Corona: DSGVO-konforme Kontaktlisten

Nur ein Dokument je Gast

Viele Branchen müssen derzeit Gästelisten führen. Dabei muss beim Datenschutz einiges beachtet werden.

Nur ein Dokument je GastFoto: David Tadevosian/shutterstock.com

Für zahlreiche Branchen und Einrichtungen gilt momentan eine Pflicht zur Erfassung der Kontaktdaten aller Kunden/Besucher/Teilnehmer sowie des Zeitpunkts des Betretens und Verlassens des Betriebs bzw. der Einrichtung. Die Daten sind für einen Zeitraum von vier Wochen aufzubewahren. Personen, die ihre Daten nicht angeben, dürfen nicht bedient, unterrichtet oder geprüft werden beziehungsweise die Einrichtung nicht betreten. Für eine datenschutzkonforme Umsetzung dieser Vorgaben ist folgendes zu beachten.

So geht man mit den Listen um
Bei der Verwendung von Erfassungslisten ist darauf zu achten, dass keine Person die Daten anderer Personen einsehen kann. Entweder erfragt der Verantwortliche die Daten und trägt sie selbst in eine entsprechende Liste ein oder die vorherigen Eintragungen müssen derart abgedeckt sein, dass sie für den Eintragenden nicht sichtbar sind. Außerdem sollte für jeden Tag eine neue Liste begonnen werden, damit man Tag genau die Daten wieder löschen kann.

Am besten verwendet man pro Kunde/Gast/Teilnehmer/Besucher ein gesondertes Dokument.

Es dürfen nur die Daten erhoben werden, die gemäß Corona-Verordnung verlangt werden. Das sind in der Regel Name und Vorname des Kunden/Gastes/Teilnehmers/Besuchers, Datum, Beginn und Ende des Besuches/der Teilnahme, Telefonnummer oder Adresse des Kunden/Gastes/Teilnehmer/Besuchers.

Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache/Werbung genutzt werden. Die Daten sind vom Verantwortlichen vier Wochen nach der Erhebung zu löschen.

Informationspflichten beachten
Die betroffenen Personen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen kann ein Informationsblatt mit folgendem Inhalt ausgelegt/überreicht werden:

  • Name und Kontaktdaten des Verantwortlichen,
  • Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
  • Kategorien der personenbezogenen Daten,
  • Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung (Art. 6 Abs.1 Buchstabe c DS-GVO in Verbindung mit der entsprechenden Corona-VO)
  • Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt oder Ortspolizeibehörde für den Fall, dass sich eine Person nachträglich als infiziert herausstellen sollte, §§ 16, 25 IfSG),
  • Dauer der Speicherung (vier Wochen),
  • Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung und auf Beschwerde bei einer Aufsichtsbehörde (Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstraße 10 a, 70173 Stuttgart, Telefon: 0711 615541-0, Telefax: 0711 615541-15, E-Mail: poststelle@lfdi.bwl.de
  • Hinweis, dass die betroffene Person zur Angabe der personenbezogenen Daten nicht verpflichtet ist, die Dienstleistung aber nur in Anspruch genommen/ die Einrichtung nur betreten werden kann/ eine Teilnahme nur möglich ist, wenn die Daten zur Verfügung gestellt werden.

Daten dürfen nur an das Gesundheitsamt übermittelt werden
Die erfassten Daten sollten ausschließlich bei schriftlicher Aufforderung durch das Gesundheitsamt oder die Ortspolizeibehörde übermittelt werden. Dabei ist auf einen sicheren Übertragungsweg zu achten (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg. Außerdem sollte dokumentiert werden, welche Liste an wen, wie und wann übermittelt wurde, um der Rechenschaftspflicht nachzukommen.

Die Daten müssen gelöscht oder vernichtet werden
Die erhobenen Daten müssen nach vier Wochen gelöscht werden. Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Nicht ausreichend ist, Papierunterlagen zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.

Verschiedene Muster für Erfassung der Daten nebst Datenschutzhinweise gibt es auf der Website des DEHOGA Baden-Württemberg.

Dr. Jens Jasper

Dr. Jens Jasper

Recht und Steuern,
IHK-Zentrale
Position: Bereichsleiter
Schwerpunkte: Wirtschaftsrecht, Arbeitsrecht, außergerichtliche Streitbeilegung, Sachverständigenwesen, Steuern, IHK-Gremium Kreis Tübingen: Geschäftsführung, Koordination Hoheitliche Aufgaben
Telefon: 07121 201-233
E-Mail schreiben
vCard herunterladen
Zur Detailseite


Zur Übersicht