In der 3. COVID-19-Maßnahmen-Verordnung findet sich in § 1 Abs (5) die Norm, die den Nachweis über eine geringe epidemiologische Gefahr iSd § 2 der VO(“3G-Nachweis”) regelt. 

Immer dann wenn ein Nachweis erforderlich ist, darf der “Verantwortliche” (iSd DSGVO) die folgenden Daten ermitteln,undeinen Identitätsnachweis verlangen (sofern erforderlich):


1. Name
2. Geburtsdatum
3. Gültigkeit bzw Gültigkeitsdauer des Nachweises
4. Barcode / QR-Code

“Eine Vervielfältigung oder Aufbewahrung der Nachweise und der in den Nachweisen enthaltenen personenbezogenen Daten ist mit Ausnahme der Erhebung von Kontaktdatengemäß § 17 ebenso unzulässig wie die Verarbeitung der im Rahmen der Identitätsfeststellung erhobenen Daten.”

§ 17 der VO normiert die Kontaktdatenerhebung zB im Bereich der Gastronomie. 

Ein Arbeitgeber darf daher Kontaktdaten iSd § 17 der Verordnung erheben und auch aufzeichnen, aber nicht den “Nachweis zum 3G-Status”.

 

 

Was heißt das für die Arbeitnehmer*Innen?

Die Mitarbeiter*Innen haben die Verpflichtung, den Nachweis über den 3G-Status während des Aufenthalts an der Betriebsstätte  bei sich zu haben, und auf Aufforderung des Arbeitgebers auch diesem zur Kontrolle zu zeigen.

 

Was heißt das konkret für den Arbeitgeber?

Der Nachweis zum 3G-Status” darf nur ermittelt, aber nicht vervielfältigt oder aufgezeichnet (gespeichert) werden.

 

Scannen und Prüfen.

Der Arbeitgeber darf mE den Status scannen und mit einem QR-Reader, der kostenlos zur Verfügung (Die offiziellen Apps „Grüner Pass“ und „GreenCheck“ | Gesundheitsportal) steht, prüfen, und damit feststellen, ob ein_e Mitarbeiter*In den Status "geimpft, genesen oder getestet" nachweisen kann.

Da Arbeitnehmer*Innen einen 3G-Status nachweisen müssen, kann dies wohl nur so gehandhabt werden, dass beim Eingang zur Betriebsstätte eine Kontrolle stattfindet, damit sichergestellt ist, dass kein Kontakt zwischen Personen mit geringer epidemiologischer Gefahr und anderen Personen bestehen kann. 

 

Gültigkeit und Gültigkeitsdauer

Der Arbeitgeber darf - und dies ist in der 3. COVID-19-Maßnahmen-VO vorgesehen - die Gültigkeit und Gültigkeitsdauer des Nachweises erheben, und sich mE auch "merken" (dh auch speichern), wie lange bei welcher Person ein Nachweis Gültigkeit hat, so zB die Impfung bis zu einem bestimmten Zeitpunkt oder eine Testung für einen kürzeren Zeitraum.

 

Vervielfältigung oder Aufzeichnung der Nachweise (an sich) oder der darin enthaltenen personenbezogenen Daten

Nicht vervielfältigt oder aufgezeichnet werden dürfen die Nachweis selbst, dh der Arbeitgeber darf den Nachweis, den ein_e Mitarbeiter*In mitführt, nicht kopieren und abspeichern, diesen aber sehr wohl kontrollieren.

 

Die Gültigkeitsdauer eines Nachweises darf erhoben werden, sodass sich dieses Verbot nur auf die Vervielfältigung des Nachweises an sich oder der sich aus dem Nachweis ergebenden personenbezogenen Daten (zB Impfstoff, Impfdatum etc...)

 

 

Führen von Listen "genesen bis ..., geimpft bis ..., getestet bis ..." durch den Arbeitgeber

Dieses Verbot der Vervielfältigung bzw. Aufzeichnung des Nachweises schränkt mE die Möglichkeiten des Arbeitgebers im Rahmen des Arbeitsverhältnisses auch auf Basis des Art 9 Abs 2 lit b (Arbeitsverhältnis), c (lebenswichtige Interessen) und h (Gesundheitsvorsorge) oder auch i (öffentliche Gesundheit) DSGVO Listen oder Aufzeichnungen zu führen, die die Gültigkeitsdauer eines Nachweises bei Mitarbeiter'*Innen festhalten, nicht ein.

