Hinweise zur Erfassung von Kundenkontaktdaten zwecks Rückverfolgbarkeit von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2

02.06.2020

 

In Zusammenhang mit der Coronakrise ist die Kontaktdatenerfassung in bestimmten Bereichen von großem Interesse, um Infektionsketten aufzudecken und zu unterbrechen. Mit der gestuften Öffnung des Alltagslebens wird dies immer wichtiger.

Inwieweit die Kontaktdatenerfassung im Bereich der Wirtschaft datenschutzrechtlich erlaubt ist, richtet sich nach den verschiedenen Wirtschaftsbranchen.

Sofern die Erfassung nach einer gesetzlichen Vorgabe oder aufgrund einer behördlichen Anordnung erforderlich ist, ist sie zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung zulässig.

Maßgeblich hierfür ist die in NRW geltende Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2 (Coronaschutzverordnung –CoronaSchVO NRW), die für bestimmte Wirtschaftsbereiche – zum Beispiel für das Handwerks- und Dienstleistungsgewerbe – die Führung entsprechender Listen vorschreibt. Die CoronaSchVO NRW wird von der Landesregierung laufend angepasst und sie enthält für eine Vielzahl von Lebensbereiche spezielle Regelungen. Die nachfolgende Information kann daher keinen Gesamtüberblick geben, sondern wählt die wichtigsten Bereiche aus. Es wird daher unbedingt der Blick in die CoronaSchVO und ihre Anlage (elektronisches Landesrecht SGV. NRW. 2126) empfohlen.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die CoronaSchVO NRW in § 2a eine papiergebundene Erfassung der Kontaktdaten Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise vor. Zusätzlich hierzu können die Verantwortlichen auch eine digitale Datenerfassung anbieten. Bei beiden Varianten sind die Kontaktdaten vier Wochen aufzubewahren und danach vollständig zu vernichten. Auch sind sie vor dem Zugriff Unbefugter zu sichern. Die Übermittlung an die für die Nachverfolgung zuständige Behörde erfolgt nur auf dortiges Verlangen.

Auf diese grundsätzliche Regelung verweist die Landesregierung für die einzelnen Lebens- und Wirtschaftsbereiche entweder in der jeweiligen Regelung oder in der speziellen Anlage zur CoronaSchVO NRW. Nachfolgend einige ausgewählte Wirtschaftsbereiche:

 

Gastronomie

Die CoronaSchVO NRW erlaubt unter bestimmten Voraussetzungen den Betrieb zum Beispiel von Restaurants, Gaststätten, Imbissen, (Eis-)Cafés, öffentlich zugänglichen Mensen und Kantinen u.a.

Die Erfassung der Kontaktdaten und der Umgang mit diesen im Bereich der Gastronomie stützt sich auf Art. 6 Absatz 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 14 Abs. 1, 2a CoronaSchVO NRW, Anlage Punkt I. Nr. 4.

Die Anlage zur CoronaSchVo NRW führt aus, dass auf jedem Tisch eine Liste ausgelegt werden soll und zwar für jede den Tisch nutzende Personengruppe. Hier ist sicherzustellen, dass mit jedem Gästewechsel an dem Tisch eine neue Blankoliste ausgelegt und die ausgefüllte Liste der vorherigen Gäste zu den Unterlagen des Gastronomiebetriebs genommen wird. Ein nur in regelmäßigen Intervallen vorgenommener Wechsel (z.B. täglich oder schichtweise) ist demgegenüber nicht ausreichend, um Vertraulichkeit und Integrität der personenbezogenen Daten sicherzustellen.

 

Handwerks- und Dienstleistungsgewerbe

Die CoronaSchVO NRW erlaubt auch die Tätigkeit bestimmter Handelsgeschäfte, Handwerksleistungen und weiterer Dienstleistungen (zum Beispiel Beherbergungsbetriebe, Ferienwohnungen, Ferienhäuser und Campingplätze, Friseure, Fußpflege, Kosmetik, Nagelstudios, Maniküre, Massage, Fitnessstudios, Fahrten in Reisebussen u.v.m.).

