“Das Anle­gen von „rechts­wid­ri­gen Daten­fried­hö­fen“ soll ver­mie­den wer­den — ledig­lich in weni­gen Aus­nah­me­fäl­len kann die fort­dau­ern­de Erhe­bung und Spei­che­rung von Gesund­heits­da­ten im Pan­de­mie­kon­text noch ange­zeigt sein.” – Chia­ra Bidmon

Bisherige Rechtslage

Durch die Ände­rung des Infek­ti­ons­schutz­ge­set­zes mit Wir­kung zum 22. Novem­ber 2021 wur­de § 28b IfSchG neu­ge­fasst, wel­cher erst­mals die Arbeit­ge­ber­be­fug­nis­se und ‑ver­pflich­tun­gen im Hin­blick auf die Erhe­bung und Spei­che­rung von Gesund­heits­da­ten der Beschäf­tig­ten nor­mier­te. Die Rechts­grund­la­ge für die Erhe­bung und Spei­che­rung von Gesund­heits­da­ten in Zusam­men­hang mit der Über­prü­fung des „3G-Status“ fand sich nun­mehr in Art. 6 Abs. 1 UAbs. 1 S. 1 lit. c), Art. 9 Abs. 2 lit. i) DSGVO in Ver­bin­dung mit § 28b Abs. 1 S. 1, Abs. 3 IfSchG in der Fas­sung vom 22.11.2021. Dar­über hin­aus war eine Spei­che­rung des Impf-/ Getestet- oder Gene­se­nen­nach­wei­ses auch dann mög­lich, wenn der kon­kret betrof­fe­ne Arbeit­neh­mer gemäß Art. 6 Abs. 1 UAbs. 1 lit. a), 9 Abs. 2 lit. a) DSGVO i.V.m. § 26 Abs.2, Abs. 3 S. 2 BDSG in die Daten­ver­ar­bei­tung ein­ge­wil­ligt hat.

Klingt kom­pli­ziert? War es auch!

Im Bereich der Pflich­ten von Arbeit­ge­bern schrieb § 28b Abs. 1 und 3 IfSchG grund­sätz­lich vor, dass jeder Arbeit­ge­ber einen Nach­weis über das Vor­han­den­sein eines 3G-Nachweises sei­ner Beschäf­tig­ten vor­zu­hal­ten hat­te. Unklar blieb jedoch, in wel­cher Reich­wei­te dem Arbeit­ge­ber Kon­troll­be­fug­nis­se zuge­stan­den wer­den, in wel­chem Umfang eine Doku­men­ta­ti­on der Über­prü­fung des 3G-Status erfol­gen soll­te und wie die Kon­trol­len gene­rell abzu­lau­fen hät­ten. Her­an­zu­zie­hen waren des­halb Auslegungs- und Ori­en­tie­rungs­hil­fen der Auf­sichts­be­hör­den und Landesbeauftragten.

Gemäß den Vor­ga­ben der Daten­schutz­auf­sichts­be­hör­den sei jeden­falls die Spei­che­rung des kon­kre­ten Nach­weis­do­ku­ments (d.h. des Test- oder Impf­zer­ti­fi­kats) nicht zuläs­sig, die regel­mä­ßi­ge und lücken­lo­se Ein­sicht­nah­me des Nach­weis­do­ku­ments und anschlie­ßen­de Doku­men­ta­ti­on des jewei­li­gen Gesund­heits­sta­tus des Mit­ar­bei­ten­den durch das Füh­ren einer inter­nen Lis­te jedoch schon. Dabei genü­ge es, wenn der Arbeit­ge­ber den Nach­weis erbrin­gen kön­ne, dass er im gesetz­lich vor­ge­schrie­be­nen Umfang 3G-Nachweise kon­trol­liert habe (sog: „Orga­ni­sa­ti­ons­nach­weis“). Eine dar­über­hin­aus­ge­hen­de Doku­men­ta­ti­on von Daten (Bei­spiels­wei­se dar­über, wel­cher Mit­ar­bei­ten­de wann, wel­chen 3G-Nachweis vor­ge­legt hat), sei nicht zuläs­sig, da dies gegen den Grund­satz der Daten­mi­ni­mie­rung gemäß Art. 5 Abs. 1 lit. c) DSGVO ver­sto­ßen wür­de und die gesetz­li­che Doku­men­ta­ti­ons­pflicht auch auf ande­re Wei­se erreicht wer­den kön­ne. Zudem sei nach Ansicht des Lan­des­be­auf­trag­ten für den Daten­schutz in Baden-Württemberg eine Spei­che­rung eines Nach­weis­do­ku­ments hin­sicht­lich einer vor­lie­gen­den Immu­ni­sie­rung (Geimpft- oder Gene­sen­nach­weis) in Ver­bin­dung mit einem Per­so­nen­be­zug (z.B. Name der betrof­fe­nen Per­son) durch den Arbeit­ge­ber nur dann zuläs­sig, sofern der Beschäf­tig­te sei­ne Ein­wil­li­gung zur Spei­che­rung erteilt habe.

