Die in § 28b Abs. 1 Infektionsschutzgesetz (IfSG) a.F. festgelegte 3G-Regel für das Betreten von Arbeitsstätten ist nicht mehr in Kraft. Grundsätzlich müssen Arbeitgeber nun nicht mehr kontrollieren, ob Beschäftigte geimpft, genesen oder getestet sind (Abfrage 3G-Status). Doch was passiert nun mit den Impfdaten? Wann müssen diese gelöscht werden?
Zweck der Speicherung von Impfdaten fällt weg
Nach Artikel 17 Abs. 1 DSGVO ist eine Löschung von personenbezogenen Daten immer dann erforderlich, wenn der Zweck der Speicherung wegfällt. Wenn die gesetzliche Pflicht zur Erhebung des 3G-Status am Arbeitsplatz entfällt, so gibt es in der Regel auch keine datenschutzrechtliche Erlaubnis mehr, diese Daten zu erheben. Arbeitgeber sollten daher grundsätzlich die entsprechende Verarbeitungstätigkeit einstellen und diese Daten nicht weiter erheben.
Ausnahme: Einrichtungsbezogene Impfpflicht
Eine Ausnahme gilt bei der einrichtungsbezogenen Impfpflicht für Berufe im Gesundheits- und Pflegebereich. Für Mitarbeiter von Kliniken Arztpraxen oder Pflegeheimen ist eine Aufbewahrung der Akten weiterhin zulässig. Falls Sie eine vollständige Auflistung der betroffenen Einrichtungen suchen, finden Sie diese in § 20a Absatz 1 IfSG. Allerdings tritt die Regelung des § 20a IfSG voraussichtlich am 1. Januar 2023 außer Kraft. Arbeitgeber in den entsprechenden Bereichen sollten bereits jetzt an das Konzept zur Datenlöschung denken.
Kontrolle durch Datenschutzbehörden sind angekündigt
Bereiten Sie sich auf Kontrollen durch die zuständigen Datenschutzbehörden vor und besprechen Sie mit Ihrem Datenschutzbeauftragten, wie die Löschung durchzuführen ist. Generell ist bei der Verarbeitung personenbezogener Daten Ihrer Mitarbeiter Vorsicht geboten. Lesen Sie hier alles, was Sie über die Verarbeitung personenbezogener Daten wissen müssen.