Corona-Gästelisten: Kundendaten in Zeiten von Corona erfassen

Das Wichtigste in Kürze

  • Im Zuge der Corona-Lockerungen ist vielerorts die Erfassung von Kundendaten verpflichtend.
  • Die genauen Regelungen zu den Gästeverzeichnissen unterscheiden sich von Bundesland zu Bundesland.
  • Beim Erfassen der Daten ist der Datenschutz zu beachten.

In diesem Beitrag

Deutschland im Juni 2020: Nachdem infolge der Corona-Pandemie im Frühjahr das öffentliche Leben in weiten Teilen brachlag, kehrt nun langsam ein Gefühl von Alltag zurück. Doch die Lockerungen werden in den einzelnen Bundesländern an unterschiedliche Auflagen geknüpft, zu denen für zahlreiche Unternehmen auch das Führen von Kontaktlisten, Gäste- oder Kundenverzeichnissen zählt. Wie lassen sich diese datenschutzkonform gestalten?

Wer muss Kontaktlisten, Gäste- oder Kundenverzeichnisse führen?

Die Mehrzahl der deutschen Bundesländer hat im Zuge der Corona-Lockerungen in der einen oder anderen Form Auflagen für bestimmte Branchen erlassen, die Unternehmer verpflichten, Kontaktdaten ihrer Kunden aufzunehmen. Dies soll den Gesundheitsbehörden im Ernstfall ermöglichen, Infektionsketten nachzuvollziehen und Kontaktpersonen ausfindig zu machen.

Von der Maßnahme sind zahlreiche Unternehmen mit direktem Kundenverkehr betroffen – allen voran die Gastronomie, mitunter aber auch Handwerks- und Dienstleistungsbetriebe wie etwa Friseurstudios. Auch für Freizeit- und Bildungseinrichtungen können entsprechende Vorschriften gelten.

Ist das Verzeichnis in jedem Fall verpflichtend?

Ob Unternehmen zur Erfassung der Kundenkontaktdaten verpflichtet sind und welche Betriebe das im Einzelnen betrifft, ist je nach Bundesland unterschiedlich geregelt. Während etwa die Corona-Schutzverordnungen in Nordrhein-Westfalen das Führen von Kontaktlisten für Gastronomie-, Handwerks- und Dienstleistungsbetriebe vorschreiben, gilt in Bayern lediglich eine Empfehlung speziell für das Gastgewerbe.

So paradox es klingen mag: Eine verpflichtende Regelung ist für betroffene Betriebe hilfreicher als eine bloße Empfehlung. Denn laut Datenschutz-Grundverordnung (DSGVO) muss die Speicherung und Verarbeitung personenbezogener Daten zwingend auf eine Rechtsgrundlage gestützt sein. Eine solche ist dann gegeben, wenn die Erfassung von Kontaktdaten verpflichtend ist. Wo hingegen nur eine Empfehlung gilt, da ist die Rechtsgrundlage deutlich schwieriger zu erfassen. Auszugehen ist in diesen Fällen von einem „berechtigten Interesse“ aufseiten des Unternehmens.

Übrigens sorgt nicht nur die Uneinheitlichkeit zwischen den Bundesländern in der Praxis für Probleme, sondern auch die teils uneindeutigen Formulierungen der Schutzverordnungen selbst. So gilt mitunter, dass es für die Kontaktdatenerfassung zuerst der Einwilligung der jeweiligen Personen bedarf. Unklar bleibt dabei jedoch oft, wie mit Gästen, Kunden und Besuchern zu verfahren ist, die ihre Einwilligung verweigern.

Welche Daten sollten in Corona-Kontaktlisten erfasst werden?

Wenn es um die Erfassung personenbezogener Daten wie Vorname, Nachname, Telefonnummer, E-Mail-Adresse oder auch Anschrift geht, ist die eindeutige Regel: Erfassen Sie nur so viel wie unbedingt notwendig, keinesfalls mehr. Was unbedingt erforderlich ist, ergibt sich aus den länderspezifischen Regeln. Neben den genannten Daten kann das beispielsweise auch der Zeitraum des Besuchs sein.

