UPDATE 19.04.2022: Pressemitteilungen der Datenschutzaufsichtsbehörden zum Thema „Löschen von 3 G-Daten“:

Baden-Württemberg: Wege aus der Pandemie – zurück zur Freiheit – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Niedersachsen: Corona-Daten spätestens jetzt löschen – Virtuelles Datenschutzbüro:
„…Alle Datenverarbeitungen – wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle – waren zweckgebunden“, sagt Barbara Thiel. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen. Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen….“

UPDATE 24.03.2022:

Mit der letzten Änderung des Infektionsschutzgesetzes (IfSG) am 20.03.2022 haben nur noch „medizinische“ Arbeitgeber das Recht 3-G-Kontrollen bei ihren Mitarbeitern duchzuführen und entsprechende Daten zu erheben.

Alle nichtmedizinischen Arbeitgeber haben keine Verpflichtung und vor allem auch keine Rechtsgrundlage mehr, 3 G-Kontrollen bei ihren Beschäftigten durchzuführen.

Alle erhobenen 3-G-Kontrolldaten müssen vom Arbeitgeber nach Wegfall des Zweckes der Datenerhebung unwiderbringlich gelöscht bzw. vernichtet werden. Einige Landesverordnungen sahen ggf. eine Löschpflicht spätestens nach 6 Monaten nach Datenerhebung vor.

Pressemitteilung der Aufsichtsbehörde NRW:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/3G-Nachweis-und-Kontaktdaten-_-einfach-zerreissen-reicht-nicht_/Presseinformation—3G-Nachweis-und-Kontaktdaten-_-einfach-zerreissen-reicht-nicht_.pdf

Aktuelle FAQ des BMAS (Bundeministerium für Arbeit und Soziales):
https://www.bmas.de/DE/Corona/Fragen-und-Antworten/Fragen-und-Antworten-ASVO/faq-corona-asvo.html

********************************************************************************

Ursprünglicher Artikel:

Viele Arbeitgeber stehen gerade vor der Herausforderung 3 G am Arbeitsplatz praktisch umzusetzen. Die sich ständig ändernde Infektionsschutz- und Corona Gesetzes- und Verordnungsfülle ist dabei nicht so einfach zu durchblicken. Auch wenn das BMAS (Bundeministerium für Arbeit und Soziales) eine begrüßenswerte FAQ-Seite eingerichtet hat, bleibt die Unsicherheit, wie der Arbeitgeber 3 G nun pragmatisch und DSGVO-konform umsetzen soll.

Wie machen es die Großen?

„Unternehmen setzen teilweise auf tägliche Tests

Bei der „Deutsche Wohnen“ führen ungeimpfte Mitarbeiterinnen und Mitarbeiter bei Präsenzarbeit täglich einen Test nach Betreten der Büroräume durch, geimpfte Beschäftigte führen zweimal wöchentlich einen Test durch, sofern sie nicht im Homeoffice arbeiten. Die gesamte Belegschaft habe inzwischen ein Impfangebot bekommen. Es sei jedoch die freie Entscheidung der Mitarbeiterinnen und Mitarbeiter, sich impfen zu lassen. „Daher planen wir derzeit weder Impfprämien noch eine Impfpflicht für das Arbeiten im Büro und setzen auf das Prinzip Testen“, so Sprecherin Laura Kruß.

Bei ThyssenKrupp gibt es seit Anfang April für die Belegschaft in Deutschland ein Angebot für kostenlose Corona-Selbsttests. Dieses Angebot werde man nun aufgrund der aktuellen Infektionslage deutlich ausweiten. Fünf Corona-Selbsttests pro Woche stehen zur Verfügung, um sicherzugehen, dass alle anwesenden Kolleginnen und Kollegen ein tagesaktuell negatives Testergebnis haben – unabhängig davon, ob die jeweilige Person bereits geimpft oder genesen ist. Dies geschehe auf Vertrauensbasis.

