Schon, ja. Was ist mit der Überwachungsaufgabe zum Zutritt? Die hat der Arbeitgeber, er kann sie zwar delegieren / beauftragen, aber dabei werden p.b. Daten für die Dokumentation benötigt (eine reine Sichtung ohne Aufzeichnung wird schwierig).
Das regelt §26 Abs.8 BDSG:
Beschäftigte im Sinne dieses Gesetzes sind:
- Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
Gesetzesbegründung BT-Drs. 18/11325:
Absatz 8 übernimmt weitgehend die bisher in § 3 Absatz 11 BDSG a. F. vorgesehenen Begriffsbestimmungen. In Nummer 1 wird klargestellt, dass Leiharbeitnehmer nicht nur im Verhältnis zum Verleiher, sondern auch im Verhältnis zum Entleiher als Beschäftigte gelten.
Der Begriff “Beschäftigte” ist in den beiden Gesetzen BDSG bzw. ArbSchG nicht dasselbe.
Und der Entleiher wird nicht zum Arbeitgeber, den das IfSG meint und ihm Pflichten und Rechte zuweist. Pflichten nach § 28b Abs. 3 hat er nicht und die Rechte aus S. 3 auch nicht. Der Verleiher schon - aber es wäre praktisch abstrus, dazu den Entleihers zu beauftragen.
Am einfachsten wäre es, diese Lücke im Rahmen einer Verordnung nach Abs. 6 zu schließen (inhaltlich ist sie sicher nicht gewollt, z.B. hat jeder noch Schlacht- oder Erntebetriebe in Erinnerung).
@anzolino: Vielen Dank für die Mühe.
Testen wir die Theorie mal. Sagt ein Zertifikatsdatum etwas aus über
- körperliche Gesundheit: nein
- geistige Gesundheit: nein
- früherer, gegenwärtiger und künftiger … Gesundheitszustand: nein, denn ich verarbeite nicht das “G”, sondern das Zertifikatsablaufdatum. Aus dem man zugegebenermaßen meist Rückschlüsse über vergangene Gesundheitszustände anstellen kann.
- Erbringung von Gesundheitsdienstleistungen: vermutlich nein, wenn man nicht erfasst wer das Zertifikat ausgestellt hat
- Informationen über den Gesundheitszustand: ein Getester sollte gesund sein. Aber ich verarbeite ja nicht, ob er gesund ist (hätte ich vielleicht bei der Aufzeichnung der Körpertemperatur), sondern das Ablaufdatum eines Papiers.
- Bereitstellung von Arzneimitteln etc.: nein. Denn wie gesagt ich verarbeite nicht das “G”.
Die Rückschlüsse die ein Mensch - etwa der Prüfer des Zertifikats - anstellen kann über den Gesundheitszustand sind weder absolut noch final immer richtig. Und mit erhöhten Sicherheitsmaßnahmen (etwa Liste bleibt strikt beim Prüfer) kann verbleibenden Gefahren begegnet werden.
Don’t get me wrong: mir geht es nicht ums Rechthaben. Sondern darum wie leicht oder schwer hätte es jemand meine Argumentationskette zu zerlegen, wenn ein risikobereiter Verantwortlicher den Weg gehen wollte. Momentan sehe ich eher das Problem, dass eine Mehrheit meiner Kunden noch gar nicht versteht was sie seit Mittwoch getan haben sollten.
Der Beschäftigtenbegriff ist nicht derselbe. Der Kreis schließt sich aber über die Zuständigkeit, denn der Entleiher wird zum Arbeitgeber, den das IfSG meint.
§12 ArbSchG:
(1) Der Arbeitgeber hat die Beschäftigten über Sicherheit und Gesundheitsschutz bei der Arbeit während ihrer Arbeitszeit ausreichend und angemessen zu unterweisen…
(2) Bei einer Arbeitnehmerüberlassung trifft die Pflicht zur Unterweisung nach Absatz 1 den Entleiher. Er hat die Unterweisung unter Berücksichtigung der Qualifikation und der Erfahrung der Personen, die ihm zur Arbeitsleistung überlassen werden, vorzunehmen. Die sonstigen Arbeitsschutzpflichten des Verleihers bleiben unberührt.
§11 Abs.6 AÜG:
(6) Die Tätigkeit des Leiharbeitnehmers bei dem Entleiher unterliegt den für den Betrieb des Entleihers geltenden öffentlich-rechtlichen Vorschriften des Arbeitsschutzrechts; die hieraus sich ergebenden Pflichten für den Arbeitgeber obliegen dem Entleiher unbeschadet der Pflichten des Verleihers. Insbesondere hat der Entleiher den Leiharbeitnehmer vor Beginn der Beschäftigung und bei Veränderungen in seinem Arbeitsbereich über Gefahren für Sicherheit und Gesundheit, denen er bei der Arbeit ausgesetzt sein kann, sowie über die Maßnahmen und Einrichtungen zur Abwendung dieser Gefahren zu unterrichten. Der Entleiher hat den Leiharbeitnehmer zusätzlich über die Notwendigkeit besonderer Qualifikationen oder beruflicher Fähigkeiten oder einer besonderen ärztlichen Überwachung sowie über erhöhte besondere Gefahren des Arbeitsplatzes zu unterrichten.
