Information zur Verarbeitung von personenbezogenen Daten durch Friseure im Zusammenhang mit der Corona-Pandemie

Die Betreiber von Friseurbetrieben haben – neben der Einhaltung besonderer Hygieneregeln – die Kontaktdaten der Kundinnen und Kunden zu erfassen. In den folgenden Empfehlungen möchte der Hessische Beauftragte für Datenschutz und Informationsfreiheit diesen Betrieben eine Handlungshilfe für den Umgang mit der Datenerfassung geben.

Fotolia_190479583_S.jpg

Checklist box

I. Rechtsgrundlage der Datenerfassung

Die Regelungen der hessischen Corona-Kontakt- und Betriebsbeschränkungsverordnung vom 26.11.2020 i. d. F. vom 12.05.2021 (CoKoBeV) gelten bis zu einer Inzidenz von 100. Überschreiten ein Landkreis oder eine kreisfreie Stadt an drei aufeinander folgenden Tagen eine Inzidenz von 100, gelten dort ab dem übernächsten Tag zusätzliche, bundeseinheitliche Maßnahmen nach dem Infektionsschutzgesetz (IfSG).

Die folgenden Ausführungen beziehen sich auf die Regelungen der CoKoBeV (Inzidenz bis 100). Diese können auf eine Datenerhebung nach § 28b IfSG (Inzidenz ab 100) entsprechend angewendet werden.

Die Erhebung der Kundendaten stützt sich auf Art. 6 Abs. 1 lit. c) Datenschutzgrundverordnung (DS-GVO) i. V. m. § 6 Abs. 3 CoKoBeV. Danach haben die Betreiberinnen und Betreiber von Friseurbetrieben sicherzustellen, dass Name, Anschrift und Telefonnummer der Kundinnen und Kunden ausschließlich zur Ermöglichung der Kontaktnachverfolgung von Infektionen erfasst werden.

Andere Daten als die o. g. sind nicht zu erfassen. Insbesondere ist die Erhebung einer E-Mail-Adresse nicht zulässig. Auch ist keine Unterschrift der Kundin oder des Kunden erforderlich. Einwilligungserklärungen o. ä. sind von den Kundinnen und Kunden nicht zu unterzeichnen.

Offenkundig falsche Angaben (Pseudonyme, „Spaßnamen‘‘) erfüllen nicht die Anforderungen der CoKoBeV. Die Kundinnen und Kunden sind verpflichtet, die geforderten Angaben vollständig und wahrheitsgemäß zu machen und auf Verlangen der Betreiberin oder des Betreibers des Friseurbetriebes oder dessen Personals ein amtliches Ausweispapier zur Überprüfung ihrer Angaben vorzulegen.

Die Kundendaten werden ausschließlich zur Ermöglichung der Kontaktnachverfolgung von Infektionen erfasst. Die Nutzung dieser Daten zu anderen Zwecken (etwa Werbung oder anderweitige Kommunikation mit den Kundinnen und Kunden) ist unzulässig.

Nach § 6 Abs. 2 CoKoBeV dürfen Friseurbetriebe nur Kundinnen und Kunden mit einem Negativnachweis nach § 1b CoKoBeV (Impfnachweis, Genesenennachweis oder Testnachweis) bedienen. Die Vorlage eines Nachweises ist ausreichend; die Anfertigung von Kopien ist nicht zulässig.

Die fehlende Erfassung der Daten durch den Betrieb sowie unwahre oder unvollständige Angaben durch die Kunden stellen eine Ordnungswidrigkeit dar, vgl. § 8 Nr. 4a, Nr. 12 CoKoBeV i. V. m. § 73 Abs. 1a Nr. 24 IfSG. Dies kann mit einer Geldbuße bis zu 25.000,00 Euro geahndet werden, § 73 Abs. 2 IfSG.

