www.beck.de
Sie waren hier: http://rsw.beck.de/main/Index/?site=ZD&toc=ZD.root&docid=444086

Kontrolle von 3G-Nachweisen am Arbeitsplatz – Muster zur Dokumentation

ZD-Aktuell 2021, 05576     Mangels ausdrücklicher gesetzlicher Grundlage wurde in den letzten Monaten bereits vielfach über die Frage diskutiert, ob Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen durften. Manche „Corona-Schutzverordnungen“ der Länder sahen die Abfrage des sog. 3G-Nachweises (geimpft, genesen, getestet) für bestimmte Tätigkeiten verpflichtend vor, eine allgemeine Pflicht und ein korrespondierendes Recht zur Abfrage des 3G-Status von Beschäftigten war gesetzlich bis zur Änderung von § 28 b IfSG mit Wirkung zum 24.11.‌2021 jedoch nicht vorgesehen. Der Beschluss der Datenschutzkonferenz v. 19.10.‌2021, in dem ein Fragerecht am Maßstab von § 26 Abs. 3 BDSG grds. verneint wird, ist damit überholt.

1. Pflichten zur Kontrolle von 3G-Nachweisen am Arbeitsplatz

Seit dem 24.11.‌2021 sind Arbeitsgeber bundesweit nach §  28 b Abs. 1 IfSG verpflichtet, sicherzustellen, dass sie selbst (!) und Beschäftigte die Arbeitsstätte nur betreten, wenn zuvor ein 3G-Nachweis erbracht wurde. Einschränkend gilt dies allerdings lediglich für die Personen, bei denen ein physischer Kontakt zum Arbeitgeber, zu anderen Beschäftigten und sonstigen Dritten (gemeint ist, dass sich mehr als eine Person in unmittelbarer Nähe befindet, eine körperliche Berührung ist nicht erforderlich) nicht ausgeschlossen werden kann (einzelne Reinigungskräfte, die nach den Betriebszeiten tätig sind, müssen daher grundsätzlich keinen Nachweis erbringen; bei mehreren gleichzeitig anwesenden Reinigungskräften dürfte dies anders zu bewerten sein). Das „Homeoffice“ ist von der Pflicht zur Erhebung des 3G-Nachweises ausgenommen.

Unglücklicherweise hat der Gesetzgeber versäumt, den Begriff der „Beschäftigten“ klar zu definieren. Im Arbeitsrecht wird der Begriff teilweise synonym mit dem Begriff „Arbeitnehmer“ verwendet, während er im Datenschutzrecht weiter gefasst ist und nach § 26 Abs. 8 BDSG u. a. auch Leiharbeitnehmer, Auszubildende und sogar Bewerber umfasst. Klar dürfte hier sein, dass „Beschäftigte“ eines anderen Arbeitgebers zB in von mehreren Arbeitgebern gemeinsam genutzten Arbeitsstätten (wie es zB bei Bürogemeinschaft etc. der Fall sein kann) oder solche, die iRe Dienst- oder Werkvertrags in der eigenen Arbeitsstätte tätig sind, nicht unter diese Regelung fallen. Dies ist zwar misslich, allerdings dürfte es bei entsprechender Wahrung der Vertraulichkeit auch möglich sein, dass sich in solchen Fällen Arbeitgeber gegenseitig „aushelfen“.

2. Herausforderungen für Arbeitgeber

Die Pflicht zur Kontrolle des 3G-Nachweises stellt Arbeitgeber vor diverse Herausforderungen, da einerseits eine Pflicht zur Erhebung und Dokumentation des 3G-Nachweises nach § 28 b Abs. 1 IfSG besteht, andererseits aber auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) und die Transparenz der Verarbeitung gegenüber Betroffenen (Art. 13 DS-GVO) zu wahren ist. Auf Grund der Sensibilität der Daten, welche als Gesundheitsdaten besondere Kategorien personenbezogener Daten iSv Art. 9 Abs.  1 DS-GVO darstellen, darf die Dokumentation nur durch einen zur Verschwiegenheit verpflichtetem Personenkreis zugänglich sein und ist durch besondere Maßnahmen vor dem Zugriff unbefugter Personen zu schützen (s. a. § 22 Abs. 2 BDSG, auf den in §  28 b Abs. 3 S. 5 IfSG verwiesen wird).

