Dokumentation von Kontaktdaten während der Corona-Pademie

Während der Corona Kriese, sind viele Gewerbetreibenden und Dienstleister verpflichtet Kontaktdatenlisten von Kunden zu erheben. Die Reglungen unterscheiden sich in den einzelnen Länderverordnungen teilweise erheblich. Was muss beachtet werden?

erstellt am 12. Juni. 2020 - in

Bild von karl chor auf unsplash

Bitte beachten Sie, die einzelnen CoronaSchVo ändern sich teilweise täglich. Bitte informieren Sie sich immer auch auf den Internetseiten der für Sie zuständigen Datenschutzbehörde und Ihres Bundeslandes.

Update: 19.08.2020 18 Uhr

Update: 04.08.2020 20 Uhr

Update: 06.07.2020 22Uhr

Update: 15.06.2020 18 Uhr

Durch die Lockerungen in der Corona-Kriese dürfen viele ihre Geschäfte unter besonderen Auflagen wieder öffnen und Ihre Waren und Dienstleistungen anbieten.

Es macht es, den Gewerbetreibenden nicht einfacher, dass in jedem Bundesland unterschiedliche Maßnahmen gelten. Die Verordnungen ändern sich oft auch noch kurzfristig, so, dass es für die Gewerbetreibenden zusätzlichen Aufwand bedeutet, die gesetzlichen Vorgaben einzuhalten.

Ich möchte hier ein besonderes Augenmaß auf die Erfassung von Kundenkontaktdaten legen, um ein wenig Licht ins dunkle zu bringen.

Wie verbindlich sind Informationen aus dem Internet

Im Internet finden sich viele Ratgeber und fragwürdige Informationen, leider auch auf seriösen Seiten. Dabei wird oft nicht wahrgenommen, dass gut gemeinte Ratschläge nichts mit verbindlicher Rechtsberatung zu tun hat.
Nur wer z.B. ein Mandat als Datenschutzbeauftragter oder Rechtsanwalt hat, darf im Datenschutz beratend tätig werden. Daher finden Sie in der Regel nur unverbindliche „Ratschläge“ im Internet.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit warnt z.B. davor das die Datenschutzerklärung auf der Homepage der BGW nicht den Vorgaben der Datenschutzgesetze entspricht.

VI. Information Art. 13 DS-GVO
Die BGW stellt auf ihrer Homepage dem Friseurhandwerk ein Muster der BGW zu Art. 13 DS-GVO zur Verfügung. Dieses entspricht jedoch nicht vollends den Vorgaben des Art. 13 DS-GVO. ….

Quelle: Datenschutzbehörde Hessen (HBDI) Handlungshilfe für Friseure zu Corona (webarchiv)

Diese „Informationen nach Art.13 DSGVO zur Dokumentation Ihres Aufenthalts“ die der BGW zum Download zur Verfügung stellt, hat bis auf die Überschrift nichts mit der Informationspflicht des Art.13 zu tun.

Zusammenfassung über die erforderlichen Maßnahmen

  1. Information über die CoronaSchVO (Coronaschutzverordnung) und ggf. deren Anlagen des zuständiegen Bundeslands einholen
  2. Erstellen der technischen und organisatorischen Maßnahmen um den Datenschutz einzuhalten
  3. Ergänzung des Verzeichnis von Verarbeitungstätigkeiten über die Verarbeitung von Personenbezogenen Daten infolge von COVID-19
  4. Erstellung der Datenschutzhinweise nach Artikel 13 DSGVO (Ausnahme z.B. Hessen)
  5. Anweisungen und Schulung der Mitarbeiter

Die oben genannten Punkte können teilweise mit den erforderlichen Maßnahmen der entsprechenden Infektionsschutzgesetze verbunden werden.

Welche Maßnahmen müssen nach der CoronaSchVO umgesetzt werden

Jeder Verantwortliche (Betriebsinhaber) sollte sich über die für sein Bundesland aktuellen Verordnungen und Gesetze informieren. Eine Zusammenfassung der Gesetze, Verordnungen und Erlasse finden sie auf den Seiten von Wikipedia Liste der infolge der COVID-19 Pandemie erlassenen deutschen Gesetze und Verordnungen sowie auf den Internetseiten Ihres zuständigen Bundeslandes.
Es wird dringend empfohlen immer die aktuelle CoronaSchVo und ggf. die Anlagen Ihres Bundeslandes zu lesen. NRW hat z.B. in der CoroanSchVo (in der ab 15.06.2020 gültigen Fassung) den §2a Rückverfolgbarkeit eingefügt, in dem allgemeingültige Vorschriften über die Kontaktdatenerfassung beschrieben sind, die nicht in der Anlage zur CoronaSchVo ab 15.06.2020 aufgeführt wurden.

