Während der Corona-Pandemie entstanden im Rahmen der Verarbeitung von Gesundheitsdaten von Beschäftigten zahlreiche spezifische und neue Fragen. So z. B., ob es dem Arbeitgeber gestattet ist, den Impfstatus seiner Beschäftigten abzufragen oder wie im Falle einer positiven Testung eines Mitarbeiters zu verfahren ist. Während der Pandemie hat sich die datenschutzrechtliche Beurteilung einer Zulässigkeit solcher Verarbeitungsvorgänge stets gewandelt, je nach Ausgestaltung der Pflichten für Arbeitgeber unter dem Infektionsschutzgesetz und Landesverordnungen. Verantwortliche sollten daher stets kritisch prüfen, ob die Voraussetzung für eine Verarbeitung und Speicherung solcher Gesundheitsdaten weiterhin vorliegen.
6.1 Löschung von Corona-Daten
Die Verarbeitung von Gesundheitsdaten von Beschäftigten erfolgte während der Corona-Pandemie häufig aufgrund gesetzlicher Pflichten, die dem Verantwortlichen auferlegt waren. Zahlreiche dieser Pflichten sind nunmehr entfallen und dementsprechend mangelt es vielfach auch an einer Rechtsgrundlage zur Weiterverarbeitung und Speicherung bestimmter Daten. Verantwortliche sollten daher kritisch prüfen, welche personenbezogenen Daten im Rahmen der Bekämpfung der Covid-19-Pandemie erhoben wurden und ob eine Speicherung dieser Daten weiterhin rechtmäßig ist. Dies wird in der Regel, insbesondere auch bei Daten, welche die 3G-Zutrittskontrolle zum Arbeitsplatz betreffen, nicht mehr der Fall sein. Solche Daten müssen unverzüglich gelöscht werden. Die Datenschutzaufsichtbehörden haben bereits entsprechende Kontrollen angekündigt.
6.2 Ausnahme: Einrichtungsbezogene Impfpflicht
Eine Ausnahme gilt für den Gesundheitsbereich, in dem der Gesetzgeber spezifische Regelungen getroffen hat, die eine Verarbeitung und Speicherung personenbezogener Daten von Beschäftigten weiterhin gestatten können.
6.2.1 Zulässigkeit
Für Mitarbeiter von bestimmten Einrichtungen und Unternehmen des Gesundheitssektors, z. B. Krankenhäuser, Arztpraxen, Alten- und Pflegeheime besteht nach § 20a IfSG eine einrichtungsbezogene Impfpflicht. Das bedeutet, dass diese Personen entweder genesen oder geimpft sein müssen, zumindest solange keine medizinische Kontraindikation hinsichtlich einer Impfung vorliegt. Die Beschäftigten haben einen entsprechenden Nachweis gegenüber dem Arbeitgeber zu erbringen. Die Verarbeitung dieser Daten ist auf Grundlage des Art. 9 Abs. 4 DSGVO i. V. m. § 20a Abs. 1 IfSG zulässig.
Eine Verarbeitung des Impfstatus von Beschäftigten könnte grundsätzlich auch auf § 23a IfSG fußen. Voraussetzung hierfür ist jedoch, dass es sich um keine impfpräventable Krankheit handelt. Also eine Krankheit, für die es noch keine Schutzimpfung gibt. Für Corona gibt es bereits zahlreiche Schutzimpfungen. Folglich kann § 23a IfSG bei der Verarbeitung des Impf- oder Sero-Status von Beschäftigten nicht als Rechtsgrundlage herangezogen werden. Die spezifischere Rechtsgrundlage des § 36 Abs. 3 IfSG kommt derzeit ebenfalls nicht in Betracht, da hierfür der deutsche Bundestag eine epidemische Lage von nationaler Tragweite entsprechend des § 5 Abs. 1 S. 1 IfSG feststellen müsste. Diese ist derzeit nicht ausgerufen.
6.2.2 Einschränkungen
Hinsichtlich einer Speicherung von auf Grundlage des § 20a IfSG erhobenen Gesundheitsdaten von Beschäftigten ist zu beachten, dass nicht der Impfnachweis selbst gespeichert werden darf, sondern lediglich die Information, dass ein gültiger Nachweis erbracht wurde und ggf. das Ablauf-/ Enddatum dieses Nachweises. Das Kopieren, Einscannen oder Aufbewahren des Nachweises ist unzulässig. Sofern der Nachweis von Personen erbracht wird, die keine unmittelbar Beschäftigten der entsprechenden Einrichtung sind, dürfen zudem auch der Vor- und Nachname sowie Kontaktdaten erhoben werden.
Es gilt zudem der Grundsatz der Zweckbindung. Eine Verarbeitung der Gesundheitsdaten zu einem anderen Zweck als zur Erfüllung der Kontrollpflicht durch den Arbeitgeber ist nicht zulässig.
Sofern durch die Abfrage des Impfstatus Beschäftigtendaten verarbeitet werden (was regelmäßig zu bejahen ist), sind die Mitarbeiter über die Verarbeitung durch Bereitstellung der Pflichtinformationen aus Art. 13 Abs. 1 und 2 DSGVO zu informieren. Dies kann z. B. über ein Informationsblatt oder einen Link zu einem digital hinterlegten Dokument erfolgen.
6.2.3 Speicherdauer
Der Arbeitgeber muss die erhobenen Daten nach Art. 17 Abs. 1 Buchst. a DSGVO grundsätzlich dann löschen, wenn der Zweck für die Verarbeitung entfallen ist. Ungeachtet eines etwaigen Zweckentfalls sind die Daten spätestens dann zu löschen, wenn die entsprechende Rechtsgrundlage entfällt. Arbeitgeber müssen die zur Erfüllung des § 20a IfSG erhobenen Gesundheitsdaten ihrer Beschäf...