Kategorien
Datenschutz-Praxis

Kontaktdaten zur Pandemiebekämpfung – wer darf was?

Wer muss, der darf. Wer nicht muss, der darf auch nicht. – So kann man die Datenschutz-Regeln zur Erfassung von Kontaktdaten zur Bekämpfung der Corona-Pandemie zusammenfassen.

Der erste Teil ist einfach: Wer muss, der darf. Wer durch die Corona-Verordnung seines Bundeslandes verpflichtet ist, Daten zur Kontaktnachverfolgung aufzuzeichnen, dem gestattet das auch das Datenschutzrecht. Rechtsgrundlage für die Datenerfassung ist das Bestehen einer rechtlichen Verpflichtung (gem. Art. 6 Abs. 1 S. 1 lit. c DSGVO).
Wer im einzelnen verpflichtet ist, ist in allen Bundesländern unterschiedlich geregelt. Die – aus meiner Sicht – eleganteste Regelung hat Bremen: Dort müssen Kontakte bei allen Angeboten in geschlossenen Räumen aufgezeichnet werden; Ausnahmen gelten für Verkaufsstellen, Schulungsangebote, bei denen die Kontaktdaten sowieso bekannt sind, und „sonstige öffentliche Einrichtungen“ (vgl. § 5 Abs. 2 Nr. 3 CoronaVO-HB).*
Relativ einheitlich ist dagegen, was aufgezeichnet werden muss: Vollständiger Name, Anschrift und eine Telefonnummer; Bremen und Schleswig-Holstein erlauben alternativ auch die Erfassung einer E-Mail-Adresse.** Die Angabe der dienstlichen Kontaktdaten ist (außer in Hamburg) bei dienstlichen Veranstaltungen gestattet. In Bremen reicht die Benennung von einer Person pro Haushalt aus, in den anderen Ländern müssen alle Personen angegeben werden. Zudem muss der Zeitpunkt (Datum und Urzeit) der Datenerhebung notiert werden werden; anders nur in Bremen: Dort muss der Zeitpunkt des Betretens und Verlassens der Einrichtung erfasst werden.
Die Speicherdauer beträgt in Niedersachsen drei Wochen, in den anderen Ländern vier Wochen. Allerdings müssen die Daten auch in Niedersachsen erst nach vier Wochen gelöscht werden; die Niedersächsische Regelung ermöglicht im Ergebnis eine wöchentliche Löschung, während die anderen Länder eine tägliche Löschung verlangen.
In allen Ländern dürfen die erhobenen Daten zu keinem anderen Zweck als der Infektionsverfolgung genutzt werden und müssen für Dritte unzugänglich bleiben.
Ebenso einheitlich ist geregelt: Die Daten müssen richtig sein. Bestehen Zweifel muss der Verantwortliche die Plausibilität der Daten prüfen; eine Anmeldung als Harry Potter oder Donald Duck sollte daher immer zu einer Prüfung von Narbe oder Bürzel führen (alternativ: Personalausweis). Wer seine Daten nicht korrekt angeben will, muss draußen bleiben.
Zur korrekten Umsetzung im Betrieb sind vier Dinge erforderlich:

  1. ein Formular zur Datenerfassung,
  2. korrekte Hinweise zur Datenverarbeitung,
  3. eine Anweisung zum Führen der Liste und
  4. eine Ergänzung im Verzeichnis der Verarbeitungstätigkeiten.***

Der nächste Teil ist ist etwas schwerer verständlich: Wer nicht muss, der darf auch nicht. Weder der Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten (Art. 6 S. 1 lit. d DSGVO), noch die Wahrung berechtigter Interessen (Art. 6 S. 1 lit f DSGVO) werden von den Aufsichtsbehörden als tragfähige Rechtsgrundlagen anerkannt.
Bei den lebenswichtigen Interessen ist das naheliegend, denn diese Vorschrift ist eher eine Regelung für Notfälle; für von langer Hand geplante Datenspeicherungen auf Vorrat ist sie daher weniger geeignet.
Auch besteht – nach Meinung der Aufsichtsbehörden – kein berechtigtes Interesse des Verantwortlichen an der Datenaufzeichnung. Das liegt bei genauerer Betrachtung auch nahe, weil die Länder für alle Fälle, in denen ein berechtigtes Interesse an der Datenverarbeitung besteht, diese bereits in ihrer Corona-Verordnung vorgeschrieben haben; nicht jeder Verantwortliche soll diese durch eine eigene Abwägung ergänzen. Ein Argument, das noch einleuchtender klingen würde, wenn diese Abwägungen nicht auch in jedem Land etwas unterschiedlich ausfielen.

