Hinweise zur Erfassung von Kontaktdaten gemäß Corona-Bekämpfungsverordnung
Gemäß § 7 Abs. 1 Corona-Bekämpfungsverordnung Schleswig-Holstein (Corona-Verordnung) sind Gaststättenbetreiber wie auch andere Betreiber oder Veranstalter verpflichtet, bestimmte Kontaktdaten ihrer Gäste zu erheben. Nach § 4 Abs. 2 Corona-Verordnung müssen „Erhebungsdatum und -uhrzeit, Vor- und Nachname, Anschrift, sowie, soweit vorhanden, Telefonnummer oder E-Mail-Adresse für einen Zeitraum von vier Wochen“ aufbewahrt und dann vernichtet werden.
Für die datenschutzkonforme Umsetzung dieser Regelung hat das ULD einige Hinweise veröffentlicht: https://www.datenschutzzentrum.de/artikel/1331-.html.
Das Abgeben von Kontaktdaten in Corona-Zeiten ist mühselig – da kann die Technik helfen, damit es für Verpflichtete (z. B. Gastronomen, Veranstalter, Anbieter von Freizeitaktivitäten, Betreiber sozialer Einrichtungen, Religionsgesellschaften) sowie für die Gäste einfacher wird. Zum Beispiel könnten Gäste ihre Daten per Smartphone auf einen gesicherten Server hochzuladen. Die Technik könnte für ein tagesgenaues Löschen nach der definierten Aufbewahrungsfrist sorgen. Jedoch gelten hohe Anforderungen an Datenschutz und Datensicherheit, damit auf die Daten nicht unbefugt zugegriffen werden kann oder sie missbräuchlich genutzt werden.
Um Entwicklern und einsetzenden Stellen von technischen Lösungen bzw. Apps Hilfestellung zu geben, listen wir die wichtigen Kriterien auf, die zu beachten sind. Achtung: Auch wenn sich der Verpflichtete eines Dienstleisters bedient, bleibt er für die Einhaltung der Regelungen verantwortlich. Er muss stets sicherstellen, dass Datenschutz- und Datensicherheitsanforderungen eingehalten werden.
Ohne Anspruch auf Vollständigkeit haben wir im Folgenden einige Prüfpunkte zusammengestellt, die bei der Erhebung von Kontaktdaten zu beachten sind. Diese gelten generell, können jedoch durch tagesaktuelle Änderungen etwa der Corona-Verordnung ggf. anzupassen sein.
Datenminimierung und Zweckbindung:
- Werden nur die Kontaktdaten verarbeitet, wie dies in der Corona-Verordnung vorgegeben ist?
- Es gilt eine strenge Zweckbindung, sodass die Kontaktdaten in der Regel auch nur für die Abfrage durch das Gesundheitsamt zur Coronabekämpfung verwendet werden dürfen. Ist ausgeschlossen, dass die Kontaktdaten zu anderen Zwecken verwendet werden?
Insbesondere sind eigene Auswertungen bzw. Nutzungen (etwa zu Werbezwecken) untersagt. Dies gilt auch für einen externen Dienstleister, der mit den Daten z. B. keine sonstigen Dienste (Statistiken usw.) verbinden darf.
Transparenz über die Verarbeitung:
- Werden die Gäste über die Datenverarbeitung informiert? Wie?
- Bei Dienstleistern: Werden die Verpflichteten über die Datenverarbeitung und über die getroffenen Sicherheitsmaßnahmen informiert? Wie?
- Sind die Informationen verständlich und nachvollziehbar?
Auskunftsrecht der Betroffenen:
- Zwar haben die Gäste in diesem Fall kein Recht auf Löschung vor Ende der verpflichtenden Aufbewahrungsfrist, aber es steht ihnen ein Auskunftsrecht über die über ihre Person gespeicherten Daten zu. Wie ist das Auskunftsrecht umgesetzt?
Datensicherheit:
- Bei jeder Sammlung von Kontaktdaten, unabhängig davon, ob dies technisch oder per Papier geschieht, muss sichergestellt sein, dass nicht andere Gäste und unbefugte Mitarbeitende diese einsehen können. Wie ist dies gewährleistet?
