Der Bundestag hat vergangene Woche zur Eindämmung der Corona Pandemie unter anderem eine 3G-Pflicht am Arbeitsplatz beschlossen. Der Bundesrat hat den Beschluss am Freitagvormittag, 19.11.2021, gebilligt. Die neuen Maßnahmen gelten seit dem 24.11.2021. Dieser Beitrag beinhaltet eine erste datenschutzrechtliche Einschätzung zu der erforderlichen Verarbeitung des Immunisierungsstatus (Impf‑, Genesenen- oder Teststatus) der Beschäftigten.
“Hierzu hat der BfDI Prof. Dr. Ulrich Kelber in seiner PM vom Freitagnachmittag bereits erklärt, dass die Vorarbeiten der Bundesregierung für den Deutschen Bundestag an einigen Stellen fehlerhaft seien und auf datenschutzfreundliche Regelungen verzichteten. Er erklärt weiter, die Folge sei „ein unnötiges Risiko datenschutzrechtlicher Fehler” – Matthias Herkert
Gleich vorweg – wir bewegen uns in einem datenschutzrechtlich unsicheren Feld. Die Datenschutzaufsicht des Bundes noch die Aufsichtsbehörden der Länder haben bislang noch keine einheitliche und umfassende Stellungnahme veröffentlicht und auch die neuen Regelungen im Infektionsschutzgesetz regeln keine konkreten Maßnahmenumsetzungen. Diese Einschätzung beruht daher auf den bisherigen Veröffentlichungen und Pressemitteilungen, auf der Auslegung früherer Stellungnahmen und Handreichungen diverser Landesdatenschutzbeauftragten und der DSK und werden sicherlich nochmals einem „Update“ unterzogen werden.
Nach aktuellem Stand haben sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Dr. Ulrich Kelber als auch der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI BW) Dr. Stefan Brink noch am Freitag eine erste Pressemitteilung (PM) herausgegeben (Hier geht’s zur PM des BfDI, hier geht’s zur PM des LfDI BW). Die folgende Zusammenfassung des Sachstands spiegelt diese Informationen wider, stellt jedoch keine abschließende Empfehlung dar.
Der Immunisierungsstatus ist ein Gesundheitsdatum
Da Beschäftigte höchstpersönliche Gesundheitsdaten im Arbeitsverhältnis auch dann regelmäßig nicht offenbaren müssen, wenn diese für die Fortsetzung des Arbeitsverhältnisses entscheidend sind, würde der Gesetzgeber mit den geplanten Regelungen zur Eindämmung der steigenden Infektionszahlen einen großen Schritt gehen. Hierbei sind indes immer auch die Grenzen des geltenden Datenschutzrechtes, insbesondere der DSGVO, des BDSG und des LDSG als auch im kirchlichen Bereich des KDG, der KDG-DVO und des DSG-EKD, genauso wie das Grundrecht auf informationelle Selbstbestimmung aus Art. 1 und 2 GG des nationalen Verfassungsrechts zu beachten.
Hierzu hat der BfDI Prof. Dr. Ulrich Kelber in seiner Pressemitteilung vom Freitagnachmittag bereits erklärt, dass die Vorarbeiten der Bundesregierung für den Deutschen Bundestag an einigen Stellen fehlerhaft seien und auf datenschutzfreundliche Regelungen verzichten würden. Er erklärt weiter, die Folge sei „ein unnötiges Risiko datenschutzrechtlicher Fehler“.
Die Grundsätze des Datenschutzrechtes bilden die Leitplanken bei der Verarbeitung des Immunisierungsstatus der Beschäftigten
Grundsätzlich ist auch im Kontext der Pandemie eine Verarbeitung der Gesundheitsdaten von Beschäftigten nur soweit zulässig, als diese zur Erreichung eines in einem Parlamentsgesetz festgelegten Zwecks geeignet, erforderlich und angemessen ist. Auch in diesem Fall sind die datenschutzrechtlichen Grundsätze der Verhältnismäßigkeit und der Datenminimierung zu wahren.
Für das Erreichen des Gesetzeszwecks muss es daher gerade auf das Wissen der Arbeitgeberseite um den Immunisierungsstatus der jeweiligen Beschäftigten ankommen. Diese, u.a. vom LfDI Dr. Stefan Brink in seiner Pressemitteilung geforderte Bindung an den Zweck kann vorliegend als gegeben betrachtet werden, da eine 3G-Pflicht am Arbeitsplatz ganz konkret nach dem Vorliegen eines „G“ (geimpft, genesen, getestet) fragt und den Zutritt zum Arbeitsplatz von dessen Nachweis abhängig machen würde.
