Corona, Anwesenheitslisten und der Datenschutz

Für viele Unternehmen, Selbstständige aber auch Freiberufler gilt inzwischen oder demnächst eine Pflicht zur Erfassung der Kontaktdaten aller Kundinnen und Kunden bzw. aller Teilnehmer wenn dies die Räumlichkeiten Betreten und Verlassen.

Wichtigste Punkte

Unternehmen müssen Kontaktdaten von Kunden erfassen, wenn sie deren Räumlichkeiten betreten.
Datenschutz ist entscheidend; Daten dürfen nur dazu verwendet werden, wofür sie erhoben wurden.
Neue Listen sind täglich anzulegen, um Datenschutz-fristen einzuhalten.
Betroffene Personen müssen über die Datenerhebung gemäß DSGVO informiert werden.
Daten müssen sicher und gemäß geltenden Vorschriften vernichtet werden, z.B. durch Schreddern.
Die Herausgabe von Listen an Behörden muss dokumentiert und sicher übertragen werden.
Einverständnis der betroffenen Personen ist notwendig, um Datenerfassung durchzuführen.

Bei diesen Listen sollte jedoch, übrigens anders als es – durchaus falsch – viele Behörden wie Gerichte aktuell praktizieren, der Datenschutz beachten werden. Ansonsten kann es Ungemach von anderer Seite geben.

Keine Person darf die Daten anderer Personen zur Kenntnis nehmen können. Man sollten daher die Daten nur erfragen und selbst in Listen eintragen. Ist dies zu aufwendig, muss dafür gesorgt werden, dass bei eigenständigen Eintragen der Kontaktdaten die vorherigen Einträge abgedeckt sind.
Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so den datenschutzrechtlichen Löschfristen nachkommen zu können.
Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache oder Werbung genutzt werden.
Jeder muss über die Datenerhebung gemäß Art. 13 DSGVO. Die Information muss dabei folgendes beinhalten:

- Name und Kontaktdaten des Verantwortlichen.
- Kontaktdaten des eventuellen Datenschutzbeauftragten.
- Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung.
- Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt).
- Dauer der Speicherung.
- Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung sowie auf das Recht auf Beschwerde bei einer Aufsichtsbehörde.
- Hinweis, dass die betroffenen Personen nur bedient, unterrichtet oder geprüft werden können, soweit sie mit der Datenerfassung einverstanden sind.

Fordert das Gesundheitsamt oder andere Behörden die Inhalte der Listen an, sollte diese Herausgabe auch dokumentiert werden. Rein formell ist dabei ein sicherer Übertragungsweg zu nutzen, also Post, Fax oder E-Mail mit Ende-zu-Ende-Verschlüsselung.

Die Daten sind nach entsprechend der geltenden Corona-Verordnung für das jeweilige Bundesland wohl spätestens einen Monat nach dem letzten Kontakt mit der betreffenden Person zu vernichten bzw. zu löschen. Dies wiederum muss ebenfalls im Einklag mit dem Datenschutz geschehen, weswegen Listen eigentlich mit einem Aktenvernichter geschreddert werden müssen und Dateien auf einem PC oder z.B. Tablet durch sicheres Löschen entsorgt werden müssen. Unzureichend wäre es daher Papierunterlagen in den Hausmüll bzw. die Altpapiertonne zu geben oder Dateien lediglich normal zu löschen.

Kontaktieren Sie mich für weitere Fragen!

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.

Tags: Datenschutz Datenschutzrecht E-Mail Information Mail Test Verordnung