Blog, Datenschutz & Informationssicherheit, Sven Schüldink

Um die gesundheitlichen Risiken ihrer Beschäftigten und Besucher zu minieren, verarbeiten viele Unternehmer/innen momentan personenbezogene Daten zwecks Rückverfolgbarkeit von SARS-CoV-2-Infektionsketten durch Besucherlisten. Dabei sind aus unserer Sicht einige Punkte zu beachten die wir Ihnen gerne näher erläutern möchten.

  1. Coronaschutzverordnung

Zunächst muss zwischen den gesetzlich vorgeschriebenen Besucherlisten für einige Branchen und unternehmenseigenen Besucherlisten unterschieden werden.

Die gesetzliche Besucherlisten sind für das Land Nordrhein-Westfalen durch die in § 2a der Coronaschutzverordnung (CoronaSchVO) für Gastgeber, Vermieter, Einrichtungsleitung, Betriebsinhaber, Veranstaltungsleitung [1] bestimmt. Hierbei muss zur einfachen Rückverfolgbarkeit sichergestellt werden, dass

  • Name,
  • Adresse,
  • Telefonnummer
  • und ggf. Zeitraum des Aufenthalts (An- und Abreise)

schriftlich erfasst und für vier Wochen aufbewahrt werden. Auch in der CoronaSchVO hat der Gesetzgeber den Datenschutz gewürdigt und bestimmt, dass ein Zugriff Unbefugter nicht erfolgen darf und nach Ablauf von vier Wochen die Daten vollständig datenschutzkonform zu vernichten sind. Eine digitale Erfassung ist durch die Landesregierung möglich gemacht worden; allerdings kann ein Besucher auf die papierbasierte Erfassung bestehen.

  • Unternehmenseigene Besucherlisten

Bereits auch vor der Corona-Pandemie war es bei einigen Verantwortlichen üblich Besucherlisten zu führen. Nun wird dieses Verfahren allerdings vermehrt ein- und umgesetzt und sollte unbedingt datenschutzrechtlich bewertet werden.  

Eine durch das Unternehmen verpflichtende Eintragung durch Besucher in eine Liste kann in den meisten Fällen auf das Hausrecht des Unternehmers gestützt werden – so kann das Unternehmen den Besuchern den Zutritt verwehren, wenn diese sich nicht in die Besucherlisten eintragen möchten. Allerdings darf hier der Datenschutz nicht ausgehöhlt werden.

Speicherdauer und Zweck

Da sich der Zweck der unternehmenseigenen Corona-Besucherlisten nicht vom Zweck der gesetzlich vorgeschriebenen Besucherlisten unterscheidet, ist auch hier eine Aufbewahrung von mehr als vier Wochen nur schwer mit dem Grundsatz der Zweckbindung u. w. zu vereinen – nach derzeitigem Kenntnisstand sind SARS-CoV-2-Infizierte vierzehn Tage ansteckend, sodass nach vier Wochen eine Infektion ausgeschlossen werden kann und die Besucherlisten datenschutzkonform zu vernichten bzw. zu löschen sind. Keinesfalls kann eine Weiterverarbeitung z. B. zu Marketingzwecken mit dem Zweck der Erhebung vereinbart werden.

Umfang der Daten

Der Umfang der erhobenen Daten richtet sich auch hier an den Zweck der Besucherliste: es besteht in der Regel kein Bedarf mehr Daten als Name, Adresse, Telefonnummer und Zeitraum zu erheben um eine Rückverfolgung zu gewährleisten.

Bei der Erfragung beispielsweise von Körpertemperaturwerten oder ob in der letzten Zeit Symptome einer Krankheit vorgelegen haben, handelt es sich um sogenannte Gesundheitsdaten. Gesundheitsdaten sind in der DSGVO durch den Artikel 9 besonders geschützt und können nur unter ganz bestimmten Rechtgrundlagen (Erlaubnistatbestände) verarbeitet – also z. B. erhoben und gespeichert – werden. Für die Abfrage solcher personenbezogenen Gesundheitsdaten bei Besuchern, kommt unserer Auffassung nach, nur eine gesonderte, transparente, informierte Einwilligung in Frage.

Offenlegung

Wie vom nordrhein-westfälischen Gesetzgeber korrekt erkannt, spielt die Offenlegung an unbefugte Dritte eine wichtige Rolle bei der rechtlichen Betrachtung der Besucherlisten; der Verantwortliche sollte auf jeden Fall eine Form wählen, die es verhindert, dass z. B. Folgebesucher die Daten anderer Personen einsehen können. Auch hier gilt, dass eine unberechtigte Einsichtnahme von personenbezogenen Gesundheitsdaten weitaus schwerwiegender zu betrachten ist.

Vernichtung/Löschung

Nach vier Wochen steht also die Vernichtung bzw. die Löschung der personenbezogenen Besucherlisten an. Hierbei sind allerdings ebenfalls datenschutzrechtliche Vorgaben zu beachten. Die papierbasierten Besucherlisten müssen der Vernichtung der hauseigenen oder externen Aktenvernichtung (Shredder) zugeführt werden und dürfen keinesfalls einfach in den Papierkorb entsorgt werden. Für die digitale Vernichtung sollte gemäß Datenschutzkonformität eine mehrfache Überschreibung durch eine spezielle Software gewählt werden.

  • Informationen

Wie über jede Verarbeitung so muss auch über die Erhebung von Kontaktdaten der natürlichen Personen gemäß Art. 12 ff. DSGVO informiert werden. Dabei spielt der rechtliche Hintergrund – also ob Sie eine Besucherliste aus gesetzlich vorgeschriebenem Anlass oder aus eigener Intention heraus eingeführt haben – keine Rolle. Informiert werden muss jede/r Betroffene über die Verarbeitung der personenbezogenen Daten. Diese Datenschutzinformationen informieren den Betroffenen unter anderem über die Kontaktdaten des Datenschutzbeauftragten, die Zwecke der Verarbeitung, über Empfänger der personenbezogene Daten, die Absicht die Daten in ein Drittland zu übermittelt, die Speicherdauer, die Aufklärung über die sogenannten Betroffenenrechte, das Bestehen von automatisierten Entscheidungsfindungen und ob eine Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben/erforderlich ist.

Quellen:

[1]Land Nordrhein-Westfalen, Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2 (Coronaschutzverordnung – CoronaSchVO), https://www.land.nrw/sites/default/files/asset/document/2020-06-19_fassung_coronaschvo_ab_20.06.2020_lesefassung.pdf, in der ab dem 20. Juni 2020 gültigen Fassung.