Löschpflicht der vom Arbeitgeber gespeicherten 3G-Nachweise

Angesichts der Corona-Pandemie erfassten Arbeitgeber eine Vielzahl an Gesundheits­daten ihrer Arbeitnehmer[1], um den Betrieb trotz der hohen Infektionszahlen aufrechtzuerhalten. Dabei kam den Arbeitgebern die Pflicht zur Überwachung zu, ob die vor Ort im Betrieb tätigen Beschäftigten geimpft, genesen oder getestet waren. Nur mit einem gültigen Nachweis durften die Arbeitnehmer die Betriebsstätte betreten. Ein halbes Jahr lang wurden die Gesundheitsdaten der Beschäftigten kontrolliert und dokumentiert. Arbeitgeber durften zu diesem Zweck auch die personen­bezogenen Daten verarbeiten und haben dementsprechend Verzeichnisse über den Gesundheitsstatus ihrer Arbeitnehmer angelegt. Rechtsgrundlage hierfür war § 28b Abs. 3 Satz 1 IfSG a.F.. Mit Änderung des Infektions­schutzgesetzes vom 18.03.2022 wurde die Nachweispflicht abgeschafft und es stellt sich nun die Frage, was mit den gespeicherten Daten passiert.

Speicherbegrenzung

§ 28b Abs. 3 Satz 1 IfSG sah vor, dass die erhobenen Daten spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen sind und dass die Bestimmungen des allgemeinen Datenschutz­rechts unberührt bleiben. Aus den Bestimmungen des allgemeinen Datenschutz­rechts kann sich jedoch eine verkürzte Speicherfrist und damit eine frühere Pflicht des Arbeitgebers zur Löschung der Daten ergeben. Art. 5 Abs. 1 Buchst. e) DSGVO enthält den allgemeinen Grundsatz, dass personen­bezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Zweck der Verarbeitung der Gesundheits­daten der Beschäftigten war die Nachweispflicht, die mit Änderung des § 28b IfSG am 19.03.2022 entfallen ist. Folglich ist auch der Zweck der Daten­verarbeitung entfallen. Aber was genau passiert denn nun mit den Gesundheits­daten der beschäftigten Arbeitnehmer?

Löschpflicht des Arbeitgebers

Diese Frage beantwortet Art. 17 DSGVO, denn der Grundsatz der Speicher­begrenzung wird in diesem Artikel näher konkretisiert. Neben der Möglichkeit, dass die betroffene Person vom Verantwortlichen verlangen kann, dass die sie betreffenden personen­bezogenen Daten gelöscht werden, besteht auch die Pflicht des Verantwortlichen, die personen­bezogenen Daten unverzüglich zu löschen, wenn die personen­bezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurde, nicht mehr notwendig sind, vgl. Art. 17 Abs. 1 Buchst. a) DSGVO. Da der Zweck mit Änderung des § 28b IfSG entfallen ist, ist der Arbeitgeber gem. Art. 17 Abs. 1 Buchst. a) DSGVO verpflichtet die von den Arbeitnehmern erhobenen Daten unverzüglich ab dem 19.03.2022 zu löschen.

Ausnahmen zur Löschpflicht

Etwas anderes kann sich nur aufgrund einer Ausnahme von der Löschpflicht ergeben. Art. 17 Abs. 3 DSGVO nennt mehrere Ausnahmen, jedoch sind diese nicht einschlägig oder eher fern liegend. Lediglich die Ausnahme in Art. 17 Abs. 3 Buchstb. e) DSGVO erscheint an dieser Stelle erwähnenswert. Die Ausnahme greift ein, soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.  Die Vorschrift will verhindern, dass die betroffene Person die Löschung ihrer Daten gegenüber dem Verantwortlichen verlangt, um dem Verantwortlichen die Rechtsverfolgung zu erschweren bzw. unmöglich zu machen. Als Beispiel kann hier der Fall gefälschter Impfausweise sowie gefälschter Testnachweise angeführt werden. Eine weitere Ausnahme stellt § 35 BDSG dar, welche über Art. 23 DSGVO zur Anwendung kommen kann. Der Fall erscheint jedoch auch eher fern liegend, denn weder ist die Löschung mit einem unverhältnis­mäßig hohen Aufwand verbunden, noch ist das Interesse der betroffenen Person an der Löschung als gering anzusehen.

