· 

COVID-19 - Kontaktdatenerhebung


Gästelisten in Restaurants, Betrieben etc zur Kontaktverfolgung.
Was sind die datenschutzrechtlichen Folgen?


Im Entwurf zur Änderung des EpidemieG soll eine gesetzliche Grundlage für Contact-Tracing geschaffen werden. Die Begutachtungsfrist endete am 28.8.2020. Hier erfahren Sie mehr zu den datenschutzrechtlichen Implikationen und Fallstricken der neuen Regelung.

 

 

Die neue Regelung.

 

In § 5 EpidemieG soll ein neuer Absatz (6) eingefügt werden, der wie folgt lautet:

„(6) Betriebe, Veranstalter und Vereine sind – unbeschadet nach anderen Rechtsgrundlagen bestehender Erhebungs- und Aufbewahrungspflichten – verpflichtet, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern, in deren Verarbeitung ausdrücklich eingewilligt wurde, zum Zweck der Erfüllung der Mitwirkungspflicht im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen für die Dauer von 28 Tagen aufzubewahren. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Betriebe, Veranstalter und Vereine haben geeignete Datensicherheitsmaßnahmen zu ergreifen.“

 

Aus den erläuternden Bemerkungen geht Folgendes hervor:

„Hier soll eine ausdrückliche gesetzliche Grundlage dafür geschaffen werden, dass Betriebe, Veranstalter und Vereine verpflichtet sind, Kontaktdaten, in deren Verarbeitung ausdrücklich eingewilligt wurde, von Gästen, Besuchern, Kunden und Mitarbeitern zu verarbeiten und diese im Anlassfall bei einer Umgebungsuntersuchung der Gesundheitsbehörde zur Verfügung zu stellen. Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Kontaktdaten ist die ausdrückliche Einwilligung. In diesem Zusammenhang ist klarzustellen, dass Betriebe, Veranstalter und Vereine nicht den Eintritt oder die Dienstleistung verweigern dürfen, weil die Einwilligung in die Datenverarbeitung abgelehnt wird.“

 

 

Wer ist zur „Aufzeichnung“ verpflichtet?

 

Es betrifft „Betriebe, Veranstalter und Vereine“, nicht aber Private, dh alle Organisationen, die deren Betriebsgelände oder Gebäude oder Lokal von dritten Personen betreten werden.

Aus datenschutzrechtlicher Sicht sind diese Organisationen als „Verantwortlicher“ iSd DSGVO anzusehen.

 

Der Entwurf sieht keinerlei Beschränkung auf „Betriebe, Veranstalter oder Vereine“ vor, bei denen die betroffenen Personen in geschlossenen Räumen aufeinandertreffen, zB Besprechungszimmer, Gastraum etc…, sodass aus der Sicht des Entwurfes in sämtlichen Organisationen, die von betroffenen Personen betreten werden (können) die Verpflichtung zur Kontaktdatenerhebung besteht, so auch in Supermärkten oder Tankstellen, dh in Betrieben, in denen ohnehin Maskenpflicht besteht, und bei denen wohl davon auszugehen ist, dass die Personen sich nicht über 15 Minuten in einem Raum aufhalten.

 

 

Wer sind die betroffenen Personen?

 

Das Gesetz geht von „Gästen, Besuchern, Kunden und Mitarbeitern“ aus. Daraus ist zu schließen, dass alle Personen, die das Betriebsgelände bzw. das Unternehmen betreten, von der Aufzeichnungspflicht betroffen sind.

 

 

Welche Daten sind aufzuzeichnen?

 

Es sind „Kontaktdaten“ zu erheben, die es ermöglichen, die betroffenen Personen im Anlassfall zu kontaktieren, dh Name, Vorname und Daten, die eine Kontaktaufnahme ermöglichen, dh mE eine Telefonnummer, eine E-Mail-Adresse oder eine postalische Adresse.

 

Aus Gründen der „Datensparsamkeit“ iSd Art 5 Abs 1 lit c DSGVO sollten nur diejenigen Daten erhoben werden, die zur Erfüllung des Zwecks, dh der Verständigung bzw. Kontaktaufnahme durch die Gesundheitsbehörde beim Contact-Tracing, erforderlich sind.

 

Die Daten dürfen nicht für andere Zwecke verwendet (mißbraucht) werden, dh nicht für die Zusendung von Werbematerial per Post oder Newslettern per Email von den Verantwortlichen benutzt werden, wenn dazu keine andere Rechtsgrundlage im Rahmen der Datenerhebung geschaffen (Einwilligung) oder verwendet wird (Bestandskundenwerbung per Post iSd § 107 Abs 3 TKG).

 

 

Wann sind die Daten zu löschen?

 

Das Gesetz geht von einer maximalen Speicherdauer von 28 Tagen aus. Danach sind die Daten zu löschen.

 

 

Die Rechtsgrundlage.

 

In der Neuregelung wird festgelegt, dass eine (freiwillige) ausdrückliche Einwilligung die Grundlage für die Verarbeitung der personenbezogenen Daten darstellen soll. Gleichzeitig wird auch normiert, dass die Einwilligung zur Datenerhebung nicht mit der zu erbringenden Leistung des Verantwortlichen gekoppelt werden kann (Kopplungsverbot).