Die Erfassung der Kontaktdaten und der Umgang mit diesen in den genannten Bereichen stützt sich auf Art. 6 Absatz 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung in Verbindung mit §§ 12 Abs. 1 und 2, 15, 2a CoronaSchVO NRW in Verbindung mit Anlage Punkt II Nr. 3, Punkt IIa Nr. 3, Punkt III. Nr. 1, Punkt IV. Nr. 1, Punkt V. Nr. 1, Punkt VI. Nr. 1, Punkt VII Nr. 1, Punkt IX Nr. 6.

 

Auslage der Listen zur Nachverfolgung von Personenkontakten

Die Listen zur Nachverfolgung von Personenkontakten dürfen nicht für jedermann frei zugänglich ausgelegt oder einsichtig sein. Die Daten sind vor dem Zugriff Unbefugter zu sichern.

Listen oder Auszüge aus Listen sollten ausschließlich bei schriftlicher Aufforderung zum Beispiel durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Der Verantwortliche muss jede Aufforderung zur Übermittlung und die Übermittlung selbst dokumentieren, um der Rechenschaftspflicht gegenüber der Datenschutzaufsicht nachzukommen (welche Liste wurde an wen wann wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden.

Die Listen sind so aufzubewahren, dass auf der einen Seite eine unbefugte Kenntnisnahme oder nachträgliche Veränderung ausgeschlossen wird. Auf der anderen Seite ist aber auch eine vorzeitige Vernichtung auszuschließen. Welche technischen und organisatorischen Maßnahmen zur Sicherstellung geeignet und angemessen sind, ist im Einzelfall zu prüfen. Beispielsweise können die Tageslisten in einem gekennzeichneten verschlossenen Umschlag verwahrt werden, mehrere Umschläge eines Tages nummeriert werden sowie die Aufbewahrung der Umschläge an einem sicheren Ort, jedenfalls außerhalb des direkten Zugriffs von Kunden und Mitarbeitern, erfolgen. Nach Ablauf der Aufbewahrungsfrist sind sie datenschutzkonform zu vernichten. Hinweise zur Auswahl technischer Systeme zur Vernichtung von Datenträgern können etwa den technischen Normen DIN 66399-1 und DIN 66399-2 „Vernichten von Datenträgern“ entnommen werden. Für das Löschen personenbezogener Daten sind Maßnahmen der Sicherheitsstufe 4 oder höher dieser Norm geeignet. Üblicherweise wird beim Kauf eines Aktenvernichters hierüber informiert. Ein Zerreißen der Listen von Hand ist nicht ausreichend.

 

Zweckbindung, Datenminimierung und Informationspflichten

Auch ist die Erlaubnis der Datenverarbeitung auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (Grundsatz der Zweckbindung – Art. 5 Abs. 1 lit. b DS-GVO), so dass die Daten im Bedarfsfall nur für die Nachverfolgung von Infektionsketten genutzt werden dürfen. Sie dürfen hingegen nicht für Werbung oder Newsletterdienste genutzt werden.

Weiter sind die Datenerfassung, deren Verarbeitungsschritte und die Speicherzeiträume nur in dem Maße zulässig, wie es zur Erfüllung der gesetzlichen Pflichten erforderlich ist (Grundsatz der Datenminimierung – Art. 5 Abs. 1 lit. c DS-GVO).

Weiterhin muss die Kundschaft bei Erhebung der Daten über die Datenverarbeitung transparent und verständlich nach Art. 13, 14 DS-GVO informiert werden. Hierzu zählt eine notwendige Erläuterung zum Verwendungszeck der Datenverarbeitung (Nachverfolgung von Infektionsketten).

 

Weiterführende Informationen zu den Informationspflichten nach der DS-GVO sind hier abrufbar – unter Anpassung der landesrechtlichen Rechtsgrundlage und der Speicherdauer von vier Wochen. Allgemeine Informationen der LDI NRW finden sich hier.

 

 

 

zurück zur Übersicht