3G-Nach­weis und Kon­takt­da­ten – ein­fach zer­rei­ßen reicht nicht!

Pres­se­mit­tei­lung der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len vom 23.03.2022.

Mit der Ände­rung des Infek­ti­ons­schutz­ge­setz­tes vom 20. März 2022 ent­fällt die Ver­pflich­tung zum Nach­weis der Imp­fung, der Gene­sung oder der Nega­tiv-Testung (3G-Nach­weis) am Arbeits­platz. „Die aktu­el­len Locke­run­gen im Rah­men des Infek­ti­ons­schutz­ge­set­zes des Bun­des neh­me ich zum Anlass, um auf Fri­sten für die Löschung der gesam­mel­ten Daten hin­zu­wei­sen: Die von den Arbeitgeber*innen erho­be­nen Daten müs­sen spä­te­stens sechs Mona­te nach Erhe­bung ver­nich­tet oder gelöscht wer­den. Da die Rechts­grund­la­ge ent­fal­len ist, gehen wir davon aus, dass die Spei­che­rung regel­mä­ßig nicht mehr erfor­der­lich ist und die Daten schon jetzt gelöscht wer­den soll­ten“, erklärt Bet­ti­na Gayk, Lan­des­be­auf­tra­ge für Daten­schutz und Infor­ma­ti­ons­frei­heit in Nordrhein-Westfalen.

Ange­sichts stei­gen­der Coro­na-Zah­len gewann für Unter­neh­men die Erfas­sung von Gesund­heits­da­ten der Beschäf­tig­ten an Bedeu­tung, um den Betrieb trotz der Risi­ken durch SARS-CoV‑2 auf­recht­zu­hal­ten. Dabei wur­den die Arbeitgeber*innen ver­pflich­tet zu über­wa­chen, ob die Beschäf­tig­ten geimpft, gene­sen oder gete­stet sind. Dazu soll­te eine täg­li­che Nach­weis­kon­trol­le durch­ge­führt und doku­men­tiert wer­den. Gere­gelt wur­de das durch das Infek­ti­ons­schutz­ge­setz des Bun­des (§ 28b Abs. 3 Satz 1 IfSG a.F.). „In Ein­zel­fäl­len haben Arbeitgeber*innen Impf- oder Test­nach­wei­se sogar kopiert oder gescannt. Das ist nicht zuläs­sig gewe­sen, und selbst­ver­ständ­lich müs­sen die­se Kopien und Scans umge­hend fach­ge­recht ent­sorgt wer­den“, macht Gayk deutlich.

Dass im Zuge der Pan­de­mie gesam­mel­te Daten wie­der gelöscht oder ver­nich­tet wer­den müs­sen, ist nicht neu. So ist bereits die Pflicht zur Kon­takt­da­ten­er­he­bung für bestimm­te Wirt­schafts­be­rei­che – zum Bei­spiel in der Gastro­no­mie – ent­fal­len, als am 20. August 2021 die „Ver­ord­nung zum Schutz vor Neu­in­fi­zie­run­gen mit dem Coro­na­vi­rus SARS-CoV‑2“ (Coro­na-Schutz­ver­ord­nung) der NRW-Lan­des­re­gie­rung geän­dert wur­de. Aller­dings kann sie seit­dem noch wei­ter­hin durch die Städ­te und Gemein­den als ört­li­che Ord­nungs­be­hör­den ange­ord­net werden.

Gayk: „Inzwi­schen geht es dar­um, die erho­be­nen Daten rechts­kon­form zu ent­sor­gen. Das bedeu­tet: Die Gesund­heits­da­ten von Beschäf­tig­ten und – sofern noch vor­han­den – Daten zur Kon­takt­nach­ver­fol­gung müs­sen gelöscht, also voll­stän­dig und unwi­der­ruf­lich ver­nich­tet wer­den. Bei Daten, die in Papier­form erho­ben wur­den, soll­te ein geeig­ne­ter Akten­ver­nich­ter ver­wen­det wer­den.“ Ein Zer­rei­ßen von Hand sei nicht aus­rei­chend. Wie Daten­trä­ger daten­schutz­kon­form ver­nich­tet wer­den kön­nen, regelt unter ande­rem die DIN 66399. Für das Löschen per­so­nen­be­zo­ge­ner Daten durch Akten­ver­nich­ter sind Gerä­te der Sicher­heits­stu­fe 4 oder höher gemäß die­ser DIN geeignet.

Die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len
Kaval­le­rie­str. 2 – 4, 40213 Düs­sel­dorf
Tel.: 0211 – 38424 – 158
Fax: 0211 – 38424 – 999
E‑Mail: pressestelle@​ldi.​nrw.​de
Inter­net: www​.ldi​.nrw​.de