AÜG und ArbSchG regeln die Zuständigkeit des Arbeitgebers für Gefahren für Sicherheit und Gesundheit. Der Arbeitgeber ist für die eigenen Arbeitnehmer und als Entleiher für die Leiharbeitnehmer verantwortlich. Hier wird kein Unterschied zwischen beiden gemacht, beide sind Beschäftigte. Ich wüßte auch keinen Grund, warum Leiharbeiter keine Beschäftigten wären, wenn sie “vor Beginn der Beschäftigung” zu unterrichten sind. Die Tätigkeit wird Beschäftigung genannt, aber der Mensch, der die Tätigkeit ausführt, ist kein Beschäftigter? Das ergibt für mich keinen Sinn. Die Arbeitsstätte ist ein Betrieb gem. ArbStättV, hier der Betrieb des Arbeitgebers. Aus dieser Zuständigkeit resultiert eine Notwendigkeit zur Verarbeitung von Gesundheitsdaten beim Betreten der Arbeitsstätte. Diese Verarbeitung unterliegt im Beschäftigungsverhältnis dem §26 BDSG und dieser bezieht Leiharbeitnehmer explizit ein.
Meint: Arbeitgeber zuständig für IfSG-Maßnahmen => gem. AÜG und ArbSchG Arbeitgeber für Leiharbeiter zuständig => gem. BDSG Verarbeitung von pb Daten von Leiharbeitern
Wo ist die Lücke?
2 „Gefällt mir“
Hallo @anzolino,
Ja, Erforderlichkeit ist keine Rechtsgrundlage. Aber Erforderlichkeit muss im Fall einer Einwilligung ja gar nicht geprüft bzw. vorhanden sein. Wenn Level 2 und Level 3 beide auf Einwilligung basieren müssen, warum diskutiert dann das BayLDA die Erforderlichkeit für Level 2 (für Level 3 ist diese -da sind wir uns einig- keinesfalls gegeben, und trotzdem ist Level 3 auf der Rechtsgrundlage Einwilligung kein Problem). Ich frage mich halt, ob durch diese Hervorhebung der Erforderlichkeit das BayLDA Level 2 als in gewissen Fällen erforderlich zur Erfüllung des Gesetzes zu akzeptieren geWILLt ist.
Verstehe mich nicht falsch, deine Ausführungen zweifle ich nicht an und es hilft sehr, immer mal wieder die Beurteilungskriterien zu den richtigen Anforderungen zugeordnet zu bekommen. Daher schätze ich Deine Unterstützung sehr. Aber hier habe ich den Eindruck, dass Erforderlichkeit in der Verwendung der Verlautbarung doch direkt was mit der Rechtsgrundlage zu tun hat - oder haben könnte.
TLC
Hm … Deine Auslegungen teile ich nicht und sehe das enger (s.o.). Ich lasse das “Unterthema Leiharbeiter” mal so stehen.
Alles gut, Hubert, Sinn der Diskussion ist der Austausch und das Nachvollziehen von Argumenten.
Das Problem sehe ich tatsächlich in der Definition. Der Impfnachweis dürfte aktuell in seltenen Fällen vor dem 19.03.2022 ablaufen, oder? Wann begannen die ersten Impfungen der Nichtrisikogruppen, der Standardbeschäftigten? März, April, Mai? Der Genesenennachweis gilt für sechs Monate und da wird der Nachweis häufiger vor dem 19.03.2022 ablaufen. Das Zertifikatsdatum kann also eine Information zur Unterscheidung zwischen geimpft und genesen enthalten. Und das erfüllt die Definition der DSGVO, denn die Information “geimpft” führt zur erbrachten Gesundheitsdienstleistung und die Information “genesen” führt zumindest zum früheren (evtl. auch gegenwärtigen) Gesundheitszustand. Legt man die Definition eng aus, dann hat man ein Gesundheitsdatum.
Erforderlichkeit muss immer geprüft werden, denn das beinhalten die Grundsätze für die Verarbeitung personenbezogener Daten in Art.5 Abs.1 lit.c: “dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt”. Dieser Grundsatz gilt für alle Verarbeitungen und besteht neben dem Grundsatz der Rechtmäßigkeit in Art.5 Abs.1 lit.a. Eine Einwilligung wird für einen konkreten Zweck eingeholt. Eine Datenverarbeitung, die für diesen Zweck nicht erforderlich ist, wird von der Einwilligung auch nicht abgedeckt. Sprich, wenn die Zugangsvorausssetzung eine Covid-Impfung ist, dann können keine Daten zur Tetanus-Impfung verarbeitet werden - gleichgültig, ob für die Speicherung des gelben Impfausweises mit den vielen Seiten eine Einwilligung existiert. Der HDSB führt Speicherung von Kopien, Impfdatum und Impfstoff als nicht erforderlich auf. LDA Bayern begründet eine Erforderlichkeit zur Verarbeitung von “Art des Nachweises”, “gültig / (ob)” und “Gültigkeitsdauer” für die Fälle, in denen das mildere Mittel “tägliche Sichtkontrolle” zu einem unverhätnißmäßigen Aufwand führt. Level2 basiert nicht auf einer Einwilligung. Diese Verarbeitung basiert auf der Rechtsgrundlage §28b Abs.3 Satz 1 IfSG (überwachen und regelmäßig dokumentieren). Eine Einwilligung ist für die Hinterlegung notwendig.
