Dienstag, 17. März 2020

Datensammlung wegen des Coronavirus (SARS-CoV-2) und Datenschutz

Die Landkreise und kreisfreien Städte des Landes haben auf Grundlage eines Erlasses der Landesregierung zur weiteren Eindämmung der Ausbreitung des Coronavirus (SARS-CoV-2) Allgemeinverfügungen zu diesem Zweck erlassen. So hat beispielsweise die Stadt Kiel am 16.03.2020 eine Allgemeinverfügung zum Verbot und zur Beschränkung von Kontakten in besonderen öffentlichen Bereichen der Landeshauptstadt Kiel veröffentlicht (Änderung der Allgemeinverfügung vom 14.03.2020).

Auszugsweise wird dort wie folgt ausgeführt:
„Restaurants, Cafés (mit eigener Speisenzubereitung), Imbisse, Bistros, Gaststätten bzw. Restaurationsbetriebe (auch in Hotels) haben sicherzustellen, dass eine Registrierung aller Besucher*innen, die Waren nicht nur im Vorbeigehen erwerben, mit Kontaktdaten (Datum, Uhrzeit, Nachname, Vorname, Telefonnummer) erfolgt, die für einen Monat aufzubewahren ist.“
Den Allgemeinverfügungen ging der oben genannte Erlass der Landesregierung voraus, wonach der Zugang zu Angeboten u.a. von Restaurants und Hotels für die Bewirtung von Übernachtungsgästen zu beschränken und nur unter Auflagen zu gestatten ist. Genannt wird dabei auch eine „Besucherregistrierung mit Kontaktdaten“.
Andere Landkreise haben Registrierungspflichten darüber hinaus auch beim Besuch von Friseursalons aufgestellt (so z. B. der Landkreis Rendsburg-Eckernförde).
Die Landesbeauftragte für Datenschutz erreichten mehrere Beschwerden von Bürgerinnen und Bürgern, die sich fragten, ob solche Daten gesammelt werden dürfen, und bemängelten, dass solche Besucherlisten öffentlich zugänglich waren.

Bewertung

a) Rechtsgrundlage Infektionsschutzgesetz:
Die Verarbeitung der in der Allgemeinverfügung der Stadt Kiel aufgeführten personenbezogenen Kontaktdaten durch die Stadt Kiel selbst kann auf § 28 Abs. 1 Infektionsschutzgesetz (IfSG) i.V.m. Art. 6 Abs. 1 Buchst. e der Datenschutz-Grundverordnung (DSGVO) gestützt werden. Die Verarbeitung der Daten durch die verpflichteten Betriebe kann auf Art. 6 Abs. 1 Buchst. c DSGVO i.V.m. der Allgemeinverfügung i.V.m. § 28 Abs. 1 IfSG gestützt werden.
b) Bei der Umsetzung auf Datenschutz achten:
Die öffentliche Auslegung der Listen mit den personenbezogenen Kontaktdaten in den Verkaufsräumen bzw. das Ermöglichen eines Zugriffs auf diese Daten durch unbefugte Personen ist aus Datenschutzsicht zu beanstanden.

Empfehlungen zur datenschutzgerechten Umsetzung

Zur Erfüllung der datenschutzrechtlichen Vorgaben werden für die verpflichteten Betriebe folgende Handlungsempfehlungen gegeben:

a) Informieren Sie Ihre Kunden frühzeitig (etwa durch gut sichtbare Aushänge) über die Allgemeinverfügung. Daneben besteht nach den datenschutzrechtlichen Vorgaben ohnehin die Verpflichtung, die Kundschaft u.a. über die Zwecke der Datenverarbeitung und die Dauer der Speicherung zu informieren.

b) Stellen Sie sicher, dass die erhobenen Daten nicht von Dritten (auch nicht von anderen Besuchern) eingesehen werden können, und sorgen Sie dafür, dass diese Daten nur für den Zweck der Kontaktaufnahme von Besuchern nach Maßgabe des Gesundheitsamtes verwendet und vor dem Zugriff von außen gesichert werden.

c) Nach Ablauf der Aufbewahrungspflicht löschen oder vernichten Sie die erhobenen Daten endgültig und restlos. Eine Verarbeitung der erhobenen Daten zu anderen Zwecken (etwa Werbung) als denen des § 28 IfSG nach Maßgabe der Gesundheitsbehörde ist grundsätzlich unzulässig.