Corona XXXII: Datenschutzkonforme Dokumentation gemäß der Niedersächsischen Verordnung zum Schutz vor Neuinfektionen mit dem Corona-Virus
15. Mai 2020 | IT- und Datenschutzrecht
Seit Montag, dem 11. Mai 2020 gilt die neue Niedersächsische Verordnung zum Schutz vor Neuinfektionen mit dem Corona-Virus (sog. Corona-Verordnung). In dieser ist die Pflicht zahlreicher Gewerbebetriebe und Bildungseinrichtungen aufgenommen, Kontaktdaten aller Kundinnen und Kunden bzw. Teilnehmenden zu erfassen. Dadurch soll im Fall einer bestätigten Corona-Infektion die Infektionskette nachvollzogen werden können. Nur wenn die Kundinnen und Kunden sowie Teilnehmenden mit der Erfassung ihrer Daten einverstanden sind, dürfen diese bedient, unterrichtet oder geprüft werden.
Wer muss Daten seiner Kundinnen und Kunden sowie Teilnehmenden erfassen?
Betroffene Gewerbebetriebe sind nach der Corona-Verordnung Friseurläden, Maniküre und Pedikürestudios, Kosmetikstudios und Massagepraxen (Gruppe 1). Weiterhin müssen Restaurants, Gaststätten, Biergärten im Freien, Imbisse, Cafés und Kantinen diese Daten erfassen (Gruppe 2). Von den Bildungseinrichtungen werden Volkshochschulen, Musikschulen sowie sonstige öffentliche und private Bildungseinrichtungen in die Pflicht genommen (Gruppe 3). Auch Fahrschulen, Fahrlehrerausbildungsstätten, Flugschulen und anerkannte Aus- und Weiterbildungsstätten für Berufskraftfahrer oder Triebfahrzeugführer und anderes Personal im Bereich der Eisen- und Straßenbahnen sind betroffen (Gruppe 4).
Leitfaden der Landesbeauftragten für den Datenschutz Niedersachsen
Die Landesbeauftragte für den Datenschutz Niedersachsen hat einen Leitfaden zur datenschutzkonformen Dokumentation dieser Daten bereitgestellt. Damit werden den betroffenen Gewerbetreibenden und Bildungseinrichtungen praktische Hinweise für die Umsetzung der Pflichten aus der Corona-Verordnung an die Hand gegeben.
Datenschutzkonformer Umgang mit den Listen
Es ist notwendig, dass die Listen für jeden Tag neu erstellt werden, um den Löschfristen (dazu später) auf den Tag genau nachkommen zu können. Es empfiehlt sich, die Daten der Kunden abzufragen und selbst in die Listen einzutragen, damit verhindert werden kann, dass Kunden die Daten anderer Kunden einsehen können. Außerdem kann so die Lesbarkeit der Daten sichergestellt werden, insofern die Liste handschriftlich geführt wird.
Information über die Datenerfassung
Über die Datenverarbeitung muss gemäß den Bestimmungen der Datenschutz-Grundverordnung (Art. 13) informiert werden. Dazu kann im Eingangsbereich ein Aushang gemacht werden oder ein Informationsblatt ausgelegt werden. Dieses muss folgende Informationen beinhalten:
- Name und Kontaktdaten des Verantwortlichen (Gewerbebetrieb oder Bildungseinrichtung),
- Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
- Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung,
- Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich eine Kundin/ein Kunde/ein Teilnehmender nachträglich als infiziert herausstellen sollte),
- Dauer der Speicherung (drei Wochen/ein Monat, siehe unten),
- Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung sowie auf das Recht auf Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover),
- Hinweis, dass die betroffenen Personen nur bedient, unterrichtet oder geprüft werden können, soweit sie mit der Datenerfassung einverstanden sind.
Wurden in der Vergangenheit bereits Kundendaten erfasst und sind bereits Informationen nach Art. 13 Datenschutz-Grundverordnung vorhanden, so müssen diese lediglich ergänzt werden (bzgl. Zweck, dessen Rechtsgrundlage, Speicherdauer und Empfänger der Daten).
Übermittlung der Listen
Eine Übermittlung der Listen ist nur an das Gesundheitsamt oder andere öffentliche Stellen erlaubt. Wird zur Übermittlung aufgefordert und findet diese statt, muss dies dokumentiert werden, also wann wurde welche Liste an wen wie übermittelt. Der Übertragungsweg sollte sicher sein, d.h. per Post, per Fax oder per Ende-zu-Ende verschlüsselter E-Mail. Zu anderen Zwecken als der Übermittlung an öffentliche Stellen dürfen die Daten nicht verwendet werden.
Aufbewahrungsfristen der erfassten Daten
Die Gruppen 1 und 2 müssen die erfassten Daten drei Wochen lang aufbewahren. Für die Gruppen 3 und 4 gilt eine Aufbewahrungspflicht von einem Monat. Auch das Löschen/Vernichten muss datenschutzkonform durchgeführt werden. Geeignete Mittel sind das Schreddern der Listen mittels Aktenvernichter oder durch ein endgültiges Löschen von digitalen Datenformaten, die nicht wiederherstellbar sind.
Wenn Sie Unterstützung bei der Erstellung einer solchen Liste benötigen, sprechen Sie uns gerne an! Bei rechtlichen Fragen rund um diese Themen stehen wir Ihnen gerne zur Verfügung. KSB INTAX ist der Ansprechpartner für den Mittelstand in NIedersachsen. Wir unterstützen Sie gerne.