 

Bemerkenswert ist mE in diesem Zusammenhang, dass das Gesetz, das eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten (siehe Art 6 Abs 1 lit c DSGVO; es werden keine Gesundheitsdaten erhoben, sondern nur Kontaktdaten und Anwesenheitsdaten) schaffen könnte, nicht in der Lage sein soll, diese tatsächlich direkt herbeizuführen, sondern darauf abzielt, dass die betroffenen Personen einwilligen, um die Daten zur Verfügung zu stellen.

 

Diese (normierte) Freiwilligkeit kann zB bei Skeptikern oder Personen, die einfach die Daten nicht zur Verfügung stellen wollen, dazu führen, dass die Daten nicht bekannt gegeben werden, wodurch die Kontaktverfolgung erschwert wird. Dies ist mE kontraproduktiv zum potentiellen Nutzen der Neuregelung im Zusammenhang mit der Feststellung von Clustern im Rahmen des Contact Tracing und beeinträchtigt mE auch die gesundheitlichen Interessen bzw. den Gesundheitsschutz der betroffenen Personen, die im Anlassfall darüber informiert werden könn(t)en, dass sie potentiell Kontakt mit einer infektiösen Person gehabt haben könnten. Derzeit erfährt man Derartiges zB nur aus den Medien.

 

Es gäbe die Möglichkeit für den Gesetzgeber die Organisationen zur Kontaktdatenerhebung zu verpflichten, und damit auch die betroffenen Personen zur Bekanntgabe der Daten zu verpflichten. Damit wäre – wie zB in Bayern - eine gesetzliche Grundlage für die Datenerhebung geschaffen.

 

Meines Erachtens wäre es auch zulässig, die Verarbeitung der personenbezogenen Daten der betroffenen Personen entweder auf das berechtigte Interesse (Art 6 Abs 1 lit f DSGVO), nämlich den Gesundheitsschutz der Mitarbeiter*Innen des Verantwortlichen, oder sogar auf Art 6 Abs 1 lit d DSGVO (lebenswichtige Interessen) zu stützen.

 

Eine Einwilligung iSd Art 6 Abs 1 lit a DSGVO, die jederzeit, dh auch während der Aufbewahrungsfrist von 28 Tagen widerrufen werden kann, ist mE keine taugliche Grundlage für die Verarbeitung derartiger Daten, die im Anlassfall von besonderer Bedeutung für den allgemeinen Gesundheitsschutz oder den Gesundheitsschutz der Mitarbeiter*Innen bzw. darüberhinaus auch der anderen betroffenen Personen, die gleichzeitig anwesend waren,

 

Die Datenschutzbehörde hat bereits im März zur Fragen der Kontaktdatenerhebung Stellung genommen, und erklärt, dass Besucherlisten geführt werden dürfen bzw. können, um COVID-19-Maßnahmen bzw. Kontaktverfolgung zu ermöglichen. Dazu wurde bereits im Blog berichtet.

 

 

Informationspflicht.

 

§ 5 Abs 6 EpidemieG liefert nur eine mögliche Rechtsgrundlage, sofern die Bestimmung noch verändert wird, oder ermöglicht die Erhebung der Kontaktdaten für einen bestimmten Zweck und für eine maximale Dauer von 28 Tagen.

Zu beachten ist, dass der Verantwortliche iSd Art 13 DSGVO verpflichtet ist, die betroffenen Personen über die Kontaktdatenerhebung, den Zweck sowie insbes. auch die Rechtsgrundlage und die maximale Speicherdauer zu informieren.

 

Sobald das Gesetz aktualisiert und die neue Regelung in Kraft ist, wird auf Anfrage gerne eine Muster-Datenschutzinformation zur Verfügung gestellt.

 

 

Art der Erhebung der Kontaktdaten – keine offenen Listen.

 

Ob die Daten mittels auf den Tischen (Lokal) aufliegenden Formularen erhoben werden, oder die Daten elektronisch erfasst werden, wird vom Gesetz nicht spezifiziert, sondern ist dem jeweiligen Verantwortlichen selbst überlassen.

Zu beachten ist, dass die Gästelisten nicht offen aufgelegt werden dürfen, und anderen Gäste oder Besuchern, die zB nicht am gleichen Tisch (Restaurant) sitzen, oder die Veranstaltung nicht gemeinsam besuchen, die Kontaktdaten der anderen betroffenen Personen nicht offengelegt werden.

 

 

Der Hamburger Beauftragte für den Datenschutz und die Informationsfreiheit hat bereits Verfahren gegen Restaurants wegen Verletzung der Vertraulichkeit bei Gästelisten eingeleitet. 

 

 

 

31.8.2020, Autor
Michael Schweiger, zert DSBA


Download
Kontaktdatenerhebung EpidemieG 2020.pdf
Adobe Acrobat Dokument 237.7 KB

Kommentar schreiben

Kommentare: 0