Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Free

Datenschutz : Corona-Kontaktliste – vermeidbarer Ärger

Datenschutzrechtliche Beschwerden zum Umgang mit coronabedingten Kontaktlisten zur Rückverfolgbarkeit, etwa von Besuchern in Gaststätten oder bei Veranstaltungen, führten bereits zu aufsichtsbehördlichen Maßnahmen und Bußgeldern. Grund genug für uns, die Vorschriften zu diesen Listen näher anzusehen.

Dr. Niels LepperhoffPraxis
Lesezeit 4 Min.

1. Einleitung

Bestimmte Branchen und Veranstalter sind gehalten, sogenannte Kontaktlisten zur Rückverfolgbarkeit von Besuchern zu führen. Wer Restaurants besucht, erlebt unterschiedliche Formen der Umsetzung: von Listen am Eingang mit allen vorangegangenen Besuchern bis hin zu Notizzetteln, auf die der Gast seine Angaben schreiben kann.

Datenschutzaufsichtsbehörden verzeichnen zahlreiche Beschwerden zum Umgang mit diesen Listen, die auch zu aufsichtsbehördlichen Maßnahmen bis hin zu ersten Bußgeldern führten.1 Grund genug, sich an dieser Stelle die Vorschriften zu Corona-Kontaktlisten näher anzusehen.

Wer eine solche Liste führen muss, legen die Corona-Schutzverordnungen (CoronaSchVO) der Bundesländer fest. Insofern kann es zu Unterschieden zwischen Bundesländern kommen. Am Beispiel der CoronaSchVO des Landes Nordrhein-Westfalen in der Fassung vom 12.08.2020 werden wichtige Spielregeln zum Führen der Listen erläutert.

Die bekannten Datenschutzgesetze, insbesondere die Datenschutz-Grundverordnung (DS-GVO), gelten auch für die Kontaktlisten und haben vor der CoronaSchVO Anwendungsvorrang. In der Praxis bedeutet das, dass sowohl die DS-GVO als auch die CoronaSchVO einzuhalten sind.

2. Personengruppen

Gemäß § 2a CoronaSchVO NRW sind von allen Personen, die sich im Begegnungsraum aufhalten, Daten zur Rückverfolgbarkeit zu erheben. Als Beispiele für Personengruppen nennt die Verordnung Gäste, Mieter, Teilnehmer, Besucher, Kunden, Nutzer. Es findet keine Beschränkung auf bestimmte Personengruppen statt, d. h. ein Aufenthalt im Begegnungsraum löst die Erfassung der Kontaktdaten aus.

3. Datenfelder

NRW unterscheidet zwischen Listen zur „einfachen Rückverfolgbarkeit“ und „besonderen Rückverfolgbarkeit“. Für die „einfache Rückverfolgbarkeit“ sind die folgenden Angaben zu erfassen:

  • Name
  • Adresse
  • Telefonnummer
  • Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise

Wenn der Veranstalter bereits über eine Adresse und Telefonnummer bspw. aus einer Seminaranmeldung verfügt, muss er diese Angaben nicht erneut erfragen. Er muss sie aber der Liste hinzufügen können. Die Angabe „Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise“ kann entfallen, wenn sich die Personen dauerhaft im Begegnungsraum aufgehalten haben. Aus der Angabe des Zeitpunkts der An- und Abreise folgt auch, dass die Daten nicht im Vorhinein erhoben werden können. Für die „besondere Rückverfolgbarkeit“ ist zusätzlich noch ein Sitzplan zu erstellen, aus dem sich ergibt, welche anwesende Person wo genau gesessen hat. Über diese Daten hinaus dürfen keine weiteren Angaben erfasst werden, d. h. auch keine Unterschriften, E-Mail-Adressen, Veranstaltungsnamen usw.

4. Einverständnis

Die Erhebung hat mit dem „Einverständnis“ der Besucher zu erfolgen. Einverständnis bedeutet nicht, dass eine Einwilligung im datenschutzrechtlichen Sinn einzuholen ist. Sobald der Besucher seine Daten angibt, kann von Einverständnis ausgegangen werden.

Vielmehr lässt sich Einverständnis dahingehend verstehen, dass der Besucher zur Abgabe nicht verpflichtet ist und der Veranstalter keine Sanktionen bei Nichtabgabe ergreifen muss. Weiterhin ist der Veranstalter für die Richtigkeit der Angaben nicht verantwortlich.

