Information zur Verarbeitung von personenbezogenen Daten durch den Einzelhandel im Zusammenhang mit der Corona-Pandemie

Die Geschäfte des Einzelhandels können – abhängig von der Inzidenz – nach vorheriger Terminbuchung für einen fest begrenzten Zeitraum und der Einhaltung besonderer Hygieneregeln öffnen („Click and Meet“). Dazu gehört auch die Erfassung der Kontaktdaten der Kundinnen und Kunden. Die folgenden Empfehlungen sollen den Einzelhändlern eine Handlungshilfe für den Umgang mit der Datenerfassung geben.

Fotolia_152960131_S.jpg

Bild Rechte Patienten

I. Rechtsgrundlage der Datenerfassung

Die hessische Corona-Kontakt- und Betriebsbeschränkungsverordnung vom 26.11.2020 i. d. F. vom 12.05.2021 (CoKoBeV) sieht ab dem 17.05.2021 keine Regelung zu der Erfassung der Kontaktdaten im Einzelhandel mehr vor, vgl. § 3a Abs. 1 S. 2 Nr. 22 CoKoBeV. Die Regelungen der CoKoBeV gelten bis zu einer Inzidenz von 100.

Überschreiten ein Landkreis oder eine kreisfreie Stadt an drei aufeinander folgenden Tagen eine Inzidenz von 100, gelten dort ab dem übernächsten Tag zusätzliche, bundeseinheitliche Maßnahmen nach dem Infektionsschutzgesetz (IfSG). Bei einer Inzidenz bis 150 dürfen sämtliche Ladengeschäfte für einzelne Kunden nach vorheriger Terminbuchung für einen fest begrenzten Zeitraum öffnen, sofern die Kontaktdaten der Kundinnen und Kunden erhoben werden.

Die Erhebung der Kundendaten stützt sich auf Art. 6 Abs. 1 lit. c) Datenschutzgrundverordnung (DS-GVO) i. V. m. § 28b Abs. 1 S. 1 Nr. 4 IfSG. Danach haben die Betreiber/innen die Kontaktdaten der Kundinnen und Kunden, mindestens Name, Vorname, eine sichere Kontaktinformation (Telefonnummer, E-Mail-Adresse oder Anschrift) sowie den Zeitraum des Aufenthaltes, zu erheben.

Andere Daten als die o. g. sind nicht zu erfassen. Insbesondere ist eine Unterschrift der Kundin oder des Kunden nicht erforderlich. Einwilligungserklärungen o. ä. sind von den Kundinnen und Kunden nicht zu unterzeichnen. Offenkundig falsche Angaben (Pseudonyme, „Spaßnamen‘‘) einer Kundin oder eines Kunden genügen nicht.

Die Kundendaten werden ausschließlich zur Ermöglichung der Kontaktnachverfolgung von Infektionen erfasst. Die Nutzung dieser Daten zu anderen Zwecken (etwa Werbung oder anderweitige Kommunikation mit den Kundinnen und Kunden) ist unzulässig.

Das von der Kundin oder dem Kunden vorzulegende negative Ergebnis einer innerhalb von 24 Stunden vor Inanspruchnahme der Leistung mittels eines anerkannten Tests durchgeführten Testung auf eine Infektion mit dem Coronavirus SARS-CoV-2 darf nicht kopiert werden.

II. Form der Datenerfassung

Eine bestimmte Form der Datenerhebung ist nicht vorgesehen. Es ist jedoch unbedingt darauf zu achten, dass die Kundendaten nicht öffentlich zugänglich und für andere Personen einsehbar sind. Die Daten können etwa vom Personal erfasst werden, oder den Kundinnen und Kunden können einzelne Blätter zum Ausfüllen vorgelegt werden. Auch eine elektronische Datenerfassung (etwa mittels eines QR-Codes oder einer App) ist möglich.

III. Information

Es empfiehlt sich, bereits bei der Erhebung der Daten zu kommunizieren (etwa mittels eines gut sichtbaren Hinweises im Geschäft sowie auf den Erfassungsbögen), dass die Datenerhebung zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 28b Abs. 1 S. 1 Nr. 4 IfSG erfolgt.

Formulierungsmuster: „Die Datenerhebung erfolgt zum Zweck der Nachverfolgung von Infektionsketten auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 28b Abs. 1 S. 1 Nr. 4 des Infektionsschutzgesetzes (IfSG).“

IV. Aufbewahrung der Kundendaten

Die Daten sind vier Wochen nach Erhebung zu löschen, § 28a Abs. 4 IfSG. Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist.

Die Aufbewahrung sollte in einem verschlossenen Schrank/Tresor o. ä. innerhalb des Geschäfts geschehen. Zu diesem sollten möglichst wenige Personen Zugang haben. Das bloße Abheften der Erfassungsbögen in einem (Akten-)Ordner genügt nicht, sofern dieser nicht sicher verwahrt wird.

Es empfiehlt sich, die Kundendaten taggenau zu führen und diese nach vier Wochen zu vernichten. Falls die zuständige Behörde die Herausgabe der Kundendaten bereits vor Ablauf der Frist angefordert hat, sind die Kundendaten an diese herauszugeben und danach unverzüglich zu vernichten.

Beispiel: Die Aufbewahrungspflicht ist erfüllt, wenn ein Kunde am 19.05.2021 ein Geschäft besucht und die Kundendaten bis zum Ablauf des 16.06.2021 aufbewahrt werden.

V. Herausgabe der Kundendaten

Neben den Gesundheitsämtern sind die örtlichen Ordnungsbehörden zuständig, wenn die Gesundheitsämter nicht rechtzeitig erreicht oder tätig werden können, um eine bestehende Gefahrensituation abwenden zu können. Regelmäßig sind daher den Gesundheitsämtern (denen die Aufgaben des öffentlichen Gesundheitsdienstes obliegt, vgl. § 3 Abs. 1 des Hessischen Gesetzes über den öffentlichen Gesundheitsdienst) die Kundendaten herauszugeben. Die Daten dürfen an keine anderen Stellen übermittelt werden, vgl. § 28a Abs. 4 IfSG.

VI. Datenschutzkonforme Vernichtung

Die Kundendaten sind unverzüglich nach Ablauf der Frist sicher und datenschutzkonform zu löschen oder zu vernichten. Auf Papier erfasste Daten sind etwa in einem Aktenvernichter/Papierschredder zu vernichten. Ebenfalls möglich ist das Verbrennen der Papierzettel in einem Kamin. Es ist sicherzustellen, dass dritte Personen keine Kenntnis von den Kundendaten erlangen. Ein bloßes Zerreißen der Zettel und anschließendes Entsorgen im Papiermüll genügt daher nicht. Erst recht dürfen die Zettel nicht direkt in den Papiermüll geworfen werden.

Stand: 18.05.2021

SERVICE