„Corona-Prüfungen“ durch die Datenschutzbehörde NRW
Sachverhalt
Anmelde- oder Teilnehmerlisten aufgrund der Corona-Pandemie, egal ob beim Restaurant- oder Kirchenbesuch, sind ein großes Diskussionsthema. Mit den Listen sollen Infektionsketten rückverfolgt werden können.
Aufgrund einer Anfrage auf fragdenstaat.de hat die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) ihren Fragebogen veröffentlicht, mit dem sie Unternehmen auffordert, Informationen über ihren Umgang mit der Datenerfassung zur Rückverfolgung von Corona-Infektionsketten zu erteilen.
In dem Musterschreiben werden die betroffenen Unternehmen dazu aufgefordert, innerhalb von vier Wochen zu folgenden sieben Fragen Stellung zu nehmen:
- Wie informieren Sie im Sinne von Art. 13, 14 Datenschutz-Grundverordnung Ihre Kundinnen und Kunden über den Zweck der Kontakterfassung (Nachverfolgbarkeit möglicher Infektionsketten und Zugangsbeschränkungen)? Haben Sie z.B. ein Informationsblatt ausgelegt?
- Wie wird die Liste zum Zweck der Eintragung der Kundin oder dem Kunden ausgehändigt? Werden die Voreintragungen abgedeckt? Wird für jede neue Gästegruppe an einem Restauranttisch eine Blankoliste ausgehändigt?
- Setzen Sie eine digitale Datenerfassung ein? Wenn ja, wie funktioniert diese? Wie erfolgt die digitale Speicherung und mit welcher Sortierung (z.B. nach Besuchsdatum)? Haben Sie für die Erfassung der Kontaktdaten einen Dienstleister beauftragt und wenn ja, welchen (bitte vollständige Anschrift)?
- Wie bewahren Sie die Kontaktdatenlisten in Papierform auf und wer hat Zugang zu den Daten? Sind alle Zugangsberechtigten von Ihnen über den datenschutzkonformen Umgang mit diesen Daten unterrichtet (insbesondere über den Schutz vor Einsicht durch unberechtigte Dritte, enger Verwendungszweck)?
- Wie stellen Sie die regelmäßige Vernichtung der Kontaktdatenlisten in Papierform bzw. der elektronischen Datensammlung sicher? Die Daten sind nur vier Wochen aufzubewahren. Hinweis: Die Vernichtung der Kontaktdatenlisten in Papierform darf nicht durch einfaches Zerreißen erfolgen, sondern sie müssen datenschutzkonform vernichtet werden (z.B. mittels Aktenvernichter der Sicherheitsstufe 4 und höher). Auch elektronische Datenerfassungen sind nach dem Stand der Technik sicher zu löschen. Sollten Sie hierfür einen Dienstleister in Anspruch nehmen, haben Sie sich die Sicherheit des Löschvorgangs bestätigen zu lassen.
- Haben Sie bereits Daten nach schriftlicher Aufforderung an eine Ordnungsbehörde/Gesundheitsbehörde übermittelt und – wenn ja – wie ist die Übermittlung erfolgt (sicherer Übertragungsweg)?
- Wie gehen Sie mit Ihren Kundinnen und Kunden um, wenn diese Ihnen datenschutzrechtliche Bedenken vortragen (z.B. durch Verweis auf die Coronaschutzverordnung des Landes NRW, Verwendung nur für Nachverfolgbarkeit einer Infektionskette, Sicherung der Angaben vor dem Zugriff Dritter, Löschung nach vier Wochen)?
Mit diesem Fragebogen scheinen die Behörden auch darauf zu reagieren, dass in der Öffentlichkeit bereits vielfach darüber berichtet wurde, dass die Listen in Restaurants oder anderen Dienstleistungsgeschäften wie Friseuren nicht datenschutzkonform geführt würden. Berichtet wurde insbesondere über offene Listen, auf denen die Kunden die Daten der vorherigen Gäste einsehen konnten, oder über die Verarbeitung der Daten zu weiteren, nicht datenschutzkonformen Zwecken. Eine weitere Brisanz bekam die Diskussion nach Berichten, dass die Listen auch für Zwecke der Strafverfolgung von der Polizei beschlagnahmt werden könnten.
Sofern auch Sie einen solchen Fragebogen erhalten oder Fragen zur datenschutzkonformen Ausgestaltung der Listen haben, beraten wir Sie gerne persönlich.