Umsetzung Prüfpflicht für 3G am Arbeitsplatz

Moin,

wundert mich, dass dieses Thema noch nicht erstellt wurde. Ab Mittwoch müssen Arbeitgeber den 3G Status ihrer Mitarbeiter prüfen und dokumentieren.
Hat sich schon mal jemand Gedanken gemacht, wie dies mit ‘den mildesten Mitteln’ umgesetzt werden kann? Der BfDI hat ja schon Grenzen angedeutet…

Grüße TLC

1 „Gefällt mir“

Was deutet der BfDI denn an und wo?

In Bayern gibt es das ja schon bei Krankenhaus-Ampel = rot (seufz):

Wir erfassen in Tageslisten (Papierform) die Namen und nur ob ein Nachweis erbracht wurde (ja/nein), bestätigt durch festgelegte Prüfer (immer 2) per Unterschrift. Die Listen werden nach 4 Wochen vernichtet, Zugriff haben nur die Prüfer, Perso, Geschäftsführung, Aufbewahrung der Listen in der Perso. Bei Nachweis = Nein wird unmittelbar an die GF eskaliert, die ein Betretungsverbot durchsetzt (da es arbeitsrechtliche Folgen hätte). Das Verfahren ist an die MA per E-Mail kommuniziert. Wer Selbsttests haben will, bekommt sie auch vorab ins Homeoffice geschickt - ein wirklicher Nachweis wäre aber unter Aufsicht vor Ort oder eine “offiziell” bestätigte Durchführung.

1 „Gefällt mir“

Kelber hat gestern twittert, dass man den BfDI im Gesetzgebungsprozess für die IfSG-Novelle nicht beteiligt hat und so erneut die Chance vertan hat, eine datenschutzschonende Umsetzung der 3G-Pflichten zu erreichen. Es geht da insb. um Datensparsamkeit, da tendenziell zu viel abgefragt wird und zu viel dokumentiert werden soll. Letztlich, so der BfDI, reiche es aus zwischen Immunisierten und Nicht-Immunisierten zu differenzieren. Frage ich nach Impfung/Genesenenstatus, erhebe ich nicht erforderliche Daten (denn allein die Immunisierung ist da relevant, eine vorherige CoV19-Infektion ist Art. 9-Datum und kann diskriminierend wirken). Im Übrigen geht es darum, dass eine Abfrage (Häkchen machen) ausreichend ist und eine Speicherung für den Zugang zum Arbeitsplatz ebenfalls nicht erforderlich sei und zu zweckwidrigen Weiterverwendungen führen könnte.

Der LfDI BW hat sich gestern ähnlich geäußert.

Moin,
danke euch beiden schon mal.
Brinks Äußerung ist glaube ich noch von vor der Verabschiedung, und er listet genau das, was er von einem Gesetz erwartet (was aber im Endeffekt wir nun regeln dürfen). Oder kennst Du ein neueres Statement?

Bleibt wohl nur, hier die verschiedenen Vorgehensweisen zu sammeln und rauszufiltern, was gar nicht geht oder besonders geschickt ist.

Ich werde unseren Ansatz posten sobald der klar ist …. Ist denn schon der eine oder andere weiter?

Grüße
the-lonesome

Aktuell auf der BFDI Seite zu finden: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2021/16_3G-am-Arbeitsplatz.html

Ist eine Aufgabe für die betrieblichen DSB, den Verantwortlichen entsprechend zu beraten und eventuell einen Vorlage für die Mitarbeiterinformation zu erstellen.

1 „Gefällt mir“

@pdpp: genau deshalb bringe ich das hier auf.

