Verarbeitung von Corona-Virus-Infos zu Beschäftigten ins Verarbeitungsverzeichnis?
Über das Corona-Virus-Fragenformular ist diese Frage hereingekommen:
Muss ich für die Corona Thematik wie z.B. die Datenerfassung "Erkrankte Mitarbeiter" als separate Verarbeitung im Verarbeitungsverzeichnis führen? Wie ist der Zweck, die Rechtsgrundlage, die Löschfristen etc.?
Meine Antwort
Das ist eine sehr schöne Frage. Ich würde vermuten, dass das Meinungsbild der Datenschutzrechtler zu dieser Frage sehr uneinheitlich sein dürfte. Und das hat mit dem Begriff der „Verarbeitung“ und dem Sinn und Zweck des Verarbeitungsverzeichnisses zu tun.
Letztlich kommt es für die Beantwortung der Frage darauf an, wie „eng“ bzw. wie „weit“ wir den Begriff der Verarbeitung fassen wollen. So gibt es durchaus die berechtigte Sichtweise, dass der Begriff einer Verarbeitung weit zu fassen sei. So wäre es z.B. ausreichend im Verarbeitungsverzeichnis alle Verarbeitungen, die die Verarbeitung von Beschäftigtendaten betreffen unter eine Verarbeitung „Personaldatenverarbeitung“ zusammenzufassen.
Ist diese Auffassung korrekt? Das kann niemand sagen, denn – wie gesagt – der Begriff der Verarbeitung ist insoweit nicht konkret definiert. Andere würden bei der Verarbeitung von Beschäftigtendaten sehr feingranular vorgehen und z.B. auch jede Excel-Datei, in der mal Beschäftigtendaten stehen, zum Verarbeitungsverzeichnis nehmen. Das führt praktisch zu einer „Aufblähung“ des Verarbeitungsverzeichnisses und einer entsprechend schwierigeren Pflege und Aktualisierung.
Die Wahrheit dürfte wohl in der Mitte liegen. Um auf die Frage zurückzukommen, kann ich sagen, dass ich die Aufnahme einer Verarbeitung zu „Corona-Virus-Erkrankten“ im Unternehmen sehr sinnvoll finden würde. Denn dann wäre besser sicherzustellen, dass diese Daten streng zweckgebunden verarbeitet würden, und auch die Zugriffe auf diese Daten könnten besser eingeschränkt werden. Schließlich ließe sich die Frage der Löschung der Daten („Löschfrist“) besser umsetzen.
Der Zweck der Datenverarbeitung wäre für mich der Schutz von Beschäftigen sowie der Infektionsschutz für Beschäftigte. Die Rechtsgrundlage wäre für mich § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO. Das deckt sich übrigens mit der Meinung der „Datenschutzkonferenz“ zu diesem Thema.
Als Löschfrist halte ich persönlich derzeit 3 Monate für angemessen. Hier wird man aber ggf. etwas flexibel sein dürfen und ggf. anpassen, wenn sich die Corona-Virus-Lage weiter verändert.