1 „Gefällt mir“
Moin @anzolino
Sorry für die späte Antwort.
Genau das wollte ich eigentlich hören und es entspricht meinem Bauchgefühl. Daher bekam ich ein Grummeln ebendort, als generell ‘Speicherung’ als einwilligungsbedürftig dargestellt wurde ohne zu differenzieren. Die BayLDA Hilfestellung ist hier wertvoll.
In der Zwischenzeit hat sich aber auch der LfDI-BW geäußert, da sieht das wieder ganz anders aus.
https://www.baden-wuerttemberg.datenschutz.de/orientierungshilfe-zu-3g-am-arbeitsplatz/
Der LfDI-BW leitet aus dem Gesetzestext wesentlich geringere Anforderungen an den AG ab. Als eine Folgerung bezeichnet er nun wiederum Level2 als einwilligungspflichtig. 
Da sich die Aufsichten mal wieder gegenseitig widersprechen, sehe ich es als gescheitert an, hier eine zuverlässige Meinungsbildung zu erreichen. Ich denke, hier sind wir nun mal wieder an einem Punkt, an dem man sich entweder auf die Handreichung bezieht, die einem ‘zusagt’ oder zur Sicherheit auf die der eigenen Aufsicht.
Grüße TLC
LfDI BW differenziert in Punkt 4c) nicht zwischen “Immunisierungsstatus” und “Nachweis”. Eine “Freiwillige Hinterlegung des Immunisierungsstatus” ist aber nicht gleichbedeutend mit “Freiwillige Hinterlegung des Nachweises”. §28b IfSG nennt die Hinterlegung von Impfnachweis, Genesenennachweis oder Testnachweis. Ein Impfnachweis enthält im Gegensatz zum Immunisierungsstatus die Informationen zu Impfzeitpunkt und Impfstoff (BAnz AT 08.05.2021 V1). Und auch ein Genesenennachweis enthält mehr Informationen als nur “genesen”. Die Gesetzesbegründung spricht freilich von einem “aktuellen Nachweis – geimpft, genesen oder getestet -” und LfDI BW scheint dieses wörtliche Durcheinander fortführen zu wollen, obgleich er auf Punkt 1.1.11 der FAQ des BMAS verweist.
LfDI unterscheidet zwar bei den Verarbeitungen zwischen denen zur Zugangsregelung (Rechtsgrundlage in Punkt 3) und denen zur Kontrolldokumentation (Punkt 5), benennt aber §28b Abs.3 IfSG zugleich als Rechtsgrundlage für die Verarbeitung zur Zugangsregelung. Die Einwilligung zur Hinterlegung “wovonauchimmer” fehlt demzufolge als Rechtsgrundlage in Punkt 3 und die dort genannte Rechtsgrundlage lässt den Datenumfang offen (Verarbeitung welcher Gesundheitsdaten?). Die Verarbeitung von Daten zum Impf-, Sero- und Teststatus (Immunisierungsstatus) wird in §28b Abs.3 IfSG zum Zweck der Überwachung durch tägliche Nachweiskontrollen und regelmäßigen Dokumentation erlaubt. Das aber bezieht gerade keine Hinterlegung eines Nachweises ein, worauf sich die Einwilligung eigentlich bezieht.
Es wirkt ein wenig diffus und insgesamt erweckt die Orientierungshilfe bei mir den Eindruck einer unvollständigen akademischen Kommentierung der Unzulänglichkeiten des Gesetzestextes. Als praktische Hilfestellung fürs tägliche Arbeitsleben ist sie für mich kaum geeignet.
Aber ja, für jene, die überhaupt keine pb Daten verarbeiten wollen, könnte interessant sein, dass nach Ansicht des LfDI eine Beschreibung nachprüfbarer Kontrollprozesse für eine Dokumentation der Kontrolle ausreicht. Das erinnert ein wenig an jene Audits, die sich auf das Sichten von Papier beschränken.
1 „Gefällt mir“
Hallo zusammen,
vom TLfDI gibt es eine neue “FAQ zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie nach den aktuellen Rechtsvorschriften” und ein “Muster für die Hinterlegung nach § 28b Infektionsschutzgesetz”.
@collonium: Danke!
Damit scheint Thüringen auf BW-Linie zu sein: jede Hinterlegung ist einwilligungspflichtig.
Die DSK hat heute eine Guideline zum Thema veröffentlicht:
https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_dsk_anwendungshilfe.pdf