Sowohl das Betreten einer Arbeitsstätte ohne erbrachten 3G-Nachweis als auch die fehlende oder unzureichende Kontrolle des 3G-Nachweises sind bußgeldbewehrt, mit einer Überprüfung dürfte insbesondere dann zu rechnen sein, wenn Infektionen von Beschäftigten und Arbeitgebern auftreten. Adressaten entsprechender Bußgelder können sowohl Beschäftigte als auch Arbeitgeber sein.

Da einerseits der Gesetzgeber den Beschäftigten freistellt, in welcher Form sie den 3G-Nachweis erbringen und andererseits § 28 b Abs. 3 S. 3 IfSG iRd Erforderlichkeit eine Speicherung des jeweilig nachgewiesenen 3G-Nachweis gestattet („Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber … zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-­, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten.“), ist – wie so häufig im Datenschutzrecht – im Kern die Frage umstritten, welche Daten Arbeitgeber mit oder ohne Einwilligung der Beschäftigten speichern müssen bzw. dürfen.

3. Hilfestellungen der Datenschutzbehörden

Zwischenzeitlich haben diverse Datenschutzbehörden Hilfestellungen zur Überprüfung des 3G-Nachweises veröffentlicht, aus denen nachstehend einige wenige Aussagen aufgegriffen und auch kurz kommentiert werden:

  • Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): Unter „FAQ-Sammlung zur Verarbeitung von 3G/3Gplus im Beschäftigtenverhältnis“ v. 29.11.‌2021 werden Fragen zur Verarbeitung von 3G/3Gplus im Beschäftigtenverhältnis beantwortet. Unter Ziffer 5. führt das BayLDA richtigerweise aus, dass ein hinterlegter Nachweis (dies könnte zB eine Kopie des Impfpasses oder ein Ausdruck des QR-Codes des Impfzertifikats sein) nur mit Einwilligung der Beschäftigten gespeichert werden dürfe. Die Speicherung der „3G-Daten“ (von der Hinterlegung zu unterscheiden) sei zB dann „erforderlich“ und damit auch ohne Einwilligung möglich, „wenn der betriebliche Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung stehen würde“. Da Testnachweise täglich zu erbringen sind, bezieht sich dies auf den Status „geimpft/genesen“, wobei hier ausreichend sein soll, zu dokumentieren, ob ein entsprechender Nachweis erbracht worden ist und wie lange dieser gültig ist. Dies stellt grds. einen pragmatischen Ansatz dar, wobei die „Erforderlichkeit“ eher die Regel als die Ausnahme sein sollte, da die reibungslosen betrieblichen Abläufe eine gewichtige Rolle spielen sollten und man sich iÜ auch die Frage stellen darf, ob eine tägliche Kontrolle eines ohnehin bekannten Status noch dem Grundsatz der „Datenminimierung“ folgt.

  • Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW): Der LfDI BW hat eine „Orientierungshilfe zu 3G am Arbeitsplatz“ v. 29.11.‌2021 veröffentlicht, in der grds. die Frage aufgeworfen wird, ob eine „Vollkontrolle“ unter Berücksichtigung von Ausweisdokumenten zu erfolgen hat. Richtigerweise wird dies Gegenstand der Einzelbetrachtung sein. Da insbesondere die Überprüfung von QR-Codes ohne eine Identitätsfeststellung wenig aussagekräftig ist (QR-Codes können beliebig reproduziert und „abgegriffen“ werden), wird man dies immer dann vornehmen müssen, wenn die „Kontrollperson“ die Identität der betreffenden Beschäftigten nicht kennt. Der LfDI BW weist zu Recht darauf hin, dass die Kontrollpersonen sorgfältig auszuwählen sind. Hinsichtlich der Speicherung des jeweiligen 3G-Status scheint die Orientierungshilfe auf S. 9 die „Hinterlegung“ eines Nachweises mit der Speicherung des Status zu vermischen und kommt zu der – kritikwürdigen – Aussage, dass die Speicherung daher einer Einwilligung bedürfe.

  • Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Das ULD hat am 24.11.‌2021 Informationen zur „Verarbeitung des Impf-­, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19“ veröffentlicht und verweist darauf, dass Beschäftigte nach Art. 13 DS-GVO über die Verarbeitung zu informieren sind und hierzu auch ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) zu erfolgen hat. Das ULD unterscheidet zwischen der Hinterlegung des 3G-Nachweises (Zustimmung erforderlich) und der Dokumentation des 3G-Status (hier scheint das ULD grds. von Erforderlichkeit auszugehen).

  • Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LDI RLP): Unter „3G am Arbeitsplatz – Datensparsamkeit heißt das Gebot der Stunde!“ v. 25.11.‌2021 kritisiert der LDI RLP, dass der Gesetzgeber keinen datensparsamen Ansatz wie zB den „Green Pass“ in Italien gewählt hat, und mahnt zur Datensparsamkeit und fordert dazu auf, die „CovPassCheck“-App bei der Kontrolle zu nutzen.

  • Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI): Auch der HBDI hat „Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz“ v. 25.11.‌2021 veröffentlicht. Unter Nr. 4 der Empfehlungen wird betont, dass die Vorlage des Nachweises „geimpft/genesen“ nur einmal erfolgen müsse und zu dokumentieren ist und der tägliche Testnachweis nur durch ein Abhaken einer Namensliste erbracht werden müsse. Die Hinterlegung eines Nachweises müsse hingegen auf freiwilliger Basis erfolgen.

4. Musterdokumentation für Arbeitgeber

Als Vorlagen für Arbeitgeber wurden mögliche Musterdokumentationen (abrufbar unter: https://www.bho-legal.com/muster-zur-dokumentation-der-kontrolle-von-3g-nachweisen-am-arbeitsplatz/) mit folgendem Inhalt erstellt (die Dokumentation steht in deutscher Sprache zum Download zur Verfügung und kann genutzt werden; für einen möglichst freien Zugang wird die Dokumentation unter der CC BY-SA 4.0 veröffentlicht):

  • Relevanter Auszug aus § 28 b IfSG (Achtung: gilt nur für „normale“ Arbeitsstätten, besondere Regelungen gelten für Pflegeheime etc.).

  • Erläuterung zur Durchführung des 3G-Nachweises.

  • Übersicht zur Dokumentation.

  • Individuelle Dokumentationsbögen.

  • Datenschutzerklärung (durch Angaben zum Unternehmen des Arbeitgebers zu ergänzen).

  • Einwilligungserklärung zur Speicherung des 3G-Nachweises und der Hinterlegung des Nachweises beim Arbeitgeber.

5. Hinweise zur Nutzung der Musterdokumentation

Die Muster dienen als Orientierungshilfe zur Abfassung eines eigenen Dokuments und können nicht sämtliche Fallkonstellationen berücksichtigen. Zudem ist zu berücksichtigen, dass mangels einheitlicher Auslegung der Neuregelung im IfSG eine Dokumentation, die gleichermaßen alle Auffassungen der Datenschutzbehörden umsetzt, kaum möglich ist. Es wird daher bei der Nutzung auf folgende Aspekte hingewiesen:

Bitte beachten: Bei § 28 b IfSG handelt es sich um eine bundesweit geltende Regelung, dies schließt allerdings nicht aus, dass die Bundesländer noch weitere Regelungen erlassen, die zu berücksichtigen sind. Es wird darauf hingewiesen, dass die Dokumentation nicht alle möglichen Fälle berücksichtigt und im Einzelfall an die Organisation des jeweiligen Arbeitgebers anzupassen ist. Sie ist mit bestem Wissen und Gewissen erstellt worden, stellt aber keine Beratungsleistung dar, da diese immer den individuellen Sachverhalt berücksichtigen muss.

Weitergehende Informationen zum betrieblichen Infektionsschutz werden vom Bundesministerium für Arbeit und Soziales bereitgestellt.

Gerhard Deiters ist Rechtsanwalt und Partner bei BHO Legal in Köln.



Weiterführende Links:

Vgl. hierzu auch ZD-Aktuell 2021, 0555; Will ZD 2021, 601; ZD-Aktuell 2021, 05493; ZD-Aktuell 2021, 05527; ZD-Aktuell 2021, 05477 und Delventhal ZD-Aktuell 2021, 05053.


Copyright © Verlag C. H. Beck 1995-2022
Alle Rechte vorbehalten.
Vervielfältigung nur mit Genehmigung des Verlages.