Corona und Datenschutz

Im Zuge der Corona-Epidemie ergreifen Unternehmen der öffentlichen Hand und der Privatwirtschaft zahlreiche Maßnahmen zu ihrer Bekämpfung. Dabei werden oft personenbezogene Daten verarbeitet, die in der Regel besonders geschützte Gesundheitsdaten umfassen.

Im Folgenden soll unter Berücksichtigung von Aussagen der Datenschutzbehörden für eine Reihe von typischen Verarbeitungssituationen dargestellt werden, ob die Verarbeitung auch ohne Einwilligung rechtmäßig ist und wenn ja auf welcher Rechtsgrundlage (s.u. A.) und welche Rahmenbedingungen ggf. zu beachten sind (s.u. B).

A. Rechtmäßigkeit der Datenverarbeitungen

I. Arbeitgeber und Beschäftigte

Arbeitgeber erheben und verarbeiten in unterschiedlicher Weise Daten ihrer  ihrer Beschäftigten.

1. Fragerechte des Arbeitsgebers

Um das individuelle Arbeitsverhältnis zu gewährleisten, aber auch zum Schutz der anderen Arbeitnehmer und von Kunden stellen Arbeitgeber ihren Mitarbeitern Fragen mit verschiedenem Gegenstand; nicht alle werden als zulässig erachtet:

 Krankheitssymptome einer möglichen Corona-Infektion, positive Coronatestung: Zulässig; der Arbeitnehmer muss wahrheitsgemäß antworten (§ 26 Abs. 3 Satz 1 BDSG, Art. 9 Abs. 1 DS-GVO). Der Arbeitgeber hat eine Fürsorge- und Schutzpflicht für Betroffene und gesundheitliche Belange anderer Arbeitnehmer. Nicht zu beanstandende Fragestellungen sind etwa:

o Liegt eine Beeinträchtigung des Gesundheitszustandes vor, die die Eignung für die vorgesehene Tätigkeit auf Dauer oder wiederkehrend gravierend einschränkt?

o Liegen ansteckende Krankheiten vor, die Kollegen oder Kunden schwer gefährden könnten?

o Ist in absehbarer Zeit mit längerer Arbeitsunfähigkeit zu rechnen?

o Gibt es typische Symptome einer Corona-Infektion (dazu aber unten)?

Soweit die Fragen nicht den Zwecken des Arbeitsverhältnisses, sondern z. B. dem geschäftlichen Interesse des Arbeitgebers dienen, etwa im Hinblick auf die Fürsorge gegenüber seinen Kunden, kommt als Rechtsgrundlage Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO i. V. m. Art. 9 Abs. 2 Buchstabe b DS-GVO in Betracht.

 Zugehörigkeit zu Risikogruppe: Grundsätzlich unzulässig. Beschäftigte unterliegen grundsätzlich keiner Pflicht, Ihrem Arbeitgeber Diagnosen oder Krankheitssymptome zu offenbaren.

 Aufenthalten in anerkannten Risikogebieten: Zulässig, wenn gezielt gefragt wird (Artikel 6 Abs. 1 lit. c DS-GVO i.V.m. Artikel 9 Abs. 1, Abs. 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Abs. 1 Nr 1 lit. b BDSG). Nicht erlaubt ist dagegen etwa die offen gestellte Frage, in welchem Land eine Urlaubsabwesenheit verbracht wurde oder mit welchen Personen der Betroffene in Kontakt stand.

 Kontakte mit Infizierte: Zulässig, wenn aufgrund der Ausgestaltung des Arbeitsplatzes mit Ansteckungen zu rechnen ist (§ 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DS-GVO). Die Frage muss auf Infektionen und Verdachtsfälle bei Personen gerichtet sein, mit denen Beschäftigte oder Personen aus deren unmittelbarem Umfeld innerhalb der letzten 14 Tage direkten Kontakt hatten.

2. Offenlegungen des Arbeitgebers

Arbeitgeber möchten Informationen über Corona-Erkrankungen von Mitarbeitern zum Schutz anderer Arbeitgeber oder Kunden weitergeben, oder werden durch Behörden dazu aufgefordert.

 Infektion eines Beschäftigten – Offenlegung an Kontaktpersonen unter den Beschäftigten: Zulässig (§ 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DS-GVO). Der Arbeitgeber kann dazu verpflichtet sein, weitere Beschäftigte, die mit einer infizierten Person in Kontakt standen, über das daraus resultierende Infektionsrisiko zu informieren. Erkrankte Beschäftigte dürfen aber, soweit irgend möglich, nicht namentlich der übrigen Belegschaft genannt werden (Gefahr einer Stigmatisierung), sondern abteilungs- oder teambezogen.

