Archive

Home » News » Empfehlungen zur datenschutzkonformen Umsetzung der 3G Regeln und zur Homeoffice-Pflicht

Empfehlungen zur datenschutzkonformen Umsetzung der 3G Regeln und zur Homeoffice-Pflicht

Home » News » Empfehlungen zur datenschutzkonformen Umsetzung der 3G Regeln und zur Homeoffice-Pflicht
alle News

Mit Veröffentlichung der Corona-Maßnahmen durch die Regierungen von Bund und Ländern vom 19.11.2021 ergeben sich neue Anforderungen. Nachfolgende Ausführungen sollen Sie bei der Umsetzung der Anforderungen unterstützen. Sie wurden nach bestem Wissen und Gewissen erstellt, bedeuten aber keine Rechtssicherheit. Ziehen Sie im Zweifel Ihren Rechtsbeistand hinzu. 

Ab 25.11.2021 gelten nach §28b Infektionsschutzgesetz (IfSG) neue Regelungen. Die bayerischen Regelungen aus der 15. Bayerischen Infektionsschutzmaßnahmenverordnung (15. IfSMV) werden damit nicht außer Kraft gesetzt, aber durch die Bundesregelung verdrängt, wenn diese inhaltlich Regelungen trifft. Für diese Neuregelungen wurde durch das Bundesministerium für Arbeit und Soziales (BMAS) eine FAQ-Sammlung veröffentlicht. 

Datenschutzrechtlich relevant sind insbesondere die Datenverarbeitungen im Rahmen der 3G-Regelung, sowie die Homeoffice-Pflicht. 

Kerninhalt der bundeseinheitlichen Regelung 

Arbeitgeber und Beschäftigte dürfen die Arbeitsstätte nur betreten, wenn sie geimpft, genesen oder getestet sind. Der Arbeitgeber ist zur Kontrolle verpflichtet und muss diese Kontrollen dokumentieren.  

Anwendungsbereich 

Dies gilt für alle Arbeitsstätten, in denen Kontakte von Arbeitgebern oder Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können. Entgegen der bayerischen Regelung gilt dies nun auf dem kompletten Betriebsgelände, auch außerhalb geschlossener Räume und schließt externe Baustellen und den arbeitsbedingten Personentransport mit ein. 

Die Anwendungsschwelle von mehr als 10 Beschäftigten wurde verdrängt. Die Regelungen gelten ab dem ersten Mitarbeiter und sind unabhängig von jeglichen Kennzahlen (Infektionszahlen, Krankenhausbelegung o.ä.) bis 19. März 2022 bindend. 

Rhythmus der Kontrollen 
Testung von ungeimpften Beschäftigten 

Entgegen der bisherigen bayerischen Regelung von zwei Kontrollen pro Woche, muss der Status täglich abgefragt werden. In Bezug auf ungeimpfte Beschäftigte bedeutet dies, einen täglichen Nachweis über die negative Testung erbringen zu müssen.  

Nachweis von geimpften und genesenen Beschäftigten 

Der Nachweis muss einmal im Gültigkeitszeitraum geprüft werden. Der Genesenenstatus ist aktuell auf 6 Monate beschränkt. 

Dokumentation 

Über die Bundesregelung ergibt sich nun auch die Ermächtigung des Arbeitgebers, diese Daten für den Kontrollprozess zu dokumentieren. 

Geeignete Nachweise  

Nach der Schutzmaßnahmen Ausnahmeverordnung §2 Abs.1 Nr.3 ist ein geeigneter Nachweis:

  • Impfnachweis mit einem anerkannten Impfstoff. Letzte Einzelimpfung muss 14 Tage zurückliegen 
  • Genesenennachweis mit anerkanntem Testverfahren, dass mindestens 28 Tage und maximal 6 Monate zurückliegt 
  • Testnachweis (negativ), maximal 24h alt und 
    • vor Ort unter Aufsicht erfolgt ist, 
    • im Rahmen einer betrieblichen Testung durch geschultes Personal erfolgt ist 
    • oder durch einen definierten Leistungserbringer erfolgte (§ 6 Absatz 1 der Coronavirus-Testverordnung).

Grundsätzlich hat die Kontrolle vor Betreten des Betriebsgeländes zu erfolgen. Um an einer betrieblichen Testung teilzunehmen, dürfen Beschäftigte für diesen Zweck das Betriebsgelände auch ohne negativen Testnachweis betreten. 

