Information zur Verarbeitung von personenbezogenen Daten durch Friseure im Zusammenhang mit der Corona-Pandemie

Betreiber von Friseurbetrieben und ähnlichen Einrichtungen haben die Kontaktdaten der Kundinnen und Kunden nach der Corona-Kontakt- und Betriebsbeschränkungsverordnung i. d. F. vom 19.10.2020 (CoKoBeV) zu erfassen. In den folgenden Empfehlungen möchte der Hessische Beauftragte für Datenschutz und Informationsfreiheit diesen Betrieben eine Handlungshilfe für den Umgang mit der Datenerfassung geben.

Fotolia_190479583_S.jpg

Checklist box

I. Rechtsgrundlage der Datenerfassung

Die Erhebung der Kundendaten stützt sich auf Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 6 Abs. 3 CoKoBeV. Danach haben die Betreiber von Betrieben mit körpernahen Dienstleistungen, insbesondere von Friseurbetrieben i. S. d. Nr. 38 des Anhang A der Handwerksordnung und vergleichbaren Einrichtungen, sicherzustellen, dass Name, Anschrift und Telefonnummer der Kundinnen und Kunden ausschließlich zur Ermöglichung der Kontaktnachverfolgung von Infektionen erfasst werden.

Andere Daten als die o. g. sind nicht zu erfassen. Insbesondere ist die Erhebung einer E-Mail-Adresse nicht zulässig. Auch ist keine Unterschrift des Kunden erforderlich. Offenkundig falsche Angaben (Pseudonyme, „Spaßnamen‘‘) eines Kunden erfüllen nicht die Anforderungen der CoKoBeV.

Die Kundendaten werden ausschließlich zur Ermöglichung der Kontaktnachverfolgung von Infektionen erfasst. Die Nutzung dieser Daten zu anderen Zwecken (etwa Werbung oder anderweitige Kommunikation mit den Kundinnen und Kunden) ist unzulässig.

II. Form der Datenerfassung

Eine bestimmte Form der Datenerhebung sieht die CoKoBeV nicht vor. Es ist jedoch unbedingt darauf zu achten, dass die Kundendaten nicht öffentlich zugänglich und für andere Personen einsehbar sind. Die Daten können etwa vom Personal erfasst werden oder den Kunden können einzelne Blätter zum Ausfüllen vorgelegt werden. Auch eine elektronische Datenerfassung (etwa mittels eines QR-Codes oder einer App) ist möglich.

III. Information und Betroffenenrechte

Die Informationspflicht des Art. 13 DS-GVO sowie die Betroffenenrechte der Art. 15, 18 und 20 DS-GVO finden gemäß § 6 Abs. 3 CoKoBeV keine Anwendung. Die Kundinnen und Kunden sind über diese Beschränkung zu informieren.

Es empfiehlt sich, bereits bei der Erhebung der Daten zu kommunizieren (etwa mittels eines gut sichtbaren Hinweises im Betrieb sowie auf den Erfassungsbögen), dass die Datenerhebung zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 6 Abs. 3 CoKoBeV erfolgt und dass die Bestimmungen der Art. 13, 15, 18 und 20 DS-GVO keine Anwendung finden. Weitere Informationen sind nicht erforderlich.

Formulierungsmuster: „Die Datenerhebung erfolgt zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 6 Abs. 3 der Corona-Kontakt-und Betriebsbeschränkungsverordnung (CoKoBeV). Die Bestimmungen der Art. 13, 15, 18 und 20 DS-GVO finden keine Anwendung.“

IV. Aufbewahrung der Kundendaten

Die Kundendaten sind für die Dauer eines Monats ab Beginn des Besuchs geschützt vor Einsichtnahme durch Dritte für die zuständigen Behörden vorzuhalten und auf Anforderung an diese zu übermitteln.

Die Aufbewahrung sollte in einem verschlossenen Schrank/Tresor o. ä. innerhalb des Betriebes geschehen. Zu diesem sollten möglichst wenige Personen Zugang haben. Das bloße Abheften der Erfassungsbögen in einem (Akten-)Ordner genügt nicht, sofern dieser nicht sicher verwahrt wird.

Es empfiehlt sich, die Kundendaten taggenau zu führen und diese einen Monat nach dem Besuch des Kunden zu vernichten. Falls die zuständige Behörde die Herausgabe der Kundendaten bereits vor Ablauf des Monats angefordert hat, sind die Kundendaten an diese herauszugeben und danach unverzüglich zu vernichten.

Beispiel: Die Aufbewahrungspflicht ist erfüllt, wenn ein Kunde am 22.10.2020 einen Betrieb besucht und die Kundendaten bis zum Ablauf des 22.11.2020 aufbewahrt werden.

V. Herausgabe der Kundendaten

Nach § 7 CoKoBeV sind für den Vollzug der Verordnung neben den Gesundheitsämtern die örtlichen Ordnungsbehörden zuständig, wenn die Gesundheitsämter nicht rechtzeitig erreicht oder tätig werden können, um eine bestehende Gefahrensituation abwenden zu können. Regelmäßig sind daher den Gesundheitsämtern (denen die Aufgaben des öffentlichen Gesundheitsdienstes obliegt, vgl. § 3 Abs. 1 des Hessischen Gesetzes über den öffentlichen Gesundheitsdienst) die Kundendaten herauszugeben. Die Daten dürfen an keine anderen Stellen übermittelt werden.

VI. Datenschutzkonforme Vernichtung

Die Kundendaten sind unverzüglich nach Ablauf der Monatsfrist sicher und datenschutzkonform zu löschen oder zu vernichten. Auf Papier erfasste Daten sind etwa in einem Aktenvernichter/Papierschredder zu vernichten. Ebenfalls möglich ist das Verbrennen der Papierzettel in einem Kamin. Es ist sicherzustellen, dass dritte Personen keine Kenntnis von den Kundendaten erlangen. Ein bloßes Zerreißen der Zettel und anschließendes Entsorgen im Papiermüll genügt daher nicht. Erst recht dürfen die Zettel nicht direkt in den Papiermüll geworfen werden.

SERVICE