Die Betreiber/innen bzw. Veranstalter/innen von verschiedenen Einrichtungen haben – neben der Einhaltung verschiedener Hygieneregeln – die Kontaktdaten von Gästen, Kunden/Kundinnen bzw. Teilnehmern/innen zu erfassen. In den folgenden Empfehlungen möchte der Hessische Beauftragte für Datenschutz und Informationsfreiheit eine Handlungshilfe für den Umgang mit der Kontaktdatenerfassung geben.
Bitte beachten Sie: Die Coronavirus-Schutzverordnung (CoSchuV) vom 24.11.2021 (i. d. F. vom 18.03.2022) sieht keine Kontaktdatenerfassung mehr vor. § 4 CoSchuV wurde aufgehoben. Damit haben auch Tanzlokale, Diskotheken, Clubs und ähnliche Einrichtungen nach § 24 CoSchuV sowie Prostitutionsstätten und ähnliche Einrichtungen nach § 26 CoSchuV keine Kontaktdaten mehr zu erheben.
Die folgenden Ausführungen beziehen sich auf die bisherige Rechtslage und dienen lediglich der Information und Dokumentation!
I. Rechtsgrundlage der Kontaktdatenerfassung
Die Coronavirus-Schutzverordnung (CoSchuV) vom 24.11.2021 (i. d. F. vom 16.12.2021) regelt in § 4 CoSchuV ergänzend zu § 28a Abs. 7 S. 1 Nr. 8, S. 3 i. V. m. Abs. 4 des Infektionsschutzgesetzes (IfSG) die Kontaktdatenerfassung.
Die CoSchuV verpflichtet insbesondere Tanzlokale, Diskotheken, Clubs und ähnliche Einrichtungen nach § 24 CoSchuV sowie Prostitutionsstätten und ähnliche Einrichtungen nach § 26 CoSchuV zu der Kontaktdatenerfassung. Seit dem 16.09.2021 sind dagegen folgende Einrichtungen nicht mehr erfasst, so dass diese grundsätzlich keine Kontaktdaten der Gäste, Kunden/Kundinnen bzw. Teilnehmer/innen zu erheben haben:
Veranstaltungen und Kulturbetrieb (Fachmessen, Veranstaltungen und Kulturangebote, etwa Theater, Opern, Kinos und Konzerte), § 16 CoSchuV;
Fitnessstudios und ähnliche Einrichtungen, § 18 Abs. 2 CoSchuV;
Spielbanken, Spielhallen und ähnliche Einrichtungen, § 18 Abs. 4 CoSchuV;
Gaststätten, Mensen, Hotels, Eisdielen, Eiscafés und andere Gewerbe bei dem Angebot des Verzehrs vor Ort, § 22 CoSchuV;
Übernachtungsbetriebe, § 23 CoSchuV;
Körpernahe Dienstleistungen (Friseurbetriebe etc.), § 25 CoSchuV.
Gemäß § 28 Abs. 2 CoSchuV bleibt jedoch die Befugnis der örtlich zuständigen Behörden, nach den §§ 28 und 28a IfSG auch über die CoSchuV hinausgehende Maßnahmen anzuordnen, unberührt. Somit kann auf kommunaler Ebene auch eine Kontaktdatenerfassung für weitere Einrichtungen (Gaststätten, Friseurbetriebe etc.) angeordnet werden.
Die Erfassung der Kontaktdaten stützt sich auf Art. 6 Abs. 1 lit. c) der Datenschutzgrundverordnung (DS-GVO) i. V. m. § 4 CoSchuV und der jeweiligen Vorschrift der CoSchuV (z. B. § 24 CoSchuV für Diskotheken). Zu erfassen sind Name, Vorname, Anschrift und die Telefonnummer oder E-Mail-Adresse der Gäste, Kunden/Kundinnen bzw. Teilnehmer/innen. Andere Daten dürfen nicht erhoben werden. Insbesondere ist keine Unterschrift erforderlich. Einwilligungserklärungen o. ä. sind nicht zu unterzeichnen. Im Falle der Nutzung der in der Corona-Warn-App des Robert Koch-Institutes enthaltenen QR-Code-Registrierung ist die Kontaktdatenerfassung nicht erforderlich, § 4 S. 2 CoSchuV.
Offenkundig falsche Angaben (Pseudonyme, „Spaßnamen‘‘) erfüllen nicht die Anforderungen der CoSchuV. Die Kontaktdaten sind vollständig und wahrheitsgemäß anzugeben, § 4 S. 1 Nr. 1 CoSchuV.
Die Kontaktdaten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die für die Erhebung der Daten zuständigen Stellen verwendet werden, § 28a Abs. 4 S. 3 IfSG. Die Nutzung dieser Daten zu anderen Zwecken (etwa Werbung oder anderweitige Kommunikation mit den Gästen, Kunden/Kundinnen bzw. Teilnehmern/innen) ist unzulässig.
Sofern ein Negativnachweis (Impfnachweis, Genesenennachweis oder ggf. Testnachweis) nach § 3 CoSchuV erforderlich ist, ist dessen Vorlage ausreichend. Die Anfertigung von Kopien ist nicht zulässig.
