Einführung der 3G-Regel am Arbeitsplatz
Corona hat die Welt auch nach fast zwei Jahren noch immer fest im Griff und auch die Infektionszahlen in Deutschland steigen seit mehreren Wochen wieder stark an. Grund für die Bundesregierung, das Infektionsschutzgesetz (IfSG) zu ändern um auch zukünftig bundesweite Maßnahmen zur Eindämmung des Infektionsgeschehens ergreifen und durchsetzen zu können.
Eine Maßnahme ist die Einführung der sogenannten “3G-Regel” am Arbeitsplatz. Der Begriff wird den Meisten wohl mittlerweile nur zu gut bekannt sein und bedeutet nichts anderes, dass Beschäftigte, vor Betreten der Arbeitsstätte gegenüber dem Arbeitgeber nachzuweisen haben, ob sie geimpft, genesen oder negativ auf das Corona-Sars-CoV-2-Virus getestet sind. Nachweise hierzu müssen die Beschäftigten während ihres Aufenthaltes mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegen.
Dokumentationspflichten des Arbeitgebers
Rechtsgrundlage für diese Regel ist dabei der neu gefasste §28b Abs. 1 IfSG. Neben der Pflicht der Beschäftigten, ihrem Arbeitgeber entsprechende Nachweise vorzulegen, erlegt die Norm allerdings auch den Arbeitgebern diesbezügliche Dokumentationspflichten auf, um bei einer Prüfung durch die Behörden auch nachweisen zu können, entsprechende Kontrollen eingerichtet zu haben.
Wie, in welcher Form und wie lange diese Dokumentationen durch den Arbeitgeber vorzuhalten sind, darüber schweigt das Gesetz jedoch im wesentlichen und lässt viel Freiraum für (insbesondere datenschutzrechtliche) Fehler.
Jedenfalls stünde bei einem Verstoß gegen die Dokumentationspflichten allein arbeitsschutzrechtlich ein Bußgeld von bis zu maximal 30.000 EUR im Raum, weshalb die meisten Arbeitgeber wohl ein gesteigertes Interesse daran haben dürften den gesetzlich auferlegten Pflichten auch nachzukommen.
Welche Daten dürfen durch den Arbeitgeber wie lange verarbeitet werden?
Zunächst ist nicht genau geklärt, welche Daten genau durch den Arbeitgeber überhaupt erhoben und wie lange einzelne Daten vorgehalten werden dürfen. Während die Information über den Nachweis eines Impf- oder Genesenenzertifikats sinnvollerweise über längere Zeit aufbewahrt werden könnte stellt die Tatsache, dass die Vorlage eine Negativtests, der spätestens alle 48 Stunden erneuert werden muss, dies jedoch in Frage. Offen ist zum aktuellen Zeitpunkt, ob bei einer Kontrolle durch die Behörden seitens des Arbeitgebers nachgewiesen werden muss, dass Beschäftigte innerhalb der letzten Wochen oder Monate Negativtests vorgelegt haben. Bei praxisnaher Betrachtungsweise ist dies sicherlich eher nicht notwendig.
FAQ des Bundesministeriums für Arbeit und Soziales
Um den Unternehmen zumindest ein wenig unter die Arme zu greifen hat das Bundesministerium für Arbeit und Soziales (BMAS) auf seiner Webseite eine FAQ zu den wichtigsten Punkten bereitgestellt, an denen sich Arbeitgeber orientieren sollten.
So soll bei den Kontrolldokumentationen löblicherweise der datenschutzrechtliche Grundsatz der Datenminimierung beachtet werden, weshalb es laut BMAS wohl ausreiche am jeweiligen Kontrolltag Vor- und Zunamen der Beschäftigten auf einer Liste abzuhaken, wenn der jeweilige Nachweis erbracht wurde.
Dabei soll es genügen, wenn bei Geimpften und Genesenen der Status nur einmal erfasst wird, wobei zu beachten ist, dass bei Genesenen zusätzlich noch das Enddatum ihres Status notiert werden sollte.
Die Daten seien spätestens sechs Monate nach ihrer Erhebung zu löschen. Zu der Frage, ob dies auch für den Nachweis der Vorlage eines negativen Corona-Tests gilt, bleibt das BMAS zwar eine Antwort schuldig, da bzgl. der angegebenen Speicherdauer von sechs Monaten jedoch keine Differenzierung gemacht wurde ist zumindest zum aktuellen Zeitpunkt davon auszugehen, dass auch diese Daten bis zu sechs Monate aufbewahrt werden dürfen.
“3G”-Regel auch eine Verarbeitung personenbezogener Daten i.S.d. DSGVO
Was viele Unternehmen aufgrund der sich aktuell überschlagenden Ereignisse vielleicht nicht im Hinterkopf haben ist, dass diese Erhebung des aktuellen Status der Beschäftigten auch eine Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung der EU (DSGVO) darstellt, mit der Folge, dass die Betroffenen gemäß Art. 13 DSGVO durch den Arbeitgeber zu informieren sind.
Muster Art. 13 Informationen zur Zutrittskontrolle
Diese Information kann beispielsweise durch ein gesondertes Informationsblatt erfolgen, welches den Beschäftigten bei Erhebung ihrer Daten ausgehändigt oder im Eingangsbereich gut sichtbar aufgehängt werden könnte.
Für Unternehmen die ein solches Informationsblatt aktuell nicht zur Verfügung zu stehen haben, haben wir eine Vorlage entworfen, die Sie hier oder in unserem Downloadbereich herunterladen und nach entsprechender Anpassung verwenden können.
Sofern die Zutrittskontrollen nicht durch einen externen Dienstleister als Auftragsverarbeiter, sondern durch eigene Beschäftigte durchgeführt werden, sollten die entsprechenden Mitarbeiter zudem einer gesonderten Vertraulichkeitsverpflichtung diesbezüglich unterworfen werden.