Eine Durch­füh­rung und Doku­men­ta­ti­on von erfolg­ten 3G-Statuskontrollen durch den Arbeit­ge­ber sei grund­sätz­lich nur bis zum Ablauf des Gül­tig­keits­zeit­raums des § 28b IfSchG am 19. März 2022 zuläs­sig. Dar­über hin­aus geht das Bun­des­mi­nis­te­ri­um für Arbeit und Sozia­les davon aus, dass die Daten der Doku­men­ta­ti­on für behörd­li­che Kon­trol­len spä­tes­tens sechs Mona­te nach ihrer Erhe­bung zu löschen sei­en. Die in § 28b Abs. 3 S. 8 IfSchG aus­drück­lich gere­gel­te sechs­mo­na­ti­ge Auf­be­wah­rungs­dau­er betref­fe hin­ge­gen nur die in § 28b Abs. 2 S. 1 IfSchG näher bezeich­ne­ten Ein­rich­tun­gen und Unter­neh­men und kön­ne daher nicht pau­schal auf die Spei­cher­dau­er von Gesund­heits­da­ten und Immu­ni­sie­rungs­nach­wei­sen über­tra­gen werden.

Aktuelle Rechtslage ab 20. März 2022

Durch den Weg­fall der in § 28b Abs. 3 S. 1, Abs. 7 IfSchG gere­gel­ten Doku­men­ta­ti­ons­pflicht mit Wir­kung zum 19. März 2022 hat sich die Rechts­la­ge grund­le­gend ver­än­dert. Eine gesetz­li­che Doku­men­ta­ti­ons­pflicht hin­sicht­lich des 3G-Nachweises der Beschäf­tig­ten besteht nun nicht mehr. Eine erneu­te Erhe­bung von in Zusam­men­hang mit der Corona-Pandemie ste­hen­den  Gesund­heits­da­ten, sowie die wei­te­re Spei­che­rung bereits vor­han­de­ner Lis­ten zum Nach­weis des 3G-Gesundheitsstatus der Beschäf­tig­ten, ist damit daten­schutz­recht­lich nicht mehr zuläs­sig. Dies ist des­halb der Fall, da man­gels Fort­gel­tung des § 28b IfSchG kei­ne recht­li­che Ver­pflich­tung im Sin­ne des Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO mehr vor­han­den ist, auf­grund derer eine Daten­ver­ar­bei­tung gerecht­fer­tigt wer­den könn­te. Auch die dar­über hin­aus über § 28b Abs. 3 S. 8 a.E. IfSchG zur Anwen­dung gelan­gen­den all­ge­mei­nen Bestim­mun­gen des Daten­schut­zes berech­ti­gen nicht mehr zur Doku­men­ta­ti­on und Spei­che­rung von Gesund­heits­da­ten, da gemäß Art. 5 Abs. 1 lit. e) DSGVO per­so­nen­be­zo­ge­ne Daten nur solan­ge zu spei­chern sind, wie dies für den ursprüng­lich defi­nier­ten Zweck der Daten­er­he­bung noch erfor­der­lich ist. Nach dem Fort­fall jeg­li­cher gesetz­li­cher Doku­men­ta­ti­ons­pflich­ten im Hin­blick auf die Über­prü­fung des 3G-Status kann der ursprüng­li­che Zweck der Daten­ver­ar­bei­tung (in unse­rem Fall haupt­säch­lich die Erfül­lung der Doku­men­ta­ti­ons­pflicht über durch­ge­führ­te Kon­trol­len hin­sicht­lich der Ein­hal­tung der 3G-Regel am Arbeits­platz) jedoch nicht mehr erreicht werden.

Ausblick

Auf­grund der Ankün­di­gung der Lan­des­be­auf­trag­ten für den Daten­schutz in Nie­der­sach­sen und Baden-Württemberg, dass auf­grund des Weg­falls oben genann­ter Recht­fer­ti­gungs­grün­de für die Spei­che­rung von Gesund­heits­da­ten ver­mehr­te Kon­trol­len von Unter­neh­men durch­ge­führt wer­den sol­len, haben Arbeit­ge­ber beson­de­res Augen­merk auf die Über­prü­fung der im Unter­neh­men gespei­cher­ten Gesund­heits­da­ten und ggfs. deren Löschung zu rich­ten. Die Lan­des­be­auf­trag­te für den Daten­schutz in Nie­der­sach­sen führt dazu an, dass Daten­ver­ar­bei­tun­gen, wie bei­spiels­wei­se die Zutritts­kon­trol­le zum Arbeits­platz mit 3G-Nachweis, bereits mit Ende der gesetz­li­chen Pflich­ten sofort zu löschen gewe­sen sei­en. Die­je­ni­gen Arbeit­ge­ber und Betrie­be, wel­che sich noch nicht um eine Löschung der Daten geküm­mert hät­ten, soll­ten dies spä­tes­tens jetzt tun, damit ins­be­son­de­re kei­ne „rechts­wid­ri­gen Daten­fried­hö­fe“ ange­legt wür­den. Es wür­den in den kom­men­den Wochen stich­pro­ben­ar­ti­ge Kon­trol­len in den Betrie­ben vor­ge­nom­men und Arbeit­ge­ben­de im Fal­le eines Ver­sto­ßes zur sofor­ti­gen Löschung der Daten auf­ge­for­dert werden.

