Coronavirus: Erfassung von Kontaktdaten und Datenschutz

Datenschutz: Erfassung von Kontaktdaten zwecks Rückverfolgung von Corona-Infektionen

Corona Datenschutz Kontaktdaten Infektionskette NachverfolgungBildquelle: Adobe Stock/alexanderuhrin

Anlässlich der rasanten Ausbreitung des Coronavirus SARS-CoV-2 und der fortschreitenden Lockerungen der Kontaktverbote ist es wichtig, die Infektionsketten nachverfolgen zu können, um frühzeitig eine weitere Ausbreitung des Virus einzudämmen. Die Nachverfolgung der Infektionsketten ist nur durch die Erfassung, Speicherung, Auswertung sowie Übermittlung von personenbezogenen Daten an die zuständigen Behörden möglich.

Rechtsgrundlage zur Erfassung von Kontaktdaten

Rechtsgrundlage für die zuvor genannte Datenverarbeitung können sein:

  • die Erfüllung einer rechtlichen Verpflichtung, sofern eine gesetzliche Vorgabe oder behördliche Anordnung existiert,
  • die allgemeine Gesundheitsvorsorge oder
  • die Einwilligung.

Landesgesetzliche Verpflichtung zur Erfassung von Kontaktdaten

In folgenden Bundesländern gibt es eine gesetzliche Vorgabe zur Datenverarbeitung zwecks Nachverfolgung von Infektionsketten:

 

Bundesländer

Landesgesetzliche Vorgaben (Stand: 24. Juli 2020)

Baden-Württemberg

Verordnung der Landesregierung über infektions-schützende Maßnahmen gegen die Ausbreitung des Virus SARS-CoV-2 (Corona-Verordnung – CoronaVO)

Bayern

Sechste Bayerische Infektionsschutzmaßnahmen-verordnung (6. BayIfSMV) i. V. m. den entsprechenden Hygienekonzepten

Berlin

Zweite Verordnung zur Änderung der SARS-CoV-2-Infektionsschutzverordnung

Brandenburg

Verordnung über den Umgang mit dem SARS-CoV-2-Virus und COVID-19 in Brandenburg (SARS-CoV-2-Umgangsverordnung – SARS-CoV-2-UmgV)

Bremen

Zwölfte Verordnung zum Schutz vor Neuinfektionen mit dem Coronavirus SARS-CoV-2 (Zwölfte Corona-verordnung)

Hamburg

Hamburgische SARS-CoV-2-Eindämmungs-VO

Hessen

Fünfte Verordnung zur Bekämpfung des Corona-Virus; Verordnung zur Beschränkung von sozialen Kontakten und des Betriebes von Einrichtungen und von Angeboten aufgrund der Corona-Pandemie (Corona-Kontakt- und Betriebsbeschränkungsverordnung)

Mecklenburg-Vorpommern

Verordnung der Landesregierung zur Corona-Lockerungs-LVO MV und zur Änderung der Quarantäneverordnung

Niedersachsen

Niedersächsische Verordnung zur Neuordnung der Maßnahmen gegen die Ausbreitung des Corona-Virus SARS-CoV-2 (Niedersächsische Corona-Verordnung)

Nordrhein-Westfalen

Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2 (Coronaschutzverordnung – CoronaSchVO)

Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2im Bereich der Betreuungsinfrastruktur (Coronabetreuungsverordnung – CoronaBetrVO)

Rheinland-Pfalz

Zehnte Corona-Bekämpfungsverordnung Rheinland-Pfalz (10. CoBeLVO)

Saarland

Verordnung zur Änderung infektionsrechtlicher Verordnungen zur Bekämpfung der Corona-Pandemie

Sachsen

Verordnung des Sächsischen Staatsministeriums für Soziales und Gesellschaftlichen Zusammenhalt zum Schutz vor dem Coronavirus SARS-CoV-2 und COVID-19 (Sächsische Corona-Schutz-Verordnung – SächsCoronaSchVO)

Sachsen-Anhalt

Siebte Verordnung über Maßnahmen zur Eindämmung der Ausbreitung des neuartigen Coronavirus SARS-CoV-2 in Sachsen-Anhalt (Siebte SARS-CoV-2-Eindämmungsverordnung – 7. SARS-CoV-2-EindV).

