Datenschutz bei Coronatests im Unternehmen

Zum 24. November sind neue Corona-Regelungen in Kraft getreten. Diese sehen unter anderem vor, dass nur noch geimpfte, genesene oder getestete Beschäftigte Zugang zur Betriebsstätte erhalten. Wer keinen Impf- oder Genesenenstatus und auch keinen Test nachweisen kann, kann sich vor Ort testen lassen. Doch aufgepasst: Bei der Durchführung der Tests gilt es einige wichtige Dinge zu beachten - vor allem auch in Sachen Datenschutz.

Mit dem Inkrafttreten des "Gesetzes zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze" zum 24. November gilt der neue § 28b Abs. 1 IfSG. Dieser sieht vor, dass Arbeitgeber und Beschäftigte, wenn physischer Kontakt von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen ist, die Arbeitsstätte nur noch betreten dürfen, wenn sie geimpft, genesen oder getestet sind (3G) und sie einen entsprechenden Nachweis "mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben". (Mehr dazu lesen Sie im Beitrag "3G am Arbeitsplatz: Was gilt für Unternehmen?").

Bei einer Testung mittels PCR-, PoC-PCR- oder einem ähnlichen Test wird der Nachweis statt für 24 Stunden für 48 Stunden gelten. Eine Ausnahme der Zutrittsbeschränkung besteht dann, wenn die Arbeitsstätte betreten wird, um unmittelbar vor der Arbeitsaufnahme ein Testangebot des Arbeitgebers zur Erlangung eines Testnachweises wahrzunehmen.

Coronatest in doppelter Ausführung

Neben der 3G-Regelung des § 28b Abs. 1 IfSG gilt auch weiterhin die Pflicht des Arbeitgebers, nach § 4 Abs. 1 der SARS-CoV-2-Arbeitsschutzverordnung, den Beschäftigten zweimal wöchentlich ein Testangebot zu machen.

Zwar heißt es in § 4 Abs. 2 der SARS-CoV-2-Arbeitsschutzverordnung, das zweimalige Testangebot pro Woche sei nicht erforderlich, soweit der Arbeitgeber durch andere geeignete Schutzmaßnahmen einen gleichwertigen Schutz der Beschäftigten sicherstellt oder einen bestehenden gleichwertigen Schutz nachweisen kann. Bei einer 3G-Zutrittsregelung zum Betrieb kann man sich die Frage stellen, ob dies nicht einen gleichwertigen Schutz darstellt.

Aber die Zugangskontrolle des § 28b Abs. 1 IfSG macht die Tests nach der Arbeitsschutzverordnung nicht überflüssig. Sie bieten vor allem den geimpften und genesenen Beschäftigten, die sich nicht testen lassen müssen, um an ihren betrieblichen Arbeitsplatz zu gelangen, die Möglichkeit, sich auf eine Coronainfektion testen zu können. Angesichts des im Laufe der Zeit nachlassenden Impfschutzes stellen die für die Beschäftigten freiwilligen Tests nach der Arbeitsschutzverordnung daher eine wichtige ergänzende Schutzmaßnahme dar, mit der Infektionen vorgebeugt werden kann. Daher haben die Arbeitgeber auch nach Einführung der 3G-Zutrittskontrollen weiterhin ihre Testangebotspflichten gemäß § 4 SARS-CoV-2 Arbeitsschutzverordnung zu erfüllen.

Von daher gibt es nun den Coronatest in doppelter Ausführung: Einmal, um bei nicht erfolgtem Schutznachweis gemäß § 28b Abs. 1 IfSG Einlass in den Betrieb zu erhalten und zum anderen die Tests gemäß § 4 Abs.1 der SARS-CoV-2-Arbeitsschutzverordnung, die der Arbeitgeber seinen Beschäftigten zweimal wöchentlich anbieten muss.

