Umsetzung Prüfpflicht für 3G am Arbeitsplatz

Micha · 25. November 2021 um 11:56

Der Gesetzgeber sieht in seiner Begründung auch Gesundheitsdaten Drucksache 20/89. Dort heißt es auf Seite 18

Satz 3 regelt die Befugnis der Arbeitgeber (§ 2 Absatz 3 des Arbeitsschutzgesetzes), die aufgeführten personenbezogenen Daten eines Beschäftigten in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten zu können, soweit es zur Erfüllung der Pflichten aus Absatz 3 Satz 1 erforderlich ist. Satz 4 regelt die Befugnis der Arbeitgeber, den Impf-, Sero- und Teststatus der Beschäftigten verarbeiten zu können, soweit es zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes erforderlich ist. Es wird von der Öffnungsklausel in Artikel 9 Absatz 2 Buchstabe i DatenschutzGrundverordnung Gebrauch gemacht. Die Verarbeitung der Nachweise über den Status geimpft, genesen oder getestet von Beschäftigten zum Zwecke der Zugangsbeschränkung der Arbeitsstätte, ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich, um die Weiterverbreitung der CoronavirusKrankheit-2019 (COVID-19) an diesem Ort zu begrenzen.

anzolino · 25. November 2021 um 12:13

Ja, das ist die Erlaubnis, die Daten verarbeiten zu dürfen. Das ist aber kein Muss, sondern nur ein “Hier ist Deine Rechtsgrundlage, falls Du davon Gebrauch machst”.

@HubertD
Mein minimalistischer 2-Spalten-Ansatz mitohne gespeicherten Gesundheitsdaten wäre:

Name (oder ID)                    Nachweis gültig bis
Vorname Nachname (oder 123456)    19.03.2022

haderner · 25. November 2021 um 20:42

In der Tat sehr minimalistisch

Mal sehen, ob sich das Arbeitsministerium noch zu einer klärenden Verordnung aufrafft.

PS: in der anzuwenden COVID-19-Schutzmaßnahmen-Ausnahmenverordnung lese ich gerade, dass “geimpft” meint: Impfnachweis + asymptomatisch. Öhm.

Edit & PPS: geht schon los mit dem Nachbessern nach Zustimmung im Bundesrat "Die Gesundheitsminister der Länder verlangen vom Bund eine Nachbesserung im neuen Infektionsschutzgesetz bei der Testpflicht für Personal in medizinischen Einrichtungen. Bei einem kurzfristig anberaumten Treffen hieß es, eine tägliche Testung für geimpfte oder genesene Beschäftigte in Arztpraxen oder Krankenhäusern führe zu unzumutbaren Belastungen. Zwei Tests pro Woche seien ausreichend. Bayerns Ressortchef Holetschek sagte, man müsse diejenigen Menschen die täglich das Gesundheitssystem am Laufen halten, entlasten. Außerdem seien Tests nicht unbegrenzt verfügbar und vielerorts Laborkapazitäten schon ausgeschöpft. Die Länderminister einigten sich außerdem darauf, dass auch die in dem Gesetz vorgeschriebene Dokumentations- und Berichtspflicht über die Tests ausgesetzt werden sollen.
Quelle: BR24 Nachrichten, 25.11.2021 18:30 Uhr"

anzolino · 26. November 2021 um 08:07

Jup. Die Realität sieht vielfach anders aus. Bei automatisierten Zugangssystemen wird eine ganz unkomplizierte Methode umgesetzt: Sperrung des Ausweises, Zusendung des Nachweises (Screenshot des Nachweises oder QR-Codes) per E-Mail, Entsperrung des Ausweises nach Verifizierung des Nachweises. Für Datenschutzstatistiker wäre sicher interessant, wieviele Beschäftigte die E-Mail verschlüsseln.

Domasla · 26. November 2021 um 08:32

D., der es für möglich hält, dass Kopien von Impfbüchern rumgeschickt und archiviert werden. Natürlich alle Seiten.

