Zum Inhalt springen
PKF News / Blog

Sie sind hier:

Datenschutzkonforme Dokumentation der Kundendaten während Corona

Derzeit unterliegt eine Vielzahl von Gewerbetreibenden der Verpflichtung zur Erfassung von Kontaktdaten ihrer Kunden. Hierdurch soll sichergestellt werden, dass bei einem COVID-19-Krankheitsausbruch potenzielle Kontaktpersonen zuverlässig nachverfolgt werden können. Die Erfassung und Verarbeitung dieser Kundendaten unterfallen den Gesetzen zum Datenschutz. Am Beispiel der geltenden Bestimmungen in Niedersachsen soll gezeigt werden, welche Datenerhebung erforderlich ist und wie sich etwaige Datenschutzverstöße vermeiden lassen.

Erhebung der Kundendaten

Bereits bei der Erhebung der Kundendaten sind einige Besonderheiten zu beachten, damit eine solche Datenerhebung datenschutzkonform erfolgt:

  • Sofern Erfassungslisten für mehrere Kunden genutzt werden, kann der nächste Kunde jeweils die Kontaktdaten des vorherigen Kunden sehen. Um diesen Verstoß gegen den Datenschutz zu vermeiden, können die Kundendaten jeweils auf einzelnen Blättern erfasst werden.
  • Die Kontaktdaten-Erhebung mittels einer fortlaufenden Liste ist nur dann erlaubt, wenn die jeweils vorherigen Daten abgedeckt werden.
  • Zu beachten ist ebenfalls, dass nicht beliebige Daten erhoben werden dürfen, sondern lediglich die in der Corona-Verordnung genannten. Diese sind der Familienname, der Vorname, die vollständige Anschrift, eine Telefonnummer sowie der Zeitpunkt des Betretens und Verlassens der Einrichtung. Hier ist zumindest in der niedersächsischen Corona-Verordnung nicht vorgesehen, dass zusätzlich eine E-Mail-Adresse erhoben wird.

Empfehlungen: Es sollte jeden Tag eine neue Erfassung der Kundendaten erfolgen, da nur so den festen Löschungsfristen nachgekommen werden kann. Ferner ist es notwendig, die Kunden über die Datenerhebung nach Art. 13 DS-GVO zu informieren. Hierfür sollte ein Aushang mit den datenschutzrechtlichen Hinweisen dort erfolgen, wo die Kontaktdaten erhoben werden.

Verarbeitung der Daten

Bezüglich der Verarbeitung der Daten muss insbesondere beachtet werden, dass eine Datenverarbeitung nur für den Zweck erfolgen darf, der in der jeweiligen Corona-Verordnung vorgesehen ist. Dies ist grundsätzlich die Weitergabe an die zuständige Gesundheitsbehörde, um eine weitere Ausbreitung des Virus zu verhindern. In keinem Fall dürfen die erhobenen Daten zu Werbezwecken genutzt werden.

Sofern die Daten von den Gesundheitsbehörden angefordert werden, ist zu beachten, dass eine Übermittlung auf einem sicheren Übertragungsweg erfolgen muss.

Hinweis: Eine Versendung durch eine einfache E-Mail ist hierbei nicht ausreichend. Es bietet sich die Versendung per Post oder per E-Mail mit Ende-zu-Ende-Verschlüsselung an.

Löschen der Daten

Die Kontaktdaten sind mindestens drei Wochen aufzubewahren. Nach maximal einem Monat sind die Kontaktdaten datenschutzkonform zu löschen. Hierbei sind Erfassungslisten zumindest in einem Aktenvernichter zu schreddern. Sollten die Kontaktdaten digital erfasst worden sein, so muss eine sichere Löschung der Daten erfolgen. Eine Löschung über die Papierkorbfunktion ist hierbei nicht ausreichend. Wenn hier keine ausreichende Organisation zur Verwaltung der Kontaktdaten geschaffen wird, wird es schnell zu einem Verstoß gegen die DS-GVO kommen, die zu einem Bußgeld führen kann.

Fazit: Da davon auszugehen ist, dass die Vorschrift zur Erfassung der Kontaktdaten noch weiterbestehen wird, ist dringend anzuraten, sich mit der datenschutzkonformen Erfassung auseinanderzusetzen. Hierzu ist beispielsweise die entsprechende Seite des Landes Niedersachsen hilfreich: s.u. https://lfd.niedersachsen.de/startseite/themen/wirtschaft/corona-kontakdaten-187846.html.

Zurück zur Übersicht
Zurück zum Seitenanfang