Die jüngst in vielen Bundesländern erlassenen Corona-Verordnungen sehen vor, dass Verantwortliche zur Nachverfolgung etwaiger Infektionsketten bestimmte Informationen über Kunden, Gäste oder Besucher speichern und auf Anfrage den Behörden zur Verfügung stellen müssen. Ziel der Verordnungen ist eine Nachverfolgung von Infektionsketten durch die Gesundheitsämter. Der folgende Beitrag zeigt auf, welche datenschutzrechtlichen Pflichten hierbei regelmäßig zu beachten sind.
Kontaktliste

Regelmäßige Infos zur DSGVO erhalten

Verpassen Sie keine Informationen zur DSGVO. Rechtlich durch Anwälte eingeordnet, mit konkreten Handlungsempfehlungen für die Praxis. Dazu gibt es unser umfangreiches Whitepaper zur DSGVO. Hier direkt anmelden:

Vorgaben der Länder

In bestimmten Lebensbereichen (insbesondere der Gastronomie) werden Verantwortliche dazu verpflichtet, die Kontaktdaten von Kunden, Gästen oder Besuchern zu speichern und diese nach Aufforderung durch eine Behörde vorzulegen.

So regelt etwa die Hamburgische Eindämmungs-Verordnung in § 13 Absatz 4 Nr. 7 für den Betrieb von Gaststätten, dass die Betriebsinhaberin oder der Betriebsinhaber zum Zweck der Nachverfolgung von Infektionsketten die Kontaktdaten der Gäste unter Angabe des Datums erfasst, die Aufzeichnungen vier Wochen aufbewahrt und der zuständigen Behörde auf Verlangen vorlegt und die Daten nach Ablauf der Aufbewahrungsfrist löscht.

Ähnlich lautende Regelungen finden sich auch in den meisten Eindämmungs- oder Schutz-Verordnungen der übrigen Bundesländer. Allerdings in unterschiedlichem Ausmaß. So trifft die Pflicht in Hamburg neben Gaststätten auch Frisöre und Dienstleistungen der Körperpflege sowie Übernachtungsangebote. In Berlin hingegen werden Reservierungssysteme oder andere geeignete Verfahren zur Kontaktnachverfolgung für Gastronomiebetriebe lediglich dringlich empfohlen (vgl. § 6 Abs. 6 SARS-CoV-2-Eindämmungsmaßnahmenverordnung).

Vereinzelt ist ein Verstoß gegen die Speicherpflicht sogar bußgeldbewehrt. Anbieter von Dienstleistungen sollten sich daher spezifisch darüber informieren, inwieweit in der jeweils für Sie geltenden Verordnung tatsächlich eine Pflicht zur Datenverarbeitung für Sie vorgesehen ist.

Die rechtliche Verpflichtung zur Erhebung, Speicherung und ggf. Übermittlung befreit Verantwortliche allerdings nicht davon, auch hierbei die datenschutzrechtlichen Anforderungen zu beachten. Zwar haben die Aufsichtsbehörden angekündigt, versehentliche Datenschutzverstöße im Zuge der Corona-Pandemie mit dem gebotenen Augenmaß zu behandeln. Eine dauerhafte Missachtung der Vorgaben werden die Behörden aber sicherlich nicht tolerieren.

Die folgenden Punkte sollten Unternehmen daher beachten:

1. Welche Daten dürfen erhoben werden?

Sofern die anwendbare Verordnung keine diesbezüglichen Vorgaben enthält, dürfen jeweils nur diejenigen Daten erhoben werden, die zur Erreichung des Zwecks erforderlich sind. Dies dürften jedenfalls regelmäßig die Kontaktdaten der betroffenen Person und das Datum des Besuchs sein. Unter Umständen können noch weitere Informationen erhoben werden, wenn diese zu einer weiteren Identifizierung von möglicherweise infizierten Personen erforderlich sind. Dies können etwa Angaben zu einer besuchten Veranstaltung oder dem Sitzplatz der Person sein. Einzelne Verordnungen geben dabei bereits konkrete Arten der zu erhebenden Daten vor (z.B. Sechste Corona-Bekämpfungsverordnung Rheinland-Pfalz, § 2 Nr. 2 „Name, Vorname, Anschrift, Telefonnummer“).

Die zusätzliche Erhebung von Gesundheitsdaten („Hatten Sie in den letzten Wochen Krankheitssymptome?“) ist hingegen regelmäßig nicht erlaubt und dürfte allenfalls dann erhoben werden, wenn die Betroffenen darin ausdrücklich und gesondert einwilligen.

2. Keine Nutzung der Daten für eigene (Werbe-)zwecke

Der Zweck der Datenverarbeitung liegt darin, es den zuständigen Behörden im Fall der Erkrankung einer Person zu ermöglichen, eine etwaige Infektionskette nachvollziehen und unterbrechen zu können. Die erhobenen Kontaktdaten dürfen durch den Verantwortlichen daher auch nur zu diesem Zweck verwendet werden. Eine Nutzung von Kontaktlisten für die nachträgliche (werbliche) Ansprache ist hingegen nicht erlaubt, da dies eine andere Zweckrichtung verfolgt. Zulässig ist es hingegen, bereits vorhandene personenbezogene Daten (Kundenkonten, Reservierungen, Terminvergabe) durch gesonderte Hinweise anzureichern, um der Dokumentationspflicht der jeweiligen Verordnung nachzukommen. Hierbei muss allerdings beachtet werden, dass die (zusätzlichen) Hinweise nach Ablauf der bestimmten Aufbewahrungsfrist wieder gelöscht werden.

