Wie muss ich mit schon bestehenden Datenerhebungen über den Impfstatus meiner Angestellten umgehen?
Kurzfassung:
Die bestehenden Datenerhebungen (z.B. in Form von Listen) sind zu löschen, da der Zweck der Erhebung durch Wegfall der gesetzlichen Regelung nicht mehr vorhanden ist.
Hintergrundinformation:
Die Grundlage für die Datenverarbeitung und die Nachweispflicht war § 28b III IfSchG. Für die Löschung gilt der Zweckbindungsgrundsatz. Ob der Zweck weggefallen ist oder nicht lässt sich zwar nicht ganz abschließend ermitteln. Bettina Gayk, Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen ist der Ansicht, dass die Daten jetzt gelöscht werden sollten.
Aus der Pressemitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 23.03.2022 geht folgendes hervor: „Mit der Änderung des Infektionsschutzgesetztes vom 20. März 2022 entfällt die Verpflichtung zum Nachweis der Impfung, der Genesung oder der Negativ-Testung (3G-Nachweis) am Arbeitsplatz. „Die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes des Bundes nehme ich zum Anlass, um auf Fristen für die Löschung der gesammelten Daten hinzuweisen: Die von den Arbeitgeber*innen erhobenen Daten müssen spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden. Da die Rechtsgrundlage entfallen ist, gehen wir davon aus, dass die Speicherung regelmäßig nicht mehr erforderlich ist und die Daten schon jetzt gelöscht werden sollten.“
Allgemein gilt: Unternehmen müssen personenbezogene Daten etwa dann löschen, wenn sie für die Zwecke, für die erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zweck einer Datenverarbeitung entscheidet also über die zulässige Dauer der Speicherung der verarbeiteten Daten. Dieser sogenannte Zweckbindungsgrundsatz ist eines der wesentlichen Prinzipien des europäischen Datenschutzes. Unternehmen dürfen personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erheben. Zudem dürfen Sie diese Daten nicht in einer mit den ursprünglichen Zwecken nicht zu vereinbarenden Weise weiterverarbeiten (Art. 5 Abs. 1 lit. b DSGVO). Spätestens, wenn personenbezogene Daten für die Zwecke nicht mehr erforderlich sind, für die sie verarbeitet werden, muss das Unternehmen diese Daten löschen.