Die fehlende Erfassung der Kontaktdaten durch Betriebsinhaber/innen bzw. Veranstalter/innen sowie unwahre oder unvollständige Angaben durch Gäste, Kunden/Kundinnen oder Teilnehmer/innen stellen eine Ordnungswidrigkeit dar, vgl. § 30 CoSchuV i. V. m. § 73 Abs. 1a Nr. 24 IfSG. Dies kann mit einer Geldbuße bis zu 25.000,00 Euro geahndet werden, § 73 Abs. 2 IfSG.
II. Form der Kontaktdatenerfassung
Die Erhebung und Verarbeitung der Kontaktdaten soll gemäß § 4 S. 1 Nr. 2 CoSchuV möglichst in elektronischer Form erfolgen (etwa mittels eines QR-Codes oder einer App). Neben der elektronischen Form ist jedoch auch eine andere Art der Erfassung anzubieten. Die Kontaktdaten können etwa händisch vom Personal erfasst werden oder den Gästen, Kunden/Kundinnen oder Teilnehmern/innen können einzelne Blätter zum Ausfüllen vorgelegt werden. Es ist jedoch unbedingt darauf zu achten, dass die Kontaktdaten nicht öffentlich zugänglich und für andere Personen einsehbar sind.
III. Information über Kontaktdatenerfassung
Es ist bereits bei der Erhebung der Kontaktdaten darüber zu informieren (etwa mittels eines gut sichtbaren Hinweises vor Ort sowie auf den Erfassungsbögen), dass die Kontaktdatenerfassung zum Zweck der Nachverfolgung und Unterbrechung von Infektionsketten mit dem Coronavirus SARS-CoV-2 auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO i. V. m. § 4 CoSchuV und der jeweiligen Vorschrift der CoSchuV (z. B. § 24 CoSchuV für Diskotheken) erfolgt.
Formulierungsmuster (für Diskotheken; für andere Einrichtungen entsprechend anzupassen): „Die Kontaktdatenerfassung erfolgt zum Zweck der Nachverfolgung und Unterbrechung von Infektionsketten mit dem Coronavirus SARS-CoV-2 auf Grundlage von Art. 6 Abs. 1 lit. c) der Datenschutzgrundverordnung (DS-GVO) i. V. m. §§ 4, 24 der Coronavirus-Schutzverordnung (CoSchuV).“
IV. Aufbewahrung der Kontaktdaten
Die Kontaktdaten sind gemäß § 28a Abs. 4 S. 3 IfSG vier Wochen nach Erhebung zu löschen. Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist, § 28a Abs. 4 S. 2 IfSG.
Die Aufbewahrung sollte in einem verschlossenen Schrank/Tresor o. ä. möglichst an dem Ort der Erfassung geschehen. Zu diesem sollten möglichst wenige Personen Zugang haben. Das bloße Abheften der Erfassungsbögen in einem (Akten-)Ordner genügt nicht, sofern dieser nicht sicher verwahrt wird.
Es empfiehlt sich, die Kontaktdaten taggenau zu führen und diese vier Wochen nach Erhebung zu vernichten. Falls die zuständige Behörde die Herausgabe der Kontaktdaten bereits vor Ablauf der vier Wochen angefordert hat, sind die Kontaktdaten an diese herauszugeben und danach unverzüglich zu vernichten.
Beispiel: Die Aufbewahrungspflicht ist erfüllt, wenn ein Gast/Kunde/Teilnehmer am 17.12.2021 seine Kontaktdaten angibt und diese bis zum Ablauf des 14.01.2021 aufbewahrt werden.
V. Herausgabe der Kontaktdaten
Nach § 28 Abs. 1 CoSchuV sind für den Vollzug der Verordnung neben den Gesundheitsämtern die örtlichen Ordnungsbehörden zuständig, wenn die Gesundheitsämter nicht rechtzeitig erreicht oder tätig werden können, um eine bestehende Gefahrensituation abwenden zu können. Regelmäßig sind daher den Gesundheitsämtern (denen die Aufgaben des öffentlichen Gesundheitsdienstes obliegt, vgl. § 3 Abs. 1 des Hessischen Gesetzes über den öffentlichen Gesundheitsdienst) die Kontaktdaten herauszugeben, vgl. auch § 28a Abs. 4 S. 4 und S. 5 IfSG. Die Kontaktdaten dürfen an keine anderen Stellen übermittelt werden.
VI. Datenschutzkonforme Vernichtung
Die Kontaktdaten sind unverzüglich nach Ablauf von vier Wochen nach Erhebung sicher und datenschutzkonform zu löschen oder zu vernichten. Auf Papier erfasste Kontaktdaten sind etwa in einem Aktenvernichter/Papierschredder zu vernichten. Ebenfalls möglich ist das Verbrennen der Papierzettel in einem Kamin. Es ist sicherzustellen, dass dritte Personen keine Kenntnis von den Kontaktdaten erlangen. Ein bloßes Zerreißen der Zettel und anschließendes Entsorgen im Papiermüll genügt daher nicht. Erst recht dürfen die Zettel nicht direkt in den Papiermüll geworfen werden.
Stand: 16.12.2021