Hinweise zur Erfassung von Kundenkontaktdaten zwecks Rückverfolgbarkeit von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2


29.03.2021

In Zusammenhang mit der Coronakrise ist die Kontaktdatenerfassung von großem Interesse, um Infektionsketten aufzudecken und zu unterbrechen. Mit der zunehmenden Öffnung des Alltagslebens wird dies immer wichtiger.

Inwieweit die Kontaktdatenerfassung im Bereich der Wirtschaft datenschutzrechtlich erlaubt ist, richtet sich nach den verschiedenen Wirtschaftsbranchen.

Sofern die Erfassung nach einer gesetzlichen Vorgabe oder aufgrund einer behördlichen Anordnung erforderlich ist, ist sie zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung zulässig. Eines separaten Einverständnisses der betroffenen Person nach Art. 6 Abs. 1 Satz 1 Buchstabe a), Art. 7 DS-GVO bedarf es dann nicht mehr.

Maßgeblich hierfür ist die in NRW geltende Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2 (Coronaschutzverordnung –CoronaSchVO), die für bestimmte Wirtschaftsbereiche – zum Beispiel für das Handwerks- und Dienstleistungsgewerbe – die Führung entsprechender Listen vorschreibt. Die CoronaSchVO NRW wird von der Landesregierung laufend angepasst und sie enthält für eine Vielzahl von Lebensbereichen spezielle Regelungen. Die nachfolgende Information kann daher keinen Gesamtüberblick geben, sondern wählt die wichtigsten Bereiche aus. Es wird daher unbedingt der Blick in die CoronaSchVO und ihre Anlage (elektronisches Landesrecht SGV. NRW. 2126) empfohlen.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die CoronaSchVO in § 4a Abs. 1 S. 1 in Verbindung mit § 4a Abs. 2 (sogenannte einfache Rückverfolgbarkeit) eine papiergebundene Erfassung der Kontaktdaten Name, Adresse und Telefonnummersowie des Zeitraums des Aufenthalts bzw. des Zeitpunkts von An- und Abreise vor. Zusätzlich hierzu können die Verantwortlichen auch eine digitale Datenerfassung anbieten (§ 4a Abs. 4 CoronaSchVO). Personen, die in eine digitale Datenerfassung nicht einwilligen, ist in jedem Fall eine nur papiergebundene Datenerfassung anzubieten.

Sofern die CoronaSchVO in einzelnen Vorschriften die sog. besondere Rückverfolgbarkeit nach § 4a Abs. 1 S. 2 in Verbindung mit § 4a Abs. 3 § 2a Abs. 2 CoronaSchVO vorschreibt, hat der Verantwortliche zusätzlich zu den oben genannten Datengruppen einen Sitzplan zu erstellen, über den erfasst wird, welche anwesende Person wo gesessen hat. Auch dieser ist nur vier Wochen aufzubewahren.

Zu dem zum 01.10.2020 eingeführten Bußgeldtatbestand bei unrichtiger Angabe der Kontaktdaten (§ 18 Abs. 2 Nr. 3 in Verbindung mit §§ 4a Abs. 1, 13 Abs. 5 Satz 3 CoronaSchVO) ist aus datenschutzrechtlicher Sicht anzumerken:

Die Pflicht zur Überprüfung der Richtigkeit der Kontaktdaten wird nicht ausdrücklich den einzelnen Verantwortlichen (z. B. Friseur- und Restaurantbetriebe) auferlegt. Vielmehr obliegt es den örtlichen Ordnungsbehörden, Gesundheitsämtern und der Polizei, die Kontaktdaten durch Vorlage des Personalausweises in Stichproben zu überprüfen. Die einzelnen Verantwortlichen sind daher nicht berechtigt, sich den Personalausweis vorlegen zu lassen. Dies dürfen nur die für die Umsetzung des Infektionsschutzgesetzes zuständigen Behörden.

Im Interesse eines effektiven Infektionsschutzes sollte der Verantwortliche jedoch die Listen zwischendurch auf offensichtliche Falscheintragungen – wie z. B. Phantasienamen, Namen von Comicfiguren – sichten und die Kundinnen und Kunden gezielt auf eine Korrektur ansprechen.

Auf diese grundsätzliche Regelung verweist die Landesregierung für die einzelnen Lebens- und Wirtschaftsbereiche entweder in der jeweiligen Regelung oder in der speziellen Anlage zur CoronaSchVO. Nachfolgend einige ausgewählte Wirtschaftsbereiche:

Gastronomie

Die CoronaSchVO erlaubt unter bestimmten Voraussetzungen derzeit lediglich den Betrieb von Betriebskantinen und Mensen in Bildungseinrichtungen.

Die Erfassung der Kontaktdaten und der Umgang mit diesen im Bereich der Gastronomie stützt sich unabhängig von aktuell geschlossenen Betrieben grundsätzlich auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 14 Abs. 1, 4a CoronaSchVO.

