Datenschutz in der Corona-Krise: Erfassung von Besucherdaten

Der Shutdown wird nach und nach gelockert, nach und nach sollen auch wieder Veranstaltungen möglich sein. Mit Hessen, NRW und Mecklenburg-Vorpommern haben die ersten 3 Bundesländer die Veranstaltungsbranche auf die Reise geschickt.

Eine von mehrere Maßnahmen zum Infektionsschutz ist die Rückverfolgbarkeit: Gastronomen und Veranstalter sollen die Kontaktdaten der Besucher erfassen, um im Falle einer Infektionskette diese nachvollziehen zu können.

Wenn fremde Daten erfasst werden, muss der Datenschutz beachtet werden: Wenn man es sich jetzt in der Schnelle einfach macht, und Daten ohne Konzept sammelt, dann droht der Ärger später. Die Regeln sind auch gar nicht so sehr kompliziert:

Rechtsgrundlage

Wenn die Erfassung wegen einer behördlichen Anordnung oder spezialgesetzlichen Regelung erforderlich ist, ist sie zur Erfüllung einer rechtlichen Verpflichtung rechtmäßig (Art. 6 Absatz 1 S. 1 Buchstabe c DSGVO).

Weitergegeben werden sollte die Liste nur, wenn die zuständige Behörde sie ausdrücklich anfordert. Man sollte wie sonst auch geeignete Maßnahmen treffen, dass die Daten nicht zweckentfremdet werden und vor unbefugtem Zugriff geschützt sind.

Auslage von Listen

Listen mit Besuchern dürfen nicht frei einsehbar sein. Ohnehin würde die Weitergabe einer Liste an mehrere Besucher auch gegen die aktuellen Hygieneregeln verstoßen, da vermieden werden soll, dass mehrere Personen dieselben Gegenstände anfassen.

Hier kann man sich bspw. mit Karten oder einzelnen Blättern behelfen, die dann in einem Ordner gesammelt werden.

Bei einer rein digitalen Erfassung muss man aber bzgl. der Weitergabe des Geräts auch aufpassen, wer die Daten in das Gerät eintippt. Wenn das ein Mitarbeiter des Veranstalters macht, muss gewährleistet sein, dass die Daten korrekt übernommen werden und nicht umstehende Personen Namen und Adresse mithören können.

Auch die Datenschutzbehörden haben die Besonderheit der Lage erkannt; so heißt es bspw. beim Niedersächsischen Landesbeauftragten:

Bei der konkreten Handhabung sind einerseits die Vorgaben zur Verhütung einer Corona-Infektion und die datenschutzrechtlichen Anforderungen andererseits zu beachten. Soweit die Verarbeitung personenbezogener Daten bei der Bekämpfung der Corona-Pandemie hilft, gehen wir davon aus, dass alle Verantwortlichen sich zugleich der Anforderungen an den Datenschutz bewusst sind. In der bislang so noch nicht dagewesenen Lage, haben die Verantwortlichen einen weiten Spielraum bei der Beantwortung der Frage, welche organisatorischen Maßnahmen im Einzelfall erforderlich und angemessen sind.

Datenschutzhinweise

Wie bei jeder Datenverarbeitung auch muss der Betroffene (der Besucher) umfassend informiert werden, d.h. der Veranstalter muss die für den Betroffenen wichtigen Informationen offenlegen (siehe Art. 13 DSGVO).

Einlass nur gegen Daten?

In Bezug auf die Gastronomie schreiben die Bundesländer Niedersachsen und NRW u.a. vor, dass der Gastronom nur einem Gast Zutritt gewähren darf, der bereit ist, seine Daten herzugeben. Baden-Württemberg hat aber (Stand 12.05.2020) diese Bereitschaft nicht als Bedingung gemacht – d.h. es ist fraglich, ob ein Gastronom in Baden-Württemberg auch den “Verweigerer” einlassen darf. Dementsprechend hat der Landesbeauftragte für den Datenschutz in Baden-Württemberg auch die Landesregierung um Klarstellung gebeten.