 Infektion eines Beschäftigten mit Kundenkontakt – Offenlegung an Kunden: In der Regel unzulässig. Der betroffene Beschäftigte wird ohnehin freigestellt sein. Soweit Kontaktpersonen allerdings bekannt sind, sollten diese benachrichtigt werden.

 Beschäftigte mit Erkrankung oder Erkrankungsrisiko (Aufenthalt in Risikogebieten, Kontakte zu Infizierten) – Offenlegung an Gesundheitsbehörden: In der Regel zulässig. Bei Ersuchen von zuständigen Hoheitsträgern ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen (LfDI Baden-Württemberg). Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann. Bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind die Vorschriften der §§ 30, 31 des Infektionsschutzgesetzes (IfSG), welche die Quarantäneanordnung und das berufliche Tätigkeitsverbot durch das Gesundheitsamt regeln, sowie die Generalklauseln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG.

3. Erhebung der privaten Kontaktdaten des Beschäftigten

Arbeitgeber erfragen zur Erreichbarkeit von Mitarbeitern im Homeoffice private Kontaktdaten.

 Private Telefonnummer: Keine einheitliche Rechtsauffassung. Manche Aufsichtsbehörden halten dies ohne (freiwillige) Einwilligung für unzulässig (HmbBfDI, LfDI Baden-Württemberg, SDB), andere halten dies jedenfalls bei Vermittlung über die Zentrale, verbunden mit Rufnummernunterdrückung bei Rückrufen, für zulässig, in Ausnahmefällen sogar bei direkter Erreichbarkeit des Beschäftigten, wenn strenge Maßgaben eingehalten werden (LfDI Rheinland-Pfalz).

 Private E-Mail-Adresse: Zulässig. Der Beschäftigte kann ja eine eigene E-Mail-Adresse speziell für die Zwecke der Erreichbarkeit durch den Arbeitgeber schaffen (LfDI Rheinland-Pfalz).

4. Zugangsbeschränkungen und verpflichtende Gesundheitsvorsorgemaßnahmen

Zur Aufrechterhaltung der Arbeitsfähigkeit der Belegschaft erwägen Arbeitgeber, ihre Mitarbeiter zu verschiedenen Maßnahmen der Gesundheitsvorsorge anzuhalten bzw. solche zu dulden.

 Fiebermessungen: Unter bestimmten Voraussetzungen zulässig (§ 26 Abs. 3 Satz 1 BDSG). Voraussetzung ist, dass zusätzlich Risikofaktoren vorliegen, u.a. bereits Fälle nachweislich Infizierter im Unternehmen aufgetreten sind, das Unternehmen in einem Risikogebiet liegt, Beschäftigte Kontakt zu Infizierten hatten oder haben oder in Arbeitsumfeldern mit besonders engem Kontakt. Eine Speicherung der Daten dürfte nicht erforderlich sein, wenn die Fiebermessung lediglich dazu dient, Einlass zu gewähren (LDI NRW, HmbBfDI).

 Negativ-Test auf das Coronavirus SARS-CoV-2 als Voraussetzung für Zugang zum Arbeitsplatz; Anspruch auf Gehaltsfortzahlung: Die Frage ist umstritten. Eine pauschale Anordnung ohne besondere Verdachts- und Risikomomente dürfte unzulässig sein, abzuwägen sind unter Wahrung des Grundsatzes der Verhältnismäßigkeit die Interessen des Arbeitgebers und seine durch Rechtsprechung und SARS-CoV-2-Arbeitsschutzstandard des BMAS bestätigte Pflicht zu Schutzmaßnahmen im Betrieb, um Beschäftigte und Kunden vor einer Infektion zu schützen, mit den Interessen des Arbeitnehmers insbesondere an körperlicher Unversehrtheit. Tests auf Basis von Blutentnahmen wie Antigen-Tests dürften daher ausscheiden. Bei Arbeitnehmern, die in Krankenhäusern und Pflegeeinrichtungen arbeiten, kann eine dauerhafte Gefährdungslage mit der Folge einer Pflicht zur Vorlage eines Negativ-Tests führen. Eine Verpflichtung zum Test selbst scheidet aus.

