DATENSCHUTZRECHTLICHES ZU CORONA-TESTS

 

Das LfDI-BW veröffentlichte eine Orientierungshilfe zum datenschutzrechtlichen Umgang mit Corona-Tests von Beschäftigten. Zwar gibt es noch keine durchgehend verpflichtende Testpflicht für Arbeitnehmer, aber trotzdem müssen Unternehmen die Tests anbieten.

 

Der Arbeitgeber ist gesetzlich nicht verpflichtet zu dokumentieren, ob ein Beschäftigter das Testangebot angenommen hat bzw. einen Test durchgeführt hat oder nicht. Eine Verarbeitung personenbezogener Daten von Beschäftigten durch den Arbeitgeber im Zusammenhang mit der Durchführung von Corona-Tests durch Beschäftigte ist daher gesetzlich nicht zwingend vorgesehen.

 

Mangels einer arbeitgeberseitigen Dokumentations-/Nachweispflicht, dass der einzelne Beschäftigte einen Test durchgeführt oder ein angebotenes Test-Kit angenommen hat, ist der Arbeitgeber datenschutzrechtlich nicht nach Art. 6 Abs. 1 Buchst. c DS-GVO berechtigt, die Beschäftigten danach zu fragen bzw. dies in personenbezogen zu dokumentieren. Aufgrund der Grundentscheidung des Gesetzgebers zum freiwilligen Charakter der Tests besteht für den Arbeitgeber auch keine andere datenschutzrechtliche Rechtsgrundlage,  abgesehen von der Einwilligung des Betroffenen, die es ihm erlauben würde zu über-prüfen oder zu dokumentieren, ob ein Beschäftigter das Testangebot angenommen hat.

 

Um nachzuweisen, dass er seiner gesetzlichen Pflicht zur Unterbreitung der Testangebote nachgekommen ist, ist der Arbeitgeber somit keinesfalls verpflichtet zu dokumentieren, welche Beschäftigten die Testangebote angenommen haben.

 

Dies wäre nur mit Einwilligung zulässig, wobei an deren Freiwilligkeit und damit daten-schutzrechtlicher Wirksamkeit aufgrund des Ungleichgewichts im Beschäftigungsverhältnis erhebliche Zweifel bestünden.

 

 

Soweit ein Schnelltest positiv ausfällt, ergeben sich die weiteren Schritte für Betroffene grundsätzlich aus der Bekanntmachung zur Isolation vom 14.04.2021. Insbesondere ist danach ein positives Schnelltestergebnis mittels PCR-Test zu bestätigen und die Person hat sich vorsorglich in Isolation zu begeben.

 

Eine Pflicht des Beschäftigten zur Mitteilung des positiven Schnelltestergebnisses an den Arbeitgeber besteht insoweit nach Aussage des Bundesministeriums für Arbeit und Soziales nicht. Eine solche Mitteilung wäre somit immer freiwillig. Datenschutzrechtlich bedeutet dies, dass der Arbeitgeber in aller Regel wohl auch nicht aufgrund der arbeitsvertraglichen Treuepflicht einen Anspruch gegen den Beschäftigten auf die Offenbarung eines positiven Testergebnisses hat.

 

Unabhängig davon verbleibt es bei der aus der allgemeinen arbeitsrechtlichen Treue-pflicht des Beschäftigten abzuleitenden Verpflichtung, bei Symptomen einer Covid-19-Infektion, ebenso wie bei anderen ansteckenden Infektionskrankheiten, der Arbeit fern zu bleiben und diesen Befund zur Vermeidung von Infektionsrisiken abklären zu lassen.

 

 

Manch Arbeitgeber möge mit Blick auf den Gedanken des Schutzes anderer Beschäftigter und der Arbeitsabläufe im Unternehmen erwägen an Beschäftigte heranzutreten, um von ihnen über positive Testergebnisse informiert zu werden. Da datenschutzrechtlich jedoch, wie erläutert, einzig die Einwilligung als Rechtsgrundlage für Erhebung und Verarbeitung dieser Information in Betracht kommt, dürfen Arbeitgeber Beschäftigte nur dann nach positiven Testergebnissen fragen, wenn sie verdeutlichen, dass Rechtsgrundlage für die Datenerhebung die Einwilligung (Art. 6 Abs. 1 Buchst. a i.V.m. Art. 9 Abs. 2 Buchst. a DS-GVO, § 26 Abs. 2, Abs. 3 Satz 2 BDSG) ist.

 

Der Arbeitgeber muss daher deutlich darauf hinweisen, dass die Beantwortung dieser Frage freiwillig ist und dem Beschäftigten keinerlei Nachteile erwachsen, insofern die Frage nicht beantwortet wird.

 

Wenn der Test nicht zu Hause, sondern am Arbeitsplatz durchgeführt wird, kann sich u. U. eine Kenntnisnahme durch andere Personen (Arbeitskollegen) nicht vermeiden lassen.

 

 

 

KONTAKTNACHVERFOLGUNG IN ZEITEN DER CORONA-PANDEMIE

 

Verschiedene Unternehmen bieten digitale Lösungen zur Verarbeitung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern an.

 

Die App „luca“ des Unternehmens culture4life GmbH, hat dabei besonderes mediales Interesse erfahren. Culture4life hat bei mehreren Aufsichtsbehörden um ein datenschutz-rechtliches Votum zu der Lösung ersucht.

