Mustererhebungsblatt § 5 CoronaVO
Muster für Kantinen und Mensen
Muster für Anbieter körpernaher Dienstleistungen
Zahlreiche Branchen und Einrichtungen müssen die Kontaktdaten aller Kundinnen und Kunden/Besucherinnen und Besucher/Teilnehmenden erfassen, wenn diese die Geschäftsräume oder Einrichtungen betreten bzw. an einer Veranstaltung teilnehmen wollen. Dies gilt gemäß § 5 der Niedersächsischen Verordnung über Maßnahmen zur Eindämmung des Corona-Virus SARS-CoV-2 (Niedersächsische Corona-Verordnung, nachfolgend: CoronaVO). Ohne Erfassung der Kontaktdaten darf ein Zutritt zu der jeweiligen Einrichtung oder eine Teilnahme an der jeweiligen Veranstaltung nicht gewährt werden.
Sofern eine Dokumentationspflicht besteht, bezieht sich diese für alle Branchen und Einrichtungen auf folgende Daten:
Die vollständige Anschrift umfasst die Angabe der privaten Adresse in Form von Straße, Hausnummer, Postleitzahl und Wohnort.
Bei dienstlichen Tätigkeiten genügen die dienstlichen Kontaktdaten, also die Anschrift des Unternehmens bzw. der Behörde. Wenn also eine Physiotherapeutin ein Altenheim aufsucht, um eine Bewohnerin oder einen Bewohner zu behandeln, ist die Postanschrift der Praxis anzugeben.
Die Kontaktdaten müssen wahrheitsgemäß angegeben werden, § 5 Abs. 1 Satz 7 CoronaVO.
Erhebung der Daten
Es ist zu gewährleisten, dass unbefugte Dritte von den erhobenen Kontaktdaten keine Kenntnis erlangen.
Um dieser Forderung aus § 5 Abs. 1 Satz 5 CoronaVO nachkommen zu können, sollten die Daten mit einzelnen Erfassungszetteln erhoben werden, auf denen sie von den betroffenen Personen (also von Kundinnen und Kunden, den Besucherinnen und Besuchern bzw. von Teilnehmenden) selbst eingetragen werden.
Um keine unbefugte Kenntnis zu ermöglichen, sind die Erfassungszettel anschließend zugriffssicher abzulegen, also z.B. nicht in offenen Körben.
Es dürfen nur die Daten erhoben werden, die gemäß CoronaVO verlangt werden.
Sofern nicht mit einzelnen Zetteln, sondern mit Listen gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen zur Kenntnis nehmen kann. Der Verantwortliche sollte deshalb die Daten selbst erfragen und eigenständig in die Liste eintragen. Damit könnte zugleich die Lesbarkeit der erhobenen Daten sichergestellt werden, soweit die Listen handschriftlich geführt werden.
Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so taggenau den Löschfristen nachkommen zu können.
Informationspflichten
Die betroffenen Personen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen könnte dort, wo die Daten erfasst werden (z. B. im Empfangsbereich), ein Aushang angebracht oder ein Informationsblatt ausgelegt werden. Die Informationen müssen beinhalten:
Verschiedene Muster für einen Aushang zur Erfüllung der Informationspflichten finden Sie im Download-Bereich rechts bzw. unten (mobile Ansicht). Diese beziehen sich ausschließlich auf die Verarbeitung von Kunden-, Besucher- und Teilnehmerdaten im Zusammenhang mit der niedersächsischen Corona-Verordnung. Sie sind kein allgemeines Muster für die Informationspflichten nach Art. 13 (und 14) DS-GVO.
Sollte ein Betrieb bzw. eine Einrichtung noch nicht explizit aufgeführt sein, können die Muster für andere Betriebe und Einrichtungen mit geringfügigen Änderungen verwendet werden.
Aufbewahrung
Ziel der Dokumentation ist es lt. § 5 Abs. 1 Satz 3 CoronaVO etwaige Infektionsketten nachzuvollziehen. Daher sind die zu erhebenden Daten für die Dauer von drei Wochen nach dem Ende des jeweiligen Ereignisses aufzubewahren.
Spätestens einen Monat nach dem Ende des jeweiligen Ereignisses müssen die Kontaktdaten gelöscht werden.
Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Unzureichend wäre es, Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.[1]
Übermittlung
Die Dokumentation ist gem. § 5 Abs. 1 Satz 4 CoronaVO dem zuständigen Gesundheitsamt auf Verlangen vorzulegen. Dies sollte ausschließlich bei schriftlicher Aufforderung geschehen.
Jede Aufforderung zur Übermittlung und die Übermittlung selbst müssen dokumentiert werden, um der Rechenschaftspflicht nachzukommen (welche Liste wurde wann an wen wie übermittelt).
Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.
Zweckbindung
Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache oder Werbung genutzt werden.
Wen betrifft es?
Folgende Stellen sind nach der CoronaVO zur Dokumentation verpflichtet:
Sofern Behörden, Gerichte und Stellen, die Aufgaben im öffentlichen Interesse erfüllen oder in Ausübung öffentlicher Gewalt handeln (z.B. Schulen, Hochschulen, Kommunen), von der Möglichkeit zur Kontaktdatenerhebung nach § 5 Abs. 2 CoronaVO Gebrauch machen, gilt Vorstehendes entsprechend.
Für alle verantwortlichen Stellen, die nicht explizit durch die CoronaVO oder eine andere Rechtsvorschrift zur Erfassung personenbezogener Daten verpflichtet oder ermächtigt worden sind, ist die Erfassung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie nur auf Basis einer Einwilligung möglich.
(Stand: 30.10.2020)
[1] Zum richtigen Löschen von Festplatten s.a. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/RichtigLoeschen/richtigloeschen_node.html
Mustererhebungsblatt § 5 CoronaVO
Muster für Kantinen und Mensen
Muster für Anbieter körpernaher Dienstleistungen