Das Wichtigste in Kürze
- Die Pflicht zur Kontaktdatenerfassung erfordert strikte Beachtung der Datenschutzgrundsätze, um rechtliche Konsequenzen zu vermeiden.
- Wichtige Grundsätze umfassen die Verhinderung von Einsichtnahme durch Dritte, die Führung tagesaktueller Listen, die Zweckbindung der Daten und die Erfüllung der Informationspflicht gemäß Art. 13 DSGVO.
- Datenanfragen von Behörden müssen sorgfältig dokumentiert und über sichere Übertragungswege abgewickelt werden.
- Die erfassten Daten sind spätestens einen Monat nach dem letzten Kontakt sicher zu vernichten oder zu löschen.
- Eine Missachtung der Datenschutzvorschriften kann zu rechtlichen Problemen und Reputationsschäden führen.
Die Pflicht zur Kontaktdatenerfassung: Was Unternehmen rechtlich beachten müssen
Für viele Unternehmen, Selbstständige und Freiberufler gilt inzwischen oder demnächst eine Pflicht zur Erfassung der Kontaktdaten ihrer Kundinnen und Kunden oder aller Teilnehmer, die Räumlichkeiten betreten und verlassen. Diese Maßnahmen dienen der Nachverfolgung von Infektionsketten und dem Gesundheitsschutz.
Bei der Umsetzung dieser Pflicht ist es jedoch entscheidend, den Datenschutz bei der Kontaktdatenerfassung zu beachten. Leider praktizieren viele Behörden und Gerichte hierbei – oft fälschlicherweise – unzureichende Verfahren. Eine Missachtung der Datenschutzgrundsätze kann rechtliche Konsequenzen nach sich ziehen.
Wichtige Datenschutzgrundsätze bei der Kontaktdatenerfassung
Um rechtliche Risiken zu minimieren und die Privatsphäre der betroffenen Personen zu schützen, sollten folgende Grundsätze unbedingt eingehalten werden:
- Einsichtnahme durch Dritte verhindern: Keine Person darf die Daten anderer Personen zur Kenntnis nehmen können. Daher sollten Sie die Daten selbst erfragen und in Listen eintragen. Ist dies zu aufwendig, muss sichergestellt werden, dass bei eigenständigem Eintragen der Kontaktdaten die vorherigen Einträge abgedeckt sind.
- Tagesaktuelle Listen: Für jeden Tag sollte eine neue Liste begonnen werden. Dies ermöglicht die Einhaltung der datenschutzrechtlichen Löschfristen.
- Zweckbindung: Die erhobenen Daten dürfen ausschließlich für den vorgegebenen Zweck, beispielsweise die Nachverfolgung von Infektionsketten, genutzt werden. Eine Verwendung für andere Zwecke wie Kundenansprache oder Werbung ist untersagt.
- Informationspflicht gemäß Art. 13 DSGVO: Jede betroffene Person muss über die Datenerhebung gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO) informiert werden. Diese Information muss Folgendes beinhalten:
- Name und Kontaktdaten des Verantwortlichen.
- Kontaktdaten des eventuellen Datenschutzbeauftragten.
- Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlagen der Verarbeitung.
- Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt).
- Dauer der Speicherung der Daten.
- Hinweis auf das Bestehen des Rechts auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie auf das Recht auf Beschwerde bei einer Aufsichtsbehörde.
- Hinweis, dass die betroffenen Personen nur bedient, unterrichtet oder geprüft werden können, soweit sie mit der Datenerfassung einverstanden sind.
Umgang mit Datenanfragen von Behörden
Fordert das Gesundheitsamt oder andere Behörden die Inhalte der Listen an, sollte diese Herausgabe sorgfältig dokumentiert werden. Rein formell ist dabei ein sicherer Übertragungsweg zu nutzen. Dies kann per Post, Fax oder E-Mail mit Ende-zu-Ende-Verschlüsselung erfolgen.
Es ist ratsam, für den Umgang mit solchen Anfragen interne Prozesse zu etablieren, um die Einhaltung des betrieblichen Datenschutzes zu gewährleisten.
Löschfristen und sichere Datenvernichtung
Die erfassten Daten sind entsprechend der geltenden Corona-Verordnung für das jeweilige Bundesland spätestens einen Monat nach dem letzten Kontakt mit der betreffenden Person zu vernichten oder zu löschen. Dieser Prozess muss ebenfalls im Einklang mit den Datenschutzvorschriften geschehen.
Für Papierunterlagen bedeutet dies, dass Listen mit einem Aktenvernichter geschreddert werden müssen. Digitale Daten auf PCs oder Tablets sind durch sicheres Löschen zu entsorgen. Ein einfaches Entsorgen von Papierunterlagen im Hausmüll oder der Altpapiertonne, oder das normale Löschen von Dateien, ist datenschutzrechtlich unzureichend und kann zu Problemen führen. Das Thema Datenschutz ist komplex und erfordert stets höchste Sorgfalt.
Fazit
Die sorgfältige Einhaltung der Datenschutzvorschriften bei der Kontaktdatenerfassung ist für Unternehmen, Selbstständige und Freiberufler unerlässlich. Sie schützt nicht nur die Daten der Kunden, sondern auch das Unternehmen selbst vor rechtlichen Konsequenzen und Reputationsschäden. Bei Fragen zur korrekten Umsetzung empfiehlt sich die Konsultation eines Rechtsexperten.