Collonium · 26. November 2021 um 10:56

Hessen hat jetzt eine neue Veröffentlichung zum Thema: “Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz”
https://datenschutz.hessen.de/datenschutz/arbeitgeber-und-beschäftigte/empfehlungen-zur-datenschutzkonformen-umsetzung-der-3-g

liberty123de · 26. November 2021 um 11:16

Im Rahmen der Arbeitnehmerüberlassung gelten sie als Mitarbeiter und sind so zu behandeln. Dazu braucht es keine andere 3G-Regelgung.

the-lonesome-cowboy · 26. November 2021 um 14:24

Hallo,
das hilft eigentlich nicht viel: alle getesteten (das dritte G) hätten Ablaufdatum HEUTE. D.h. alle, die ein Ablaufdatum >1Tag haben gehören zu der Gruppe 2G=immun. Die Unterscheidung fällt also trotzdem der Begriff immun fehlt ins Auge (Ausnahme: am 19.3. und bei Personen bei denen der Immun-Status als Genesenem heute letztmals gültig ist)
TLC

the-lonesome-cowboy · 26. November 2021 um 14:28

Die haben auch nur meine ‘Level 1’ und ‘Level 3’ auf dem Radar. Will nicht jemand zu meiner diesbezüglichen Frage von weiter oben Stellung nehmen?

TLC

anzolino · 26. November 2021 um 14:42

… und Speicherung in Office365, auf jeden Fall in der Azure-Cloud.

@the-lonesome-cowboy
Die Frage wird beim HDSB in Nr.4 beantwortet?

Danke für den Link, @Collonium.

the-lonesome-cowboy · 26. November 2021 um 16:43

@anzolino
Sorry, übersehen. Du hast natürlich recht, danke.
Was mir noch fehlt, ist, ob diese Variante wie von mir zunächst vermutet auch nur per Einwilligung geht (da Speicherung) oder noch unter die Verpflichtung fällt. Oder sogar als legitimes Interesse durchrutschen kann?

TLC

P.S. Auch von mir ein DankeSchön für den Link an @Collonium

anzolino · 26. November 2021 um 17:38

Sowohl HDSB (Nr.2, 3) als auch LDA Bayern (Nr.4) sehen die Einwilligung als Rechtsgrundlage für eine Speicherung. Vermutlich ist es vorteilhaft, die Empfehlungen und die FAQ zu lesen.

the-lonesome-cowboy · 26. November 2021 um 18:16

Ah, die Bay-FAQ kannte ich tatsächlich noch nicht. Aber auch wenn ich lästig werde, genau da steht unter Nr 4., nachdem er sich erst über Level 3 ausgelassen hat, der Absatz

Eine Erforderlichkeit zur Speicherung der „3G-Daten“ kann begründbar sein, wenn der betriebliche
Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung stehen würde. Dies kann
beispielsweise dann zutreffen, wenn der Zugang der Beschäftigten regelmäßig automatisiert überprüft
wird, …

Also genau das Szenario zu Level 2. Und ‘begründbar’ würde ich nicht als einwilligungsbedürftig interpretieren. Oder sehe ich da was falsch?

TLC

haderner · 26. November 2021 um 19:03

Zu ANÜ-Personal / Zeitarbeitskäften: das sind keine Mitarbeiter des Entleihers und der Gleichbehandlungsgrundsatz meint etwas anderes.

Das neue IfSG spricht von Beschäftigten, ohne das zu definieren. In der Begründung zum Gesetz (Drucksache 20/89) findet man, dass hier § 2 Absatz 2 des Arbeitsschutzgesetzes anzuwenden ist. Darunter fallen Zeitarbeitkäfte aber nicht, sie sind auch keine arbeitnehmerähnliche Personen (Nr. 3) des Entleihbetriebs - denn sie sind Arbeitnehmer des Verleihers.

Ich meine, dass sie im IfSG bisher einfach nicht behandelt werden.

HubertD · 26. November 2021 um 21:47

Alles soweit klar. Natürlich sieht man am Ablaufdatum welches “G” vorliegt.
Laut meiner Verfahrensbeschreibung speichere ich rein technisch das Ablaufdatum eines Zertifikats.
Art 9 spricht von “Gesundheitsdaten”. Ist das Ablaufdatum eines Zertifikats ein Gesundheitsdatum?

liberty123de · 26. November 2021 um 21:59

Beschäftigte sind alle Personen, die in einem Betrieb, einer Dienststelle oder Ähnlichem arbeiten. “equal treatment” → § 2 Absatz 2 des Arbeitsschutzgesetzes → § 5 Begriff des Arbeitnehmers → 1) Arbeitnehmer im Sinne dieses Gesetzes sind Arbeiter und Angestellte sowie die zu ihrer Berufsausbildung Beschäftigten.