II. Form der Datenerfassung

Die Datenerhebung soll nach der CoKoBeV möglichst elektronisch erfolgen (etwa mittels eines QR-Codes oder einer App). Die Daten können aber auch händisch vom Personal erfasst werden oder den Kunden können einzelne Blätter zum Ausfüllen vorgelegt werden. Es ist jedoch unbedingt darauf zu achten, dass die Kundendaten nicht öffentlich zugänglich und für andere Personen einsehbar sind.

III. Information und Betroffenenrechte

Die Informationspflicht des Art. 13 DS-GVO sowie die Betroffenenrechte der Art. 15, 18 und 20 DS-GVO finden gemäß § 6 Abs. 3 CoKoBeV keine Anwendung. Die Kundinnen und Kunden sind über diese Beschränkung zu informieren.

Es empfiehlt sich, bereits bei der Erhebung der Daten zu kommunizieren (etwa mittels eines gut sichtbaren Hinweises im Betrieb sowie auf den Erfassungsbögen), dass die Datenerhebung zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 6 Abs. 3 CoKoBeV erfolgt und dass die Bestimmungen der Art. 13, 15, 18 und 20 DS-GVO keine Anwendung finden. Weitere Informationen sind nicht erforderlich.

Formulierungsmuster: „Die Datenerhebung erfolgt zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 6 Abs. 3 der Corona-Kontakt-und Betriebsbeschränkungsverordnung (CoKoBeV). Die Bestimmungen der Art. 13, 15, 18 und 20 DS-GVO finden keine Anwendung.“

IV. Aufbewahrung der Kundendaten

Die Kundendaten sind für die Dauer eines Monats ab Beginn des Besuchs geschützt vor Einsichtnahme durch Dritte für die zuständigen Behörden vorzuhalten und auf Anforderung an diese zu übermitteln.

Die Aufbewahrung sollte in einem verschlossenen Schrank/Tresor o. ä. innerhalb des Betriebes geschehen. Zu diesem sollten möglichst wenige Personen Zugang haben. Das bloße Abheften der Erfassungsbögen in einem (Akten-)Ordner genügt nicht, sofern dieser nicht sicher verwahrt wird.

Es empfiehlt sich, die Kundendaten taggenau zu führen und diese einen Monat nach dem Besuch des Kunden zu vernichten. Falls die zuständige Behörde die Herausgabe der Kundendaten bereits vor Ablauf des Monats angefordert hat, sind die Kundendaten an diese herauszugeben und danach unverzüglich zu vernichten.

Beispiel: Die Aufbewahrungspflicht ist erfüllt, wenn eine Kundin oder ein Kunde am 19.05.2021 einen Betrieb besucht und die Kundendaten bis zum Ablauf des 19.06.2021 aufbewahrt werden.

V. Herausgabe der Kundendaten

Nach § 7 CoKoBeV sind für den Vollzug der Verordnung neben den Gesundheitsämtern die örtlichen Ordnungsbehörden zuständig, wenn die Gesundheitsämter nicht rechtzeitig erreicht oder tätig werden können, um eine bestehende Gefahrensituation abwenden zu können. Regelmäßig sind daher den Gesundheitsämtern (denen die Aufgaben des öffentlichen Gesundheitsdienstes obliegt, vgl. § 3 Abs. 1 des Hessischen Gesetzes über den öffentlichen Gesundheitsdienst) die Kundendaten herauszugeben. Die Daten dürfen an keine anderen Stellen übermittelt werden.

VI. Datenschutzkonforme Vernichtung

Die Kundendaten sind unverzüglich nach Ablauf der Monatsfrist sicher und datenschutzkonform zu löschen oder zu vernichten. Auf Papier erfasste Daten sind etwa in einem Aktenvernichter/Papierschredder zu vernichten. Ebenfalls möglich ist das Verbrennen der Papierzettel in einem Kamin. Es ist sicherzustellen, dass dritte Personen keine Kenntnis von den Kundendaten erlangen. Ein bloßes Zerreißen der Zettel und anschließendes Entsorgen im Papiermüll genügt daher nicht. Erst recht dürfen die Zettel nicht direkt in den Papiermüll geworfen werden.

Stand: 17.05.2021

SERVICE