Ganz langsam versuchen wir als Gesellschaft in Zeiten von Corona wieder zu einem Stück Normalität zurückzukehren. An den Gebrauch der Schutzmasken hat man sich mittlerweile gewöhnt, Ladengeschäfte haben wieder geöffnet und nun folgen die Gastronomiebetriebe. Für letztere wird in vielen Bundesländern das Führen einer „Besucherliste“ empfohlen oder gar gesetzlich gefordert. Wie dies im normalen Betrieb umgesetzt werden soll, stellt viele Gastwirte vor eine große Herausforderung.
Aber nicht nur in der Gastronomie, auch in Unternehmen anderer Branchen sind im Zuge der umzusetzenden Arbeitsschutzmaßnahmen zur Eindämmung der Ausbreitung des neuartigen Corona-Virus immer häufiger Besucherlisten zu finden. In diese sollen sich alle Kunden, Lieferanten und sonstige Besucher des Unternehmens, die sich auf dem Firmengelände aufhalten, eintragen. Sollte im Unternehmen dann ein Fall von Corona auftreten, können die Kontaktpersonen des Erkrankten schnell ermittelt und informiert werden.
Doch wie muss eine solche Liste aussehen, um datenschutzkonform zu sein? Die SiDIT GmbH gibt hier Hilfestellung!
Grundsätze der Zweckbindung und Datenminimierung zu beachten
Zunächst müssen die Grundsätze der Verarbeitung personenbezogener Daten gem. Art. 5 Abs. 1 DSGVO beachtet werden. Im konkreten Fall von Besucherlisten müssen insbesondere die Grundsätze der Zweckbindung und der Datenminimierung erfüllt sein. Außerdem dürfen die Besucherdaten nur so lange gespeichert oder aufbewahrt werden, wie es zur Erfüllung des Zwecks notwendig ist.
Zweckbindung heißt, dass nicht pauschal Daten mit Personenbezug gesammelt werden dürfen, sondern dies immer aus einem bestimmten Grund passieren muss, also um einen Zweck zu erfüllen.
Besucherlisten werden deshalb geführt, um bei einem Infektionsfall mit Covid-19 möglichst alle Kontaktpersonen des Erkrankten zurückverfolgen zu können, diese zügig über den Krankheitsfall in Kenntnis zu setzen und so das Ausbreitungsgeschehen des Corona-Virus eindämmen zu können.
Der Grundsatz der Datenminimierung meint, dass wirklich nur diejenigen personenbezogenen Daten erhoben und verarbeitet werden, die zur Erreichung des Zwecks tatsächlich gebraucht werden. Im vorliegenden Fall sollen Unternehmensbesucher also Daten angeben, um im Bedarfsfall kontaktiert werden zu können, sollte sich eine Corona-Erkrankung bei einer anderen Person des Unternehmens bestätigen. Für diesen Zweck erscheinen die Angabe des vollständigen Namens und der Telefon- oder Handynummer als ausreichend. Die Abfrage beispielsweise des Geburtsdatums ist für die Erfüllung dieses Zwecks vollkommen irrelevant und damit unzulässig.
Umgang mit den Besucherdaten
Aber nicht nur die Erhebung der korrekten Daten stellt eine Herausforderung dar. Viel mehr ist der richtige Umgang mit den gesammelten Besucherdaten eine weit größere Schwierigkeit. In vielen Betrieben findet man auf Papier ausgedruckte und sorglos bereitgelegte Listen, in die sich die Besucher mit den entsprechenden Informationen eintragen sollen. Dies führt dazu, dass unberechtigter Weise Daten vorheriger Besucher gesehen werden können, die bereits in der Liste eingetragen sind.
Kein Herumliegenlassen von Besucherlisten
Der Unternehmer hat dafür Sorge zu tragen, dass mit den erhobenen Informationen datenschutzkonform umgegangen wird, also kein unberechtigter Dritter Zugriff auf die Daten hat. Es empfiehlt sich also, die Besucherlisten nicht einfach unbeaufsichtigt herumliegen zu lassen und Besucher darauf hinzuweisen, man möge sich doch bitte in die ausliegende Liste eintragen. Vielmehr sollte dem Besucher die Liste von einem Unternehmensmitarbeiter, der die diese verwaltet, ausgehändigt werden. Die Mitarbeiter sollten in Bezug auf dieses Thema sensibilisiert werden.
Schutz bereits erfolgter Eintragungen in die Liste
Dass bereits getätigte Eintragungen nicht gesehen werden können, kann dadurch gelöst werden, dass die ausgefüllten Felder der Tabelle mit einem anderen Papierstück abgedeckt werden. Eine andere Möglichkeit wäre, dass für jeden Besucher zur Eintragung seiner Daten ein eigenes Blatt zur Verfügung steht. Somit wären die Besucherinformationen vor Kenntnisnahme Dritter geschützt. Optimaler Weise verfügt das Unternehmen sogar über ein digitales Formular, in das man sich eintragen kann.
