Datenschutzkonforme Erhebung von Kontaktdaten zur Verfolgung von Infektionsketten

Immer mehr Bundesländer lockern die im Rahmen der Corona-Pandemie verhängten Kontaktbeschränkungen und Betriebsverbote. Eine der begleitenden Auflagen ist für viele Gewerbe das Erheben der Kontaktdaten von Kunden bzw. Gästen. Da es sich dabei um personenbezogene Daten handelt, greift das Datenschutzrecht. Wie also können Unternehmen DSGVO-konform Kontaktdaten zur Verfolgung von Infektionsketten erheben und aufbewahren? Eine Anleitung mit praktischen Vorlagen.

Juristischer Hintergrund

Bei den Lockerungen der Corona-Beschränkungen setzen die einzelnen Bundesländer unterschiedliche Schwerpunkte. Das liegt daran, dass der Bund die Verantwortung für die Lockerung von Corona-Schutzmaßnahmen seit dem 6. Mai 2020 weitgehend den Ländern überlassen hat.

Die Beschlüsse der Runde von Bundeskanzlerin und Ministerpräsidenten dienen der Koordination und sind daher rechtlich nicht bindend, enthalten jedoch Leitaussagen für die Regelungen auf Länderebene. Die Länder berufen sich regelmäßig auf das Infektionsschutzgesetz (IfSG) als rechtliche Grundlage für die verhängten Maßnahmen. Verordnungen und Allgemeinverfügungen der Bundesländer richten sich direkt an die Bürger und sind, solange sie nicht zurückgenommen oder aufgehoben wurden, vollziehbar und einzuhalten (dieser Beitrag beschäftigt sich nicht damit, inwieweit das Vorgehen und die beschlossenen Maßnahmen der Länder gerechtfertigt sind).

Datenschutzkonformer Umgang mit Kontaktdaten

Zusätzlich zu Maßnahmen zu Kontaktbeschränkungen, Maskenpflicht und Hygiene ist es in manchen Ländern verpflichtend, dass Unternehmen mit direktem Kundenkontakt die Kontaktdaten der Kunden und Gäste erheben. In anderen Ländern werden solche Maßnahmen wiederum nur empfohlen.

Auch wenn sich die Regelungen der einzelnen Bundesländer teils erheblich unterscheiden, sind die datenschutzrechtlichen Rahmenbedingung im Umgang mit Kontaktdaten immer die gleichen. Insbesondere müssen die Datenschutzgrundsätze in Art. 5 der EU-Datenschutz-Grundverordnung (DSGVO) eingehalten werden.

Zweck und Rechtgrundlage für die Verarbeitung von Kontaktdaten

Sofern in Ihrem Bundesland per Verordnung oder Allgemeinverfügung verlangt wird, die Kontaktdaten Ihrer Kunden und Gäste aufzunehmen, ist diese Datenverarbeitung erforderlich, um einer rechtlichen Verpflichtung nachzukommen (Art. 6 Abs. 1 lit. c) DSGVO).

Sofern aber in Ihrem Bundesland oder für Ihre Branche nur eine Empfehlung ausgesprochen wurde, Kontaktdaten zu erheben, können Sie sich darauf beruhen, dass die Datenverarbeitung zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) DSGVO) erforderlich ist. Die DSGVO erwähnt insbesondere die Überwachung einer Pandemie als ein lebenswichtiges Interesse (Erwägungsgrund 46 DSGVO).

Sollten Sie sich nicht sicher sein, ob in Ihrem Bundesland eine Verpflichtung oder eine Empfehlung ausgesprochen wurde, oder wenn Sie länderübergreifend tätig sind, empfehlen wir die Verarbeitung auf die Rechtsgrundlage Art. 6 Abs. 1 lit. d) zu stützen.

Achtung: Bitte beachten Sie in all den genannten Fällen, dass Sie die Daten, die zu den oben genannten Zwecken erhoben wurden, nicht für andere Zwecke verwenden dürfen!

Aufbewahrungsfristen für die erhobenen Kontaktdaten

Die verschiedenen Rechtsakte der Länder und auch Branchenempfehlungen enthalten unterschiedliche Aufbewahrungsfristen, welche zwischen vier und sechs Wochen variieren. Länger sollten Sie die Daten keinesfalls aufbewahren, da für eine längere Aufbewahrung keine Notwendigkeit besteht. Sortieren Sie die Informationen demnach nach dem Datum der Erhebung.

Weitergabe der erhobenen Daten an Dritte

Ein Melderecht an das Gesundheitsamt besteht nur, wenn die zuständige Behörde um Auskunft ersucht (§ 16 Abs. 2 S. 3 IfSG). Es ist zu bezweifeln, dass sich aus dem Infektionsschutzgesetz eine Meldepflicht für Restaurants, Biergärten, Friseure, etc. ableiten lässt.

Jegliche andere Weitergabe an Dritte hat zu unterbleiben!

Datensicherheit bei den erhobenen Daten

Um insbesondere die Vertraulichkeit zu wahren, sollten für die Erhebung der Kontaktdaten keine Listen verwendet werden, sondern die Daten für jeden Kunden bzw. Gast jeweils auf einem separaten Blatt aufgenommen werden. Eine offen zugängliche Liste, in die sich nacheinander die Kunden und Gäste selbst eintragen, ist nicht zulässig.

Die Daten sollten zudem sicher aufbewahrt werden, so dass ein Zugriff unbefugter Personen ausgeschlossen ist. Verarbeiten Sie die Daten elektronisch, müssen Sie auch hier gewährleisten, dass ein unbefugter Zugriff ausgeschlossen ist. Nach Ablauf der Aufbewahrungsfristen sollten die Daten unwiderruflich gelöscht bzw. geschreddert werden (sieh auch unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Informationspflichten bei der Datenerhebung

Ferner müssen Kunden und Gäste bereits bei der Erhebung über ihre Datenschutz- bzw. Betroffenenrechte informiert werden. Diese Informationen müssen leicht verständlich und leicht zugänglich sein. Hängen Sie die Informationspflichten gut auffindbar in Ihren Räumlichkeiten auf. Alternativ können Sie die Informationen auch auf Ihrer Website veröffentlichen. Sofern Sie die Daten elektronisch erheben (z.B. bei einer Online-Reservierung), müssen Sie die bereits vorhandene Datenschutzerklärung um diese besondere Verarbeitung erweitern.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.