Hinweise zur Erfassung von Kundenkontaktdaten zwecks Rückverfolgbarkeit von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2

29.09.2021

Grundsatz der neuen ab 15. September 2021 in Nordrhein-Westfalen gültigen Coronaschutzverordnung ist, dass Geimpften, Genesenen und Getesteten grundsätzlich alle Einrichtungen und Angebote wieder offenstehen.

Eine generelle Pflicht zur Kontaktdatenerfassung zur Rückverfolgbarkeit von Perso-nen für bestimmte Wirtschaftsbereiche besteht nicht mehr. Jedoch können sich in bestimmten Bereichen aufgrund spezieller Verordnungen wie beispielsweise nach der CoronaFleischwirtschaftsVO weiterhin Kontaktnachverfolgungspflichten ergeben. Jedoch können sich in bestimmten Bereichen aufgrund spezieller Verordnungen wie beispielsweise nach der CoronaFleischwirtschaftsVO weiterhin Kontaktnachverfolgungspflichten ergeben.

Für die Dauer der epidemischen Lage von nationaler Tragweite kann die Verarbeitung von Kontaktdaten von Kunden, Gästen und Veranstaltungsteilnehmern zur Verhinderung der Verbreitung des Coronavirus ebenso nach § 28a Abs. 1 Nr. 17 in Verbindung mit § 28 Abs. 1 des Gesetzes zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (IfSG) durch die Städte und Gemeinden als örtliche Ordnungsbehörden gemäß § 6 Abs. 1 Infektionsschutz- und Befugnisgesetz (IfSBG-NRW) angeordnet werden.

Erhebung der Kontaktdaten/Kontaktlisten zur Nachverfolgung von Personenkontakten

Sofern die Erfassung der Kontaktdaten aufgrund einer solchen behördlichen Anordnung erforderlich ist, ist sie – wie bisher – zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung (DS-GVO) zulässig. Eines separaten Einverständnisses der betroffenen Person nach Art. 6 Abs. 1 Satz 1 Buchstabe a), Art. 7 DS-GVO bedarf es dann nicht mehr. § 28a Abs. 4 IfSG regelt, dass im Rahmen der Kontaktdatenerhebung nach § 28a Abs. 1 Nummer 17 IfSG von den Verantwortlichen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes erhoben und verarbeitet werden dürfen, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist.

Die Erhebung von vollständigem Namen, Adresse, Telefonnummer oder E-Mailadresse und Zeitraum und Ort des Aufenthaltes zum Zweck der Rückverfolgbarkeit von Infektionsketten kann auf Art. 6 Abs. 1 Satz 1 lit. c, Abs. 3 (DS-GVO) in Verbindung mit § 28a Abs. 1 Nr. 17 in Verbindung mit § 28 Abs. 1 IfSG gestützt werden.

Kontaktformulare/Kontaktlisten zur Nachverfolgung von Personenkontakten/digitale Kontaktdatenerfassung

Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Kontaktlisten/Kontaktformulare zur Nachverfolgung von Personenkontakten dürfen nicht für jedermann frei zugänglich ausgelegt oder einsichtig sein. Die Daten sind vor dem Zugriff Unbefugter zu sichern und vier Wochen nach Erhebung vollständig datenschutzkonform zu löschen.

Die Listen sind so aufzubewahren, dass auf der einen Seite eine unbefugte Kenntnisnahme oder nachträgliche Veränderung ausgeschlossen wird. Auf der anderen Seite ist aber auch eine vorzeitige Vernichtung auszuschließen. Welche technischen und organisatorischen Maßnahmen zur Sicherstellung geeignet und angemessen sind, ist im Einzelfall zu prüfen. Beispielsweise können die Tageslisten in einem gekennzeichneten verschlossenen Umschlag verwahrt werden, mehrere Umschläge eines Tages nummeriert werden sowie die Aufbewahrung der Umschläge an einem sicheren Ort, jedenfalls außerhalb des direkten Zugriffs von Kunden und Mitarbeitern, erfolgen. Nach Ablauf der Aufbewahrungsfrist sind sie datenschutzkonform zu vernichten. Hinweise zur Auswahl technischer Systeme zur Vernichtung von Datenträgern können etwa den technischen Normen DIN 66399-1 und DIN 66399-2 „Vernichten von Datenträgern“ entnommen werden. Für das Löschen personenbezogener Daten sind Maßnahmen der Sicherheitsstufe 4 oder höher dieser Norm geeignet. Üblicherweise wird beim Kauf eines Aktenvernichters hierüber informiert. Ein Zerreißen der Listen von Hand ist nicht ausreichend.

Die Coronaschutzverordnung NRW erwähnte bislang auch die digitale Erfassung der Kontaktdaten als Alternative ausdrücklich. Das ist im IfSG nicht der Fall, wird aber auch in diesem gesetzlichen Rahmen als zulässig erachtet, da der Bundesgesetzgeber eine digitale Erfassung nicht ausdrücklich ausschließt.

Zweckbindung, Datenminimierung und Informationspflichten

Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen (örtliche Ordnungsbehörden) verwendet werden und sind vier Wochen nach Erhebung vollständig datenschutzkonform zu löschen.

Erfolgt die Datenerfassung digital, sind dabei sämtliche Vorgaben des Datenschutzes, insbesondere zur Fremdspeicherung von Daten, und die vollständige datenschutzkonforme Lösung der Daten nach vier Wochen in eigener Verantwortung sicherzustellen.

Die örtlichen Ordnungsbehörden (Städte und Gemeinden) sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung nach § 25 Absatz 1 IfSG erforderlich ist. Die Verantwortlichen sind in diesen Fällen verpflichtet, diesen die erhobenen Daten zu übermitteln. Eine Weitergabe der übermittelten Daten durch die örtlichen Ordnungsbehörden oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. Die übermittelten Daten sind von diesen unverzüglich irreversibel zu löschen, sobald die Daten für die Kontaktnachverfolgung nicht mehr benötigt werden.

Der Verantwortliche muss jede Aufforderung zur Übermittlung und die Übermittlung selbst dokumentieren, um der Rechenschaftspflicht gegenüber der Datenschutzaufsicht nachzukommen (welche Liste wurde an wen wann und wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden.

Auch ist die Erlaubnis der Datenverarbeitung auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (Grundsatz der Zweckbindung – Art. 5 Abs. 1 Buchstabe  b DS-GVO), so dass die Daten im Bedarfsfall nur für die Nachverfolgung von Infektionsketten genutzt werden dürfen. Sie dürfen hingegen nicht für Werbung, Newsletterdienste oder private Kontaktaufnahme genutzt werden.

Weiter sind die Datenerfassung, deren Verarbeitungsschritte und die Speicherzeiträume nur in dem Maße zulässig, wie es zur Erfüllung der gesetzlichen Pflichten erforderlich ist (Grundsatz der Datenminimierung – Art. 5 Abs. 1 Buchstabe c DS-GVO).

Weiterhin müssen die von der Datenerhebung betroffenen Personen bei Erhebung der Daten über die Datenverarbeitung transparent und verständlich nach Art. 13, 14 DS-GVO informiert werden. Hierzu zählt eine notwendige Erläuterung zum Verwendungszeck der Datenverarbeitung (Nachverfolgung von Infektionsketten).

Hier finden Sie Musterformulare

zurück zur Übersicht