anzolino · 27. November 2021 um 10:30

Erforderlichkeit ist keine Rechtsgrundlage. Erforderlich heißt, die Daten sind für den Zweck geeignet und zur Erfüllung des Zwecks absolut notwendig; der Zweck kann ohne das konkrete Datum nicht, nicht vollständig oder nur mit unverhältnismäßigem Aufwand erfüllt werden. Daten müssen unabhängig von der Rechtsgrundlage (Einwilligung, Vertrag, Gesetz) erforderlich und auf das notwendige Maß beschränkt sein. Der Datenminimierung genügen “Name, Nachweis erbracht = ja”. Nun haben wir aber festgestellt, dass einige Nachweise vor dem Auslaufen der gesetzlichen Regelung ungültig werden können. Will man also prüfen, ob ein Nachweis vor dem Stichtag des Gesetzes abläuft, muss das Ablaufdatum notiert werden, weil danach ein anderer Nachweis erbracht werden muss. Dementsprechend müssten auch die Kontrollen angepasst werden und das würde schließlich die Dokumentation des Ablaufdatums erforderlich machen. Die Alternative dazu wäre die tägliche Kontrolle, welche den Aufwand bei einigen Arbeitsstätten erheblich steigern würde. Damit kann die Speicherung des Ablaufdatums begründet werden (“kann begründbar sein”). Nicht erforderlich ist zB das Impfdatum. Und mit der Speicherung vollständiger Nachweise werden Daten verarbeitet, die für den Zweck gar nicht erforderlich sind.

anzolino · 27. November 2021 um 10:32

Ja, das unterschiedliche Ablaufdatum lässt Schlussfolgerungen auf den Impf- oder Genesenenstatus zu und das beinhaltet Informationen über Gesundheitszustand oder erbrachte Gesundheitsdienstleistungen.
Art.4 Nr.15 DSGVO:

„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

Erwägungsgrund 35 der DSGVO erklärt dazu:

Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates(1) für die natürliche Person erhoben werden…

Das schließt lt. Richtlinie die Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten ein, was auf die Impfung zutrifft. Der Genesenenstatus enthält Informationen über den früheren Gesundheitszustand (bei Long-Covid auch zum gegenwärtigen und künftigen Zustand).
Somit ist das Ablaufdatum per Definition ein Gesundheitsdatum, also doch nicht mitohne. *seufz*

anzolino · 27. November 2021 um 10:34

Hmm, kann man es nicht so ableiten?
§2 Abs.2 ArbSchG: Beschäftigte im Sinne dieses Gesetzes sind Arbeitnehmerinnen und Arbeitnehmer.
§2 Abs.1 und 2 ArbStättV: Arbeitsstätten sind Arbeitsräume, andere Orte in Gebäuden und im Freien auf dem Gelände eines Betriebes, Orte auf Baustellen, zu denen Beschäftigte im Rahmen ihrer Arbeit Zugang haben.

Wenn Zeit-/Leiharbeiter Arbeitnehmer sind, dann sind sie auch Beschäftigte (zwar Arbeitnehmer beim Verleiher, aber Beschäftigte). Wenn sie auf dem Gelände des Entleiherbetriebs arbeiten, sind sie immer noch Beschäftigte. Die ArbStättV macht keinen Unterschied zwischen dem eigenen Betrieb (Verleiher) und dem fremden Betrieb (Entleiher) => “Gelände eines Betriebes” != “Gelände des Arbeitgebers”. Verantwortlich für die Unterweisung über Sicherheit und Gesundheitsschutz nach §12 Abs.1 ArbSchG ist der Entleiher. Diese Unterweisung “umfaßt Anweisungen und Erläuterungen, die eigens auf den Arbeitsplatz oder den Aufgabenbereich der Beschäftigten ausgerichtet sind”. Eine Anweisung kann die Zugangskontrolle gem. IfSG sein.

liberty123de · 27. November 2021 um 12:22

Genauso wie im letzten Satz formuliert verhält sich das. Es wird keine Unterscheidung getroffen. Das macht die DGUV auch nicht. Sowohl Zeitarbeitsunternehmen als auch Einsatzbetrieb haben gesetzlich vorgeschriebene Pflichten, um die Sicherheit und Gesundheit der Zeitarbeitnehmerinnen und -arbeitnehmer zu bewahren. Dazu gehört auch die xG-Regel.