Viele gesetzliche Pflichten, die im Zusammenhang mit der Corona-Pandemie standen, sind bereits seit März 2022 weggefallen und diese „Corona-Daten“ sind daher zu löschen.
Denn zahlreiche Datenverarbeitungen sind nicht mehr notwendig.
Angesichts der damals steigenden Corona-Zahlen gewann für Unternehmen die Erfassung von Gesundheitsdaten der Beschäftigten an Bedeutung, um den Betrieb trotz der Risiken durch SARS-CoV‑2 aufrecht zuhalten.
Dabei waren die Arbeitgeber:innen verpflichtet zu überwachen, ob die Beschäftigten geimpft, genesen oder getestet sind. Dazu sollte eine tägliche Nachweiskontrolle durchgeführt und dokumentiert sein.
Geregelt ist dieses durch das Infektionsschutzgesetz des Bundes (§ 28b Abs. 3 Satz 1 IfSG a.F.).
In Einzelfällen haben Arbeitgeber:innen Impf- oder Testnachweise sogar kopiert oder gescannt. Diese ist nicht zulässig gewesen, und selbstverständlich sind diese Kopien und Scans umgehend fachgerecht zu entsorgen.
Dass im Zuge der Pandemie gesammelte Daten zu löschen und zu vernichtet sind, ist nicht neu.
So ist bereits die Pflicht zur Kontaktdatenerhebung für bestimmte Wirtschaftsbereiche wie der der Gastronomie entfallen, als am 20. August 2021 die „Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV‑2“ (Corona-Schutzverordnung) der NRW-Landesregierung geändert wurde.
Allerdings konnten sie seitdem noch weiterhin durch die Städte und Gemeinden als örtliche Ordnungsbehörden angeordnet werden.
Inzwischen geht es darum, die erhobenen Daten rechtskonform zu entsorgen.
Die Gesundheitsdaten von Beschäftigten und – sofern noch vorhanden – Daten zur Kontaktnachverfolgung sind zu löschen, also vollständig und unwiderruflich zu vernichtet.
Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform.
Das betrifft zum Beispiel die einrichtungsbezogene Impfpflicht in § 20a Infektionsschutzgesetz.
Zu dieser hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder einen Beschluss veröffentlicht, in dem sie sich unter anderem zum datenschutzkonformen Umgang mit den Impfnachweisen äußert. Der Beschluss ist hier als PDF-Dokument abrufbar.
Doch eine Löschung aller auf Grundlage des § 20a IfSG verarbeiteten Daten muss spätestens mit Ablauf der Rechtsgrundlage am 31. Dezember 2022 erfolgen.
Bei Daten, die in Papierform erhoben sind, ist ein geeigneter Aktenvernichter zu verwenden. Natürlich ist ein Zerreißen von Hand hier nicht ausreichend.
Wie Datenträger datenschutzkonform zu vernichten sind, regelt unter anderem die DIN 66399.
Für das Löschen personenbezogener Daten durch Aktenvernichter sind Geräte der Sicherheitsstufe 4 oder höher gemäß dieser DIN geeignet.
Also lassen Sie sich gut beraten.