Hinweise zur Erfassung von Kundenkontaktdaten zwecks Rückverfolgbarkeit von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2


12.07.2021

In Zusammenhang mit der Coronakrise ist die Kontaktdatenerfassung von großem Interesse, um Infektionsketten aufzudecken und zu unterbrechen. Mit der zunehmenden Öffnung des Alltagslebens wird dies immer wichtiger.

Inwieweit die Kontaktdatenerfassung im Bereich der Wirtschaft datenschutzrechtlich erlaubt ist, richtet sich nach den verschiedenen Wirtschaftsbranchen.

Sofern die Erfassung nach einer gesetzlichen Vorgabe oder aufgrund einer behördlichen Anordnung erforderlich ist, ist sie zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung zulässig. Eines separaten Einverständnisses der betroffenen Person nach Art. 6 Abs. 1 Satz 1 Buchstabe a), Art. 7 DS-GVO bedarf es dann nicht mehr.

Maßgeblich hierfür ist die in NRW geltende Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2 (Coronaschutzverordnung –CoronaSchVO), die für bestimmte Wirtschaftsbereiche – zum Beispiel für das Handwerks- und Dienstleistungsgewerbe – die Führung entsprechender Listen vorschreibt. Die CoronaSchVO NRW wird von der Landesregierung laufend angepasst und sie enthält für eine Vielzahl von Lebensbereichen spezielle Regelungen. Die nachfolgende Information kann daher keinen Gesamtüberblick geben, sondern wählt die wichtigsten Bereiche aus. Es wird daher unbedingt der Blick in die CoronaSchVO und ihre Anlage (elektronisches Landesrecht SGV. NRW. 2126) empfohlen.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die CoronaSchVO in § 8 Abs. 1 S. 1 in Verbindung mit § 8 Abs. 3 (sogenannte einfache Rückverfolgbarkeit) eine digitale oder schriftliche Erfassung der Kontaktdaten Name, Adresse und Telefonnummer oder E-Mail-Adresse sowie des Zeitraums des Aufenthalts bzw. des Zeitpunkts von An- und Abreise vor. Anwesende Personen, die nicht über die erforderliche technische Ausrüstung für eine angebotene digitale Datenerfassung verfügen, sind von der verantwortlichen Person kostenfrei unter Zurverfügungstellung eigener technischer Ausrüstung oder papiergebunden zu erfassen. Die Daten sind für vier Wochen aufzubewahren.

Sofern die CoronaSchVO in einzelnen Vorschriften die sog. besondere Rückverfolgbarkeit nach § 8 Abs. 2 S. 1 in Verbindung mit § 8 Abs. 4 CoronaSchVO vorschreibt, hat der Verantwortliche zusätzlich zu den oben genannten Datengruppen einen Sitzplan zu erstellen, über den erfasst wird, welche anwesende Person wo gesessen hat. Auch dieser ist nur vier Wochen aufzubewahren.

In Kreisen und kreisfreien Städten der Inzidenzstufe 0 entfallen die Verpflich-tungen zur einfachen und besonderen Rückverfolgbarkeit (Kontaktdatenerfas-sung) nach § 8 Abs. 3 Satz 1 Nr. 1, 2, 5 und 7 bis 10 sowie nach Abs. 4 in Ver-bindung mit § 1 Abs. 4.

Zu dem zum 01.10.2020 eingeführten Bußgeldtatbestand bei unrichtiger Angabe der Kontaktdaten (§§ 8 Abs. 1, 11, 13, 18 CoronaSchVO) ist aus datenschutzrechtlicher Sicht anzumerken:

Die Pflicht zur Überprüfung der Richtigkeit der Kontaktdaten wird nicht ausdrücklich den einzelnen Verantwortlichen (z. B. Friseur- und Restaurantbetriebe) auferlegt. Vielmehr obliegt es den örtlichen Ordnungsbehörden, Gesundheitsämtern und der Polizei, die Kontaktdaten durch Vorlage des Personalausweises in Stichproben zu überprüfen. Die einzelnen Verantwortlichen sind daher nicht berechtigt, sich den Personalausweis vorlegen zu lassen. Dies dürfen nur die für die Umsetzung des Infektionsschutzgesetzes zuständigen Behörden.

Im Interesse eines effektiven Infektionsschutzes sollte der Verantwortliche jedoch die Listen zwischendurch auf offensichtliche Falscheintragungen – wie z. B. Phantasienamen, Namen von Comicfiguren – sichten und die Kundinnen und Kunden gezielt auf eine Korrektur ansprechen.

Auf diese grundsätzliche Regelung verweist die Landesregierung für die einzelnen Lebens- und Wirtschaftsbereiche  in der jeweiligen Regelung der CoronaSchVO. Nachfolgend einige ausgewählte Wirtschaftsbereiche:

Gastronomie

Sofern der Betrieb von Restaurants, Gaststätten, Imbissen, Kneipen, Cafés, Kantinen, Mensen und anderen gastronomischen Einrichtungen und der Betrieb von Betriebskantinen und Mensen in Bildungseinrichtungen nach der CoronaSchVO zulässigund eine Kontaktdatenerfassung erforderlich ist, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen im Bereich der Gastronomie auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 19 Abs. 1, 8 CoronaSchVO.

