Gerhard Deiters

Kontrolle von 3G-Nachweisen am Arbeitsplatz – Muster zur Dokumentation


ZD-Aktuell 2021, 05576     Mangels ausdrücklicher gesetzlicher Grundlage wurde in den letzten Monaten bereits vielfach über die Frage diskutiert, ob Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen durften. Manche „Corona-Schutzverordnungen“ der Länder sahen die Abfrage des sog. 3G-Nachweises (geimpft, genesen, getestet) für bestimmte Tätigkeiten verpflichtend vor, eine allgemeine Pflicht und ein korrespondierendes Recht zur Abfrage des 3G-Status von Beschäftigten war gesetzlich bis zur Änderung von § 28 b IfSG mit Wirkung zum 24.11.‌2021 jedoch nicht vorgesehen. Der Beschluss der Datenschutzkonferenz v. 19.10.‌2021, in dem ein Fragerecht am Maßstab von § 26 Abs. 3 BDSG grds. verneint wird, ist damit überholt.

1. Pflichten zur Kontrolle von 3G-Nachweisen am Arbeitsplatz

Seit dem 24.11.‌2021 sind Arbeitsgeber bundesweit nach §  28 b Abs. 1 IfSG verpflichtet, sicherzustellen, dass sie selbst (!) und Beschäftigte die Arbeitsstätte nur betreten, wenn zuvor ein 3G-Nachweis erbracht wurde. Einschränkend gilt dies allerdings lediglich für die Personen, bei denen ein physischer Kontakt zum Arbeitgeber, zu anderen Beschäftigten und sonstigen Dritten (gemeint ist, dass sich mehr als eine Person in unmittelbarer Nähe befindet, eine körperliche Berührung ist nicht erforderlich) nicht ausgeschlossen werden kann (einzelne Reinigungskräfte, die nach den Betriebszeiten tätig sind, müssen daher grundsätzlich keinen Nachweis erbringen; bei mehreren gleichzeitig anwesenden Reinigungskräften dürfte dies anders zu bewerten sein). Das „Homeoffice“ ist von der Pflicht zur Erhebung des 3G-Nachweises ausgenommen.

Unglücklicherweise hat der Gesetzgeber versäumt, den Begriff der „Beschäftigten“ klar zu definieren. Im Arbeitsrecht wird der Begriff teilweise synonym mit dem Begriff „Arbeitnehmer“ verwendet, während er im Datenschutzrecht weiter gefasst ist und nach § 26 Abs. 8 BDSG u. a. auch Leiharbeitnehmer, Auszubildende und sogar Bewerber umfasst. Klar dürfte hier sein, dass „Beschäftigte“ eines anderen Arbeitgebers zB in von mehreren Arbeitgebern gemeinsam genutzten Arbeitsstätten (wie es zB bei Bürogemeinschaft etc. der Fall sein kann) oder solche, die iRe Dienst- oder Werkvertrags in der eigenen Arbeitsstätte tätig sind, nicht unter diese Regelung fallen. Dies ist zwar misslich, allerdings dürfte es bei entsprechender Wahrung der Vertraulichkeit auch möglich sein, dass sich in solchen Fällen Arbeitgeber gegenseitig „aushelfen“.

2. Herausforderungen für Arbeitgeber

Die Pflicht zur Kontrolle des 3G-Nachweises stellt Arbeitgeber vor diverse Herausforderungen, da einerseits eine Pflicht zur Erhebung und Dokumentation des 3G-Nachweises nach § 28 b Abs. 1 IfSG besteht, andererseits aber auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) und die Transparenz der Verarbeitung gegenüber Betroffenen (Art. 13 DS-GVO) zu wahren ist. Auf Grund der Sensibilität der Daten, welche als Gesundheitsdaten besondere Kategorien personenbezogener Daten iSv Art. 9 Abs.  1 DS-GVO darstellen, darf die Dokumentation nur durch einen zur Verschwiegenheit verpflichtetem Personenkreis zugänglich sein und ist durch besondere Maßnahmen vor dem Zugriff unbefugter Personen zu schützen (s. a. § 22 Abs. 2 BDSG, auf den in §  28 b Abs. 3 S. 5 IfSG verwiesen wird).

Sowohl das Betreten einer Arbeitsstätte ohne erbrachten 3G-Nachweis als auch die fehlende oder unzureichende Kontrolle des 3G-Nachweises sind bußgeldbewehrt, mit einer Überprüfung dürfte insbesondere dann zu rechnen sein, wenn Infektionen von Beschäftigten und Arbeitgebern auftreten. Adressaten entsprechender Bußgelder können sowohl Beschäftigte als auch Arbeitgeber sein.

Da einerseits der Gesetzgeber den Beschäftigten freistellt, in welcher Form sie den 3G-Nachweis erbringen und andererseits § 28 b Abs. 3 S. 3 IfSG iRd Erforderlichkeit eine Speicherung des jeweilig nachgewiesenen 3G-Nachweis gestattet („Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber … zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-­, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten.“), ist – wie so häufig im Datenschutzrecht – im Kern die Frage umstritten, welche Daten Arbeitgeber mit oder ohne Einwilligung der Beschäftigten speichern müssen bzw. dürfen.

3. Hilfestellungen der Datenschutzbehörden

Zwischenzeitlich haben diverse Datenschutzbehörden Hilfestellungen zur Überprüfung des 3G-Nachweises veröffentlicht, aus denen nachstehend einige wenige Aussagen aufgegriffen und auch kurz kommentiert werden:

  • Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): Unter „FAQ-Sammlung zur Verarbeitung von 3G/3Gplus im Beschäftigtenverhältnis“ v. 29.11.‌2021 werden Fragen zur Verarbeitung von 3G/3Gplus im Beschäftigtenverhältnis beantwortet. Unter Ziffer 5. führt das BayLDA richtigerweise aus, dass ein hinterlegter Nachweis (dies könnte zB eine Kopie des Impfpasses oder ein Ausdruck des QR-Codes des Impfzertifikats sein) nur mit Einwilligung der Beschäftigten gespeichert werden dürfe. Die Speicherung der „3G-Daten“ (von der Hinterlegung zu unterscheiden) sei zB dann „erforderlich“ und damit auch ohne Einwilligung möglich, „wenn der betriebliche Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung stehen würde“. Da Testnachweise täglich zu erbringen sind, bezieht sich dies auf den Status „geimpft/genesen“, wobei hier ausreichend sein soll, zu dokumentieren, ob ein entsprechender Nachweis erbracht worden ist und wie lange dieser gültig ist. Dies stellt grds. einen pragmatischen Ansatz dar, wobei die „Erforderlichkeit“ eher die Regel als die Ausnahme sein sollte, da die reibungslosen betrieblichen Abläufe eine gewichtige Rolle spielen sollten und man sich iÜ auch die Frage stellen darf, ob eine tägliche Kontrolle eines ohnehin bekannten Status noch dem Grundsatz der „Datenminimierung“ folgt.

  • Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW): Der LfDI BW hat eine „Orientierungshilfe zu 3G am Arbeitsplatz“ v. 29.11.‌2021 veröffentlicht, in der grds. die Frage aufgeworfen wird, ob eine „Vollkontrolle“ unter Berücksichtigung von Ausweisdokumenten zu erfolgen hat. Richtigerweise wird dies Gegenstand der Einzelbetrachtung sein. Da insbesondere die Überprüfung von QR-Codes ohne eine Identitätsfeststellung wenig aussagekräftig ist (QR-Codes können beliebig reproduziert und „abgegriffen“ werden), wird man dies immer dann vornehmen müssen, wenn die „Kontrollperson“ die Identität der betreffenden Beschäftigten nicht kennt. Der LfDI BW weist zu Recht darauf hin, dass die Kontrollpersonen sorgfältig auszuwählen sind. Hinsichtlich der Speicherung des jeweiligen 3G-Status scheint die Orientierungshilfe auf S. 9 die „Hinterlegung“ eines Nachweises mit der Speicherung des Status zu vermischen und kommt zu der – kritikwürdigen – Aussage, dass die Speicherung daher einer Einwilligung bedürfe.

  • Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Das ULD hat am 24.11.‌2021 Informationen zur „Verarbeitung des Impf-­, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19“ veröffentlicht und verweist darauf, dass Beschäftigte nach Art. 13 DS-GVO über die Verarbeitung zu informieren sind und hierzu auch ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) zu erfolgen hat. Das ULD unterscheidet zwischen der Hinterlegung des 3G-Nachweises (Zustimmung erforderlich) und der Dokumentation des 3G-Status (hier scheint das ULD grds. von Erforderlichkeit auszugehen).

  • Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LDI RLP): Unter „3G am Arbeitsplatz – Datensparsamkeit heißt das Gebot der Stunde!“ v. 25.11.‌2021 kritisiert der LDI RLP, dass der Gesetzgeber keinen datensparsamen Ansatz wie zB den „Green Pass“ in Italien gewählt hat, und mahnt zur Datensparsamkeit und fordert dazu auf, die „CovPassCheck“-App bei der Kontrolle zu nutzen.

  • Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI): Auch der HBDI hat „Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz“ v. 25.11.‌2021 veröffentlicht. Unter Nr. 4 der Empfehlungen wird betont, dass die Vorlage des Nachweises „geimpft/genesen“ nur einmal erfolgen müsse und zu dokumentieren ist und der tägliche Testnachweis nur durch ein Abhaken einer Namensliste erbracht werden müsse. Die Hinterlegung eines Nachweises müsse hingegen auf freiwilliger Basis erfolgen.

4. Musterdokumentation für Arbeitgeber

Als Vorlagen für Arbeitgeber wurden mögliche Musterdokumentationen (abrufbar unter: https://www.bho-legal.com/muster-zur-dokumentation-der-kontrolle-von-3g-nachweisen-am-arbeitsplatz/) mit folgendem Inhalt erstellt (die Dokumentation steht in deutscher Sprache zum Download zur Verfügung und kann genutzt werden; für einen möglichst freien Zugang wird die Dokumentation unter der CC BY-SA 4.0 veröffentlicht):

  • Relevanter Auszug aus § 28 b IfSG (Achtung: gilt nur für „normale“ Arbeitsstätten, besondere Regelungen gelten für Pflegeheime etc.).

  • Erläuterung zur Durchführung des 3G-Nachweises.

  • Übersicht zur Dokumentation.

  • Individuelle Dokumentationsbögen.

  • Datenschutzerklärung (durch Angaben zum Unternehmen des Arbeitgebers zu ergänzen).

  • Einwilligungserklärung zur Speicherung des 3G-Nachweises und der Hinterlegung des Nachweises beim Arbeitgeber.

5. Hinweise zur Nutzung der Musterdokumentation

Die Muster dienen als Orientierungshilfe zur Abfassung eines eigenen Dokuments und können nicht sämtliche Fallkonstellationen berücksichtigen. Zudem ist zu berücksichtigen, dass mangels einheitlicher Auslegung der Neuregelung im IfSG eine Dokumentation, die gleichermaßen alle Auffassungen der Datenschutzbehörden umsetzt, kaum möglich ist. Es wird daher bei der Nutzung auf folgende Aspekte hingewiesen:

  • Der Ansatz des BayLDA zur Erforderlichkeit der Dokumentation des jeweiligen 3G-Nachweises ist pragmatischer als der des LfDI BW. Jedenfalls dann, wenn eine tägliche Kontrolle aller Beschäftigten unverhältnismäßigen Aufwand verursachen sollte, sollten Arbeitgeber auch ohne Einwilligung berechtigt sein, den Status zu dokumentieren. Man kann sogar einen Schritt weiter gehen und vertreten, dass die Dokumentation regelmäßig erforderlich sein dürfte, um reibungslose Betriebsabläufe und den Infektionsschutz zu gewährleisten. Zudem wird man auch berücksichtigen müssen, dass eine tägliche Kontrolle von Beschäftigten, die den 3G-Nachweis bis zum Ablauf des 19.3.‌2022 (dann endet die Pflicht zur Dokumentation zum jetzigen Stand, wobei sich dies natürlich noch ändern kann) bereits erbracht haben, durch ggf. wechselnde Kontrollpersonen wenig datensparsam ist und unter Gesichtspunkten des Infektionsschutzes eine Kontaktreduzierung (jede Kontrolle stellt einen weiteren Kontakt dar) wenig hilfreich sein dürfte. Beispielsweise in Bürogebäuden dürften Schlangen vor dem Eingang oder in der Lobby eher kontraproduktiv sein, ein reines Abstellen auf den Aufwand iRd Erforderlichkeit scheint hier unangemessen. Zumindest in den Bundesländern, in denen die Datenschutzbehörden eine Einwilligung zur Speicherung des 3G-Nachweis fordern, wäre dies der sicherere, wenn auch umständlichere Weg. Da das Versagen der Einwilligung keinerlei negative Auswirkung hätte und die Speicherung durchaus im Interesse der Beschäftigten sein dürfte, sprechen keine Gründe gegen die Wirksamkeit einer generell im Beschäftigtenverhältnis teilweise kritisch zu bewertenden Einwilligung.

