MENÜ Close
Was suchen Sie?

GDI mbH – Hilfestellungen zu 3G am Arbeitsplatz

Mit der letzten Änderung des Infektionsschutzgesetzes stehen Arbeitgeber vor der schwierigen Aufgabe, den Zutritt zum Arbeitsplatz nur Geimpften, Genesenen oder Getesteten zu gewähren.

Die Prüfung des Status eines Arbeitnehmers hat dabei vor allem Implikationen für das Infektionsschutz- und Arbeitsrecht. Arbeitgeber müssen sich darüber hinaus auch Gedanken über das Datenschutzrecht machen. Die GDI - Gesellschaft für Datenschutz und Informationssicherheit mbH steht Ihnen zur Seite, um die vielen Fallstricke sicher zu vermeiden.  

Mit den Änderungen des Infektionsschutzgesetzes (IfSG) -  insbesondere der Aufnahme des neuen § 28 b IfSG) – ist 3G am Arbeitsplatz nunmehr Pflicht: Zutritt nur für Geimpfte, Genesene oder Getestete, heißt es deswegen schon seit gut zwei Wochen in den deutschen Betriebsstätten. Bundesweit wurden / werden die Corona-Schutzverordnungen der Länder angepasst. Die Regelungen gelten zunächst bis Ablauf des 19. März 2022, wobei im Dezember eine Überprüfung der Wirksamkeit der Maßnahmen durch Bund und Länder erfolgen soll.

Die dateschutzrechtlichen Challenges

§ 28 b Absatz 3 IFSG sieht vor, dass die Verpflichtungen täglich durch Nachweiskontrollen zu überwachen und regelmäßig zu dokumentieren sind. Die Vorschrift regelt dabei die Pflicht von Zutrittskontrollen und sollte in keinem Fall als Recht des Arbeitsgebers auf Auskunft über den Impfstatus verstanden werden.

Dennoch: Zum späteren Nachweis für die Behörden sollten die Zutrittskontrollen dokumentiert werden – bereits hieraus ergeben sich dann datenschutzrechtliche Konsequenzen. Denn: Der „Corona-Status“ eines Mitarbeiters unterliegt als Gesundheitsdatum einem besonderen datenschutzrechtlichen Schutz; So bedarf die Verarbeitung einer rechtlichen Grundlage (welche wir mit dem IfSG auch haben). Eine anderweitige Verwertung der Daten ist hingegen absolut unzulässig! Eine Speicherung in der Personalakte ist daher nicht möglich.

Weiterhin sollten die Gesundheitsdaten der Mitarbeiter auch besonders vor Zugriffen Dritter – auch anderer Mitarbeiter – geschützt werden. Die Verwendung von Messenger- Diensten verbietet sich aus diesem Grund genauso wie die Speicherung der Daten in einem offenen Bereich des Intranets.

Es besteht gem. § 28 b Absatz 1 Satz 1 IfSG die Möglichkeit einer Hinterlegung des Impf- oder Genesenenstatus, damit eine tägliche Kontrolle entfallen kann. Damit besteht bis zum Ablauf der gesetzlichen Regelung die Befugnis auch eine Kopie des Nachweises auf Grundlage einer Einwilligung speichern. Liegt keine Einwilligung vor, so ist eine Speicherung der Nachweise als solche als Kopie nicht zulässig.

Weiterhin stellt sich die Frage der Speicher- bzw. Löschfrist in diesem Zusammenhang. Grundsätzlich sind rechtmäßig erhobene Daten spätestens am Ende des sechsten Monats nach Ihrer Erhebung zu löschen. Hinsichtlich des Novums „Corona-Status“ weichen die Stimmen in der Lehre aber auch der Datenschutzbehörden in diesem Zusammenhang teilweise voneinander ab.

Schließlich muss eine Information über den gesamten Verarbeitungsvorgang an den Arbeitgeber erfolgen und ein weiterer Prozess im Verarbeitungsverzeichnis des Unternehmens hinterlegt werden.

Die Folgen

Arbeitgeber sind damit wieder einmal aufgefordert, die Verpflichtungen des Datenschutzes vollumfänglich zu erfüllen. Dies insbesondere vor dem Hintergrund, dass die aktuelle Prüfpflicht nicht überall und bei jedermann auf Verständnis stößt. Die datenschutzrechtliche Compliance ist daher ein unbedingtes Muss, um Streitigkeiten mit den Arbeitnehmern vorzugreifen.

Die GDI Gesellschaft für Datenschutz und Informationssicherheit mbH unterstützt Sie gerne bei der Erstellung diesbezüglicher, aber auch allgemeiner Datenschutzkonzepte. Das GDI-Leistungsspektrum umfasst insbesondere:

• Vertretung der Datenschutzbelange des Auftraggebers

• Vertretung bei Kontrollen durch die Datenaufsichtsbehörde

• Entwicklung und Einführung eines Datenschutzkonzeptes

• Führung des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 EU-DSGVO)

• Erstellung der Anlagen nach Artikel 28 EU-DSGVO

• Sensibilisierungsschulung für Ihre Mitarbeiter

• Datenschutzrechtliches Audit Ihrer Standorte

• Sicherheitsüberprüfung und Sicherheitszertifizierungen (z.B. ISO 27001)

Die GDI kann in ihren Leistungen auf umfangreiche Beratungen und Implementierungen von Datenschutz- aber auch IT-Sicherheitskonzepten in Verbundgruppen zurückgreifen und sticht vor allem durch eine schnelle und jederzeitige Erreichbarkeit hervor.

Ihr Ansprechpartner

Olaf Tenti
GDI - Gesellschaft für Datenschutz und Informationssicherheit mbH
tenti@gdi-mbh.eu 

Weitere Artikel