Impfdaten und Testergebnisse Arbeitgeber müssen Corona-Daten sofort löschen

Im Restaurant, auf Veranstaltungen und am Arbeitsplatz: Immer dann, wenn jemand seinen Impfstatus oder einen Negativtest vorzeigen musste, haben Unternehmen Daten gesammelt. Nun müssen sie diese dringend wieder löschen. Darauf weisen mehrere Datenschutzbeauftragte hin – und kündigen mitunter Kontrollen an.

Arbeitgeber müssen personenbezogene Daten, die sie im Zusammenhang mit den Corona-Maßnahmen erhoben haben, wieder löschen. - © curtbauer - stock.adobe.com

Lange galt in vielen Bereichen: Nur wer gegen das Corona-Virus geimpft ist, hat Zutritt. Damit der Nachweis erbracht werden konnte, kontrollierten Unternehmen zahlreiche Impfausweise und Negativtests. Auch Arbeitgeber im Handwerk sammelten zahlreiche Daten zum Gesundheitszustand ihrer Mitarbeiter, um die geltenden Corona-Regeln einhalten zu können. Weil in den vergangenen Wochen aber größtenteils Maßnahmen weggefallen sind, sind auch zahlreiche Datenverarbeitungen nicht mehr nötig. Darauf aufmerksam macht die Landesbeauftragte für den Datenschutz des Landes Niedersachsen, Barbara Thiel, und weist Unternehmen darauf hin, die gesammelten Corona-Daten spätestens jetzt zu löschen.

Datenschutzbeauftragte kündigt Kontrollen in Betrieben an

Die Datenschutzbeauftragte fordert Unternehmen auf, zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit den Corona-Maßnahmen erhoben und gespeichert haben. Sind diese Maßnahmen und damit der Zweck der Datenverarbeitung weggefallen, müssten die Daten dringend gelöscht werden. "Alle Datenverarbeitungen – wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle – waren zweckgebunden", sagte Thiel.

Die Löschung der Corona-Daten hätte ursprünglich bereits mit der Änderung des Infektionsschutzgesetz erfolgen müssen. Zum 20. März sind zahlreiche Pflichten, wie etwa Nachweise zum Impfstatus oder Testergebnisse am Arbeitsplatz entfallen. Thiel kündigte nun an, in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen, um die Löschung der Corona-Daten zu überprüfen.

Eine Ausnahme gelte laut der Datenschutzbeauftragten im Gesundheitsbereich, also in Kliniken, Krankenhäusern und anderen Gesundheitseinrichtungen. Dort seien nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betreffe zum Beispiel die einrichtungsbezogene Impfpflicht.

Wie müssen Arbeitgeber die Corona-Daten löschen?

Auch die Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, Bettina Gayk, hat Arbeitgeber darauf hingewiesen, die erhobenen Corona-Daten zu löschen. "In Einzelfällen haben Arbeitgeber und Arbeitgeberinnen Impf- oder Testnachweise sogar kopiert oder gescannt. Das ist nicht zulässig gewesen, und selbstverständlich müssen diese Kopien und Scans umgehend fachgerecht entsorgt werden", sagte sie. Die erhobenen Daten seien rechtskonform zu entsorgen. Demnach müssten die Corona-Daten gelöscht, also vollständig und unwiderruflich vernichtet werden. "Bei Daten, die in Papierform erhoben wurden, sollte ein geeigneter Aktenvernichter verwendet werden", so Gayk. Wie Datenträger datenschutzkonform vernichtet werden können, regele unter anderem die DIN 66399. Entsprechende Papiere per Hand zu zerreißen, sei nicht ausreichend.