Ist das Kunst oder kann das weg?

Daten Löschen Art17 DSGVO

I. Unternehmen müssen Corona-Daten von Kunden und Mitarbeitern löschen!

Seit Beginn der Corona-Pandemie mussten viele Unternehmen und öffentliche Einrichtungen die Kontaktdaten ihrer Kundinnen und Kunden erfassen. Mit der Änderung des Infektionsschutzgesetzes im März 2022 ist die Pflicht zur Kontaktdatenerhebung entfallen.

Das heißt: Betriebe müssen diese Daten jetzt zeitnah löschen!

Arbeitgeber darf Mitarbeiter-Status nicht mehr abfragen

Auch für Arbeitgeber gilt: Die vorliegenden Test -und Impfnachweise ihrer Mitarbeiterinnen und Mitarbeiter sind zu löschen, da die 3-G-Regelung am Arbeitsplatz ausgelaufen ist. Arbeitgeber waren bislang nach dem IfSG befristet berechtigt, personenbezogene Daten zum Impf- und Teststatus der Beschäftigten zu erheben und zu verarbeiten. Diese Erlaubnis endete am 19. März 2022. Damit ist der Arbeitgeber nicht mehr verpflichtet und auch nicht mehr berechtigt, einen Impf- oder Testnachweis zu verlangen. Auch wenn er in einer Gefährdungsbeurteilung zu dem Ergebnis kommt, dass weiterhin umfassende Schutzmaßnahmen für das Unternehmen notwendig sind, hat er keinen Anspruch auf Auskunft.

Ausnahme: Einrichtungsbezogene Impfpflicht

Es gibt Ausnahmen hiervon. Wo seit 15. März 2022 die einrichtungsbezogene Impfpflicht gilt, muss der Arbeitgeber die Nachweise weiterhin speichern und aufbewahren. In Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen, Pflegeheimen etc. besteht auch die Pflicht zur Kontaktdatenerfassung fort. Hier besteht keine Löschpflicht.

Daten richtig vernichten

Bei Daten, die in Papierform erhoben wurden, sollte ein geeigneter Schredder (Sicherheitsstufe 4) genutzt werden. Zerreißen genügt in der Regel nicht, da es sich um besondere personenbezogene Daten (Gesundheitsdaten) handelt. Daten, die in elektronischer Form erhoben wurden, sind so zu löschen, dass sie nicht wiederhergestellt werden können.

Drohen Konsequenzen?

Von einzelnen Datenschutz-Aufsichtsbehörden wurden zu dem Thema bereits unangekündigte Kontrollen angekündigt. Ob es dazu tatsächlich kommt, wird man sehen. Man sollte meinen die Behörden hätten Besseres zu tun. Allerdings kann hier auch durchaus von ausgeschiedenen Beschäftigten Ärger drohen in Form von Auskunftsansprüchen bzgl. dieser Daten. Und im Übrigen hat ein Unternehmen ja ohnehin auch kein Interesse daran Datenfriedhöfe anzulegen. Deshalb: Weg damit!

 II. 25,00 Euro Schadenersatz bei unerwünschter Werbe-Mail

Wer kennt sie nicht, die unerwünschten Nachrichten im E-Mail-Postfach. Bisher haben die Gerichte das Thema immer unter dem Aspekt gesehen: Es nervt, aber dafür gibt es keinen Schadenersatz, da es sich um eine Bagatelle handelt.

Das Landgericht Heidelberg hat nun entscheiden, dass ein Anspruch auf Zahlung von 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail besteht. (LG Heidelberg, Urteil vom 16.03.2022, AZ: 4 S 1/21: 25 EURO).

Das ist zwar keine Zeitenwende im Sinne von Olaf Scholz, aber doch eine kleine   Kehrtwende in der Rechtsprechung. 25,00 Euro sind ein geringer Betrag, aber bei einer Vielzahl von Geschädigten kann hier doch eine hübsche Summe zusammenkommen. So viel für heute.

Bei Fragen, Anregungen – gerne melden.

Thomas Lang