3. Wie lange sind die Kontaktdaten zu speichern?

In einigen Corona-Verordnungen ist angegeben, nach welcher Dauer die gespeicherten Daten gelöscht werden müssen. So gibt die Hamburgische Eindämmungs-Verordnung eine Aufbewahrungsdauer von vier Wochen vor. Auch die Verordnungen der anderen Länder orientieren sich an Zeiträumen von drei bis zu sechs Wochen.

Sofern in der jeweils einschlägigen Verordnung solche klaren Vorgaben nicht vorhanden sind, dürfen die erhobenen Kontaktdaten nur solange gespeichert werden, wie dies für die Zweckerreichung, also die Nachverfolgbarkeit von Infektionsketten, erforderlich ist. Mit Blick auf die Inkubationszeit des Virus und die diesbezüglichen Vorgaben, sollte auch in diesem Fall eine Speicherdauer von vier Wochen nicht überschritten werden.

4. Vertraulichkeit gewährleisten

Die Angaben der einzelnen Kunden oder Gäste sind vertraulich zu behandeln und dürfen insbesondere anderen Kunden oder Gästen nicht offenbart werden.

Es ist daher zu empfehlen, dass die Daten bei der jeweiligen Person mündlich durch einen Beschäftigten erfragt und in eine Liste aufgenommen werden. Dieses Vorgehen bietet sich insbesondere bei Reservierungen an. Nichtsdestotrotz enthält beispielsweise die Verordnung des Landes NRW die Vorgabe für die Gastronomie, Kontaktdaten mittels einfacher, auf den Tischen ausliegender Listen zu erheben und aufzubewahren. Aus unserer Sicht ist dies nicht mit den Verpflichtung zur Vertraulichkeit zu vereinbaren.

5. Rechtmäßigkeit der Datenerhebung

Der Verantwortliche benötigt für die Verarbeitung der Kontaktdaten eine Rechtsgrundlage. Sofern dem Verantwortlichen die Erhebung, Speicherung und ggf. Übermittlung der Daten in den jeweiligen Verordnung vorgegeben ist, ergibt sich diese aus Art. 6 Abs. 1 Buchst. c) DSGVO in Verbindung mit den Vorschriften der jeweils geltenden Corona-Verordnung. Insbesondere ist eine Einwilligung der betroffenen Person in die Verarbeitung der Kontaktdaten in diesem Fall nicht notwendig.

Teilweise ist dies in den Verordnungen undeutlich formuliert. So ist in der Niedersächsischen Verordnung zur Bekämpfung der Corona-Pandemie die Verpflichtung von Restaurationsbetrieben zur Dokumentation der Kontaktdaten der Gäste um den Passus ergänzt, dass ein Gast nur nach seinem Einverständnis zur Dokumentation bedient werden darf. Dies soll unserem Verständnis nach aber nur zum Ausdruck bringen, dass die Angabe der Daten durch den Gast freiwillig zu erfolgen hat.

6. Datenschutzhinweise bereithalten

Kunden, Gäste oder Besucher müssen bei der Erhebung ihrer Kontaktdaten über die weitere Verarbeitung dieser Daten informiert werden. Diese Pflicht ergibt sich unmittelbar aus Art. 13 DSGVO und ist auch im Falle einer analogen (listenförmigen) Datenerhebung zu beachten. Gerade im Fall einer verpflichtenden Verarbeitung müssen die Betroffenen über den Umfang transparent informiert werden. Folgende Informationen müssen Unternehmen bereithalten:

  • den Namen und die Kontaktdaten des Verantwortlichen;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • Angaben zum Zwecke, für den die personenbezogenen Daten verarbeitet werden sollen;
  • Angaben zur Rechtsgrundlage der Verarbeitung;
  • die Empfänger der Daten;
  • die Dauer, für die die personenbezogenen Daten gespeichert werden;
  • Informationen über das Bestehen eines Rechts auf Auskunft zu den verarbeiteten Daten sowie auf Berichtigung oder Löschung der Daten oder auf die Einschränkung der Verarbeitung;
  • Informationen über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • Einen Hinweis darüber, dass die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben ist und bei einer Nichtbereitstellung die angebotene Leistung nicht erbracht werden kann.

Es bietet sich an, Kunden, Gäste oder Besucher bereits bei der Aufnahme der Daten mündlich darüber zu informieren, warum die Kontaktdaten benötigt werden, wie lange die Daten aufbewahrt werden und in welchem Fall eine Übermittlung an die Behörden erfolgen kann. Im Übrigen können die vollständigen Datenschutzhinweise den betroffenen Personen auch als Aushang zur Verfügung gestellt werden. Alternativ können Besucher auch im Rahmen einer Online-Registrierung (bzw. Anmeldung) auch durch die Datenschutzhinweise der Website entsprechend informiert werden.

Fazit

Auch wenn eine Verpflichtung zur Verarbeitung von Daten besteht, müssen die datenschutzrechtlichen Regelungen beachtet werden. Die Herstellung von Transparenz im Wege der Information der Betroffenen ist hierbei zentral. Verstöße werden die Aufsichtsbehörden in Corona-Zeiten zwar sicherlich mit dem gebotenen Augenmaß bewerten. Dennoch gilt: Infektionsschutz schließt den Datenschutz nicht aus.

Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.