Löschen von personenbezogenen Daten.
Klingt einfach – ist es auch.
Aber mit Regeln.
Am 20. März 2022 wurde das Infektionsschutzgesetz geändert. Damit entfällt die Verpflichtung zum Nachweis des Status der Impfung, der Genesung oder einer Negativtestung (3G-Nachweis).
Die Erfassung dieser Gesundheitsdaten waren für Unternehmen sehr wichtig, um den Betrieb weiter aufrechtzuerhalten. Dazu wurde eine tägliche Nachweiskontrolle durchgeführt die in dem Infektionsschutz des Bundes (§ 28 B Abs. 3 Satz 1 IfSG a.F.) geregelt wurde.
Unzulässige Erfassung
Das bei der Erfassung der Gesundheitsdaten bei einigen Unternehmen auch die Info und Testnachweise einfach kopiert oder gescannt worden sind, war zwar nicht erlaubt – ist aber in Einzelfällen trotzdem geschehen.
Selbstverständlich müssen auch diese Kopien bzw. Dateien entsprechend gelöscht werden.
Kontakt Erhebung in der Gastronomie
Das Wegfallen der Erfassung zum Beispiel in der Kontakt Erhebung in der Gastronomie ist in einigen Bundesländern schon länger abgeschafft worden.
Allerdings steht zu beachten, wie weit die einzelnen Kommunen oder Gemeinden diese wieder einführen werden.
Keine gesetzliche Grundlage mehr zur Speicherung
Als es noch erforderlich war, die Daten entsprechend zu erfassen, galt eine Löschfrist von sechs Monaten nach dem Zeitpunkt der Erfassung.
Die Aufsichtsbehörden für Datenschutz gehen allerdings jetzt davon aus, dass durch den Wegfall der gesetzlichen Regelung für die Erfassung und die Änderung des Infektionsschutzgesetzes keine Speicherung mehr notwendig ist.
Die Folge: die Daten müssen umgehend gelöscht werden.
Gesundheitsdaten
Man muss wissen, dass die oben genannten personenbezogenen Daten in der Regel Gesundheitsdaten sind. Gesundheitsdaten gelten als besonders schützenswerte personenbezogene Daten.
Diese sind damit auch entsprechend zu vernichten.
Aber wie vernichte ich diese besonderen personenbezogenen Daten rechtskonform?
Papier
- Die Vernichtung solcher Daten ist in der DIN-Norm 66399 entsprechend geregelt.
- Dazu können entsprechend handelsübliche Aktenvernichter mit einer Sicherheitsstufe 4 oder höher eingesetzt werden.
- Aktenvernichter mit einem Streifenschnitt oder größeren Pixel sind nicht geeignet.
Dateien
Häufig wurden die Papiere nach der Erfassung eingescannt und als Datei, in der Regel PDF, gespeichert. Ein klassisches Löschen mit der Taste Entfernen (Entf) reicht hierbei nicht, da die Daten nach dem vermeintlichen Löschvorgang immer noch auf den Datenträger vorhanden sind.
- Elektronische Daten auf Speichermedien sind datenschutzgerecht und nicht wiederherstellbar zu löschen bzw. zu überschreiben (z.B. nach 5220.22-M-Standard des US-Verteidigungs-ministeriums, VSITR-Standard des Bundesamtes für Sicherheit/Informationstechnik (BSI) oder ähnlich nachweisbarer Standards).
- Sollte kein Zugriff mehr auf die Daten erfolgen können und die Speichermedien keine Verschlüsselung aufweisen, so sind die Speichermedien immer physisch nach obigen Kriterien zu zerstören.
Archiv-Systeme
Daten in Datenbanksystemen wie zum Beispiel Software zur Archivierung sind nach den Vorgaben der DSGVO zu löschen.
Dokumentation
Beachten Sie, dass die zu verwendenden Löschverfahren bei den technisch-organisatorischen Maßnahmen (TOMs) aufzuführen sind.
Die erfolgte Löschung der Daten ist entsprechend zu dokumentieren und dem Löschkonzept hinzuzufügen.
Weiterführende Links
- BSI – Daten richtig löschen Link…
- BSI – Daten auf Festplatten und Smartphones endgültig löschen Link…
Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen. |
Autor: