Datenschutz während der Corona-Pandemie

Der Arbeitgeber ist verantwortlich für die Überprüfung der 3G-Nachweise vor dem Betreten der Arbeitsstätten. Er kann unter Beachtung der Anforderungen an den Beschäftigtendatenschutz die Kontrolle auch an geeignete Beschäftigte oder Dritte delegieren.

Um dem Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c DSGVO zu genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.

Bei geimpften Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden.

Gleiches gilt grundsätzlich auch für genesene Personen. Hier ist jedoch zusätzlich darauf zu achten, dass bei Ablauf des Genesenstatus vor dem 19. März 2022 von den jeweiligen Personen entweder einmalig ein Impfnachweis oder arbeitstäglich ein Testnachweis vorzulegen ist. Daher ist es ratsam, zusätzlich auch das Ablaufdatum von Genesenennachweisen zu dokumentieren.

Die erhobenen Daten dürfen zur Erbringung eines Nachweises gegenüber den Behörden und zur Erfüllung der Dokumentationspflicht gespeichert werden. Sie sind spätestens nach 6 Monaten nach der Erhebung zu löschen. Im Einzelnen wird folgendes empfohlen:

• Löschung eines Testnachweises

Löschung nach 15 Tagen ab Datum der Erhebung. Zum Zweck der Kontaktverfolgung und unter Berücksichtigung des Grundsatzes der Datenminimierung ist eine Aufbewahrungszeit von 15 Tagen als angemessen zu betrachten.

• Löschung des Impfnachweises

Solange keine Vorschriften bezüglich der Gültigkeitsdauer eines Impfnachweises gesetzlich festgelegt ist, erfolgt eine dauerhafte Aufbewahrung auf jeden Fall bis zum derzeitigen Enddatum der Maßnahmen nach dem Infektionsschutzgesetz dem 19.03.2022.

• Löschung des Genesenennachweis

Die Löschung erfolgt nach Ablauf der Gültigkeit des Genesenennachweises, also nach höchstens 6 Monaten.

Nachweise über den Impf- und Genesungsstatus und negative Testbescheinigungen gehören zu den besonders geschützten Gesundheitsdaten.

§ 28b IfSG verpflichtet den Arbeitgeber zu Nachweiskontrollen, um zu überwachen und zu dokumentieren, dass die Beschäftigten der Pflicht zur Mitführung oder zum Hinterlegen eines 3G-Nachweises nachkommen. Soweit es dazu erforderlich ist, darf der Arbeitgeber personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage diese Bestimmung nicht erhoben bzw. verarbeitet werden.

Der Arbeitgeber hat die Vorgaben des Datenschutzes einzuhalten, insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen nach § 22 Absatz 2 BDSG vorzusehen. Dafür sind unter anderem technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Die Arbeitgeber haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.

Der Arbeitgeber darf den Impf-, Genesenen- und Testnachweis nur verarbeiten, soweit dies zum Zwecke zur Nachweiskontrolle erforderlich ist. Darüber hinaus wird ihm gestattet, die Daten bei der Anpassung des betrieblichen Hygienekonzepts zu verwenden. Es gilt der Grundsatz der Zweckbindung (Art. 5 Absatz 1 Buchstabe b DSGVO). Eine Verarbeitung zu einem anderen Zweck ist nicht zulässig. Verstößt der Arbeitgeber gegen die Datenschutz-Grundverordnung können ihm Bußgelder und Schadensersatz drohen.

Nach Auffassung des Bundesdatenschutzbeauftragten hätten die Änderungen im Infektionsschutzgesetz auch anwenderfreundlicher im Sinne des Datenschutzes umgesetzt werden können. Die neuen Regelungen bürden den Arbeitgebern abermals das Risiko datenschutzrechtlicher Verletzungen bei der Kontrollpflicht auf. Wir dürfen auf die Pressemitteilung des BfDI verweisen.