Ist die Speicherung des 2G-/3G-Status erlaubt?
Arbeitnehmer brauchen für das Betreten von Arbeitsorten einen 3G-Nachweis. Unklar ist, inwieweit Arbeitgeber Aufzeichnungen darüber führen dürfen, welche Mitarbeiter geimpft oder genesen sind, insbesondere um Kontrollen der Nachweise zu vereinfachen.
Nach den geltenden COVID-19-Bestimmungen dürfen Arbeitnehmer Arbeitsorte, an denen physische Kontakte zu anderen Personen nicht ausgeschlossen werden können, nur betreten, wenn sie über einen Nachweis über eine geringe epidemiologische Gefahr (aktuell „3G-Nachweis“, Nachtgastronomie „2,5G-Nachweis“) verfügen. Für die Einhaltung der COVID-19-Bestimmungen sind Arbeitnehmer und Arbeitgeber beide verantwortlich.
Unklar ist, inwieweit der Arbeitgeber Aufzeichnungen darüber führen darf, welche Mitarbeiter geimpft oder genesen sind, insbesondere um Kontrollen der 2G-/3G-Nachweise zu vereinfachen. Die Meinungen gehen hier auseinander.
Speicherung von Daten mit Einwilligung möglich
Erlaubt ist nach der 3. Covid-19-Maßnahmenverordnung des Gesundheitsministers nur die Ermittlung der relevanten personenbezogenen Daten (Name, Geburtsdatum, Gültigkeitsdauer, QR-Code, Daten zur Identitätsfeststellung) durch den Arbeitgeber. Hingegen wird eine Vervielfältigung oder Aufbewahrung der Nachweise und der in den Nachweisen enthaltenen personenbezogenen Daten in der Verordnung ausdrücklich für unzulässig erklärt. Auf den ersten Blick scheint daher eine Aufbewahrung der 2G-Nachweise oder auch von Aufzeichnungen darüber, wer geimpft oder genesen ist, generell verboten zu sein. Bei näherer Betrachtung war dies aber wohl nicht die Intention des Verordnungsgebers. Ein Hinweis darauf findet sich in der rechtlichen Begründung der Verordnung. In Zusammenhang mit der Kontrolle der Nachweise bei der Benutzung von Seilbahnen wird darin vorgeschlagen, dass Saisonkarten für die Gültigkeitsdauer des jeweiligen Nachweises freigeschaltet werden könnten, um nicht jedes Mal bei der Benutzung einer Seilbahn, etwa beim Passieren des Drehkreuzes, kontrollieren zu müssen. Hierfür sei eine wirksame datenschutzrechtliche Einwilligung erforderlich. Offenbar geht der Verordnungsgeber also selbst davon aus, dass mit gesonderter Einwilligung der betroffenen Personen gespeichert werden darf, dass sie über einen gültigen 2G-Nachweis verfügen. Selbiges muss daher auch für die Kontrolle an Arbeitsplätzen gelten.
Es spricht daher einiges dafür, dass der Verordnungsgeber die allgemeinen datenschutzrechtlichen Rechtfertigungsgründe für eine Verarbeitung nicht einschränken wollte und eine Speicherung der Daten zum 2G-Status insbesondere auf eine Einwilligung gestützt werden kann. Der Arbeitgeber kann den Arbeitnehmern auf freiwilliger Basis die Möglichkeit einräumen, Daten zur Gültigkeit ihres Nachweises über eine Impfung oder Genesung bis zum Ende der Gültigkeitsdauer zu speichern. Bei PCR- oder Antigen-Tests macht eine Speicherung aufgrund der kurzen Gültigkeitsdauer von vornherein keinen Sinn. Für die Praxis wäre es denkbar, die Daten über den 2G-Nachweis mit einem Zutrittssystem zu verknüpfen, sodass Arbeitnehmer mit gültigem 2G-Nachweis automatisch Zutritt erhalten, während andere Arbeitnehmer ohne hinterlegtem 2G-Nachweis beim Betreten des Arbeitsorts kontrolliert werden. Die Mitarbeiter hätten in diesem Fall also die freie Wahl, ob Sie eine Einwilligung zur Speicherung erteilen oder nicht. Wird die Einwilligung nicht erteilt, müsste der Arbeitgeber unter den betroffenen Arbeitnehmern zumindest stichprobenmäßige Kontrollen durchführen, ob die gesetzlichen Zutrittsregelungen für den Arbeitsplatz eingehalten werden.
