Berlin, 31.05.2022
Booster, FFP 2, 3G-Nachweise – die Pandemie hat viele sperrige Begriffe in unserem Wortschatz hinterlassen. Im Laufe der Zeit entwickelte sich ein regelrechtes Corona-Vokabular. Mit dem Sinken der Inzidenzen und den Freiheiten, die wir jetzt wieder genießen können, gerät vieles aus der akuten Pandemie-Zeit fast schon in Vergessenheit. Genau das ist ganz im Sinne der Datenbeauftragten in Bund und Land. Im Zuge der verschiedenen Vorsichtsmaßnahmen und Beschränkungen zum Schutz vor Ansteckungen wurden auch in Unternehmen viele personenbezogene Daten gesammelt – und gespeichert. Diese Daten sollen jetzt dringend der Vergessenheit anheim gegeben, sprich gelöscht werden. Die IMW hat recherchiert, welche datenschutzrechtlichen Pflichten Unternehmen jetzt beachten müssen.
Welche personenbezogenen Daten wurden in der Corona-Zeit im Unternehmen erhoben?
Zum 20.03.2022, dem Stichtag der Änderung des Infektionsschutzgesetzes, sind zahlreiche Pflichten, wie etwa Nachweise zum Impfstatus oder Testergebnisse am Arbeitsplatz, entfallen. Zu diesem Zeitpunkt hätte die Löschung der Corona-Daten erfolgen müssen. Unternehmen sind angehalten, umgehend zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit den Corona-Maßnahmen erhoben und gespeichert haben. Da inzwischen sämtliche Corona-Maßnahmen weggefallen sind und damit der Zweck der Datenverarbeitung entfallen ist, müssen die Daten gelöscht werden. Hintergrund: Die gespeicherten Daten – wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle – waren zweckgebunden und die maximale Speicherfrist war auf 6 Monate begrenzt. Eine Ausnahme bildet der Gesundheitsbereich, also Kliniken, Krankenhäuser und andere Gesundheitseinrichtungen. Dort ist die Speicherung entsprechender Daten nach wie vor erforderlich und damit rechtlich zulässig.
Achtung: Die Löschung muss rechtskonform erfolgen
Die Datenlöschung ist, so lautet die Vorschrift, rechtskonform vorzunehmen. Für personenbezogene Daten gibt die Norm DIN 66398 Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten für ein Löschkonzept. Zu den G-Nachweisen haben sich inzwischen die Aufsichtsbehörden zu Wort gemeldet und darauf hingewiesen, dass Papierdokumente (Kopien, Ausdrucke) datenschutzkonform zu vernichten seien. Die Empfehlung lautet, dass Aktenvernichter verwendet werden müssen, die mindestens der Sicherheitsstufe P4 entsprechen.
In der Corona-Zeit waren die Unternehmen angehalten, Ihre Mitarbeiterinnen und Mitarbeiter im Hinblick auf Impfung und Einhaltung der Kontaktbeschränkungen zu kontrollieren. Nun sind es die Unternehmen, die der Kontrolle unterliegen: Es wird stichprobenartige Prüfungen geben, ob alle Daten korrekt vernichtet wurden.
Welche personenbezogenen Daten wurden in der Corona-Zeit im Unternehmen erhoben?
Zum 20.03.2022, dem Stichtag der Änderung des Infektionsschutzgesetzes, sind zahlreiche Pflichten, wie etwa Nachweise zum Impfstatus oder Testergebnisse am Arbeitsplatz, entfallen. Zu diesem Zeitpunkt hätte die Löschung der Corona-Daten erfolgen müssen. Unternehmen sind angehalten, umgehend zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit den Corona-Maßnahmen erhoben und gespeichert haben. Da inzwischen sämtliche Corona-Maßnahmen weggefallen sind und damit der Zweck der Datenverarbeitung entfallen ist, müssen die Daten gelöscht werden. Hintergrund: Die gespeicherten Daten – wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle – waren zweckgebunden und die maximale Speicherfrist war auf 6 Monate begrenzt. Eine Ausnahme bildet der Gesundheitsbereich, also Kliniken, Krankenhäuser und andere Gesundheitseinrichtungen. Dort ist die Speicherung entsprechender Daten nach wie vor erforderlich und damit rechtlich zulässig.
Achtung: Die Löschung muss rechtskonform erfolgen
Die Datenlöschung ist, so lautet die Vorschrift, rechtskonform vorzunehmen. Für personenbezogene Daten gibt die Norm DIN 66398 Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten für ein Löschkonzept. Zu den G-Nachweisen haben sich inzwischen die Aufsichtsbehörden zu Wort gemeldet und darauf hingewiesen, dass Papierdokumente (Kopien, Ausdrucke) datenschutzkonform zu vernichten seien. Die Empfehlung lautet, dass Aktenvernichter verwendet werden müssen, die mindestens der Sicherheitsstufe P4 entsprechen.
In der Corona-Zeit waren die Unternehmen angehalten, Ihre Mitarbeiterinnen und Mitarbeiter im Hinblick auf Impfung und Einhaltung der Kontaktbeschränkungen zu kontrollieren. Nun sind es die Unternehmen, die der Kontrolle unterliegen: Es wird stichprobenartige Prüfungen geben, ob alle Daten korrekt vernichtet wurden.
Diesen Beitrag teilen über:
Sollten Sie weitere Fragen haben, stehen wir gerne bereit. Einfach in der IMW-Geschäftsstelle anrufen unter: 030-240 47 87 10 oder eine Mail schreiben an: online@imw-ev.de
