Kontrolle von Arbeitnehmern nach dem Infektionsschutzgesetz DSGVO-seitig umsetzen (November 2021)

Das am letzten Freitag (19.11.2021) im Bundesrat beschlossene Infektionsschutzgesetz hat auch Auswirkungen auf den Datenschutz und die DSGVO-Umsetzung. Der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber kritisierte die mangelnden Vorgaben zur datenschutzfreundlichen Ausgestaltung des Gesetzes. Daher hier ein paar Tipps, wie Sie es umsetzen können.

Nach diesem angepassten Gesetz sind alle Arbeitgeber ab dem 24.11.2021 verpflichtet, den Zutritt von Arbeitnehmern zum Betrieb nach der 3G-Regel zu kontrollieren. Somit müssen Sie jeden Tag bei Ihren Mitarbeitern deren Impf-, Genesenen- oder tagesaktuellen Teststatus erfragen und diese Personen dürfen nur bei Zutreffen eines „G“ den Betrieb betreten.

Datenschutzrechtlich verarbeiten Sie somit Gesundheitsdaten, die innerhalb der DSGVO einen besonderen Schutz genießen, wenn Sie bei der Kontrolle den Namen und die Art des Nachweises speichern.

Datenschutzfreundliche Umsetzung

Es gibt unterschiedliche Wege, wie Sie dieses datenschutzfreundlich umsetzen können. Anbei ein paar Empfehlungen und Tipps.

1. Bieten Sie Ihren Mitarbeitern Homeoffice an, das ist die datenschutzfreundlichste Lösung und natürlich auch der beste Beitrag zur Eindämmung des Infektionsgeschehens.
2. Wenn Sie den Zutritt zu Ihren Geschäftsräumen kontrollieren, stellen Sie sicher, dass die kontrollierenden Personen eine Vertraulichkeitsvereinbarung unterschrieben haben. Empfehlung: Grenzen Sie den Kreis der kontrollierenden Personen ein.
3. Dokumentieren Sie täglich schriftlich, welche Personen den Betrieb betreten haben und wirklich nur ob diese erfolgreich kontrolliert wurden.
   Anmerkung: Aus nicht-anwaltlicher Sicht scheint dieses Vorgehen das datenschutzfreundlichste zu sein, solange Sie zum Namen nicht erfassen, ob die Person sich als geimpft, genesen oder getestet „ausgewiesen“ hat, sondern nur dass sie kontrolliert wurde und somit eines der drei Kriterien zugetroffen hat. Die Art des Nachweises vom Mitarbeiter spielt für die gesetzliche Verpflichtung (nach bisherigem Kenntnisstand) keine Rolle. Dokumentieren Sie Ihr Verfahren in Form einer Prozessbeschreibung.

Anmerkung: Wenn Ihr Unternehmen in Gesundheitswesen, Altenpflege oder Schule / Kita tätig ist, gelten erweiterte Dokumentationspflichten.

Speicherung des Genesenen- / Impfstatus

Im Rahmen einer pragmatischen Umsetzung kommt nun recht schnell der Wunsch auf, dass einige Mitarbeiter gerne freiwillig ihren Impf- oder Genesenenstatus beim Arbeitgeber speichern möchten, um sich nicht jeden Morgen neu kontrollieren lassen zu müssen.

Diese Speicherung von Gesundheitsdaten erfordert einige zusätzliche Maßnahmen.

1. Sie benötigen eine DSGVO-konforme Einwilligung des Mitarbeiters. 
2. Umsetzung zusätzlicher Schutzmaßnahmen, die bei der Verarbeitung von Gesundheitsdaten nach §22 BDSG neu, notwendig werden:
   1. technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt,
   2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
   3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
   4. Benennung einer oder eines Datenschutzbeauftragten,
   5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
   6. Pseudonymisierung personenbezogener Daten,
   7. Verschlüsselung personenbezogener Daten,
   8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
   9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
   10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der DSGVO sicherstellen.

Bedenken Sie bitte auch, dass die gesetzliche Verpflichtung zur Prüfung des Impf- / Genesenenstatus bisher wohl nur bis zum 19. März 2022 gilt. Sofern keine Verlängerung dieses Zeitraums oder anderweitige gesetzliche Anpassungen verabschiedet werden, müssen die Daten nach diesem Termin gelöscht werden. Bedenken Sie bitte ebenfalls, dass Sie die Daten für keine anderen Zwecke als die Zutrittskontrolle verwenden dürfen – also: arbeitsrechtliche Maßnahmen wegen z. B. einer Nicht-Impfung eines Mitarbeiters dürfen daraus nicht abgeleitet werden.

Dokumentieren Sie, wie Sie den Prozess zur Umsetzung des Infektionsschutzgesetzes bei sich im Unternehmen realisiert haben. So kommen Sie Ihren Rechenschaftspflichten nach!

Information der Mitarbeiter nach Art 13 DSGVO

Egal welchen Weg Sie wählen, sollten Sie Ihre Mitarbeiter über diese neue gesetzliche Situation informieren. Ein kurzer Newsletter oder ein Eintrag im Intranet wären sicherlich eine gute Idee. Diese Mitarbeiterinformation ergänzen Sie bitte um die üblichen Art 13-Informationen – natürlich angepasst an die neuen gesetzlichen Vorgaben. Sollten Sie bis April 2022 Neueinstellungen planen, müssen die neuen Mitarbeiter natürlich auch im Rahmen des Onboardings informiert werden.

Eine Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten ist in beiden Fällen zwingend notwendig. Bitte beachten Sie, dass Sie eine Löschung der erfassten Daten und Einwilligungen – sobald als möglich – vornehmen.