„Wir hoffen, mit diesem Schritt auch ein Zeichen für die Politik zu setzen: Die Zeit zu handeln, ist jetzt. Wir brauchen konsequente und einheitliche Regeln, um unsere Mitarbeitenden bestmöglich zu schützen und Arbeitsabläufe in unserem Unternehmen wieder zu normalisieren“, so Personalvorstand Oliver Burkhard. Parallel laufen die Vorbereitungen, um im Dezember mit Auffrischungsimpfungen durch den Betriebsärztlichen Dienst starten zu können. Spezielle Anreize für die Belegschaft werde man aber nicht schaffen.“ Quelle: https://www.tagesschau.de/wirtschaft/unternehmen/3g-regel-arbeitsplatz-101.html

Da im Endeffekt jeder – unabhängig seines G-Status – Überträger sein kann, würde im Sinne der Pandemie-Eindämmung 1 G augenscheinlich auch den größten Sinn machen und praktischer Weise den Datenschutz-Aufwand am kleinsten halten. Der Gesetzgeber verfolgt dennoch verpflichtend 3 G am Arbeitsplatz und das wirft in der praktischen Umsetzung einige Fragen auf, die die Umsetzungs-Herausforderungen nicht kleiner machen.

Was ist bei 3 G am Arbeitsplatz zu tun und worauf ist aus Datenschutzsicht zu achten?

Tägliche Prüfpflicht des Arbeitgebers beschränkt sich auf das Vorliegen EINES 3 G-Status (gilt nicht für Unternehmen, die den Impfstatus abfragen dürfen)
1. Dafür ist lediglich der Name eines Mitarbeiters erforderlich und, dass er einen gültigen Nachweis vorgelegt hat (z.B. durch einen Haken in einer Liste nach Sichtkontrolle oder auch automatisiertes Zugangssystem, wenn dabei lediglich der konkret nachgewiesene Status gespeichert jedoch nicht das Nachweisdokument eingescannt oder kopiert werden.)
2. Die Kontroll-Dokumentation darf für Unbefugte, z.B. andere Mitarbeiter, nicht einsehbar sein.
  1. Es sollte nur ein kleiner Kreis an kontrollbefugten Personen bestimmt werden => geeignete Beschäftigte wären z.B. Mitarbeiter aus der Personalabteilung oder dafür beauftragte Dritte. Weniger geeignet wären direkte Fachvorgesetzte. Die „Geeignetheit“ und die damit verbundene Verhältnismäßigkeit ergibt sich auch aus der Größe des Unternehmens.
Der Beschäftigte ist als einziger verpflichtet, seinen Nachweis bei sich zu führen. Grund: Stichprobenkontrollen durch Behörden. Der Arbeitgeber hat keine Pflicht diese Nachweise zu „speichern“.
Auch ein Geimpfter oder Genesener muss seinen Status nicht preisgeben, er kann sich stattdessen auch für die Testvariante entscheiden.
Macht es in der Praxis Sinn, dass geimpfte und genesene Mitarbeiter ihren Nachweis freiwillig und ausdrücklich eingewilligt beim Arbeitgeber hinterlegen?
1. Das kommt auf das Unternehmen an. Es sollte geprüft werden, welcher Aufwand für das Unternehmen damit verbunden ist und ob der Aufwand im Verhältnis zur Zielerreichung im Sinne des Infektionsschutzes („Ausbrüche im Betrieb vorbeugen“) sowie in einer unternehmensindividuellen, erforderlichen effizienten Zugangskontrolle steht.
  1. In jedem Fall muss sichergestellt sein, dass die Nachweise
    1. außerhalb der Personalakte aufbewahrt werden müssen.
    2. als besonders sensible Daten hohen Schutzmaßnahmen erfordern.
    3. irgendwann ablaufen und damit ungültig werden.
  2. Mit einer freiwilligen Hinterlegung der Nachweise soll sich – für die Gültigkeitsdauer des Nachweises – die Kontrollpflicht aufheben. Damit ergeben sich jedoch neue Fragen:
    1. Wie sollen die Mitarbeiter bei der Zugangskontrolle erkannt werden, damit sie nicht kontrolliert werden müssen?
      1. Wie kann die „Erkennung“ ohne Kennzeichnung erfolgen damit eine Stigmatisierung einzelner Beschäftigter oder Beschäftigtengruppen verhindert wird?
    2. Welchen Aufwand bzgl. Ablauf-Kontrollen der hinterlegten Nachweise muss seitens des Unternehmens betrieben werden?
    3. Welcher Aufwand muss betrieben werden, um entsprechnde Schutzmaßnahmen zu implementieren, die sicherhstellen, dass diese Gesundheitszertifikate nur befugten Personen zugänglich sind und bleiben inkl. der Nachweis-Löschung nach Ungültigkeit bzw. nach Beendigung dieser gesetzlichen Kontrollmaßnahme?

