Arbeitgeber werden aufgrund der neuen Version des Infektionsschutzgesetzes nun verpflichtet den 3G-Nachweis täglich zu kontrollieren. Gemäß § 28 b Abs. 3 IfSG dürfen Arbeitgeber personenbezogene Daten einschließlich Daten zum Impf-, Genesenen- und Teststatus verarbeiten. Dies gilt auch für die Nutzung der Daten zur Anpassung des betrieblichen Hygienekonzepts.

Darf der „G-Status“ vom Arbeitgeber gespeichert werden?

Die Speicherung der Information „Geimpft, Genesen oder Getestet“ darf durch den Arbeitgeber erfolgen. Dabei sollte jedoch der Grundsatz der Datenminimierung beachtet werden. Das heißt, es dürfen beispielsweise keine Kopien von Testergebnissen oder Impfnachweisen angefertigt oder aufbewahrt werden. Es ist ausreichend, lediglich den vorliegenden Status des jeweiligen Mitarbeiters zu erfassen und zu speichern: Liegt ein „G“ vor und wenn ja, welches?

Zudem dürfen die Gültigkeitsdauer des Nachweises und selbstverständlich auch der Name des Mitarbeiters erfasst werden.

Speicherdauer:

Die Speicherdauer richtet sich nach dem Grundsatz der Erforderlichkeit. Das heißt, die Daten sollten gelöscht werden, sobald der G-Status nicht mehr zur Überprüfung der Zugangsvoraussetzung notwendig ist. Sobald die aktuelle 3G-Regelung am Arbeitsplatz nach IfSG also nicht mehr gilt, sollten sämtliche Daten die zum Zweck dieser Überprüfung gespeichert wurden, gelöscht werden.

Im laufenden Betrieb sind die einzelnen Informationen über die Nachweise jeweils nach Ablauf der Gültigkeitsdauer zu löschen bzw. zu überschreiben. Das heißt, wenn ein Mitarbeiter alle 48 Stunden mit einem neuen PCR-Testergebnis zu Kontrolle kommt, sollte mit Erhalt des neuen Testnachweises die Information über den alten Nachweis gelöscht werden.

Zu treffende Sicherheitsmaßnahmen (TOMs):

Es ist sicherzustellen, dass ausschließlich ein ausgewählter Personenkreis Einblick in die Nachweise erhält. Dazu sollten konkret Personen mit der Kontrolle der 3G-Nachweise beauftragt werden. Ausschließlich diese Personen sollten Zugriff auf die Daten haben. Unter allen Umständen ist auszuschließen, dass die Mitarbeiter Einblick in den 3G-Status ihrer Kollegen erhalten.

Eine Speicherung des 3G-Status kann auch über ein automatisiertes Zugangssystem unter den oben genannten Voraussetzungen erfolgen. Die schriftliche Erfassung ist ebenso möglich. In jedem Fall sollte ein Berechtigungskonzept entwickelt und eingehalten werden. Eine Aufnahme der 3G-Nachweise in andere Datensätze wie beispielsweise die Personalakte ist nicht zulässig.

Die Mitarbeiter sollten mit Datenschutzhinweisen über die Datenverarbeitung informiert werden. Ein entsprechendes Muster kann ggf. mit dem Datenschutzbeauftragten erarbeitet bzw. direkt dort erfragt werden.