Schleswig-Holstein

Landesverordnung zur Bekämpfung des Coronavirus SARS-CoV-2

Thüringen

Thüringer Verordnung zur weiteren Verbesserung der erforderlichen Maßnahmen zur Eindämmung der Ausbreitung des Coronavirus SARS-CoV-2

Die Erfassung und weitere Verarbeitung der Kontaktdaten sollte nur dann auf die Einwilligung gestützt werden, wenn dem Verantwortlichen in dem jeweiligen Bundesland keine rechtliche Verpflichtung zur Erhebung und Verarbeitung von Besucherdaten auferlegt wird.

Beispiel: Erfassung von Kontaktdaten

In Nordrhein-Westfalen ist eine rechtliche Verpflichtung zur Erhebung und Verarbeitung von Besucherdaten in § 2a Abs. 1 CoronaSchVO und in § 3 Abs. 5 CoronaBetrVO normiert. Einer Einwilligung des betroffenen Besuchers in die Verarbeitung seiner personenbezogenen Daten bedarf es daher nicht, auch wenn man dies aufgrund der missverständlichen Formulierung in § 2a Abs. 1CoronaSchVO und in § 3 Abs. 5 CoronaBetrVO zunächst anzunehmen mag (vgl. den Hinweis der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen).

Allgemeine Vorgaben zum Umgang mit Besucherdaten

Für verschiedene Lebensbereiche (u.a. Schulen, Kitas, Gastronomie, Handwerks- und Dienstleitungsgewerbe, stationäre Gesundheits- und Pflegeeinrichtungen wie Krankenhäuser oder Altenheime), in denen mehrere Personen zusammenkommen, gibt es unterschiedliche spezielle Vorgaben, welche personenbezogene Daten wie zu verarbeiten sind. Die Dauer ihrer Vorhaltung variiert ebenfalls. Allen ist jedoch gemein, dass

  • mindestens folgende personenbezogenen Daten erhoben werden:

    - Nachname, Vorname
    - Adresse
    - Telefonnummer

  • bei wechselndem Personenkreis: Zeitraum des Aufenthaltes bzw. Zeitpunkt der An- und Abreise
  • die erhobenen Kontaktdaten nicht jedermann zugänglich sein dürfen,
  • der Verantwortliche die Übermittlung der Kontaktdaten an die Behörden dokumentieren sollte,
  • die Übermittlung der Kontaktdaten nur auf einem sicheren Übertragungsweg geschehen darf,
  • die zwecks Nachverfolgung erhobenen Kontaktdaten nicht für andere Zwecke wie die Werbung oder einen Newsletterdienst verwendet werden dürfen,
  • die Besucher über die Datenverarbeitung zwecks Nachverfolgung der Infektionsketten mit Hilfe einer entsprechenden Datenschutz-Information im Sinne von Artt. 12 – 14 DS-GVO bzw. der entsprechenden kirchenrechtlichen Vorgaben zur Informationspflicht zu informieren sind und
  • die nicht mehr erforderlichen Daten (nach Ablauf der Vorhaltungspflicht) entsprechend der Schutzklasse 3 und Sicherheitsstufe 4 zu entsorgen bzw. zu löschen sind.

Fazit

Angesichts der Tatsache, dass der Umgang mit personenbezogenen Daten zur Eindämmung der Corona-Pandemie in den Bundesländern unterschiedlich und in manchen Bundesländern auch in mehreren Vorschriften geregelt ist, herrscht zuweilen eine große Unsicherheit im Hinblick auf den datenschutzkonformen Umgang mit personenbezogenen Daten von Besuchern. Aus diesem Grunde stellen wir Ihnen Muster einer Datenschutz-Information sowie eines Fragebogens für die Datenerfassung im Zuge der Corona-Pandemie zur Verfügung:

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RAin
Agnes Lisowski
+49 (0)251 482040
 

Agnes Lisowski, geboren 1978

  • Studium der Rechtswissenschaft an der Westfälischen Wilhelms Universität in Münster
  • seit 2007 Rechtsanwältin
  • 2007 Erfolgreiche Absolvierung des Fachanwaltslehrgangs Arbeitsrecht
  • 2008 – 2009 Justitiarin beim Diözesancaritasverband Münster
  • 2008 – 2011 Dozentin im Bereich Arbeitsrecht und Mitarbeitervertretungs-ordnung für den Diözesancaritasverband Münster
  • 2014 – 2015 Erfolgreiche Absolvierung des Fachanwaltslehrgangs Sozialrecht
  • seit 2016 für die BPG Rechtsanwaltsgesellschaft GmbH tätig
  • 2019 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Dortmund

Schwerpunkte

  • Individual- und Kollektivarbeitsrecht 
  • Sozialrecht
  • Allg. Zivilrecht und Vertragsrecht
  • Datenschutz