Im Rahmen dieser Nachweispflicht haben sich Prozesse etabliert, die beispielsweise die Zustellung von Testnachweisen per Messenger an die Vorgesetzten beinhalten. Hier ist daran zu denken, dass die personenbezogenen Informationen im Rahmen der Covid-Pandemie als Gesundheitsdaten gelten und besonders schutzbedürftig sind. Eine Verarbeitung sollte ausschließlich über gesicherte Verbindungen und auf Arbeitsgeräten erfolgen. Zugestellte Nachweise der Beschäftigten müssen nach dem Übertrag in die Dokumentation gelöscht werden. 

Dokumentationsform

Der Arbeitgeber ist verpflichtet, die Erfüllung der 3G-Pflicht zu dokumentieren. Dies kann ohne Erfassung des konkreten G-Status erfolgen. Durch die Bundesregelung ist der Arbeitgeber aber auch berechtigt, den konkreten Status zu Kontrollzwecken zu dokumentieren. Damit erleichtert sich der Nachweis für geimpfte und genesene Beschäftigte, da von einer täglichen Prüfung abgesehen werden kann. 

Es ist ausdrücklich auch die digitale Form der Dokumentation zugelassen. 

Aus Datenschutzsicht sollte die Dokumentation in einer zugriffsgeschützten Datei, z.B. einer Exceltabelle erfolgen, auf das unbedingt notwendige Maß beschränkt und auf den unbedingt notwendigen Personenkreis begrenzt sein. Die Liste kann um die Information zum Ablaufdatum ergänzt werden, um die Notwendigkeit eines Folgenachweises ableiten zu können. 

Die Dokumentation ist außerhalb der Personalakte zu führen. Diese Vorgehensweise ist auch zu empfehlen, da die zeitlich begrenzten Aufzeichnungen eine klare Trennung zu fortlaufenden Dokumentationen ermöglichen und die Einhaltung von Aufbewahrungsfristen erleichtern. 

Unter Dokumentationspflichten wird auch die Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten verstanden. Hier sind die Prozesse des Kontroll- und Dokumentationsvorgangs zu ergänzen.  

Auf Grundlage des Transparenzanspruches gegenüber den Beschäftigten und um der Informationspflicht nachzukommen, sind die Datenverarbeitungen über Datenschutzhinweise zu veröffentlichen. 

Aufbewahrungsfristen

Die Daten der Dokumentation sind hinsichtlich der Vorhaltepflicht für behördliche Kontrollen spätestens sechs Monate nach Erhebung zu löschen. 

Vertraulicher Umgang und vertrauliche Verhaltensformen 

Alle Verarbeitungen im Rahmen der Covid-Prozesse beinhalten in der Regel besonders sensible Informationen. Der begrenzte Mitarbeiterkreis mit Zugriffsrechten muss sich darüber bewusst sein, dass diese Informationen nur mit berechtigten Personen ausgetauscht werden dürfen. Besonders gilt dies im Rahmen von Kontrollen und der Dokumentation von 3G-Nachweisen. Es wird empfohlen, Mitarbeiter mit erweiterten Zugriffsrechten zur Vertraulichkeit in Bezug auf die Covid-Informationen zu verpflichten. 

Pflicht zur Ermöglichung von Home Office

Im Rahmen der Ermöglichung von Homeoffice sollten sich Unternehmen bewusst sein, dass sich dadurch Risiken in Bezug auf den Datenschutz und die Informationssicherheit ergeben. Es wird empfohlen eine Homeoffice-Richtlinie zu veröffentlichen, die Arbeitnehmer an definierte Regeln zur Einhaltung des Datenschutzes und der Informationssicherheit bindet. 

Technische Zugriffsmöglichkeiten sollten so gestaltet werden, dass sich damit keine neuen Schwachstellen in der IT-Infrastruktur ergeben. Die in den ersten Infektionswellen kurzfristig umgesetzten Lösungen, sollten mittlerweile sicher angepasst sein. Es ist damit zu rechnen, dass das Risiko von Cyberangriffen parallel ansteigt. 

Wenn wir Sie bei der Umsetzung von einzelnen Bausteinen unterstützen dürfen, kommen Sie jeder Zeit auf uns zu. 

alle News
Kontakt und mehr