Bei elektronischer Speicherung: Wie werden die Daten gegen unbefugte Zugriffe gesichert (z. B. Absicherung der Server, Zugriffsbeschränkungen, verschlüsselte Verbindungen beim Registrieren / Hochladen, ggf. weitergehende Verschlüsselung der Datenbanken, Absicherung der Datenbestände verschiedener Auftraggeber (=Verpflichteter) gegeneinander (Mandantentrennung), Server-Standorte / weitere eingebundene Dienstleister)? - Wie ist die rechtzeitige Löschung der Daten nach vier Wochen umgesetzt und auch rückstandsfrei (d. h.: sind die Daten nicht nur als gelöscht markiert)?
- In welcher Form werden die Daten im Infektionsfall an den Verpflichteten bzw. an das Gesundheitsamt herausgegeben? Hier wäre beispielsweise eine Funktion vorzusehen, mit denen die Daten zur Herausgabe nach Datum, Uhrzeit und ggf. Ort bei mehreren Standorten gefiltert und bereitgestellt werden können. Sollen Daten an die Gesundheitsbehörden elektronisch übertragen werden, sind diese auf dem Transportweg abzusichern – eine unverschlüsselte E-Mail erfüllt diese Anforderungen nicht.
- Werden die Datenverarbeitungsvorgänge so protokolliert, dass der Verpflichtete bzw. Aufsichtsbehörden unzulässige Zugriffe erkennen können?
- Im Rahmen der App-Entwicklung kommen oft Komponenten zum Einsatz, die Daten der App an Dritte übermitteln können. Ist ein solcher Datenabfluss ausgeschlossen?
Einbindung von Dienstleistern:
Im Fall der Einbindung von Dienstleistern (etwa einer Firma, die die App oder einen Server bereitstellt und die Datenspeicherung übernimmt), der personenbezogene Daten verarbeitet, ist dies rechtlich zu regeln.
- Hat der Verpflichtete den Dienstleister sorgfältig und unter Berücksichtigung von Datenschutz- und Datensicherheitsanforderungen ausgewählt?
- Liegt ein Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO vor?
Insbesondere: Werden in diesem Auftragsverarbeitungsvertrag die gegenseitigen Rechte und Pflichten geregelt und der Dienstleister (als Auftragnehmer) ähnlich wie Beschäftigte an die Weisungen des Verpflichteten (als Auftraggeber) gebunden? - Wie überwacht der Verpflichtete den Dienstleister?
- Achtung, wenn die personenbezogenen Daten durch Dienstleister mit Sitz bzw. Serverstandorten außerhalb der EU verarbeitet werden: Die Übermittlung von Kontaktdaten an Stellen außerhalb der EU kann nach derzeitigem Recht und der aktuellen Rechtsprechung unzulässig sein. Bei der Wahl von Diensteanbietern sollten daher europäische Anbieter sowie Serverstandorte in der EU in Betracht gezogen werden.
Umgang mit Risiken:
Generell muss gewährleistet werden, dass das Risiko für die Rechte und Freiheiten natürlicher Personen ausreichend eingedämmt ist. Dazu muss man prüfen:
- Welche Risiken bestehen?
- Art. 35 Datenschutz-Grundverordnung (DSGVO) schreibt für Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet, eine Datenschutz-Folgenabschätzung vor. Dies bezieht sich insbesondere auf die Verwendung neuer Technologien, kann aber auch die Datenverarbeitung ausschließlich auf Papier betreffen. Die übliche Erhebung von Kontaktdaten in diesem Kontext dürfte in der Regel keine Datenschutz-Folgenabschätzung erforderlich machen. Dies wäre anders zu beurteilen, wenn die Verpflichteten zusätzlich Angaben zum Gesundheitszustand abfragen oder wenn die Daten in sehr großem Umfang und für eine Vielzahl von Orten erhoben würden (etwa eine Kommune, die zentral für eine Vielzahl von Standorten oder Veranstaltungen ein solches System nutzt).
Ist eine Datenschutz-Folgenabschätzung erforderlich?
Wenn ja: Liegt die Dokumentation über die durchgeführte Datenschutz-Folgenabschätzung vor? Ist sie plausibel und nachvollziehbar? - Mit welchen Maßnahmen werden die Risiken eingedämmt?
- Welche Restrisiken bestehen? Sind die Restrisiken tragbar?