Verarbeitung des Impf-, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19
I. Schutzmaßnahmen nach § 28b IfSG
Das Betretungsverbot nach § 28b Abs. 1 IfSG richtet sich an alle Arbeitgeber und deren Beschäftigte. Auch für Beschäftigte besteht die Wahl, ob diese die Impf-, Sero- oder Testnachweise mit sich führen, zur Kontrolle verfügbar halten oder beim Arbeitgeber hinterlegen. Für bestimmte Einrichtungen nach § 28b Abs. 2 IfSG gilt darüber hinaus u. a. für die Beschäftigten eine Testverpflichtung sowie die Pflicht, einen Testnachweis mit sich zu führen. Gemäß § 28b Abs. 3 IfSG sind sämtliche Arbeitgeber (§ 28b Abs. 1 IfSG) sowie die Leitungen der in § 28b Abs. 2 Satz 1 IfSG genannten Einrichtungen und Unternehmen verpflichtet, Nachweiskontrollen täglich zu überwachen und zu dokumentieren. Auf Verlangen müssen auch die Beschäftigten einen Nachweis vorlegen.
II. Infektionsschutz nach § 36 IfSG
§ 36 Abs. 3 IfSG bestimmt: „Sofern der Deutsche Bundestag nach § 5 Abs. 1 Satz 1 IfSG eine epidemische Lage von nationaler Tragweite festgestellt hat und unabhängig davon bis zum Ablauf des 19. März 2022 darf der Arbeitgeber, soweit dies zur Verhinderung der Verbreitung der Coronavirus-Krankheit 2019 (COVID-19) erforderlich ist, in den in den Absätzen 1 und 2 genannten Einrichtungen und Unternehmen personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. Im Übrigen gelten die Bestimmungen des allgemeinen Datenschutzrechts.“
Zu den Einrichtungen und Unternehmen nach § 36 Abs. 1 IfSG zählen folgende Stellen: Kindertageseinrichtungen und Kinderhorte, Schulen und sonstige Ausbildungseinrichtungen, Heime, Ferienlager, nicht unter § 23 Abs. 5 Satz 1 IfSG fallende voll- oder teilstationäre Einrichtungen zur Betreuung und Unterbringung älterer, behinderter oder pflegebedürftiger Menschen oder vergleichbare Einrichtungen, Obdachlosenunterkünfte, Einrichtungen zur gemeinschaftlichen Unterbringung von Asylbewerbern, vollziehbar Ausreisepflichtigen, Flüchtlingen und Spätaussiedlern, sonstige Massenunterkünfte, Justizvollzugsanstalten sowie nicht unter § 23 Abs. 5 Satz 1 IfSG fallende ambulante Pflegedienste und Unternehmen, die den Einrichtungen nach § 36 Abs. 1 Nr. 2 IfSG vergleichbare Dienstleistungen anbieten. Einrichtungen und Unternehmen nach § 36 Abs. 2 IfSG sind solche, bei denen die Möglichkeit besteht, dass durch Tätigkeiten am Menschen durch Blut Krankheitserreger übertragen werden. Dies kann z. B. auf Zahnarztpraxen, Piercing- Tattoo-Studios sowie Krankenhäuser zutreffen.
§ 36 Abs. 3 IfSG erfasst nur den Impf- und Serostatus. Die Verarbeitung ist auf den Zweck beschränkt, über Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. Dabei ist zu prüfen, inwieweit die Verarbeitung der Daten zur Verhinderung der Verbreitung der Coronavirus-Krankheit 2019 (COVID-19) erforderlich sind.