 

 

GESETZLICHE REGELUNGEN FEHLEN ZUR DIGITALEN KONTAKNACHVERFOLUNG

Die Digitalisierung der Kontaktnachverfolgung erlaubt nicht nur, die Arbeit der Gesundheitsämter effizienter zu gestalten und es Veranstaltern zu erleichtern ihren Dokumentationspflichten nachzukommen. Sie kann auch im Hinblick auf den Datenschutz zu positiven Effekten führen.

 

Eine digitale Erhebung und Speicherung, kann bei entsprechender technischer Ausgestaltung, durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen, besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten.

 

Ideal ist, wenn die Daten auf eine Weise Ende-zu-Ende verschlüsselt werden, dass auch der Betreiber des Kontaktnachverfolg-ungssystems diese nicht lesen kann. Ein gutes Kontaktnachverfolgungssystem stellt darüber hinaus automatisiert die fristgemäße und datenschutzkonforme Datenlöschung sicher. Ein weiterer Vorteil wird erzielt, wenn das System seinen Nutzern beziehungsweise den Veranstaltern einen Weg zur sicheren Übermittlung von Daten zur Verfügung stellt, sobald das Gesundheitsamt die Daten zur Kontaktnachverfolgung benötigt.

 

 

Ebenso  gilt, wie bei der papiergebundenen Erhebung, die im Infektionsschutzgesetz fest-gelegte strenge Zweckbindung, wonach eine Nutzung der Kontakt- und Anwesenheitsdaten zu anderen Zwecken als der Kontaktnachverfolgung untersagt ist, welches von den Systembetreibern durch technische und organisatorische Maßnahmen abgesichert werden muss.

 

Die culture4life GmbH (Luca) hat nach derzeitiger Kenntnis die zuvor genannten Vorteile realisiert und bisher identifizierte Risiken teilweise behandelt. Die DSK fordert das Unternehmen dennoch auf, weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen.

 

Der derzeitigen Ausgestaltung des Luca-Systems zufolge, werden die in dem Kontaktnachverfolgungssystem gesammelten Daten an einer zentralen Stelle gespeichert. Es wird dort also eine große Zahl von Informationen über die Anwesenheit verschiedenster Art und über ihre Teilnahme an Veranstaltungen unterschiedlichster Natur vorgehal-ten. Die unbefugte Einsicht in diesen großen Datenbestand, kann je nach Umfang zu einer schweren Beeinträchtigung für Einzelne und das Gemeinwesen führen.

 

Aufgrund dieses Risikos wird mit dem Betreiber des Luca-Systems erörtert, inwieweit mit einer dezentralen Speicherung den fachlichen Belangen der Pandemiebekämpfung und den gesetzlichen Vorgaben in gleichem Umfang und mit gleicher Effizienz nachgekommen werden kann.

 

 

PANDEMIE VS. DATENSCHUTZ

 

Seit zwei Jahr befindet sich Deutschland im Kampf gegen das Coronavirus. Der Alltag wurde hart eingeschränkt, Homeoffice bei vielen Unternehmen eingeführt und die Kontaktnachverfolgung wurde zum obersten Gebot ausgerufen, um Gesundheits-einrichtungen und Risikogruppen zu schützen. Auch führte uns die Pandemie vor Augen, dass wir vor allem beim Thema Digitalisierung stark nachrüsten müssen, um im europäischen Durchschnitt überhaupt mithalten zu können. Mit der Corona-Warn-App und der Luca App steuerte man zumindest funktionierende Ideen zur digitalisierten Kontaktnachverfolgung bei.

 

Viele Dinge funktionierten nur schleppend und nicht in dem Tempo, welches sich der Großteil wünscht. Datenschutz würde die Bekämpfung der Pandemie blockieren. Doch in Wirklichkeit erlaubt gerade das Datenschutzrecht die Datenverarbeitung zur Pandemiebekämpfung. Lebenswichtigen Interessen stehen in der Pandemie an erste Stelle oder sollten es zumindest. Auch die DS-GVO sieht das so. Als ein Beispiel für ein solches Interesse, nennt die DS-GVO ausdrücklich die Überwachung von Epidemien.

 

Datenschutzaufsichtsbehörden und Datenschützer haben in dieser Sondersituation, in zahlreichen Fällen, die notwendige Flexibilität gezeigt, um Leben zu retten.

 

 

Der Zwang bei Besuchen der Gastronomie oder Kunst- und Kulturstätten seine privaten Kontaktdaten angeben zu müssen widerspricht der eigenen informationellen Selbstbestimmung und wurde dennoch zur Kontaktnachverfolgung praktiziert und von Datenschützern konstruktiv begleitet. Auch die Entwicklung von Apps, welche den Papierwahn ersetzen sollen, wird von Datenschützern unterstützt. Auch werden hier oft Augen zugedrückt, um die Digitalisierung nicht auszubremsen.

 

Die Zielsetzung der Corona-Warn-App entstammt nicht dem Datenschutz, sondern dem Wunsch der Gesundheitspolitik, neben den bestehenden Mitteln der Gesundheitsämter ein zusätzliches Instrument zu etablieren, um Infektionen zu bekämpfen. In Deutschland hat der dezentrale Ansatz, der die Identifikationsdaten des Infizierten nicht preisgibt, Vertrauen erzeugt. Er hat zumindest dazu geführt, dass etwa 27 Millionen Menschen die App nutzen und über 300.000 Infizierte ihre Kontaktpersonen gewarnt und damit viele weitere Infektionen vermieden haben. Die Datenschutzaufsichtsbehörden unterstützen auch eine weitere Ausweitung der Funktionen.

