Datenschutzkonforme Dokumentation zur Umsetzung der Nieder-sächsischen Verordnung zur Neuordnung der Maßnahmen gegen die Ausbreitung des Corona-Virus SARS-CoV-2

Zahlreiche Branchen und Einrichtungen müssen die Kontaktdaten aller Kundinnen und Kunden/Besucherinnen und Besucher/Teilnehmenden erfassen, wenn diese die Geschäftsräume oder Einrichtungen betreten bzw. an einer Veranstaltung teilnehmen wollen. Dies gilt gemäß § 4 der Niedersächsischen Verordnung zur Neuordnung der Maßnahmen gegen die Ausbreitung des Corona-Virus SARS-CoV-2 (CoronaVO). Ohne Erfassung der Kontaktdaten darf ein Zutritt zu der jeweiligen Einrichtung oder eine Teilnahme an der jeweiligen Veranstaltung nicht gewährt werden.

Sofern eine Dokumentationspflicht besteht, bezieht sich diese für alle Branchen und Einrichtungen auf folgende Daten:

Familienname,
Vorname,
vollständige Anschrift,
eine Telefonnummer,
den Zeitpunkt des Betretens und Verlassens des Betriebs bzw. der Einrichtung.

Die vollständige Anschrift umfasst die Angabe der privaten Adresse in Form von Straße, Hausnummer, Postleitzahl und Wohnort.

Bei dienstlichen Tätigkeiten genügen die dienstlichen Kontaktdaten, also die Anschrift des Unternehmens bzw. der Behörde. Wenn also eine Physiotherapeutin ein Altenheim aufsucht, um eine Bewohnerin oder einen Bewohner zu behandeln, ist die Postanschrift der Praxis anzugeben.

Die Kontaktdaten müssen wahrheitsgemäß angegeben werden, § 4 Satz 6 CoronaVO.

Erhebung der Daten

Es ist zu gewährleisten, dass unbefugte Dritte von den erhobenen Kontaktdaten keine Kenntnis erlangen.

Um dieser Forderung aus § 4 Satz 4 CoronaVO nachkommen zu können, sollten die Daten mit einzelnen Erfassungszetteln erhoben werden, auf denen sie von den betroffenen Personen (also von Kundinnen und Kunden, den Besucherinnen und Besuchern bzw. von Teilnehmenden) selbst eingetragen werden.

Um keine unbefugte Kenntnis zu ermöglichen, sind die Erfassungszettel anschließend zugriffssicher abzulegen, also z.B. nicht in offenen Körben.

Es dürfen nur die Daten erhoben werden, die gemäß CoronaVO verlangt werden.

Sofern nicht mit einzelnen Zetteln, sondern mit Listen gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen zur Kenntnis nehmen kann. Der Verantwortliche sollte deshalb die Daten selbst erfragen und eigenständig in die Liste eintragen. Damit könnte zugleich die Lesbarkeit der erhobenen Daten sichergestellt werden, soweit die Listen handschriftlich geführt werden.
Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so taggenau den Löschfristen nachkommen zu können.

Informationspflichten

Die betroffenen Personen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen könnte dort, wo die Daten erfasst werden (z. B. im Empfangsbereich), ein Aushang angebracht oder ein Informationsblatt ausgelegt werden. Die Informationen müssen beinhalten:

Name und Kontaktdaten des Verantwortlichen,
Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung,
Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich eine Person nachträglich als infiziert herausstellen sollte),
Dauer der Speicherung (höchstens ein Monat),
Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung und auf Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover),
Hinweis, dass die betroffenen Personen nur die Dienstleistung in Anspruch nehmen bzw. die Einrichtung betreten können, soweit sie mit der Datenerfassung einverstanden sind.
Sind im Betrieb oder der Einrichtung bereits Informationen nach Art. 13 DS-GVO für Kundinnen und Kunden bzw. Teilnehmende vorhanden, da in der Vergangenheit bereits deren Daten erfasst wurden, müssen diese lediglich ergänzt werden (neuer Zweck, dessen Rechtsgrundlage, Speicherdauer, Empfänger der Daten).

Verschiedene Muster für einen Aushang zur Erfüllung der Informationspflichten finden Sie im Download-Bereich rechts bzw. unten (mobile Ansicht). Diese beziehen sich ausschließlich auf die Verarbeitung von Kunden-, Besucher- und Teilnehmerdaten im Zusammenhang mit der niedersächsischen Corona-Verordnung. Sie sind kein allgemeines Muster für die Informationspflichten nach Art. 13 (und 14) DS-GVO.

Sollte ein Betrieb bzw. eine Einrichtung noch nicht explizit aufgeführt sein, können die Muster für andere Betriebe und Einrichtungen mit geringfügigen Änderungen verwendet werden.

Aufbewahrung

Ziel der Dokumentation ist es lt. § 4 Abs. 1 CoronaVO etwaige Infektionsketten nachzuvollziehen. Daher sind die zu erhebenden Daten für die Dauer von drei Wochen nach dem Ende des jeweiligen Ereignisses aufzubewahren.

Spätestens einen Monat nach dem Ende des jeweiligen Ereignisses müssen die Kontaktdaten gelöscht werden.

Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Unzureichend wäre es, Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.[1]

Übermittlung

Die Dokumentation ist gem. § 4 Satz 3 CoronaVO dem zuständigen Gesundheitsamt auf Verlangen vorzulegen. Dies sollte ausschließlich bei schriftlicher Aufforderung geschehen.

Jede Aufforderung zur Übermittlung und die Übermittlung selbst müssen dokumentiert werden, um der Rechenschaftspflicht nachzukommen (welche Liste wurde wann an wen wie übermittelt).

Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.

Zweckbindung

Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache oder Werbung genutzt werden.

Wen betrifft es?

Folgende Stellen sind nach der CoronaVO zur Dokumentation verpflichtet:

Betriebe, die sogenannte körpernahe Dienstleistungen erbringen wie z.B. Frisörinnen und Frisöre, Maniküre-, Pediküre- und Kosmetikstudios oder Massagepraxen (§ 8 Abs. 1 CoronaVO),
Fahrschulen, Fahrlehrerausbildungsstätten, Flugschulen und anerkannte Aus- und Weiterbildungsstätten nach dem Berufskraftfahrer-Qualifikations-Gesetz sowie Aus- und Weiterbildungsbildungsstätten für Triebfahrzeugführer und anderes Personal im Bereich der Eisen- und Straßenbahnen o.ä. (§ 8 Abs. 2 CoronaVO),
Jugendherbergen, Familienferien- und Freizeitstätten, Jugend- und Erwachsenenbildungsstätten (§ 9 Abs. 2 CoronaVO)
Restaurationsbetriebe, insbesondere Restaurants, Freiluftgastronomie, Bars, Imbisse und Cafés, allein oder in Verbindung mit anderen Einrichtungen, sowie Mensen und Kantinen (§ 10 Abs. 1 CoronaVO),
Spielhallen, Spielbanken und Wettannahmestellen (§ 11 CoronaVO),
Betreiber von touristischen Schiffsfahrten sowie von Boots- und Fahrradverleihen (§ 12 Abs. 1 und 2 CoronaVO),
Anbieter touristischer Busreisen (§ 13 Abs. 1 CoronaVO),
Private Kinderbetreuung (§ 15 CoronaVO),
Bildungsangebote und Prüfungen an Volkshochschulen, sonstigen öffentlichen und privaten Bildungseinrichtungen im außerschulischen Bereich sowie Musikschulen (§ 18 CoronaVO),
Gruppenbezogene, nicht stationäre Angebote der Kinder- und Jugendhilfe (§ 19 Abs. 2 CoronaVO),
Werkstätten für behinderte Menschen, Tagesförderstätten für behinderte Menschen sowie vergleichbare Angebote der Eingliederungshilfe (§ 20 CoronaVO),
Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen (§ 21 CoronaVO),
Heime und unterstützende Wohnformen, Intensivpflege-Wohngemeinschaften, Einrichtungen der Tagespflege, wie z.B. Heime für Ältere, Pflegebedürfte oder Menschen mit Behinderungen (§ 22 Abs. 1 CoronaVO),
Anbieter von Veranstaltungen in geschlossenen Räumen, insbesondere kulturelle Veranstaltungen wie z.B. Aufführungen der darstellenden Künste, der Musik oder der Literatur (§ 24 Abs. 2 CoronaVO),
Vorführungen im Kino (§ 24 Abs. 2 CoronaVO),
Anbieter von Veranstaltungen unter freiem Himmel mit mehr als 500 Personen (§ 25 Abs. 2 CoronaVO),
Fitnessstudios (§ 26 Abs. 3 CoronaVO),
Veranstalter von Sportausübungen, wie z.B. Vereinen (§ 26 Abs. 1 und 2 CoronaVO),
Unternehmen im Sinne des § 6 Abs. 10 des Arbeitnehmer-Entsendegesetzes (§ 6 Abs. 4 CoronaVO),
Prostitutionsstätten und -fahrzeuge (§ 8 Abs. 3 Nr. 2).

Behörden, Gerichte und Stellen, die Aufgaben im öffentlichen Interesse erfüllen oder in Ausübung öffentlicher Gewalt handeln, können im Rahmen des Zutritts zu den jeweiligen Gebäuden oder Räumlichkeiten ebenfalls personenbezogene Daten im Sinne von § 4 Abs. 1 Satz 1 CoronaVO erheben. Die Regelungen zur Übermittlung, Aufbewahrung und Vernichtung gelten entsprechend.

Für alle verantwortlichen Stellen, die nicht explizit durch die CoronaVO oder eine andere Rechtsvorschrift zur Erfassung personenbezogener Daten verpflichtet worden sind, ist die Erfassung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie nur auf Basis einer Einwilligung möglich.

(Stand: 14.9.2020)

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover

Telefon: 0511 120-4500

Fax: 0511 120-4599

E-Mail an Ansprechpartner schreiben

[1] Zum richtigen Löschen von Festplatten s.a. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/RichtigLoeschen/richtigloeschen_node.html

Drucken

Muster zur Erfüllung der Informationspflichten während der Corona-Pandemie

Mustererhebungsblatt § 4 CoronaVO

Muster für Volkshochschulen, Musikhochschulen etc.

Muster für Spielhallen, Spielbanken und Wettannahmestellen

Muster für Anbieter touristischer Schiffsfahrten und Busreisen