Stand: 22.11.2021

Seit Beginn der Corona-Pandemie stellt die Einhaltung der Hygieneschutzvorschriften Arbeitgeber im Betriebsalltag sowie in der Mitarbeiterorganisation immer wieder vor Herausforderungen. Mit Fortschritten und Änderungen in Bezug auf die Durchführung von Corona-Impfungen und Schnell-/Selbsttest sowie der SARS-CoV-2-Arbeitsschutzverordnung kamen seit Mitte April 2021 immer wieder neue Anforderungen hinzu – auch aus Sicht des Datenschutzes.

Welche Vorgaben in Unternehmen konkret umgesetzt werden müssen, hing bis Ende November von der Gesetzesgestaltung auf Länderebene ab. Ob lediglich Arbeitgeber zur Bereitstellung von Corona-Tests verpflichtet sind oder auch eine Testpflicht für Arbeitnehmer besteht, welche Dokumentationen geführt werden müssen bzw. dürfen und ob ggf. die sog. „3G-Regel(-Plus)“ (geimpft, genesen oder getestet) am Arbeitsplatz umgesetzt werden muss, war in den einzelnen Bundesländern teilweise unterschiedlich geregelt. Nun haben Bundestag und Bundesrat die Änderung des Infektionsschutzgesetzes (IfSG) beschlossen. Das neue Infektionsschutzgesetz sieht insbesondere folgendes vor:

  • Die epidemische Lage nationaler Reichweite läuft planmäßig zum 25.11.2021 aus. Damit entfallen ab diesem Zeitpunkt Sonderdurchgriffsrechte und Entscheidungen müssen auf Bundesebene im Parlament (Bundestag) getroffen werden.
  • Weitere Lockdown-Maßnahmen auf Länderebene sind nur noch eingeschränkt möglich.
  • Der Maßnahmenkatalog des § 28a IfSG, der aktuell 17 Maßnahmen umfasst, wird auf acht Maßnahmen gekürzt. Bestehen bleiben unter anderem die Möglichkeiten von Kontaktbeschränkungen, Alkoholverbote und die Absage von Sport-, Konzert- oder anderen Veranstaltungen, das heißt, auch Weihnachtsmärkte können verboten werden. Die Maßnahmen gelten bis zum 19.03.2022.
  • Die 3G-Regel gilt bundesweit am Arbeitsplatz, wobei die Mindestzahl an Beschäftigten aus der bayerischen Verordnung entfällt (derzeit 10 inkl. Inhaber), sowie im Personennah- und Fernverkehr.
  • Die Fälschung von Impfpässen kann mit einer Geldstrafe und einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden (§ 275 Abs. 1a StGB n. F.). Das unbefugte Ausstellen von Gesundheitszeugnissen durch nicht approbierte Medizinalpersonen bzw. das Austellen unrichtiger Zeugnisse durch approbierte Medizinalpersonen kann ebenfalls mit einer Geld- oder Freiheitsstrafe geahndet werden (§§ 277, 278 StGB n. F.

Viele Arbeitgeber müssen sich nun wieder die Frage stellen, welche Daten sie von ihren Arbeitnehmern erfragen und speichern dürfen. Dieser Artikel liefert einen Überblick über die wichtigsten Datenschutzvorgaben, die mit der Gesetzesänderung einhergehen. Grundsätzlich gilt: Grundsatz der Datenminimierung beachten, Dokumentations- und Informationspflichten erfüllen.

3G-Regel am Arbeitsplatz

Das neue Infektionsschutzgesetz enthält in § 28b verschiedene Schutzvorgaben am Arbeitsplatz. Unter anderem gilt für Beschäftigte in Arbeitsstätten, wo ein Kontakt zu anderen Personen, das heißt, untereinander oder zu Dritten, nicht ausgeschlossen werden kann, die 3G-Regel. Arbeitgeber dürfen entsprechend nur Zutritt zur Betriebsstätte gewähren, wenn der/ die Beschäftigte einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis vorlegen kann (§ 28b Abs. 1 IfSG n. F.). Beschäftigte müssen einen entsprechenden Nachweis mit sich führen, zur Kontrolle verfügbar halten oder beim Arbeitgeber hinterlegt haben. Test dürfen hierbei maximal 24 Stunden bzw. 48 Stunden (bei Testung mittels Nukleinsäurenachweis; z. B. PCR, PoC-PCR) zurückliegen. Ausnahmen gibt es nur, wenn Beschäftigte die Betriebsstätte betreten, um ein Test- oder Impfangebot des Arbeitgebers anzunehmen. Für bestimmte Einrichtungen und Unternehmen im Gesundheits- und Pflegebereich, gilt auch für Geimpfte und Genesene eine Testpflicht (§ 28b Abs. 2 IfSG n. F.).