Interner Umgang mit den personenbezogenen Daten
Die Daten, die von Besuchern erhoben werden, müssen allerdings nicht nur vor unberechtigtem Zugriff andere Besucher geschützt werden. Auch der interne Umgang mit diesen Informationen muss geregelt werden. Da nicht jeder Mitarbeiter eines Unternehmens für seine Arbeit die Daten der Besucher kennen muss, sollte eine zentrale Stelle benannt werden, die mit der Erhebung und Aufbewahrung der Besucherdaten beauftragt wird. Hier bietet sich die Pforte oder der Empfang an. Bei der Besuchsanmeldung können hier die nötigen Informationen abgefragt und die Besucherlisten verwahrt werden.
Aufbewahrung der Listen
Das Unternehmen muss außerdem sicherstellen, dass Ordner mit den Gästelisten für die Aufbewahrungszeit sicher gelagert werden, beispielsweise in einem abschließbaren Schrank, zu dem nur das Pforten-/Empfangspersonal einen Schlüssel hat. Für den Fall der digitalen Ablage sollte ein Ordner mit Passwortsicherung gewählt werden.
Dauer der Aufbewahrung
Die Daten der Gäste dürfen nur so lange aufbewahrt werden, bis der Zweck, für den sie erhoben wurden, erfüllt ist. Im konkreten Fall ist der Zweck, wie bereits erläutert, die Verhinderung des Ausbreitens des Corona-Virus. Nach momentanen wissenschaftlichen Erkenntnissen beträgt die Inkubationszeit des Virus bis zu 14 Tage. Eine Aufbewahrung der Besucherdaten von zwei Wochen, maximal drei Wochen, um einen „Sicherheitspuffer“ zu haben, scheint somit angebracht. Um eine Vernichtung oder Löschung der Informationen gewährleisten zu können, sollten intern Prozesse geschaffen werden, um dieser Pflicht routinemäßig nachgehen zu können. Beispielsweise könnte pro Tag ein Hefter geführt werden, in dem die Besucherdaten gesammelt werden. Nach Ablauf der 14 Tage können die Listen in dem Hefter dann vernichtet werden. Wichtig ist, dass die Listen nicht über den normalen Papiermüll entsorgt werden. Vielmehr sollten die Listen in eine spezielle Datentonne geworfen oder mit einem Aktenschredder ausreichend zerstört werden.
Für den Fall einer digitalen Speicherung der Besucherdaten muss darauf geachtet werden, dass ein bloßes Löschen mittels Verschieben in den „Papierkorb“ nicht ausreichend ist. Auch der Papierkorb muss geleert werden.
Belehrung der Besucher darf nicht vergessen werden
Zuletzt darf nicht vergessen werden, dass der Besucher von dem Unternehmer gem. Art. 12 ff. DSGVO über die Verwendung der erhobenen Daten informiert werden muss. Dies kann über ein Informationsblatt geschehen, dass gut sichtbar an der Pforte oder am Empfang ausgehängt oder ausgelegt wird. Um der Informationspflicht hinreichend nachzukommen, sollten folgende Fragen in dem Schreiben beantwortet werden:
1. Wer ist der Verantwortliche für die Erhebung der Daten (= Unternehmen)?
2. Wer ist der Datenschutzbeauftragte?
3. Welche Daten werden erhoben?
4. Aus welchem Grund werden diese Daten erhoben?
5. Wie lange werden die Daten gespeichert?
6. Welche Rechte haben die Besucher als betroffene Personen?
Die Frage nach den Betroffenenrechten kann bereits in der Datenschutzerklärung auf der Unternehmens-Website beantwortet werden.
Rechtsgrundlage für die Verarbeitung
Die Frage nach dem Grund ist schon komplexer. Auf eine gesetzliche Verpflichtung durch eine Verordnung oder ähnliches zum Führen einer solchen Besucherliste können sich Gastronomen – je nach Bundesland – berufen. Für andere Unternehmen ist das nicht der Fall. Der Unternehmer könnte sich jedoch auf ein „berechtigtes Interesse“ zur Ermittlung von Kontaktpersonen bei Vorliegen einer Corona-Erkrankung, berufen. Hierfür muss eine Interessenabwägung vorgenommen werden. Diese erfolgt in drei Schritten: Der Unternehmer muss zunächst darlegen können, dass ein „berechtigtes Interesse“ (hier: Rückverfolgung von Kontaktpersonen eines an Corona Erkrankten) zur Verarbeitung der erhobenen personenbezogenen Daten vorliegt und dass die Verarbeitung dieser Daten zur Wahrung eben dieses Interesses erforderlich ist. In einem letzten Schritt muss dann begründet werden, dass der Schutz der Grundrechte und Grundfreiheiten der Person, deren Daten verarbeitet werden, nicht das „berechtigte Interesse“ des Unternehmers überwiegt. Zu Dokumentationszwecken ist die Interessenabwägung schriftlich vorzunehmen.
Die aktuelle von Corona geprägte Zeit zeigt uns: weniger Sozialkontakte, weniger Freizeitgestaltungsmöglichkeiten, gewandeltes Konsumverhalten durch vermehrte Onlineshopping-Angebote – irgendwie ist das alles möglich. Auf der anderen Seite werden gerade hierdurch in den unterschiedlichsten Bereichen so viele personenbezogene Daten erhoben, wie noch nie. Es ist somit unerlässlich, sich noch intensiver mit dem Thema Datenschutz auseinanderzusetzen und dieses Thema noch mehr in unseren jeden (Arbeits-)Alltag zu integrieren.
Kein Kommentar