Muster zur Dokumentation der Kontrolle von 3G-Nachweisen am Arbeitsplatz
Update: 5. Dezember 2021
Seit dem 24. November 2021 sind Arbeitsgeber bundesweit nach § 28b Abs. 1 IfSG verpflichtet, sicherzustellen, dass sie selbst (!) und Beschäftigte die Arbeitsstätte nur betreten, wenn zuvor ein 3G-Nachweis erbracht wurde. Einschränkend gilt dies allerdings lediglich für die Personen, bei denen ein physischer Kontakt zum Arbeitgeber, zu anderen Beschäftigten und sonstigen Dritten (gemeint ist, dass sich mehr als eine Person in unmittelbarer Nähe befindet, eine körperliche Berührung ist nicht erforderlich) nicht ausgeschlossen werden kann (einzelne Reinigungskräfte, die nach den Betriebszeiten tätig sind, müssen daher nach unserer Auffassung keinen Nachweis erbringen; bei mehreren gleichzeitig anwesenden Reinigungskräften dürfte dies anders zu bewerten sein). Das „Homeoffice“ ist von der Pflicht zur Erhebung des 3G-Nachweises ausgenommen. Unglücklicherweise hat der Gesetzgeber versäumt, den Begriff der „Beschäftigten“ klar zu definieren. Im Arbeitsrecht wird der Begriff teilweise synonym mit dem Begriff „Arbeitnehmer“ verwendet, während er im Datenschutzrecht weiter gefasst ist und nach § 26 Abs. 8 BDSG u.a. auch Leiharbeitnehmer, Auszubildende und sogar Bewerber umfasst. Klar dürfte hier nur sein, dass „Beschäftigte“ eines anderen Arbeitgebers z.B. in von mehreren Arbeitgebern gemeinsam genutzten Arbeitsstätten (wie es z.B. bei Bürogemeinschaft etc. der Fall sein kann) oder solche, die im Rahmen eines Dienst- oder Werkvertrags in der eigenen Arbeitsstätte tätig sind, nicht unter diese Regelung fallen. Dies ist zwar misslich, allerdings dürfte es bei entsprechender Wahrung der Vertraulichkeit auch möglich sein, dass sich in solchen Fällen Arbeitgeber gegenseitig „aushelfen“.
Die Pflicht zur Kontrolle des 3G-Nachweises stellt Arbeitgeber vor diverse Herausforderungen, da einerseits eine Pflicht zur Erhebung und Dokumentation des 3G-Nachweises nach § 28b Abs. 1 IfSG besteht, andererseits aber auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) und die Transparenz der Verarbeitung gegenüber Betroffenen (Art. 13 DSGVO) zu wahren ist. Aufgrund der Sensibilität der Daten, welche als Gesundheitsdaten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DGSVO darstellen, darf die Dokumentation nur durch einen zur Verschwiegenheit verpflichtetem Personenkreis zugänglich sein und ist durch besondere Maßnahmen vor dem Zugriff unbefugter Personen zu schützen (siehe auch § 22 Abs. 2 BDSG).
Sowohl das Betreten einer Arbeitsstätte ohne erbrachten 3G-Nachweis als auch die fehlende oder unzureichende Kontrolle des 3G-Nachweises sind bußgeldbewehrt, mit einer Überprüfung dürfte insbesondere dann zu rechnen sein, wenn Infektionen von Beschäftigten und Arbeitgebern auftreten. Adressaten entsprechender Bußgelder können sowohl Beschäftigte als auch Arbeitgeber sein.
Da einerseits der Gesetzgeber den Beschäftigten freistellt, in welcher Form sie den 3G-Nachweis erbringen und andererseits § 28b Abs. 3 S. 3 IfSG im Rahmen der Erforderlichkeit eine Speicherung des jeweilig nachgewiesenen 3G-Nachweis gestattet, („Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber […] zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten.“) ist – wie so häufig im Datenschutzrecht – im Kern die Frage umstritten, welche Daten Arbeitgeber mit oder ohne Einwilligung der Beschäftigten speichern müssen bzw. dürfen.
