Wirklich schnell hat das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) eine FAQ für den nicht-öffentlichen Bereich zusammengestellt.
Das Dokument ist hier zu finden.
Ebenso hat das Bundesministerium für Arbeit und Soziales eine FAQ Sammlung zum "Betrieblichen Infektionsschutz" zusammengestellt, um u.a. die Auslegung und korrekte Anwendung des IfSG für Organisationen zu erleichtern.
----
Update:
Das Papier des BayLfD vom 24.11.2021 gibt Anleitung für öffentliche Stellen/Behörden.
Der Hessische Beauftragte für Datenschutz gibt ebenfalls nützliche Tipps.
Die Damen und Herren von BHO Legal haben Muster für die 3G Kontrolle am Arbeitsplatz bereitgestellt.
----
Nun stehen Datenschutz-Verantwortliche vor der Herausforderung, die "Verarbeitung" der 3G Status- bzw. Zutrittskontrolle in den Unternehmen korrekt umzusetzen.
Hinweis: Nachfolgendes ist eine freie Meinungsäußerung des Autors und in keiner Hinsicht als Rechtsberatung oder juristische Empfehlungen zu betrachten. Alle Praxis-Maßnahmen müssen von Verantwortlichen mit ihren juristischen Experten geprüft werden. Die nachfolgenden Informationen sind als Kurzfassungen und Auszüge zu verstehen.
Die Rechtsgrundlage
Für jede Verarbeitung muss ja bekanntermaßen eine Rechtsgrundlage bestehen. Im Fall der 3G Zutrittskontrollen dürfte sich diese nun aus § 28b IfSG ergeben. Da es sich bei der Verarbeitung um Gesundheitsdaten handelt, sind die Vorgaben des Art. 9 DSGVO zu beachten.
Rechtsexperten wie RA Stephan Hansen-Oest, der auch eine entsprechende Vorlage für Datenschutzhinweise für Beschäftigte zur Verfügung stellt, sind der Ansicht, dass Art. 9 Abs. 1 lit. i DSGVO i.V.m. § 28b IfSG für nicht-öffentliche Unternehmen die korrekte Rechtsgrundlage darstellt.
Je nach Bundesland oder bei öffentlichen Stellen können hier noch weitere, wie z.B. die jeweils aktuelle Infektionsschutz-Maßnahmenverordnung (IfSMV) oder Landes-spezifische Datenschutzregelungen hinzukommen.
Das Verarbeitungsverzeichnis
Es ist zu empfehlen, die 3G Kontrollen bei Beschäftigten nicht in das allgemeine Verzeichnis wie z.B. "Personalverwaltung" aufzunehmen, sondern ein eigenes Verzeichnis für diese Verarbeitung zu erstellen. Aufgrund des dynamischen Geschehens in der Pandemie erleichtert das die Anpassung und Aktualisierung der Inhalte.
Datenschutzhinweise
Beschäftigte sind über die Verarbeitung nach Art. 12 ff DSGVO zu informieren. Also - Datenschutz-Hinweise zu 3G Kontrollen Beschäftigter vor oder zur Erhebung zur Verfügung stellen. Das Muster von RA Stephan Hansen-Oest hatte ich hier schon erwähnt.
Klar, dass die Grundsätze des Art. 5 DSGVO (z.B. Datenminimierung) beachtet werden müssen und nur die tatsächlich erforderlichen Daten verarbeitet werden dürfen.
Die BayLDA gibt sogar für eine Aufsichtsbehörde relativ weitreichende Information, die allerdings aus meiner Sicht das absolute Minimum darstellt (Beschreibung des Kontroll-Prozesses und als Daten lediglich Name des Beschäftigten und ein Haken als Bestätigung, dass der Kontroll-Prozess erfolgte):
"Was muss der Arbeitgeber dokumentieren?
Eine Konkretisierung der Überwachungs- und Dokumentationspflichten des Arbeitgebers ist nach § 28b Abs. 6 S. 2 Nr. 2 IfSG einer gesonderten Verordnungsregelung vorbehalten.
Aus Sicht des BayLDA kann die Pflicht des Arbeitgebers zur regelmäßigen Dokumentation gem. § 28b Abs. 3 S. 1 IfSG zunächst nur eine Pflicht zur Dokumentation der Prozesse zur Überwachung der Einhaltung der Nachweispflichten und deren tatsächlichen Umsetzung bedeuten. Für den Nachweis einer tatsächlichen Umsetzung dieser Prozesse kann z.B. nach Erbringung des Nachweises ein Haken o.ä. hinter den Namen des jeweils Beschäftigten gesetzt werden."
Nachweis in der Personalakte?
Nein, ganz klare Aussage der BayLDA: "Eine Speicherung in der Personalakte ist grundsätzlich wegen der eigenständigen und vorübergehenden infektionsschutzrechtlichen Zweckbestimmung von 3G-Zugangsregelungen nicht erforderlich und damit nicht zulässig."
Speicherfrist
Aussage BayLDA (Auszug): "Wie lange darf die Information über das Vorliegen eines konkreten Nachweises und dessen Gültigkeitsdauer gespeichert werden?
Verantwortliche sollten vorsehen, dass spätestens nach Ablauf von sechs Monaten nach der Erhebung der „G-Daten“ überprüft wird, ob eine Pflicht zur Löschung besteht."
Weiterverarbeitung erlaubt?
Grundsätzlich nicht. Aber es gibt Ausnahmen laut BayLDA:
"Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes (ArbSchG) verwendet werden, soweit dies erforderlich ist. § 22 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) gilt entsprechend.
Spezielle Regelungen gelten für bestimmte Einrichtungen und Unternehmen der Pflege bzw. in denen besonders vulnerable Personen untergebracht sind (vgl. § 28b Abs. 2 IfSG). Hier ist generell ein negativer Testnachweis neben dem Arbeitgeber und den Beschäftigten auch von Besuchern mit zu führen. Darüber hinaus bestehen nach § 28b Abs. 3 S. 6 IfSG bestimmte statistische Berichtspflichten."