Handwerks- und Dienstleistungsgewerbe

Sofern die Tätigkeit bestimmter Handelsgeschäfte, Handwerksleistungen und weiterer Dienstleistungen (insbesondere Friseurleistungen, Gesichtsbehandlung, Kosmetik, Fußpflege, Nagelstudios, Maniküre, Massage, Tätowieren und Piercen) nach der CoronaSchVO zulässig und eine Kontaktdatenerfassung erforderlich ist, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 17 Abs. 1, 8 CoronaSchVO

Freizeit- und Vergnügungsstätten

Sofern der Betrieb von Schwimm- und Spaßbädern, Saunen, Thermen und ähnlichen Einrichtungen, Zoologischen Gärten und Tierparks, Freizeitparks, Indoor-Spielpätzen nach der CoronaSchVO zulässigund eine Kontaktdatenerfassung erforderlich  ist, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 15 Abs. 1, 8 CoronaSchVO.

Kultur

Soweit der Betrieb von Museen, Kunstausstellungen, Galerien, Schlössern, Burgen, Gedenkstätten, Bibliotheken und ähnlichen Einrichtungen (Kultureinrichtungen) sowie Konzerte und Aufführungen in und von Theatern, Opern- und Konzerthäusern, Kinos, und anderen öffentlichen und privaten Einrichtungen (Kulturveranstaltungen) nach der CoronaSchVO zulässig und eine Kontaktdatenerfassung erforderlich ist, stützen sich die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen auf Art. 6 Absatz 1 Satz 1 Buchstabe c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 13 Abs. 1, 8 CoronaSchVO.

Auslage der Listen zur Nachverfolgung von Personenkontakten/digitale Kontaktdatenerfassung

Sofern keine digitale Datenerfassung angeboten wird, dürfen die Listen zur Nachverfolgung von Personenkontakten nicht für jedermann frei zugänglich ausgelegt oder einsichtig sein. Die Daten sind vor dem Zugriff Unbefugter zu sichern und nach Ablauf von vier Wochen vollständig datenschutzkonform zu vernichten. Erfolgt die Datenerfassung digital, sind dabei sämtliche Vorgaben des Datenschutzes, insbesondere zur Fremdspeicherung von Daten, und die vollständige datenschutzkonforme Lösung der Daten nach vier Wochen in eigener Verantwortung sicherzustellen.

Listen oder Auszüge aus Listen sollten ausschließlich bei schriftlicher Aufforderung zum Beispiel durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Der Verantwortliche muss jede Aufforderung zur Übermittlung und die Übermittlung selbst dokumentieren, um der Rechenschaftspflicht gegenüber der Datenschutzaufsicht nachzukommen (welche Liste wurde an wen wann wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden.

Die Listen sind so aufzubewahren, dass auf der einen Seite eine unbefugte Kenntnisnahme oder nachträgliche Veränderung ausgeschlossen wird. Auf der anderen Seite ist aber auch eine vorzeitige Vernichtung auszuschließen. Welche technischen und organisatorischen Maßnahmen zur Sicherstellung geeignet und angemessen sind, ist im Einzelfall zu prüfen. Beispielsweise können die Tageslisten in einem gekennzeichneten verschlossenen Umschlag verwahrt werden, mehrere Umschläge eines Tages nummeriert werden sowie die Aufbewahrung der Umschläge an einem sicheren Ort, jedenfalls außerhalb des direkten Zugriffs von Kunden und Mitarbeitern, erfolgen. Nach Ablauf der Aufbewahrungsfrist sind sie datenschutzkonform zu vernichten. Hinweise zur Auswahl technischer Systeme zur Vernichtung von Datenträgern können etwa den technischen Normen DIN 66399-1 und DIN 66399-2 „Vernichten von Datenträgern“ entnommen werden. Für das Löschen personenbezogener Daten sind Maßnahmen der Sicherheitsstufe 4 oder höher dieser Norm geeignet. Üblicherweise wird beim Kauf eines Aktenvernichters hierüber informiert. Ein Zerreißen der Listen von Hand ist nicht ausreichend.

Zweckbindung, Datenminimierung und Informationspflichten

Auch ist die Erlaubnis der Datenverarbeitung auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (Grundsatz der Zweckbindung – Art. 5 Abs. 1 Buchstabe  b DS-GVO), so dass die Daten im Bedarfsfall nur für die Nachverfolgung von Infektionsketten genutzt werden dürfen. Sie dürfen hingegen nicht für Werbung oder Newsletterdienste genutzt werden.

Weiter sind die Datenerfassung, deren Verarbeitungsschritte und die Speicherzeiträume nur in dem Maße zulässig, wie es zur Erfüllung der gesetzlichen Pflichten erforderlich ist (Grundsatz der Datenminimierung – Art. 5 Abs. 1 Buchstabe c DS-GVO).

Weiterhin muss die Kundschaft bei Erhebung der Daten über die Datenverarbeitung transparent und verständlich nach Art. 13, 14 DS-GVO informiert werden. Hierzu zählt eine notwendige Erläuterung zum Verwendungszeck der Datenverarbeitung (Nachverfolgung von Infektionsketten).

Hier finden Sie Musterformulare

 

 

 

 

zurück zur Übersicht