Allgemein

Corona und DSGVO: Viele Freiberufler und Selbstständige müssen in Niedersachsen Kundendaten erheben

Viele Freiberufler und Selbstständige sind seit Montag (11. Mai 2020) verpflichtet, gemäß der Niedersächsischen Verordnung zum Schutz vor Neuinfektionen mit dem Corona-Virus (CoronaVO) Kundendaten zu erheben.

  • Eine Checkliste zur DSGVO und zum neuen Datenschutzrecht für Selbstständige und Freiberufler finden Sie hier. Was sie beim Datenschutz auf Ihrer Webseite beachten müssen, lesen Sie hier.
  • Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet. Die niedersächsische Landesdatenschutzbeauftragte hat einen Katalog veröffentlicht, nach dem Unternehmen überprüft werden. Sehr aufschlussreicht!
  • Bei weiteren Fragen können Sie mich gerne in meiner Funktion als externen Datenschutzbeauftragten (TÜV) kontaktieren.

Die Pflicht aus der niedersächsischen ConronaVO umfasst die Kontaktdaten alle Kundinnen und Kunden sowie den Zeitpunkts des Betretens und Verlassens des Betriebs. Hinsichtlich dieser Daten besteht eine Aufbewahrungspflicht von drei Wochen. Personen, die nicht einverstanden sind, dürfen nicht bedient, unterrichtet oder geprüft werden. Die Landesdatenschutzbeauftragte hat hierzu Hinweise veröffentlicht.

Die Regelung betrifft:

NEWSLETTER ABO

Abonnieren Sie unseren Newsletter "Aus der Aktentasche" mit News, Analysen und Interviews für Selbstständige und Freiberufler. Informationen zum Datenschutz finden Sie in unseren Datenschutzbestimmungen
  1. Frisörinnen und Frisöre sowie Betreiberinnen und Betreiber eines Manikürestudios, Pedikürestudios, Kosmetikstudios oder einer Massagepraxis (§ 7 Abs. 1 Sätze 3 und 4 CoronaVO),
  2. Restaurationsbetriebe, insbesondere Restaurants, Gaststätten, Biergärten im Freien, Imbisse, Cafés, allein oder in Verbindung mit anderen Einrichtungen, und Kantinen (§6 Abs. 1 Satz 5 CoronaVO),
  3. Volkshochschulen, sonstige öffentliche und private Bildungseinrichtungen im außerschulischen Bereich sowie Musikschulen (§ 2h Satz 2 CoronaVO) und
  4. Fahrschulen, Fahrlehrerausbildungsstätten, Flugschulen und anerkannte Aus- und Weiterbildungsstätten nach dem Berufskraftfahrer-Qualifikations-Gesetz sowie Aus- und Weiterbildungsbildungsstätten für Triebfahrzeugführer und anderes Personal im Bereich der Eisen- und Straßenbahnen (§ 7 Abs. 3 Satz 2 CoronaVO).

Und das teilt die Landesdatenschutzbeauftragte mit:

Zur datenschutzkonformen Umsetzung der Vorgaben der CoronaVO ist Folgendes zu beachten:

  • Wenn mit Erfassungslisten gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen zur Kenntnis nehmen kann.
  • Der Verantwortliche sollte deshalb die Daten erfragen (Vornamen, Familienname, vollständige Anschrift und Telefonnummer) und selbst in entsprechende Listen eintragen. Damit könnte zugleich die Lesbarkeit der erhobenen Daten sichergestellt werden, soweit die Listen manuell in Papierform geführt werden.
  • Ein eigenständiges Eintragen der Kontaktdaten durch die Kundinnen und Kunden bzw. der Teilnehmenden (in manuelle Listen) ist aus Datenschutzsicht nur zulässig, wenn vorherige Einträge abgedeckt werden.

Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so taggenau den Löschfristen nachkommen zu können (s.u. Ziff. 3)

B.

Die Kundinnen und Kunden bzw. Teilnehmenden müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen könnte dort, wo die Daten erfasst werden (z. B. im Empfangsbereich), ein Aushang angebracht oder ein Informationsblatt ausgelegt werden. Die Informationen müssen beinhalten:

  • Name und Kontaktdaten des Verantwortlichen,
  • Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
  • Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung,
  • Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich eine Kundin/ein Kunde/ein Teilnehmender nachträglich als infiziert herausstellen sollte),
  • Dauer der Speicherung (drei Wochen bzw. ein Monat, siehe dazu D.),
  • Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung sowie auf das Recht auf Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover),
  • Hinweis, dass die betroffenen Personen nur bedient, unterrichtet oder geprüft werden können, soweit sie mit der Datenerfassung einverstanden sind.
  • Sind im Betrieb oder der Bildungseinrichtung bereits Informationen nach Art. 13 DS-GVO für Kundinnen und Kunden bzw. Teilnehmende vorhanden, da in der Vergangenheit bereits deren Daten erfasst wurden, müssen diese lediglich ergänzt werden (neuer Zweck, dessen Rechtsgrundlage, Speicherdauer, Empfänger der Daten).

Verschiedene Muster für einen Aushang zur Erfüllung der Informationspflichten finden Sie im Download-Bereich [der Landesbauftragten für Datenschutz Niedersachsen – dort rechts oben]. Diese beziehen sich ausschließlich auf die Verarbeitung von Kunden- und Teilnehmerdaten im Zusammenhang mit der niedersächsischen Corona-Verordnung. Sie sind kein allgemeines Muster für die Informationspflichten nach Art. 13 (und 14) DS-GVO.

C.

Listen oder Auszüge aus Listen sollten ausschließlich bei schriftlicher Aufforderung z. B. durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Jede Aufforderung zur Übermittlung und die Übermittlung selbst müssen dokumentiert werden, um der Rechenschaftspflicht nachzukommen (welche Liste wurde an wen wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.

D.

Die Daten sind nach drei Wochen (gilt für Einrichtungen der Punkte 1. und 2.) bzw. nach spätestens einem Monat (Einrichtungen der Punkte 3. und 4.) nach dem letzten Kontakt mit der betreffenden Person zwingend zu vernichten bzw. zu löschen. Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Unzureichend wäre es, Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.

E.

Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache/Werbung genutzt werden.

Über den Autor Henning Zander

Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger