Das Wichtigste in Kürze
- Im Zuge der Corona-Lockerungen ist vielerorts die Erfassung von Kundendaten verpflichtend.
- Die genauen Regelungen zu den Gästeverzeichnissen unterscheiden sich von Bundesland zu Bundesland.
- Beim Erfassen der Daten ist der Datenschutz zu beachten.
In diesem Beitrag
- Wer muss Kontaktlisten, Gäste- oder Kundenverzeichnisse führen?
- Ist das Verzeichnis in jedem Fall verpflichtend?
- Welche Daten sollten in Corona-Kontaktlisten erfasst werden?
- Zu welchen Zwecken werden die Daten erhoben?
- Wie müssen Unternehmen ihre Gäste und Kunden über die Erfassung informieren?
- Wie sollte die Liste ausgelegt und archiviert werden?
- Können die Daten elektronisch erfasst werden?
- Muss ich die Angaben meiner Gäste nachprüfen?
- Was, wenn ein Gast während des Besuchs Symptome entwickelt?
- Welche Informationsmöglichkeiten gibt es im Einzelfall?
- Fazit
Deutschland im Juni 2020: Nachdem infolge der Corona-Pandemie im Frühjahr das öffentliche Leben in weiten Teilen brachlag, kehrt nun langsam ein Gefühl von Alltag zurück. Doch die Lockerungen werden in den einzelnen Bundesländern an unterschiedliche Auflagen geknüpft, zu denen für zahlreiche Unternehmen auch das Führen von Kontaktlisten, Gäste- oder Kundenverzeichnissen zählt. Wie lassen sich diese datenschutzkonform gestalten?
Wer muss Kontaktlisten, Gäste- oder Kundenverzeichnisse führen?
Die Mehrzahl der deutschen Bundesländer hat im Zuge der Corona-Lockerungen in der einen oder anderen Form Auflagen für bestimmte Branchen erlassen, die Unternehmer verpflichten, Kontaktdaten ihrer Kunden aufzunehmen. Dies soll den Gesundheitsbehörden im Ernstfall ermöglichen, Infektionsketten nachzuvollziehen und Kontaktpersonen ausfindig zu machen.
Von der Maßnahme sind zahlreiche Unternehmen mit direktem Kundenverkehr betroffen – allen voran die Gastronomie, mitunter aber auch Handwerks- und Dienstleistungsbetriebe wie etwa Friseurstudios. Auch für Freizeit- und Bildungseinrichtungen können entsprechende Vorschriften gelten.
Ist das Verzeichnis in jedem Fall verpflichtend?
Ob Unternehmen zur Erfassung der Kundenkontaktdaten verpflichtet sind und welche Betriebe das im Einzelnen betrifft, ist je nach Bundesland unterschiedlich geregelt. Während etwa die Corona-Schutzverordnungen in Nordrhein-Westfalen das Führen von Kontaktlisten für Gastronomie-, Handwerks- und Dienstleistungsbetriebe vorschreiben, gilt in Bayern lediglich eine Empfehlung speziell für das Gastgewerbe.
So paradox es klingen mag: Eine verpflichtende Regelung ist für betroffene Betriebe hilfreicher als eine bloße Empfehlung. Denn laut Datenschutz-Grundverordnung (DSGVO) muss die Speicherung und Verarbeitung personenbezogener Daten zwingend auf eine Rechtsgrundlage gestützt sein. Eine solche ist dann gegeben, wenn die Erfassung von Kontaktdaten verpflichtend ist. Wo hingegen nur eine Empfehlung gilt, da ist die Rechtsgrundlage deutlich schwieriger zu erfassen. Auszugehen ist in diesen Fällen von einem „berechtigten Interesse“ aufseiten des Unternehmens.
Übrigens sorgt nicht nur die Uneinheitlichkeit zwischen den Bundesländern in der Praxis für Probleme, sondern auch die teils uneindeutigen Formulierungen der Schutzverordnungen selbst. So gilt mitunter, dass es für die Kontaktdatenerfassung zuerst der Einwilligung der jeweiligen Personen bedarf. Unklar bleibt dabei jedoch oft, wie mit Gästen, Kunden und Besuchern zu verfahren ist, die ihre Einwilligung verweigern.