Verarbeitung der konkreten Art der Immunisierung oder nur des Vorliegens einer Immunisierung?
Während der LfDI BW mit Bezug auf den Grundsatz der Datenminimierung davon ausgeht, dass es genüge abzufragen, „ob“ bei den Beschäftigtenzum Abfragezeitpunkt eine Immunisierung gegen das Coronavirus vorliege, es jedoch nicht erforderlich sei zu wissen, ob diese Immunisierung auf einer Impfung oder einer Genesung beruhe, geht das Bayerische Landesamt für Datenschutzaufsicht im Kontext davon aus, dass bei der geforderten Überprüfung des „G‑Status“ gespeichert werden dürfe, „wenn der betriebliche Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung“ stehe, und neben dem „ob“ des Vorleigens des Test- oder Serostatus auch verarbeitet werden können welches „G“ erfüllt wurde (hier geht’s zur FAQ-Sammlung des BayLDA).
Hier wies die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bereits in ihrem Beschluss vom 19.10.2021 darauf hin, dass Arbeitgeberinnen und Arbeitgeber den Immunisierungsstatus ihrer Beschäftigten nur soweit verarbeiten dürfen, wie dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben ist (hier geht’s zum Beschluss der DSK).
In seiner Pressemitteilung vom Freitag hat der BfDI nun ausgeführt, dass es in den meisten Fällen ausreiche „den Arbeitgeberinnen und Arbeitgebern überhaupt eine Kontrolle zu ermöglichen“.
RECHTSSICHERE LÖSUNG
Für eine rechtssichere Lösung kann auf eine Erfassung, welche Immunisierung vorliegt, verzichtet werden und stattdessen nur durch ein ‚Abhaken‘ hinter dem Namen der Beschäftigten die Kontrolle des Impf‑, Sero- oder Teststatus erfasst werden.
ALTERNATIVE LÖSUNG
Entlang der Auffassung des BayLDA kann vertreten werden, dass es für Impf- und Genesenen-Nachweise genügen wird, diese einmalig zu kontrolliert und das diese Kontrolle soweit auch dokumentiert werden dürfe. Auch die Verarbeitung der Dauer der Gültigkeit des Genesenennachweises erscheint über diese Argumentation schlüssig, da bei gegebener zeitlicher Begrenzung der Gültigkeit eine im wörtlichen Sinne „einmalige“ Kontrolle der Zweckerreichung der zu erwartenden Regelung im Wege stehen würde.
Wie ist der Nachweis der 3G-Kontrolle zu speichern?
Wenn und soweit eine Speicherung des Immunisierungsstatus erfolgt, gehen die Datenschutzaufsichtsbehörden völlig übereinstimmend davon aus, dass eine Speicherung des Kontrollergebnisses in der Personalakte der Beschäftigten wegen der eigenständigen und vorübergehenden infektionsschutzrechtlichen Zweckbestimmung nicht erforderlich und damit nicht zulässig sei und gesondert erfolgen müsse. Hintergrund ist hier unter anderem, dass anderenfalls die konkrete Gefahr einer späteren Benachteiligung Genesener gegenüber Geimpften, etwa bei der Entscheidung über die Eingehung oder Verlängerung eines Arbeitsverhältnisses, entstehen könnte, weil die Arbeitgeberseite möglicherweise langfristige Folgen einer Erkrankung an Covid-19 („Long Covid“) befürchtet oder andere Vorbehalte gegenüber Genesenen haben könnte.
Auch dürfe lediglich der konkret nachgewiesene Status gespeichert, jedoch nicht das Nachweisdokument eingescannt oder kopiert werden.
Wie lange dürfen die Informationen über eine Immunisierung gespeichert werden?
Im Sinne der Speicherbegrenzung und des Erforderlichkeitsgrundsatzes ist die Information über eine Immunisierung zu löschen, wenn sie für die Erreichung des zulässigen Zwecks nicht mehr zwingend benötigt wird. So weist der LfDI BW darauf hin, dass eine Speicherung dieser Angaben keineswegs zwingend erforderlich sei, „soweit beispielsweise der Zugang zu gewissen Räumlichkeiten von einer nachgewiesenen Immunisierung abhängig gemacht wird“.
In diesem Sinne hat auch der BfDI in seiner Pressemitteilung vom Freitag argumentiert, dass es ausreiche, „3G-Daten der Beschäftigten für eine Zutrittskontrolle zu prüfen und diese dann nach Zutritt oder am Ende des jeweiligen Tages zu löschen“. Für die regelmäßige Dokumentation, ob die Zutrittsvoraussetzungen eingehalten werden, reiche es aus, wenn Arbeitgeberinnen und Arbeitgeber nachprüfbare Prozesse etabliert hätten, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft werde. Ausdrücklich betont er, dass die personengenaue Speicherung sensibler Gesundheitsdaten dafür nicht erforderlich sei.
