Dabei müssen Arbeitgeber einige Regeln einhalten. Im Einzelnen:

1. Eingeschränkter und klar definierter Umfang der Datenverarbeitung

Daten wie Impfstatus, Testergebnis oder Genesenenstatus sind Gesundheitsdaten. Die Verarbeitung von Gesundheitsdaten dürfen Arbeitgeber nur in eng begrenzten Ausnahmefällen vornehmen, hier konkret zum Zweck der Zugangskontrolle.

In Übereinstimmung mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 S.1 lit. c) DSGVO ist es ausreichend, am jeweiligen Tag der Kontrolle Vor- und Nachnamen der Beschäftigten auf entsprechenden Listen „abzuhaken“, insoweit der Nachweis bzgl. des 3G-Status erfolgt ist. Im Rahmen der Kontrolle geimpfter Arbeitnehmer genügt es, den entsprechenden Nachweis einmalig zu erfassen und zu dokumentieren. Bei Genesenen ist es zusätzlich erforderlich, wenn der Genesenenstatus vor dem 19. März 2022 abläuft, nach Ablauf einmalig einen Impfnachweis oder alternativ jeden Tag einen Testnachweis vorzulegen. Insofern ist bei Genesenen zusätzlich auch die Speicherung der Gültigkeit des Genesenennachweises zulässig.

Zusätzlich gehen wir davon aus, dass Beschäftigte nach § 28b Abs. 1 S. 1 IfSG ihren 3G-Nachweis beim Arbeitgeber hinterlegen können. Daraus ergibt sich die Befugnis des Arbeitgebers, auf Grundlage einer freiwilligen Einwilligung des Beschäftigten auch eine Kopie des Nachweises zu speichern. Bitte bedenken Sie aber, dass die Anforderungen an die Freiwilligkeit einer Einwilligung aufgrund des hierarchischen Verhältnisses im Beschäftigungskontext sehr hoch sind.

Des Weiteren ist es grundsätzlich zulässig, die oben genannten Daten zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß §§ 5 und 6 Arbeitsschutzgesetz zu verarbeiten.

2. Implementierung angemessener technischer und organisatorischer Maßnahmen

Bei der Verarbeitung der 3G-Daten sind technische und organisatorische Maßnahmen zu implementieren, um eine sichere Aufbewahrung der 3G-Daten zu gewährleisten. Insbesondere ist ein Zugriffsberechtigungskonzept wichtig, um zu vermeiden, dass Unbefugte Kenntnis von den 3G-Daten erhalten. Sollten Sie Listen in Dateiform führen, dann ist sicherzustellen, dass die Vertraulichkeit der Einträge sichergestellt ist.

3. Einhaltung der datenschutzrechtlichen Informationspflichten

Arbeitnehmer müssen ihre Beschäftigen gem. Art. 13, 14 DSGVO in transparenter, verständlicher und leicht zugänglicher Form vorab über die Verarbeitung der 3G-Daten informieren.

4. Einhaltung der geltenden Löschfristen

3G-Daten sind spätestens am Ende des 6. Monats nach ihrer erstmaligen Erhebung zu löschen.

5. Bestimmung zuständiger Personen für die Durchführung der Kontrollen

Arbeitgeber können entweder Beschäftigte oder externe Dritte mit der Durchführung der Kontrollen beauftragen. Erfolgt die Beauftragung Dritter, ist zu prüfen, ob hier der Abschluss eines Auftragsverarbeitungsvertrages nötig ist.

6. Beachtung der Freiwilligkeit der Datenerhebung

Beschäftigte, die genesenen oder geimpft sind, dürfen alternativ nach eigenem Ermessen aktuelle Testnachweise im Rahmen der Zugangskontrollen vorlegen anstatt Auskunft über ihren Impf- oder Genesenenstatus zu erteilen.

7. Aufnahme in Verzeichnis der Verarbeitungstätigkeiten

Die Verarbeitung der 3G-Daten ist in das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO aufzunehmen, wenn der Arbeitgeber zum Führen des Verzeichnisses verpflichtet ist.

8. Beachtung des Grundsatzes der Datensparsamkeit

Einige Aufsichtsbehörden, z.B. das BayLDA, empfehlen zwecks Einhaltung des Grundsatzes der Datensparsamkeit die Überprüfung mittels der kostenlosen „CovPassCheck-App“ des RKI durchzuführen. Dabei erfolgt ein Scan des QR-Codes des Impf- oder Genesenenzertifikats. Die überprüfende Person erhält danach nur die Information, dass ein gültiges Zertifikat vorliegt. Sie erfährt hingegen nicht, ob es sich um ein Impf- oder Genesenenzertifikat handelt. Zwecks Verifizierung zeigt die App zudem Nachname, Vorname und das Geburtsdatum an. Eine Speicherung der genannten Daten durch die CovPassCheck-App erfolgt nicht.

Bitte bedenken Sie, dass selbst die Datenschutzaufsichtsbehörden teilweise unterschiedliche Ansichten vertreten. Hinzu kommt, dass in einigen Konstellationen besondere Regelungen gelten, z.B. für Pflegeheime. Schließlich ist § 28b IfSG eine bundesweit geltende Regelung. Einige Bundesländer haben weitere, teilweise strengere, Regelungen erlassen. Im Einzelfall sind die Maßnahmen daher noch geringfügig an die Besonderheiten Ihres Unternehmens anzupassen.