Entsprechend des neuen InfSchG ist durch den Arbeitgeber nun verpflichtend der G3-Status zu erfassen. Bei den Nachweisen handelt es sich um Daten zur Gesundheit, mithin um besonders schützenswerte Daten. Die Rechtsgrundlage für die Datenerhebung ergibt sich aus dem § 28b InfSchG.
Hiernach darf (und muss) der Arbeitsgeber Informationen zum Impfstatus abfragen, soweit Beschäftigte das Betriebsgebäude betreten. Die Ergebnisse der Abfrage sind zu dokumentieren. Viele Infos finden sich dazu in den FAQ des Bundesarbeitsministeriums.
Hierzu ergeben sich aus dem InfSchG eine Reihe von Vorgaben:
Vertraulichkeit
Die Verarbeitung, d.h. Erfassung und Verwaltung der G3-Daten, hat so zu geschehen, dass die Daten vertraulich und vor der Einsicht Dritter geschützt aufbewahrt werden. Zu überlegen wäre z.B. dass die Daten gleich bearbeitet und aufbewahrt werden, wie dies auch mit der Verarbeitung von z.B. Krankmeldungen geschieht. Entscheidend ist, dass die Vertraulichkeit der Daten gewahrt wird.
Verarbeitungszwecke
Die Daten dürfen nur zu bestimmten Zwecken verarbeitet werden. Dies sind:
Die Durchführung der Überwachungsaufgabe nach § 28b InfSchG, Mitteilungen an das Gesundheitsamt gem. § 28 Abs. 3 InfSchG und zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes.
Weitere Zwecke sind nicht genannt. Bloßes Interesse, ob jemand geimpft ist, reicht also nicht aus.
Anonyme Weitergaben
Zwar müssen die Listen selbst personenbezogen geführt werden. Für die o.g. Zwecke reichen jedoch in aller Regel anonymisierte Daten aus. Ausgehend vom Prinzip der Datenminimierung sollten daher Datenweitergaben grundsätzlich nur anonymisiert erfolgen. Ausnahmen sollten vorab mit der Pandemiebeauftragten oder den Datenschtzbeauftragten abgesprochen werden.
Umgang mit Nachweisen (Kopien oder Scans von Nachweisen):
Der Arbeitgeber kann nur verlangen, dass z.B. Impfausweis, Testergebnis usw. vorgezeigt werden. Die Durchführung der Kontrolle (und das Ergebnis) darf er dann dokumentieren. Da die Pflicht am Betreten ansetzt, unterstellt das Verfahren, dass man den Nachweis kurz physisch vorlegen und dann wieder einstecken kann (ähnlich beim Restaurantbesuch).
Es besteht kein Anspruch seitens des Arbeitsgebers, dass die Nachweise dauerhaft hinterlegt / zur Verfügung gestellt werden. (Die Beschäftigten können dies allerdings freiwillig tun, wenn sie möchten).
Meldungen aus der Distanz
Eine Übermittlung auf Distanz ist regelmäßig nicht erforderlich, da man z.B. für eine Tätigkeit im Homeoffice keinen G3-Nachweis erbringen muss. Der Nachweis ist bei Betreten der Arbeitsstätte zu erbringen, demnach auf Vorzeigen in Präsenz ausgelegt. Möchte man gleichwohl den Status auf Distanz (z.B. per Mail) mitteilen, ist zu bedenken:
- Es sind sensible Daten. Die Mail sollte daher verschlüsselt sein. (Wie verschlüsselt man Mails? – Wie erhält man das benötigte Schlüsselzertifikat?)
- Bei einer Meldung per Mail samt Nachweis übersendet man immer gleich eine Kopie. Will man pragmatisch auf Nummer sicher gehen, dass die Daten nicht gespeichert werden, sollte man ausdrücklich darum bitten, dass Mail&Anhang nach Dokumentation der Daten umgehend gelöscht werden. Ggf. kann man zudem um eine Bestätigung der Löschung bitten.
Alternativ bleibt die Möglichkeit, die Mitteilung per Videochat zu machen. Oder den Nachweis beim nächsten Betreten der Arbeitsstätte vorzulegen.
Edit:
Mit Blick auf § 28b Abs. 3 Satz 6 InfSchG: die anonymen Mitteilungen an das Gesundheitsamt gem. § 28 Abs. 3 InfSchG
Die Übermittlungen gem. § 28b Abs.3 Satz 7 InfSchG betreffen nur Einrichtungen nach § 28b Abs. 2 Satz1.
