Arbeitgeber können 2G-Nachweise ihrer Mitarbeiter nach dem 20. März 2022 weiterverarbeiten. So geht es richtig.
Seit dem 20. März 2022 verpflichtet § 28b IfSG nF Mitarbeiter* nicht mehr, einen 3G-Nachweis zu erbringen, bevor sie den Betrieb des Arbeitgebers betreten. Bislang war der Arbeitgeber jedenfalls über diese gesetzliche Pflicht datenschutzrechtlich ermächtigt, 3G-Nachweise seiner Mitarbeiter zu verarbeiten.
Der Entfall der gesetzlichen Nachweispflicht bedeutet nicht in jedem Fall, dass Arbeitgeber die bislang zulässig erhobenen Gesundheitsdaten ihrer Mitarbeiter unverzüglich löschen müssten.
Bisherige Regelung: Datenverarbeitung gesetzlich gerechtfertigt
Nach der zwischen dem 12. Dezember 2021 und 19. März 2022 geltenden Fassung des IfSG durften Mitarbeiter Betriebe nur betreten, wenn sie einen gültigen 3G-Nachweis besaßen. Arbeitgeber mussten regelmäßige Nachweiskontrollen durchführen und dokumentieren (§ 28b Abs. 3 S. 1 IfSG aF). Diese Kontrollpflicht der Arbeitgeber war gleichzeitig die gesetzliche Ermächtigungsgrundlage, die entsprechenden besonderen Kategorien personenbezogener Daten der Mitarbeiter (Testergebnis, Impf-, Genesenenzertifikat) zu verarbeiten, einmal bei der Kontrolle des 3G-Nachweises selbst und einmal für die Dokumentation der erfolgten Kontrolle.
An dieser Befugnis hielt § 28b Abs. 3 S. 3 IfSG aF ausdrücklich fest. Nach der DSK (S. 12 f.) genügte es, eine Sichtkontrolle des 3G-Nachweises und des Kontrollprozesses (also z.B.: Wann? Durch wen? 3G-Nachweis erbracht: ja/nein?) zu speichern. Bislang sah § 28b Abs. 3 S. 9 IfSG eine maximale Speicherfrist vor: Spätestens am Ende des sechsten Monats nach ihrer Erhebung hatte der Arbeitgeber die personenbezogenen Daten zu löschen.
Eine weitergehende Datenverarbeitung erlaubte eine Einwilligung, wenn Mitarbeiter ihren Impf- oder Genesenenstatus bei dem Arbeitgeber hinterlegen wollten, statt täglich einen 3G-Nachweis vor Zutritt zum Betrieb zu erbringen. Voraussetzung dafür war ihre wirksame datenschutzrechtliche Einwilligung. Selbst mit der Einwilligung war die Verarbeitung auf das unerlässliche Maß zu begrenzen. Das bedeutete neben Vor- und Nachname des Mitarbeiters zu dokumentieren, dass der Mitarbeiter einen 2G-Nachweis vorgelegt hatte. Zusätzlich sollte der Arbeitgeber ein etwaiges Ablaufdatum vermerken (S. 11).
Ende der gesetzlichen 3G-Pflicht
Mit der Änderung des IfSG entfiel neben dem 3G-Nachweis als betrieblicher Zutrittsbeschränkung auch die Pflicht der Arbeitgeber, ihren Mitarbeitern Homeoffice anzubieten, zum 20. März 2022. Eine – engere – 2G-Pflicht besteht nur in ausgewählten Bereichen (§ 20a IfSG, etwa Krankenhäuser und Arztpraxen) und befristet fort (§ 36 IfSG, etwa Pflegeeinrichtungen).
Angesichts des nach wie vor erheblichen Infektionsgeschehens reift bei vielen Arbeitgebern außerhalb dieser gesetzlich geregelten Bereiche der Wunsch, die bewährte Testpflicht über den Stichtag hinaus fortzuführen.
