Seit Inkrafttreten des „Gesetzes zur Änderung des Infektionsschutzgesetzes“, kurz IfSG, am 24.11.2021 besteht viel Unsicherheit darüber, wie man als Arbeitgeber die Auflage der 3G-Kontrolle am Arbeitsplatz datenschutzkonform umsetzen kann, oder einfach ausgedrückt: Was darf man, und was darf man nicht? Die vielen Nachfragen unserer Kunden zu diesem Thema haben uns dazu veranlasst, die wesentlichen Punkte nachfolgend als FAQ aufzuzeigen.

 

Ganz wichtig dabei ist: Mehrere Landesdatenschutzbehörden haben ihrerseits in den letzten Tagen FAQs oder Handlungsempfehlungen veröffentlicht, die in Details an einigen Stellen unterschiedlich oder aus unserer Sicht praxisfremd sind, und damit leider eins zeigen – das neue Gesetz bietet in Sachen datenschutzkonformer Umsetzung Interpretationsspielraum, so dass es am Ende wieder einmal die Entscheidung des Unternehmens ist, wie man Details konkret umsetzt. Nehmen Sie daher bitte die nachfolgenden Hinweise als unsere Empfehlung und nicht als vollkommen rechtskonforme Auslegung an.

Wer muss seinen 3G Status nachweisen, bevor er den Arbeitsplatz betreten darf, auch Besucher bzw. Beschäftigte von anderen Arbeitgebern, die mein Unternehmen betreten?

Grundsätzlich dürfen nach IfSG (1) Arbeitgeber und Beschäftigte den Arbeitsplatz nur betreten, wenn sie den 3G-Status nachgewiesen haben. Besucher und vergleichbare Personen werden im Gesetz nicht genannt (mit Ausnahme für besondere Einrichtungen wie Krankenhäuser, Arztpraxen usw.).

Die Landesdatenschutzbehörde Hessen schreibt in ihren Empfehlungen, dass auch Besucher ihren 3G-Status nachweisen müssen, während die Landesbehörde Bayern an dieser Stelle darauf verweist, dass diese durch ihren eigenen Arbeitgeber zu überwachen sind und somit für das besuchte Unternehmen weder die Pflicht noch die Berechtigung zur Überprüfung des 3G-Status besteht.

Wir empfehlen an dieser Stelle, von Ihrem Hausrecht Gebrauch zu machen, und grundsätzlich nur Personen Zutritt zu gewähren, die ihren 3G-Status nachgewiesen haben.

Darf ich Kopien der 3G-Nachweise (z. B. Impfzertifikat) anfertigen und speichern?

Hier ist die Antwort eindeutig: Zunächst einmal NEIN. Da zur Dokumentation der erfolgten Prüfung eine Notiz ausreicht (siehe auch nächste Frage), raten wir daher davon ab, Kopien zum 3G-Nachweis (z.B. Impfausweis, Test oder Zertifikat) zu speichern. Sollten Sie dies trotzdem tun wollen, so benötigen Sie hierfür zwingend eine freiwillige schriftliche Einwilligungserklärung der betroffenen Personen. Das gilt sowohl für Ihre Beschäftigten also auch die Besucher, sofern Sie hier auch prüfen.

Wie muss dokumentiert werden, dass die 3G-Abfrage erfolgt ist?

Leider gibt das IfSG hierzu keinerlei Vorgabe, die Landesdatenschutzbehörden Bayern und Hessen geben an, dass der konkrete Status (heißt geimpft/genesen/getestet) NICHT zu dokumentieren sei.

Zitat: Um dem Grundsatz der Datenminimierung […] zu genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist. (aus Bayrisches Landesamt für Datenschutzaufsicht, FAQ-Sammlung vom 29.11.2021)

Wir halten diesen Ansatz für praxisfremd, denn dies bedeutet, dass man zumindest zwei Listen führen muss – eine für geimpfte/genesene Personen, die i. d. R. ja nur einmal den Nachweis vorlegen müssen, und eine für getestete Personen, die ja im Falle eines Schnelltests täglich den Nachweis zu erbringen haben. Hinzu kommt, dass es z. B. im Hinblick auf den Genesenen-Status erforderlich ist, das Ablaufdatum des Zertifikates zu notieren, womit auch hier schon ganz automatisch eine Unterscheidung des jeweiligen Status anhand der Dokumentation möglich ist.

Wir empfehlen Ihnen, im Sinne des Grundsatzes der Datenminimierung, möglichst wenige Daten zu verarbeiten und ausschließlich Name (ggf. Personalnummer) und die Gültigkeitsdauer des vorgelegten Nachweises zu dokumentieren.

Wie lange darf ich die Dokumentation des 3G-Status aufbewahren bzw. speichern?

Hier ist die datenschutzrechtliche Auslegung sehr eindeutig: Sobald der „G-Status“ nicht mehr zur Überprüfung der Zugangsvoraussetzungen und zur Erfüllung von Dokumentationspflichten nach § 28b IfSG erforderlich ist, sind die Daten zu löschen – spätestens jedoch am Ende des sechsten Monats nach ihrer Erhebung (§ 28b Abs. 3 S. 8 IfSG) bzw. zum Zeitpunkt des Wegfalls der zu Grunde liegenden Rechtsgrundlage am 19.03.2022.

Wer überwacht überhaupt, ob Arbeitgeber ihre Kontrollpflicht zum 3G-Status erfüllen?

Die Regelungen des § 28b Infektionsschutzgesetzes gelten ergänzend zur Corona-Arbeitsschutzverordnung. Die Einhaltung der Anforderungen dieser Verordnung obliegt nach dem Arbeitsschutzgesetz den Arbeitsschutzbehörden der Länder, die demnach auch die 3G-Verpflichtung der Arbeitgeber überwachen und im Falle von Verstößen Bußgelder verhängen können. So hat z. B. das Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein-Westfalen am 01.12.2021 bereits die Arbeitsschutzbehörden bei den Bezirksregierungen aufgefordert, „den Schwerpunkt aktuell auf diese Kontrollen zu legen.“ Weiter heißt es: „Werden die 3G-Kontrollen durch die Arbeitgeber nicht umgesetzt, droht ein Bußgeld von mindestens 1.000 Euro. Sofern Beschäftigte sich ohne die ausreichenden Nachweise in den Arbeitsstätten aufhalten, drohen auch ihnen Bußgelder in Höhe von 250 Euro. Sollte die Nutzung gefälschter Nachweise auffallen, droht zudem ein strafrechtliches Verfahren.“

Haben Sie weitere Fragen zur Thematik? Bitte kontaktieren Sie uns, wir helfen Ihnen gerne!