Die Nachweiskontrollen müssen Arbeitgeber gem. § 28b Abs. 3 IfSG n. F. täglich durchführen und regelmäßig dokumentieren. Soweit zur Erfüllung dieser Pflicht erforderlich, dürfen Arbeitgeber auch personenbezogene Daten der Beschäftigten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf COVID-19 verarbeiten. Damit hat der Gesetzgeber eine Rechtsgrundlage für die Verarbeitung für Beschäftigtendaten nach § 26 Abs. 1, 3 BDSG im Rahmen der 3G-Dokumentation geschaffen.

Recht auf Homeoffice

Arbeitgeber müssen Beschäftigten, die Büroarbeit oder ähnliche Tätigkeiten ausüben künftig wieder anbieten, von zuhause aus zu arbeiten (Homeoffice), wenn dem keine zwingenden betrieblichen Gründe entgegenstehen (§ 28b Abs. 4 IfSG). Die Ausnahme gilt insbesondere für die Produktion, gewisse Dienstleistungen, den Handel u. Ä., die eine Tätigkeit außerhalb der Betriebsstätte nicht zulassen. Dieses Angebot muss von den Beschäftigten angenommen werden, wenn ihrerseits keine Gründe entgegenstehen. Unklar ist allerdings noch, ob der/ die Arbeitgeber(in) die konkreten Gründe, warum kein Homeoffice möglich ist, offenlegen muss. Aus Nachweiszwecken sollten sich Arbeitgeber die Mittelung zumindest in Textform geben lassen. Die Regelung entspricht insgesamt der alten Homeoffice-Regelung aus § 28b Abs. 7 IfSG, die zwischenzeitlich aufgrund der Verbesserung der Infektionslage außer Kraft trat.

Arbeiten Beschäftigte nicht im Homeoffice, sondern im Betrieb, müssen betriebliche Personenkontakte gem. § 3 SARS-CoV-2-Arbeitsschutzverordnung n. F. auf ein Minimum reduziert werden. Soweit nicht betrieblich erforderlich, sollen Räume in der Regel nicht von mehreren Personen genutzt werden.

Pflicht zur Bereitstellung von Corona-Tests für Arbeitgeber

Nach § 4 Abs. 1 der SARS-CoV-2-Arbeitsschutzverordnung sind nach aktueller Fassung Arbeitgeber weiterhin dazu verpflichtet, allen Arbeitnehmern, die nicht im Homeoffice arbeiten, zweimal wöchentlich einen Corona-Test anzubieten. Dies gilt unabhängig davon, ob für die Mitarbeiter beispielsweise aufgrund der Tätigkeit in körpernahen Dienstleistungen ein besonders hohes Infektionsrisiko besteht oder nicht. Die Tests müssen für den direkten Erregernachweis des Coronavirus SARS-CoV-2 bestimmt und auf Grund ihrer CE-Kennzeichnung oder auf Grund einer gemäß § 11 Absatz 1 des Medizinproduktegesetzes in der am 25. Mai 2021 geltenden Fassung erteilten Sonderzulassung verkehrsfähig sein. Arbeitgeber müssen gem. § 5 Abs. 3 der SARS-CoV-2-Arbeitsschutzverordnung lediglich die Beschaffung der Tests bzw. Vereinbarungen mit Dienstleistern über die Durchführung der Tests dokumentieren und diese Nachweise für vier Wochen aufbewahren. Diese Dokumentationen sind aufgrund eines fehlenden Personenbezugs nicht datenschutzrelevant, das heißt, hier müssen keine besonderen Vorgaben der DS-GVO beachtet werden.

Aus Sicht des Datenschutzes relevant ist allerdings die Dokumentation der Durchführung von Tests und deren Ergebnisse, insbesondere da hier Gesundheitsdaten betroffen sind, die unter Art. 9 Abs. 1 DS-GVO fallen und besonders sensibel sind. Die SARS-CoV-2-Arbeitsschutzverordnung selbst gibt eine solche Dokumentationspflicht der Arbeitgeber in Bezug auf die Durchführung der Tests sowie die Testergebnisse der Personen aber nicht vor.