Wer mehr als das geforderte Minimum an Daten erfasst (also beispielsweise die E-Mail-Adresse, obwohl nur die Anschrift verlangt wird, oder umgekehrt), dem fehlt schlicht die Rechtsgrundlage für die Datenverarbeitung. Und das wäre wiederum problematisch im Sinne der DSGVO, die eine Verarbeitung ohne Rechtsgrundlage ausschließt.

Zu welchen Zwecken werden die Daten erhoben?

Einzig zulässiger Zweck der Datenverarbeitung ist die Nachverfolgung von Kontaktpersonen, um die Gesundheitsbehörden bei der Eindämmung der Corona-Pandemie zu unterstützen. Irgendwann, nach Ablauf einiger Wochen – das ist Definitionssache und wiederum länderspezifisch geregelt – endet dieser Zweck. Dann müssen auch die Daten gelöscht werden.

So verlockend es also vielleicht auch klingen mag, die Daten aus den Corona-Kontaktlisten und Kundenverzeichnissen auch zu Werbezwecken zu verwenden: Das ist ausgeschlossen. Für diesen Zweck fehlt schlicht die gesetzliche Grundlage. Natürlich wäre es denkbar, den Gast oder Kunden direkt auf der Kontaktliste um seine Einwilligung zur Datenverarbeitung für Werbezwecke zu bitten. Doch auch hiervon ist dringend abzuraten. Vermischen Sie diese beiden Anliegen nicht. Erfassen Sie wirklich nur die Daten, die Sie erfassen müssen – und dies auch nur so lange Sie müssen.

Wie müssen Unternehmen ihre Gäste und Kunden über die Erfassung informieren?

Wie überall, wo Daten erhoben werden, gelten auch bei Corona-Gästelisten die Informationspflichten der DSGVO: Im Moment der Datenerhebung muss erkennbar sein,

  • wer die Daten erhebt,
  • welche Daten erhoben werden,
  • auf welcher Rechtsgrundlage die Daten erhoben werden,
  • wie die Betroffenenrechte aussehen
  • ob die Daten ggf. weitergegeben werden und
  • ob es einen Datenschutzbeauftragten gibt.

Die gute Nachricht: Es ist nicht erforderlich, jedem Gast oder Besucher einen dicken Katalog unter die Nase zu halten. Es genügt, die Datenschutzinformationen zum Beispiel am Tresen verfügbar zu halten und Gästen, Besuchern oder Kunden auf Nachfrage Einsicht zu gewähren.

Wie sollte die Liste ausgelegt und archiviert werden?

Auch wenn in diesem Artikel von Listen die Rede ist und der Gesetzgeber unglücklicherweise ebenfalls diesen Begriff gebraucht: Tatsächlich sollten zur Erfassung von Kontaktdaten idealerweise gar keine Listen verwendet werden, auf denen etwa der Gast eines Restaurants einsehen kann, wer alles vor ihm das Lokal besucht hat. Das wäre schlicht nicht datenschutzkonform. Stattdessen empfehlen sich einzelne Blätter oder Formulare für eine Person oder eine zusammengehörige Gruppe.

Diese Formulare lassen sich dann auch übersichtlich nach Datum abheften. Für die Dauer der Aufbewahrung sicher weggeschlossen, sollten sie dann nach Ablauf der länderspezifischen Dokumentationspflicht vernichtet werden – und das bitte nicht einfach über das Altpapier. Verzeichnisse auf Papier sollten Sie in jedem Fall schreddern, um Datenpannen sicher auszuschließen.

Können die Daten elektronisch erfasst werden?

Eine elektronische Datenerfassung für Corona-Gästelisten ist eine naheliegende Option. Viele Unternehmen, die Gästedaten erfassen müssen, arbeiten ohnehin bereits mit einem Buchungssystem über das Internet, und mancherorts ist ein Restaurantbesuch nur mit Reservierung zulässig. So wie Sie den Papierordner sicher wegschließen und nicht herumliegen lassen, müssen Sie aber auch im IT-Bereich auf Sicherheitsaspekte achten, etwa auf einen ausreichenden Passwortschutz und eine Verschlüsselung der Daten.