Prämisse: 3G-Nachweispflicht als Teil des arbeitgeberseitigen Weisungsrechts
Weiterhin ist umstritten, ob Arbeitgeber eine 3G-Nachweispflicht für ihre Mitarbeiter allein auf ihr arbeitsvertragliches Weisungsrecht stützen können.
Das Bundesministerium für Arbeit und Soziales bleibt in seinen FAQ zum betrieblichen Infektionsschutz restriktiv. Arbeitgeber müssten zwar „prüfen, ob betriebliche Testangebote vor Ort weiterhin erforderlich sind“. Die Entscheidung, ein Testangebot zu nutzen, sieht das BMAS bei den Mitarbeitern. Gleichwohl empfiehlt es den Mitarbeitern dringend, die Testangebote anzunehmen.
Geht man davon aus, dass der Arbeitgeber mit einer Testpflicht sowohl einen größtmöglichen Infektionsschutz im Betrieb als auch die Fortführung seines Betriebs sicherstellen kann, sprechen weiterhin gute Argumente dafür, die Testpflicht von seinem Weisungsrecht umfasst zu sehen. Gerade wegen täglicher neuer Höchststände an Neuinfektionen bleibt dafür unbeachtlich, dass die flankierende gesetzliche 3G-Nachweispflicht zum 20. März 2022 entfallen ist.
Grundsätze der Datenminimierung und Speicherbegrenzung verlangen unverzügliche Löschung bisher gespeicherter Daten
Datenschutzrechtlich ist der genannte Stichtag sehr wohl eine Zäsur. Seitdem sind Arbeitgeber von der öffentlich-rechtlichen Pflicht befreit, zu dokumentieren, dass sie die 3G-Nachweispflicht regelmäßig kontrollierten. Sie müssen nicht mehr damit rechnen, die entsprechenden Nachweise auf behördliche Anforderung vorlegen zu müssen.
Damit entfällt grds. die Rechtfertigung, die Dokumentation zu 3G-Nachweisen ihrer Mitarbeiter weiter zu verarbeiten: Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zwingt Arbeitgeber, ihre Datenverarbeitung auf das unerlässliche Maß zu beschränken. Ohne gesetzliche Kontroll- und Dokumentationspflicht fehlt ein Bedürfnis, die entsprechenden Daten der Mitarbeiter vorzuhalten. Ergänzend verlangt Art. 5 Abs. 1 lit. e DSGVO vom Arbeitgeber, personenbezogene Daten der Mitarbeiter nur so lange identifizierbar zu speichern, wie es für den Verarbeitungszweck erforderlich ist. Ist der Zweck erreicht, muss der Arbeitgeber die Daten grds. löschen – nicht erst auf Anforderung des betroffenen Mitarbeiters nach Art. 17 DSGVO.
Stellungnahme einer Datenschutzbehörde: Übergangsfrist von sechs Monaten
Die ersten Äußerungen von Datenschutzbehörden (etwa Pressemitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 23. März 2022, inzwischen entfernt) zur neuen Rechtslage ließen sich so verstehen, dass sie Arbeitgebern eine Übergangsfrist einräumten. Arbeitgeber sollten „Daten schon jetzt“ löschen, da die (gesetzliche) Rechtsgrundlage für die weitere Verarbeitung entfallen sei und die weitere Speicherung daher „regelmäßig“ entbehrlich sei. Gleichzeitig verwies die Äußerung darauf, die gespeicherten Daten zur 3G-Nachweispflicht seien „spätestens sechs Monate nach Erhebung“ zu vernichten oder löschen. Da sich diese ehemals gesetzlich kodifizierte Höchstfrist nicht mehr im § 28b IfSG nF findet, die Datenschutzbehörde sie aber gleichwohl anführte, wird man daraus eine Übergangsfrist von sechs Monaten nach Erhebung ableiten können, die Arbeitgebern bleibt, um den Entfall der bisherigen gesetzlichen 3G-Nachweispflicht umzusetzen.