Zwischenzeitlich haben diverse Datenschutzbehörden Hilfestellungen zur Überprüfung des 3G-Nachweises veröffentlicht, aus denen nachstehend einige wenige Aussagen aufgegriffen und auch kurz kommentiert werden:
- Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): Unter https://www.lda.bayern.de/media/veroeffentlichungen/FAQ-Sammlung_zur_Verarbeitung_von3G-3G_plus-2G.pdf (Stand: 29. November 2021) werden Fragen zur Verarbeitung von 3G/3Gplus im Beschäftigtenverhältnis beantwortet. Unter Ziffer 5. führt das BayLDA richtigerweise aus, dass ein hinterlegter Nachweis (dies könnte z.B. eine Kopie des Impfpasses oder ein Ausdruck des QR-Codes des Impfzertifikats sein) nur mit Einwilligung der Beschäftigten gespeichert werden dürfe. Die Speicherung der „3G-Daten“ (von der Hinterlegung zu unterscheiden) sei z.B. dann „erforderlich“ und damit auch ohne Einwilligung möglich, „wenn der betriebliche Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung stehen würde“. Da Testnachweise täglich zu erbringen sind, bezieht sich dies auf den Status „geimpft/genesen“, wobei hier ausreichend sein soll, zu dokumentieren, ob ein entsprechender Nachweis erbracht worden ist und wie lange dieser gültig ist. Wir halten dies grds. für einen pragmatischen Ansatz, wobei die „Erforderlichkeit“ eher die Regel als die Ausnahme sein sollte, da die reibungslosen betrieblichen Abläufe eine gewichtige Rolle spielen sollten und man sich im Übrigen auch die Frage stellen darf, ob eine tägliche Kontrolle eines ohnehin bekannten Status noch dem Grundsatz der „Datenminimierung“ folgt.
- Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW): Unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/11/Orientierungshilfe-3G_Arbeitsplatz.pdf hat der LfDI BW eine „Orientierungshilfe zu 3G am Arbeitsplatz“ (Stand: 29. November 2021) veröffentlicht. In dieser wird grds. die Frage aufgeworfen, ob eine „Vollkontrolle“ unter Berücksichtigung von Ausweisdokumenten zu erfolgen hat. Richtigerweise wird dies Gegenstand der Einzelbetrachtung sein. Da insbesondere die Überprüfung von QR-Codes ohne eine Identitätsfeststellung wenig aussagekräftig ist (QR-Codes können beliebig reproduziert und „abgegriffen“ werden), wird man dies immer dann vornehmen müssen, wenn die „Kontrollperson“ die Identität der betreffenden Beschäftigten nicht kennt. Der LfDI BW weist aus unserer Sicht zurecht darauf hin, dass die Kontrollpersonen sorgfältig auszuwählen sind. Hinsichtlich der Speicherung des jeweiligen 3G-Status scheint die Orientierungshilfe auf S. 9 die „Hinterlegung“ eines Nachweises mit der Speicherung des Status zu vermischen und kommt zu der – kritikwürdigen – Aussage, dass die Speicherung daher einer Einwilligung bedürfe.
- Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Das ULD hat am 24. November 2021 unter https://www.datenschutzzentrum.de/artikel/1383-Verarbeitung-des-Impf-,-Sero-und-Teststatus-von-Beschaeftigten-in-Bezug-auf-COVID-19.html Informationen zur „Verarbeitung des Impf-, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19“ veröffentlicht und verweist darauf, dass Beschäftigte nach Art. 13 DSGVO über die Verarbeitung zu informieren sind und hierzu auch ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erfolgen hat. Das ULD unterscheidet zwischen der Hinterlegung des 3G-Nachweises (Zustimmung erforderlich) und der Dokumentation des 3G-Status (hier scheint das ULD grds. von Erforderlichkeit auszugehen).
- Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LDI RLP): Unter https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/3g-am-arbeitsplatz-datensparsamkeit-heisst-das-gebot-der-stunde/ (Stand: 25. November 2021) kritisiert der LDI RLP, dass der Gesetzgeber keinen datensparsamen Ansatz wie z.B. den „Green Pass“ in Italien gewählt hat und mahnt zur Datensparsamkeit und fordert dazu auf, die „CovPassCheck“-App bei der Kontrolle zu nutzen.
