Frankfurt 
Am 18.11.2021 hat der Bundestag das “Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite” beschlossen. Das Gesetz verpflichtet den Arbeitgeber nach § 28b Abs. 3 S. 1 IfSG dazu, die Einhaltung von 3G am Arbeitsplatz zu überwachen. Auf den ersten Blick lässt diese Verpflichtung keine größeren Schwierigkeiten vermuten, da theoretisch simple Einlasskontrollen durchgeführt werden können. Bei genauerem Hinsehen ergeben sich jedoch wie so oft datenschutzrechtliche Probleme.
Zwar ist der Arbeitgeber nun gem. § 28b Abs. 3 S. 3 IfSG dazu befugt, personenbezogene Gesundheitsdaten zu verarbeiten, allerdings berechtigt ihn dies noch nicht dazu den Impfstatus abzufragen. Ein solches Fragerecht ist lediglich für medizinische und soziale Einrichtungen vorgesehen, sodass der Impfstatus gem. Art. 9 DSGVO weiterhin als besonders schützenswert gilt. Hieraus ergeben sich zahlreiche Probleme, von denen einige im Folgenden beantwortet werden sollen.
Wie erfahre ich den Impfstatus meiner Mitarbeiter, wenn ich sie nicht fragen darf?
Um die 3G-Regelungen sinnvoll und effektiv umzusetzen, muss der Impfstatus der Mitarbeiter auch ohne Abfragen in Erfahrung gebracht werden. Zwar fordern mehrere gewichtige Stimmen bereits jetzt ein entsprechendes Auskunftsrecht, bis dahin bedarf es jedoch einer Übergangslösung.
Um das Problem des fehlenden Fragerechts des Arbeitgebers zu umgehen, empfehlen wir, individuelle Einwilligungserklärungen für die Mitarbeiter vorzubereiten. Zwar bestehen auch hier rechtliche Risiken einer Unwirksamkeit, da teilweise die Auffassung vertreten wird, dass Verarbeitungseinwilligungen im Arbeitsrecht grundsätzlich nicht möglich seien (insofern bestehe ein Über- Unterordnungsverhältnis, dass die Freiwilligkeit einer Einwilligung immer ausschließe). Trotzdem gehen wir nach der derzeitigen Rechtslage davon aus, dass das Einholen von Einwilligungen im Vergleich zur direkten Abfrage das risikoärmere Modell darstellt.
Mitarbeiter, die nicht in die Mitteilung ihres Impfstatus einwilligen, müssen dann täglich ein Testergebnis vorlegen.
Muss ich außerdem mir den Original Impfausweis zeigen lassen oder genügt es wenn mit der Mitarbeiter das Impfzertifikat auf seinem Handy vorzeigt?
Es genügt die App-Kontrolle des digitalen Zertifikates. Der neue § 28b Abs. 1 S. 1 IfSG verweist hinsichtlich der Nachweise auf die Begriffsbestimmungen der sog. COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV).
Gemäß § 2 Nr. 3, 5, 7 SchAusnahmV sind Impf-, Genesenen- und Testnachweise auch in digitaler Form möglich. Eine Kontrolle der Nachweise kann mit der “CovPass-App” stattfinden. Nach Auskunft des RKI werden bei dieser App die Daten nach der Kontrolle sofort wieder gelöscht, weshalb die Nutzung der CovPass-App aus datenschutzrechtlicher Perspektive zu empfehlen ist. Das Bundesgesundheitsministerium hat eine FAQ zum digitalen Impfnachweis eingerichtet (https://www.bundesgesundheitsministerium.de/coronavirus/faq-covid-19-impfung/faq-digitaler-impfnachweis.html), welche u.a. auf die Website https://digitaler-impfnachweis-app.de/faq/ verweist. Auf der zweiten Website ist in der Rubrik “Fragen zur CovPass-App” eine Anleitung zur Nutzung der App enthalten.
Wie darf ich die Nachweise dokumentieren?
Es ist eine Liste anzufertigen, welche die Namen und den jeweiligen Impf- oder Genesenenstatus der Mitarbeiter festhält, die im Rahmen der Einwilligung ihren Status freiwillig mitgeteilt haben. Aufgrund des Grundsatzes der Datenminimierung und der Zweckgebundenheit der Daten sollte sich dabei jedoch auf eine Notiz der Gültigkeitsdauer beschränkt werden und nicht etwa der ganze Impf- oder Genesenenausweis kopiert oder gescannt werden. Bei Ablauf der Gültigkeitsdauer muss der jeweilige Status erneut geprüft werden. Die Mitarbeiter haben die jeweiligen Zertifikate während der Arbeit mit sich zu führen, um ihren Status im Fall einer Kontrolle nachweisen zu können.
Für diejenigen Mitarbeiter, die ihren Status nicht freiwillig mitteilen, ist eine Checkliste anzufertigen, auf welcher die Namen und das regelmäßige Testergebnis täglich „abgehakt” werden.
Wie lange müssen und dürfen die Daten gespeichert werden?
Nach dem neuen § 28b Abs. 3 IfSG sind die Daten spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen.
Welche Bußgelder drohen?
Gemäß § 73 Abs. 2 IfSG droht für jeden Fall der Zuwiderhandlung ein Bußgeld bis zu 25.000,00 Euro, die Kontrollen sollten also nicht auf die leichte Schulter genommen werden!
Was mache ich in dem Fall, dass ein Mitarbeiter keinen Nachweis erbringen möchte?
Ein solcher Mitarbeiter darf den Betrieb zunächst nicht betreten. Hieraus können sich weitere Konsequenzen ergeben (keine Entgeltfortzahlung, weitere Maßnahmen bis hin zu Abmahnung und Kündigung), die jedoch im jeweiligen Einzelfall zu prüfen und bewerten wären. Es ist zu erwarten, dass in nächster Zeit zahlreiche Gerichtsentscheidungen zu mehr Klarheit in diesem Bereich führen werden.