Keine Ausnahme: Verhinderung von Missbrauch
Der Löschpflicht können Arbeitgeber nicht mit der Begründung entgehen, bisherige Unterlagen zur etwaigen Missbrauchskontrolle weiter vorhalten zu müssen bzw. zu wollen. Etwa um abzugleichen, ob der positive PCR-Test eines vorgelegten Genesenenzertifikats zu den bislang vorgelegten Schnelltestnachweisen des Mitarbeiters passt, oder ob es den begründeten Verdacht gibt, er habe sich den PCR-Test erschlichen.
Die DSGVO sieht eine solche „Vorratsdatenspeicherung“ kritisch: Sie enthält die Pflicht, personenbezogene Daten (nur) für festgelegte Zwecke zu verarbeiten (Art. 5 Abs. 1 lit. b DSGVO). Dem widerspräche, als Arbeitgeber Daten auf Vorrat allein mit der Aussicht anzusammeln, sie später im Arbeitsverhältnis zu anderen Zwecken nutzen zu können. Vielmehr greift auch insoweit die Pflicht zur Speicherbegrenzung (siehe oben).
Wer als Arbeitgeber darauf verzichtet, auf die gesetzliche eine angewiesene Nachweispflicht folgen zu lassen, muss also spätestens nach Ablauf der Übergangsfrist von sechs Monaten seit Erhebung dafür gesorgt haben, dass alle Daten zu den bisherigen Kontrollen gelöscht sind. Löschung meint dabei die vollständige und unwiderrufliche Vernichtung der Daten. Bei Papierdokumenten ist das der Einsatz eines Aktenvernichters; bei Datenträgern gibt DIN 66399 das korrekte Vorgehen vor.
Das gleiche Ergebnis gilt für den Fall, dass ein Arbeitgeber eine angewiesene Nachweispflicht fortführen will: Er muss – mit Ausnahme etwaiger Impf- und Genesenenzertifikate (siehe im Anschluss) – die restlichen Daten zu bisherigen Kontrollen der 3G-Nachweispflicht löschen.
Ausnahme: Fortgeltung erteilter Einwilligungen
Weniger restriktiv muss der Arbeitgeber mit Impf- und Genesenenzertifikaten verfahren, zu denen ihm eine entsprechende Einwilligung der Mitarbeiter vorliegt. Auf diese kann er bei fortgeführter 3G-Nachweispflicht weiter zurückgreifen.
Grundsatz der Zweckbindung
Entscheidend für die weitere Nutzung von Impf- und Genesenenzertifikaten ist, dass der Arbeitgeber den Nachweis zum selben Zweck weiternutzt.
Einwilligungen muss ein Mitarbeiter u.a. „für einen oder mehrere bestimmte Zwecke“ erteilen, damit sie eine Datenverarbeitung rechtfertigen können (Art. 6 Abs. 1 S. 2 lit. a DSGVO). Über die beabsichtigte Verwendung der Daten ist der Mitarbeiter vorab zu informieren. Die verpflichtende Zweckbestimmung und ihre Mitteilung schützt den Mitarbeiter „vor einer schleichenden Ausweitung der Zweckbestimmung oder einem Verwischen der Zwecke“, für die der Arbeitgeber die Daten verarbeiten darf, nachdem der Mitarbeiter in die anfängliche Verarbeitung eingewilligte.
Dieselbe Einwilligung kann verschiedene Verarbeitungsvorgänge abdecken, solange sie demselben Zweck dienen, für die der Mitarbeiter einwilligte. Der Mitarbeiter soll die Kontrolle behalten, vorab über eine Abweichung von festgelegten Zwecken entscheiden zu können. Mit einer wirksamen Einwilligung hat der Arbeitgeber hingegen die Sicherheit, alle Verarbeitungen vornehmen zu dürfen, die dem Zweck dienen, für die der Mitarbeiter die Einwilligung erteilte. Grenzen sind dabei wiederum die Pflicht zur Datenminimierung und die sonstigen Voraussetzungen einer wirksamen Einwilligung, insbesondere deren Freiwilligkeit im Arbeitsverhältnis (Details hierzu bei Hidalgo/Ceelen/Buziek, 3G-Regelung im Betrieb – Nicht so unzulässig wie gedacht?, NJW 2021, 3151).