Löschpflicht trotz Weiterführung eines 3G-Konzepts durch den Arbeitgeber

Es stellt sich die Frage, ob die Löschpflicht auch gilt, wenn der Arbeitgeber selbst ein 3G-Konzept in seinen Betrieb einführen will und die Daten der Beschäftigten weiter nutzen möchte. Aus arbeitsrechtlicher Sicht dient das Weisungsrecht des Arbeitsgebers aus § 106 GewO als Rechtsgrundlage für die Einführung eines 3G-Konzepts durch den Arbeitgeber in dessen Betrieb. In Bezug auf den Datenschutz galt bislang § 28b IfSG als Rechtsgrundlage für die Erhebung und Speicherung der Daten.

Nach Ansicht der Datenschutz­behörden und der Datenschutz­konferenz besteht mit Wegfall des § 28b IfSG keine Rechtsgrundlage mehr für die Verarbeitung der personenbezogenen Daten der Beschäftigten. Auch § 26 Abs. 3 Satz. 1 BDSG könne nicht als Rechtsgrundlage herangezogen werden. Noch weniger könne die Einwilligung gemäß § 26 Abs. 3 Satz 3 BDSG als Rechtsgrundlage herangezogen werden, da es im Beschäftigungsverhältnis an der Freiwilligkeit der Einwilligung mangelt. Es ist jedoch nicht einzusehen, weshalb die Datenschutz­konferenz § 26 Abs. 3 Satz. 1 BDSG ohne jegliche Begründung ablehnt. Meines Erachtens kann die Anordnung eines Nachweises einer Impfung, Genesung oder eines Tests von den Rechten des Arbeitgebers umfasst sein, weshalb § 26 Abs. 3 Satz. 1 BDSG als taugliche Rechtsgrundlage herangezogen werden könnte. Außerdem wäre es widersprüchlich, wenn einerseits die Einführung eines 3G-Konzepts durch den Arbeitgeber arbeitsrechtlich erlaubt und auf die Grundlage des Weisungsrechts aus § 106 GewO gestützt werden kann, aber andererseits die Abfrage der Gesundheitsdaten der Beschäftigten datenschutz­rechtlich verboten ist.

Dennoch bleibt die Löschpflicht bestehen, da der Zweck der Rechtsgrundlage des 28b IfSG ein anderer als der in § 26 Abs. 3 Satz. 1 BDSG ist. Der Grundsatz der Zweckbindung aus Art. 5 Abs. 1 Buchst. b) DSGVO lässt einen Austausch der Zweckbestimmung nicht zu. Der Arbeitgeber wäre dennoch gehalten, die Daten der Beschäftigten zu löschen und neu auf Grundlage einer anderen Rechtsgrundlage zu erheben.

Handlungsempfehlung

Arbeitgebern ist zu raten, die Daten unverzüglich rechtskonform zu entsorgen. Das bedeutet, dass die Gesundheits­daten der Beschäftigten gelöscht, also vollständig und unwiderruflich vernichtet werden müssen. Wurden die Daten in Papierform erhoben, ist den Arbeitgebern zu raten, die Papiere mittels eines Aktenvernichters zu entsorgen. Das Zerreißen per Hand ist nicht ausreichend. Bei der Vernichtung der Datenträger gibt DIN 66399 die korrekte Vorgehensweise vor.

[1] Im vorliegenden Beitrag wird aus Vereinfachungsgründen nur die männliche Form des Arbeitnehmers verwendet. Erfasst sind aber ausdrücklich alle Arbeitnehmer unabhängig von ihrem Geschlecht.