3G: Getestet, geimpft, genesen – das gilt derzeit in vielen Unternehmen und wird uns wohl auch noch eine Zeit lang begleiten. Doch wie sieht es hier mit dem Datenschutz aus? Immerhin handelt es sich beim 3G-Nachweis um Gesundheitsdaten, die besonders geschützt werden müssen. Wir haben uns das genauer angeschaut und geben Tipps für die optimale datenschutzrechtliche Vorgehensweise im Unternehmen.
Ist 3G im Unternehmen wirklich notwendig und laut DSGVO erlaubt?
Im Rahmen der Fürsorgepflicht sind Unternehmen verpflichtet, für die Sicherheit und den Gesundheitsschutz ihrer Mitarbeitenden zu sorgen. Eine zusätzliche Sorgfaltspflicht trifft bei direktem Kontakt mit Kunden, Geschäftspartnern und sonstigen Dritten zu.
Das Datenschutzrecht sieht vor, dass die 3G-Gesundheitsdaten in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus zu stoppen und um Menschen zu schützen. Die Datenerhebung von Personen, bei denen COVID-19 bestätigt wurde oder bei Verdacht auf Infektion wegen eines Kontakts mit einer infizierten Person, zählt auch dazu.
Zur Risikoprävention ist es auch zulässig, dass Unternehmen die private Telefonnummer aller im Unternehmen tätigen Personen (auch von Freelancern oder Leihpersonal) speichern, um diese kurzfristig über eine Infektion verständigen zu können.
Darf man im Unternehmen Tätige um den 3G-Nachweis fragen?
Führungskräfte sind grundsätzlich berechtigt, ihre Mitarbeitenden und auch Bewerber zu fragen, ob sie geimpft, genesen oder getestet sind. Die Frage muss wahrheitsgemäß beantwortet werden.
Gibt es eine Pflicht, dem Unternehmen gegenüber, einen 3G-Nachweis zu erbringen?
Generell gibt es (noch) keine allgemeine rechtliche Verpflichtung, Angaben über den eigenen Status gegenüber dem Unternehmen machen zu müssen. Das bedeutet in der Praxis, dass das Erheben von Testergebnissen, Impfstatus oder bereits überwundenen COVID-Infektionen nur auf Basis einer freiwilligen Einwilligung des Arbeitnehmenden möglich ist. Ohne Einwilligung also keine Datenverarbeitung!
Ausnahmen finden sich jedoch in jenen Bereichen, wo Maskenpflicht herrscht. Oder eben nicht, wenn der entsprechende 3G-Nachweis erbracht wird: Bei körpernahen Dienstleistern zum Beispiel. In diesem Zusammenhang gibt es eine gesetzliche Grundlage für das Unternehmen, den 3G-Nachweis der Beschäftigten zu erheben; somit wird hier wird keine Einwilligung benötigt.
Wie geht man mit der 3G-Information datenschutzkonform um?
Ein No-Go ist das Kopieren des Impfpasses, bitte machen Sie das auf keinen Fall! Wie Sie es besser machen: Im Unternehmen tätige Personen sollen zum Beispiel das Impfzertifikat oder den Genesungsnachweis vorzeigen. Dabei wird eine eigene Liste vom Unternehmen geführt, in der der Status vermerkt wird (zum Beispiel ein Excel). Erfasst wird der Name, der Status und wie lange der Status gilt. Auf das Excel dürfen dann nur wenige Personen (zum Beispiel Personen aus der Personalabteilung) zugreifen und es wird zusätzlich mit einem guten Passwort geschützt. So vermeiden Sie unnötiges Papier und weitere datenschutzrechtliche Herausforderungen.
Eine Verwendung der Gesundheitsdaten für andere Zwecke als der Gesundheitsvorsorge, der Eindämmung und der Heilbehandlung ist aber nicht erlaubt! Nach Ende von COVID-19 sind auch alle Daten, die mit dem 3G-Nachweis zu tun haben, zu löschen. Und auch ganz wichtig: Der Status ist ein höchstpersönliches „Gut“: Mitarbeitenden den Status anderer Mitarbeitenden mitzuteilen, ist ebenfalls ein absolutes No-Go.
Unsere Praxistipps
- Um Kunden, Geschäftspartner und allen Tätigen im Unternehmen ein möglichst sicheres Umfeld zu bieten, empfehlen wir regelmäßige 3G-Nachweise von allen Menschen, die ins Unternehmen kommen, zu verlangen. Weigert sich jemand den Nachweis zu erbringen gilt die MASKENPFLICHT!
- Nicht die Nachweise selbst speichern, sondern den Status und die Dauer. Dabei ist der besondere Zugriffsschutz zu beachten!
- Wenn Sie Unterstützung oder Hilfe bei der Umsetzung brauchen, kontaktieren Sie uns gerne jederzeit.