 

 

KONTAKTNACHVERFOLGUNG MIT LUCA

 

Die Corona-Pandemie auch den Gesetzgeber vor die Aufgabe, die Erkennung und Unterbindung von Infektionsketten effizient und zugleich datenschutzgerecht auszugestalten. Auf Grundlage bundesrechtlicher Ermächtigungen in § 28a Abs. Nr. 17 des Infektionsschutzgesetzes (IfSG) regelt § 2 der Infektionsschutzmaßnahmenverordnung den genauen Umfang der Kontaktdatenerfassung, die je nach Pandemieentwicklung. Diese Kontaktdaten werden im Falle von Hinweisen auf erkannte Corona-Infektionen von Gesundheitsämtern im Rahmen des sog. Corona-Tracings bei den Verantwortlichen angefordert.

 

Diese Besuchs- oder Gästedaten wurden überwiegend in Papierform aufgenommen, so dass die Bearbeitung durch die Gesundheitsämter regelmäßig zeitintensiv war und die für ein erfolgreiches Corona-Tracing elementar wichtige schnelle Kontaktaufnahme mit Kontaktpersonen vielfach nicht erreicht werden konnte. Zugleich kam es zu einer Zunahme von Datenschutzbeschwerden, in denen eine missbräuchliche Verwendung oder sonstige datenschutzwidrige Behandlung der abgegebenen Adressen festgestellt wurde.

 

Zwischenzeitlich gestattet das IfSG ausdrücklich, dass Kontaktdaten auch in elektr. Form erfasst werden dürfen, soweit dabei eine hinreichend präzise Dokumentation der gesetzl. geforderten Daten sichergestellt wird. Das Produkt „Luca“ wird aufgrund seines weitreichenden Einsatzes zur Bekämpfung der Pandemie, insbesondere als Baustein in sog. Öffnungsstrategien mit Interesse verfolgt.

 

Nachdem in den Medien und sozialen Netzwerken von vermeintlichen Sicherheitslücken berichtet wurde hat sich das LfDI-BW entschieden, neben der Konzeptprüfung des Luca-Systems, die Implementierung genauer zu untersuchen. Dazu wurde zum einen das Luca-System, das mittlerweile auch als Source-Code für jeden verfügbar ist, im technischen Labor der Behörde komplett nachgebaut. Weiterhin wertete das LfDI-BW ihm auf Grundlage der Vertragsbeziehungen zwischen culture4life und der Staatsregierung bereitgestellte unternehmensinterne Dokumente zur IT-Sicherheitskonzeption, zum Kryptokonzept sowie zur Datenschutzfolgenabschätzung aus.

 

Zielsetzung ist es dabei, derzeit auch öffentlich erörterte Risiken mit einem genauen Blick auf spezifische Einsatzszenarien abzuschätzen, datenschutzrechtlich zu bewerten und ggf. zusätzlich erforderliche technische und organisatorische Maßnahmen zu ermitteln. Das LfDI-BW stuft insbesondere die durchgängige Verschlüsselung der Kontaktdaten als wichtiges Merkmal zur Sicherstellung eines erforderlichen Schutzniveaus ein. Bislang bekannt gewordene Nachbesserungserfordernisse, die noch nicht bereits abgestellt wurden, werden von Luca im Rahmen eines den Datenschutzaufsichtsbehörden vorgestellten Arbeitsplans mit hohem Zeitdruck nachgebessert.

 

Bei der Bewertung des LfDI-BW wird der häufig diskutierte zentrale Architekturansatz nicht als Verstoß gegen datenschutzrechtliche Anforderungen eingeordnet. Mögliche grundsätzliche Nachteile dieses Ansatzes können insbesondere durch spezifische technische und organisatorische Maßnahmen, vor allem durch geeignetem Einsatz von kryptografischen Verfahren so ausgeglichen werden, dass ein hinreichendes, risikoadäquates Schutzniveau erreicht werden kann.

 

Die bislang in der Öffentlichkeit dargestellten Kritikpunkte sind nach derzeitiger Einschätzung des LfDI-BW entweder durch organisatorische Anpassungen beim Veranstalter, durch bessere Informationen der Luca-Nutzer sowie durch weiteren Ausbau der Cyber-Sicherheitsmaßnahmen des Anbieters auszuräumen oder werden durch die dargestellten Schritte und Maßnahmen der Nachbesserung und Fortentwicklung berücksichtigt.

 

Das LfDI-BW sieht daher im Rahmen seiner Zuständigkeiten für die Wahrnehmung der Datenschutzaufsicht, bei nicht öffentlichen Stellen, weder Anlass den Einsatz von Luca im Rahmen aufsichtlicher Maßnahmen entgegenzutreten oder von ihm abzuraten. Ziel ist es, durch weitere Hilfestellungen und Materialien den Einsatz von Luca zu ergänzen, um seinen datenschutzgerechten Einsatz im Alltag zu unterstützen.

