3G Regel am Arbeitsplatz – Löschen der erhobenen Daten regelmäßig erforderlich

Erkenntnisse aus den 3G-Kontrollen sollten laut § 28b Abs. 3 S. 4 Infektionsschutzgesetz (IfSG)a.F. dazu genutzt werden, um die Gefährdungslage besser zu erfassen und Maßnahmen anzupassen. Dabei hat sich ein effektiver Datenschutz als eine wichtige Komponente zur Steigerung der Akzeptanz der 3G-Regel am Arbeitsplatz erwiesen.

Mithin stellt sich nach Wegfall der 3G-Regel am 20.03.2022 die Frage:

Wie sollen Arbeitgeber mit den erhobenen Daten zum 3G-Status (genesen, geimpft oder negativ getestet) nun umgehen?

Mit der Änderung des IfSG vom 20.03.2022 entfällt die Pflicht zum 3G-Nachweis am Arbeitsplatz. Die Verarbeitung personenbezogener Daten, die zur Erfüllung dieser Pflicht durchgeführt wurde, ist somit nicht mehr erforderlich. Ausnahmen gelten nur noch dort, wo diese gesetzlich geregelt sind, insbesondere im Pflege- und Gesundheitsbereich, wo nach § 20a IfSG eine einrichtungsbezogene Impflicht besteht.

Gemäß § 28b Abs. 3 S. 3 IfSG a.F. sind die erhobenen Daten spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen. Schon dem Wortlaut nach handelt es sich hier um eine Höchstfrist, die der Bundesgesetzgeber auch laut dem Bayerischen Landesbeauftragten für den Datenschutz „wohl auch vor dem Hintergrund der begrenzten Geltungsdauer der Vorschrift (grundsätzlich bis zum 19. März 2022, vgl. § 28b Abs. 7 S. 1 IfSG) festgelegt hat“.

Die Speicherdauer personenbezogener Daten richtet sich nach der Erforderlichkeit. Mit Wegfall der der gesetzlichen Pflicht zur Erhebung des 3G-Status am Arbeitsplatz und somit auch des Verarbeitungszweckes ist die Speicherung regelmäßig nicht mehr notwendig. Die erhobenen Daten müssen daher umgehend gelöscht werden. Entsprechend werden damit die Grundsätze der Datenminimierung und der Speicherbegrenzung (Art. 5 Abs. 1 lit. c und lit. e DSGVO) erfüllt. So muss sich die Erhebung und Speicherung personenbezogener Daten auf das notwendige Maß beschränken. Die Speicherdauer richtet sich nach der Erforderlichkeit.

Was ist beim Löschen bzw. Entsorgen der erhobenen Daten zum 3G-Status zu beachten?

Auch wenn neue Corona-Regeln in Kraft treten sollten, müssten die erforderlichen Daten erneut dokumentiert werden. Eine Vorratsdatenspeicherung ist verboten.

Arbeitgeber müssen daher umgehend alle Dokumentationen und Nachweise zum 3G-Status vollständig und unwiderruflich löschen.  Daten, die in Papierform erhoben wurden, sind datenschutzkonform in einem Aktenvernichter der Sicherheitsstufe 4 oder höher gemäß DIN 66399 zu entsorgen. „Ein Zerreißen von Hand“ ist nicht ausreichend, so auch die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen.

Kontrollen durch Datenschutz-Aufsichtsbehörden

Datenschutzbehörden nehmen die Änderung des IfSG vom 20.03.2022 zum Anlass, um auf die Pflicht zur Löschung der erhobenen Daten hinzuweisen. Weiterhin kündigen sie unangemeldete Kontrollen an. So weist etwa die Datenschutzbeauftragte des Landes Niedersachen darauf hin, unangekündigt zu überprüfen, ob Unternehmen die Daten auch wirklich gelöscht haben: „Wer sich noch nicht darum gekümmert“ habe, „sollte dies spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen“. Sie behalte sich vor, „hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen“.

Dieser Ankündigung könnten auch andere Datenschutz-Aufsichtsbehörden folgen.


Autorin: Rosemarie Popa (Senior Data Privacy Consultant)