• Arbeitnehmerinnen und Arbeitnehmer,
• die zu ihrer Berufsbildung Beschäftigten,
• Praktikanten
• arbeitnehmerähnliche Personen im Sinne des § 5 Abs. 1 des Arbeitsgerichtsgesetzes
• die in Werkstätten für Behinderte Beschäftigten

28b Abs. 3 S. 1 fordert eine tägliche Überwachung der Einhaltung der 3G-Zugangsregelung mitsamt der verpflichtenden Erbringung eines Impf-, Genesenen- oder Testnachweis.

a) Zu den Arbeitsstätten zählen insbesondere auch Orte auf dem Gelände eines Betriebes oder einer Baustelle, zu denen Beschäftigte im Rahmen ihrer Arbeit Zugang haben. Allerdings ist gem. § 28b Abs. 3 IfSG der Arbeitgeber der die Arbeitsstätte betretenden Personen zur Überprüfung der Einhaltung der 3G-Nachweispflicht verpflichtet.

Der Betriebsinhaber ist nicht verpflichtet und damit auf Grundlage des § 28b Abs. 3 IfSG auch nicht berechtigt, das Vorliegen der Zugangsvoraussetzungen zu prüfen, vielmehr obliegt diese Pflicht dem Arbeitgeber der jeweiligen Personen.

b) Daneben kann ein Betrieb in seinem Hygienekonzept eine 3G-Regelung einführen, womit auch Personen, die nicht Beschäftigte eines Betriebs sind, einen Nachweis erbringen müssen.

Eine datensparsame Überprüfung kann mittels der kostenlosen „CovPassCheck-App“ des RKI (CovPassCheck-App: Digitale COVID-Zertifikate der EU schnell prüfen (digitaler-impfnachweis-app.de) erfolgen. Hierbei wird der QR-Code des Impf- oder Genesenenzertifikats abgescannt. Die überprüfende Person sieht dann lediglich, dass ein gültiges Zertifikat vorliegt, nicht aber ob es sich um ein Impf- oder Genesenenzertifikat handelt. Weiterhin wird der Nachname, Vorname und das Geburtsdatum zur Verifizierung angezeigt. Eine Speicherung der angezeigten Daten durch die CovPassCheck-App findet nicht statt. Weiterhin kann eine Zugangskontrolle erfolgen, indem analog entsprechende Zertifikate vorgezeigt werden.

28b Abs. 1 S. 1 IfSG gibt den Beschäftigten die Möglichkeit ihren 3G-Nachweis beim Arbeitgeber zu hinterlegen. Damit ist der Arbeitgeber bis zum Ablauf der gesetzlichen Regelung (vgl. Frage IV. 11) in diesen Fällen befugt, auch eine Kopie des Nachweises auf Grundlage einer Einwilligung i.S.d. § 26 Abs. 2 BDSG zu speichern. Eine Kopie des Impfausweises ist hier mangels Eignung unzulässig. In Betracht kommt aber eine Kopie des entsprechenden Zertifikates.

Liegt keine Einwilligung vor, so ist eine Speicherung der Nachweise als solche z.B. als Kopie nicht zulässig.

Daten zum Impf-, Sero- und Teststatus dürfen nur verarbeitet werden, soweit dies erforderlich ist, um der Verpflichtung zur täglichen Überwachung durch Nachweiskontrollen und zur regelmäßigen Dokumentation nachzukommen (§ 28b Abs. 3 S. 3 IfSG). Eine Erforderlichkeit zur Speicherung der „3G-Daten“ kann begründbar sein, wenn der betriebliche Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung stehen würde oder die Beschäftigten einwilligen. Soweit die Erforderlichkeit für eine Verarbeitung des Status im Rahmen der 3G-Regelung begründet werden kann, genügt es vor dem Grundsatz der Datenminimierung (Art.5 Abs. 1 Buchst. c der Datenschutz-Grundverordnung (DS-GVO)), wenn das Vorhandensein eines gültigen Nachweises („ob“) mitsamt der Art des Nachweises („welches“, vgl. hierzu auch Frage IV. 4) und der Gültigkeitsdauer dokumentiert werden. Eine tägliche Kontrolle ist dann für die Beschäftigten, deren Status gespeichert wurde, grundsätzlich nicht mehr erforderlich.

§ 28b Abs. 3 S. 5 IfSG regelt die entsprechende Anwendung des § 22 Abs. 2 BDSG (vgl. Frage IV. 10).

Da der Arbeitgeber den G-Nachweis an sich nur in eng begrenzten Fällen speichern darf, kann eine Vorab-Zusendung des Nachweises nur freiwillig geschehen. Jedenfalls muss dem Beschäftigten auch die Möglichkeit gegeben werden, den Nachweis vor Ort bei Betreten der Arbeitsstätte vorzuzeigenWird die Möglichkeit einer elektronischen Zusendung eröffnet, so ist insbesondere darauf zu achten, dass der Empfängerkreis begrenzt gehalten wird (z.B. bei einer Funktions-E-Mail-Adresse) und der angebotene Kommunikationsweg sicher ist. Weiterhin gilt gleiches wie bei der Sichtkontrolle (vgl. Frage IV. 5). Soweit keine Befugnis zur Speicherung des Nachweises besteht, sind ggf. nach einer Dokumentation (Vorlage ja, ggf. konkreter Status, Gültigkeitsdauer), z.B. E-Mails mit Nachweisen zu löschen.

