Gratis
13. Oktober 2020 - Datenschutz-Schulung

Corona-Listen: Das lässt sich aus der Datenschutz-Kritik lernen

Drucken

Warum fordert der Datenschutz bestimmte Maßnahmen? Um Beschäftigte dafür zu sensibilisieren, helfen konkrete Beispiele, die jeder kennt. Die Kritik der Datenschützer, wie etwa Gaststätten mit den Kontaktdaten umgehen, die sie im Zuge der Corona-Verordnungen erheben müssen, eignet sich daher sehr gut für Ihre Datenschutz-Schulung.

Gästelisten sind eine Fundgrube an Datenschutzpannen Gästelisten sind eine Fundgrube an Datenschutzpannen (Bild: iStock.com / Heiko119)

Datenschutz und die eigene Betroffenheit

Es ist ein bekanntes Problem aus der Datenschutz-Schulung: Merken die Teilnehmerinnen und Teilnehmer nicht sofort, dass ein beschriebenes Datenschutz-Risiko sie direkt oder zumindest indirekt betrifft, kann es sein, dass sie abschalten. Kein Thema für mich, denken sie dann womöglich.

Es ist deshalb für Datenschutzbeauftragte sehr wichtig, ein Praxisbeispiel zur Hand zu haben, das viele oder sogar alle betrifft, anschaulich ist und trotzdem Datenschutz-Risiken sowie notwendige Gegenmaßnahmen beschreibt.

Die Maßnahmen, um die Corona-Pandemie zu bewältigen, sind ein solches Beispiel. Das gilt insbesondere für die Kontaktdaten, die beispielsweise Restaurants erfassen.

Corona-Kontaktlisten als Datenschutz-Thema

Kaum eine Teilnehmerin oder ein Teilnehmer wird die Situation nicht kennen, personenbezogene Daten auf einem Zettel notieren zu müssen, wenn sie oder er an einem Tisch Platz nehmen möchte. Eine Gaststätte anonym zu besuchen, ist nicht möglich. Jeder muss private Daten preisgeben, die er früher nicht beim Gastwirt hinterlassen hat.

Leider gibt es so einige Probleme rund um diese Kontaktdaten. Sie haben die Aufsichtsbehörden für den Datenschutz auf den Plan gerufen. Nutzen Sie ihre Kritik und Hinweise, um zu zeigen, welche Risiken für personenbezogene Daten bestehen und was passieren muss, um den Datenschutz nach Datenschutz-Grundverordnung (DSGVO) zu wahren.

Im Folgenden seien zentrale Datenschutz-Forderungen anhand der Corona-Kontaktlisten betrachtet, die Sie als Grundlage für eine betriebliche oder behördliche Schulung im Datenschutz einsetzen können.

Vertraulichkeit gewährleisten

Es beginnt bereits damit, wie die Formulare zur Erfassung der Kontaktdaten gestaltet sind. Wer möchte schon seine Daten in Listen eintragen, die bereits viele Einträge enthalten und die jeder einsehen kann?

„Nicht jede Art der Abfrage von Kontaktdaten ist sinnvoll umgesetzt“, erläuterte Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein. „Immer wieder beschweren sich Personen bei uns, die über lange Listen klagen, in denen sie ihre persönlichen Daten eintragen sollen. Wenn sich nicht ohnehin schon alle kennen, sind Listen aber kein gutes Mittel, denn alle anderen können die vorherigen Einträge sehen – oder wie schon vorgekommen: abfotografieren. Besser geeignet sind Einzelformulare. Denn es ist klar geregelt: Die Daten müssen vor unbefugter Kenntnisnahme geschützt sein.“

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erklärte zudem: Die ausgefüllten Formulare dürfen nicht offen auf dem Tresen herumliegen. Am Ende des Arbeitstags muss der Betreiber sie sicher verschlossen aufbewahren.

Es gilt: Personenbezogene Daten davor schützen, dass jemand, der nichts mit ihnen zu tun hat, sie sehen – und vielleicht sogar misbrauchen – kann.

Informieren und für Transparenz sorgen

Auch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit erreichte zu den sogenannten „Corona-Listen“ eine Vielzahl von Beschwerden.

Für das Führen dieser Listen gilt die Datenschutz-Grundverordnung, betont die Aufsichtsbehörde. Jedem Kunden ist eine vollständige Information nach Art. 13 DSGVO zur Verfügung zu stellen. Das könne je nach den Umständen auch durch einen Aushang geschehen. Aus der Information müssen sich eindeutig der Zweck der Verarbeitung sowie die Speicherdauer ergeben.

Der Landesdatenschutzbeauftragte Rheinland-Pfalz äußerte sich zum gleichen Thema. Nach den Anforderungen der Datenschutz-Grundverordnung müssen die Verantwortlichen etwa in einem Restaurant über Folgendes informieren:

  • über Name und Kontaktdaten des Verantwortlichen und ggf. eines Datenschutzbeauftragten,
  • über Zweck und Rechtsgrundlage der Datenverarbeitung,
  • über (mögliche) Empfänger der Daten,
  • über die Dauer der Speicherung,
  • über Betroffenenrechte und das Beschwerderecht bei einer Aufsichtsbehörde sowie
  • über die Folgen, wenn jemand die Kontaktdaten nicht angibt.