3G-Tests, um Zugang zum Betrieb zu erhalten

Nach § 28b Abs. 1 IfSG müssen Arbeitgeber und Beschäftigte beim Betreten der Arbeitsstätte entweder einen Impf- oder Genesenennachweis oder einen Testnachweis mit sich führen. Um den Anforderungen des Gesetzes zu genügen, ist eine effiziente betriebliche Zutrittskontrolle erforderlich, die eine lückenlose Umsetzung der Nachweispflicht zum Status geimpft, genesen oder getestet sicherstellt. Der Schwerpunkt der Kontrollen in den Betrieben liegt auf der Gültigkeit der Testnachweise. Bei den nicht geimpften bzw. nicht genesenen Beschäftigten ist eine tägliche Überprüfung ihres negativen Teststatus Voraussetzung für den Zugang zur Arbeitsstätte. Hat der Arbeitgeber den Genesenennachweis oder den Impfnachweis eines Beschäftigten einmal kontrolliert und diese Kontrolle dokumentiert, können Beschäftigte mit gültigem Impf- oder Genesenennachweis anschließend grundsätzlich von den täglichen Zugangskontrollen ausgenommen werden. Allerdings sind die Beschäftigten dennoch verpflichtet, den Impf- /Genesenen-/Testnachweis für Kontrollen der zuständigen Behörden bereitzuhalten.

Die erforderlichen Nachweise können in deutscher, englischer, französischer, italienischer oder spanischer Sprache vorgelegt werden und zwar sowohl in schriftlicher als auch in digitaler Form.

Die Kontrollpflichten des Arbeitgebers und das Recht zur Verarbeitung der erhaltenen Gesundheitsdaten der Beschäftigten sind jedoch nicht mit einem umfänglichen Auskunftsrecht des Arbeitgebers über den Impf- oder Genesungsstatus der Mitarbeitenden verbunden. Es ist genesenen oder geimpften Beschäftigten weiterhin freigestellt, auch aktuelle Testnachweise anstelle von Impf- oder Genesenennachweisen mitzuführen und bei Zugangskontrollen des Arbeitgebers diese vorzulegen.

Welche Daten darf der Arbeitgeber prüfen?

Nach der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) ist ein Impfnachweis ein Nachweis hinsichtlich des Vorliegens einer vollständigen Schutzimpfung gegen das Coronavirus SARS-CoV-2. Die Beschäftigten legen also entweder ein digitales EU-konformes Impfzertifikat vor oder einen Impfausweis. Bei einem Impfausweis muss der Arbeitgeber prüfen, ob

  1. die Schutzimpfung mit einem zugelassenen Impfstoff erfolgt ist (das sind die vom Paul-Ehrlich-Institut im Internet genannten Impfstoffe),
  2. der Beschäftigte die nötige Anzahl von Impfstoffdosen, die für eine vollständige Schutzimpfung erforderlich ist, erhalten hat und
  3. seit der letzten erforderlichen Einzelimpfung mindestens 14 Tage vergangen sind.

Für den Nachweis des Gesenenenstatus ist ein digitales europäisches COVID-Zertifikat vorzulegen. Falls der Nachweis anders erfolgen soll, ist der vorgelegte Genesenennachweis darauf zu prüfen, ob die Infektion mit dem Coronavirus SARS-CoV-2 mittels Nukleinsäurenachweis (PCR, PoC-PCR) nachgewiesen wurde und ob die zugrunde liegende Testung mindestens 28 Tage sowie maximal sechs Monate zurückliegt.

Bei einem Testnachweis darf die zugrunde liegende Testung maximal 24 Stunden zurückliegen. Sie muss entweder in Form von Selbsttests vor Ort unter Aufsicht erfolgen und dokumentiert werden oder durch den Arbeitgeber oder von ihm beauftragte Personen, die die dafür erforderliche Ausbildung oder Kenntnis und Erfahrung besitzen, erfolgen und dokumentiert werden, oder von einem Leistungserbringer nach § 6 Abs. 1 der Coronavirus-Testverordnung vorgenommen oder überwacht worden sein. Im Falle des Einsatzes von PCR-Tests darf die zugrunde liegende Testung maximal 48 Stunden zurückliegen. Maßgeblich für den 24- bzw. 48-Stunden-Zeitraum ist der Zeitpunkt des Erhalts des negativen Testergebnisses.

Betriebliche Zugangskontrollen – Dokumentation und Datenschutz

Zur Erfüllung des Grundsatzes der Datenminimierung (Artikel 5 Abs. 1 lit. c DSGVO) sollte die Dokumentation am jeweiligen Kontrolltag nur Vor- und Nachnamen der Beschäftigten umfassen, sofern der Testnachweis durch den Beschäftigten erbracht werden konnte. In welcher Form der Nachweis erfolgte, ist dabei jedoch nicht zu notieren.