  • Da §  28 b IfSG nach dessen Absatz 7 S. 1 nur bis zum Ablauf des 19.3.‌2022 gilt, besteht derzeit grundsätzlich kein Erfordernis, bei der Dokumentation des 3G-Nachweises zwischen einer vollständigen Impfung und einem Genesenenstatus mit Gültigkeit bis zum 19.3.‌2022 zu unterscheiden, die Unterscheidung wird daher in der Dokumentation nicht gemacht. Endet die Gültigkeit des Genesenenstatus vor dem 19.3.‌2022, lässt die Dokumentation eines entsprechenden Ablaufdatums des 3G-Nachweises auf den Genesenenstatus schließen. Sollte, wie derzeit angedacht, auch der Geimpftenstatus nach einer bestimmten Zeit (derzeit in der Diskussion: neun Monate) ablaufen, ist auch hier keine Differenzierung mehr erkennbar und daher auch nicht zu dokumentieren.

  • Die Verarbeitung kann nach hier vertretener Ansicht auf verschiedene Erlaubnistatbestände in Art. 9 Abs. 2 DS-GVO gestützt werden, der Gesetzgeber geht davon aus, dass die relevante Öffnungsklausel Art. 9 Abs.  2 lit. i DS-GVO ist; lit. g oder ggf. auch lit. h scheinen sachnäher, dies ist allerdings für die Anwendung durch Arbeitgeber selbst nicht entscheidend, da die konkrete Grundlage in § 28 b IfSG festgelegt ist, eine dogmatische Diskussion erscheint hier wenig hilfreich.

  • Die Dokumentation enthält keine Vorlage für das Verarbeitungsverzeichnis; selbstverständlich ist die Durchführung der Kontrolle des 3G-Nachweises am Arbeitsplatz in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO aufzunehmen.

  • Um nachzuweisen, dass eine ordnungsgemäße Kontrolle iSv § IFSG § 28 b IfSG umgesetzt ist, ist zu dokumentieren, wie die Zugangskontrolle zu den jeweiligen Arbeitsstätten umgesetzt wird; dies ist naturgemäß von der Arbeitsstätte abhängig (und kann bzw. muss bei verschiedenen Arbeitsstätten eines Arbeitgebers individuell geregelt werden) und nicht Teil der Dokumentation.

  • Wenn die Zugangskontrolle so eingerichtet ist, dass hinreichend dokumentiert ist, wer die Kontrolle von Beschäftigten durchgeführt hat, erübrigt sich die Nennung der kontrollierenden Person und deren Unterschrift auf den Bögen der einzelnen Beschäftigten; natürlich können auch Listen in Dateiform geführt werden, dann müssen Vertraulichkeit und insbesondere Nachvollziehbarkeit der Einträge sichergestellt werden.

  • Für die Dokumentation sollte durchaus relevant sein, welche Form des Tests angewendet wird (Test unter Aufsicht vor Ort oder Testzertifikat), da Beschäftigte selbst nur für Tests mit anerkanntem Zertifikat einen Nachweis führen können, ansonsten ist zu dokumentieren, dass man als Arbeitgeber den eigenen Pflichten nachgekommen ist; wird keine Testung unter Aufsicht angeboten (dazu ist der Arbeitgeber nicht verpflichtet), erübrigt sich die Differenzierung in der Dokumentation; auf diesen Aspekt wird in den o. g. Hinweisen der Datenschutzbehörden nicht explizit eingegangen, es steht allerdings zu befürchten, dass die Datenschutzbehörden es nur als erforderlich ansehen, dass ein Test erfolgt ist.

  • Je nach Umfang der Verarbeitung kann im Einzelfall eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich sein, diese ist in der Dokumentation nicht enthalten.

  • Aspekte der betrieblichen Mitbestimmung sind nicht berücksichtigt und individuell zu prüfen.

  • Die Erforderlichkeit der Nutzung der erhobenen (personenbezogenen!) Daten zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und  6 des Arbeitsschutzgesetzes ist individuell zu prüfen und sollte nicht „leichtfertig“ erfolgen.

Bitte beachten: Bei § 28 b IfSG handelt es sich um eine bundesweit geltende Regelung, dies schließt allerdings nicht aus, dass die Bundesländer noch weitere Regelungen erlassen, die zu berücksichtigen sind. Es wird darauf hingewiesen, dass die Dokumentation nicht alle möglichen Fälle berücksichtigt und im Einzelfall an die Organisation des jeweiligen Arbeitgebers anzupassen ist. Sie ist mit bestem Wissen und Gewissen erstellt worden, stellt aber keine Beratungsleistung dar, da diese immer den individuellen Sachverhalt berücksichtigen muss.

Weitergehende Informationen zum betrieblichen Infektionsschutz werden vom Bundesministerium für Arbeit und Soziales bereitgestellt.

Gerhard Deiters ist Rechtsanwalt und Partner bei BHO Legal in Köln.