Empfehlungen und kostenlose Mustervorlagen für die datenschutzkonforme Umsetzung von 3 G am Arbeitsplatz

Wir haben uns heute wirklich „gequält“, um 3 G mal in die Datenschutz-Praxis umzusetzen. Wir hatten dabei Unternehmen und Organisationen vor Augen, die die Impfstati und Titer nicht abfragen dürfen, also nicht im medizinischen Bereich tätig sind und auch sonst i.d.R. nicht unter das IfSG fallen. Also Unternehmen und Organisationen aus Handel, Vertrieb, Verbänden, Produktion, Logistik, Dienstleistung etc.

Hier nun unser Ergebnis, dass wir Ihnen gerne als Orientierung zur Verfügung stellen:

1. 1. Dokumentieren Sie die 3 G-Umsetzung als Verarbeitung in Ihrem Verarbeitungsverzeichnis.
  2. Verfassen Sie einen Prozessablauf, wie Sie Ihren 3 G-Pflichten in Ihrem Unternehmen nachkommen => auch das können Sie Behörden als Umsetzungsnachweis vorlegen.
    1. So könnte eine Prozessdokumentation aussehen Word-Muster-Vorlage zum individuellen Anpassen
  3. Informieren Sie Ihre Mitarbeiter darüber:
    1. wie die Kontrollen bei Ihnen ablaufen
    2. welche Maßnahmen Sie getroffen haben, dass Unbefugten diese Daten nicht offenbart werden können
    3. und wie lange Sie diese Daten aufbewahren.
    4. So könnte eine Mitarbeiter-Information aussehen Word-Muster-Vorlage zum individuellen Anpassen

Bitte beachten Sie bei den Mustern, dass Sie diese auf Ihr Unternehmen und Ihre tatsächlichen Prozesse anpassen müssen. Sie müssen nicht die tabellarische Form wählen. Es handelt sich hierbei lediglich um Anregungen, wie man es machen kann. Wir hoffen, dass wir Ihnen mit unserer Vorabeit eine entsprechende Orientierung geben können und Ihnen damit die schon schweren Zeiten etwas erleichtern können.

Informations-Quellen, die wir genutzt haben:

BMAS – Betrieblicher Infektionsschutz

https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2021/16_3G-am-Arbeitsplatz.html

https://www.datenschutz-bayern.de/datenschutzreform2018/aki38.html?s=03

FAQ Bayern

https://mb-datenschutz.de/2021/11/3-g-am-arbeitsplatz-richtig-umsetzen/

UPDATE 10.12.2021:

Thüringen hat FAQs und eine Formular-Muster für G-Status-Hinterlegung veröffentlicht: https://www.tlfdi.de/aktuelles/faq-zur-verarbeitung-von-beschaeftigtendaten-im-zusammenhang-mit-der-corona-pandemie-nach-den-aktuellen-rechtsvorschriften/ Update 14.12.2021: Da die Seite der Thüringer Behörde aktuell nicht erreichbar ist, hier alternativ zum FAQ-Dokument: https://www.docdroid.net/M4dh0xY/211209-faq-tlfdi-pdf#page=2 UPDATE 12.01.2022 https://www.datenschutz-berlin.de/infothek-und-service/themen-a-bis-z/impfzertifikat