 

 

DATENSCHUTZ BEI DER KONTAKTDATEN-ERFASSUNG UND INFEKTIONSSCHUTZ

 

Mit der Wiedereröffnung von Gastronomie, Handel und Veranstaltungsstätten und der damit verbundenen gesetzlichen Pflicht zur Kontaktdatenerfassung stehen Verantwortliche erneut vor der Aufgabe, diesen infektionsschutzrechtlichen Verpflichtungen auch datenschutzkonform nachzukommen. Verantwortliche sind hier in der Pflicht, einen wichtigen Beitrag zur Pandemiebekämpfung zu leisten und zugleich die sensiblen Daten ihrer Kunden sorgsam zu verarbeiten. 

 

 

Das Landesamt für Datenschutzaufsicht hat bereits in der Vergangenheit vielfältige Hinweise entwickelt, die die praxisgerechte Umsetzung infektions- und datenschutzrechtlicher Anforderungen unterstützen. Eine besondere Warnung gilt allen, die Kontaktdaten sorglos mit offenen Kontaktlisten auf Papier erfassen wollen und damit den Datenschutz ihrer Gäste missachten. Der unbedachte Umgang mit Kontaktdaten auf Papier war im ersten Jahr der Pandemie viel zu oft Anlass für Einzelfalluntersuchungen bis hin zu Geldbußen. Solche Verfahren sind unnötig und vermeidbar.

 

 

 

ERFRAGEN DES IMPFSTATUS

 

Ein Arbeitgeber darf seine Beschäftigten zur Durchführung des Beschäftigungsverhältnis-ses nicht nach ihrem Impfstatus bezüglich SARS-CoV-2 befragen, es sei denn es liegt einer der wenigen gesetzlich ausdrücklich geregelten Fälle vor, die den Arbeitgeber dazu berechtigen, Informationen über den Impfstatus von Beschäftigten zu verarbeiten, wie bspw. im Bereich der medizinischen Versorgung.

 

 

§ 36 Abs.3 IfSG setzt dabei die Feststellung einer epidemischen Lage von nationaler Trag-weite durch den Deutschen Bundestag nach § 5 Abs. 1 S. 1 IfSG voraus. Somit ist eine Verarbeitung von Impfdaten durch den Arbeitgeber namentlich nur für Beschäftigte von Einrichtungen nach § 23 Abs. 3 IfSG, wie z. B. Krankenhäuser, Arztpraxen und während einer festgestellten epidemischen Lage von nationaler Tragweite nach § 5 Abs.1 S.1 IfSG und soweit es zur Verhinderung der Verbreitung des Coronavirus SARS-CoV-2 erforderlich ist, für Beschäftigte, wie bspw. von Kindertageseinrichtungen, Schulen, Behinderten- und Pflegeeinrichtungen, Einrichtungen zur gemeinschaftlichen Unter-bringung von Asylbewerbern, sonstige Massenunterkünfte, Justizvollzugsanstalten und ambulanten Pflegedienste zulässig.

 

 

Regelungen des baden-württembergischen Landesrechts, die Arbeitgeber im Rahmen der Durchführung des Beschäftigungs-verhältnisses allgemein zur Prüfung oder sonstigen Erhebung des Impfstatus verpflichten würden, sind nicht ersichtlich.

 

 

Auch auf der Basis einer Einwilligung kommt eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen. Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis jedoch in der Regel nicht gegeben. Entsprechende Vorschriften begründen bisher nur eine Prüfpflicht des Arbeitgebers hinsichtlich der vorgelegten Nachweise über den Impfstatus, die ansonsten nicht besteht. Eine Befugnis zur Speicherung der vorgelegten Nachweise ist in den bislang existierenden Vorschriften dieser Art nicht geregelt und lässt sich somit daraus nicht hiervon ableiten.

 

 

Entsprechend dem jeweiligen räumlichen und sachlichen Geltungsanspruch der infektionsschutzrechtlichen Landesregelungen, kann diese beschränkte Befugnis zur Datenerhebung nur in den jeweils betroffenen Betriebsstätten und Beschäftigten-gruppen angewendet werden. Auch für die Prüfung von Entschädigungsansprüchen für Quarantänepflichtige, die auch Lohnersatzzahlungen umfassen kann, bestehen nach § 56 IfSG keine besondere Regelungen, die regelmäßig eine Datenverarbeitung begründen könnten bzw. den Arbeitgeber zur allgemeinen Erhebung des Impfstatus berechtigten.

 

 

 

VERARBEITUNGEN DES IMPFSTATUS

 

Arbeitgeber dürfen das Datum „Impfstatus“ ihrer Beschäftigten ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten, auch nicht im Rahmen der COVID-19-Pandemie.

 

 

Bei dem Datum „Impfstatus“ handelt es sich um ein Gesundheitsdatum gemäß Artikel 4 Nummer 15 DS-GVO und damit um eine besondere Kategorie personenbezogener Daten nach Art. 9 Absatz 1 DS-GVO. Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise erlaubt.

 

VERARBEITUNG DES IMPFSTATUS AUF GRUNDLAGE GESETZL. REGELUNGEN

Bestimmte im Gesetz genannte Arbeitgeber aus dem Gesundheitsbereich, wie Kranken-häuser, Arztpraxen usw. dürfen unter den in §§ 23a, 23 Absatz 3 des Infektionsschutzgesetzes genannten gesetzlichen Voraussetzungen den Impfstatus ihrer Beschäftigten verarbeiten. Bestimmte im Gesetz genannte Arbeitgeber, bspw. Trägerinnen und Träger von Kindertages-einrichtungen, ambulante Pflegedienste usw. dürfen unter den in § 36 Abs. 3 IfSG genannten Voraussetzungen den Impfstatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten.

