Herzlich willkommen!
Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…
Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!
Ihr PWWL-Redaktionsteam
Seit dem 20. März 2022 gilt die mit Wirkung zum 24. November 2021 eingeführte 3G-Regel am Arbeitsplatz im Zusammenhang mit der Corona-Pandemie nicht mehr.
Der Gesetzgeber hat im Herbst 2021 § 28b IfSG dahingehend geändert, dass Arbeitgeber nur noch geimpfte, genesene oder getestete Mitarbeitende beschäftigen durften (https://pwwl.de/3g-und-mehr-diese-neuen-arbeitsschutzvorschriften-begleiten-uns-durch-den-winter/). Gleichzeitig wurden Arbeitgeber verpflichtet, die Einhaltung dieser Vorschrift durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Arbeitgeber durften zu diesem Zweck auch personenbezogene Daten verarbeiten. Viele Arbeitgeber haben Verzeichnisse angelegt, in denen der Status ihrer Mitarbeitenden (geimpft oder genesen) bzw. die Vorlage negativer Testergebnisse gespeichert wurden.
§ 28b Abs. 3 S. 10 IfSG sah vor, dass die Daten spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen sind, die Bestimmungen des allgemeinen Datenschutzrechts aber unberührt bleiben.
Wie die nachfolgenden Ausführungen zeigen werden, sind diese Daten nun unverzüglich von den Verantwortlichen, also den Arbeitgebern zu löschen.
Art. 5 Abs. 1 lit. e) DSGVO enthält den allgemeinen Grundsatz, dass Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Wie alle in Art. 5 DSGVO niedergelegten Grundsätze wird auch die Speicherbegrenzung in den nachfolgenden Artikeln, hier Art. 17 DSGVO, näher konkretisiert. Art. 17 Abs. 1 DSGVO enthält ein subjektives Recht für die betroffenen Personen. Damit korrespondiert die objektive Pflicht zur Löschung bei Kenntnis von der Rechtswidrigkeit des bestehenden Zustands. Der Verantwortliche muss also von sich aus aktiv werden und darf nicht abwarten, bis betroffene Personen die Löschung ihrer personenbezogenen Daten verlangen.
Art. 17 Abs. 1 DSGVO unterscheidet sechs Fallgruppen. In den Fällen a – c ist eine ursprünglich rechtmäßige Datenverarbeitung rechtswidrig geworden, zum Beispiel durch Wegfall des ursprünglichen Zwecks, durch Widerruf einer Einwilligung oder einen Widerspruch gegen die Verarbeitung. Buchstabe d regelt den Fall, dass die Verarbeitung von Anfang an rechtswidrig war. Buchstabe e enthält eine Öffnungsklausel zugunsten des Unionsrechts oder des Rechts der Mitgliedsstaaten. Buchstabe f enthält einen Sonderfall, der im Arbeitsleben keine Rolle spielt. Wir verzichten daher auf eine eingehende Darstellung.
Während Löschpflichten nach den Buchstaben a, d und e ohne eine Handlung der betroffenen Person ausgelöst werden, setzen die Löschpflichten aus den Buchstaben b und c eine Handlung der betroffenen Person voraus (Widerruf der Einwilligung oder Widerspruch gegen die Verarbeitung).
Art. 17 Abs. 3 DSGVO enthält Ausnahmen von der Löschpflicht.
Im Arbeitsverhältnis ist vor allem die letzte Möglichkeit von besonderer Relevanz. Die Ausnahme bezweckt, dass die betroffene Person die Löschung ihrer Daten dann nicht verlangen kann, wenn die Löschung dem Verantwortlichen die Rechtsverfolgung unmöglich macht oder erschwert.
Auf der Grundlage von Art. 23 DSGVO hat der deutsche Gesetzgeber in § 35 BDSG die Löschpflichten noch weiter eingeschränkt. § 35 Abs. 1 BDSG schränkt die Löschpflichten aufgrund von Interessen des Verantwortlichen ein, Abs. 2 aufgrund von Interessen der betroffenen Person und Abs. 3 aufgrund sonstiger Interessen.
Verantwortliche müssen durch ein Löschkonzept sicherstellen, dass personenbezogene Daten zu löschen sind, sobald eine Pflicht zur Löschung nach Art. 5 und 17 DSGVO besteht und keine Aufbewahrungspflichten eine längere Speicherung erfordern.
Verlangt eine betroffene Person die Löschung ihrer Daten, findet Art. 12 DSGVO Anwendung. Wichtig ist, dass die Löschung unverzüglich, spätestens aber binnen eines Monats nach dem Verlangen erfolgen muss.
