Corona: Testnachweiskontrolle datenschutzkonform dokumentieren

Zur Nachweiskontrolle über die Corona-Testung Ihrer Beschäftigten müssen und dürfen Sie als Arbeitgeber Gesundheitsdaten Ihrer Mitarbeiter verarbeiten. Diese Daten sind hochsensibel und müssen besonders geschützt gehandhabt werden. Wir klären, was es dabei zu beachten gilt. Diese Mitarbeiterdaten dürfen Sie für die Testnachweiskontrolle sammeln: Nach § 28b Abs. 3 Infektionsschutzgesetz dürfen Arbeitgeber folgende personenbezogene Daten Ihrer Mitarbeiter abfragen und dokumentieren: den vollständigen Namen Nachweis zum Impf- oder Genesenen-Status Nachweis über gültigen, negativen Test-Status Wichtige Hinweise: Weitere Gesundheitsdaten dürfen Sie nicht abfragen bzw. speichern. Sie müssen keine Kopie des Impf-/Genesenennachweises beilegen. Die Einsicht in das Dokument reicht aus. Den Testnachweis bzw. die Testkassette des genutzten Tests müssen Sie nicht beilegen. Der Genesenennachweis ist nur sechs Monate gültig. Notieren Sie sich das Ablaufdatum. Nach dessen Ablauf muss der Mitarbeiter einen neuen Immunisierungsnachweis erbringen oder täglich einen Testnachweis vorlegen (Achtung: ab 15. März 2022 gilt für alle in der Praxis Tätigen die Impfpflicht) Diese 6 Regeln gelten für den datenschutzkonformen Umgang mit Gesundheitsdaten Vertraulichkeit: Nur Sie oder von Ihnen für die Nachweiskontrolle beauftragte Personen dürfen Zugang zu den Testnachweisen sowie dem Impf-/Genesenenstatus der Mitarbeiter haben. Zweckgebundenheit: Sie dürfen die Daten ausschließlich für die Nachweiskontrolle nach § 28 IfSG nutzen und müssen sie nach Ablauf der Speicherdauer (spätestens sechs Monate) wieder löschen. Datensparsamkeit (nach Art. 5 Abs. 1 lit. C DSGVO): Sie dürfen nur die Daten sammeln, die wirklich für die Dokumentation der Nachweiskontrolle nötig sind. Datensicherheit (Art. 32 DSGVO): Die Daten sollen auf möglichst sicherem Weg übermittelt werden. Es unzulässig, Mitarbeiter dazu aufzufordern, Nachweise über ungesicherte Kanäle wie WhatsApp zu verschicken. Umgang mit sensiblen Gesundheitsdaten dokumentieren (Art. 30 DSGVO): Dokumentieren Sie, wie Sie Listen aufbewahren, wer diese einsehen darf und wann Sie die Daten löschen. Pflichtinformationen für alle Mitarbeiter (Art. 13 Abs. 1 und 2 DSGVO): Klären Sie Ihre Mitarbeiter über folgende Aspekte auf (durch ein Informationsblatt oder einen Link zu einem digitalen Dokument): Wer ist für Datenverarbeitung verantwortlich? Welche Daten werden verarbeitet und zu welchen Zwecken? Auf welcher rechtlichen Grundlage basiert das? Wie lange werden die Daten gespeichert? An welche Empfänger werden die Daten weitergegeben? Wo werden die Daten verarbeitet? Hinweise auf Rechte als „Betroffene“ und das Beschwerderecht Tipp: Auf www.Datenschutz-Guru.de finden Sie unter Beiträge – Datenschutz ein Muster für einen solchen Datenschutzhinweis für „3G am Arbeitsplatz“. Quellen: www.praxisfragen.de; Infektionsschutzgesetz; DGSVO Diese Artikel gehören zum Schwerpunkt Impfen: Themenschwerpunkt 1.2022: Impfen Corona-Impflicht: Das müssen Praxisinhaber jetzt tun Testpflicht für Praxismitarbeiter: Nur noch zwei Tests pro Woche für Geimpfte und Genesene „Ich kann mich über die Impfpflicht aufregen, aber ich kann die gesetzliche Grundlage nicht ändern“ - Interview Dr. Handrock und Uwe Harste Zuhören statt belehren: 7 Tipps zum Umgang mit Verschwörungstheorien „Wenn die Impfpflicht kommt, entgehen mir monatlich 30.000 Euro Umsatz“ - Interview Regina Bodynek, Ergotherapeutin „Wir müssen Mitarbeiter entlassen, die keinen Masernschutz vorweisen können“ - Interview Melanie Kopko, Kita-Leitung Gesetz und Wirklichkeit: Wie und wann wird das Gesundheitsamt die Umsetzung der Impfpflicht prüfen?