DATENERHEBUNG UND -VERARBEITUNG IN CORONA-ZEITEN
Überall dort, wo es aufgrund körperlicher Nähe von Kunden zueinander oder zum Personal eine erhöhte Ansteckungsgefahr gibt, werden Betriebe dazu angehalten, die Identität ihrer Kunden zu dokumentieren und aufzubewahren. Dadurch können etwaige Kontakte im Ansteckungsfall nachvollzogen werden.
In den vergangenen Monaten hatte die Corona-Krise uns sowie unsere Wirtschaft fest im Griff und es war erste Priorität, Neuansteckungen um (beinahe) jeden Preis zu vermeiden. Seit kurzer Zeit lassen die Fallzahlen jedoch, je nach Bundesland etwas unterschiedlich gehandhabt, einige Lockerungen der strengen Maßnahmen zu. Viele Branchen dürfen den (Alltags)betrieb mit Kundenverkehr wiederaufnehmen, wenn bestimmte Verhaltensregeln beachtet werden. Aber auch hier gibt es von Bundesland zu Bundesland Unterschiede. Im Wesentlichen sind zum Führen von Erfassungslisten Gastronomen, Friseure, Kosmetiksalons, Massage- und Fitnessstudios, Spielhallen, außerschulische Bildungseinrichtungen, Kultureinrichtungen, Pflegeheime sowie Krankenhäuser verpflichtet.
Ist die Erfassung von Kundendaten in Kontaktlisten erlaubt?
In Art. 6 Absatz 1 Satz 1 lit. c, Abs. 3 der Datenschutz-Grundverordnung (DS-GVO) ist geregelt, dass die Verarbeitung personenbezogener Daten immer dann zulässig ist, wenn die Erfüllung einer gesetzlichen Vorschrift dies erfordert. Ist also durch die jeweilige Corona-Landesverordnung des eigenen Bundeslandes das Führen von Erfassungslisten für die betroffene Branche vorgeschrieben, handelt es sich um eine legitime Datenverarbeitung. Existiert keine gesetzliche Vorgabe, dürfen und sollten auch keine personenbezogenen Daten in Kontaktlisten oder ähnlichem erfasst werden – es sei denn, es gibt eine andere Rechtsgrundlage; wie etwa eine Einwilligung.
Was darf erfasst werden, was nicht?
Grundsätzlich verlangt die DS-GVO bei Datenverarbeitungen eine Reduzierung auf den zur Erfüllung des Verarbeitungszwecks minimal notwendigen Umfang. Um Infektionswege feststellen zu können, benötigt man in der Regel Vorname und Familienname, die vollständige Anschrift und/oder E-Mail-Adresse sowie/oder Telefonnummer (je nach Bundesland und Branche verschieden, teilweise auch Besuchszeiten, teilweise jeder Einzelperson, teilweise nur von einer Person pro betroffenem Hausstand). Weitere Daten sind für den Zweck nicht erforderlich und dürfen deswegen auch nicht erfasst werden. Eine Fotografie von Personalausweis oder Führerschein würde, so praktisch dieses Vorgehen auch ist, weitere Daten beinhalten und ist unter anderem auch deswegen unzulässig.
Wie lange dürfen die erfassten Daten aufbewahrt werden?
Die erfassten Daten von Kunden und Besuchern müssen einen Monat aufbewahrt und dann auf den Tag genau datenschutzkonform gelöscht beziehungsweise vernichtet werden. In Papierform ist hierzu ein handelsüblicher Aktenvernichter oder die Entsorgung durch einen Dienstleister nach jeweils mindestens Sicherheitsstufe P3 gemäß DIN 66399-2 ausreichend. Bei elektronisch gespeicherten Daten ist der Einsatz eines Löschtools erforderlich. Die einfache Entsorgung im physischen oder elektronischen Papierkorb reicht hier nicht aus!
Wann und an wen dürfen die Daten weitergegeben werden?
Eine Übermittlung der erfassten Daten darf nur nach einer schriftlichen Aufforderung durch das zuständige Gesundheitsamt und auch nur an dieses erfolgen. Die Übermittlung muss auf einem sicheren Weg erfolgen. Unsere Empfehlung: per Post oder mittels verschlüsselter E-Mail.
Strenge Zweckbindung
Die erhobenen Daten dürfen ausschließlich zum Zweck der Nachverfolgung von Infektionsketten verwendet werden. Damit verbietet sich ganz klar eine Nutzung für andere Zwecke wie Werbemaßnahmen.
Informationspflichten
Um den Informationspflichten gemäß Art. 13 DS-GVO nachzukommen, muss derjenige, der personenbezogene Daten erhebt, auch zum Zeitpunkt dieser Erhebung zu der Datenverarbeitung näher informieren mit Blick auf
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls eines Datenschutzbeauftragten,
- den Zweck und die Rechtsgrundlage der Datenverarbeitung,
- (mögliche) Empfänger der Daten,
- die Dauer der Speicherung,
- die Betroffenenrechte und ein Beschwerderecht bei einer Aufsichtsbehörde sowie
- die Folgen, wenn die Kontaktdaten nicht angegeben werden.
Praktisch lässt sich das umsetzen, indem man diese Informationen gut einsehbar auslegt oder aushängt und auf Wunsch dem Betroffenen eine ausgedruckte Variante übergibt. Eine Unterschrift zur Bestätigung der Kenntnisnahme dieser Informationen ist nicht notwendig. Mustervorlagen für diese Informationen kann man bei den zuständigen Datenschutz-Aufsichtsbehörden der Bundesländer sowie bei diversen Branchenverbänden erhalten.
Umsetzung in der Praxis
Es gibt für die Erfassung der Kontaktdaten keine Formvorschrift. Es ist allerdings wichtig dafür zu sorgen, dass bei der Erfassung kein anderer Besucher Einsicht in bereits ausgefüllte Listen erhalten kann. Dies lässt sich erreichen, indem man mit einem neuen Erfassungsblatt für jeden Betroffenen arbeitet, wenn dieser sich selbst eintragen soll. Alternativ können die Daten von Mitarbeitern erfasst werden, ohne dass Besucher Einblick erhalten. Nach der Erfassung müssen die Unterlagen so verwahrt werden, dass kein Einblick für Unbefugte möglich ist. Sie dürfen also nicht offen auf einem Tresen liegen und sollten spätestens am Ende des Arbeitstages verschlossen werden. Es empfiehlt sich, jeden Tag eine neue Liste zu beginnen, um der Verpflichtung auf taggenaue Löschung nachkommen zu können. Auch bei elektronischer Erfassung – in manchen Branchen auch durch bereits unabhängig von der Corona-Krise vorhandene Systeme – ist es wichtig, dass auf Basis einzelner Tage und Datensätze gelöscht werden kann. Hilfreich kann es sein, bereits durch Reservierungen einen Teil der Daten zu erfassen, um am Tag des Besuchs Zeit und Aufwand zu sparen.
Auswirkungen des Föderalismus
Weil Verordnungen, Anforderungen und Empfehlungen von Bundesland zu Bundesland und für die betroffenen Branchen mitunter stark voneinander abweichen, sollten die Handreichungen und Informationen der jeweils zuständigen Datenschutz-Aufsichtsbehörden genutzt werden. Eine weitere Hilfestellung bieten die diversen Branchenverbände.