Durchkreuzt der Datenschutz die Infektionsbekämpfung? – Die Antwort ist: Nein! Die Infektionsbekämpfung würde allenfalls durchkreuzt, wenn die Corona-Verordnung eine erforderliche Kontaktdatenerfassung nicht vorschreibt; denn dort liegt der Schlüssel für die (absolut unproblematische) Zulässigkeit der Datenverarbeitung. Der Verantwortliche darf Betroffene – auch zur Infektionsbekämpfung – nicht zwingen, mehr Daten von sich preiszugeben als erforderlich ist.
Anders sieht es natürlich aus, wenn der Verantwortliche den Betroffenen anbietet, die Kontaktdaten zu speichern, sofern sie damit einverstanden sind. Das setzt aber voraus, dass eine wirksame und freiwillige Einwilligung der Betroffenen vorliegt – und freiwillig bedeutet: Es muss auch derjenige reingelassen werden, der keine Kontaktdaten angeben möchte.

Die Vorgaben der Corona-Verordnung haben keine Auswirkungen auf die Verarbeitung von Kontakt- oder Terminsdaten zu anderen Zwecken. Wer zum Beispiel nach Termin arbeitet oder zu Abrechnungszwecken Besuche dokumentiert, darf das auch weiterhin tun.
Ebenso darf derjenige solche Daten verarbeiten, der z.B. aufgrund eines Hygienekonzeptes erstmals ausschließlich nach Termin oder Reservierung arbeitet; auch wenn bei man bei einer solchen Datenverarbeitung die Infektionsbekämpfung im Hinterkopf haben kann: Als Rechtfertigung bleibt sie ungeeignet!
Deswegen stellt die Weitergabe der Kalender- und Termindaten an das Gesundheitsamt auch eine Zweckänderung dar; diese ist zulässig, weil der Verantwortliche zur Weitergabe der Daten an das Gesundheitsamt gem. § 16 Abs. 2 Infektionsschutzgesetz verpflichtet ist.
Die Datenweitergabe an das Gesundheitsamt sollte begrenzt werden: Es darf das nicht der vollständige Kalender oder Gesprächsvermerk weitergegeben werden. Mein Vorschlag wäre: Nur die Daten weiter zu geben, die auch ein zur Datenaufzeichnung Verpflichteter hätte weitergeben können – also Name, Anschrift, Telefonnummer oder Mailadresse, sowie den Beginn des Termins (in Bremen ggf. auch das Ende). Eine auf diese Daten beschränkte Übermittlung dürfte sogar von Anwälten, Ärzten und anderen Berufsgeheimnisträgern zu verlangen sein und keine Verletzung des Berufsgeheimnisses darstellen.*****
Das einzig umständliche: Die Betroffenen sind über diese Zweckänderung zu informieren.

Anmerkungen:

Dieser Beitrag bezieht sich auf die Corona-Verodnungen der Länder Niedersachsen und Schleswig-Holstein, sowie der Freien und Hansestadt Hamburg und der Freien Hansestadt Bremen. (Stand: 13.01.2021)

*) Für Niedersachsen findet sich der Anwendungsbereich in § 5 S. 1 Nds. CoronaVO. Bei den CoronaVOen von Hamburg und Schleswig-Holstein ist die Frage der Datenerfassung jeweils bei den Regeln für den jeweiligen Angebotstyp geregelt. Alle drei Länder arbeiten – anders als Bremen – mit einer Positivliste.

**) Die Datenschutz-Vorschriften sind geregelt in: § 5 Abs. 1 Corona VO-Nds, § 7 Corona VO-HH, § 4 Abs. 2 Corona-VO SH und § 8 CoronaVO-HB (Die Bremer Verordnung verweist noch auf eine alte Fassung. Es wird aber aktuell keine Lesefassung mit den Änderungen vom 08.01.2021 angeboten; die Änderungen finden Sie [hier].)

***) Formular-Vorschläge für die entsprechenden Texte finden Sie [hier].

****) Nr. 3 der „FAQs“ zum Coronavirus COVID 19 der Rechtsanwaltskammer Celle (Stand: 20.03.2020).

Das für diesen Beitrag verwendete Bild stammt vom Verfasser.