Die am 1. November 2021 in Kraft getretene 3. COVID-19-Maßnahmenverordnung („3. Covid-MV“) des Gesundheitsministers wirft hinsichtlich der 3-G-Regel am Arbeitsplatz für viele Arbeitgeberinnen und Arbeitgeber Fragen über die korrekte Umsetzung auf. Die Einhaltung der Vorschriften muss nachweislich sichergestellt und dokumentiert werden, es besteht jedoch ein enges datenschutzrechtliches Korsett, das bei der konkreten Umsetzung im Betrieb berücksichtigt werden muss.

Im Folgenden beantworten wir einige praxisrelevante Fragen in kompakter Form und geben Tipps für die praktische Umsetzung.

Wen betrifft die 3-G-Regelung am Arbeitsplatz?

Im Kern der Regelung steht die Pflicht der Arbeitnehmer, am Arbeitsplatz stets einen gültigen 3-G-Nachweis mit sich zu führen. Außerdem lässt sich aus den neuen Rechtsgrundlagen eine Pflicht des Arbeitgebers ableiten, die Einhaltung der 3-G-Regelung entsprechend zu kontrollieren. Ausgenommen von dieser Regelung sind das Homeoffice sowie Arbeitsplätze, an denen physischer Kontakt zu anderen Personen ausgeschlossen werden kann (Voraussetzungen: höchstens zwei physische Kontakte pro Tag, die im Freien stattfinden und jeweils nicht länger als 15 Minuten dauern).

In welchem Ausmaß darf bzw muss der Arbeitgeber 3-G-Nachweise kontrollieren?

Hierzu vertritt das Bundesministerium für Arbeit die Rechtsansicht, dass der Arbeitgeber grundsätzlich „wirksame Kontrollen“ durchzuführen hat, aber auch lückenlose Einlasskontrollen zulässig wären. Nach Ansicht des Arbeitsministeriums liegen wirksame Kontrollen vor, „wenn Kontrollen entweder regelmäßig einzelne Personen (stichprobenartig ausgewählt) betreffen oder in Form von „Schwerpunktkontrollen“ (sporadisch durchgehende Kontrollen) erfolgen“.

Eine Verpflichtung, stets alle Arbeitnehmer zu kontrollieren, wird daher nicht anzunehmen sein. Bei Überprüfungen, die über stichprobenartige Kontrollen oder Schwerpunktontrollen hinausgehen (wie etwa lückenlose Einlasskontrollen) könnte es sich um Kontrollmaßnahmen handeln, die die Menschenwürde berühren. Demzufolge könnte vor Einführung derartiger Maßnahmen der Abschluss einer Betriebsvereinbarung (§ 96 ArbVG) oder in Betrieben, in denen kein Betriebsrat eingerichtet ist, die Einholung der Zustimmung der einzelnen Arbeitnehmer notwendig sein (§ 10 AVRAG). Stichprobenkontrollen bzw Schwerpunktkontrollen sind daher im Ergebnis sicher leichter umzusetzen.

Wie kann der Arbeitgeber die Überprüfung der Nachweise datenschutzkonform dokumentieren?

Grundsätzlich ist die Aufbewahrung von Nachweisen sowie den in den Nachweisen enthaltenen personenbezogenen Daten (wie Gültigkeit bzw Gültigkeitsdauer des Nachweises, Barcode bzw. QR-Code) laut der Verordnung unzulässig (§ 1 Abs 5 Z 5 3. Satz 3. Covid-MV sowie in § 1 Abs 5d 3. Satz Covid-19-Maßnahmengesetz).

Um datenschutzkonforme Aufzeichnungen zu führen, empfehlen wir, lediglich zu dokumentieren, dass die für die Kontrolle verantwortliche Person gewisse Arbeitnehmer auf die Einhaltung der 3-G-Regel überprüft hat (aus der Dokumentation sollten die kontrollierten Personen, das Datum der Kontrolle sowie die für die Kontrolle verantwortliche Person ersichtlich sein). Diese Dokumentation der Überprüfung lässt sohin keinen Rückschluss darüber zu, ob die jeweilige kontrollierte Person die 3-G-Regel eingehalten hat. Dies steht den gesetzlichen „Verarbeitungsverboten“ nicht entgegen, weil hierdurch weder der Nachweis noch die darin enthaltenen personenbezogenen Daten aufbewahrt werden.

Der Arbeitgeber kann sich bei dieser Art der Dokumentation unseres Erachtens auf seine berechtigten Interessen als Rechtsgrundlage stützen (Art 6 Abs 1 lit f DSGVO), weil nicht festgehalten wird, ob die kontrollierte Person geimpft, genesen oder getestet ist. Deshalb werden keine Gesundheitsdaten (besonderen Kategorien personenbezogener Daten) verarbeitet, was eine spezielle Rechtsgrundlage nach Art 9 Abs 2 DSGVO erfordern würde.

Darf der Arbeitgeber 3-G-Nachweise speichern, um den Arbeitnehmern fortlaufende Kontrollen zu ersparen?

Die Speicherung von 3-G-Nachweisen (bzw der darin enthaltenen Informationen) führt zur Verarbeitung von Gesundheitsdaten (besondere Kategorien personenbezogener Daten nach Art 9 Abs 1 DSGVO). Als Rechtsgrundlage kommt – im Hinblick auf die oben zitierten „Verarbeitungsverbote“ – lediglich die ausdrückliche Einwilligung der Arbeitnehmer in Betracht. Unseres Erachtens steht das grundsätzliche Verbot der Aufbewahrung der Nachweise (bzw der darin enthaltenen Informationen) einer Verarbeitung dieser Daten auf Basis einer gültigen Einwilligung nicht entgegen: Denn die Arbeitnehmer (die durch diese Regelungen geschützt werden sollen) verzichten mit dieser Einwilligung ausdrücklich auf diesen Schutz, gerade um regelmäßige Kontrollen vom Arbeitgeber zu vermeiden und ihrer gesetzlichen Verpflichtung zu entsprechen. Bei der Erstellung von solchen Einwilligungsformularen ist jedoch Vorsicht geboten: Diese müssen die spezifischen Anforderungen der DSGVO erfüllen, damit die erteilte Einwilligung auch gültig ist (va Hinweis auf Freiwilligkeit und das Widerrufsrecht sowie entsprechende Information zur Datenverarbeitung).

Sollten sich im Zusammenhang mit diesem Thema Fragen ergeben, stehen Ihnen Ihre KPMG Law Ansprechpartnerinnen und Ansprechpartner für alle Fragen gerne zur Verfügung.