Stand: 04.04.2022

Die Corona-Pandemie stellt Arbeitgeber im Betriebsalltag immer wieder vor Herausforderungen und schon mehrmals mussten Anpassungen an neue Regelungen vorgenommen werden. Seit dem 03. April 2022 gelten in den meisten Bundesländern nur noch die sogenannten Basismaßnahmen. Bereits seit dem 20. März 2022 gelten Regelungen, die für Arbeitgeber und Arbeitnehmer von großer Bedeutung sind. So haben Bundestag und Bundesrat am 18. März 2022 ein Gesetz zur Änderung des Infektionsschutzgesetzes (IfSG) verabschiedet. Nach dem Auslaufen der bisher geltenden Corona-Regelungen zum 19. März 2022 werden weitere Corona-Maßnahmen nur noch auf Landesebene und für „konkret zu benennende Gebietskörperschaften“ möglich sein. Folgende Regelungen sind seit dem 20. März 2022 aufgehoben und wurden beendet:

  • die 3G-Zugangsregelungen am Arbeitsplatz und
  • die Homeoffice-Pflicht

Das Ende der 3G-Regel am Arbeitsplatz

Die bisherigen Regelungen des § 28b IfSG werden ohne Übergangsfrist ersatzlos aufgehoben, das heißt, die bisher in § 28b Abs. 1 IfSG geregelte 3G-Regelung für Betriebe entfällt.

Ohne diese gesetzliche Grundlage dürfen Arbeitgeber für ihre Mitarbeiter keine eigene betriebliche 2G- oder 3G-Zugangsregelung in ihren Betrieben anordnen. Die würde nämlich die in Art. 12 Abs. 1 S. 2 Grundgesetz (GG) geregelte Berufsausübungsfreiheit unzulässig einschränken. Dieses Grundrecht der (ungeimpften) Arbeitnehmer darf ohne eine gesetzliche Grundlage nicht eingeschränkt werden. Auch wenn die SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) bis zum 25. Mai 2022 verlängert worden ist, besteht für Arbeitgeber auch daraus keine Möglichkeit mehr, eine freiwillige betriebliche 3G-Regelung aufrechtzuerhalten, denn es werden keine Basisschutzmaßnahmen mehr unmittelbar vorgeschrieben.

Daher entfallen mit der 3G-Zugangsregelung die damit einhergehenden Kontroll- und Dokumentationspflichten für Arbeitgeber. Nach Entfall der 3G-Reglung am Arbeitsplatz haben Arbeitgeber deshalb keine Rechtsgrundlage mehr, den 3G-Status ihrer Arbeitnehmer abzufragen und zu dokumentieren. Aus Datenschutzsicht dürfen bisherige Dokumentationen maximal für eventuell mögliche Kontrollen noch aufgehoben werden. Eine Übergangsfrist sollte aber nicht länger als bis Ende April gelten. Ab Mai müssen sämtliche 3G-Dokumentationen endgültig gelöscht werden. Die bisher verwendeten Dokumentationen können aber als leere Vorlage abgespeichert werden, um eventuell ab Ende September für eine weitere Welle erneut verwendet werden zu können.

Arbeiten Beschäftigte nicht im Homeoffice, sondern im Betrieb, müssen betriebliche Personenkontakte gem. § 3 SARS-CoV-2-Arbeitsschutzverordnung n. F. auf ein Minimum reduziert werden. Soweit nicht betrieblich erforderlich, sollen Räume in der Regel nicht von mehreren Personen genutzt werden.

Bereitstellung von Corona-Tests für Arbeitnehmer

Rechtsgrundlage für freiwillige Testungen im Betrieb ist ab sofort die neue bundesrechtliche Corona-ArbSchV. Hierin ist geregelt, dass der Arbeitgeber, in Abhängigkeit von der Gefährdungsbeurteilung und des regionalen Infektionsgeschehens, verpflichtet ist, einen kostenlosen Test pro Woche anzubieten, wenn Arbeitnehmer nicht ausschließlich im Homeoffice arbeiten. Abhängig vom Ergebnis der Gefährdungsbeurteilung ist es aber auch möglich, dass kein Test mehr angeboten wird.

Gesundheitsdaten waren als Teil der Privatsphäre immer besonders geschützt

Vor der Corona-Pandemie gingen Arbeitgeber Gesundheitsinformationen der Arbeitnehmer in aller Regel nichts an. Die Vorgaben des Datenschutzes haben die Beschäftigten gesetzlich vor teilweise nachvollziehbaren Interessen der Unternehmen geschützt und sehr klare Grenzen gezogen. Gesundheitsdaten gelten im Allgemeinen als hoch sensibel und jede Weitergabe birgt potenziell hohe Risiken für Betroffene, weshalb die Informationen grundsätzlich nur im notwendigsten Rahmen verarbeitet werden sollten und dürfen. Mit der bisher geltenden Regelung von 3G am Arbeitsplatz hat sich dieses allgemeine Grundverständnis im November 2021 allerdings massiv geändert.