Vor diesem Hintergrund haben wir eine Dokumentation erstellt, die folgende Inhalte hat:
- Relevanter Auszug aus § 28b IfSG (Achtung: gilt nur für „normale“ Arbeitsstätten, besondere Regelungen gelten für Pflegeheime etc.)
- Erläuterung zur Durchführung des 3G-Nachweises
- Übersicht zur Dokumentation
- Individuelle Dokumentationsbögen
- Datenschutzerklärung (durch Angaben zum Unternehmen des Arbeitgebers zu ergänzen)
- Einwilligungserklärung zur Speicherung des 3G-Nachweis und der Hinterlegung des Nachweises beim Arbeitgeber (Fassung „mit Einwilligung“)
Die Dokumentation steht in deutscher Sprache zum Download zur Verfügung und kann genutzt werden. Für einen möglichst freien Zugang haben wir die Dokumentation unter der CC BY-SA 4.0 veröffentlicht.
2021-12-05 Musterdokumentation Nachweis 3G nach § 28b IfSG – mit Einwilligung
2021-12-05 Musterdokumentation Nachweis 3G nach § 28b IfSG – ohne Einwilligung
Weitere Hinweise zur Nutzung:
- Wir halten den Ansatz des BayLDA zur Erforderlichkeit der Dokumentation des jeweiligen 3G-Nachweises für den pragmatischeren Ansatz als den des LfDI BW. Jedenfalls dann, wenn eine tägliche Kontrolle aller Beschäftigten unverhältnismäßigen Aufwand verursachen sollte, sollten Arbeitgeber auch ohne Einwilligung berechtigt sein, den Status zu dokumentieren. Wir würden sogar einen Schritt weiter gehen und vertreten, dass die Dokumentation regelmäßig erforderlich sein dürfte, um reibungslose Betriebsabläufe zu gewährleisten. Zudem wird man auch berücksichtigen müssen, dass eine tägliche Kontrolle von Beschäftigten, die den 3G-Nachweis bis zum Ablauf des 19. März 2022 (dann endet die Pflicht zur Dokumentation zum jetzigen Stand, wobei sich dies natürlich noch ändern kann) bereits erbracht haben, durch ggf. wechselnde Kontrollpersonen wenig datensparsam ist und unter Gesichtspunkten des Infektionsschutzes eine Kontaktreduzierung (jede Kontrolle stellt einen weiteren Kontakt dar) wenig hilfreich sein dürfte. Beispielsweise in Bürogebäuden dürften Schlangen vor dem Eingang oder in der Lobby eher kontraproduktiv sein, ein reines Abstellen auf den Aufwand im Rahmen der Erforderlichkeit scheint hier unangemessen. Zumindest in den Bundesländern, in denen die Datenschutzbehörden eine Einwilligung zur Speicherung des 3G-Nachweis fordern, wäre diese der sicherere, wenn auch umständlichere Weg. Da das Versagen der Einwilligung keinerlei negative Auswirkung hätte und die Speicherung durchaus im Interesse der Beschäftigten sein dürfte, sprechen aus unserer Sicht keine Gründe gegen die Wirksamkeit einer generell im Beschäftigtenverhältnis teilweise kritisch zu bewertender Einwilligung.
- Da § 28b IfSG nach dessen Abs. 7 S. 1 nur bis zum Ablauf des 19. März 2022 gilt, besteht derzeit grundsätzlich kein Erfordernis, bei der Dokumentation des 3G-Nachweises zwischen einer vollständigen Impfung und einem Genesenenstatus mit Gültigkeit bis zum 19. März 2022 zu unterscheiden, die Unterscheidung wird daher in der Dokumentation nicht gemacht. Endet die Gültigkeit des Genesenenstatus vor dem 19. März 2022, lässt die Dokumentation eines entsprechenden Ablaufdatums des 3G-Nachweis auf den Genesenenstatus schließen. Sollte, wie derzeit angedacht, auch der Geimpftenstatus nach einer bestimmten Zeit (derzeit in der Diskussion: 9 Monate) ablaufen, ist auch hier keine Differenzierung mehr erkennbar und daher auch nicht zu dokumentieren.