Hierzu vertritt auch der BayLDA die Ansicht, dass personenbezogene Daten aus den erforderlichen Kontrollen zu löschen oder zu vernichten seien, sobald diese nicht mehr zur Überprüfung der Zugangsvoraussetzungen und zur Erfüllung vgesetzlicher Dokumentationspflichten nach § 28b IfSG erforderlich seien.
RECHTSSICHE LÖSUNG
Nach Auffassung des BfDI Prof. Dr. Ulrich Kelber genüge für die Zutrittskontrolle ein ‚Abhaken‘, eine Speicherung weiterreichender besonderer Kategorien personenbezogener Daten wäre damit nicht erforderlich und in der Folge auch nicht zulässig.
ALTERNATIVE LÖSUNG
Wenn und soweit Impf- und Genesenenstatus sowie dessen Gültigkeitsdauern gespeichert werden, sind diese zu löschen, sobald eine Überprüfung durch den Arbeitgeber nicht mehr gefordert ist. Konkret sind die personenbezogenen Daten zum „3G-Status“ gem. § 28b Abs. 3 S. 8 IfSG spätestens am Ende des sechsten Monats nach ihrer Erhebung beziehungsweise zum Zeitpunkt des Wegfalls der zu Grunde liegenden Rechtsgrundlage am 19.03.2022 zu löschen. Ausdrücklich weist das BayLDA auch darauf hin, dass die jeweilige Gültigkeitsdauer bei mehrmaliger Erhebung stets zu überschreiben sei und nicht fortlaufend im Sinne einer Historie gespeichert werden dürfe.
Soweit andere Rechtsgrundlagen für eine Speicherung und Verwendung zu anderen Zwecken bestehen, stützt sich die jeweilige Speicherbefugnis und Speicherdauer jeweils hierauf.
Wer darf die Immunisierungsinformationen erheben und wer darf auf diese zugreifen?
Auch hier ist der strenge Erforderlichkeitsgrundsatz des Datenschutzes (need-to-know-Prinzip) zu beachten. Nur wer die Information über den Immunisierungsstatus eines Beschäftigten nachweislich zwingend benötigt, darf auch auf diesen zugreifen. Das BayLDA führt hierzu ausdrücklich aus, dass solche Zugriffe stets nur im Rahmen eines Berechtigungskonzeptes stattfinden dürfen. Dieses Berechtigungskonzept solle im Sinne der Nachweisanforderungen ausformuliert vorliegen.
In jedem Fall erscheint es sinnvoll und erforderlich, die mit der Kontrolle beauftragen Personen erneut auf die Verpflichtung zur Verschwiegenheit und ihre frühere Verpflichtung zu dessen Einhaltung hinzuweisen und diese ggf. zu erneuern.
Weiter lässt sich aus der Pressemetteilung des BfDI lesen, dass dieser eine Schweigepflicht der kontrollierenden Personen gegenüber dem Arbeitgeber sieht, um zu verhindern, dass die Erkenntnisse zweckwidrig genutzt werden könnten.
Ausdrücklich dürfen die erforderlichen und soweit rechtmäßig bekanntgewordenen Daten gemäß § 28b Abs. 3 S.4 IfSG auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist.
Fazit
Die Regelung zur Nachweispflicht für Arbeitgeberinnen und Arbeitgeber über den Immunisierungsstaus der Beschäftigten ist seitens der Regierung offen formuliert worden. Wie und wann die Nachweispflicht erfüllt ist, lässt sich der Neufassung des Impfschutzgesetzes nicht ohne weiteres entnehmen. Basierend auf Stellungnahmen, Handreichungen und Beschlüssen diverser Aufsichtsbehörden sowie zwei aktuellen Pressemitteilungen, jeweils vom Bundesbeauftragten für Datenschutz sowie vom Landesbeauftragten für Datenschutz BW, lassen sich nun mehrere mögliche Lösungswege zeichnen. Welche davon als rechtssicher einzuordnen ist und ob dies unter den gegebenen Umständen und hinsichtlich der sensiblen Gesundheitsdaten überhaupt möglich ist, ist aktuell noch ungeklärt. Wir werden die Entwicklung auf der Seite der Aufsichtsbehörden in der kommenden Woche eng verfolgen und aktualisieren diese Beitrag, sobald sich neue oder von dieser ersten Einschätzung abweichende Tendenzen oder Festsetzungen ergeben.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]