Wer soll wie kontrollieren, wie kann das nachgewiesen werden, was darf gespeichert werden, wie lange darf gespeichert werden , etcetc. Das Gesetz sagt leider gar nichts und auch die Erklärungen vom BfDI oder LfDI-BW sind da kaum hilfreich. Die Liste am schwarzen Brett hat keiner von uns im Sinn, aber darf denn gespeichert werden, dass Mitarbeiter x bis Februar 2022 immunisiert ist, dann müsste nicht täglich abgehakt werden? In kleinen Betrieben ist es dem Prüfer schnell bekannt, wer geimpft ist, da wird eine tägliche Prüfung zum Slapstick…

TLC

Es gibt eine FAQ dazu BMAS - FAQs zu 3G am Arbeitsplatz

Da bleibt zwar so manche Frage offen …

Welche Fragen bleiben offen?

Mir scheint haderners Vorgehensweise zielführend.

Mir liegt leider nur der Gesetzesentwurf vor, dort ist zu lesen, dass täglich bei allen Mitarbeitern der Status abgefragt werden soll. Dies hat mich verwirrt, da ein geimpfter derzeit seinen Status ja nicht verliert, warum also mehrfach prüfen?
Die nicht geimpften oder auskunftsunwilligen werden in einer Übergangszeit die Möglichkeit bekommen unter Aufsicht einen Schnelltest durchführen zu können, wobei nur 2 Tests in der Woche kostenlos zur Verfügung stellen, der Rest muss privat dazu gekauft werden, da übernehmen wir nur die Aufsicht.

Die Frage die sich grad bei uns breit macht ist, wie gehen wir mit Kunden, Lieferanten (eher selten) und externen (Monteure, Elektriker, etc.) um? Den Status abfragen ist ja nicht in der Gesetzesvorlage enthalten?
Vertrauen, dass die anderen Firmen ja bereits den Status abgefraft haben? Auf “freiwilliger” Basis sich das Zertfikat zeigen lassen?

Habe meine ursprüngliche Antwort gelöscht … aber in Kurzform: wir wollen auf nur 1 Prüfer reduzieren, die Ablage in der Perso funktioniert nicht für Niederlassungen außerhalb Bayern und das Hinterlegen der Nachweise will ich auch nicht: die Leute haben die sowieso dabei.

Das Hinterlegen der Nachweise ist ja auch nicht notwendig, da nur eine Verpflichtung zur Vorlage des Nachweises besteht. Anders sieht’s bei der Testdokumentation aus, sofern der AG diesen vor Ort durchführt.

@Vedouci:
Besucher von Arbeitsstätten, die nicht in den §§23, 36 IfSG aufgeführt sind (Kunden, Lieferanten, externe Monteure, Elektriker, etc.), müssen entweder draußen bleiben oder sich an die AHA+L-Regeln halten. Die haben doch bisher funktioniert? Ich habe noch nicht verstanden, warum man jetzt eine Maske tragen und geimpft oder genesen und getestet sein soll, wenn es AHA+L bisher auch getan hat.

Das ist durchaus möglich. Die CovPassCheck App zieht sich daher tgl. die Daten der zurückgezogenen Zertifikate. Meines Wissens sind auch schon zwei Zertifikate für ungültig erklärt wurden, die von Robert Koch und Adolf Hitler.

Es ist eben nur eine Teillösung - es fehlen z.B. auch Zeitarbeitskräfte, soweit ich das verstanden habe, und das sind ca 1 Mio.

Hallo zusammen,
in unserer Behörde stellen wir uns die Frage, wie es mit unserem Wachdienst (externes Unternehmen) aussieht, der bei uns 24 Stunden Einlass-Kontrollen macht?
Benötigen wir da eine weitergehende (ergänzende) Vereinbarung nach Artikel 28 DSGVO, dass dieser Wachdienst auch die 3G-Prüfung macht? Dürfen Artikel 9-Daten überhaupt in Auftragsverarbeitung gegeben werden? Oder müssen wir da eine/n internen Beschäftigten abstellen, der den ganzen Tag an der Pforte steht?
Wie ist Eure Einschätzung? Vielen Dank für Eure Tipps und Meinungen!

