Bei der schrittweisen Öffnung der Gastronomie und der Öffnung von Handwerks- und Dienstleistungsgewerbe, wie z.B. Friseure, Nagelstudios u.ä. setzen die Bundesländer auf die Sammlung von Kontaktdaten. Der Hintergrund ist, Infektionsketten aufzudecken und zu unterbrechen.

 

Die rechtliche Grundlage

Sofern die Erfassung nach einer gesetzlichen Vorgabe oder aufgrund einer behördlichen Anordnung erforderlich ist, ist sie zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung zulässig. Durch die Verordnungen der Bundesländer – auch wenn diese sehr unterschiedlich ausfallen – sind die Voraussetzungen gegeben.

 

Datenschutzrechtliche Anforderungen beim Umgang mit den Kontaktlisten

  1. Welche Daten werden erfasst?

Einig sind sich die Länderverordnungen in dem Punkt, dass Name und Rufnummer des Besuchers zu erfassen sind, teilweise soll auch die Anschrift angegeben werden. Von der Unterschrift durch den Besucher ist nirgendwo die Rede, auch nicht die Verifizierung durch ein Ausweisdokument.

 

  1. Auslage der Listen zur Kontaktdatenerfassung

Die Listen zur Nachverfolgung von Personenkontakten dürfen nicht für jedermann frei zugänglich ausgelegt sein – heißt also z.B., der Gast darf nicht die Daten der anderen Gäste einsehen können. Eine Möglichkeit ist auch, die Kontaktdaten direkt auf elektronischem Weg zu erheben.

 

  1. Weitergabe der Listen bei Infektionsverdacht

Listen oder Auszüge aus Listen sollten ausschließlich bei schriftlicher Aufforderung zum Beispiel durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Der Verantwortliche muss jede Aufforderung zur Übermittlung und die Übermittlung selbst dokumentieren, um der Rechenschaftspflicht gegenüber der Datenschutzaufsicht nachzukommen (welche Liste wurde an wen wann wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden.

 

  1. Löschfrist

Auch bei den Löschfristen sind die Länderverordnungen nicht einig, in der Regel ist jedoch von der Vernichtung der personenbezogenen Daten nach 4 Wochen auszugehen.

 

  1. Zweckbindung

Die Erlaubnis der Datenverarbeitung ist auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (Grundsatz der Zweckbindung – Art. 5 Abs. 1 lit. b DS-GVO). Das heißt, die personenbezogenen Daten dürfen nur aufgrund der jeweiligen Corona-Verordnungen erhoben, gespeichert und ggfs. weitergegeben werden. Eine Verwendung der Daten für andere Zwecke, wie z.B. Zusendung von Werbung ist nicht erlaubt.

 

Informationspflichten

Egal, in welchem Umfang oder auf welche Art (analog per Formular / Besucherliste oder digital z.B. in Form von Excel-Tabellen) die Daten der Besucher erhoben werden, es sind die Angaben zu den Informationspflichten nach Art. 13 DSGVO zu erfüllen. Dies kann beispielsweise mittels Aushang vor Ort, einem mündlichen Hinweis oder vorzugsweise in schriftlicher Form an Ihre Besucher geschehen.

 

Folgende Angaben muss die Information enthalten:

  1. Bezeichnung der Verarbeitungstätigkeit / erhobene Daten
  2. Name und Kontaktdaten des Verantwortlichen
  3. Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)
  4. Zwecke und Rechtsgrundlagen der Verarbeitung
  5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  6. Übermittlung von personenbezogenen Daten an ein Drittland
  7. Dauer der Speicherung der personenbezogenen Daten
  8. Betroffenenrechte
  9. Pflicht zur Bereitstellung der Daten

 

Verzeichnis von Verarbeitungstätigkeiten

Für jede Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DS-GVO anzufertigen, also auch in diesem Fall für die Erfassung, Verarbeitung und Speicherung der Kontaktdaten von Besuchern.

 

Folgende Angaben muss die Beschreibung der Verarbeitungstätigkeit beinhalten:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation;
  6. die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO.

 

Für weitere Fragen sowie Unterstützung bei der Erstellung der Informationspflichten oder des Verzeichnisses für Verarbeitungstätigkeiten stehen wir gerne zur Verfügung.