Jetzt Corona-Daten löschen!

Corona-Daten löschen: Digitaler Frühjahrsputz

Egal wo sich Menschen in den vergangenen zwei Jahren aufhielten – überall wurden Daten erfasst und verarbeitet: im Sportstudio, im Restaurant, auf Veranstaltungen oder auch am Arbeitsplatz. Es wurden Impfstatus oder negative Testnachweise dokumentiert, es wurden Apps wie die Luca-App zur Kontaktnachverfolgung genutzt. Jetzt gilt es einen digitalen Frühjahrsputz zu halten – aber richtig!

Corona-Daten: Impfstatus, Negativtest, Kontakte

Nur wer gegen das Corona-Virus getestet, genesen, geimpft, geboostert ist, bekommt Zutritt – lange Zeit galt dieser Grundsatz zur Pandemieeindämmung. Damit dieser Nachweis erbracht werden konnte, kontrollierten und dokumentierten Unternehmen und Freizeiteinrichtungen wie Sportclubs, Vereine, Restaurants, Kino, Bars & Clubs zahlreiche Impfausweise und Negativtests – zumeist digital über Angebot wie die Corona-Warn-App als auch die Luca-App. Auch Arbeitgeber sammelten zahlreiche Daten zum Gesundheitszustand ihrer Beschäftigten, um die geltenden Corona-Regeln einhalten zu können. Daten zum Gesundheitszustand von Mitarbeitern gehören zu den sog. Art. 9-Daten der EU-Datenschutzgrundverordnung (DSGVO). Die rechtlichen Grundlagen zu dieser Erfassung, Verarbeitung und Speicherung bildete das Infektionsschutzgesetz (ISfG) in Verbindung mit den jeweiligen länderspezifischen Coronaschutz-Verordnungen.

Corona-Daten löschen: Kontrollen durch Datenschutz-Aufsicht

Zum 20. März 2022 sind zahlreiche Pflichten aus dem IfSG entfallen, wie auch die Nachweise zum Impfstatus oder Negativ-Testergebnisse am Arbeitsplatz. Somit wäre es schon zu diesem Zeitpunkt die Pflicht der Unternehmen und Organisationen gewesen, Corona-Daten zu löschen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Bettina Gayk, erklärte am 20. März 2022 in Düsseldorf, dass in Einzelfällen Arbeitgeber Impf- oder Testnachweise sogar kopiert oder gescannt hätten: „Das ist nicht zulässig gewesen, und selbstverständlich müssen diese Kopien und Scans umgehend fachgerecht entsorgt werden“. Aus aus anderen Datenschutz-Aufsichtsbehörden werden ähnliche Einschätzungen geteilt und Kontrollen in Unternehmen angekündigt.

Corona-Daten löschen: Wie datenschutzkonform umsetzen?

Arbeitgeber müssen Daten z.B. zum Impfstatus löschen. Die von den Arbeitgebern erhobenen Daten zu einer Impfung, Genesung oder Testung (3G am Arbeitsplatz) müssten spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden. Da die Rechtsgrundlage am 20. März 2022 mit der Änderung des Infektionsschutzgesetzes entfallen ist, ist davon auszugehen, dass die Speicherung der Corona-Daten regelmäßig nicht mehr erforderlich ist und die Corona-Daten gelöscht werden sollten – und zwar am besten schon heute.

Um dies datenschutzkonform zu gestalten (Löschen und Vernichten sind laut DSGVO eigene Verarbeitungstätigkeiten!), empfiehlt es sich, auf spezialisierte Dienstleister zur Datenvernichtung nach DIN 66399 zurückzugreifen oder im eigenen Unternehmen ein Löschkonzept nach DIN 66398 einzuführen. Der Vorteil eines Löschkonzepts: nicht nur Corona-Daten werden betrachtet, sondern die Gesamtheit der Daten, die in einer Organisation anfallen und zu unterschiedlichen Fristen gelöscht werden können. Somit können Organisationen den Datenschutz-Aufsichten dokumentiert nachweisen, dass sie Corona-Daten löschen.

Entsprechende Papiere per Hand zu zerreißen, ist nicht ausreichend. Auch nicht, Dateien in den Papierkorb zu verschieben. Auch nicht alle Aktenvernichter vernichten datenschutzkonform.

Corona-Daten löschen: Schutzklassen und Sicherheitsstufen

Aus der DIN 66399 lassen für drei Schutzklassen extrapolieren:

• Schutzklasse 1: Normaler Schutz für interne Daten (nicht geeignet für personenbezogene Daten!)
• Schutzklasse 2: Hoher Schutzbedarf für vertrauliche Daten
• Schutzklasse 3: Sehr hoher Schutzbedarf für besonders geheime Daten

Diese Schutzklassen wiederum werden in sieben Sicherheitsstufen eingeteilt. Diese Sicherheitsstufen geben die Partikelgröße des Schnittguts vor: der klassische Aktenvernichter mit Streifenschnitt reicht bei weiterem nicht mehr aus! Werden also im Unternehmen Corona-Daten gelöscht, ist unbedingt auf die Sicherheitsstufe des Aktenvernichters zu achten – je höher, desto besser!

Luca-App – zuerst den Account, dann erst die Daten löschen.

Viele Restaurant und Gaststätten oder auch Sportstudios und Veranstalter nutzten statt der datenschutzfreundlichen Corona-Warn-App die Luca-App zur Kontaktnachverfolgung. Hier gestaltet sich das Löschen etwas komplizierter: Bevor die Luca-App im digitalen Papierkorb verschwindet, sollte man dringend in der App den Account löschen, damit die personenbezogenen Daten auch wirklich vom Luca-Server gelöscht werden. Das geht in der Luca-App über den Menüpunkt „Account“.

Ausnahmen – hier keine Corona-Daten löschen!

Natürlich gilt auch hier: keine Regel ohne Ausnahme. Ausnahme sind aufgrund der bestehenden Impfpflicht in  Krankenhäusern, Pflegeheimen und bei Pflegediensten und in Arztpraxen. Aber anderen, nicht mit der einrichtungsbezogenen Impfpflicht in Zusammenhang stehende Daten sind zu löschen.