Niedersachen klar Logo

Datenschutzkonforme Dokumentation zur Umsetzung der Niedersächsischen Verordnung über infektionsschützende Maßnahmen gegen die Ausbreitung des Corona-Virus


Für zahlreiche Branchen und Einrichtungen gilt gemäß der Niedersächsischen Verordnung über infektionsschützende Maßnahmen gegen die Ausbreitung des Corona-Virus (CoronaVO) eine Pflicht zur Erfassung der Kontaktdaten aller Kunden/Besucher/Teilnehmer sowie des Zeitpunkts des Betretens und Verlassens des Betriebs bzw. der Einrichtung. Es besteht zudem für die Daten eine Aufbewahrungspflicht von drei Wochen. Personen, die hiermit nicht einverstanden sind, dürfen nicht bedient, unterrichtet oder geprüft werden bzw. die Einrichtung nicht betreten.

Die nachfolgenden Hinweise betreffen:

  1. Betriebe, die sogenannte körpernahe Dienstleistungen erbringen wie zum Beispiel Frisörinnen und Frisöre, Maniküre-, Pediküre- und Kosmetikstudios oder Massagepraxen (§ 7 Abs. 1 Sätze 3-6 CoronaVO),
  2. Restaurationsbetriebe, insbesondere Restaurants, Gaststätten, Biergärten im Freien, Imbisse, Cafés, allein oder in Verbindung mit anderen Einrichtungen, und Kantinen (§ 6 Abs. 1 Sätze 5-9 CoronaVO),
  3. Fitnessstudios (§ 1 Abs. 10 CoronaVO),
  4. Spielhallen (§ 2i Abs. 1 Sätze 6-9 CoronaVO), Spielbanken (§ 2j Abs. 1 Sätze 8-11 CoronaVO) und Wettannahmestellen (§ 2k Sätze 7-10 CoronaVO),
  5. Betreiber von touristischen Schiffsfahrten (§ 2m Absatz 1 Sätze 5-8 CoronaVO) sowie von Boots- und Fahrradverleihen (§ 2m Absatz 2),
  6. Volkshochschulen, sonstige öffentliche und private Bildungseinrichtungen im außerschulischen Bereich sowie Musikschulen (§ 2h Sätze 4-7 CoronaVO),
  7. Fahrschulen, Fahrlehrerausbildungsstätten, Flugschulen und anerkannte Aus- und Weiterbildungsstätten nach dem Berufskraftfahrer-Qualifikations-Gesetz sowie Aus- und Weiterbildungsbildungsstätten für Triebfahrzeugführer und anderes Personal im Bereich der Eisen- und Straßenbahnen (§ 7 Abs. 3 Sätze 3-6 CoronaVO),
  8. Heime für Ältere, Pflegebedürfte oder Menschen mit Behinderungen sowie ambulant betreute Wohngemeinschaften (§ 2a Abs. 2 Satz 2 CoronaVO),
  9. Werkstätten für behinderte Menschen, Tagesförderstätten für behinderte Menschen sowie vergleichbare Angebote der Eingliederungshilfe (§ 10a Abs. 7 Sätze 3-6 CoronaVO),
  10. Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen (§ 2a Abs. 1 Sätze 4-6 CoronaVO),
  11. Anbieter kultureller Veranstaltungen im Freien (§ 1 Abs. 5c Sätze 5-7 CoronaVO),
  12. Veranstalter einer Sportausübung im Freien (§ 1 Abs. 8 Satz 2 CoronaVO),
  13. Anbieter touristischer Busreisen (§ 2n Sätze 5-8 CoronaVO),
  14. soziale, pädagogische oder psychologische Beratungsstellen sowie Angebote der Kinder- und Jugendhilfe (§ 3 Absatz 2 Sätze 3-6 CoronaVO),
  15. Veranstalter von Messen, Kongressen, gewerblichen Ausstellungen, Spezialmärkten und ähnlichen Veranstaltungen nach dem 31. August 2020 (§ 1 Abs. 6a Sätze 3-6 CoronaVO).

Zur datenschutzkonformen Umsetzung der Vorgaben der CoronaVO ist Folgendes zu beachten:


A.

Wenn mit Erfassungslisten gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen zur Kenntnis nehmen kann. Der Verantwortliche sollte deshalb die Daten erfragen (Vornamen, Familienname, vollständige Anschrift und Telefonnummer) und selbst in entsprechende Listen eintragen. Damit könnte zugleich die Lesbarkeit der erhobenen Daten sichergestellt werden, soweit die Listen manuell in Papierform geführt werden. Ein eigenständiges Eintragen der Kontaktdaten durch die betroffene Person (in manuelle Listen) ist aus Datenschutzsicht nur zulässig, wenn vorherige Einträge abgedeckt werden. Es dürfen nur die Daten erhoben werden, die gemäß Corona-Verordnung verlangt werden.

Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so taggenau den Löschfristen nachkommen zu können.

Alternativ kann auch pro Kunde/Gast/Teilnehmer/Besucher ein einzelnes Dokument verwendet werden.



B.

Die betroffenen Personen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen könnte dort, wo die Daten erfasst werden (z. B. im Empfangsbereich), ein Aushang angebracht oder ein Informationsblatt ausgelegt werden. Die Informationen müssen beinhalten:

  • Name und Kontaktdaten des Verantwortlichen,
  • Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
  • Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung,
  • Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich eine Person nachträglich als infiziert herausstellen sollte),
  • Dauer der Speicherung (höchstens ein Monat, siehe dazu D.),
  • Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung und auf Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover),
  • Hinweis, dass die betroffenen Personen nur die Dienstleistung in Anspruch nehmen bzw. die Einrichtung betreten können, soweit sie mit der Datenerfassung einverstanden sind.
  • Sind im Betrieb oder der Einrichtung bereits Informationen nach Art. 13 DS-GVO für Kundinnen und Kunden bzw. Teilnehmende vorhanden, da in der Vergangenheit bereits deren Daten erfasst wurden, müssen diese lediglich ergänzt werden (neuer Zweck, dessen Rechtsgrundlage, Speicherdauer, Empfänger der Daten).
Verschiedene Muster für einen Aushang zur Erfüllung der Informationspflichten finden Sie im Download-Bereich rechts bzw. unten (mobile Ansicht). Diese beziehen sich ausschließlich auf die Verarbeitung von Kunden-, Besucher- und Teilnehmerdaten im Zusammenhang mit der niedersächsischen Corona-Verordnung. Sie sind kein allgemeines Muster für die Informationspflichten nach Art. 13 (und 14) DS-GVO.


C.

Die erfassten Daten sollten ausschließlich bei schriftlicher Aufforderung z. B. durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Jede Aufforderung zur Übermittlung und die Übermittlung selbst müssen dokumentiert werden, um der Rechenschaftspflicht nachzukommen (welche Liste wurde an wen wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.


D.

Die Daten müssen spätestens einen Monat nach dem letzten Kontakt mit der betreffenden Person vernichtet bzw. gelöscht werden. Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Unzureichend wäre es, Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.[1]


E.

Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache/Werbung genutzt werden.


F.

Für Sportvereine und -verbände besteht nach der Niedersächsischen CoronaVO keine rechtliche Verpflichtung zur Erfassung von Kontaktdaten der Sportlerinnen und Sportler sowie des Zeitpunkts des Betretens und Verlassens der Sportanlagen.

Sofern ein Sportverein bzw. -verband dennoch auf Basis einer Einwilligung personenbezogene Daten im Zusammenhang mit der Corona-Pandemie erfassen möchte, finden Verantwortliche hier Hinweise, welche Vorgaben zwingend zu beachten sind.

Dies trifft so auch auf alle weiteren Einrichtungen zu, die nicht explizit durch die CoronaVO oder eine andere Rechtsvorschrift zur Erfassung personenbezogener Daten verpflichtet worden sind.




Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover

Telefon: 0511 120-4500

Fax: 0511 120-4599

E-Mail an Ansprechpartner schreiben




[1] Zum richtigen Löschen von Festplatten s.a. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/RichtigLoeschen/richtigloeschen_node.html

Für Sportvereine und -verbände besteht nach der Niedersächsischen CoronaVO keine rechtliche Verpflichtung zur Erfassung von Kontaktdaten der Sportlerinnen und Sportler sowie des Zeitpunkts des Betretens und Verlassens der Sportanlagen.

Sofern ein Sportverein bzw. -verband dennoch auf Basis einer Einwilligung personenbezogene Daten im Zusammenhang mit der Corona-Pandemie erfassen möchte, finden Verantwortliche hier entsprechende Hinweise, welche Vorgaben zwingend zu beachten sind.

Dies trifft so auch auf alle weiteren Einrichtungen zu, die nicht explizit nach der CoronaVO zur[KA(1] Erfassung personenbezogener Daten verpflichtet worden sind.


[KA(1]oder einer anderen Rechtsvorschrift

zum Seitenanfang
zur mobilen Ansicht wechseln