Muster zur Erfüllung der Informationspflichten während der Corona-Pandemie
Datenschutzkonforme Dokumentation zur Umsetzung der Niedersächsischen Verordnung über Maßnahmen zur Eindämmung des Corona-Virus SARS-CoV-2 (gültig ab 2. November 2020)
Zahlreiche Branchen und Einrichtungen müssen die Kontaktdaten aller Kundinnen und Kunden/Besucherinnen und Besucher/Teilnehmenden erfassen, wenn diese die Geschäftsräume oder Einrichtungen betreten bzw. an einer Veranstaltung teilnehmen wollen. Dies gilt gemäß § 5 der Niedersächsischen Verordnung über Maßnahmen zur Eindämmung des Corona-Virus SARS-CoV-2 (Niedersächsische Corona-Verordnung, nachfolgend: CoronaVO). Ohne Erfassung der Kontaktdaten darf ein Zutritt zu der jeweiligen Einrichtung oder eine Teilnahme an der jeweiligen Veranstaltung nicht gewährt werden.
Sofern eine Dokumentationspflicht besteht, bezieht sich diese für alle Branchen und Einrichtungen auf folgende Daten:
- Familienname,
- Vorname,
- vollständige Anschrift,
- eine Telefonnummer,
- Erhebungsdatum und -uhrzeit bzw. der vereinbarte Termin beim sog. Terminshopping
Die vollständige Anschrift umfasst die Angabe der privaten Adresse in Form von Straße, Hausnummer, Postleitzahl und Wohnort.
Bei dienstlichen Tätigkeiten genügen die dienstlichen Kontaktdaten, also die Anschrift des Unternehmens bzw. der Behörde. Wenn also eine Physiotherapeutin ein Altenheim aufsucht, um eine Bewohnerin oder einen Bewohner zu behandeln, ist die Postanschrift der Praxis anzugeben.
Die Kontaktdaten müssen vollständig und wahrheitsgemäß angegeben werden, § 5 Abs. 1 Satz 7 CoronaVO.
Nur bei begründeten Zweifeln an ihrer Plausibilität sind die Daten zu überprüfen.
Erhebung der Daten
Es ist zu gewährleisten, dass unbefugte Dritte von den erhobenen Kontaktdaten keine Kenntnis erlangen.
Um dieser Forderung aus § 5 Abs. 1 Satz 4 CoronaVO nachkommen zu können, sollten die Daten mit einzelnen Erfassungszetteln erhoben werden, auf denen sie von den betroffenen Personen (also von Kundinnen und Kunden, den Besucherinnen und Besuchern bzw. von Teilnehmenden) selbst eingetragen werden.
Um keine unbefugte Kenntnis zu ermöglichen, sind die Erfassungszettel anschließend zugriffssicher abzulegen, also z.B. nicht in offenen Körben.
Es dürfen nur die Daten erhoben werden, die gemäß CoronaVO verlangt werden. Eine Bestätigung der Daten durch Unterschrift ist nach der CoronaVO nicht vorgesehen und hat daher zu unterbleiben.
Sofern nicht mit einzelnen Zetteln, sondern mit Listen gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen zur Kenntnis nehmen kann. Der Verantwortliche sollte deshalb die Daten selbst erfragen und eigenständig in die Liste eintragen. Damit könnte zugleich die Lesbarkeit der erhobenen Daten sichergestellt werden, soweit die Listen handschriftlich geführt werden. Ein Einblick (z.B. des Kunden) in bereits erfasste Kontaktdaten ist dabei unbedingt auszuschließen.
Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so taggenau den Löschfristen nachkommen zu können.
Informationspflichten
Die betroffenen Personen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen könnte dort, wo die Daten erfasst werden (z. B. im Empfangsbereich), ein Aushang angebracht oder ein Informationsblatt ausgelegt werden. Die Informationen müssen beinhalten:
- Name und Kontaktdaten des Verantwortlichen,
- Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
- Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung,
- Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich eine Person nachträglich als infiziert herausstellen sollte),
- Dauer der Speicherung (höchstens ein Monat),
- Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung und auf Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover),
- Hinweis, dass die betroffenen Personen nur die Dienstleistung in Anspruch nehmen bzw. die Einrichtung betreten können, soweit sie mit der Datenerfassung einverstanden sind.
- Sind im Betrieb oder der Einrichtung bereits Informationen nach Art. 13 DS-GVO für Kundinnen und Kunden bzw. Teilnehmende vorhanden, da in der Vergangenheit bereits deren Daten erfasst wurden, müssen diese lediglich ergänzt werden (neuer Zweck, dessen Rechtsgrundlage, Speicherdauer, Empfänger der Daten).
Ein allgemeinesMuster für einen Aushang zur Erfüllung der Informationspflichten finden Sie im Download-Bereich rechts bzw. unten (mobile Ansicht). Diese beziehen sich ausschließlich auf die Verarbeitung von Kunden-, Besucher- und Teilnehmerdaten im Zusammenhang mit der niedersächsischen Corona-Verordnung. Sie sind kein allgemeines Muster für die Informationspflichten nach Art. 13 (und 14) DS-GVO.
Sollte ein Betrieb bzw. eine Einrichtung noch nicht explizit aufgeführt sein, können die Muster für andere Betriebe und Einrichtungen mit geringfügigen Änderungen verwendet werden.