Die Lan­des­be­auf­trag­te für den Daten­schutz in Nie­der­sach­sen merkt an, dass Daten­ver­ar­bei­tun­gen aus­schließ­lich noch im Gesund­heits­we­sen in spe­zi­el­len Berei­chen, in denen bei­spiels­wei­se eine ein­rich­tungs­be­zo­ge­ne Impf­pflicht gemäß § 20a IfSchG gilt, wei­ter­hin erfor­der­lich und damit auch in daten­schutz­recht­li­cher Hin­sicht rechts­kon­form sei­en. Aus dem hier­zu erlas­se­nen Beschluss der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) ergibt sich jedoch wei­ter, dass auch 3G-Nachweise in Ein­rich­tun­gen des Gesund­heits­we­sens im Sin­ne des § 20a IfSchG im Fall von dort beschäf­tig­ten Per­so­nen ledig­lich ein­ge­se­hen und danach notiert wer­den dür­fe, dass ein sol­cher Nach­weis vor­lie­ge. Allen­falls dür­fe dar­über hin­aus noch fest­ge­hal­ten wer­den, wie lan­ge der vor­ge­leg­te, rechts­kon­for­me Nach­weis gül­tig sei. Die Doku­men­ta­ti­on von dar­über hin­aus gehen­den Infor­ma­tio­nen (Bei­spiels­wei­se wel­cher Impf­stoff ver­ab­reicht wur­de) sei nicht zuläs­sig. Name und Vor­na­me der betrof­fe­nen Per­son dürf­ten nur bei exter­nen Per­so­nen ver­ar­bei­tet wer­den. Jedoch sei­en auch die­se Daten ent­we­der nach Zweck­fort­fall gemäß Art. 17 Abs. 1 lit. a) DSGVO, gemäß § 20a Abs. 7 S. 7 IfSchG inner­halb von sechs Mona­ten nach ihrer Erhe­bung oder spä­tes­tens aber mit Ablauf der Rechts­grund­la­ge des § 20a IfSchG am 31. Dezem­ber 2022 zu löschen.

Fazit

Auf­grund des Ablaufs des Gel­tungs­zeit­raums der gesetz­li­chen daten­schutz­recht­li­chen Grund­nor­men zur Gesund­heits­da­ten­spei­che­rung in Bezug auf die im Zusam­men­hang mit der Corona-Pandemie erho­be­nen Daten sowie den Über­prü­fungs­an­kün­di­gun­gen der Lan­des­be­auf­trag­ten für den Daten­schutz wird drin­gend zu einer betriebs­in­ter­nen Kon­trol­le der gespei­cher­ten Gesund­heits­da­ten gera­ten. Wie oben aus­ge­führt, kann ledig­lich in weni­gen Aus­nah­me­fäl­len die wei­te­re Erhe­bung und Spei­che­rung von Gesund­heits­da­ten mit Pan­de­mie­be­zug noch ange­zeigt sein. Ansons­ten wird die sofor­ti­ge Löschung von Gesund­heits­da­ten emp­foh­len, da ins­be­son­de­re die Aus­übung der in Art. 17 Abs. 1 lit. a) – b) und d) DSGVO gere­gel­ten Rech­te auf Löschung von zukünf­tig nicht in not­wen­di­ger Wei­se, ohne bestehen­de recht­li­che Ver­pflich­tung oder ent­ge­gen wider­ru­fe­ner Ein­wil­li­gun­gen erho­be­nen und gespei­cher­ten Daten zum 3G-Status, durch die Betrof­fe­nen im Raum ste­hen. Hier sind dann – wie immer beim Löschen von Daten – auch IT-sicherheitsrechtliche Aspek­te gemäß Art. 25 Abs. 2 S. 2 DSGVO zu beach­ten, da es sich bei den Gesund­heits­da­ten um beson­ders sen­si­ble Daten der Beschäf­tig­ten han­delt. Die­se sind gründ­lich und zuver­läs­sig aus den eige­nen, betriebs­in­ter­nen Sys­te­men zu ent­fer­nen, damit Gesund­heits­da­ten ins­be­son­de­re zukünf­tig nicht zum Nach­teil des jeweils betrof­fe­nen Mit­ar­bei­ten­den wei­ter ver­ar­bei­tet wer­den können