Information zur Verarbeitung von personenbezogenen Daten durch den Einzelhandel im Zusammenhang mit der Corona-Pandemie

Die Verkaufsstellen des Einzelhandels können nach der Corona-Kontakt- und Betriebsbeschränkungsverordnung vom 26.11.2020 i. d. F. vom 04.03.2021 (CoKoBeV) ab dem 08.03.2021 im Rahmen einer festen Terminvergabe und der Einhaltung besonderer Hygieneregeln öffnen („Click and Meet“). Dazu gehört auch die Erfassung der Kontaktdaten der Kundinnen und Kunden. Die folgenden Empfehlungen sollen den Einzelhändlern eine Handlungshilfe für den Umgang mit der Datenerfassung geben.

Fotolia_152960131_S.jpg

Bild Rechte Patienten

I. Rechtsgrundlage der Datenerfassung

Der Grundversorgung der Bevölkerung dienende Verkaufsstellen nach § 3a Abs. 1 Satz 2 Nr. 1-21 CoKoBeV (Lebensmitteleinzelhandel, Apotheken, Drogerien etc.) dürfen ohne Terminvergabe und Erfassung der Kontaktdaten öffnen. Bei Mischwarenläden ist der Schwerpunkt im Sortiment entscheidend, § 3a Abs. 1 Satz 3 CoKoBeV. Handelt es sich überwiegend um ein erlaubtes Sortiment, darf das Geschäft insgesamt öffnen und es dürfen Waren des gesamten Sortiments verkauft werden. Andernfalls darf das Geschäft für die Beratung und den Verkauf nach vorheriger Terminvereinbarung unter Einhaltung besonderer Hygieneregeln und Erfassung der Kontaktdaten der Kundinnen und Kunden öffnen („Click and Meet“).

Die Erhebung der Kundendaten stützt sich auf Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 3a Abs. 1 Satz 2 Nr. 22 CoKoBeV. Danach haben die Einzelhändler sicherzustellen, dass Name, Anschrift und Telefonnummer der Kundinnen und Kunden ausschließlich zur Ermöglichung der Nachverfolgung von Infektionen erfasst werden.

Andere Daten als die o. g. sind nicht zu erfassen. Insbesondere ist die Erhebung einer E-Mail-Adresse nicht zulässig. Auch ist keine Unterschrift des Kunden erforderlich. Einwilligungserklärungen o. ä. sind von den Kunden nicht zu unterzeichnen. Offenkundig falsche Angaben (Pseudonyme, „Spaßnamen‘‘) eines Kunden erfüllen nicht die Anforderungen der CoKoBeV.

Die Kundendaten werden ausschließlich zur Ermöglichung der Kontaktnachverfolgung von Infektionen erfasst. Die Nutzung dieser Daten zu anderen Zwecken (etwa Werbung oder anderweitige Kommunikation mit den Kundinnen und Kunden) ist unzulässig.

Die fehlende Erfassung der Daten sowie die Nichtvorhaltung für die angeordnete Dauer stellen eine Ordnungswidrigkeit dar, vgl. § 8 Nr. 8b CoKoBeV i. V. m. § 73 Abs. 1a Nr. 24 des Infektionsschutzgesetzes (IfSG). Diese kann mit einer Geldbuße bis zu 25.000,00 Euro geahndet werden, § 73 Abs. 2 IfSG.

II. Form der Datenerfassung

Eine bestimmte Form der Datenerhebung sieht die CoKoBeV nicht vor. Es ist jedoch unbedingt darauf zu achten, dass die Kundendaten nicht öffentlich zugänglich und für andere Personen einsehbar sind. Die Daten können etwa vom Personal erfasst werden oder den Kunden können einzelne Blätter zum Ausfüllen vorgelegt werden. Auch eine elektronische Datenerfassung (etwa mittels eines QR-Codes oder einer App) ist möglich.

III. Information und Betroffenenrechte

Die Informationspflicht des Art. 13 DS-GVO sowie die Betroffenenrechte der Art. 15, 18 und 20 DS-GVO finden gemäß § 3a Abs. 1 Satz 2 Nr. 22 CoKoBeV keine Anwendung. Die Kundinnen und Kunden sind über diese Beschränkung zu informieren.

Es empfiehlt sich, bereits bei der Erhebung der Daten zu kommunizieren (etwa mittels eines gut sichtbaren Hinweises im Geschäft sowie auf den Erfassungsbögen), dass die Datenerhebung zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 3a Abs. 1 Satz 2 Nr. 22 CoKoBeV erfolgt und dass die Bestimmungen der Art. 13, 15, 18 und 20 DS-GVO keine Anwendung finden. Weitere Informationen sind nicht erforderlich.

Formulierungsmuster: „Die Datenerhebung erfolgt zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 3a Abs. 1 Satz 2 Nr. 22 der Corona-Kontakt-und Betriebsbeschränkungsverordnung (CoKoBeV). Die Bestimmungen der Art. 13, 15, 18 und 20 DS-GVO finden keine Anwendung.“

IV. Aufbewahrung der Kundendaten

Die Kundendaten sind für die Dauer eines Monats nach dem Einzelkundentermin geschützt vor Einsichtnahme durch Dritte für die zuständigen Behörden vorzuhalten und auf Anforderung an diese zu übermitteln.

Die Aufbewahrung sollte in einem verschlossenen Schrank/Tresor o. ä. innerhalb des Geschäfts geschehen. Zu diesem sollten möglichst wenige Personen Zugang haben. Das bloße Abheften der Erfassungsbögen in einem (Akten-)Ordner genügt nicht, sofern dieser nicht sicher verwahrt wird.

Es empfiehlt sich, die Kundendaten taggenau zu führen und diese einen Monat nach dem Einzelkundentermin zu vernichten. Falls die zuständige Behörde die Herausgabe der Kundendaten bereits vor Ablauf des Monats angefordert hat, sind die Kundendaten an diese herauszugeben und danach unverzüglich zu vernichten.

Beispiel: Die Aufbewahrungspflicht ist erfüllt, wenn ein Kunde am 15.03.2021 ein Geschäft besucht und die Kundendaten bis zum Ablauf des 15.04.2021 aufbewahrt werden.

V. Herausgabe der Kundendaten

Nach § 7 CoKoBeV sind für den Vollzug der Verordnung neben den Gesundheitsämtern die örtlichen Ordnungsbehörden zuständig, wenn die Gesundheitsämter nicht rechtzeitig erreicht oder tätig werden können, um eine bestehende Gefahrensituation abwenden zu können. Regelmäßig sind daher den Gesundheitsämtern (denen die Aufgaben des öffentlichen Gesundheitsdienstes obliegt, vgl. § 3 Abs. 1 des Hessischen Gesetzes über den öffentlichen Gesundheitsdienst) die Kundendaten herauszugeben. Die Daten dürfen an keine anderen Stellen übermittelt werden.

VI. Datenschutzkonforme Vernichtung

Die Kundendaten sind unverzüglich nach Ablauf der Monatsfrist sicher und datenschutzkonform zu löschen oder zu vernichten. Auf Papier erfasste Daten sind etwa in einem Aktenvernichter/Papierschredder zu vernichten. Ebenfalls möglich ist das Verbrennen der Papierzettel in einem Kamin. Es ist sicherzustellen, dass dritte Personen keine Kenntnis von den Kundendaten erlangen. Ein bloßes Zerreißen der Zettel und anschließendes Entsorgen im Papiermüll genügt daher nicht. Erst recht dürfen die Zettel nicht direkt in den Papiermüll geworfen werden.

SERVICE