Globales digitales Vernetzungskonzept mit einem Smartphone, das Benutzerprofile und vernetzte Personen auf einer stilisierten Weltkarte anzeigt.

5. Form

Grundsätzlich hat die Erhebung in Papierform zu erfolgen. Eine elektronische Erhebung erlaubt § 2a Abs. 3 CoronaSchVO NRW ebenfalls. Besuchern, die der elektronischen Erhebung nicht zustimmen, muss als Alternative die papierbasierte Erhebung angeboten werden. Eine elektronische Erhebung bspw. via App kann deshalb immer nur als zusätzliches Angebot ausgestaltet werden.

Bei der Erhebung muss der Veranstalter sicherstellen, dass kein Gast oder andere unbefugte Personen die Daten anderer Gäste einsehen können, bspw. durch

  • Verwendung eines Erhebungsbogens pro Person,
  • Einsammeln der Erhebungsbögen mittels Urnen,
  • verschlossene Lagerung bis zur Vernichtung.

6. Aufbewahrung

Die Listen sind vier Wochen aufzubewahren. Die CoronaSchVO nennt keinen Auslöser für die Aufbewahrungsfrist. Aus dem Kontext lässt sich schließen, dass die Vier-Wochen-Frist mit dem Tag der Erhebung beginnt.

Nach Ablauf der vier Wochen sind die Daten zwingend zu löschen. Die CoronaSchVO erwartet eine sofortige Löschung nach Fristablauf. Es empfiehlt sich, tägliche Datenvernichtungen durchzuführen. Die Vernichtung hat – so wie bei allen personenbezogenen Daten – so zu erfolgen, dass eine Rekonstruktion nur mit unverhältnismäßigem Aufwand erfolgen kann. Die DIN-Norm 66399 legt fest, welche technischen Anforderungen an die Vernichtungswerkzeuge wie Shredder zu stellen sind.

7. Übermittlung an die zuständige Behörde

Auf Verlangen der zuständigen Behörde sind ihr die gesammelten Daten kostenfrei zur Verfügung zu stellen. Erfolgt eine elektronische Erhebung, müssen die Daten der Behörde in einem von der Behörde nutzbaren Datenformat übergeben werden. Welches Format „nutzbar“ für eine Behörde ist, legt die CoronaSchVO nicht fest. Die CoronaSchVO stellt auf die Fähigkeit der empfangenden Behörde ab. Vor dem Einsatz elektronischer Erfassungen empfiehlt es sich, mit allen Behörden Rücksprache zu halten, die die Listen anfordern dürfen, um abzustimmen, ob die gewählte Softwarelösung den behördlichen Anforderungen genügt. Auch bei einer elektronischen Verarbeitung hat die Behörde das Recht, einen Papierausdruck zu verlangen.

8. Zweckbindung

Die Kontaktlisten dürfen nur für den Zweck der Nachverfolgung von Kontakten vom Veranstalter verarbeitet werden. Weitere Zwecke wie werbliche Ansprache, Abspeichern im Customer Relationship Management (CRM), Kontaktaufnahme zum Flirten, Erstellen von Stammkundenlisten sind unzulässig. Nutzen Mitarbeiter oder der Veranstalter selbst die Daten unzulässigerweise, wird gegen die Zweckbindung verstoßen. Es ist dann auch zu prüfen, ob der Vorfall an die Datenschutzaufsichtsbehörde nach Art. 33 DS-GVO und an die betroffenen Personen nach Art. 34 DS-GVO zu melden ist.

9. Datenschutzinformation

Spätestens bei der Erhebung ist über die Verarbeitung der Daten zu informieren, d. h. die Informationspflicht von Art. 13 DS-GVO lebt auch hier auf.

Es bietet sich an, die Information auf den Erhebungsbogen zu drucken. Erfolgt die Erhebung auf Papier, ist der bloße Abdruck eines Links nicht ausreichend. Der Besucher muss vor dem Ausfüllen die Information lesen können, auch ohne bspw. ein Smartphone dabeizuhaben. Aushänge sind zwar möglich. Dabei ist jedoch zu beachten, dass Infektionsrisiken bspw. durch Schlangenbildung zu vermeiden sind.

Dr. Niels Lepperhoff
Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH
(einem Gemeinschaftsunternehmen des BvD e. V. und der GDD e. V.)

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.