Welche Daten sollten in Corona-Kontaktlisten erfasst werden?
Wenn es um die Erfassung personenbezogener Daten wie Vorname, Nachname, Telefonnummer, E-Mail-Adresse oder auch Anschrift geht, ist die eindeutige Regel: Erfassen Sie nur so viel wie unbedingt notwendig, keinesfalls mehr. Was unbedingt erforderlich ist, ergibt sich aus den länderspezifischen Regeln. Neben den genannten Daten kann das beispielsweise auch der Zeitraum des Besuchs sein.
Wer mehr als das geforderte Minimum an Daten erfasst (also beispielsweise die E-Mail-Adresse, obwohl nur die Anschrift verlangt wird, oder umgekehrt), dem fehlt schlicht die Rechtsgrundlage für die Datenverarbeitung. Und das wäre wiederum problematisch im Sinne der DSGVO, die eine Verarbeitung ohne Rechtsgrundlage ausschließt.
Zu welchen Zwecken werden die Daten erhoben?
Einzig zulässiger Zweck der Datenverarbeitung ist die Nachverfolgung von Kontaktpersonen, um die Gesundheitsbehörden bei der Eindämmung der Corona-Pandemie zu unterstützen. Irgendwann, nach Ablauf einiger Wochen – das ist Definitionssache und wiederum länderspezifisch geregelt – endet dieser Zweck. Dann müssen auch die Daten gelöscht werden.
So verlockend es also vielleicht auch klingen mag, die Daten aus den Corona-Kontaktlisten und Kundenverzeichnissen auch zu Werbezwecken zu verwenden: Das ist ausgeschlossen. Für diesen Zweck fehlt schlicht die gesetzliche Grundlage. Natürlich wäre es denkbar, den Gast oder Kunden direkt auf der Kontaktliste um seine Einwilligung zur Datenverarbeitung für Werbezwecke zu bitten. Doch auch hiervon ist dringend abzuraten. Vermischen Sie diese beiden Anliegen nicht. Erfassen Sie wirklich nur die Daten, die Sie erfassen müssen – und dies auch nur so lange Sie müssen.
Wie müssen Unternehmen ihre Gäste und Kunden über die Erfassung informieren?
Wie überall, wo Daten erhoben werden, gelten auch bei Corona-Gästelisten die Informationspflichten der DSGVO: Im Moment der Datenerhebung muss erkennbar sein,
- wer die Daten erhebt,
- welche Daten erhoben werden,
- auf welcher Rechtsgrundlage die Daten erhoben werden,
- wie die Betroffenenrechte aussehen
- ob die Daten ggf. weitergegeben werden und
- ob es einen Datenschutzbeauftragten gibt.
Die gute Nachricht: Es ist nicht erforderlich, jedem Gast oder Besucher einen dicken Katalog unter die Nase zu halten. Es genügt, die Datenschutzinformationen zum Beispiel am Tresen verfügbar zu halten und Gästen, Besuchern oder Kunden auf Nachfrage Einsicht zu gewähren.
Wie sollte die Liste ausgelegt und archiviert werden?
Auch wenn in diesem Artikel von Listen die Rede ist und der Gesetzgeber unglücklicherweise ebenfalls diesen Begriff gebraucht: Tatsächlich sollten zur Erfassung von Kontaktdaten idealerweise gar keine Listen verwendet werden, auf denen etwa der Gast eines Restaurants einsehen kann, wer alles vor ihm das Lokal besucht hat. Das wäre schlicht nicht datenschutzkonform. Stattdessen empfehlen sich einzelne Blätter oder Formulare für eine Person oder eine zusammengehörige Gruppe.