Die Teilnahme an den Corona-Tests ist für Beschäftigte nach der SARS-CoV-2-Arbeitsschutzverordnung grundsätzlich freiwillig. Auch beim Vorliegen konkreter Symptome, die Anzeichen für eine Corona-Infektion sein können, dürfen Arbeitgeber ihre Mitarbeiter nicht zu einem Test verpflichten. Hieran ändert auch die 3G-Regel am Arbeitsplatz für Besucher und Beschäftigte nichts. Grundsätzlich können Beschäftigte auch einen Testnachweis von einer anderen Stelle vorlegen.

Außerhalb der gesetzlichen Testpflicht können Arbeitgeber keine allgemeinen, anlasslosen Corona-Tests anordnen. Denkbar wäre es zwar grundsätzlich, die Anordnung auf das allgemeine Weisungsrecht bzw. die Schutz- und Fürsorgepflicht gegenüber allen Beschäftigten zu stützen. Da es sich bei dem Testergebnis allerdings um ein Gesundheitsdatum handelt, sind aus Datenschutzsicht die strengen Vorgaben des § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO zu beachten. In der Regel werden die Schutzinteressen des Arbeitnehmers (körperliche Integrität und das allgemeine Persönlichkeitsrecht) überwiegen, weshalb Arbeitgeber, wenn überhaupt nur in speziellen Einzelfällen Mitarbeiter zu einem Test verpflichten können. Die Abwägung muss für jeden Einzelfall individuell durchgeführt und dokumentiert werden. In den meisten Fällen wird allerdings eine Einwilligung des Arbeitnehmers erforderlich sein.

Allgemeine Datenschutzpflichten

Unabhängig davon, wie die Infektionsschutzverordnung  und andere Vorordnungen in der jeweils aktuellen ausgestaltet sind, müssen bei der Verarbeitung personenbezogener Daten im Rahmen der Corona-Test die allgemeinen Datenschutzregeln beachtet werden. Hierzu zählen insbesondere folgende Pflichten:

Wie bei jeder Verarbeitung persönlicher Informationen ist für die Zulässigkeit eine Rechtsgrundlage nach Art. 6 DS-GVO erforderlich, wobei für Gesundheitsdaten zusätzlich Art. 9 DS-GVO zu beachten ist. Bei Verarbeitungen im Rahmen eines Beschäftigungsverhältnisses greift zudem § 26 BDSG. Die Rechtmäßigkeit der Verarbeitung muss für jeden Verarbeitungsschritt individuell geprüft werden, das heißt bei Tests sowohl für die Durchführung der Tests als auch für die Dokumentation des Testergebnisses und ggf. die Meldung an das Gesundheitsamt. Ähnlich ist es bei der Durchführung von Kontrollen zur 3G-Regel und der zugehörigen Dokumentation.

Besteht nach den Verordnungen der Länder oder des Bundes eine Pflicht für Arbeitgeber, Testbescheinigungen auszustellen, Testergebnisse zu dokumentieren oder (positive) Testergebnisse an das Gesundheitsamt zu melden, kann die Verarbeitung auf § 26 Abs. 3 BDSG bzw. Art. 9 Abs. 2 lit. b) DSGVO i. V. m. der entsprechend geltenden Verordnung gestützt werden. Ist dies nicht der Fall, ist regelmäßig die Einwilligung des betroffenen Arbeitnehmers erforderlich.

Hinweis: Bei Antigen-Schnelltests besteht für positive Ergebnisse nach dem Infektionsschutzgesetz eine Meldepflicht gegenüber dem Gesundheitsamt. Bei Selbsttests zur Eigenanwendung besteht dagegen keine Meldepflicht. Die zuständige Behörde kann zudem Auskünfte bei den Unternehmen verlangen, um die Einhaltung der 3G-Regelung bzw. der notwendigen Kontrollen zu überprüfen.

In jedem Fall müssen Arbeitgeber darauf achten, möglichst wenige Daten zu erheben und zu speichern. Es dürfen nur Daten verarbeitet werden, die zwingend zur Erreichung des verfolgen Ziels erforderlich sind („so wenig wie möglich, so viel wie nötig“). Bei der Meldung von positiven Testergebnissen an das Gesundheitsamt sind einige Pflichtangaben vorgeschrieben, unter anderem Name, Geschlecht, Geburtsdatum und Anschrift. Diese Daten liegen in der Regel bereits in der Personalakte vor und sollten deshalb nicht noch einmal abgefragt werden.