Geimpften Personen und grundsätzlich auch genesenen Personen steht es frei, den Nachweis einmal vorzulegen und in die Speicherung des Nachweises einzuwilligen. Diese Einwilligung hat die datenschutzrechtlichen Voraussetzungen zu erfüllen, worauf im Verlauf dieses Beitrags noch eigegangen wird.

Bei einem Genesenennachweis ist es sinnvoll, zusätzlich auch das Ablaufdatum des Genesenennachweises zu dokumentieren. Bei Ablauf des Genesenstatus vor dem 19. März 2022 ist von den jeweiligen Beschäftigten sodann entweder ein Impfnachweis oder Testnachweis vorzulegen. Die erfassten Daten sind spätestens sechs Monate nach ihrer Erhebung zu löschen.

Nachweise über den Impf- und Genesungsstatus und negative Testbescheinigungen gehören zu den besonders geschützten Gesundheitsdaten. Der Arbeitgeber darf im Rahmen der Zugangskontrolle personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inklusive der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage des § 28b IfSG nicht erhoben bzw. verarbeitet werden, es sei denn, zur Erfüllung der Überwachungs- und Dokumentationspflichten ist die Verarbeitung von Impf-, Sero- und Teststatus in Bezug auf COVID-19 erforderlich (§ 28b Abs. 3 S. 2 IfSG). Solange jedoch eine auf § 28b Abs. 3 IfSG gestützte Rechtsverordnung, die Näheres zu den Überwachungs- und Dokumentationspflichten regelt, nicht erlassen wird, dürfte es an der Erforderlichkeit einer solchen Verarbeitung fehlen.

Der Arbeitgeber muss insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der Beschäftigten nach § 22 Abs. 2 BDSG vorsehen. Dafür hat er geeignete technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Das bedeutet vor allem, dass der Arbeitgeber sicherstellen muss, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist.

Der Arbeitgeber darf den Impf-, Genesenen- und Testnachweis nur zu Zwecken der Nachweiskontrolle verarbeiten. Eine Ausnahme stellt die gesetzliche Erlaubnis dar, die Daten bei der Anpassung des betrieblichen Hygienekonzepts verwenden zu dürfen, soweit dies erforderlich ist. Hier gilt der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO). Eine Verarbeitung zu einem anderen Zweck ist nicht zulässig.

Zählt die Zugangskontrolltestung zur Arbeitszeit?

Die Testung zählt nicht zur vergütungspflichtigen Arbeitszeit. Der Test ist grundsätzlich unmittelbar vor der Arbeitsaufnahme abzugeben. Wenn die Beschäftigten keinen Test mit sich führen und erst noch im Rahmen der Zugangskontrolle getestet werden müssen, unterziehen sie sich dem Test, um nicht selbst gegen ein gesetzliches Verbot zu verstoßen. Daher steht bei der Durchführung eines Zugangskontrolltests ihr eigenes Interesse an der Testung im Vordergrund und nicht das betriebliche Interesse. Es bleibt dem Arbeitgeber selbstverständlich unbenommen, die Zeit der Testung freiwillig zu vergüten.

Tests gemäß § 4 Abs.1 der SARS-CoV-2-Arbeitsschutzverordnung

Zur Minderung des betrieblichen SARS-CoV-2-Infektionsrisikos hat der Arbeitgeber den Beschäftigten, soweit diese nicht ausschließlich in ihrer Wohnung arbeiten, mindestens zweimal pro Kalenderwoche kostenfrei einen Test anzubieten. Was müssen Arbeitgeber bei der Durchführung von Coronatests im Betrieb beachten?

Anbieten von Coronatests ist Pflicht

Zwar trifft den Arbeitgeber nach § 4 der SARS-CoV-2-Arbeitsschutzverordnung die Pflicht, jedem in Präsenz – und nicht ausschließlich im Homeoffice – beschäftigten Mitarbeitenden zwei Coronatests in der Woche anzubieten, jedoch sind die Beschäftigten nicht verpflichtet, das Angebot auch anzunehmen. Ob sich Arbeitnehmende testen lassen, bleibt daher ihnen überlassen. Auch bei eindeutigen Symptomen einer Coronainfektion (zum Beispiel Husten oder Fieber) dürfen Unternehmen keine Tests anordnen.

PCR-Test, Antigen-Schnelltest oder Selbsttest?

