Mit dem Inkrafttreten des
„Gesetz(es) zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite“
zum 24.11.2021 ist der § 28b neu ins Infektionsschutzgesetz eingefügt worden.
Danach müssen alle Arbeitgeber*innen ab sofort sicherstellen und nachweisen, dass ausschließlich geimpfte, genesene oder getestete Beschäftigte die Arbeitsstätte betreten.
Gleichzeitig sind alle Beschäftigten verpflichtet, einen Impfnachweis, einen Genesenennachweis oder einen tagesaktuellen Testnachweis innerhalb der Arbeitsstätte mit sich zu führen, zur Kontrolle zur Verfügung zu halten oder bei ihren Arbeitgeber*innen zu hinterlegen.
In Ergänzung zu den von der Technischen Universität Berlin erlassenen Umsetzungsvorgaben möchten wir hier einige uns wichtige Punkte genauer beleuchten.
Gesundheitsdaten
Impf-, Genesenen- bzw. Testnachweise sind Gesundheitsdaten und somit besonders sensible personenbezogene Daten besonderer Kategorien nach Art 9 DSGVO.
Kontrolle vor Ort
Geben Sie Ihr digitales Zertifikat oder Ihre nichtdigitale Bescheinigung möglichst niemals aus der Hand. Auch für die Kontrolle ist das in der Regel nicht erforderlich.
Ermöglichen Sie den Beschäftigten die Nachweisführung möglichst vor Ort und ausschließlich unter 4 Augen. Das ist die datenschutzrechtlich sicherste Variante.
Benutzen Sie für die Überprüfung der digitalen Zertifikate bzw. der Quellcodes auf den nichtdigitalen Bescheinigung ausschließlich die dafür vom RKI herausgegebene CoVPass Check App. Laut der APP-Datenschutzerklärung erfolgt die Verifizierung ausschließlich im Offline-Modus und eine Datenerfassung ist technisch ausgeschlossen.
Das Öffnen der APP sowie das Scannen sollte ausschließlich im Beisein der Beschäftigten erfolgen.
Kontrolle durch Nachweisvorlage per E-Mail
Die Übermittlung per E-Mail ist datenschutzrechtlich nicht unproblematisch und sollte daher möglichst vermieden werden.
Sollte das Verfahren gewählt werden, ist folgendes zu beachten:
- Benutzen Sie ausschließlich einen Provider mit Transportverschlüsselung. Bei Nutzung der personalisierten E-Mailadresse ider TU Berlin ist diese gewährlweistet.
- Benutzen Sie möglichst eine End-To-End-Verschlüsselung (E2EE= End to End Encription) wie bspw. S/Mime, PGP; nur bei dieser ist der Inhalt der E-Mail geschützt.
- Bei fehlender E2EE versenden Sie die Kopie Ihres Nachweises bitte nur als angehängte Datei und nur passwortgeschützt. Das Passwort übermitteln Sie idealer Weise nicht mit derselben E-Mail, sondern mündlich oder per Telefon.
- Führungskräfte sind verpflichtet, den so übermittelten Nachweis sofort nach Prüfung auf seine Gültigkeit aus dem E-Mail-Postfach und allen (Zwischen-)Speichern zu löschen.
Kontrolle durch Nachweisvorlage per Video-Konfernz-Tool
Dabei ist eine gesicherte Übertragung nur schwer zu gewährleisten. Auf diese Möglickeit sollte daher aus datenschutzrechtlicher Sicht verzichtet werden.
Nachweisliste
Die rechtlich zu führende Nachweisliste ist sicher vor dem Zugriff Dritter aufzubewahren, in elektronischer Form passwortgeschützt, in Papierform in einem verschlossenem Behältnis. Die darin erfassten personenbezogenen Daten sind 6 Monate nach der Erhebung zwingend zu löschen.