Muss ich die Angaben meiner Gäste nachprüfen?

Nehmen wir an, ein Gast trägt sich im Formular als Gustav Gans aus Entenhausen ein. Sie haben berechtigte Zweifel, ob das sein echter Name ist. Im Sinne einer zuverlässigen Kontaktpersonennachverfolgung durch die Gesundheitsbehörden empfiehlt es sich in einem solchen Fall, die Angaben zu prüfen. Das können Sie tun, indem Sie sich den Personalausweis von Ihrem Gast oder Besucher zeigen lassen. Keinesfalls sollten Sie jedoch eine Kopie hiervon anfertigen. Das würde Sie nämlich erneut in Konflikt mit dem Datenschutz bringen, schließlich erfüllt die einfache Kontrolle ebenso ihren Zweck.

Was, wenn ein Gast während des Besuchs Symptome entwickelt?

Ein Gast, der während eines Restaurantbesuchs Krankheitssymptome aufkommen spürt, sollte in Corona-Zeiten schnellstmöglich nach Hause gehen. Wie aber diesen Vorfall datenschutzkonform erfassen? Wenn es im jeweiligen Bundesland dazu keine behördlichen Anweisungen gibt, können wir von einem unternehmerischen Interesse ausgehen, Mitarbeiter und Gäste vor Infektionen zu schützen. Den Vorfall zu vermerken erscheint also sinnvoll und rechtlich unproblematisch.

Wichtig in solch einem Fall ist die anschließende Rücksprache mit den Gesundheitsbehörden. Halten diese weitere Maßnahmen für erforderlich? Wenn nicht, ist das Thema erledigt und auch diese Information sollte gelöscht werden.

Welche Informationsmöglichkeiten gibt es im Einzelfall?

Gerade wegen der vielfältigen Regelungen auf Länderebene ist es mitunter schwierig, die spezifischen Corona-Schutzverordnungen im Blick zu behalten. Mögliche Anlaufstellen sind die Websites

Und natürlich ist es auch sinnvoll, sich an den eigenen Datenschutzbeauftragten zu wenden. Dieser kann sich mit den landesspezifischen Regelungen und Informationspflichten genauer beschäftigen und Ihnen so bei der DSGVO-konformen Kontaktdatenerfassung behilflich sein.

Fazit

Nehmen Sie Datenschutz ernst – auch und gerade in diesen aufgewühlten Zeiten. Wer ohnehin viele Maßnahmen kritisch beäugt, kann ganz besonders laut auf seine Betroffenenrechte pochen, wenn er ein Formular ausfüllen soll. Seien Sie sich daher Ihrer Verantwortung bewusst.

Und schließlich noch eine Anekdote abseits des Datenschutzes: Ich hätte kürzlich zum Ausfüllen einen Stift verwenden sollen, der zuvor bereits durchs halbe Lokal ging. In Corona-Zeiten natürlich ebenfalls suboptimal … 

 

Über den Autor

Andreas Riehn Andreas Riehn
Andreas Riehn

Als Senior Consultant für Datenschutz betreut Andreas Riehn bei DataGuard Kunden von Medien- und Marketingunternehmen bis zum Autohandel. Schon in der Anfangsphase der Digitalisierung entdeckte der Volljurist das Potenzial der Informationstechnologie für sich. Nach seinem Jurastudium gründete und programmierte er 1997 das erste rein webbasierte Repetitorium für angehende Juristen: „Ohne zu wissen, was ein Mainboard ist. Von Computertechnik hatte ich einfach keine Ahnung, hat trotzdem funktioniert.“ Es folgten eine mehrjährige Tätigkeit als Manager für Marketingkommunikation sowie als Rechtsanwalt für die Bereiche IT und Datenschutz. Wenn er sich nicht mit Datenschutz, Big Data oder Machine Learning befasst, ist Andreas passionierter Autor und hat bereits einen Mystery-Thriller verfasst.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren