Der Bundesrat hat am 19.11.2021 der vom Bundestag beschlossenen Änderung des Infektionsschutzgesetzes (IfSG) zugestimmt. Diese sieht verschiedene – teilweise neue und weitreichende – Maßnahmen zur Bekämpfung der Coronapandemie vor.
Der neu gefasste § 28 b IfSG sieht vor, dass Arbeitsstätten nur noch dann betreten werden dürfen, wenn Arbeitgeber und Beschäftigte geimpft, genesen oder getestet sind. Zudem müssen diese einen Impfnachweis, einen Genesenennachweis oder einen offiziellen Testnachweis gemäß COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (Testzentrum, Test unter Aufsicht des Arbeitgebers oder durch entsprechend geschultes Personal) mit sich führen.

Die Arbeitgeber sind gemäß § 28 b Abs. 3 IfSG verpflichtet, die 3G-Bestimmungen durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren; jeder Beschäftigte ist im Gegenzug verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. Die Arbeitgeber dürfen im Rahmen ihrer Überwachungspflicht personenbezogene Daten einschließlich der Daten zum Impf-, Sero- und Teststatus verarbeiten.
Neben der eigentlichen 3G-Prüfpflicht sind jedoch weitere Aufgaben zu erfüllen.

• Verantwortliche habe den Beschäftigten die Pflichtinformationen nach § 15 Abs. 1 und 2 KDG (Art. 13 Abs. 1 und 2 DSGVO) zu erteilen. Diese Information über die Art und Weise der Datenverarbeitung sollte allen Beschäftigten zugänglich gemacht werden, in jedem Fall zum Zeitpunkt der Kontrolle der entsprechenden Nachweise. Dabei kann ein Informationsblatt oder ein Link zu einem digital bereit gehaltenen Dokument ausreichend sein (Ein kostenloses Muster für diese Datenschutzhinweise finden Sie z.B. auf der Webseite der Rechtsanwälte Althammer & Kill).
• Das Verfahren der Verarbeitung des Impf-, Sero- und Teststatus soll in einem Verzeichnis von Verarbeitungstätigkeiten § 30 KDG (Art. 30 DSGVO) dokumentiert werden.
• Die Vorgaben der Datensicherheit nach § 26 KDG (Art. 32 DSGVO) sind einzuhalten. Nicht zulässig dürfte sein, Nachweise zu kopieren oder einzuscannen. Das Vermerken, dass Nachweise vorgelegen haben, genügt.
• Es muss verhindert werden, dass unbefugte Zugriff auf die Gesundheitsdaten der Beschäftigten erhalten. Befugt seien nur die mit der Verarbeitung betrauten Personen.
• Es gelte der Grundsatz der Zweckbindung. Eine Verarbeitung zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Speicherdauer (spätestens 6 Monate) seien die Daten zu löschen.

Grundsätzlich sollte stets versucht werden, so datensparsam wie möglich vorzugehen. Kann auf Namenslisten verzichtet werden, sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden.