Datenschutzschulung

Datenschutz während der Corona-Pandemie

Die Corona-Pandemie hat sich auch datenschutzrechtlich zunehmend zur Herausforderung für die Verantwortlichen eines Unternehmens entwickelt. Nachfolgend finden Sie einen Überblick über die aktuelle Lage (Stand November 2021). Für einige Branchen, wie Arztpraxen, ambulante Pflegedienste, Kindertagesstätten usw. gelten besondere Regelungen. Hier darf auf den Beschluss der Datenschutzkonferenz DSK verwiesen werden:  20211025_DSK_Beschluss_Impfstatus_von_Beschäftigten.pdf

Welche Änderungen sind im Infektionsschutzgesetz (IfSG) zum 24.11.2021 in Kraft getreten (Gesetzeswortlaut)?

Der Zutritt zur Arbeitsstätte ist künftig nur Beschäftigten mit 3G-Status erlaubt – das heißt, die Arbeitnehmer müssen gegen das Coronavirus geimpft, genesen oder negativ getestet sein. Dies erfordert auch in datenschutzrechtlicher Hinsicht eine genauere Betrachtung.

Diese Maßnahme ist im neuen Infektionsschutzgesetz geregelt, welches am 24. November 2021 in Kraft getreten ist. Den genauen Wortlaut können Sie dem Bundesanzeiger, hier das BGBl 2021, Teil I Nr. 79 entnehmen.

Wer darf betriebliche Kontrollen der 3G-Nachweise durchführen?

Der Arbeitgeber ist verantwortlich für die Überprüfung der 3G-Nachweise vor dem Betreten der Arbeitsstätten. Er kann unter Beachtung der Anforderungen an den Beschäftigtendatenschutz die Kontrolle auch an geeignete Beschäftigte oder Dritte delegieren.

Wie kann die ordnungsgemäße Durchführung der betrieblichen Zugangskontrollen dokumentiert werden?

Um dem Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c DSGVO zu genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.

Bei geimpften Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden.

Gleiches gilt grundsätzlich auch für genesene Personen. Hier ist jedoch zusätzlich darauf zu achten, dass bei Ablauf des Genesenstatus vor dem 19. März 2022 von den jeweiligen Personen entweder einmalig ein Impfnachweis oder arbeitstäglich ein Testnachweis vorzulegen ist. Daher ist es ratsam, zusätzlich auch das Ablaufdatum von Genesenennachweisen zu dokumentieren.

Wie dürfen die ermittelten Daten bei der 3 G-Kontrolle verarbeitet werden und wann sind sie zu löschen?

Die erhobenen Daten dürfen zur Erbringung eines Nachweises gegenüber den Behörden und zur Erfüllung der Dokumentationspflicht gespeichert werden. Sie sind spätestens nach 6 Monaten nach der Erhebung zu löschen. Im Einzelnen wird folgendes empfohlen:

  • Löschung eines Testnachweises

Löschung nach 15 Tagen ab Datum der Erhebung. Zum Zweck der Kontaktverfolgung und unter Berücksichtigung des Grundsatzes der Datenminimierung ist eine Aufbewahrungszeit von 15 Tagen als angemessen zu betrachten.

  • Löschung des Impfnachweises

Solange keine Vorschriften bezüglich der Gültigkeitsdauer eines Impfnachweises gesetzlich festgelegt ist, erfolgt eine dauerhafte Aufbewahrung auf jeden Fall bis zum derzeitigen Enddatum der Maßnahmen nach dem Infektionsschutzgesetz dem 19.03.2022.

  • Löschung des Genesenennachweis

Die Löschung erfolgt nach Ablauf der Gültigkeit des Genesenennachweises, also nach höchstens 6 Monaten.

Was ist bei den betrieblichen Zugangskontrollen hinsichtlich des Datenschutzes zu beachten?

Nachweise über den Impf- und Genesungsstatus und negative Testbescheinigungen gehören zu den besonders geschützten Gesundheitsdaten.

§ 28b IfSG verpflichtet den Arbeitgeber zu Nachweiskontrollen, um zu überwachen und zu dokumentieren, dass die Beschäftigten der Pflicht zur Mitführung oder zum Hinterlegen eines 3G-Nachweises nachkommen. Soweit es dazu erforderlich ist, darf der Arbeitgeber personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage diese Bestimmung nicht erhoben bzw. verarbeitet werden.

Der Arbeitgeber hat die Vorgaben des Datenschutzes einzuhalten, insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen nach § 22 Absatz 2 BDSG vorzusehen. Dafür sind unter anderem technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Die Arbeitgeber haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.

Der Arbeitgeber darf den Impf-, Genesenen- und Testnachweis nur verarbeiten, soweit dies zum Zwecke zur Nachweiskontrolle erforderlich ist. Darüber hinaus wird ihm gestattet, die Daten bei der Anpassung des betrieblichen Hygienekonzepts zu verwenden. Es gilt der Grundsatz der Zweckbindung (Art. 5 Absatz 1 Buchstabe b DSGVO). Eine Verarbeitung zu einem anderen Zweck ist nicht zulässig. Verstößt der Arbeitgeber gegen die Datenschutz-Grundverordnung können ihm Bußgelder und Schadensersatz drohen.

Welche Anmerkungen hat der Bundesdatenschutzbeauftragte Professor Ulrich Kelber?

Nach Auffassung des Bundesdatenschutzbeauftragten hätten die Änderungen im Infektionsschutzgesetz auch anwenderfreundlicher im Sinne des Datenschutzes umgesetzt werden können. Die neuen Regelungen bürden den Arbeitgebern abermals das Risiko datenschutzrechtlicher Verletzungen bei der Kontrollpflicht auf. Wir dürfen auf die Pressemitteilung des BfDI verweisen.