Datenschutz und Corona-Listen

Das Oberverwaltungsgericht Nordrhein-Westfalen hat in seinem Beschluss vom 23.6.‌2020 (Az. 13 B 695/20) entschieden, dass die in der Corona-Schutzverordnung NRW vorgesehene Datenerhebung rechtmäßig ist, um Kontaktpersonen nachverfolgen zu können. Gemäß der Verordnung müssen bestimmte Gewerbetreibenden, wie die Gastronomie, Friseure, Fitnessstudios, etc., Kundendaten zur Nachverfolgung von Informationsketten erfassen. Eine Weitergabe an die für die Nachverfolgung zuständige Behörde erfolgt nur auf Verlangen. Der Kläger, der sich gegen die Verordnung gewandt hatte, fühlte sich in seinem Grundrecht auf informelle Selbstbestimmung verletzt.

Zur Begründung seiner Entscheidung führte das Oberverwaltungsgericht aus, dass mit der Erhebung der Kundendaten sichergestellt werde, dass die Gesundheitsämter Personen, die sich im Bereich des Infizierten aufgehalten haben, identifiziert und so Infektionsketten durchbrochen werden können. Das Recht auf informationelle Selbstbestimmung trete in diesem Fall gegenüber dem Schutz von Leben und Gesundheit vorübergehend zurück. Es sei zu berücksichtigen, dass weder der Besuch einer gastronomischen Einrichtung noch das Aufsuchen eines Fitnessstudios oder der Besuch eines Friseursalons der Deckung elementarer Grundbedürfnisse diene und zudem Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung voraussichtlich gewährleistet.

Wenn Sie als Gewerbetreibender zur Führung von „Corona-Listen“ verpflichtet sind, gilt Folgendes:

• Was viele falsch machen:
Auf keinen Fall dürfen Sammellisten geführt werden, da die personenbezogenen Daten, wie Name, Telefonnummer, etc., für andere Kunden einsehbar sind. Dies wird leider sehr oft falsch gemacht und stellt einen Datenschutzverstoß dar. Für jeden neuen Kunden ist daher ein gesondertes Blatt zu verwenden, obwohl das viel Papier produziert. Alternativ können die Daten abgefragt oder wenn technisch möglich, ein datenschutzkonformes Online-Reservierungssystem genutzt werden.

• Was viele nicht wissen:
Jedem Kunden ist eine vollständige Information über die erhobenen personenbezogenen Daten nach Art. 13 DS-GVO zur Verfügung zu stellen. Der Kunde muss daher über die Kontaktdaten des Verantwortlichen, Zweck der Erhebung der personenbezogenen Daten, Rechtsgrundlage, Speicherdauer, Betroffenenrechte, etc. informiert werden. Die Informationen können dem Kunden beispielsweise durch Aushang zur Verfügung gestellt werden.

• Welche Daten man erheben darf:
Grundsätzlich gilt, es dürfen nur die Daten erhoben werden, die durch die Corona Schutzverordnungen der einzelnen Bundesländer vorgeschrieben sind. Auch hier gilt der Grundsatz der Datenminimierung. Welche Daten genau zu erheben sind, ist von Bundesland zu Bundesland unterschiedlich geregelt und den einzelnen Verordnungen zu entnehmen.

• Was man auf keinen Fall darf:
Der Gewerbetreibende darf die Daten nur für den vorgeschriebenen Zweck, nämlich dem Infektionsschutz und keinesfalls für den Versand von Newslettern oder ähnlichem verwenden. Dies wäre nur zulässig, wenn explizit darauf hingewiesen wird, dass die Daten auch für Werbung verwendet werden und die ausdrückliche Einwilligung des Kunden dafür einholt wird.

• Wohin mit den Daten:
Die Daten sind gemäß den jeweiligen Verordnungen der einzelnen Bundesländer zu löschen, spätestens jedoch einen Monat nach deren Erhebung. Auf keinen Fall dürfen die Kundendaten in der Papiertonne landen, sondern müssen datenschutzkonform entsorgt werden.

Wenn Sie dazu noch Fragen haben, kommen Sie gerne auf uns zu!

Ihr D-Protect-Team

Scroll to Top