Folgemitteilung zum Servicedesk „3G am Arbeitsplatz und Datenschutz“
Mit der Änderung des Infektionsschutzgesetztes vom 20. März 2022 entfällt die Verpflichtung zum Nachweis der Impfung, der Genesung oder der Negativ-Testung (3G-Nachweis) am Arbeitsplatz.
Die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes des Bundes nehmen wir nun zum Anlass, um auf Fristen für die Löschung der gesammelten Daten hinzuweisen: Die vom Arbeitgeber erhobenen Daten müssen gem. regulärem Löschkonzept (DSGVO) spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden.
Da jedoch mit dem 20. März die Rechtsgrundlage entfallen ist und die Speicherung nicht mehr erforderlich ist empfehlen wir die Daten schon jetzt zu löschen. Diese Meinung teilen zudem etliche Landesbehörden.
Hintergrund:
Angesichts steigender Corona-Zahlen gewann für Unternehmen die Erfassung von Gesundheitsdaten der Beschäftigten an Bedeutung, um den Betrieb trotz der Risiken durch SARS-CoV-2 aufrechtzuhalten. Dabei wurden die Arbeitgeber verpflichtet zu überwachen, ob die Beschäftigten geimpft, genesen oder getestet sind. Dazu sollte eine tägliche Nachweiskontrolle durchgeführt und dokumentiert werden.
Geregelt und gedeckt wurde das durch das Infektionsschutzgesetz des Bundes (§ 28b Abs. 3 Satz 1 IfSG a.F.). In Einzelfällen haben Verantwortliche Impf- oder Testnachweise sogar kopiert oder gescannt. Das ist nicht zulässig gewesen, und selbstverständlich müssen diese Kopien und Scans umgehend fachgerecht entsorgt werden.
Dass im Zuge der Pandemie gesammelte Daten wieder gelöscht oder vernichtet werden müssen, ist nicht neu. So ist bereits die Pflicht zur Kontaktdatenerhebung für bestimmte Wirtschaftsbereiche – zum Beispiel in der Gastronomie – entfallen, als am 20. August 2021 die „Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2“ (Corona-Schutzverordnung) der NRW-Landesregierung geändert wurde. Allerdings kann sie seitdem noch weiterhin durch die Städte und Gemeinden als örtliche Ordnungsbehörden angeordnet werden, wie auch in den anderen Bundesländern.
Inzwischen geht es darum, die erhobenen Daten rechtskonform zu entsorgen. Das bedeutet: Die Gesundheitsdaten von Beschäftigten und – sofern noch vorhanden – Daten zur Kontaktnachverfolgung müssen gelöscht, also vollständig und unwiderruflich vernichtet werden. Bei Daten, die in Papierform erhoben wurden, sollte ein geeigneter Aktenvernichter verwendet werden. Ein Zerreißen von Hand ist nicht ausreichend.
Wie Datenträger datenschutzkonform vernichtet werden können, regelt unter anderem die DIN 66399. Für das Löschen personenbezogener Daten durch Aktenvernichter sind Geräte der Sicherheitsstufe 4 oder höher gemäß dieser DIN geeignet.
Sollten Sie Fragen haben, sprechen Sie uns gerne an!
Ihr Service-Team
trans-acta group