Nach 3G-Ende: Arbeitgebende müssen Impfdaten löschen
Die gesetzliche Pflicht zum 3G-Nachweis am Arbeitsplatz ist seit rund einem Monat passé. Und das bedeutet, dass Arbeitgebende die Impfdaten ihrer Mitarbeiter:innen löschen müssen. Andernfalls droht ein Datenschutz-Verstoß. In Niedersachsen sind schon bald erste Kontrollen möglich.
Monatelang waren Angestellte verpflichtet, vor dem Betreten ihres Arbeitsplatzes nachzuweisen, dass sie entweder gegen Corona geimpft sind, eine Sars-Cov-2-Infektion überstanden haben oder innerhalb von 24 Stunden negativ auf das Virus getestet wurden. Chef:innen mussten dies entsprechend kontrollieren und dokumentieren. Dafür ermöglichte das Infektionsschutzgesetz in der Fassung vom 22. November 2021 es Arbeitgebenden, „personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten“ und beispielsweise für die Anpassung des betrieblichen Hygienekonzeptes verwenden zu können. Die jeweiligen Daten sollten jedoch spätestens sechs Monate nach der Erhebung oder mit dem Außerkrafttreten der Regelung gelöscht werden.
Aber Achtung: „Die Daten über den Geimpft-, Genesen- oder Getestet-Status dürfen von den Arbeitgebern zur Erfüllung der Kontroll- und Dokumentationspflichten verarbeitet, aber nicht langfristig gespeichert werden“, hieß es vom Bundesministerium für Arbeit und Soziales.
Mit der 3G-Pflicht ist längst Schluss. Und damit wird es nun höchste Zeit, die erhobenen Impfdaten zu löschen, mahnt die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel und warnt vor Datenschutz-Verstößen.
Impfdaten: Keine gesetzliche Grundlage mehr
Der Grund: Der eigentliche Hintergrund, aus dem die Impfdaten überhaupt erfasst wurden, hat mit der jüngsten Änderung des Infektionsschutzgesetzes keinen Bestand mehr. „Alle Datenverarbeitungen – wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle – waren zweckgebunden. Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen“, erklärt die Datenschutzbeauftragte.
Denn in Artikel 17 Absatz 1 der Datenschutz-Grundverordnung heißt es: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.“
Folglich sollten Arbeitgebende und öffentliche Stellen umgehend prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben, und diese löschen. „Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen“, warnt Thiel und kündigt an, womöglich noch in diesem Jahr stichprobenartige Kontrollen durchzuführen.
Übrigens: Auch ohne die gesetzliche Pflicht können Chef:innen weiterhin auf einen Impf-, Genesenen- oder Testnachweis vor dem Betreten des Arbeitsplatzes bestehen.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Bereitschaft in Pausenzeit: Kein Anspruch auf Vergütung?
Angestellte sind zwar gemäß Arbeitszeitgesetz (ArbZG) zu regelmäßigen Pausen verpflichtet, zur Arbeitszeit zählen diese jedoch nicht und werden daher auch …
Finanzielles Extra zur Gesundheit: Betriebliche BU
Neben einem Gehaltsplus können Arbeitgebende auch auf anderen Wegen ihre Wertschätzung zeigen und Angestellte beispielsweise bei der Altersvorsorge unterstützen. Außerdem …
dm baut Versandapotheke für OTC-Präparate auf
Die Drogeriekette dm baut eine eigene Versandapotheke auf. Marktingchef Sebastian Bayer sagte gegenüber dem Handelsblatt, dass man eine entsprechende Gesellschaft …
