Das neue Infektionsschutzgesetz (IfSG) soll die in der Corona-Pandemie verhängten Auflagen wie Kontaktbeschränkungen und Betriebsverbote juristisch absichern. Neu geregelt wird auch die für viele Gewerbe bereits geltende Pflicht zur Erhebung der Kontaktdaten von Kunden bzw. Gästen. Da es sich dabei um personenbezogene Daten handelt, greift das Datenschutzrecht. Wie also können Unternehmen DSGVO-konform Kontaktdaten zur Verfolgung von Infektionsketten erheben und aufbewahren? Eine Anleitung mit praktischen Vorlagen.
Update, November 2020: Mit der Verabschiedung des neuen Infektionsschutzgesetzes (IfSG) im Eilverfahren finden auch neue Regelungen zur Erhebung personenbezogener Daten ihren Eingang in das IfSG. Wir haben deshalb diesen Artikel entsprechend angepasst. Unsere Analyse des neuen Gesetzes beschränkt sich dabei auf die Auswirkungen auf den Datenschutz.
Das neue Infektionsschutzgesetz
Neben der Anpassung und Ergänzung einzelner Paragraphen wurde mit einem neuen § 28a IfSG eine Liste an besonderen Schutzmaßnahmen beschlossen, die für die Dauer der Feststellung einer epidemischen Lage von nationaler Tragweite durch den Deutschen Bundestag zur Verhinderung der Verbreitung von COVID-19 angeordnet werden können. § 28a Abs. 1 Nr. 17 besagt:
Anordnung der Verarbeitung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern, um nach Auftreten einer Infektion mit dem Coronavirus SARS-CoV-2 mögliche Infektionsketten nachverfolgen und unterbrechen zu können.
Diese Vorschrift stellt eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c) DSGVO dar und kann daher die Rechtmäßigkeit der Verarbeitung der gegenständlichen personenbezogenen Daten begründen.
Der neue § 28a IfSG belässt es aber nicht dabei, sondern konkretisiert und erläutert in einem eigenen Absatz 4, wie die Erhebung und Verarbeitung der Kontaktdaten stattzufinden hat:
- Es dürfen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist, erhoben und verarbeitet werden.
- Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist.
- Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden und sind vier Wochen nach Erhebung zu löschen.
- Die zuständigen Stellen sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung erforderlich ist. Die Verantwortlichen sind in diesen Fällen verpflichtet, den zuständigen Stellen die erhobenen Daten zu übermitteln.
- Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. Die den zuständigen Stellen übermittelten Daten sind von diesen unverzüglich irreversibel zu löschen, sobald die Daten für die Kontaktnachverfolgung nicht mehr benötigt werden.
Es werden den für die Erhebung Verantwortlichen klare Vorgaben gemacht, was erhoben werden darf, wie mit den Daten umzugehen ist, vor allem an wen sie weitergegeben werden dürfen und wann sie zu löschen sind. Damit werden nicht nur aktuelle Empfehlungen zum Umgang mit Kontaktdaten bestätigt, sondern auch neue Klarstellungen getroffen.
Datenschutzkonformer Umgang mit Kontaktdaten
Zusätzlich zu Maßnahmen zu Kontaktbeschränkungen, Maskenpflicht und Hygiene ist es in manchen Ländern verpflichtend, dass Unternehmen mit direktem Kundenkontakt die Kontaktdaten der Kunden und Gäste erheben. In anderen Ländern werden solche Maßnahmen wiederum nur empfohlen.
Auch wenn sich die Regelungen der einzelnen Bundesländer teils erheblich unterscheiden, sind die datenschutzrechtlichen Rahmenbedingung im Umgang mit Kontaktdaten immer die gleichen. Insbesondere müssen die Datenschutzgrundsätze in Art. 5 der EU-Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Daran ändert sich auch durch das neue Infektionsschutzgesetz nicht. Die Maßnahmen sind immer noch an regionale Erfordernisse gebunden und die DSGVO als europarechtliche Verordnung ist immer zu beachten.
