Viele der gesetzlichen Vorgaben, die im Zusammenhang mit der Corona-Pandemie standen, sind in den vergangenen Wochen weggefallen. Damit sind auch zahlreiche Datenverarbeitungen diesbezüglich nicht mehr erforderlich. Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, fordert deshalb Einrichtungen, Unternehmen und öffentliche Stellen dazu auf zu prüfen, ob und welche personenbezogenen Daten im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert worden sind. Sind diese Maßnahmen und damit der Zweck der Datenverarbeitung weggefallen, müssen die Daten umgehend gelöscht werden.
„Alle Datenverarbeitungen – wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle – waren zweckgebunden“, sagt Barbara Thiel. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen. Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen.“
Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betrifft zum Beispiel die einrichtungsbezogene Impfpflicht in § 20a Infektionsschutzgesetz. Hier sieht § 20a Abs. 7 Satz 7 Infektionsschutzgesetz für die im Zusammenhang mit der Meldepflicht und Beurteilung der Gefährdungslage anhand von Impfquoten verarbeiteten Daten vor, dass diese spätestens am Ende des sechsten Monats nach ihrer Erhebung gelöscht werden müssen. Jedenfalls muss eine Löschung aller auf Grundlage des § 20a IfSG verarbeiteten Daten spätestens mit Ablauf der Rechtsgrundlage am 31. Dezember 2022 erfolgen.
Lesen sie hierzu auch unseren Beitrag „Aufhebung der allgemeinen Pflicht zur 3G-Abfrage am Arbeitsplatz“.
Update:
Heute, 27.4.2022, hat auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit dazu eine Pressemitteilung herausgegeben, die Sie hier lesen können.
Christoph
29. April 2022 @ 10:45
Hallo und vielen Dank für diesen Artikel!
Gilt das auch für NRW?
Holger Brinkmeyer
29. April 2022 @ 11:31
Hallo Christoph,
vielen Dank für Deine Anfrage. Grundsätzlich gilt die Empfehlung bundesweit, da es sich bei der weggefallenen Rechtsgrundlage um eine Regelung aus dem Infektionsschutzgesetz und damit eine bundesrechtliche Regelung handelt. Zu berücksichtigen sind aber natürlich landesrechtliche Besonderheiten. Für NRW verweisen wir insofern auf die Homepage der Landesdatenschutzbeauftragten und dort z.B. auf folgende Information zu diesem Thema (3g-nachweis-und-kontaktdaten-einfach-zerreissen-reicht-nicht).
Mit freundlichen Grüßen
Holger Brinkmeyer