Worauf Unternehmen bei der Umsetzung achten sollten
Corona bestimmt auch die Abläufe in Unternehmen weiterhin – in erster Linie durch die Umsetzung der jeweils aktuellen Version der Coronaschutzverordnung (CoronaSchVO) NRW. Welche Daten dabei erhoben, gespeichert und auch wieder gelöscht werden, spielt auch für den Datenschutz in Unternehmen eine tragende Rolle. Für jede Organisation, die personenbezogene Daten verarbeitet, gelten dabei die gesetzlichen Vorgaben, die u.a. durch die Datenschutzgrundverordnung (DS-GVO) festgelegt werden.
Was sind personenbezogene Daten?
Im Zusammenhang mit der CoronaSchVO des Landes NRW werden immer wieder personenbezogene Daten in Unternehmen verarbeitet. Dabei muss man in erster Linie erst einmal wissen, was personenbezogene Daten überhaupt sind.
Einfach gesagt sind alle Daten, die einen Rückschluss auf eine natürliche Person zulassen, automatisch personenbezogene Daten. Das können neben Namen, Geburtsdatum, Telefonnummer oder E-Mail-Adresse auch IP-Adressen oder aber auch Beschreibungen von markanten Erkennungsmerkmalen sein.
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich erst einmal verboten, es sei denn es liegt eine Entsprechende gesetzliche Grundlage vor, die die Verarbeitung ermöglicht oder sogar notwendig macht . Darüber hinaus gibt es auch die Möglichkeit der Einwilligung durch den Betroffenen. (Verbot mit Erlaubnisvorbehalt) Mehr über personenbezogene Daten lesen Sie in unserem Datenschutz-Blog.
Achtung bei Gesundheitsdaten im Datenschutz
Besonders dort, wo Gesundheitsdaten erfasst werden, gilt besondere Vorsicht in der Verarbeitung. Im Bereich der Coronaschutzverordnung NRW, kann dies zum Beispiel im Unternehmen der Fall sein, wenn Impfnachweise oder aktuelle Coronatests der Mitarbeiter erfasst werden oder auch Besucherlisten mit den entsprechenden Nachweisen geführt werden. Diese Nachweise enthalten Gesundheitsdaten und gehören zu den personenbezogenen Daten der besonderen Kategorie.
Dies bedeutet, dass diese Daten besonders schützenswert sind. Die technischen und organisatorischen Maßnahmen (TOM), welche als Schutz für die personenbezogenen Daten festgelegt werden müssen, sind hier besonders anzupassen. Dazu muss beispielsweise eine Datenschutzfolgenabschätzung durchgeführt werden, um das Risiko für den Betroffenen zu bewerten.
Gesundheitsdaten richtig schützen
Neben der Rechtsgrundlage, welche für die Verarbeitung der personenbezogenen Daten zwingend geprüft werden muss, spielen auch Löschfristen generell eine wichtige Rolle. Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie sie für den Zweck, für den sie erhoben werden, benötigt werden. Danach müssen sie gelöscht werden. Und auch hierbei muss der Datenschutz eingehalten werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – DATENVERNICHTEN, ABER RICHTIG
Wie bereits angedeutet, müssen Gesundheitsdaten im Datenschutz besonders geschützt werden. Besonders müssen Sie vor dem Zugriff Unbefugter gesichert sein. Dazu gehören auch unbefugte Mitarbeiter des eigenen Unternehmens. Beispielsweise sollten die Zugriffsrechte festgelegt werden, die diese Daten verarbeiten sollen, Unterlagen in gesicherten Räumen oder Schränken abgelegt werden, ein Einblick in die Daten verhindert werden usw.
Informationspflichten bei Datenerhebung
Bei der Erhebung von personenbezogenen Daten gilt immer auch eine Informationspflicht des Betroffenen. Das bedeutet dieser muss immer darüber informiert sein, welche Daten verarbeitet werden, zu welchem Zweck und so weiter.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – INFORMATIONSPFLICHTEN FÜR BETROFFENE
Die CoronaSchVO NRW als Grundlage zur Erhebung der personenbezogenen Daten
Für die Verarbeitung der personenbezogenen Daten der besonderen Kategorien, um die es sich bei den Impfnachweisen und den Coronatests handelt, gilt vor allem die Coronaschutzverordnung als Grundlage. Diese ändert sich aber stetig, weshalb der Verantwortliche im Datenschutz hier auch immer nachbessern muss.
Welche Grundlage zur Datenerhebung gibt es, welche personenbezogenen Daten müssen erhoben werden, welche dürfen demnach zu diesem Zweck nicht verarbeitet werden, wie lange sind die Aufbewahrungs- und damit die Löschfristen, die beachtet werden müssen, usw. All dies muss ständig und vor allem zeitnah geprüft und ggf. im Datenschutz des Unternehmens angepasst werden.
Der externe Datenschutzbeauftragte
Um die komplexen Herausforderungen der ständig wechselnden Voraussetzungen meistern zu können, kann ein externer Datenschutzbeauftragter hilfreich zur Seite stehen. Er kann bei der Umsetzung der verschiedenen Vorgaben beratend tätig werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.