Zur Erfüllung der Testangebotspflicht nach § 4 SARS-COV-2 Arbeitsschutzverordnung kommen alle verkehrsfähigen Tests zum direkten Erregernachweis von SARS-CoV-2 infrage. Das umfasst PCR-Tests oder Antigen-Schnelltests zur professionellen beziehungsweise zur Selbstanwendung, die auf Grund ihrer CE-Kennzeichnung oder auf Grund einer gemäß § 11 Abs. 1 des Medizinproduktegesetzes erteilten Sonderzulassung in Verkehr gebracht worden sind.

Nicht geeignet sind hingegen Antikörpertests, die nicht das Virus selbst nachweisen, sondern Antikörper, die aufgrund einer Infektion oder einer Impfung gebildet wurden. Diese Tests zeigen keine akute Infektion an und können nicht zur Erfüllung der Anforderungen der SARS-CoV-2-Arbeitsschutzverordnung an ein regelmäßiges Testangebot herangezogen werden.

Arbeitgeber sind nicht verpflichtet, eine etwaige "Test-Infrastruktur" durch medizinisches Personal, geeignete Räumlichkeiten oder Handlungsanweisungen zu schaffen. Die Kosten der Coronatests tragen die Arbeitgeber.

Achtung: Dokumentationspflichten beachten

Eine Dokumentationspflicht besteht nach § 4 Abs. 3 der SARS-CoV-2-Arbeitsschutzverordnung nur hinsichtlich der Beschaffung der Tests oder etwaigen Vereinbarungen mit externen Dienstleistern, die Tests durchzuführen. Nachweise hierüber müssen Arbeitgeber bis Ablauf des 19. März 2022 aufbewahren. Bei den Unterlagen wird es sich in der Regel nicht um personenbezogene Daten handeln, sodass datenschutzrechtliche Vorschriften nicht zu berücksichtigen sind.

Eine Pflicht zur Dokumentation von getesteten Personen sowie ihren Testergebnissen enthält die 2. SARS-CoV-2-Arbeitsschutzverordnung nicht. Unternehmen sind auch nicht verpflichtet, bei Vorliegen eines positiven Testergebnisses das Gesundheitsamt zu informieren.

Testangebote gemäß der Arbeitsschutzverordnung als 3G-Nachweis im Sinne des § 28b Abs. 1 IfSG?

Es spricht nichts dagegen, die betrieblichen Testangebote als 3G-Nachweis zu nutzen, wenn sie durch beauftragte Dritte durchgeführt und bescheinigt oder unter Aufsicht im Betrieb durchgeführt und dokumentiert werden. Einen Anspruch der Beschäftigten, dass der Arbeitgeber im Rahmen seiner Testangebotspflicht gemäß § 4 SARS-CoV-2 Arbeitsschutzverordnung Tests durchführt, die die Anforderungen des § 28b Abs.1 IFSG erfüllen, besteht jedoch nicht. Dem Arbeitgeber bleibt freigestellt, in welcher Form er diese Testungen anbietet. Wenn die betrieblichen Testangebote sich auf nicht überwachte Selbsttests beschränken, dann können die Arbeitnehmenden diese Tests nicht im Rahmen der Zugangskontrolle verwenden.

Anspruch auf Testbescheinigung?

Die Arbeitsschutzverordnung sieht auf Bundesebene (das kann in den Verordnungen der einzelnen Länder anders geregelt sein) keine Pflicht für Arbeitgeber vor, den Beschäftigten über ihr Testergebnis eine entsprechende Bescheinigung zu erstellen.

Datenverarbeitung zur Durchführung des Beschäftigtenverhältnisses - Rechtsgrundlagen

Unabhängig davon, wie die Verordnungen in den Ländern im Einzelfall ausgestaltet sind, sind länderübergreifend datenschutzrechtliche Grundsätze zu beachten. Im Arbeitsverhältnis führt § 26 Abs. 7 BDSG dazu, dass sämtliche Verarbeitungen personenbezogener Daten datenschutzrechtliche Anforderungen erfüllen müssen. Das gilt unabhängig davon, ob die Verarbeitung (zumindest teilweise) automatisiert erfolgt oder nicht. Damit bedarf es bereits für handschriftlich geführte Listen, Tabellen oder andere Aufzeichnungen über getestete Mitarbeitende, ihre Testergebnisse sowie das Ausstellen entsprechender Testbescheinigungen tauglicher Rechtsgrundlagen.

Die Verarbeitung dieser Daten kann "zum Zwecke des Beschäftigungsverhältnisses" erfolgen, "wenn dies […] für dessen Durchführung […] erforderlich ist" (§ 26 Abs. 1 BDSG) beziehungsweise nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, wenn "die Verarbeitung [...] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist]." Erforderlich ist die Verarbeitung der Daten, wenn das Interesse des Arbeitgebers an der Datenverarbeitung schutzwürdige Interessen (insbesondere das Persönlichkeitsrecht) der Beschäftigten überwiegt. Die Fürsorgepflicht von Arbeitgebern und das Anliegen, Infektionen mit dem Coronavirus zu detektieren und nachverfolgen zu können, um auch dem Gesundheitsschutz anderer Beschäftigter Rechnung zu tragen, stellt ein nicht zu vernachlässigendes Interesse dar, das schutzwürdige Interessen der Beschäftigten überwiegen dürfte.

Erhöhte Anforderungen bei der Verarbeitung von Gesundheitsdaten

Bei der Verarbeitung von Gesundheitsdaten gelten erhöhte Anforderungen. Werden etwa Testbescheinigungen ausgestellt, die das (positive oder negative) Testergebnis enthalten oder Impf- und Genesenennachweise gespeichert, gelten § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO. Danach ist eine konkrete gesetzliche Regelung erforderlich, nach der eine Verarbeitung von Gesundheitsdaten ausdrücklich zulässig ist. Solche Regelungen können sich aus den Rechtsverordnungen der Länder ergeben.

Fehlt es an einer entsprechenden Regelung, kommt nur eine Einwilligung des Arbeitnehmenden in Betracht. Dabei ist zu beachten, dass die Einwilligung die im Arbeitsverhältnis geltenden Anforderungen erfüllt. Insbesondere muss die Einwilligung nach § 26 Abs. 2 S. 3 BDSG stets in Schriftform oder elektronischer Form erfolgen. Besondere Schwierigkeiten könnten sich aus der "Freiwilligkeit" der Einwilligung ergeben. Für den Arbeitnehmer muss klar erkennbar sein, dass die Speicherung des Impfstatus bzw. Genesenenstatus nur mit seiner Zustimmung erfolgt und die Einwilligung jederzeit widerrufbar ist. Da der Gesetzgeber die Möglichkeit zur Hinterlegung des Nachweises explizit nennt (§ 28b Abs. 1 S. 1 IfSG), sollte eine datenschutzkonforme Einholung der Einwilligung möglich sein.

Weitere datenschutzrechtliche Pflichten

Arbeitgeber und zugleich "Verantwortliche" im Sinne der Datenschutz-Grundverordnung (DSGVO) müssen zudem bei der Verarbeitung personenbezogener Daten

  • ihren Informationspflichten nach Art. 13 DSGVO nachkommen,
  • restriktive Zugriffsregelungen auf die erhobenen Daten festlegen,
  • ein Verarbeitungsverzeichnis führen und aktualisieren sowie
  • Aufbewahrungs- und Löschfristen festlegen. Meist sehen die Verordnungen der Länder hierfür eine Aufbewahrungsfrist von vier Wochen vor.

Bei der Verarbeitung von Gesundheitsdaten ist vorab insbesondere zu prüfen, ob eine Datenschutzfolgenabschätzung durchzuführen ist. Daneben sind geeignete Maßnahmen zum Schutz der Gesundheitsdaten zu treffen. Dabei kann auch auf die in § 22 Abs. 2 BDSG genannten Maßnahmen (Pseudonymisierung oder Verschlüsselung der Daten, Benennung eines oder einer Datenschutzschutzbeauftragen etc.) zurückgegriffen werden.

Immer gilt: Datenminimierung

Zwingend sollten die im Datenschutzrecht geltenden Grundsätze der "Datenminimierung" und der "Speicherbegrenzung" beachtet werden: Arbeitgeber sollten in jedem Fall nicht mehr Daten als notwendig verarbeiten und diese nicht länger als erforderlich aufbewahren.


Das könnte Sie auch interessieren:

3G am Arbeitsplatz: Was gilt für Unternehmen?

Software-Tools zur 3G-Kontrolle am Arbeitsplatz

PCR-, Antigen- oder Schnelltest? FAQ für Unternehmen

Die Homeoffice-Pflicht ist zurück