3G-Bestimmungen nach IFSG und DSGVO sicher verarbeiten

Nach § 28 b Abs. 3 IfSG müssen Arbeitgeber die 3G-Bestimmungen kontrollieren – Welche Prinzipien sind dabei einzuhalten und wie setze ich das praktisch um?

Welche Prinzipien gelten dabei nach der DSGVO (Art. 5 ff.)

1. „Rechenschaftspflicht“

Der Arbeitgeber muss die 3G-Bestimmungen durch Nachweiskontrollen rechtskonform täglich überprüfen und dokumentieren. Dies muss gegenüber Aufsichtsbehörden nachgewiesen werden. Bei Nichtbeachtung drohen empfindliche Bußgelder bis zu 25.000 Euro.

2. „Datenminimierung“ und „Angemessenheit“

Es werden personenbezogene Daten sowie Gesundheitsdaten zum Impf-, Sero- und Teststatus – und damit sehr hohem Schutzbedarf erhoben. Für geimpften Personen reicht der einmalige Nachweis, während für Genesene zusätzlich das Ablauf-Datum des Genesenen-Status erforderlich ist. Nicht-geimpfte müssen täglich einen negativen Test vorlegen. Die Gültigkeit der Testnachweise ist entsprechend zu kontrollieren.

2. „Datensparsamkeit“ und „Richtigkeit“

Es reicht Vor- und Zuname des Mitarbeiters auf einer Liste sowie Haken, dass Nachweis erbracht wurde. So ist bspw. die Speicherung des „Impfdatums“ nicht notwendig und damit unzulässig. Diesbezüglich erhobene Daten müssen daher umgehend berichtigt und ggfs. rückstandslos gelöscht werden.

3. „Integrität und Vertraulichkeit“ und „Speicherbegrenzung“

Der Zugriff durch Unbefugte Dritte ist zu unterbinden durch Passwortschutz der Datei bzw. Verschlüsselung sowie Speicherung auf restriktiv geschütztem Speicher zu halten. Print-Dokumente sollten zugriffsicher physisch verschlossen werden. Zugriffsrechte darauf müssen restriktiv vergeben und dokumentiert werden. Sämtliche Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung rückstandslos zu löschen.

4. „Zweckbindung“

Die Verarbeitung dient ausschließlich zur Kontrolle der 3G-Bestimmungen. Insofern ist es unzulässig, die Daten für anderen bspw. statistischen Zwecke oder Bewertungen zu verwenden.

5. „Rechtmäßigkeit und Transparenz“

Der Arbeitgeber muss die Beschäftigten über die getroffenen Zugriffsregelungen und Datenverarbeitung aktiv informieren. Darüber hinaus haben Beschäftige – auch ehemalige – das Auskunftsrecht gegenüber dem Arbeitgeber über die Speicherung der eigenen persönlichen Daten.