Kategorie: Beschäftigtendatenschutz

3G am Arbeitsplatz

3G am Arbeitsplatz

Änderung des Infektionsschutzgesetzes

Nach der Zustimmung des Bundesrates gilt ab kommenden Mittwoch 3G am Arbeitsplatz. Mit der Änderung des Infektionsschutzgesetzes (§ 28 IfSG) müssen Arbeitgeber und Beschäftigte beim Betreten ihrer Arbeitsstätte entweder einen Impf- oder Genesenennachweis oder einen Testnachweis mit sich führen. Es ist mithin eine effiziente betriebliche Zutrittskontrolle erforderlich, die eine lückenlose Umsetzung der Nachweispflicht zum Status geimpft, genesen oder getestet sicherstellt.

Konkret heißt es in § 28 Abs. 3 IfSG (neu): Arbeitgeber […] sind verpflichtet, die Einhaltung der Verpflichtungen [..] durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte […] sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen.

Dies bedeutet, dass die Nachweise selbst bei den Betroffenen verbleiben und nicht etwa vom Arbeitgeber aufzubewahren sind.

Umfang der Dokumentation

Zur Ausgestaltung der konkreten Dokumentation für 3G am Arbeitsplatz informiert das Bundesministerium für Arbeit und Soziales, dass es dem Grundsatz der Datenminimierung entsprechend ausreicht, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste "abzuhaken", wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.

Bei Beschäftigten, welche geimpft oder genesen sind, ist dagegen keine tägliche Dokumentation erforderlich. Hier genügt eine einmalige Erfassung, wobei bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren ist.

 

Dokumentation vonVor- und NachnameStatus (geeimpft, getestet oder genesen)Datum der VorlageGültigkeitsdauer
Geimpftexxx
Genesenexxxx
Getestetxxx

Die erhobenen personenbezogenen Daten sind spätestens sechs Monate nach Ihrer Erhebung zu löschen.

Neben der datensparsamen Dokumentation ist darauf zu achten, dass eine Kenntnisnahme der erfassten Daten durch Kolleginnen und Kollegen ausgeschlossen ist. Verwenden Sie daher in keinem Fall offene Listen.

Die neue Regelung finden Sie in der Drucksache.

Die FAQs zu 3G am Arbeitsplatz des Bundesministeriums für Arbeit und Soziales finden Sie hier.

Alte Rechtslage

Arbeitgeberinnen und Arbeitgeber durften vor der Neuregelung zu 3G am Arbeitsplatz das Datum „Impfstatus“ ihrer Beschäftigten
ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten – auch nicht im Rahmen der COVID-19-Pandemie. Dies war nur in bestimmten Einzelfällen wie zum Beispiel im Gesundheitsbereich, bei Kindertageseinrichtungen oder im Fall von Lohnersatz nach dem Infektionsschutzgesetz möglich.

Weitere Informationen finden Sie hierzu im Beschluss der DSK vom 19.10.2021.

Rechtsanwalt Robert Harzewski

 

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat sich neben der Bußgeldzumessung auch zu Datenschutzverstößen geäußert, welche von Beschäftigten verursacht wurden.

 

Nur der Verletzungserfolg ist entscheidend

Hierzu führt es aus, dass Gegenstand der Sanktionierung für einen Datenschutzverstoß nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen ist. Es kommt mithin nur auf den Erfolg des Datenschutzverstoßes an. Im entsprechenden Bußgeldbescheid wurde daher nicht näher beschrieben, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.

 

Hintergrund Datenschutzverstöße von Beschäftigten

Nach dem deutschen Ordnungswidrigkeitenrecht gibt es keine unmittelbare Haftung von Unternehmen. Geldbußen setzen stets ein schuldhaftes Fehlverhalten einer vertretungsberechtigten Person, wie z.B. einem Geschäftsführer oder Vorstand, voraus. Das Verhalten irgendeines Mitarbeiters des Unternehmens reicht nach deutschem Recht daher nicht aus, um eine Bußgeld zu bekommen. Vielmehr kommt es auf das Fehlverhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen an.

 

Deutsche Regeln stehen europäischen Haftungskonzept entgegen

Hierzu stellt das Gericht nun folgendes fest: Die deutschen Regelungen sind nicht mit dem europäischen Haftungskonzept in Einklang zu bringen. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG ist daher kein Raum.

 

Auffassung der DSK

Auch nach Auffassung der DSK sollen Unternehmen dabei im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Nach der Entschließung der DSK soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Daher kann dem Verantwortlichen nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 
Rechtsanwalt Robert Harzewski