Corona: Testnachweiskontrolle datenschutzkonform dokumentieren
Diese Regeln gelten für Arbeitgeber
Yvonne Millar
Yvonne Millar ist Freie Journalistin im Medienteam Medizin und gehört seit 2014 zum Redaktionsteam von up. Die studierte Politikwissenschaftlerin und Anglistin hat sich vor fast zehn Jahre auf Themen aus den Bereichen Medizin und Gesundheit spezialisiert. Leser unserer Printausgabe kennen sie bereits u.a. aus dem Editorial, in dem sie jeden Monat die neue Ausgabe vorstellt.
23.12.2021
3 Min. Lesezeit
Zur Nachweiskontrolle über die Corona-Testung Ihrer Beschäftigten müssen und dürfen Sie als Arbeitgeber Gesundheitsdaten Ihrer Mitarbeiter verarbeiten. Diese Daten sind hochsensibel und müssen besonders geschützt gehandhabt werden. Wir klären, was es dabei zu beachten gilt.
© PeopleImages
Diese Mitarbeiterdaten dürfen Sie für die Testnachweiskontrolle sammeln:
Nach § 28b Abs. 3 Infektionsschutzgesetz dürfen Arbeitgeber folgende personenbezogene Daten Ihrer Mitarbeiter abfragen und dokumentieren:
- den vollständigen Namen
- Nachweis zum Impf- oder Genesenen-Status
- Nachweis über gültigen, negativen Test-Status
Wichtige Hinweise:
- Weitere Gesundheitsdaten dürfen Sie nicht abfragen bzw. speichern.
- Sie müssen keine Kopie des Impf-/Genesenennachweises beilegen. Die Einsicht in das Dokument reicht aus.
- Den Testnachweis bzw. die Testkassette des genutzten Tests müssen Sie nicht beilegen.
- Der Genesenennachweis ist nur sechs Monate gültig. Notieren Sie sich das Ablaufdatum. Nach dessen Ablauf muss der Mitarbeiter einen neuen Immunisierungsnachweis erbringen oder täglich einen Testnachweis vorlegen (Achtung: ab 15. März 2022 gilt für alle in der Praxis Tätigen die Impfpflicht)
Diese 6 Regeln gelten für den datenschutzkonformen Umgang mit Gesundheitsdaten
- Vertraulichkeit: Nur Sie oder von Ihnen für die Nachweiskontrolle beauftragte Personen dürfen Zugang zu den Testnachweisen sowie dem Impf-/Genesenenstatus der Mitarbeiter haben.
- Zweckgebundenheit: Sie dürfen die Daten ausschließlich für die Nachweiskontrolle nach § 28 IfSG nutzen und müssen sie nach Ablauf der Speicherdauer (spätestens sechs Monate) wieder löschen.
- Datensparsamkeit (nach Art. 5 Abs. 1 lit. C DSGVO): Sie dürfen nur die Daten sammeln, die wirklich für die Dokumentation der Nachweiskontrolle nötig sind.
- Datensicherheit (Art. 32 DSGVO): Die Daten sollen auf möglichst sicherem Weg übermittelt werden. Es unzulässig, Mitarbeiter dazu aufzufordern, Nachweise über ungesicherte Kanäle wie WhatsApp zu verschicken.
- Umgang mit sensiblen Gesundheitsdaten dokumentieren (Art. 30 DSGVO): Dokumentieren Sie, wie Sie Listen aufbewahren, wer diese einsehen darf und wann Sie die Daten löschen.
- Pflichtinformationen für alle Mitarbeiter (Art. 13 Abs. 1 und 2 DSGVO): Klären Sie Ihre Mitarbeiter über folgende Aspekte auf (durch ein Informationsblatt oder einen Link zu einem digitalen Dokument):
- Wer ist für Datenverarbeitung verantwortlich?
- Welche Daten werden verarbeitet und zu welchen Zwecken?
- Auf welcher rechtlichen Grundlage basiert das?
- Wie lange werden die Daten gespeichert?
- An welche Empfänger werden die Daten weitergegeben?
- Wo werden die Daten verarbeitet?
- Hinweise auf Rechte als „Betroffene“ und das Beschwerderecht
Tipp: Auf www.Datenschutz-Guru.de finden Sie unter Beiträge – Datenschutz ein Muster für einen solchen Datenschutzhinweis für „3G am Arbeitsplatz“.
Quellen: www.praxisfragen.de; Infektionsschutzgesetz; DGSVO
Diese Artikel gehören zum Schwerpunkt Impfen:
Themenschwerpunkt 1.2022: Impfen
Corona-Impflicht: Das müssen Praxisinhaber jetzt tun
Testpflicht für Praxismitarbeiter: Nur noch zwei Tests pro Woche für Geimpfte und Genesene
Zuhören statt belehren: 7 Tipps zum Umgang mit Verschwörungstheorien
Gesetz und Wirklichkeit: Wie und wann wird das Gesundheitsamt die Umsetzung der Impfpflicht prüfen?