Alternativ kann z.B. im Rahmen eines Videochats ein Nachweis vorgezeigt werden. Auch hier müssen die Vorgaben zur Datensicherheit eingehalten werden.

Eine Konkretisierung der Überwachungs- und Dokumentationspflichten des Arbeitgebers ist nach § 28b Abs. 6 S. 2 Nr. 2 IfSG einer gesonderten Verordnungsregelung vorbehalten. Aus Sicht des LfDI M-V kann die Pflicht des Arbeitgebers zur regelmäßigen Dokumentation gem. § 28b Abs. 3 S. 1 IfSG zunächst nur eine Pflicht zur Dokumentation der Prozesse zur Überwachung der Einhaltung der Nachweispflichten und deren tatsächlichen Umsetzung bedeuten. Für den Nachweis einer tatsächlichen Umsetzung dieser Prozesse kann z.B. nach Erbringung des Nachweises ein Haken o.ä. hinter den Namen des jeweils Beschäftigten gesetzt werden.

Verantwortliche sollten vorsehen, dass spätestens nach Ablauf von sechs Monaten nach der Erhebung der „G-Daten“ überprüft wird, ob eine Pflicht zur Löschung besteht.

Die Dauer der Speicherung wird durch den Erforderlichkeitsgrundsatz begrenzt. Sobald der „G-Status“ nicht mehr zur Überprüfung der Zugangsvoraussetzungen und zur Erfüllung von Dokumentationspflichten nach § 28b IfSG erforderlich ist, sind die Daten zu löschen (vgl. Frage IV. 5) spätestens jedoch am Ende des sechsten Monats nach ihrer Erhebung (§ 28b Abs. 3 S. 8 IfSG) bzw. zum Zeitpunkt des Wegfalls der zu Grunde liegenden Rechtsgrundlage am 19.03.2022 (vgl. Frage IV. 10). Etwas anderes gilt, sofern der Arbeitgeber die weitere Verarbeitung (ausnahmsweise) auf eine andere Rechtsgrundlage stützen kann.

Die rechtmäßig bekanntgewordenen Daten dürfen insbesondere zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist (§ 28b Abs. 3 S.4 IfSG).

Eine Speicherung in der Personalakte ist grundsätzlich wegen der eigenständigen und vorübergehenden infektionsschutzrechtlichen Zweckbestimmung von 3G-Zugangsregelungen nicht erforderlich und damit nicht zulässig. Vergleichbares gilt gegebenenfalls auch im Falle einer weiteren Verarbeitung nach § 28b Abs. 3 S.4 IfSG. Die Speicherung des Vorliegens eines Impf-, Genesenen- und Teststatus muss wegen ihrer eigenständigen und vorübergehenden infektionsschutzrechtlichen Zweckbestimmung daher gesondert erfolgen.

Dabei muss sich vor Augen gehalten werden, dass es sich um eine Zugangsregelung handelt, deren Überprüfung vor dem Betreten der Arbeitsstätte erfolgen muss. Es muss somit die Stelle, die mit der Überprüfung des Vorliegens eines Nachweises und einer geforderten Dokumentation betraut ist, berechtigt sein, im erforderlichen Umfang Zugriff auf die gespeicherten Daten zu haben. Eine Zugriffsmöglichkeit und, damit einhergehend, eine Speicherung an anderer Stelle ist regelmäßig nicht erforderlich.

Der Impf- oder Genesenenstatus gehört zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DS-GVO. Mit der Verarbeitung dieser Daten ist regelmäßig ein hohes Risiko verbunden, so dass entsprechende technische und organisatorische Schutzmaßnahmen (z.Bsp. strenge Zugriffsbeschränkungen, Verschlüsselung beim E-Mailversand, sichere Aufbewahrung) zu treffen sind. Eine Datenschutz-Folgenabschätzung ist aus Sicht des LfDI M-V aber in der Regel nicht erforderlich.

Die Regelungen des § 28b IfSG gelten zunächst bis Ablauf des 19. März 2022.

Bei Corona-Schnelltests werden in der Regel personenbezogene Gesundheitsdaten der Arbeitnehmer erhoben, die unter den besonderen Schutz nach Artikel 9 DS-GVO fallen und für deren Erhebung immer eine Rechtsgrundlage gegeben sein muss. Bei freiwilligen Schnelltests legitimiert § 1a Abs. 3 der Corona-LVO M-V zu einer entsprechenden Datenverarbeitung. Von vollständig geimpften oder genesenen Beschäftigten dürfen darüber hinaus aber keine personenbezogenen Daten im Zusammenhang mit vom Arbeitgeber angeordneten Schnelltests verarbeitet werden. Soweit keine gesetzliche Testpflicht gegeben ist, können Beschäftigten aber Schnelltests zur selbstständigen Durchführung zur Verfügung gestellt werden. Die Inanspruchnahme des Tests oder gar das Testergebnis darf dann aber nicht dokumentiert werden.

In besonders gelagerten Einzelfällen kann sich aus spezialgesetzlichen Regelungen ergeben, dass eine Testpflicht trotz Impfung für Beschäftigte besteht. In diesen Fällen ist die Datenverarbeitung im Zusammenhang mit dem Test zulässig.

In jedem Fall müssen Arbeitgeber die Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit dem Schnelltest vor der Datenerhebung prüfen und die Beschäftigten gemäß Art. 13 DS-GVO darüber informieren.