Fordern die Corona-Schutzverordnungen der jeweiligen Bundesländer Schnelltests für Beschäftigte oder Besucher oder bieten Unternehmen diese den Beschäftigten und Besuchern freiwillig an, müssen Unternehmen den Datenschutz beachten.
Die während des Schnelltests erhobenen Daten gehören zu den Gesundheitsdaten und sind nach der DSGVO besonders schützenswert. Für die Verarbeitung dieser Gesundheitsdaten benötigen Sie daher eine Rechtsgrundlage nach der DSGVO bzw. dem BDSG. Welche Rechtsgrundlage für die Verarbeitung gilt, hängt davon ab, ob die Tests durch die Corona-Schutzverordnung vorgeschrieben wurden oder ob ein Unternehmen diese freiwillig anbietet:
Sind Tests für Beschäftigte oder Kunden vorgeschrieben, ergibt sich die Rechtsgrundlage der Verarbeitung von Gesundheitsdaten aus Art. 9 Abs. 2 lit. g, h DSGVO, § 26 Abs. 1 BDSG in Verbindung mit der jeweils geltenden Corona-Schutzverordnung. Die Verarbeitung der Gesundheitsdaten können Sie demnach auf die gesetzliche Vorschrift stützen. Eine Einwilligung benötigen Sie nicht.
Handelt es sich jedoch um freiwillige Schnelltests, können Sie sich nicht auf die Corona-Schutzverordnung berufen. Ohne Testpflicht benötigen Sie daher eine Einwilligung für die Verarbeitung der Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO, § 26 Abs. 2 BDSG).
Unabhängig von der jeweiligen Rechtsgrundlage müssen Sie die Betroffenen nach Art. 13 DSGVO über die Verarbeitung ihrer personenbezogenen Daten informieren. Für den konkreten Fall bedeutet dies: Sie müssen die Betroffenen über die Verarbeitung ihrer Gesundheitsdaten im Rahmen der Schnelltests informieren. Die Mindestinhalte der Information ergeben sich aus Art. 13 Abs. 1 und 2 DSGVO. So müssen Sie die Betroffenen u.a. darüber informieren, zu welchem Zweck und auf welcher Rechtsgrundlage Sie die Daten verarbeiten, an wen Sie die Daten weitergeben und wie lange Sie die Daten speichern.
In einigen Corona-Schutzverordnungen ist geregelt, dass ein Nachweis über die Testung aufbewahrt werden muss. Wer die Nachweise aufbewahrt, ist nicht immer nicht geregelt. Da sowohl ein fehlendes Testangebot als auch ein nicht durchgeführter Pflichttest eine Ordnungswidrigkeit darstellen, empfehlen wir Ihnen aus Nachweisgründen, dass das Unternehmen die Nachweise bzw. Tests aufbewahrt. Doch auch bei der Aufbewahrung gilt der Datenschutz zu beachten:
Nicht nur für die Erhebung, sondern auch für die Speicherung/Aufbewahrung der Nachweise bzw. Tests benötigen Sie eine Rechtsgrundlage. Da nicht in jeder Corona-Schutzverordnung eine Regelung dazu getroffen wurde, dass Unternehmen die Nachweise aufbewahren müssen, können Sie sich nicht immer auf eine gesetzliche Vorschrift berufen. Vielmehr benötigen Sie dann für die Aufbewahrung eine Einwilligung der Betroffenen. Unabhängig davon, ob es sich um einen freiwilligen oder verpflichteten Test handelt.
Bewahren Sie die Nachweise auf, müssen Sie zudem gewährleisten, dass nur berechtigte Mitarbeiter Zugriff auf diese Daten haben. Zudem empfehlen wir, die Nachweise in einem verschlossenen und mit Namen und Datum beschrifteten Umschlag aufzubewahren, zu dem nur berechtigte Mitarbeiter Zugang haben. Nach der vorgeschriebenen Aufbewahrungsfrist (i.d.R. 4 Wochen) müssen Sie anschließend Sorge dafür tragen, dass die Nachweise datenschutzkonform vernichtet werden, sodass anschließend nicht mehr erkennbar ist, welcher Mitarbeiter zu welchem Zeitpunkt wie getestet wurde.
Darüber hinaus möchten wir Sie über einen weiteren datenschutzrechtlichen Aspekt in Bezug auf eine Maßnahme der Corona-Schutzverordnung informieren. Unter Umständen sind Sie dazu verpflichtet, die Kontaktdaten der Beschäftigten und Kunden für Kontaktnachverfolgung zu dokumentieren. Dabei verarbeiten Sie i.d.R. folgende personenbezogene Daten: Name, Adresse, Telefonnummer oder E-Mail-Adresse sowie Zeitraum und Ort des Besuchs. Auch in diesem Fall müssen Sie gegenüber den Kunden die Informationspflichten zum Zeitpunkt der Erhebung erfüllen. Bitte beachten Sie, dass für andere Kunden die personenbezogenen Daten nicht einsehbar sein dürfen. Wir empfehlen daher, sollte eine Registrierung nicht digital erfolgen, pro Kunde ein Formular auszuhändigen.
Gerne arbeiten wir Ihnen die geforderten Dokumente zu und beraten Sie zu den datenschutzrechtlichen Maßnahmen der für Sie geltenden Corona-Schutzverordnung.