Diese Formulare lassen sich dann auch übersichtlich nach Datum abheften. Für die Dauer der Aufbewahrung sicher weggeschlossen, sollten sie dann nach Ablauf der länderspezifischen Dokumentationspflicht vernichtet werden – und das bitte nicht einfach über das Altpapier. Verzeichnisse auf Papier sollten Sie in jedem Fall schreddern, um Datenpannen sicher auszuschließen.
Können die Daten elektronisch erfasst werden?
Eine elektronische Datenerfassung für Corona-Gästelisten ist eine naheliegende Option. Viele Unternehmen, die Gästedaten erfassen müssen, arbeiten ohnehin bereits mit einem Buchungssystem über das Internet, und mancherorts ist ein Restaurantbesuch nur mit Reservierung zulässig. So wie Sie den Papierordner sicher wegschließen und nicht herumliegen lassen, müssen Sie aber auch im IT-Bereich auf Sicherheitsaspekte achten, etwa auf einen ausreichenden Passwortschutz und eine Verschlüsselung der Daten.
Muss ich die Angaben meiner Gäste nachprüfen?
Nehmen wir an, ein Gast trägt sich im Formular als Gustav Gans aus Entenhausen ein. Sie haben berechtigte Zweifel, ob das sein echter Name ist. Im Sinne einer zuverlässigen Kontaktpersonennachverfolgung durch die Gesundheitsbehörden empfiehlt es sich in einem solchen Fall, die Angaben zu prüfen. Das können Sie tun, indem Sie sich den Personalausweis von Ihrem Gast oder Besucher zeigen lassen. Keinesfalls sollten Sie jedoch eine Kopie hiervon anfertigen. Das würde Sie nämlich erneut in Konflikt mit dem Datenschutz bringen, schließlich erfüllt die einfache Kontrolle ebenso ihren Zweck.
Was, wenn ein Gast während des Besuchs Symptome entwickelt?
Ein Gast, der während eines Restaurantbesuchs Krankheitssymptome aufkommen spürt, sollte in Corona-Zeiten schnellstmöglich nach Hause gehen. Wie aber diesen Vorfall datenschutzkonform erfassen? Wenn es im jeweiligen Bundesland dazu keine behördlichen Anweisungen gibt, können wir von einem unternehmerischen Interesse ausgehen, Mitarbeiter und Gäste vor Infektionen zu schützen. Den Vorfall zu vermerken erscheint also sinnvoll und rechtlich unproblematisch.
Wichtig in solch einem Fall ist die anschließende Rücksprache mit den Gesundheitsbehörden. Halten diese weitere Maßnahmen für erforderlich? Wenn nicht, ist das Thema erledigt und auch diese Information sollte gelöscht werden.
Welche Informationsmöglichkeiten gibt es im Einzelfall?
Gerade wegen der vielfältigen Regelungen auf Länderebene ist es mitunter schwierig, die spezifischen Corona-Schutzverordnungen im Blick zu behalten. Mögliche Anlaufstellen sind die Websites
- der Innenministerien, auf denen sich die Schutzverordnungen finden,
- der Gesundheitsämter,
- des jeweiligen Landesdatenschutzbeauftragten sowie
- branchenspezifischer Verbände etwa des Deutschen Hotel- und Gaststättenverbandes DEHOGA.
Und natürlich ist es auch sinnvoll, sich an den eigenen Datenschutzbeauftragten zu wenden. Dieser kann sich mit den landesspezifischen Regelungen und Informationspflichten genauer beschäftigen und Ihnen so bei der DSGVO-konformen Kontaktdatenerfassung behilflich sein.
Fazit
Nehmen Sie Datenschutz ernst – auch und gerade in diesen aufgewühlten Zeiten. Wer ohnehin viele Maßnahmen kritisch beäugt, kann ganz besonders laut auf seine Betroffenenrechte pochen, wenn er ein Formular ausfüllen soll. Seien Sie sich daher Ihrer Verantwortung bewusst.
Und schließlich noch eine Anekdote abseits des Datenschutzes: Ich hätte kürzlich zum Ausfüllen einen Stift verwenden sollen, der zuvor bereits durchs halbe Lokal ging. In Corona-Zeiten natürlich ebenfalls suboptimal …