Covid-19 hat uns weiterhin fest im Griff.
Seit dem 24.11.2021 sind relevante Änderungen am § 28b Infektionsschutzgesetz (IfSG) in Kraft getreten. § 28b Abs. 1 S. 1 IfSG gibt unter anderem vor, dass Arbeitgeber und Beschäftigte, die physische Kontakte zu anderen Personen haben können, die Arbeitsstätte nur betreten dürfen, wenn sie geimpft, genesen oder getestet sind und einen Nachweis bei sich führen oder beim Arbeitgeber hinterlegt haben. In Ausnahmefällen ist das Betreten der Arbeitsstätte ohne Nachweis erlaubt, wenn vor der Arbeitsaufnahme ein vom Arbeitgeber zur Verfügung gestellter Covid-19-Test oder ein Impfangebot wahrgenommen wird. Der Arbeitgeber ist verpflichtet die Einhaltung dieser Nachweispflicht täglich zu kontrollieren und zu dokumentieren. Zur Erfüllung dieser Dokumentationspflicht ist es dem Arbeitgeber erlaubt die personenbezogenen Daten einschließlich des Sero-, Impf- oder Teststatus (zu Covid-19) zu verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts verarbeitet werden. Eine Verarbeitung der o.g. Daten zu anderen Zwecken ist nicht erlaubt.
In speziellen Einrichtungen bzw. Unternehmen nach § 28 Abs. 2 IfSG (Krankenhäuser, Pflegeeinrichtungen, etc.) müssen neben Arbeitgeber und Beschäftigten auch Besucher einen negativen Testnachweis mit sich führen.
Die Einhaltung der Nachweispflicht muss vom Arbeitgeber täglich geprüft werden. Für die Dokumentation der Kontrolle reicht es aus, am jeweiligen Kontrolltag den Namen der Beschäftigten auf einer Liste abzuhaken, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.
Wenn der Beschäftigte einwilligt, darf sein Nachweis als Kopie oder ein Vermerk über Art des Nachweises und dessen Gültigkeitszeitraum gespeichert werden. Ohne Einwilligung ist eine Speicherung der Kopie oder der Gültigkeitsdauer der Daten zum Sero-, Impf- oder Teststatus nicht zulässig.
Aber: Eine Erforderlichkeit der Speicherung der zum Sero-, Impf- oder Teststatus kann begründbar sein, wenn einer täglichen Prüfung außer Verhältnis zum betrieblichen Aufwand steht. Dies kann beispielsweise der Fall sein, wenn der Zugang der Beschäftigten regelmäßig automatisiert geprüft wird oder eine Kontrolle durch den gleichzeitigen Zugang vieler Beschäftigter Verzögerungen im Betriebsablauf auslösen würde. Kann eine solche Erforderlichkeit begründet werden, sollte nur erfasst werden, ob ein Nachweis vorliegt, um welche Art Nachweis es sich handelt und wie lange die Gültigkeitsdauer des Nachweises ist.
Bei Beschäftigten deren Nachweisstatus gespeichert wurde, ist eine tägliche Kontrolle nicht mehr notwendig.
Da es sich bei den 3G-Daten um Gesundheitsdaten handelt müssen nach § 22 Abs. 2 BDSG angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Personen getroffen werden. Speziell wird auf technischen und organisatorischen Maßnahmen zur datenschutzkonformen Verarbeitung, die Sensibilisierung der beteiligten Mitarbeiter, die Beschränkung des Zugangs zu den o.g. Daten und auf die Sicherstellung der Datensicherheit hingewiesen. Die in diesem Rahmen ergriffenen Maßnahmen sind nach Art. 30 Abs. 1 lit. g DSGVO zu dokumentieren.
Die Daten, die im Rahmen der Zugangskontrollen verarbeitet werden, müssen spätestens nach 6 Monaten gelöscht werden.
Die Regelungen des § 28 b IfSG gelten zunächst bis zum 19.03.2022
Nicht vergessen:
Die Beschäftigten sind nach Art. 13 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu informieren.
Quellen:
https://www.gesetze-im-internet.de/ifsg/__28b.html
https://www.datenschutz-bayern.de/datenschutzreform2018/aki38.html
https://www.lda.bayern.de/media/veroeffentlichungen/FAQ-Sammlung_zur_Verarbeitung_von3G-3G_plus-2G.pdf
https://www.baden-wuerttemberg.datenschutz.de/abfrage-gesundheitsdaten-arbeitgeber/