Hygiene-Ranger & Co. - Wann ist die digitale Kontaktdatenerfassung zulässig?

Datenschutzrecht Zugriffe: 805

einleitungsbild datenschutzIn allen Bundesländern ist in Corona-Zeiten für bestimmte Dienstleistungsbetriebe, insbesondere für Gaststätten, die Erfassung der Kunden- und Gästedaten  Pflicht. Die Erfassung dient dem dem Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten. Neuerdings tummeln sich immer mehr Anbieter digitaler Lösungen, die ihren Kunden eine besonders datenschutzkonforme digitale Erfassung der Daten mit Apps anbietet. Wir haben untersucht, ob und unter welchen Umständen das überhaupt zulässig ist.

Wer nach den Corona-Schutzverordnungen der Länder Kontaktdaten der eigenen Kunden erfasst, muss alle für die Verarbeitung personenbezogener Daten geltenden Vorschriften der Datenschutz-Grundverordnung (DSGVO) beachten. Die Verordnung gilt nämlich für alle personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein solches Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Damit werden auch Zettelsammlungen und Listen umfasst, sofern sie – etwa nach Besuchszeiten – sortiert werden. Erst recht muss sich der Verantwortliche aber natürlich an die Vorgaben der Datenschutz-Grundverordnung halten, wenn er Daten digital erfasst.

Digitale Erfassung statt ausgelegter Listen?

Grundsätzlich ist die digitale Erfassung von Kontaktdaten anstelle der Verwendung von Listen in Papierform die durchaus datenfreundlichere Option. Wenn der Gast die Daten digital erfassen lässt, werden sie nur dem Empfänger offenbart, nicht aber Personen, die mehr oder weniger zufällig am gleichen Tisch Platz genommen haben. In der Praxis ist es leider immer noch so, dass Gastwirte ihren Gästen lange Listen vorlegen, in die sich andere Gäste bereits mit ihren Kontaktdaten eingetragen hatten. Auch die Löschung der Daten nach Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfristen kann deutlich zuverlässiger quasi »auf Knopfdruck« oder sogar im Voraus programmiert erfolgen. Es steht zu befürchten, dass demgegenüber Gastwirte, die Daten in Papierform erfassen, die von ihnen gesammelten Listen nicht rechtzeitig und vor allem nicht datenschutzkonform vernichten, wenn die Aufbewahrungsfrist jeweils abgelaufen ist.

Andererseits gibt es Bundesländer, die die Kontaktdatenerfassung – in Berlin heißt sie »Anwesenheitsdokumentation« – in Papierform ausdrücklich vorschreiben. Das gilt etwa für das Land Nordrhein-Westfalen. Hier ist es natürlich irreführend, wenn der Anbieter der App behauptet, der Gastwirt könne sich durch die Nutzung der Anwendung papierne Liste sparen. Eine digitale Erfassung ist hier nach wie vor ausdrücklich nur zusätzlich möglich. Auch wenn das natürlich unter Wirtschaftlichkeitsgesichtspunkten wenig Sinn macht.

Datenverarbeitung im Auftrag

Kontaktdaten, die die Gäste in der Gastronomie oder beim Friseur hinterlassen, sind häufig höchst sensibel. Es geht schließlich niemanden etwas an, wo ein Gast wohnt oder mit wem er seine Zeit in der Gaststätte oder bei der Coiffure verbracht hat. In der Kontaktdatenerfassung ist deshalb in ganz besonderer Weise auf die Einhaltung datenschutzrechtlicher Vorschriften zu achten.

Manche Anbieter von Kontaktdaten-Apps haben die Anwendung so eingerichtet, dass die Daten ausschließlich vom Betreiber des Dienstleistungsbetriebs einzusehen sind. Hierzu werden sie verschlüsselt auf einem Rechner gespeichert, zu dem nur der Betreiber Zugang hat. Wenn der Rechner nicht in den Räumen des Dienstleisters steht, bedarf es allerdings auch hier eines Vertrags über eine Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO. In einem solchen Vertrag muss detailliert geregelt werden, wie die Daten gegen Zugriff durch Dritte geschützt sind.