Bei der Dokumentation der Kontrollen zur Einhaltung der 3G-Regel in der Betriebsstätte sollten ebenfalls möglichst wenig Informationen gespeichert werden. Da die Informationen ggf. an die zuständige Behörde herausgegeben werden müssen, sollte nach Möglichkeit mit Pseudonymisierung gearbeitet werden. Aufgelistet werden können beispielsweise Personalnummern statt vollständiger Namen sowie kurze Informationen zum Status der/ des betreffenden Beschäftigten (z. B. Kontrolldatum, Ergebnis der Kontrolle, Datum der nächsten notwendigen Kontrolle).

Zudem dürfen personenbezogene Daten nicht dauerhaft gespeichert werden, sondern müssen gelöscht werden, sobald sie nicht mehr benötigt werden. Die Verordnungen der Länder sahen zuletzt für die Dokumentation der Testergebnisse regelmäßig eine Aufbewahrungsfrist von zwei bis vier Wochen vor, anschließend sollten die Daten gelöscht werden. Dokumentationen zur 3G-Regel können aufbewahrt werden, solange die gesetzlichen Vorgaben und Kraft sind und die Informationen noch aktuell sind.

Wie jede andere Verarbeitungstätigkeit muss auch die Datenverarbeitung bei der Durchführung von Corona-Test sowie der 3G-Kontrollen dokumentiert und in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Das Verzeichnis ist regelmäßig zu aktualisieren, da die Verordnungen immer wieder geändert werden. Da Gesundheitsdaten verarbeitet werden, ist zudem zu prüfen, ob eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO durchgeführt werden muss. Diese ist ebenfalls zu dokumentieren.

Die Verarbeitung ihrer personenbezogenen Daten muss für Arbeitnehmer transparent gestaltet und die Informationspflicht nach Art. 13 DS-GVO erfüllt werden. Arbeitgeber müssen ihre Beschäftigten unter anderem darüber informieren, welche Daten betroffen sind, wer Zugriff auf diese Daten hat und wann sie gelöscht werden. Der Datenschutzhinweis muss den betroffenen Personen gem. Art. 13 Abs. 1 DS-GVO unverzüglich bei der Erhebung der Daten zur Verfügung gestellt werden.

Datenverarbeitende Stellen sind gem. Art. 24 Abs. 1, 32 DS-GVO dazu verpflichtet, durch technische und organisatorische Maßnahmen ein ausreichendes Schutzniveau für personenbezogene Daten sicherzustellen. Da hier mit Gesundheitsdaten besonders sensible Informationen von der Verarbeitung betroffen sind, besteht ein besonderer Schutzbedarf. Insbesondere sollten Zugriffsrechte auf die Test- und Kontrollergebnisse nur sehr restriktiv vergeben werden – sowohl bei digitalen als auch bei einer Dokumentation in Papierform. Es muss sichergestellt werden, dass keine unberechtigten Personen Zugang zu den Ergebnissen haben. Dies muss auch bei der Organisation der Tests und Kontrollen im Unternehmen beachtet werden. Beispielsweise sollten gleichzeitige Selbsttest mehrerer Personen in einem Raum vermieden werden, da für die anderen Personen häufig die Möglichkeit besteht, das Ergebnis einzusehen.

Neben den Anforderungen aus der DS-GVO muss unter Umständen auch der Betriebsrat oder sonstige Mitarbeitervertretungen mit einbezogen werden. Dies gilt insbesondere dann, wenn der Prozess Teil des Hygienekonzepts werden soll oder das bestehende Hygienekonzept aufgrund der aktuellen Schutzvorgaben angepasst werden soll.