 

Arbeitgeber dürfen den Impfstatus derjenigen Beschäftigten verarbeiten, die ihnen gegenüber einen Anspruch auf Geld-entschädigung (Lohnersatz) nach § 56 Absatz 1 IfSG geltend machen. Dessen Voraussetzungen können im Einzelfall auch im Fall einer Infektion mit COVID-19 sowie einer sich anschließenden Quarantäne vorliegen. Anspruchsvoraussetzung ist u.a., ob die Möglichkeit einer Schutzimpfung bestand.

 

 

 

VERARBEITUNG DES IMPFSTATUS MITTELS EINWILLIGUNG

Die Verarbeitung des Datums „Impfstatus“ von Beschäftigten auf der Grundlage von Einwilligungen ist nur dann möglich, wenn die Einwilligung freiwillig und damit rechts-wirksam erteilt worden ist, § 26 Absatz 3 Satz 2 und Absatz 2 BDSG. Aufgrund des zwischen Arbeitgeber und Arbeitgebern sowie ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen jedoch regelmäßig Zweifel an der Freiwilligkeit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten.

 

Im Zusammenhang mit der Abfrage des Datums „Impfstatus“ sind weiter zu beachten:

 

Grundsatz der „Datenminimierung“, Artikel 5 Absatz 1 Buchstabe c DS-GVO

Zunächst muss geprüft werden, ob die reine Abfrage des Impfstatus zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforderlich.

 

 

Grundsatz der „Speicherbegrenzung“, Artikel 5 Absatz 1 Buchstabe e DS-GVO

Sobald der Zweck für die Speicherung des Impfstatus entfallen ist, muss dieses personenbezogene Datum gelöscht werden.

 

Grundsatz der „Rechenschaftspflicht“, Artikel 5 Absatz 2 DS-GVO

Arbeitgeberinnen und Arbeitgeber müssen, sofern einschlägig, auch die Freiwilligkeit einer Einwilligung nachweisen können gemäß Artikel 7 Abs. 1 DS-GVO.

 

 

LOHNFORTZAHLUNG BEI CORONA

 

Durch eine Reihe von Änderungen des Infektionsschutzgesetzes wurde geklärt, dass Arbeitgeber nicht generell, sondern nur im Bereich bestimmter Branchen, wie bspw. Krankenhäuser, Arztpraxen und/oder Pflegeeinrichtungen den Immunisierungs-status der Beschäftigten erfragen dürfen.

 

Sind Arbeitgeber nun berechtigt von ihren Beschäftigten im Rahmen etwaiger Lohnfortzahlungsansprüche Auskunft über den Impfstatus zu verlangen?

Ergeht gegenüber einem Beschäftigten eine Quarantäneanordnung des Gesundheits-amtes, leistet der Arbeitgeber zunächst die Lohnfortzahlung für bis zu sechs Wochen. Der Arbeitgeber nimmt diese Zahlung stellvertretend für die zuständige Behörde vor. In einem zweiten Schritt, kann der Arbeitgeber von der zuständigen Behörde die Erstattung der ausgezahlten Beträge verlangen. Einen Anspruch auf Entschädigung hat ein Beschäftigter nach § 56 Abs. 1 Satz 4, 5 IfSG jedoch nicht, wenn der Beschäftigte diese Quarantäne durch Inanspruchnahme einer allgemein empfohlenen Schutzimpfung oder durch Nichtantritt einer vermeidbaren Reise in ein Risikogebiet hätte vermeiden können.

 

FEHLENDE UND OFFENE PUNKTE

Diese zunächst nachvollziehbare Gesetzesregelung lässt eine Reihe von Folgefragen offen, welche die praktische Umsetzung der Lohnfortzahlung betreffen.

 

• Darf der Arbeitgeber, um Lohnerstattung von der Behörde zu erhalten den Beschäftigten nach dem Impfstatus fragen?
• Ist der Beschäftigte umgekehrt verpflichtet, seinen Impfstatus gegenüber seinem Arbeit-geber zu offenbaren und/oder muss er dem Arbeitgeber hierzu sogar Belege, wie bspw. den Impfpass überlassen?

 

Prüft der Arbeitgeber bei Nicht-Geimpften, ob gesundheitliche Gründe wie schwere Erkrankung oder Operation, Schwanger-schaft, Immunstörung etc. oder zwingende bzw. unvermeidbare Gründe für eine Auslandsreise in ein Risikogebiet, wie bspw. bei Tod oder schwerer Erkrankung eines nahen Angehörigen, Kuraufenthalt, medizinischer Eingriff im Ausland, beruflich veranlasster Auslandsaufenthalt, etc. vorlagen. Die Rechtslage ist insoweit uneindeutig und die aufgeworfenen praxisrelevanten Fragen werden vom Gesetz nicht geklärt.

 

Dies wiegt schwer, weil aus Sicht des Datenschutzes den Arbeitgeber die privaten Angelegenheiten des Beschäftigten, wie bspw. Schwanger-schaft oder Krankheitsdiagnosen nichts angehen.

 

Der Arbeitgeber darf den Impfstatus der Beschäftigten erfragen, wenn er die Entschädigung nach § 56 IfSG für die Behörde auszahlt. Grundsätzlich ist dem Arbeitgeber bereits die Frage nach privaten oder besonders geschützten Daten nach Art. 9 DS-GVO, wie Gesundheitsdaten oder Gewerkschaftszugehörigkeit verboten. Im Zusammenhang mit der Auszahlung einer Entschädigung nach § 56 IfSG liegen jedoch genügend gesetzliche Hinweise vor, dass dem Arbeitgeber hierbei eine Rolle zugewiesen wird die eine solche Frage rechtfertigen kann.

