Basiswissen

Basiswissen

Beschäftigtendaten in der Pandemie – Rechte und Tabus

Seit zwei Jahren hat die Corona-Pandemie die Welt im Griff – jetzt gibt es endlich auch Antworten auf die dringendsten Fragen zum Umgang mit den sensiblen personenbezogen Daten im Unternehmen. Was darf gefragt, erfasst und verarbeitet werden und welche Daten sind nach wie vor tabu?
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
alvarez, iStockphoto
Lesedauer 3 Minuten

Inhaltsverzeichnis

3G Pflicht am Arbeitsplatz – welche Daten dürfen vom Arbeitgeber verarbeitet werden? 

Seit November 2021 gilt an Arbeitsstätten 3G – der Zutritt ist nur noch für Personen gestattet, die geimpft, genesen oder getestet sind. Für die entsprechenden Kontrollen ist der Arbeitgeber verantwortlich. Leider sind die gesetzlichen Vorgaben, was gesichtet, geprüft oder erfasst werden darf, noch immer nicht klar per Gesetz definiert. Die hier aufgeführten Möglichkeiten ergeben sich aus dem Handlungsspielraum des Infektionsschutzgesetzes. 

Wer darf den Zutritt kontrollieren? 

Die Zutrittskontrolle darf sowohl vom Arbeitgeber selbst, wie auch einem zu diesem Zweck bestimmten Angestellten oder einem beauftragten Dritten erfolgen (hier wird ggf. ein Auftragsverarbeitungsvertrag fällig). 

Wie wird kontrolliert? 

Theoretisch reicht bei der Kontrolle vor Betreten des Arbeitsplatzes eine Sichtkontrolle. Dabei darf bei nicht persönlich bekannten Angestellten zur Verifizierung des 3G-Status auch ein Ausweisdokument zum Abgleich geprüft werden. Die digitale Kontrolle mit einer App, zum Beispiel der CovCheckPass App ist nicht nur datensparsam, sondern auch effizient und zudem kostenlos. Eine Speicherung der Daten erfolgt nicht. Wer auf die vereinfachten Kontrollprozesse setzen will, sollte zuvor die Genehmigung der Mitarbeiter einholen, da Mitarbeiter nach wie vor nicht verpflichtet sind, eine Aussage über ihren Impf- oder Genesenenstatus zu machen. Ist dies geschehen, kann übersichtlich neben dem Zutrittsdatum der Vor- und Nachname sowie ein Haken bei „2G Nachweis vorgelegt“ eingetragen werden. Eine Kopie der Nachweise ist nicht nötig, kann aber bei Einwilligung erfolgen. Wird der Test durch den Arbeitgeber angeboten (Selbsttest unter Aufsicht oder durch betrieblich beauftragtes Personal), dürfen nach Erhalt eines negativen Testergebnisses keine weiteren Daten verarbeitet werden. Ist das Ergebnis positiv, darf nur ein Hinweis an die Personalabteilung erfolgen, Infos an das Gesundheitsamt ergeben sich aus weiteren Regelungen. 

Detaillierte Informationen zu 3G am Arbeitsplatz finden Sie in diesem Artikel 

Was ist, wenn Mitarbeiter anderer Betriebe die Geschäftsstätte aufsuchen, müssen diese ebenfalls kontrolliert werden?

Nein, denn wer nicht im Betrieb angestellt ist, muss vom eigenen Arbeitgeber kontrolliert werden. Wenn Sie jedoch in Ihrem Hygiene-Konzept eine allgemeine 3G Regelung für den Betrieb festgelegt haben, dann müssen auch Personen, die nicht Beschäftigte des eigenen Betriebs sind, einen Nachweis erbringen.

Ist ein betriebliches Kontakt-Tagebuch erlaubt? 

Grundsätzlich ist das Führen eines Kontakt-Tagebuches während der Pandemie erlaubt, da es der Pandemiebekämpfung dient. Kommt es zu einer Corona-Infektion, kann der Arbeitgeber weitere Schritte einleiten und die Kontaktpersonen über die Risikobegegnung informieren und Homeoffice, Einzelbüro oder eine Testmöglichkeit anbieten. Es überwiegt das berechtigtes Interesse des Arbeitgebers gegenüber dem Recht auf informelle Selbstbestimmung der Angestellten. Ausnahmen bilden Beschäftigte, die einem gesetzlich angeordneten Geheimnisschutz unterliegen (Datenschutzbeauftragte, Betriebsärzte etc.). Hier überwiegen die schutzwürdigen Interessen der Arbeitnehmer, eine Übermittlung von Daten ist nur im Corona-Fall und dann an die zuständigen Behörden gestattet. Beachten werden muss die Zweckbindung des Kontakt-Tagebuches – Arbeitgeber dürfen die Daten nur im Infektionsfall nutzen. Zudem gilt auch hier die Datenminimierung, Vor- und Nachname genügen, die Aufbewahrung sollte vor Zugriff geschützt sein. Im Infektionsfall müssen nur die Kontakte genannt und nicht das komplette Tagebuch ausgegeben werden. Nach 14 Tagen sind die Daten zu löschen. 