 

Es ist daher auf Basis des Art 9 Abs 2 DSGVO möglich, diese Daten - in datenminimierender Weise für eine beschränkte Zeit - zu erheben und auch aufzuzeichnen, so zB geimpft bis .., getestet bis ... oder genesen bis ...; sollte ein_e Mitarbeiter*In den Status "geimpft oder genesen" nicht nachweisen (vorweisen) wollen, dann wird wohl von getestet auszugehen sein.

 

Meines Erachtens ist es unzulässig, die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber, der auf Basis des Art 9 Abs 2 DSGVO Möglichkeiten hat, die personenbezogenen Daten seiner Mitarbeiter*Innen zu verarbeiten, durch eine Verordnung des Bundesministeriums Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK) derart einzuschränken, auch wenn Art 9 Abs 4 DSGVO eine "Öffnungsklausel" enthält.

 

Dadurch wird die effiektive Kontrolle iS eines Internen Kontrollsystems und der Judikatur des VwGH in Bezug auf einen Verstoß gegen Interne Kontrollsysteme bei Ungehorsamsdelikten ad absudrum geführt, denn ein Kontrollsystem muss effizient gestaltet werden, um etwaige Verstöße zu verhindern.

 

 

Die Möglichkeiten, die die DSGVO zur Verarbeitung von Arbeitnehmer*Innendaten im Gesundheitskontext bietet, bleiben mE neben der spezifischen Österreichischen Regelung bestehen, oder können nur europarechtskonform interpretiert werden, dass eben ausschließlich die Vervielfältigung des Nachweises bzw. der sich aus dem Nachweis ergebenden personenbezogenen Daten untersagt wird.

 

Diese Ansicht vertritt auch Univ-Prof. Dr. Karl Stöger in der Folge Nr. 206 des You-Toube Channel Ars Boni von Univ.-Prof. Dr. Nikolaus Forgo (ab Minute 23).

 

 

"freiwilliger" geimpft Status

Eine weitere Möglichkeit sehe ich darin, dass Arbeitgeber den Mitarbeiter*Innen auf freiwilliger Basis die Möglichkeit einräumen, einen zeitlich befristeten Status selbst beim Arbeitgeber zu "hinterlegen", und damit zB aus einer stichprobenartigen Kontrolle durch den Arbeitgeber herauszufallen. Der Arbeitgeber wird dann nur diejenigen Personen, die keinen derartigen Status mit zeitlicher Befristung, in die Gruppe der zu kontrollierenden Personen einbeziehen.

 

Kontrollen durch den Arbeitgeber

Da jedoch erhebliche Geldstrafen drohen, empfiehlt es sich, stichprobenartige Kontrollen der (mitzuführenden) 3G-Nachweise durchzuführen und dies auch zu protokollieren, um ein ausreichendes internes Kontrollsystem nachweisen zu können.

 

Dabei dürfen personenbezogene Daten der kontrollierten Mitabeiter*Innen nicht aufgezeichnet werden, dh es kann nur der Vorgang der Kontrolle an sich und das Ergebnis zB die Anzahl der kontrollierten Personen und die Anzahl derjenigen, die über (k)einen 3G-Nachweis verfügten, festgehalten werden. Sinnvollerweise wird auch die Identität der kontrollierenden Person vermerkt

Voraussetzung für eine ausreichendes internes Kontrollsystem iSd Judikatuur des VwGH ist auch, dass die Mitarbeiter*Innen über die einzuhaltendem Normen in verständlicher Art und Weise informiert werden. Die sollte aus Dokumentationsgründen schriftlich erfolgen. 

Auch die Konsequenzen für die Mitarbeiter*Innen, wenn diese den 3G-Nachweis nicht erbringen (können), nämlich eventuell sogar Entfall des Entgeltes sollten in der Information dargelegt werden. 

Beachten Sie weiters, dass auch das Ermitteln von Daten dazu fuhrt, dass die Betroffenen darüber iSd Art 13 DSGVO zu informieren sind. 

Die Österreichische Datenschutzbehörde hat zu COVID-19 und Datenschutz ein FAQ erstellt. 

Die Datenschutzkonferenz (D) vertritt die Ansicht, dass die Anfrage des Impfstatus durch den Arbeitgeber nicht generell zulässig ist.