Corona-Endemie: was hat das mit Datenschutz zu tun?

HMDATA Datenschutz-Newsletter 02/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Richtig, was wurde alles bzgl. der Corona-Pandemie über den Datenschutz gelästert. Interessierten möge die Lektüre des Art. 9 Abs. 2 lit. h und lit. i DSGVO in Verbindung mit dem ErwGr. 54 zu empfehlen sein.
Es wurden aber auch nach Art. 6 Abs. 1 lit. c DSGVO gemäß §20a IfSG (Impfschutzgesetz) rechtliche Grundlagen geschaffen, insb. bei der Erfassung des Impfstatus bzw. von Infektionen von Mitarbeitern durch den Arbeitgeber oder auch bei einrichtungsbezogenen Impfpflichten.
Ebenso hat die 3-G-Regel am Arbeitsplatz oder in der Öffentlichkeit zur Erfassung relevanter Corona-Daten geführt.

Nun ist aber die Frist der Gültigkeit des §20a IfSG zum 31.12.2022 abgelaufen, der Paragraph ist weggefallen. Auch spätestens mit dem Fall der Maskenpflicht im ÖPNV wird der Übergang der Pandemie zur Endemie konstatiert, die Zahlen schwerer Corona-Erkrankungen auf den Intensivstationen ist ebenso rückläufig auf niedrigem Niveau.

Was heißt das nun für meinen Betrieb?

Die grundlegendste Anforderung der DSGVO ist: keine Verarbeitung personenbezogener Daten ohne rechtlicher Grundlage.
Mit Entfall das §20a IfSG ist also bzgl. "Corona-Daten" der Mitarbeiter keine rechtliche Grundlage der Verarbeitung mehr gegeben, alle relevanten Daten sind demzufolge umgehend zu löschen.

Wie so oft stellt sich natürlich auch die Frage, welche sachlichen Gründe - außer natürlich Bequemlichkeit oder Unwillen - für eine weitere Aufbewahrung sprechen würden.

Antwort: es gibt keine, die Daten sind veraltet und nicht mehr relevant.

Was ist nun zu tun?

Bitte löschen Sie also, soweit nicht schon geschehen, umgehend alle entsprechenden Vermerke mit Bezug auf Corona-Impfstatus, -Testergebnissen, 3-G-Regel, Maskenpflicht, ... usw. aus ihren Datenbeständen.
Beachten Sie hierbei bitte auch alle Notizen, Listen und Excel-Tabellen, die sich im Laufe der letzten zwei Jahre so heimlich unter der Hand in's Office-Leben eingeschlichen haben, die natürlich ebenso gelöscht werden müssen.

Kleiner Seitenhieb des Datenschützers

Es rentiert sich - wie am o.a. Beispiel ersichtlich - immer, eine Art Übersicht über verarbeitete Daten zu haben. Professionell umgesetzt wäre dies ein Verzeichnis der Verarbeitungstätigkeiten. Das ist für kleinere Betriebe, die nur in der Nebentätigkeit sensible Daten verarbeiten, nicht zwingend rechtlich notwendig. Ein paar Impulse, nämlich Ordnung und Dokumentation, könnte man daraus aber sicherlich schon vorteilhaft für sich im Betrieb verwenden.
Im Projektmanagement gibt es dafür einen Begriff: Project-Frontloading. Daraus folgt, dass Planungsarbeit, die zu Beginn oder präventiv im Voraus durchgeführt wird, am Ende ein Vielfaches an Zeit für das Aufräumen des Chaos einspart.
Da muss man auch mal über den Schatten des Präventionsparadoxes springen, das anprangert, warum man vorab so viel Zeit verschwenden musste, wenn's hinterher gar nicht so schlimm war.