III. Ergänzende Bestimmungen nach der Corona-Bekämpfungsverordnung Schleswig-Holstein (Stand: 24.11.2021)
Für Beschäftigte in Gaststätten oder Beherbergungsbetrieben, die in Bereichen mit regelmäßigem Gästekontakt arbeiten, gelten Vorlagepflichten für Test-, Impf- oder Genesenennachweise nach § 7 Abs. 1 Nr. 3 und § 17 Abs. 1 Nr. 3 CoronaBekämpfV. Nach der Verordnungsbegründung gilt für beide Vorschriften das Folgende: Die Mitarbeiterinnen und Mitarbeiter haben der Arbeitgeberin oder dem Arbeitgeber schriftlich zu bestätigen, dass sie einen Testnachweis vorgelegt haben. Diese Bestätigung hat die Betreiberin oder der Betreiber vier Wochen lang aufzubewahren und auf Verlangen dem Gesundheitsamt vorzulegen, um eine Kontrolle zu ermöglichen. Geimpfte oder genesene Personen bestätigen, dass sie einen Nachweis zu diesem Status vorgelegt haben. Es ist keine Kopie des Impfnachweises oder Genesenennachweises anzufertigen. Die Regelung entspricht im Übrigen § 17 Abs. 1 Nr. 3 bei den Beherbergungsbetrieben. Statt eines Nachweises kann die oder der Beschäftigte auch eine Mund-Nasen-Bedeckung tragen.
IV. Datenschutzrechtliche Hinweise
- Infolge der Erhebung personenbezogener Beschäftigtendaten hat der Arbeitgeber den Beschäftigten die Pflichtinformationen nach Art. 13 Abs. 1 und 2 DSGVO zu erteilen. Ausreichend ist z. B. ein Informationsblatt oder ein Link zu einem digital bereit gehaltenen Dokument. Es ist zumindest eine katalogartige Zusammenstellung der Informationen notwendig, wobei etwa Formulierungen zu einigen wesentlichen Angaben aus den gesetzlichen Vorschriften übernommen werden können (vgl. z.B. § 28b Abs. 3 IfSG und § 36 Abs. 3 IfSG zu den Verarbeitungszwecken und Rechtsgrundlagen; § 28b Abs. 3 Satz 9 IfSG zur Speicherdauer).
- Gemäß Art. 5 Abs. 1 Buchst. c DSGVO muss die Datenerhebung auf das notwendige Maß beschränkt sein (Datenminimierungsgrundsatz). Wählt die beschäftigte Person nach § 28b Abs. 1 IfSG eine Hinterlegung von Nachweisen, so darf der Arbeitgeber diese für die vorgesehene Dauer speichern. Für die Dokumentationspflichten des Arbeitgebers nach § 28b Abs. 3 Satz 1 und 2 IfSG wird eine vollständige Kopie dieser Nachweise nicht erforderlich sein. Ausreichend ist es, zu dokumentieren, dass die vorgelegten Unterlagen geprüft wurden, und den jeweiligen Status zu einer bestimmten Person mit Datum zu vermerken. Die Vorgaben der Datensicherheit (Art. 32 DSGVO) sind einzuhalten; nicht zulässig wäre es beispielsweise, wenn der Arbeitgeber gegenüber den Beschäftigten verlangen würde, eingescannte Unterlagen über die Nachweise über eine ungesicherte Verbindung zu übersenden.
- Das Verfahren der Verarbeitung des Impf-, Sero- und Teststatus ist in einem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren.
- Unbefugte Personen dürfen keinen Zugriff auf die Gesundheitsdaten der Beschäftigten erhalten. Befugt sind nur der Arbeitgeber bzw. die Unternehmens- oder Dienststellenleitung und ggf. mit der Verarbeitung der Daten betraute bzw. hierfür autorisierte Personen (z. B. Personen aus der Personalabteilung, dem Personalreferat oder dem Bereich der Eingangskontrolle).
- Die Gesundheitsdaten dürfen nur für die gesetzlich vorgegebenen Zwecke verarbeitet werden. Eine Verarbeitung zu anderen Zwecken ist grundsätzlich unzulässig. Nach Ablauf der Speicherdauer (§ 28b Abs. 3 Satz 9 IfSG) sind sämtliche Daten, die auf dieser Rechtsgrundlage erhoben wurden, zu löschen.