Handwerks- und Dienstleistungsgewerbe

Sofern die Tätigkeit bestimmter Handelsgeschäfte, Handwerksleistungen und weiterer Dienstleistungen (zum Beispiel Reinigung, Waschsalons, Kfz-Werkstätten, Fahrradwerkstätten, Autovermietung) nach der CoronaSchVO zulässig ist, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 12 Abs. 1, 4a CoronaSchVO.

Handel

Soweit der Zutritt zu den in § 11 Abs. 1 CoronaSchVO genannten Einrichtungen des Handels (z. B. des Einzelhandels für Lebensmittel, Apotheken, Tankstellen, Banken, Futtermittelmärkte, Blumengeschäfte) auch weiterhin ohne Erfassung der Kundenkontaktdaten der Kundschaft nach der CoronaSchVO möglich ist bzw. weitere Verkaufsstellen des Einzelhandels sowie Einrichtungen zu Vertrieb von Reiseleistungen unter bestimmten Voraussetzungen Terminshopping (Click & Meet) anbieten dürfen, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 11 Abs. 1 und Abs. 3, 4a CoronaSchVO.

Freizeit- und Vergnügungsstätten

Sofern der Betrieb von Zoologischen Gärten und Tierparks usw. mit vorheriger Terminbuchung und bei sichergestellter einfacher Rückverfolgbarkeit nach der CoronaSchVO zulässig ist, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 10 Abs. 3, 4a CoronaSchVO.

Kultur

Soweit der Betrieb von Museen, Kunstausstellungen, Galerien, Schlössern, Burgen, Gedenkstätten und ähnlichen Einrichtungen mit vorheriger Terminbuchung und bei sichergestellter Rückverfolgbarkeit nach der CoronaSchVO zulässig ist, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 8 Abs. 4, 4a CoronaSchVO.


Auslage der Listen zur Nachverfolgung von Personenkontakten

Die Listen zur Nachverfolgung von Personenkontakten dürfen nicht für jedermann frei zugänglich ausgelegt oder einsichtig sein. Die Daten sind vor dem Zugriff Unbefugter zu sichern.

Listen oder Auszüge aus Listen sollten ausschließlich bei schriftlicher Aufforderung zum Beispiel durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Der Verantwortliche muss jede Aufforderung zur Übermittlung und die Übermittlung selbst dokumentieren, um der Rechenschaftspflicht gegenüber der Datenschutzaufsicht nachzukommen (welche Liste wurde an wen wann wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden.

Die Listen sind so aufzubewahren, dass auf der einen Seite eine unbefugte Kenntnisnahme oder nachträgliche Veränderung ausgeschlossen wird. Auf der anderen Seite ist aber auch eine vorzeitige Vernichtung auszuschließen. Welche technischen und organisatorischen Maßnahmen zur Sicherstellung geeignet und angemessen sind, ist im Einzelfall zu prüfen. Beispielsweise können die Tageslisten in einem gekennzeichneten verschlossenen Umschlag verwahrt werden, mehrere Umschläge eines Tages nummeriert werden sowie die Aufbewahrung der Umschläge an einem sicheren Ort, jedenfalls außerhalb des direkten Zugriffs von Kunden und Mitarbeitern, erfolgen. Nach Ablauf der Aufbewahrungsfrist sind sie datenschutzkonform zu vernichten. Hinweise zur Auswahl technischer Systeme zur Vernichtung von Datenträgern können etwa den technischen Normen DIN 66399-1 und DIN 66399-2 „Vernichten von Datenträgern“ entnommen werden. Für das Löschen personenbezogener Daten sind Maßnahmen der Sicherheitsstufe 4 oder höher dieser Norm geeignet. Üblicherweise wird beim Kauf eines Aktenvernichters hierüber informiert. Ein Zerreißen der Listen von Hand ist nicht ausreichend.

Zweckbindung, Datenminimierung und Informationspflichten

Auch ist die Erlaubnis der Datenverarbeitung auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (Grundsatz der Zweckbindung – Art. 5 Abs. 1 Buchstabe  b DS-GVO), so dass die Daten im Bedarfsfall nur für die Nachverfolgung von Infektionsketten genutzt werden dürfen. Sie dürfen hingegen nicht für Werbung oder Newsletterdienste genutzt werden.

Weiter sind die Datenerfassung, deren Verarbeitungsschritte und die Speicherzeiträume nur in dem Maße zulässig, wie es zur Erfüllung der gesetzlichen Pflichten erforderlich ist (Grundsatz der Datenminimierung – Art. 5 Abs. 1 Buchstabe c DS-GVO).

Weiterhin muss die Kundschaft bei Erhebung der Daten über die Datenverarbeitung transparent und verständlich nach Art. 13, 14 DS-GVO informiert werden. Hierzu zählt eine notwendige Erläuterung zum Verwendungszeck der Datenverarbeitung (Nachverfolgung von Infektionsketten).

Hier finden Sie Musterformulare

 

 

 

 

zurück zur Übersicht