Berlin: Musterformulare für Corona-Kontaktdatenerhebung

Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben

[datensicherheit.de, 28.06.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, weist Berliner Gewerbetreibende darauf hin, „dass bei der Erhebung von Kontaktdaten von Kundinnen und Kunden zur Nachverfolgung von ,Corona‘-Kontakten der Datenschutz stets zu wahren ist“. So seien laufende Listen, auf denen die Kontaktdaten der Gäste offen für Dritte einsehbar sind, unzulässig. Als Hilfestellung stellt die Berliner Aufsichtsbehörde für den Datenschutz auf ihrer Website Musterformulare zur Verfügung.

Abbildung: BlnBDI

BlnBDI: Ein Formular-Blatt pro Person!

Einträge in laufende Listen unzulässig

Die „SARS-CoV-2-Infektionsschutzverordnung“, welche die „SARS-CoV-2-Eindämmungsmaßnahmenverordnung“ ablöst, verpflichtet demnach Gastronomiebetriebe, Betriebe des Friseurhandwerks und viele andere Stellen in Berlin, Informationen zur Kontaktnachverfolgung von Gästen oder Kunden zu erheben.
In der Praxis würden Restaurantgäste oder Kunden anderer Gewerbebetriebe bei Eintritt in das Geschäft häufig dazu aufgefordert, sich mit ihrem Namen und ihren Adressdaten in laufende Listen einzutragen, auf denen sie auch die Kontaktdaten Dritter einsehen könnten. Dieses Vorgehen sei unzulässig.

Corona-Krise: Kontaktdaten sicher verwahren und fristgerecht vernichten

Bei der Datenerhebung müssten die Verantwortlichen strikt darauf achten, dass die Kunden „keinen Einblick in die personenbezogenen Daten anderer Gäste erhalten“. Um das zu gewährleisten, sollte sich jede Person auf einem gesonderten Blatt eintragen können. Die ausgefüllten Formulare dürften auch nicht offen herumliegen, sondern müssten für den Zeitraum der Aufbewahrung sicher vor dem Zugriff Dritter verwahrt bleiben.
Es empfiehlt sich laut BlnBDI, beispielsweise eine verschließbare Box aufzustellen, in welche die ausgefüllten Formulare eingeworfen werden. Diese sollte dann täglich geleert werden, um die Formulare ohne Zusatzaufwand nach Tagen sortiert aufbewahren und fristgerecht vernichten zu können.

Gäste und Kunden über Datenverarbeitung und Rechte informieren

Für eine datenschutzkonforme Umsetzung der Maßnahme müssten die Gäste zudem gemäß Artikel 13 der Datenschutz-Grundverordnung (DSGVO) ausreichend über die Verarbeitung ihrer Daten und ihre Rechte informiert werden. Dies könne in Form einer kurzen Datenschutzerklärung erfolgen, die entweder per Aushang im Eingangsbereich gut sichtbar angebracht oder als Informationsblatt einzeln ausgehändigt wird.
Aus dieser Erklärung müsse insbesondere hervorgehen, wer für die Datenverarbeitung verantwortlich ist und auf welche Rechtsgrundlage sie gestützt wird, für welchen Zweck und für wie lange die Daten erhoben werden, wer darauf zugreifen kann und welche Rechte die Betroffenen haben.

Rechtswidrige Datennutzung mit Bußgeld bewehrt

Die ausgefüllten Bögen müssten sicher aufbewahrt und nach Ablauf der Aufbewahrungsfrist „taggenau sicher vernichtet“ werden, etwa mittels eines Aktenvernichters. Es genüge nicht, die Formulare von Hand zu zerreißen.
Verantwortliche müssten unbedingt beachten, dass die erhobenen Daten ausschließlich zum Zweck der Kontaktnachverfolgung im Falle von bekanntgewordenen Infektionen verarbeitet und ggf. an das zuständige Gesundheitsamt übermittelt werden dürfen. Eine Nutzung der Daten zu sonstigen Zwecken, wie zum Beispiel Werbung, wäre rechtswidrig und könne mit Bußgeldern geahndet werden.

Vertrauen in der Corona-Krise Voraussetzung für sachgerechte Mitwirkung

„Wie bei der digitalen Kontaktnachverfolgung mittels Warn-App ist auch bei Maßnahmen, die der manuellen Nachverfolgung von möglichen Infektionsketten dienen, Vertrauen eine wichtige Voraussetzung. Wer befürchten muss, dass seine Daten nicht gut aufgehoben sind, ist eher dazu geneigt, Falschangaben zu machen. Mir ist bewusst, dass der Umgang mit so vielen Kundendaten nicht zum Kerngeschäft von Restaurantbetrieben oder Friseurgeschäften gehört und die gesetzlichen Vorgaben daher einige Unsicherheiten sowohl bei den Verantwortlichen als auch bei den Betroffenen hervorrufen“, so Smoltczyk.
Zur Unterstützung hat ihre Behörde Musterformulare auf der eigenen Website zur Verfügung gestellt. „Ich empfehle Berliner Verantwortlichen, diese zu verwenden oder sich inhaltlich daran zu orientieren.“

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Kontaktdatenerhebung durch Gewerbetreibende – Musterformulare der BlnBDI

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Hinweise zum Datenschutzgemäß Art. 13 Datenschutz-Grundverordnung (DS-GVO)zur verpflichtenden Kontaktnachverfolgung im Sinne derSARS-CoV-2-Infektionsschutzverordnung

datensicherheit.de, 26.05.2020
Personen-Listen in Gaststätten: Pro Gast ein Blatt