Zweck und Rechtgrundlage für die Verarbeitung von Kontaktdaten
Sofern in Ihrem Bundesland per Verordnung oder Allgemeinverfügung verlangt wird, die Kontaktdaten Ihrer Kunden und Gäste aufzunehmen, ist diese Datenverarbeitung erforderlich, um einer rechtlichen Verpflichtung nachzukommen (Art. 6 Abs. 1 lit. c) DSGVO). Diese rechtliche Verpflichtung kann sich nun auch aus dem neuen § 28a IfSG ergeben (siehe oben).
Sofern aber in Ihrer Region oder für Ihre Branche nur eine Empfehlung ausgesprochen wurde, Kontaktdaten zu erheben, können Sie sich darauf berufen, dass die Datenverarbeitung zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) DSGVO) erforderlich ist. Die DSGVO erwähnt insbesondere die Überwachung einer Pandemie als ein lebenswichtiges Interesse (Erwägungsgrund 46 DSGVO).
Sollten Sie sich nicht sicher sein, ob in Ihrer Region eine Verpflichtung oder eine Empfehlung ausgesprochen wurde, oder wenn Sie überregional tätig sind, empfehlen wir die Verarbeitung auf die Rechtsgrundlage Art. 6 Abs. 1 lit. d) zu stützen.
Achtung: Bitte beachten Sie in all den genannten Fällen, dass Sie die Daten, die zu den oben genannten Zwecken erhoben wurden, nicht für andere Zwecke verwenden dürfen! Dies stellt das neue Infektionsschutzgesetz auch nochmal deutlich klar.
Aufbewahrungsfristen für die erhobenen Kontaktdaten
Das neue Infektionsschutzgesetzt sieht eine Aufbewahrungsfrist von 4 Wochen vor. Länger sollten Sie die Daten, auch wenn Sie sich auf eine andere Rechtsgrundlage stützen, keinesfalls aufbewahren, da für eine längere Aufbewahrung keine Notwendigkeit besteht. Sortieren Sie die Informationen demnach nach dem Datum der Erhebung.
Weitergabe der erhobenen Daten an Dritte
Die Daten dürfen nur auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen weitergegeben werden. Jegliche andere Weitergabe an Dritte hat zu unterbleiben!
Datensicherheit bei den erhobenen Daten
Zuständig für die Sicherheit ist ausdrücklich der Verantwortliche, der die Daten erhebt. Er hat dafür Sorge zu tragen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Das Infektionsschutzgesetz stellt dies ausdrücklich klar, ändert damit aber auch nichts an der bestehenden Rechtslage. Die Pflicht besteht schon aus der DSGVO heraus.
Sie sollten die Kontaktdaten für jeden Kunden bzw. Gast jeweils auf einem separaten Blatt aufnehmen. Eine offen zugängliche Liste, in die sich nacheinander die Kunden und Gäste selbst eintragen, ist nicht zulässig.
Die Daten sollten zudem sicher aufbewahrt werden, so dass ein Zugriff unbefugter Personen ausgeschlossen ist. Verarbeiten Sie die Daten elektronisch, müssen Sie auch hier gewährleisten, dass ein unbefugter Zugriff ausgeschlossen ist. Nach Ablauf der Aufbewahrungsfristen sollten die Daten unwiderruflich gelöscht bzw. geschreddert werden (sieh auch unsere Checkliste zur datenschutzkonformen Aktenvernichtung).
Informationspflichten bei der Datenerhebung
Ferner müssen Kunden und Gäste bereits bei der Erhebung über ihre Datenschutz- bzw. Betroffenenrechte informiert werden. Diese Informationen müssen leicht verständlich und leicht zugänglich sein. Hängen Sie die Informationspflichten gut auffindbar in Ihren Räumlichkeiten auf. Alternativ können Sie die Informationen auch auf Ihrer Website veröffentlichen. Sofern Sie die Daten elektronisch erheben (z.B. bei einer Online-Reservierung), müssen Sie die bereits vorhandene Datenschutzerklärung um diese besondere Verarbeitung erweitern.
Zur Verfolgung von Infektionsketten: Nutzen Sie unsere kostenlosen Vorlagen für ein Informationsschreiben und einen passenden Kontaktdatenerhebungsbogen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!