 

Der Beschäftigte ist nicht verpflichtet, dem Arbeitgeber seinen Impfstatus oder andere Gesundheitsdaten offen zu legen. Eine solche Pflicht ergibt sich nicht aus dem IfSG, auch nicht aus § 26 Abs. 3 BDSG oder Art. 9 Abs. 2 lit. b DS-GVO. Dort werden Verarbeitungsbefugnisse des Arbeitgebers angesprochen, nicht aber Auskunftspflichten des Betroffenen.

 

 

Davon zu unterscheiden ist jedoch eine Auskunftspflicht des Beschäftigten, diese müsste auch angesichts der Eingriffstiefe in das informationelle Selbstbestimmungs-recht und das Allgemeine Persönlichkeitsrecht des Betroffenen nach den verfassungs-rechtlichen Vorgaben zum Vorbehalt des Gesetzes durch formelles Gesetz ausdrücklich bestimmt sein. Grundlage einer solchen Auskunftspflicht kann auch nicht der Arbeitsvertrag mit dem Arbeitgeber sein. Zwar existiert sicherlich eine vertragliche Nebenpflicht, den Arbeitgeber bei der Geltendmachung von Ansprüchen gegenüber Behörden im Rahmen des Zumutbaren zu unterstützen.

 

 

Wenn der Beschäftigte dem Arbeitgeber die persönlichen Informationen zur Geltend-machung des Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG offenlegt, so geschieht das im Rahmen einer Einwilligung nach Maßgabe der DS-GVO. Die Angaben macht der Beschäftigte freiwillig und muss dazu gut über die Verwendungszwecke durch den Arbeitgeber (Art. 4 Nr. 11 DS-GVO) und über die Möglichkeit eines Widerrufs der Einwilligung in die Verwendung seiner Daten nach Art. 7 Abs. 3 Satz 3 DS-GVO informiert sein. Diese Erklärung muss ausdrücklich schriftlich vgl. Art. 9 Abs. 2 lit. a DS-GVO erfolgen. Die Freiwilligkeit setzt in diesem Zusammenhang voraus, dass der Arbeitgeber dem Beschäftigten jederzeit die Wahl lässt, die erforderlichen Angaben ihm gegenüber zu machen oder nicht. Darüber hinaus sollte der Arbeitgeber den Beschäftigten auch darauf hinweisen, dass er auch selbst eine Entschädigung bei der zuständigen Behörde beantragen kann.

 

Die Rechtslage ist in diesem Punkt allerdings umstritten. Die zuständigen Behörden vertre-ten hier die Auffassung, dass der Beschäftigte erst für Absonderungszeiträume ab der 7. Woche einen eigenen Antrag stellen kann, solch lange Absonderungen kommen aufgrund SARS CoV-2 allerdings regelmäßig nicht vor. Die freiwilligen Angaben des Beschäftigten gegenüber dem Arbeitgeber unterliegen einer strengen Zweckbindung. Nach deren Verwendung zur Erlangung der Erstattung seiner Entschädigungszahlung bei der zuständigen Behörde, hat der Arbeitgeber diese Daten unverzüglich zu löschen.

 

 

Nach Auffassung des LfDI bleibt dem Beschäftigten in jedem Fall die Möglichkeit, anstelle einer Auskunft gegenüber seinem Arbeitgeber die Entschädigung nach § 56 Abs. 5 Satz 4 IfSG selbst bei der zuständigen Behörde dem Regierungspräsidium zu verlangen und der Behörde gegenüber die erforderlichen Angaben zu machen. Der Arbeitgeber erfährt dabei, weder den Impfstatus, noch weitere persönliche Angaben oder, ob und in welchem Umfang eine Entschädigung gegenüber dem Beschäftigten gewährt wurde.

 

 

3G AM ARBEITSPLATZ

 

Die hinzugekommenen Regelungen des betrieblichen Infektionsschutzes in § 28b IfSG die befristet bis einschließlich 19. März 2022 gelten sehen vor, dass  Arbeitgeber und Beschäftigte bei Betreten der Arbeitsstätte eine Impf- und Genesenennachweis oder eine aktuelle Bescheinigung über einen negativen Coronatest mitführen müssen. Arbeitgeber müssen kontrollieren, ob die Beschäftigten dieser Verpflichtung nachkommen und diese Kontrollen dokumentieren. Auf den Seiten des BMAS wurden dazu FAQs veröffentlicht die auch aus Datenschutzsicht klare Vorgaben machen.

 

WER DARF BETRIEBLICHE KONTROLLEN DER 3-G NACHWEISE DURCHFÜHREN?

Der Arbeitgeber ist verantwortlich für die Überprüfung der 3G-Nachweise vor dem Betreten der Arbeitsstätten. Er kann unter Beachtung der Anforderungen an den Beschäftigten-datenschutz die Kontrolle auch an geeignete Beschäftigte oder Dritte delegieren.

 

WELCHEN UMFANG MÜSSEN DIE KONTROLLEN DURCH ARBEITGEBER HABEN?