Dokumentation geimpfter Personen im Unternehmen

Eine weitere datenschutzrechtliche Herausforderung für Arbeitgeber stellt die Dokumentation vollständig geimpfter und genesener Arbeitnehmer dar. Grundsätzlich dürfen Arbeitgeber bei Beschäftigten nicht erfragen, ob diese (vollständig) geimpft worden sind oder nicht. Wie auch bei den Corona-Test-Ergebnissen handelt es sich bei der Frage, ob eine Person geimpft ist, um ein Gesundheitsdatum, das gem. Art. 9 DS-GVO nur unter engen Voraussetzungen verarbeitet werden darf. Als Rechtsgrundlage könnte lediglich § 26 Abs. 3 S. 1 BDSG infrage kommen. Dieser erlaubt die Verarbeitung besonderer Kategorien von Daten im Beschäftigungsverhältnis, wenn dies zur Erfüllung arbeits- oder sozialrechtlicher Verpflichtungen des Arbeitsgebers erforderlich ist und keine schutzwürdigen Interessen des Arbeitnehmers überwiegen.

Zwar haben Arbeitgeber eine Fürsorgepflicht gegenüber all ihren Beschäftigten, woraus sich allerdings nicht automatisch eine Erforderlichkeit ergibt, den Impfstatus abzufragen. Eine rechtliche Grundlage für diese Abfrage ist weder in der Corona-ArbSchV noch im IfSG vorgesehen. Eine Änderung des IfSG soll es künftig zumindest für Schulen, Kitas, Pflegeeinrichtungen und Gemeinschaftsunterkünfte möglich machen, den Impfstatus der Beschäftigten abzufragen. Für Arbeitgeber außerhalb dieser Bereiche ist damit allerdings fraglich, ob § 26 Abs. 3 S. 1 BDSG als Rechtsgrundlage herangezogen werden kann. In jedem Fall sollten Arbeitgeber zunächst mildere Mittel als eine Impfanfrage in Betracht ziehen, um die Ansteckungsgefahr für Arbeitnehmer zu minimieren (z. B. gelten Corona-Tests als geringerer Eingriff für die Betroffenen). Eine Einwilligung des betroffenen Arbeitnehmers kommt wohl nicht in Betracht, da aufgrund des Abhängigkeitsverhältnisses zum Arbeitgeber die Freiwilligkeit der Zustimmung fraglich ist. Dass die Zustimmung eines Beschäftigten freiwillig erteilt wurde, wird insbesondere dann angenommen, wenn für die betroffene Person damit ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Die Änderung der Corona-ArbSchV, nach der Arbeitgeber den Impf- und Genesungsstatus von Beschäftigten bei betrieblichen Arbeitsschutzmaßnahmen berücksichtigen dürfen, wenn ihnen dieser bekannt ist (§ 2 Abs. 1 Corona-ArbSchV), schafft ebenfalls keine Rechtsgrundlage für die Abfrage an sich – auch wenn das Schutzziel des Gesetzgebers hierdurch unterlaufen wird. Daran ändert sich auch durch die Anpassung des IfSG nichts, da hier explizit kein Fragerecht enthalten ist. Zwar müssen Impf- und Genesungsnachweise überprüft und der Status entsprechend abgefragt werden, Beschäftigte sind aber lediglich verpflichtet, einen der Nachweise vorzulegen. Beispielsweise könnten Geimpfte für Kontrollen auch einen Testnachweis zur Verfügung stellen.

Liegt bei einzelnen Arbeitnehmern nicht ein gesetzlicher Ausnahmefall vor, darf der Impf- oder Genesenenstatus vom Arbeitgeber nicht verarbeitet werden. Sprechen Arbeitnehmer von sich aus offen über ihre Impfung, darf der Arbeitgeber das Wissen über den Impfstatus natürlich verwenden. Eine aktive Frage nach der Corona-Schutzimpfung oder eine Dokumentation der erhaltenen Impfinformationen ist aber datenschutzrechtlich nicht zulässig.

Fazit

Die Maßnahmen zur Eindämmung der Pandemie müssen bei der konkreten Umsetzung von Unternehmen mit den europäischen Vorgaben zum Schutz (besonders sensibler) personenbezogener Daten in Einklang gebracht werden. Ihrer datenschutzrechtlichen Verantwortung können Unternehmen teilweise mangels gesetzlicher Rahmenbedingungen zur Orientierung derzeit nur gerecht werden, wenn sie die gesetzlichen Bestimmungen im Auge behalten und bei ihren Umsetzungen die Leitlinien aus Art. 5 DS-GO entsprechend hinterfragen und berücksichtigen. Bei Unsicherheiten bezüglich des „Ob“ und des „Wie“ kann der Datenschutzbeauftragte oder ein externer Datenschutzexperte für mehr Klarheit sorgen.