Allenfalls könnte die Speicherung von Daten über den 2G-Nachweis auch auf die Rechtsgrundlage des Art 9 Abs 2 lit b DSGVO (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) gestützt werden, vor allem wenn die Speicherung und Verarbeitung der Daten zusätzlich in einer Betriebsvereinbarung geregelt wurde oder in Betrieben ohne Betriebsrat die Zustimmung der Arbeitnehmer eingeholt wurde.
Betriebsvereinbarung nötig?
In dem Zusammenhang stellt sich die grundsätzliche Frage, inwieweit für Kontrollen des 2G-/3G-Status und für die Speicherung von Daten hierüber eine Betriebsvereinbarung abgeschlossen werden muss. Soweit Kontrollen gesetzlich vorgegeben sind, bedarf es sicherlich keiner Betriebsvereinbarung. Was die Art und Weise der Kontrollen betrifft, enthält die Verordnung des Gesundheitsministers keine näheren Vorgaben. In der rechtlichen Begründung zur Verordnung wird betont, dass die Kontrollpflicht nicht überspannt werden dürfe und keine durchgehenden Kontrollen erforderlich seien. Kontrollen sollten insbesondere je nach Art und Größe des Betriebes in Form von entsprechenden Hinweisen, stichprobenartigen Kontrollen, Aushängen, mündlichen sowie schriftlichen Belehrungen erfolgen. Stichprobenartige Kontrollen müssen dabei so ausgelegt sein, dass es sich um wirksame Kontrollen im Sinne des COVID-19-MG handelt. Dies soll der Fall sein, wenn Kontrollen entweder regelmäßig einzelne Personen (stichprobenartig ausgewählt) betreffen oder in Form von „Schwerpunktkontrollen“ durchgeführt werden.
Eine mehr als nur stichprobenartige Kontrolle, wie eine tägliche Überprüfung beim Betreten des Arbeitsorts oder auch in Form der Speicherung des 2G-Status, könnte eventuell als zustimmungspflichtige Kontrollmaßnahme iSd § 96 Abs 1 Z 3 ArbVG qualifiziert werden, da die Verordnung keine Verpflichtung des Arbeitgebers für lückenlose Kontrollen und für eine Speicherung vorsieht. Dagegen spricht, dass der Arbeitgeber wirksame Kontrollen durchführen muss, um nicht der Gefahr von Verwaltungsstrafen ausgesetzt zu sein, und der Arbeitgeber daher ein legitimes Kontrollinteresse hat. Es lässt sich daher mit guten Gründen argumentieren, dass selbst eine lückenlose Kontrolle beim Betreten oder auch eine Speicherung des 2G-Status (geimpft/genesen) auf freiwilliger Basis die Menschenwürde nicht berührt und daher keine Zustimmung des Betriebsrats erfordert.
Die Speicherung der 2G-Daten könnte ferner als Personaldatensystem unter § 96a Abs 1 Z 1 ArbVG fallen. Da es sich beim 2G-/3G-Nachweis weder um bloß allgemeine Angaben zur Person noch um fachliche Voraussetzungen handelt, ist für die Einführung eines solchen Systems prinzipiell die (ersetzbare) Zustimmung des Betriebsrates notwendig, es sei denn die tatsächliche oder vorgesehene Verwendung dieser Daten geht nicht über die Erfüllung von Verpflichtungen hinaus, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben. Gegen die Mitbestimmungspflicht des Betriebsrats könnte allenfalls argumentiert werden, dass die Speicherung der 2G-Daten ausschließlich dem Nachweis der Einhaltung der gesetzlichen Covid-19-Bestimmungen dient. Nachdem die Speicherung aber eben nicht explizit gesetzlich vorgesehen ist, ist der Abschluss einer Betriebsvereinbarung zu empfehlen.