Welche Kontaktdaten müssen erhoben werden

Je nach Bundesland ist der Umfang der Kontaktdatenerhebung unterschiedlich. In NRW war in der CoroanSchVO vom 11.05.2020 das erfassen von Kontaktdaten Pflicht. Ab 15.06. nach der neuen CoronaSchVO sind es Vorname Name Adresse und Telefonnummer. In Bayern müssen Name und eine sichere Kontaktmöglichkeit wie Telefonnummer oder E-Mailadresse oderAdresse angegeben werden. In Bremen nur in geschlossenen Räumen Namen und Kontaktdaten wie Telefonnummer oder E-Mail. In Sachsen besteht keine Pflicht Kontaktdaten zu erfassen. Ebenfalls müssen je nach Bundesland z.B. die Daten von jeder Person oder von einer Person der Tischgruppe erfasst werden.

Löschfristen für die erfassten Kontaktdaten

Die Löschfristen sind ebenfalls je nach Bundesland verschieden, von drei Wochen über 4 Wochen oder auch einen Monat.

TOM – Technische und Organisatorische Maßnahmen

Neben dem Verzeichnis von Verarbeitungstätigkeiten wird die Dokumentation der TOM für die Rechenschaftspflicht nach Art.5 Abs.2 DSGVO benötigt. Mit diesen beiden Schriftstücken können Sie nachweisen, dass Sie die Verordnungen des Datenschutz eingehalten haben. Vorausgesetzt es wird sich auch an die dokumentierten Anweisungen gehalten.

Gewährleistung der Vertraulichkeit

Wie sollen die Kontaktdaten erfasst werden?

Auf diversen Interneteisen, nach meinen Informationen auch von dem ein oder anderen Mitarbeiter der Gemeinden und/oder kommunalen Behörden, wurde zu Listen in Tabellenform geraten, die oft sogar zum Download bereitgehalten werden. So gut gemeint dieser Rat ist, es ist kein guter Rat.
Wer nicht auf Listen verzichten will, muss sicherstellen, dass kein dritter Einblick in die Daten hat. Auf keinen Fall ist es erlaubt eine Liste auszulegen in der sich mehrere Kunden selbst eintragen können.

Empfehlenswert ist es die Daten auf einem separaten Blatt je Kunde; in der Gastronomie je Tisch, zu erfassen und z.B. in einem Ordner mit Register abzuheften. Diesen dann so aufzubewahren, dass kein Unbefugter Zugriff bekommen kann.
Auf gar keinen Fall dürfen Unbefugte, andere Gäste oder Kunden Einblick in die Daten bekommen. Unbefugt ist z.B. der Koch in der Gastronomie. Es gibt keinen Grund, warum er Einblick in die Daten bekommen muss.

Wie werden die Kontaktdaten aufbewahrt und vor unberechtigten Zugriff geschützt

Eine Möglichkeit wäre, die Kontaktdaten in einem Ordner mit Zahlenregister, für jeden Tag eins, abzulegen und in einem Abschließbaren Schrank aufzubewahren. Dies Zahlenregister routiert, so dass sichergestellt ist, dass Kontaktdaten nach x Tagen gelöscht werden. Wie die Daten geschützt werden können, liegt bei jedem Verantwortlichen selbst. Es muss sichergestellt werden, dass kein Unberechtigter Zugriff auf die Daten hat.

Wie werden die Daten vernichtet

Papierdaten müssen so vernichtet werden, dass Sie nicht mehr lesbar sind. Hierfür reicht ein handelsüblicher Aktenschredder mit Sicherheitsstufe 3/4 (nach DIN 66399) aus. Auf keinen Fall dürfen die Daten ungeschreddert in einem Altpapiercontainer entsorgt werden.
Wer die Daten elektronisch erfasst, muss sicherstellen, dass die Daten zu den vorgegebenen Zeitpunkten unwiderruflich gelöscht werden können. Das heißt, Sie können nicht wieder hergestellt werden. Ein verschieben z.B. in den Papierkorb reicht nicht aus.

Gewährleistung der Integrität (Vollständigkeit)

Da bei einer Anfrage des zuständigen Gesundheitsamts die Kontaktdaten für einen bestimmten Zeitraum angefragt werden, muss sichergestellt werden, dass nur die Daten des angefragten Zeitraums an das Gesundheitsamt übermittelt werden. Es ist nicht zulässig, einfach alle vorhandenen Daten an das Gesundheitsamt weiter zugeben.
Bei der o.g. Ordnerstruktur müssen die Kontaktdaten nur aus den entsprechenden Registern herausgenommen werden.

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Um ein flüssiges lesen zu ermöglichen wird im folgendem „Verzeichnis“ geschrieben.
Im Verzeichnis werden die erforderlichen Maßnahmen zusammengefasst. Je nach Betrieb sind die Verarbeitungstätigkeiten anders strukturiert. Folgende Daten sind Beispielhaft, sie müssen den eigenen Verarbeitungstätigkeit angepasst werden.