(Immerhin steht da jetzt schon jemand, der das mit übernehmen kann.)

Unabhängig vom Datenschutz wird es für zusätzlichen Aufwand bei der Einlasskontrolle sorgen; deshalb mehr Zeitbedarf und je nach Verhandlungsposition oder Wartezeit kann es zusätzliche Vergütung bedeuten.

Auftragsverarbeitung ist für Art.-9-Daten möglich. Die Schutzmaßnahmen des Auftragsverarbeiters müssen dann auch für diese “geeignet” sein (sind sie schon oder erhöhen). Im Auftragsverarbeitungsvertrag werden die Art der Verarbeitung und die Datenkategorien festgelegt. Bei Änderungen sind diese entsprechend nachzuvereinbaren.

D., der nicht denkt, dass sich die zusätzliche Aufgabe mit einer “Weisung” erledigen lässt. Schon weil es mehr kosten wird.

AV ist auch mit Gesundheitsdaten möglich. Es müssen entsprechend strenge Weisungen erteilt werden bzw. Pflichten auferlegt werden.

Tjaha. Wenn nur dokumentiert wird, dass Name einen Nachweis erbrachte, dann besteht die Verarbeitung von Gesundheitsdaten durch den Wachdienst in der analogen Wahrnehmung des Nachweises. Kann diese als Auftragsverarbeitung klassifiziert werden? Eine solche manuelle Verarbeitung gilt ja nur für Beschäftigte, §26 Abs.7 BDSG:

(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Auftragsverarbeiter sind keine Beschäftigten. Und das würde heißen, die analoge Wahrnehmung des Wachdienstes ist vom BDSG nicht als Verarbeitung erfasst, im Gegensatz zur Verarbeitung durch Beschäftigte. Sie kann auch nicht unter die DSGVO eingeordnet werden, denn eine Sichtkontrolle fällt nicht in deren Anwendungsbereich. Und wenn sie nicht vom Anwendungsbereich erfasst wird, gibt es auch keine Auftragsverarbeitung. Die Dokumentation beinhaltet keine Gesundheitsdaten, sondern nur die Information, ob Name den Nachweis erbrachte. Diese Dokumentation fiele in den Anwendungsbereich und entspräche der ganz oder teilweise automatisierten oder der nichtautomatisierten Verarbeitung normaler personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Ich bin leicht amüsiert ob des erzeugten Chaos’ und sich daraus ergebender Spitzfindigkeiten.

Äh… Sicher, dass “von Beschäftigten” genau “durch Beschäftigte” bedeuten soll? Nicht “der Beschäftigten”?

Die Postion macht mich jetzt durcheinander. Hätte ja “wenn personenbezogene Daten von Beschäftigten, einschließlich besonderer Kategorien personenbezogener Daten” heißen können.

Anderer Punkt: Neben der analogen Sichtkontrolle (darf aufgrund des Vorzeigens rein oder nicht) ist die Hinterlegung (da hat kein Datenschützer drübergeschaut) der Nachweise beim Arbeitgeber möglich; vielleicht noch die Ausgestaltung über Listen mit Vermerk der Langzeitnachweise. Dabei liegen dann für einen Teil der Belegschaft Daten vor, die verarbeitet werden. Ggf. auch durch Auftragsverarbeiter.

D., der bisher davon ausging, dass es bei allem in § 26 um Beschäftigtendaten geht; also Daten über Beschäftigte, um noch eine Variante ins Spiel zu bringen. Auftragsverarbeitung wäre dann, wer die Daten verarbeitet; also der Verantwortliche oder der Verantwortliche (durch vertraglich verpflichtete Dienstleister, die dasselbe tun dürften, was auch dem Verantwortlichen zustünde).

Wie lange wird die Dokumentation eigentlich bei Euch so gespeichert? Das Gesetzt hat ja nur die maximale Frist festgelegt, aber nicht die minimale.