Was gilt für die Datenlöschung von Corona-Daten der Mitarbeiter?

In der Corona-Pandemie kam es in Unternehmen flächendeckend zur ausnahmsweisen Erhebung von personenbezogenen Mitarbeiterdaten mit Coronabezug – also Gesundheitsdaten, die in der DSGVO als besonders schutzwürdig eingestuft sind. Was gilt nun für die Löschung solcher Daten?

Infektionsschutzgesetz schlägt Datenschutzrecht: Im Sinne der Pandemiebekämpfung kam es in den vergangenen zwei Jahren zu etlichen Einschränkungen bestehenden Datenschutzrechts. So wurden zum Beispiel negative Testergebnisse von Mitarbeitern erfasst und gespeichert. Ebenso wurde in vielen Unternehmen die „G-Zustände“ der Mitarbeiter erfasst und gespeichert. In anderen Fällen wurde unter Kollegen veröffentlicht, wenn Mitarbeiter positiv getestet wurden, um das mögliche Infektionsgeschehen in der Kollegenschaft nachkontrollieren zu können. Darüber hinaus wurden interne Testergebnisse oftmals in einer Datenbank gespeichert.

In „normalen Zeiten“ wäre dieser Umgang mit personenbezogenen Daten ein grober Verstoß gegen geltendes Datenschutz-Recht. Nur durch die Infektionsschutzgesetze der Länder konnte für die besonders heiklen Zeitfenster innerhalb der Pandemie der Datenschutz teilweise außer Kraft gesetzt werden. Umso notwendiger ist es nun, die pandemiebedingt erfassten und gespeicherten Daten umgehend wieder zu löschen. Das sollte nicht nur umgehend geschehen, sondern auch exakt dokumentiert werden.

„Pandemie-Daten“: Der Umgang und die Löschung müssen geplant werden

Noch scheint das offizielle Ender der Pandemie in Deutschland in weiter Ferne. Daher sind auch in den kommenden Monaten die Speicherung und die Verarbeitung von „Pandemie-Daten“ in den Unternehmen zu erwarten. Art. 5 Abs. 2 DSGVO verlangt mit der Rechenschaftspflicht, dass die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO für die Verarbeitung von personenbezogenen Daten nachzuweisen sind. Dazu gehören verbindliche und dokumentierte Regelungen zum Umgang mit den personenbezogenen Daten, beispielsweise über Art und Umfang der zu verarbeitenden Daten, Ort und Dauer der Speicherung und über deren Löschung. Dazu gehören exakte Angaben zur Durchführung der Corona-Tests und Kontrollen, zum Ort und zur Dauer der Speicherung der Daten und zu gegebener Zeit zum Nachweis der Löschung. Mit der operativen Durchführung des gesamten Prozesses ist im Unternehmen eine prozessverantwortliche Stelle zu beauftragen, die Teilaufgaben und Verantwortlichkeiten delegieren kann und in einem Löschkonzept auch die Löschung der Daten verbindlich regelt. Dazu sollte der Datenschutzbeauftragte mit der Geschäftsführung einen detaillierten Handlungsplan erstellen.

Löschung mit Konzept

Wenn in Betrieben keine weiteren pandemiebedingten Maßnahmen mehr geplant sind, sollte das Thema Löschung schnell angegangen werden. Zu einem Löschkonzept gehören insbesondere die Festlegung der zu löschenden Daten, Löschregeln, Löschanweisungen für die Durchführung der Löschung oder die Vernichtung anlog erfasster Daten, beispielsweise der Sicherheitsstufe nach DIN 66399 und die Regelung des Löschnachweises durch die prozessverantwortliche Stelle. Der Löschnachweis kann je nach Art der Löschung oder Vernichtung durch geeignete maschinelle oder manuelle Löschprotokolle erfolgen. Ebenso geeignet sind Bestätigungen oder Vernichtungszertifikate durch einen externen Dienstleister, der mit der Löschung beauftragt wird. Dienstleister müssten entsprechende Formulare und Zertifikate zur Verfügung stellen können.

Daten der Löschung müssen aufbewahrt werden

Nachweise über gelöschte Daten müssen für sechs Jahre aufbewahrt werden, ebenso wie alle relevanten Geschäftsunterlagen. Eine zusätzliche Bestätigung dieser Vernichtung an den Datenschutzbeauftragten ist nicht gefordert, weil der Datenschutzbeauftragte zwar kontrollierend tätig ist, aber keine operative Prozessverantwortung trägt. Die Löschbestätigungen sind jedoch für eventuelle Kontrollen durch Datenschutzbeauftragte vorzuhalten. Die können jederzeit von Datenschutzbehörden durchgeführt werden.