Allgemein ist die Abfrage des Impfstatus von Arbeitnehmern nach den Datenschutzregeln nicht erlaubt. Für die Abfrage im Rahmen der Corona-Pandemie wurde jedoch oftmals ein branchenübergreifendes „berechtigtes Interesse“ an der Erhebung dieser speziellen Gesundheitsdaten vorgebracht. Die reine Fürsorgepflicht des Arbeitgebers gegenüber seiner Belegschaft allein reicht aber für eine Abfrage des Impfstatus noch nicht aus. Ohne Spezialregelung im Infektionsschutzgesetz sind und waren Arbeitgeber deshalb auf organisatorische Maßnahmen zur Pandemiebekämpfung sowie auf das reine Anbieten von Tests zur eigenverantwortlichen Durchführung beschränkt.

Gerade im Hinblick auf Corona wurde eine mangelnde Sensibilität der Arbeitgeber für Datenschutzgesichtspunkte gepaart mit Unsicherheiten bezüglich der konkreten Anforderungen und den Ängsten vor möglichen Maßnahmen des Gesundheitsamts deutlich. Das Vorgehen nach der Regel „Viel hilft viel“ hatte aber nur bedingt Erfolg, da aus Datenschutzsicht stets der Grundsatz der Datenminimierung beachtet werden muss. Es kam im Hinblick auf die Verarbeitung der Gesundheitsdaten deshalb im vergangenen Jahr zu zahlreichen Beschwerden von Beschäftigten bei den Aufsichtsbehörden. In Bremen machten Verletzungen im Bereich des Beschäftigdatenschutzes sogar die Hälfte aller Datenschutzverstöße 2021 aus. Einige Betriebe sahen sich beispielsweise dazu veranlasst, eine allgemeine betriebliche Impfquote zu erheben und diese unter den Arbeitnehmern kundzutun – oftmals mit einer hieran geknüpften Aufforderung an die nicht geimpften Arbeitnehmer, die Inanspruchnahme einer Schutzimpfung nochmals zu überdenken.

Allgemeine Datenschutzpflichten

Unabhängig davon, wie die Infektionsschutzverordnung  und andere Vorordnungen in der jeweils aktuellen ausgestaltet sind, müssen bei der Verarbeitung personenbezogener Daten die allgemeinen Datenschutzregeln beachtet werden. Hierzu zählen insbesondere folgende Pflichten:

Wie bei jeder Verarbeitung persönlicher Informationen ist für die Zulässigkeit eine Rechtsgrundlage nach Art. 6 DS-GVO erforderlich, wobei für Gesundheitsdaten zusätzlich Art. 9 DS-GVO zu beachten ist. Bei Verarbeitungen im Rahmen eines Beschäftigungsverhältnisses greift zudem § 26 BDSG. Die Rechtmäßigkeit der Verarbeitung muss für jeden Verarbeitungsschritt individuell geprüft werden.

In jedem Fall müssen Arbeitgeber darauf achten, möglichst wenige Daten zu erheben und zu speichern. Es dürfen nur Daten verarbeitet werden, die zwingend zur Erreichung des verfolgten Ziels erforderlich sind („so wenig wie möglich, so viel wie nötig“). Zudem dürfen personenbezogene Daten nicht dauerhaft gespeichert werden, sondern müssen gelöscht werden, sobald sie nicht mehr benötigt werden. Für die bisherigen 3G-Dokumentationen kann eine Übergangs-Aufbewahrungsfrist bis Ende April angenommen werden. Ab Mai müssen diese Dokumentationen aber vollständig gelöscht werden.

Auch aus dem Verzeichnis der Verarbeitungstätigkeiten müssen die Dokumentationen der 3G-Regelung gelöscht bzw. zumindest auf beendet gesetzt werden.

Die Verarbeitung ihrer personenbezogenen Daten muss für Arbeitnehmer transparent gestaltet und die Informationspflicht nach Art. 13 DS-GVO erfüllt werden. Arbeitgeber müssen ihre Beschäftigten unter anderem darüber informieren, welche Daten betroffen sind, wer Zugriff auf diese Daten hat und wann sie gelöscht werden. Der Datenschutzhinweis muss den betroffenen Personen gem. Art. 13 Abs. 1 DS-GVO unverzüglich bei der Erhebung der Daten zur Verfügung gestellt werden.

Datenverarbeitende Stellen sind gem. Art. 24 Abs. 1, 32 DS-GVO dazu verpflichtet, durch technische und organisatorische Maßnahmen ein ausreichendes Schutzniveau für personenbezogene Daten sicherzustellen. Da hier mit Gesundheitsdaten besonders sensible Informationen von der Verarbeitung betroffen sind, besteht ein besonderer Schutzbedarf.

Neben den Anforderungen aus der DS-GVO muss unter Umständen auch der Betriebsrat oder sonstige Mitarbeitervertretungen mit einbezogen werden. Dies gilt insbesondere dann, wenn der Prozess Teil des Hygienekonzepts werden soll oder das bestehende Hygienekonzept aufgrund der aktuellen Schutzvorgaben angepasst werden soll.

Fazit

Durch die erneuten Änderungen bzw. Lockerungen gibt es wieder Anpassungsbedarf in den Unternehmen – aktuell, weil die Dokumentationen der 3G-Regelungen spätestens Anfang Mai gelöscht werden müssen. Bei Unsicherheiten bezüglich des „Ob“ und des „Wie“ kann der Datenschutzbeauftragte oder ein externer Datenschutzexperte für mehr Klarheit sorgen.