Datenschutz und Corona: Fragebögen zwischen Infektions- und Datenschutz
Manche Corona-Regeln werden uns noch lange begleiten. Dazu wird die Verpflichtung von etwa Restaurants und bei „körpernahen Dienstleistungen“ (Optiker, Hörgeräteakustiker, Frisör, Maniküre, Pediküre, Kosmetikstudios, Massage) gehören, die Kontaktdaten von Gästen bzw. Kunden aufzunehmen. In der Praxis läuft dabei in Sachen Datenschutz einiges schief. Häufige Verstöße gegen das Datenschutzrecht sind:
- Es werden Gesundheitsdaten erhoben
- Es fehlen Datenschutzhinweise
- Die Kundendaten werden nicht hinreichend geschützt, nicht fristgerecht gelöscht oder zweckwidrig verwendet.
Daher werden nachfolgend die wichtigsten Regeln kurz dargestellt, wobei als Beispiel ein Frisörbetrieb gewählt wird. Dies gilt für andere Bereiche entsprechend.
- Welche Daten sind zu erheben
Die Kontaktdaten von Gästen und Kunden sollen registriert werden, damit etwaige Infektionsketten nachvollzogen werden können. Welche Daten zu erheben sind, ergibt sich aus den jeweiligen Verordnungen der Bundesländer, für Niedersachsen die „Niedersächsische Verordnung über Infektionsschützende Maßnahmen gegen die Ausbreitung des Corona-Virus“.
Nach § 7 dieser Verordnung (körpernahe Dienstleistungen, Frisörbetriebe) sind mit Einverständnis des Kunden zu dokumentieren und für drei Wochen aufzubewahren:
- Name des Kunden
- die Kontaktdaten (Anschrift, Telefonnummer)
- Zeitpunkt des Betretens und Verlassenen des Geschäftes
Ist der Kunde damit nicht einverstanden, darf er nicht bedient werden.
Rechtsgrundlage für die Erhebung dieser Daten ist Artikel 6 Abs. 1 c DS-GVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit der entsprechenden Landesnorm.
Weitere Daten dürfen nicht erhoben werden. Es darf auch nicht die Vorlage von Ausweispapieren gefordert werden.
Nach Auffassung der Datenschutzbehörden der Länder (etwa Niedersachsen und Mecklenburg-Vorpommern) dürfen nur die in der Corona-Verordnung ausdrücklich genannten Kontaktdaten erhoben werden – insbesondere gesundheitliche Daten dürfen nicht abgefragt werden. Die Datenschutzbehörde von Mecklenburg-Vorpommern hält es aber für möglich, dass zum Beispiel im Frisörsalon ein Attest verlangt werden kann, wenn der Kunde Symptome von Atemwegerkrankungen aufweist.
Der Bundesbeauftragte für den Datenschutz führt dagegen in einer aktuellen Stellungnahme aus:
„Auch wenn eine Verarbeitung von gesundheitsbezogenen Daten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden)“.
Im Weiteren wird dazu ausgeführt, dass auch Gesundheitsdaten von Besuchern und Gästen erhoben werden dürfen, um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
Auch der Zentralverband des Deutschen Handwerks stellt in seinem Papier „Erhebung von Kundendaten in Friseursalons“ die These auf, dass die Abfrage von Gesundheitsdaten von Kunden zulässig sei und behauptet, dass dies durch eine der Ausnahmeregeln in Art. 9 Abs. 2 DS-GVO gedeckt sei. Welche Ausnahme dies konkret sein soll, wird aber vornehm verschwiegen.
Dies ist aus unserer Sicht schon sehr fragwürdig, weil wohl bei den wenigsten Friseursalons die technischen und organisatorischen Maßnahmen bestehen, um die Vertraulichkeit sensibler Daten zu wahren (Verschwiegenheitserklärungen und Schulungen der Mitarbeiter, Dienstanweisungen, abschließbare Schränke zur Verwahrung der Unterlagen, Löschkonzept).
Wir empfehlen Unternehmen in Niedersachsen auf das Abfragen von Gesundheitsdaten zu verzichten.
- Wie ist mit den Daten umzugehen
Wenn mit Erfassungslisten gearbeitet wird, ist sicherzustellen, dass keine Person die Daten anderer Kunden zur Kenntnis nehmen kann. Es sind für jeden Tag neue Listen zu erstellen, damit die Löschfrist eingehalten werden kann. Besser sind Einzeldokumente pro Kunde.
Die Daten müssen spätestens einen Monat nach der Erhebung vernichtet bzw. gelöscht werden. Dies muss „datenschutzkonform“ erfolgen, also nicht in das Altpapier oder in den Hausmüll, sondern mit einem Aktenvernichter geschreddert. Bis zur Löschung müssen die Daten sicher verwahrt werden.
Die Daten dürfen nicht zu anderen Zwecken, wie etwa der Kundenwerbung verwendet werden.
Die Daten dürfen ausschließlich auf schriftliche Aufforderung des Gesundheitsamtes zur Verfügung gestellt werden.
III. Datenschutzhinweise
Wie bei jeder Datenerhebung müssen dem Kunden „Datenschutzhinweise“ gegeben werden. Hierzu ist ein entsprechender Aushang zu machen oder Informationsblätter sind auszulegen. Ein Muster der Niedersächsischen Datenschutzbehörde finden Sie hier.
Haben Sie Fragen rund um den Datenschutz?
Sprechen Sie uns an!