Erst recht bedarf es eines solchen Vertrags zur Auftragsverarbeitung dann, wenn der Betreiber der App sich anbietet, die Daten auf einem eigenen Server für die verantwortliche Stelle zu verwahren, bei Bedarf an diese oder an die Gesundheitsbehörden herauszugeben oder die Daten nach Ablauf der Aufbewahrungsfrist zuverlässig zu löschen. Hat der Dienstleister mit dem Betreiber der App in solchen Fällen einen Auftragsverarbeitungsvertrag geschlossen, ist die Verarbeitung »außer Haus« zulässig. Wir kennen allerdings keinen Fall, in denen ein solcher Vertrag mit dem Anbieter einer App jemals geschlossen worden wäre.

Datenschutzrechtlich völlig daneben liegen demgegenüber Anbieter, die die Daten der Kunden und Gäste in eigener Verantwortung – also nicht lediglich im Auftrag – speichern. Unabhängig davon, dass der Betroffene in solchen Fällen nicht ordnungsgemäß darüber aufgeklärt wird, dass er seine Daten nicht dem Gastwirt oder Friseur seines Vertrauens, sondern einem völlig Fremden offenbart, besteht aus unserer Sicht keinerlei Berechtigung zur Verarbeitung der Daten. Auf die Corona-Schutzverordnungen der Länder, aus denen sich sogar eine Verpflichtung zur Erfassung der Kontaktdaten ergibt, kann sich der Betreiber der Anwendung nicht berufen, da er selbst ja gar nicht verpflichtet ist. Es ist auch weit und breit kein berechtigtes Interesse zu erkennen, warum Tausende von Kontaktdaten fremder Personen unter der Vorspiegelung einer gesetzlichen Verpflichtung von irgendeinem Softwareanbieter gesammelt und gespeichert werden sollen.

Berechtigung zur Verarbeitung, Aufklärung und Dokumentation erforderlich

Jede Verarbeitung von Daten bedarf einer gesetzlichen Erlaubnis. Für die Kontaktdatenerfassung kann sich der Dienstleister selbst dabei auf Art. 6 Abs. 1 lit. b und c DSGVO berufen, weil die Verarbeitung zur Erfüllung eines Vertrags und zugleich einer rechtlichen Verpflichtung erforderlich ist. Allerdings dürfen dabei nur die Daten erfasst werden, die die Corona-Schutzverordnungen des betroffenen Bundeslands auch vorschreibt. Nach den Vorgaben einiger Länder muss zusätzlich ausdrücklich das Einverständnis des Kunden eingeholt werden. Kunden, die nicht bereit sind, ihr Einverständnis zu erklären, dürfen nicht bedient werden.

Eine Verarbeitung personenbezogener Daten ist außerdem nur dann erlaubt, wenn die verantwortliche Stelle – also etwa der Gastwirt oder Friseur – seine Kunden nach Art. 13 DSGVO ausführlich darüber aufklärt, wie er mit den Daten umgeht. Eine solche Aufklärung kann durch einen Aushang in der Gaststätte erfolgen, aber auch durch einen deutlichen Hinweis auf einen Informationstext im Internet. Auch eine digitale App kann diese Anforderung grundsätzlich erfüllen. Voraussetzung ist allerdings, dass sich die Datenschutzhinweise ausdrücklich auf die verantwortliche Stelle beziehen und es sich nicht um oft zudem unzureichende Datenschutzhinweise des Betreibers der App handelt. In der Praxis haben wir es so gut wie nie erlebt, dass die erforderlichen Hinweise gegeben werden.

Zudem muss der Verantwortliche die Erfassung der Kundenkontaktdaten und die Art und Weise der Verarbeitung in einem nach Art. 30 DSGVO zwingend vorgeschriebenen Verzeichnis der Verarbeitungstätigkeiten festhalten. Wer bislang ohne ein solches Verzeichnis ausgekommen ist, sollte tunlichst dafür Sorge tragen, zumindest ein Rumpfverzeichnis vorweisen zu können, falls die Datenschutzbehörde auf die Rüge eines Gastes hin tätig wird und die Vorlage des Verzeichnisses verlangt.

Fazit

Die Kontaktdatenerfassung nach Maßgabe der Corona-Schutzverordnungen der Länder kann grundsätzlich durchaus auch digital erfolgen. In Ländern, in denen eine Erfassung in Papierform zwingend vorgeschrieben ist, kann das allerdings derzeit nur zusätzlich geschehen. Bei der Auswahl des Anbieters sollte außerdem peinlich genau darauf geachtet werden, wo die Daten verarbeitet werden und von wem.

Drucken