Nach § 28b Absatz 1 IfSG müssen Arbeitgeber und Beschäftigte beim Betreten der Arbeitsstätte entweder einen Impf- oder Genesenennachweis oder einen Testnachweis mit sich führen. Es ist eine effiziente betriebliche Zutrittskontrolle erforderlich, die eine lückenlose Umsetzung der Nachweispflicht zum Status geimpft, genesen oder getestet sicherstellt. Der Schwerpunkt der Kontrollen liegt auf der Gültigkeit der Testnachweise. Für nicht Geimpfte bzw. nicht Genesene ist eine tägliche Über-prüfung ihres negativen Teststatus Voraussetzung für den Zugang zur Arbeitsstätte. Wenn der Arbeitgeber den Genesenen-nachweis oder den Impfnachweis einmal kontrolliert und diese Kontrolle dokumentiert hat, können Beschäftigte mit gültigem Impf- oder Genesenennachweis anschließend grundsätzlich von den täglichen Zugangs-kontrollen ausgenommen werden. Allerdings müssen die Beschäftigten und auch Arbeitgeber selbst den Impf-/Genesenen-/Testnachweis für Kontrollen der zuständigen Behörde bereithalten. Art und Umfang der einzusetzenden Kontrollinstrumente und -verfahren sind nicht festgelegt. Nachweise können von den Beschäftigten auch beim Arbeitgeber hinterlegt werden. Diese Hinterlegung ist freiwillig.

 

Die Nachweise können in deutscher, englischer, französischer, italienischer oder spanischer Sprache sowie in schriftlicher (zum Beispiel Impfausweis) oder digitaler Form vorliegen. Die Kontrollpflichten des Arbeitgebers und das Recht zur Verarbeitung der erhaltenen Gesundheitsdaten der Beschäftigten sind jedoch nicht mit einem umfänglichen Auskunftsrecht des Arbeitgebers über den Impf- oder Genesungsstats verbunden.

 

 

WIE KANN DIE ZUGANGSKONTROLLE DOKUMENTIERT WERDEN?

Um dem Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c DS-GVO zu genügen reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist. Bei geimpften Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden.

 

Gleiches gilt grundsätzlich auch für genesene Personen. Hier ist jedoch zusätzlich darauf zu achten, dass bei Ablauf des Genesenstatus vor dem 19.März 2022 von den jeweiligen Personen entweder einmalig ein Impfnachweis oder arbeitstäglich ein Testnachweis vorzulegen ist. Daher ist es ratsam, zusätzlich auch das Ablaufdatum von Genesenennachweisen zu dokumentieren.

 

WIE LANGE MÜSSEN/DÜRFEN DOKUMENTATIONEN AUFBEWAHRT WERDEN?

Daten sind spätestens sechs Monate nach ihrer Erhebung zu löschen.

 

WAS IST BEI DEN BETRIEBLICHEN ZUGANGSKONTROLLEN ZU BEACHTEN?

Nachweise über den Impf- und Genesungsstatus und negative Testbescheinigungen gehören zu den besonders geschützten Gesundheitsdaten.

 

§ 28b IfSG verpflichtet den Arbeitgeber zu Nachweiskontrollen, um zu überwachen und zu dokumentieren, dass die Beschäftigten der Pflicht zur Mitführung oder zum Hinterlegen eines 3G-Nachweises nachkommen. Soweit es dazu erforderlich ist, darf der Arbeitgeber personenbezogene Daten, wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage dieser Bestimmung nicht erhoben bzw. verarbeitet werden.

 

Der Arbeitgeber hat die Vorgaben des Datenschutzes einzuhalten, insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der Betroffenen nach § 22 Absatz 2 BDSG vorzusehen. Dafür sind unter anderem technische und organi-satorische Maßnahmen zur Datensicherheit zu ergreifen. Die Arbeitgeber haben sicherzu-stellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte, wie bspw. Dritte oder Kolleginnen und Kollegen ausgeschlossen ist.

 

Der Arbeitgeber darf den Impf-, Genesenen- und Testnachweis nur verarbeiten, soweit dies zum Zwecke zur Nachweiskontrolle erforderlich ist. Darüber hinaus wird ihm gestattet, die Daten bei der Anpassung des betrieblichen Hygienekonzepts zu verwenden. Es gilt der Grundsatz der Zweckbindung nach Art. 5 Absatz 1 Buchstabe b DS-GVO.

 

 

 

VERARBEITUNG 3G/3GPLUS/2G

 

Das LfDI-BW veröffentlichte am 11.11.2021 eine FAQ-Sammlung zur Auswirkungen der aktuellen Änderungen der Vierzehnten Infektionsschutzmaßnahmenverordnung und der datenschutzrechtliche Einordnung.

 

 

Die FAQ-Sammlung bildet den Stand zum angegebenen Zeitpunkt ab.

 

WANN DARF EIN ARBEITGEBER DEN IMPFSTATUS VERARBEITEN?

Mit Beschluss vom 19.10.2021 hat sich die Konferenz der unabhängigen Datenschutz-aufsichtsbehörden des Bundes und der Länder zu den gesetzlichen Regelungen geäußert, auf deren Grundlage eine Verarbeitung des Impfstatus durch den Arbeitgeber möglich ist. Dort wird unter anderem dargestellt, dass Arbeitgeberinnen und Arbeitgeber den Impf-status von Beschäftigten verarbeiten dürfen, soweit dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben ist.

 

DARF DER IMPF-, GENESENEN- UND TESTSTATUS BEI 3G/3G-PLUS/2G GESPEICHERT WERDEN?