Aufbewahrung
Ziel der Dokumentation ist es lt. § 5 Abs. 1 Satz 3 CoronaVO etwaige Infektionsketten nachzuvollziehen. Daher sind die zu erhebenden Daten für die Dauer von drei Wochen nach dem Ende des jeweiligen Ereignisses aufzubewahren.
Spätestens einen Monat nach dem Ende des jeweiligen Ereignisses müssen die Kontaktdaten gelöscht werden.
Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Unzureichend wäre es, Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.[1]
Übermittlung
Die Dokumentation ist gem. § 5 Abs. 1 Satz 4 CoronaVO dem zuständigen Gesundheitsamt auf Verlangen vorzulegen. Dies sollte ausschließlich bei schriftlicher Aufforderung geschehen.
Jede Aufforderung zur Übermittlung und die Übermittlung selbst müssen dokumentiert werden, um der Rechenschaftspflicht nachzukommen (welche Liste wurde wann an wen wie übermittelt).
Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.
Zweckbindung
Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache oder Werbung genutzt werden.
Wen betrifft es?
Folgende Stellen sind nach der CoronaVO zur Dokumentation verpflichtet:
- Dienstleisterinnen und Dienstleister, die eine Dienstleistung mit unmittelbarem Körperkontakt zu einer Kundin oder einem Kunden erbringen (§ 5 Abs. 1 Satz 1 Nr. 1 CoronaVO),
- Fahrschulen, Fahrlehrerausbildungsstätten, Flugschulen und anerkannte Aus- und Weiterbildungsstätten nach dem Berufskraftfahrer-Qualifikations-Gesetz sowie Aus- und Weiterbildungsbildungsstätten für Triebfahrzeugführer und anderes Personal im Bereich der Eisen- und Straßenbahnen o.ä. (§ 5 Abs. 1 Satz 1 Nr. 2 CoronaVO),
- Dienstleistende sowie Betreiberinnen oder Betreiber einer Einrichtung oder eines Betriebs, die oder der einen Termin nach § 7 vereinbaren. Dies betrifft Gedenkstätten, Zoos, Tierparks oder botanische Gärten sowie Museen, Freilichtmuseen, Ausstellungen, Galerien oder ähnliche Einrichtungen (§ 5 Abs. 1 Satz 1 Nr. 2a CoronaVO),
- Dienstleistende sowie Betreiberinnen oder Betreiber einer Einrichtung oder eines Betriebs, die oder der einen Termin nach § 10 Abs. 1 b Satz 3 vereinbaren. Dies bezieht sich insbesondere auf Beratung und der Verkauf von jeglicher Ware in den Geschäftsräumen einer nach § 10 Satz 1 der CoronaVO geschlossenen Verkaufsstelle nach vorheriger Terminvereinbarung, sog. Terminshopping (§ 5 Abs. 1 Satz 1 Nr. 2a CoronaVO),
- Dienstleistende sowie Betreiberinnen oder Betreiber einer Einrichtung oder eines Betriebs, die oder der einen Termin nach § 10 Abs. 1 b Satz 6 vereinbaren. Dies betrifft Bemusterungstermine zur Vorbereitung des Innen- und Außenausbaus und Terminen zur Anprobe individuell hergestellter oder geänderter Kleidung (§ 5 Abs. 1 Satz 1 Nr. 2a CoronaVO),
- Mensen und Kantinen (§ 5 Abs. 1 Satz 1 Nr. 3 CoronaVO),
- private Kinderbetreuung, Kindertagespflege (§ 11 CoronaVO),
- Volkshochschulen, sonstige öffentliche oder private Bildungseinrichtungen im außerschulischen Bereich (z. B. Erwachsenen-, Familien-, Jugendbildung, berufliche Aus-, Fort- oder Weiterbildung sowie Musikschulen (§ 5 Abs. 1 Satz 1 Nr. 4 CoronaVO),
- Anbieterinnen und Anbieter von außerschulischer Lernförderung nach § 14 a Abs. 2 (§ 5 Abs. 1 Satz 1 Nr. 4a CoronaVO),
- Gruppenbezogene, nicht stationäre Angebote der Kinder- und Jugendhilfe
(§ 5 Abs. 1 Satz 1 Nr. 5 CoronaVO), - Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen (§ 5 Abs. 1 Satz 1 Nr. 6 CoronaVO),
- Heime und unterstützende Wohnformen, Intensivpflege-Wohngemeinschaften, Einrichtungen der Tagespflege (§ 14 Abs. 1 Satz 3 CoronaVO),
- Anbieter von Veranstaltungen nach § 7 Abs. 1 CoronaVO,
- Unternehmen im Sinne des § 6 Abs. 9 des Arbeitnehmer-Entsendegesetzes (§ 10 Abs. 5 CoronaVO).
Sofern Behörden, Gerichte und Stellen, die Aufgaben im öffentlichen Interesse erfüllen oder in Ausübung öffentlicher Gewalt handeln (z.B. Schulen, Hochschulen, Kommunen), von der Möglichkeit zur Kontaktdatenerhebung nach § 5 Abs. 2 CoronaVO Gebrauch machen, gilt Vorstehendes entsprechend.
Für alle verantwortlichen Stellen, die nicht explizit durch die CoronaVO oder eine andere Rechtsvorschrift zur Erfassung personenbezogener Daten verpflichtet oder ermächtigt worden sind, ist die Erfassung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie nur auf Basis einer Einwilligung möglich.
(Stand: 15.03.2021)
[1] Zum richtigen Löschen von Festplatten s.a. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/RichtigLoeschen/richtigloeschen_node.html