Grunddaten

  1. Benennung der Verarbeitungstätigkeit, z.B. Kontaktdatenerfassung CoronaSchVO NRW
  2. ggf. die Laufende Nummer der Verarbeitungstätigkeit
  3. Datum der Einführung

Der Verantwortliche mit Kontaktdaten (Art. 30 Abs.1 lit a)

Soweit ein Deckblatt, im Verzeichnis, mit den Angaben des Verantwortlichen besteht und kein Anderer z.B. eine Fachabteilung oder ein bestimmter Mitarbeiter, für die Verarbeitung verantwortlich ist, reicht es auf das Deckblatt zu verweisen. Andernfalls müssen die Kontaktdaten der Vertretung oder der Fachabteilung eingetragen werden.

Die Grunddaten sind nicht verpflichtend, werden aber empfohlen um die Dokumentation übersichtlicher zu gestalten.

Zweck der Verarbeitung (Art. 30 Abs.1 lit b,)

Eine mögliche Beschreibung wäre:
Die Daten werden zum Zweck der Nachverfolgung von Covid-19-Infektionsketten erhoben. Gesetzliche Grundlage ist die CoronaSChVo NRW §2a Rückverfolgbarkeit sowie die zugehörige Anlage Punkt III. Friseurhandwerk in Friseursalons vom 15.06.2020 gültig bis zum 01.07.2020

Name des eingesetzten Verfahrens

Wenn die Kontaktdaten elektronisch erfasst werden, sollte die Software genannt werden. Hierbei sind noch einige andere Dinge zu beachten, die den Rahmen hier aber sprengen würden.

Kategorien der betroffenen Personen und der betroffenen Daten (Art. 30 Abs.1 lit c)

In den meisten Fällen ist die Kategorie der betroffenen Personen, Kunde oder auch Gäste. Die betroffenen Daten sind Kontaktdaten. Wer möchte kann hier auf die internen Verhaltensregeln hinweisen oder die für sein Bundesland geltenden einzelnen Daten aufführen. Die genauen Vorschriften finden Sie in der CoroanSchVo Ihres Bundeslandes.

Kategorie von Empfängern (Art. 30 Abs.1 lit d)

Die Weitergabe der Daten darf, nach Aufforderung, nur an das Gesundheitamt weitergegeben werden. Um dies sicher zustellen, sind die Maßnahmen in den TOMs zu dokumentieren. Im Verzeichnis reicht es aus, wenn Sie dokumentieren, dass die Daten an das zuständige Gesundheitsmat herausgegeben werden.

Löschfrist der Daten (Art. 30 Abs.1 lit f)

Die Löschfristen sind der CoronaSchVo zu entnehmen und ebenfalls im Verzeichnis einzutragen.

Beschreibung der technische und organisatiorische Maßnahmen (TOM) (Art. 30 Abs.1 lit g)

  1. Als Anlage die TOMs
  2. Als Anlage die Verhaltensregeln für die Mitarbeiter

Zum Verzeichnis gehören die Dokumentation der technischen und organisatiorischen Maßnahmen, die Verhaltensregeln und ggf. ein Nachweis das die Mitarbeiter geschult wurden.

Informationspflicht über die Erfassung von Kontaktdaten

Soweit in der aktuellen CoronaSchVO, des den Betrieb betreffenden Bundeslandes, der Betrieb nicht ausdrücklich von der Informationspflicht befreit ist, muss der Kunden vor der Datenerhebung nach Art.13 DSGVO ausführlich informiert werden. Nach meinem Wissen ist nur Hessen von der Informationspflicht befreit. Es wird aber empfohlen auch in Hessen über den Grund und die Löschfrist zu informieren. Auch wenn in Hessen die Informationspflicht ausgesetzt wurde, gelten die restlichen Datenschutzbestimmungen der DSGVO weiterhin.

LDI NRW Umsetzungshilfe zu den Datenschutzhinweisen

Schulung der Mitarbeiter

Aus dem Verzeichnis von Verarbeitungstätigkeiten und den TOMs lassen sich Verhaltensregeln erstellen. Die den Mitarbeitern nahe gebracht und evtl. auch in Aufenthaltsräumen ausgehängt werden können.

Quelle: EUR-LEX DSGVO

Bitte beachten Sie, dass die Informationen auf diesen Internetseiten keine Rechtsberatung darstellen. Die hier vorliegenden Informationen sollen Ihnen nur einen ersten Überblick ermöglichen, sie stellen selbst jedoch keine Rechtsberatung dar.



Gerne helfe ich Ihnen in Workshops, bei der Schulung Ihrer Mitarbeiter oder als externer Datenschutzbeauftragter. Rufen Sie mich an oder schreiben Sie eine E-Mail.

Kommentare sind geschlossen.