Mit dem Wegfall von Corona-Maßnahmen im Unternehmen ist ein wichtiger Prüfschritt zu erledigen: Die Einhaltung es Datenschutzes. Denn weil der Zweck der Datenverarbeitung weggefallen ist, müssen die hierfür gesammelten Daten dringend gelöscht werden.
Zweckgebundene Daten löschen
Entfällt der Zweck der Datensammlung – z.B. die Maßnahmen zur Pandemiebekämpfung – entfällt auch die Grundlage einer Speicherung. Hier dürfen keine „Datenfriedhöfe“ entstehen, so z.B. die Landesbeauftragte für den Datenschutz in Niedersachsen, Barbara Thiel. Sie behält sich vor, 2022 unangekündigte Kontrollen in Unternehmen durchzuführen.
Ausnahme: Gesundheitsbereich
Anders verhält es sich beim Thema einrichtungsbezogene Impfpflicht, vgl. § 20a Infektionsschutzgesetz. Aber auch hier ist ein datenschutzkonformer Umgang mit den Impfnachweisen erforderlich. Tipp: Hierzu gibt es einen Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden.
Löschen!
Und was, wenn die Rechtsgrundlage entfallen ist? Es gibt dann weder eine Aufbewahrungspflicht – noch das Recht zur Aufbewahrung. Tipp von Bettina Gayk, Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen: „Die Gesundheitsdaten von Beschäftigten und – sofern noch vorhanden – Daten zur Kontaktnachverfolgung müssen gelöscht, also vollständig und unwiderruflich vernichtet werden. Bei Daten, die in Papierform erhoben wurden, sollte ein geeigneter Aktenvernichter verwendet werden“. Wichtig: Ein Zerreißen von Hand sei nicht ausreichend. Wie Datenträger datenschutzkonform vernichtet werden können, regele unter anderem die DIN 66399. Für das Löschen personenbezogener Daten durch Aktenvernichter sind Geräte der Sicherheitsstufe 4 oder höher gemäß dieser DIN geeignet. (CB)