Wie sieht es mit den privaten Kontakten der Angestellten aus? 

Liegt eine wirksame Einwilligung der Angestellten vor, ist die Verarbeitung der privaten Kontaktdaten gestattet. Im Normalfall haben Arbeitgeber kein Anrecht darauf, dass Mitarbeiter private Telefonnummern oder Mailadressen angeben. Im Fall der Pandemiebekämpfung liegt jedoch ein gemeinsames Interesse vor und so dürfen diese Daten mit der Einwilligung der betroffenen Person erfasst werden. 

Achtung: Die Daten dürfen ausschließlich zweckbestimmt verarbeitet werden! Das Verwenden in jeglichen anderen Situationen, z.B. für Dienstplanabstimmungen oder Geburtstagsgratulationen, ist untersagt. 

Ein Mitarbeiter wird positiv getestet – darf er namentlich gegenüber der Belegschaft oder den Kontaktpersonen genannt werden? 

Der Name des infizierten Angestellten darf nicht genannt werden. Es besteht keine Notwendigkeit und die Kontaktpersonen können auch ohne namentliche Nennung des Infizierten informiert werden. 

Der Arbeitgeber organisiert Impftermine für die Angestellten – dürfen in diesem Zusammenhang personenbezogen Daten verarbeitet werden? 

Wenn der Arbeitgeber seinen Angestellten ein Impfangebot unterbreitet und dieses wahrgenommen wird, dürfen nach wirksamer Einwilligung personenbezogen Daten verarbeitet und an die Impfstation übermittelt werden. Es gilt dabei der Grundsatz der Datenminimierung, ggf. genügt die Weitergabe des Vor- und Nachnamens. Auszufüllende Formulare bleiben in der Obhut der Impfenden, es darf auch keine Bemerkung hinsichtlich der Impfung in der Personalakte hinzugefügt werden. Nach der Zweckerfüllung, also dem Impfprozess samt ggf. erforderlicher Abrechnung, sind die Daten zu löschen. 

Achtung: Die Einwilligung muss sich auf das Datum der Impfung beziehen. 

Der Arbeitnehmer legt eine ärztliche Bescheinigung zur Befreiung vom Tragen eines Mund-Nasen-Schutzes vor – darf diese inklusive der evt. enthaltenen Gesundheitsdaten verarbeitet werden? 

Die Verarbeitung einer solchen ärztlichen Befreiung ist grundsätzlich nicht erlaubt, dabei gibt es stark abweichende landesspezifische Vorschriften über die Inhalte dieser Bescheinigungen – für Details können Sie sich an die zuständige Datenschutz-Aufsichtsbehörde wenden. Werden Arbeitgebern solche Atteste vorgelegt, gilt der Grundsatz der Datenminimierung, das Schreiben darf weder im Original noch als Kopie in die Personalakte aufgenommen werden. Es genügt ein schriftlicher Hinweis, der nach der Beendigung der Verpflichtung zum Tragen eines Mund-Nasen-Schutzes sofort zu löschen ist. 

Da die Gesundheitsdaten unter Umständen Einblick in Vorerkrankungen o.ä. bieten und sich dies negativ auf das Beschäftigtenverhältnis auswirken kann, können die Folgen für den Beschäftigten auch über die Pandemie hinaus schwerwiegend sein. 

Hier finden Sie die vollständige Anwendungshilfe der DSK 

Sie haben Fragen zum Datenschutz in Ihrem Betrieb? Wir helfen Ihnen gerne!

Unser Experte

Miriam Grothe
Miriam Grothe
Miriam Grothe ist als Chefredakteurin für den PRO-DSGVO Blog verantwortlich und kann dabei u.a. auf ihre langjährige Erfahrung als Chefredakteuring für das Gastgewerbe-Magazins zurückgreifen. In den letzten zehn Jahren konnte sie umfangreiche Einblicke in die Bedürfnisse zahlreicher Betriebe bekommen.