Der Mac-Client von Zoom, Version 5.4.4., scheint teils anlasslos große Audiodateien anzulegen, in den auch auch Umgebungsgeräusche erfasst und gespeichert werden.
Wir raten Mac-Nutzer*innen des ZoomClients ein Update auf (mind.) Version 5.4.6 (aktuell: 5.4.7.) . Das Problem wurde dann nicht mehr festgestellt. Ggf. angelegte Daten werden durch das Update gelöscht.
…weiterlesen »Mit Hektik ins Video-Proseminar – gerade noch geschafft – und dann in eine Reihe irritierter Gesichter schauen, weil als eigener Sprachbeitrag der Abspann vom ???-Hörspiel läuft, alle Teilnehmer*innen auf Stand über ankommende Mails sind und im Hintergrund der Wäscheständer mit der Batman-Unterwäsche grüßt. Nicht schön.
…weiterlesen »Das Corona-Virus sorgt für für viele Änderungen, daheim und im Büro. Viele Abweichungen sind dabei sehr kurzfristig: Plötzlich ist HomeOffice angesagt, plötzlich sind bestimmte Geschäfte nicht mehr offen. Plötzlich ändern sich die Regeln für das Miteinander.
Diese Unsicherheiten versuchen Virenversender und Phishing-Betrüger auszunutzen.
…weiterlesen »Durch die derzeitige Entwicklung sind viele Mitarbeiter*innen kurzfristig gezwungen im Homeoffice zu arbeiten. Auch diese Lage ändert jedoch nichts an der datenschutzrechtlichen Sensibilität der Daten auf Betroffenenseite. Daher möchte ich darauf hinweisen, dass auch bei der Tätigkeit im und vom Homeoffice aus datenschutzrechtliche Vorgaben zu beachten sind.
Auf den Seiten der Behördlichen Datenschutzbeauftragten sind hierzu Maßgaben und Tipps zur Umsetzung beschrieben. Sie werden fortgeschrieben und ergänzt.
Siehe https://www.hu-berlin.de/de/datenschutz/home-office-datenschutz
Die Humboldt-Universität zu Berlin wurde Anfang November durch Angriffe des Computervirus Emotet betroffen. Es wurden insgesamt neun (von rund 43.000) Accounts an der HU mit der Schadsoftware infiziert.
…weiterlesen »endlich ist die neue Stelle bewilligt, die Stellenausschreibung raus – man ist gespannt wer sich meldet. Und dann kommen Bewerbungsmails rein! Prima! Aber manchmal auch: Sehr fies.
Derzeit machen Mails die Runde, die aussehen, als seien sie eine Antwort auf eine Stellenanzeige. Das liest sich dann z.B. so:
…weiterlesen »Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundenbetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich auf ein persönliches Vorstellungsgespräch.Mit besten Grüßen
Kommt er nun am 29.3. oder doch erst später, aber wenn, dann wann genau? Es ist wenig klar, mit vielen überraschenden Wenden bislang.
Was man jedoch ziemlich sicher sagen kann ist, dass der Brexit auch hinsichtlich des Datenschutzrechts Folgen haben wird. Allem voran natürlich der ungeregelte Brexit.
In diesem Fall wird Großbritannien quasi über Nacht zum sog. Drittland.
Mit zwingender Anwendung der DSGVO hat auch die gute alte Dateibeschreibung nach § 19 BlnDSG ausgedient. Dokumentieren muss man aber trotzdem (frei nach DH: jetzt erst recht!): So ist nach der DSGVO nun ein sog. Verzeichnis über Verarbeitungstätigkeiten zu erstellen. Klingt etwas schicker (es gibt auch ein neues Formular), ist inhaltlich zugegebenermaßen kein sehr großer Unterschied zur alten Dateibeschreibung. Im Rahmen der erhöhten Rechenschafts- und Transparenzpflichten der DSGVO kommt dem Verzeichnis jedoch eine zentrale Bedeutung zu. Insbesondere sollte regelmäßig überprüft werden, ob es auf aktuellem Stand ist, d.h. Veränderungen am System nachgehalten werden.
Auf den Seiten der HU gibt es eine Ausfüllhilfe, die bei der Erstellung unterstützen soll. Sollten dann immer noch Schwierigkeiten bestehen, wenden Sie sich bitte an uns.
Ein datenschutzrechtlicher Grundsatz beim Umgang mit personenbezogenen Daten ist, dass die Daten vor dem Zugriff und der Kenntnisnahme von Unberechtigten zu schützen ist. Ein anderer allgemeiner Alltags-Grundsatz ist Murphys Law.