Ab heute entfällt die gesetzliche Nachweispflicht für Arbeitnehmer gemäß des Infektionsschutzgesetzes (IfSG) in weiten Teilen der Arbeitsstätten in Deutschland – (Ausgenommen sind Krankenhäuser und Arztpraxen und Pflegeeinrichtungen). Doch was bedeutet dies nun für die Unternehmen, die in den letzten Monaten fleißig die Nachweise gesammelt und somit die Daten verarbeitet haben?
In Art. 5 der Datenschutzgrundverordnung (DSGVO) sind die datenschutzrechtlichen Grundsätze verankert. Demnach muss es eine Rechtsgrundlage für die Verarbeitung der Daten geben, die zudem an einen Zweck gebunden sind und dabei im Umfang der Daten auf das notwendige Maß beschränkt sein müssen. Weiterhin gilt der Grundsatz der Speicherbegrenzung, der die Dauer der Verarbeitung einschränkt. Kurzum bedeutet dies nun, sobald der Zweck und/oder die Rechtsgrundlage entfällt, müssen die Daten gelöscht werden.

Konkret bedeutet dies nun für die elektronische gespeicherten Nachweise (in Form von Dateien) diese umgehend zu löschen. Hierzu zählen übrigens auch Nachweise, die dem Unternehmen per E-Mail zugestellt wurden. Papierbelege sollten mittels geeigneten Aktenvernichter oder mit Hilfe eines Dienstleisters vernichtet werden.

Ausnahmen können hier nur von Betroffenen (Mitarbeitern) erteilte Einwilligungen (nach Art. 6 Abs. 1 lit. a) DSGVO) sein, sofern der Arbeitgeber den Zweck sauber definiert hat und die Daten auch nur zu diesem Zweck nutzt. In diesem Fall dürfen Imfp- oder Genesenenzertifikate auch weiterhin verarbeitet werden.

Was kann passieren wenn sich ein Unternehmen nicht an die Löschfristen hält? In den letzten Monaten ist das Thema “3G-Nachweise” oftmals in den Unternehmen “hochgekocht” so dass zu befürchten ist, dass die aufgebrachten Gemüter nun schnell auf eine saubere Verarbeitung bzw. Löschung pochen. Hält sich ein Unternehmen nicht daran, so kann dies ein Verstoß nach Art. 5 DSGVO darstellen, der ein Bußgeld nach sich ziehen kann. Dies kann auf einfache Art vermieden werden.

[Update 19.04.2022: Auch die niedersächsische Landesbeauftragte für den Datenschutz hat sich nun klar positioniert. ->Artikel: Corona-Daten spätestens jetzt löschen<-]