder
2. ein Impfangebot des Arbeitgebers wahrzunehmen.
Der Arbeitgeber hat seine Beschäftigten bei Bedarf in barrierefrei zugänglicher Form über die betrieblichen Zugangsregelungen zu informieren.
(3) Alle Arbeitgeber sowie die Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 und Absatz 2 Satz 1 durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen
Nun, weil es sich bei 3G-Daten nach wie vor um Gesundheitsdaten im Sinne des Art. 9 DSGVO handelt. Die darf ein Arbeitgeber nur verarbeiten, wenn er einen Erlaubnistatbestand hat, der den in Art. 9 II DSGVO genannten Erlaubnistatbeständen entspricht. Wir hatten hierzu in einem vergangenen Newsletter bereits auf die alte Rechtslage hingewiesen.**
Zunächst einmal taugt der neue § 28b IfSG nicht als eigenständige Rechtsgrundlage zur Datenverarbeitung. Die Anforderungen von Art. 9 II g) DSGVO sind nicht erfüllt.
Die Daten dürfen aber bei der bestehenden Rechtslage nun mindestens nach § 26 III BDSG – also im Überwiegenden berechtigten Interesse – verarbeitet werden. Nur halt eben eingeschränkt!
Nach dem Gesetz liegt die Nachweispflicht beim Arbeitnehmer selbst! Er kann aber seinen Nachweis über eine Impfung oder Genesung bei seinem Arbeitgeber hinterlegen. Er hat den Nachweis auf Verlangen vorzuzeigen.
Die Kontrolle der Nachweise ist zu dokumentieren § 22 IV ff. IfSG.
1. Einlasskontrolle am Werkstor Der Arbeitgeber ist wahrscheinlich verpflichtet, eine Einlasskontrolle vorzunehmen. „Wahrscheinlich“, da sich diese Pflicht nicht direkt aus dem Gesetz ergibt. Dort steht nur, dass auch der Arbeitgeber nicht in die Betriebsstätte darf, wenn er nicht selbst den 3G-Nachweis liefern kann. Da aber ggfs. Bußgelder drohen, wenn ein Mitarbeiter sich ohne Nachweis im Betrieb aufhält, wäre eine Kontrolle ratsam und wohl auch im überwiegenden berechtigten Interesse des Unternehmens nach § 26 III BDSG.
Dies erfolgt wohl nun am besten wie gehabt durch eine bloße Sichtkontrolle im Eingangsbereich. Stellen Sie hier also einen Mitarbeiter hin, der diese Kontrolle vornimmt und in einer geeigneten Liste dokumentiert.
Da es sich hier um Gesundheitsdaten handelt, sollte die Sichtkontrolle am besten von einem verantwortungsbewussten Mitarbeiter durchgeführt werden. Dieser sollte auch noch einmal an die Pflicht zum vertraulichen Umgang mit den Informationen erinnert werden. Im Zweifel macht es ein/e hiermit vertraute/r Mitarbeiter/in der Personalabteilung.
Zulässig ist dabei übrigens auch eine Kontrolle mit der CovPass-Check-App vom RKI (https://play.google.com/store/apps/details?id=de.rki.covpass.checkapp).
Diese kann sowohl auf einem privaten als auch auf einem dienstlichen Mobilfunkgerät installiert werden. Denn es werden bei der Kontrolle der QR-Codes keine Daten gespeichert. Die App zeigt lediglich das Kontrollergebnis des QR-Codes an.
- Sinnigerweise sollten die Mitarbeiter hierfür darauf hingewiesen werden, dass sie die Daten über die CovPass-App oder die Corona-Warn-App bereitstellen können (Aber NICHT MÜSSEN!)
https://play.google.com/store/apps/details?id=de.rki.covpass.app
https://play.google.com/store/apps/details?id=de.rki.coronawarnapp
Dies soll keine Werbung sein, sondern einfach der Hinweis, dass man öffentlich bereitgestellte Infrastruktur auch nutzen kann.
2. Umgang mit Testkandidaten und Dokumentation
Bei Testkandidaten ist der Testnachweis am Eingang zu Kontrollieren. Heißt der Test ist vor Ort durchzuführen, oder aber es muss ein Test verwendet werden, der durch eine andere Person bestätigt wurde.
Der Arbeitnehmer sollte den Testnachweis für den Tag selbst aufbewahren.
Ein Einlagern des Tests ist schon aufgrund der Infektionsgefahr abzulehnen.
Achten Sie auf die Anforderungen zur Dokumentation.
Die Neufassung von § 22 IVd IfSG lautet:
(4d) Die Testdokumentation muss zu jeder Testung folgende Angaben enthalten:
1. Datum der Testung,
2. Name der getesteten Person und deren Geburtsdatum,
3. Angaben zur Testung, einschließlich der Art der Testung.“
Nutzen Sie hierfür am besten eine Liste die der Vorlage in Anlage 3 entspricht.
3. Einlagerung von Nachweisen
Der Arbeitgeber darf Nachweise lagern. (Wenn man Art. 9 II g) DSGVO ernst nimmt, darf er eigentlich nicht einmal das… Der § 28 IfSG enthält nämlich keinerlei Angaben zu etwaigen Schutzanforderungen und ist damit nicht DSGVO-konform.)
Besser – Der Mitarbeiter ist mit der Einlagerung schriftlich mindestens gem. Art. 9 II a) DSGVO einverstanden (Vorlagentext folgt unten).
Dann der Reihe nach:
• Fragen Sie Mitarbeiter an, ob sie einen Nachweis bei ihrem Arbeitgeber für die reibungslose Einlasskontrolle einlagern wollen.
• Lassen Sie sich die Nachweise der Mitarbeiter nebst der Einwilligung liefern, lagern Sie diese sicher ein.
• Fertigen Sie dabei eine Liste an (wie Anlage 3), von welchem Mitarbeiter ein Nachweis über Impfung bzw. Genesung vorgelegt wurde.
• Behandeln Sie diese Liste vertraulich!
• Der Mitarbeiter, der die Einlasskontrolle macht, kann die Liste dann täglich verwenden – aber nur, wenn er die Liste verdeckt kontrolliert und nicht verliert.
Erinnern Sie den kontrollierenden Mitarbeiter daran, dass bei sorglosem Umgang mit der Liste wahrscheinlich eine Abmahnung ausgesprochen werden müsste.
4. Information der Mitarbeiter
Nutzen Sie die nachfolgenden Textbausteine.
* https://www.bundesrat.de/SharedDocs/drucksachen/2021/0801-0900/803-21.pdf?__blob=publicationFile&v=1 Dort ab Seite 5 unten
** https://www.secopan.de/newsletter/ Dort August 2021 - Aber jetzt veraltet!