Eine Speicherung des „G-Status“ wird bspw. wenn der Zugang über ein automatisiertes Zugangssystem erfolgt, gem. § 26 Abs. 3 S. 1 BDSG als zulässig erachtet. Dabei darf jedoch lediglich der konkret nachgewiesene Status gespeichert jedoch nicht das Nachweisdokument eingescannt oder kopiert werden.

 

 

Eine gesetzliche Regelung über die Dauer der Speicherung eines Testnachweises der Beschäftigten besteht nicht. Die §§ 17, 17 a IfSG verweisen entsprechend auf § 3 Abs. 1 S. 2 und 3 IfSG, wonach der Anbieter, Veranstalter und Betreiber seinen eigenen Testnachweis für zwei Wochen aufzubewahren hat. 

 

 

Die Dauer der Speicherung wird allerdings durch den Erforderlichkeitsgrundsatz begrenzt, d.h. sobald der G-Status nicht mehr zur Überprüfung der Zugangsvoraussetzungen nach §§ 3, 3a, 16 oder 17 IfSG erforderlich ist, sind die Daten zu löschen sofern der Arbeitgeber die weitere Verarbeitung nicht auf eine andere Rechtsgrundlage stützen kann. Zu beachten ist in diesem Zusammenhang insbesondere § 2 Abs. 1 S. 3 SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV). Nach dieser Vorschrift darf der Arbeitgeber einen ihm, etwa im Rahmen der eben beschriebenen 3G/3G plus/2G-Zugangsregelungen rechtmäßig bekannt gewordenen Impf- oder Genesenstatus der Beschäftigten bei der Festlegung und Umsetzung der Maßnahmen des betrieblichen Infektionsschutzes berücksichtigen. (Hygienekonzepte)

 

DARF DAS VORLIEGEN DES IMPF-, GENESENEN- ODER TESTSTATUS IM ZUSAM-MENHANG MIT EINER 3G/3G-PLUS/2G-ZUGANGSREGELUNG IN DER PERSONAL-AKTE GESPEICHERT WERDEN?

Eine Speicherung in der Personalakte ist grundsätzlich wegen der eigenständigen und vorübergehenden infektionsschutz-rechtlichen Zweckbestimmung von 3Gplus/2G-Zugangs-regelungen nicht erforderlich und damit nicht zulässig. Vergleichbares gilt, ggf. auch im Falle einer weiteren Verarbeitung nach § 2 Abs. 1 Satz 3 Corona-ArbSchV. Die Speicherung des Vorliegens eines Impf-, Genesenen- und Teststatus muss wegen ihrer eigenständigen und vorübergehenden infektionsschutzrechtlichen Zweckbestimmung gesondert zu erfolgen. Zudem dürfen Zugriffe auf diese Daten nur im Rahmen eines Berechtigungs-konzeptes stattfinden.

 

WIE LANGE DARF INFORMATION DER G-ERFÜLLUNG GESPEICHERT WERDEN?

Die Speicherdauer richtet sich nach der Erforderlichkeit. Sobald eine Überprüfung durch den Arbeitgeber nicht mehr gefordert ist, darf weder der „G-Status“ noch die Gültigkeits-dauer weiterhin aufbewahrt werden. Die jeweilige Gültigkeitsdauer ist zu überschreiben und dürfen nicht fortlaufend im Sinne einer Historie gespeichert werden.

 

 

DARF DER ARBEITGEBER DEN G-STATUS DER BESCHÄFTIGTEN ZUR PLANUNG VON AUSSENDIENSTEN VERARBEITEN?

Soweit der Einsatz eines Beschäftigten bspw. im Außendienst nur erfolgen kann, wenn dieser die Zugangsvoraussetzungen nach IfSG (3G-Regelung) erfüllt, so ist eine Verarbeitung der Information, dass diese zum Zeitpunkt des geplanten Einsatzes erfüllt sind, durch den Arbeitgeber begründbar.

 

WER GILT ALS BESCHÄFTIGTER?

Als Beschäftigte gelten Arbeitnehmer einer Einrichtung aber darüber hinaus auch sonstige Personen, die auf Veranlassung in der Einrichtung, mit unmittelbarem Kunden-kontakt tätig werden.

 

 

DARF EIN ARBEITGEBER VORBEREITUNGSHANDLUNGEN TREFFEN, SOWEIT DIE AMPEL WEDER REGIONAL NOCH LANDESWEIT AUF „ROT“ STEHT BZW. EINE „G-REGELUNG“ NICHT GILT?

Soweit der Arbeitgeber eine längerfristige Vorbereitung für die Zugangsbeschränkung beabsichtigt, bedarf es für die Ver-arbeitung des Impf-, Genesenen- und Teststatus bzw. des Vorliegens eines „G“ einer Einwilligung der betroffenen Person. Die Voraussetzung für eine Einwilligung ist insbesondere, dass diese freiwillig erfolgt, was im Beschäftigungsverhältnis meist nicht der Fall ist.

 

 

Lediglich in einem Zeitraum, in dem das Inkrafttreten von Zugangsbeschränkungen unmittelbar bevorsteht, ist angesichts der ggf. weniger als 24 h bemessenen Regelung des Geltungsbeginns zur Ermöglichung betrieblicher Vorbereitungsprozesse eine nicht über eine Arbeitswoche hinausgehende Voraberhebung der G-Informationen noch als erforderlich zu betrachten.