- Aus unserer Sicht kann die Verarbeitung auf verschiedene Erlaubnistatbestände in Artikel 9 Absatz 2 DSGVO gestützt werden, der Gesetzgeber geht davon aus, dass die relevante Öffnungsklausel Artikel 9 Absatz 2 lit. i) DSGVO ist; wir halten lit. g) oder ggf. auch h) für sachnäher, dies ist allerdings für die Anwendung durch Arbeitgeber selbst nicht entscheidend, da die konkrete Grundlage in § 28b IfSG festgelegt ist, eine dogmatische Diskussion erscheint uns hier überflüssig.
- Die Dokumentation enthält keine Vorlage für das Verarbeitungsverzeichnis; selbstverständlich ist die Durchführung der Kontrolle des 3G-Nachweises am Arbeitsplatz in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen.
- Um nachzuweisen, dass eine ordnungsgemäße Kontrolle im Sinne von § 28b IfSG umgesetzt ist, ist zu dokumentieren, wie die Zugangskontrolle zu den jeweiligen Arbeitsstätten umgesetzt wird; dies ist naturgemäß von der Arbeitsstätte abhängig (und kann bzw. muss bei verschiedenen Arbeitsstätten eines Arbeitgebers individuell geregelt werden) und nicht Teil der Dokumentation.
- Wenn die Zugangskontrolle so eingerichtet ist, dass hinreichend dokumentiert ist, wer die Kontrolle von Beschäftigten durchgeführt hat, erübrigt sich die Nennung der kontrollierenden Person und deren Unterschrift auf den Bögen der einzelnen Beschäftigten; natürlich können auch Listen in Dateiform geführt werden, dann müssen Vertraulichkeit und insbesondere Nachvollziehbarkeit der Einträge sichergestellt werden.
- Aus unserer Sicht ist es für die Dokumentation durchaus relevant, welche Form des Tests angewendet wird (Test unter Aufsicht vor Ort oder Testzertifikat), da Beschäftigte selbst nur für Tests mit anerkanntem Zertifikat einen Nachweis führen können, ansonsten ist zu dokumentieren, dass man als Arbeitgeber den eigenen Pflichten nachgekommen ist; wird keine Testung unter Aufsicht angeboten (dazu ist der Arbeitgeber nicht verpflichtet), erübrigt sich die Differenzierung in der Dokumentation; auf diesen Aspekt wird in den o.g. Hinweisen der Datenschutzbehörden nicht explizit eingegangen, es steht allerdings zu befürchten, dass die Datenschutzbehörden es nur als erforderlich ansehen, dass ein Test erfolgt ist.
- Je nach Umfang der Verarbeitung kann im Einzelfall eine Datenschutz-Folgenabschätzung nach Artikel 35 DGSVO erforderlich sein, diese ist in der Dokumentation nicht enthalten.
- Aspekte der betrieblichen Mitbestimmung sind nicht berücksichtigt und individuell zu prüfen.
- Die Erforderlichkeit der Nutzung der erhobenen (personenbezogenen!) Daten zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes ist individuell zu prüfen und sollte nicht „leichtfertig“ erfolgen.
Bitte beachten: Bei § 28b IfSG handelt es sich um eine bundesweit geltende Regelung, dies schließt allerdings nicht aus, dass die Bundesländer noch weitere Regelungen erlassen, die zu berücksichtigen sind. Wir weisen zudem darauf hin, dass die Dokumentation nicht alle möglichen Fälle berücksichtigt und im Einzelfall an die Organisation des jeweiligen Arbeitgebers anzupassen ist. Sie ist mit bestem Wissen und Gewissen erstellt worden, stellt aber keine Beratungsleistung dar, da diese immer den individuellen Sachverhalt berücksichtigen muss. Wir bemühen uns, die Dokumentation laufend anzupassen, können dies aber nicht gewährleisten. Für weitere Fragen stehen wir natürlich gerne zur Verfügung.
Weitergehende Informationen zum betrieblichen Infektionsschutz werden vom Bundesministerium für Arbeit und Soziales unter https://www.bmas.de/DE/Corona/Fragen-und-Antworten/Fragen-und-Antworten-ASVO/faq-corona-asvo.html bereitgestellt.
Autor des Artikels und Ihr Ansprechpartner rund um das Thema: Gerhard Deiters