Mitarbeiter müssen daher nicht fürchten, dass Arbeitgeber ihren Impf- und Genesenenstatus für andere Zwecke nutzen, als sie in der datenschutzrechtlichen Einwilligung angaben. Verarbeitungen zu anderen, nicht angegebenen Zwecken wären ein Verstoß, den eine Behörde mit empfindlichen Bußgeldern ahnden könnte (Art. 83 Abs. 5 lit. a DSGVO).
Für eine Einwilligung unter § 28b Abs. 1 S. 1 aE IfSG aF in die Hinterlegung des Impf- oder Genesenenzertifikats beim Arbeitgeber bedeutet das: Arbeitgeber mussten ihre Mitarbeiter informieren, zu welchem Zweck sie ihre Einwilligung in die Verarbeitung ihres Impf- oder Genesenenstatus erteilten. Das war zum einen, von der eigenen Pflicht zur Mitführung der Zertifikate befreit zu werden. Zum anderen konnte die 3G-Nachweispflicht zukünftig mit einem beim Arbeitgeber hinterlegten Impf- oder Genesenenzertifikat erfüllt werden, statt den Nachweis jedes Mal aufs Neue beim Zutritt zum Betrieb vorzuzeigen.
Zweckänderungen bei Einwilligen unzulässig
Es ist gut vertretbar, erteilte Einwilligungen zu hinterlegten Impf- und Genesenenzertifikaten aus der Zeit vor dem 20. März 2022 weiter zu nutzen, wenn der Arbeitgeber eine angewiesene Nachweispflicht im Betrieb umsetzen will – solange der Einwilligende keinen Widerruf erklärt.
Die weitere Verwendung hinterlegter Zertifikate wäre keine Zweckänderung im Verhältnis zur bisherigen Verarbeitung. Der Arbeitgeber nutzt die überlassenen Daten zu Impf- und Genesenenzertifikaten weiter, um die einwilligenden Mitarbeiter von einer täglichen Kontrolle ihres gültigen 3G-Nachweises zu befreien. Die einmalige Vorlage und Speicherung, dass ein Nachweis erbracht wurde, ersetzt die Pflicht, den Nachweis täglich bei Einlasskontrollen zum Betrieb vorzuweisen. Dabei kann es nach unserer Auffassung keine Rolle spielen, ob die tägliche 3G-Nachweispflicht, von der sich der Mitarbeiter befreien will, per Gesetz oder per Weisung eingeführt wurde.
Löschpflicht für die meisten Gesundheitsdaten – aber nicht für alle!
Bis zum 20. März 2022 waren Arbeitgeber per gesetzlicher Kontroll- und Dokumentationspflicht in der korrespondierenden Verarbeitung datenschutzrechtlich gerechtfertigt. Mit Entfall der gesetzlichen 3G-Pflicht müssen Arbeitgeber die zulässig gespeicherten Daten unverzüglich löschen. Nur ausnahmsweise können sie sich dabei auf die bisherige Höchstfrist – sechs Monate ab Erhebung – verlassen. Der Wunsch, die angefallenen Daten ggf. später für andere Zwecke nutzen zu können, etwa für Ahndungsmaßnahmen, ist unbeachtlich.
Ausnahmen von der generellen Löschpflicht können sich ergeben, wenn Arbeitgeber auf die gesetzliche eine angewiesene 3G-Nachweispflicht im Betrieb folgen lassen wollen: Impf- und Genesenenstatus ihrer Mitarbeiter, von dem sie aufgrund wirksamer Einwilligung erfuhren, dürfen sie weiter verarbeiten. Der Wechsel der zugrunde liegenden Pflicht – auf eine gesetzliche 3G-Nachweispflicht folgt eine per Weisungsrecht eingeführte – lässt den Zweck der Verarbeitung unangetastet. Weiterhin können Mitarbeiter mit dieser Einwilligung eine tägliche Kontrolle ihres Nachweises entbehrlich machen.
*Gemeint sind Beschäftigte jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.