Diese Informationen können Gaststätten gut einsehbar auf Tischen auslegen oder im Eingangsbereich aushängen.

Auch können sie auf dem Kontaktformular, auf dem die Kunden sich registrieren, informieren. Es sollte überdies ein Exemplar zur Verfügung stehen, das der Gast oder Kunde auf Wunsch mitnimmt.

Wichtig also: Leicht verständlich darüber informieren, was warum mit welchen personenbezogenen Daten geschieht.

Daten minimieren

Welche Daten sind zu erfassen und von wem? Hierzu sagt das Bayerische Landesamt für Datenschutzaufsicht:

  • Aufzunehmen sind der Name und Kontaktdaten (Telefonnummer, E-Mail-Adresse oder postalische Adresse) sowie
  • der Zeitraum des Aufenthalts.
  • Um Infektionsketten nachzuverfolgen, genügt es aus datenschutzrechtlicher Sicht, dass in Fällen, in denen mehrere Personen aus demselben Hausstand die Gaststätte besuchen, nur eine Person ihre Kontaktdaten angibt.
  • Die Daten aller Gäste zu erfassen, ist damit datenschutzrechtlich nicht erforderlich.

Allgemein gesprochen, ist somit zentral: Nur wirklich erforderliche personenbezogene Daten erfassen. Immer vorher bedenken: Was benötige ich tatsächlich?

Zweckbindung einhalten

Das BayLDA weist auf einen weiteren wichtigen Punkt hin: Die Verantwortlichen dürfen die Daten ausschließlich auf Anforderung des zuständigen Gesundheitsamts weitergeben, um Infektionsketten nachzuverfolgen.

Die Daten für andere Zwecke zu verwenden – etwa um Werbung für das Restaurant zu machen –, ist datenschutzrechtlich unzulässig.

Nach Ablauf eines Monats (das gilt zumindest in Bayern) sind die Daten in datenschutzgerechter Weise zu vernichten. Ein handelsüblicher Aktenshredder mit Sicherheitsstufe 3/4 (nach DIN 66399) reicht hierfür aus.

Anzeige

„10 Tipps zum Datenschutz“ – Ihr Poster für die Mitarbeiter-Sensibilisierung

Am Kopierer, im Flur, in der Kantine – das farbige DIN-A1-Format fällt auf. So haben alle Beschäftigten wichtige Datenschutz-Tipps stets vor Augen.

Gleich bestellen


Speicherung begrenzen und Daten löschen

Für Rheinland-Pfalz erklärt der zuständige Landesbeauftragte für den Datenschutz und die Informationsfreiheit: Die Aufbewahrungsfrist für die Daten (in der Regel Name, Vorname, Anschrift, Telefonnummer) beträgt einen Monat. Danach sind die Daten grundsätzlich zu löschen, wenn nicht andere gesetzliche Aufbewahrungsfristen gelten.

Nicht nur die Restaurantbetreiber sind gefordert: Das zuständige Gesundheitsamt muss die übermittelten Daten unverzüglich und irreversibel löschen, sobald es die Daten nicht mehr benötigt, um seine Aufgabe zu erfüllen (in der Regel die Kontaktverfolgung).

„Es genügt allerdings nicht, die Listen einfach ins Altpapier zu werfen“, so die Landesbeauftragte für den Datenschutz Niedersachsen. Stattdessen sollten die Verantwortlichen die Listen mit einem Aktenvernichter schreddern. Haben die Betreiber die Daten digital gespeichert, müssen sie sie mithilfe zusätzlicher Software löschen, die sicherstellt, dass die Daten unwiederbringlich gelöscht sind.

Es gilt: Personenbezogene Daten löschen, wenn sie ihren Zweck erfüllt haben oder Aufbewahrungsfristen ablaufen. Die Löschung muss datenschutzkonform erfolgen.

Was die Aufsichtsbehörden bemängeln

Manch Aufsichtsbehörde hat mittlerweile Gastronomiebetriebe daraufhin kontrolliert, wie sie mit den Gästedaten umgehen. Dabei kamen einige Mängel ans Licht:

Wie gehen eigentlich brandenburgische Cafés und Restaurants mit den Daten ihrer Gäste um, die sie während der Corona-Pandemie erfassen? Mitarbeiterinnen und Mitarbeiter der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg haben 54 Gaststätten überprüft, um eine Antwort auf diese Frage zu finden.

Im Ergebnis stellte sich heraus, dass 30 Restaurationsbetriebe zu viele Datenkategorien erfassen. Häufig fragten sie nach der Anschrift, die nach Maßgabe der aktuellen Verordnung gar nicht mehr erforderlich ist.

Auch erkannten viele Gastwirtinnen und Gastwirte nicht, dass entweder die Telefonnummer oder die E-Mail-Adresse anzugeben ist, nicht aber beides. 36 Cafés und Restaurants hielten sich nicht an die Löschfristen; 16 davon hatten noch gar keine Daten gelöscht.

Auch musste die Aufsichtsbehörde feststellen, dass ein vertraulicher Umgang mit den Gästedaten nicht immer gewährleistet war. In elf Gaststätten lagen Kontaktdaten so aus, dass jedermann die Angaben anderer Gäste zur Kenntnis nehmen konnte.

Das zeigt: Die Datenschutz-Aufsichtsbehörden kontrollieren durchaus vor Ort und gehen Datenschutz-Verstößen nach.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.