 Impfung als Voraussetzung für Zugang zum Arbeitsplatz: Auch diese Frage wird kontrovers diskutiert. Die ablehnende Haltung wird begründet mit dem Fehlen einer allgemeinen gesetzlichen Impfpflicht und einem Umkehrschluss aus der enumerativen Aufzählung von Arbeitgebern aus dem Gesundheitsbereich, die gem. §§ 23a, 23 Abs. 3 IfSG zur Verarbeitung von Daten betreffend den Impfstatus von Beschäftigten ermächtigt sind. Befürworter weisen auf die schwerwiegenderen medizinischen, aber auch wirtschaftlichen Auswirkungen einer Infektion mit dem Coronavirus im Verhältnis zu anderen (Massen-)Infektionskrankheiten hin und die sich festigende wissenschaftliche Erkenntnis, dass eine Impfung nicht nur Eigenschutz, sondern auch Fremdschutz vor Ansteckung Dritter bietet. Fraglich ist allerdings, ob dies als datenschutzrechtliche Ermächtigungsgrundlage ausreicht. Zwar erlaubt Art. 9 Abs. 2 lit. i DS-GVO eine Verarbeitung von Gesundheitsdaten, soweit dies aus „Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren …erforderlich“ ist. Notwendig ist aber zusätzlich eine gesetzliche Norm „auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht“. Unabhängig davon ist allerdings arbeitsrechtlich zu prüfen, ob der (impfunwillige) Arbeitnehmer noch sinnvoll auf seiner bisherigen Position eingesetzt werden kann oder eine personenbedingte Kündigung in Betracht kommt.

 Installation der Corona Warn App als Voraussetzung für Zugang zum Arbeitsplatz: Unzulässig. Es bestehen schon erhebliche Zweifel, ob dieses Mittel zur Erreichung des angestrebten Zwecks geeignet ist. Auch eine Einwilligung scheidet mangels Freiwilligkeit aus (BayLDA).

II. Unternehmen und Dritte

Auch personenbezogene Daten von Kunden und Lieferanten verarbeiten Unternehmen zum Zwecke der Bekämpfung der Corona-Pandemie.

1. Erfassung der Kontaktdaten von Kunden:

Die Kontaktdaten von Kunden und Besuchern können auf unterschiedlicher Grundlage erfasst werden.

 Gesetzliche Pflicht:  Soweit eine gesetzliche Pflicht besteht, die Kontaktdaten von Kunden zu erfassen, ist die Verarbeitung datenschutzrechtlich auch gestattet (Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 32 S. 1, 28 Abs. 1 Satz 1 und 2 IfSG i.V.m. den Vorschriften der Landes-Corona-Bestimmungen). Gemäß § 5 Abs. 6 Satz 1 SächsCoronaSchVO vom 12.2.2021 sind etwas Betriebsinhaber in bestimmten Branchen verpflichtet, die Namen und Kontaktdaten aller Gäste zu erfassen.

 Anordnung von Gesundheitsbehörden:  Ähnlich dürfte zu entscheiden sein, wenn das Unternehmen von Gesundheitsbehörden im Rahmen einer Verfügung aufgefordert wird, Daten von Kunden oder Besuchern von Veranstaltungen zu erheben, zu speichern oder zu übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war. Einer solchen Anordnung zur Speicherung von Besucherdaten korrespondiert regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Absatz 2 Satz 3 IfSG (LfDI Baden-Württemberg).

 Berechtigtes Interesse:  Eine Registrierung kann aufgrund einer hohen individuellen Ansteckungsgefahr nach den Maßstäben des RKI auch ohne rechtliche Verpflichtung zulässig sein nach Art. 6 Abs. 1 lit. f DSGVO. Nach Einschätzung des Robert Koch Instituts wird eine namentliche Registrierung etwa empfohlen für Kontaktpersonen, die z.B. ohne Sicherheitsabstand ein mindestens 15-minütiges Gespräch „face-to-face“ führen oder die mit Körperflüssigkeiten in direkte Berührung kommen.

 Einwilligung: Eine freiwillige Registrierung ist denjenigen anzubieten, die daran teilnehmen möchten. Rechtsgrundlage ist dann die Einwilligung nach Art. 6 Abs. 1 lit a DS-GVO.

Die oben beschriebene Kontaktnachverfolgung kann analog oder über Apps und Browseranwendungen erfolgen. Hierbei sind allerdings besondere Maßgaben zu beachten (s.u.).

2. Offenlegungen des Unternehmens

 Kontaktdaten – Offenlegung gegenüber Gesundheitsbehörden:  Eine Übermittlungspflicht mit korrespondierendem datenschutzrechtlichem Übermittlungsrecht kann aufgrund von § 16 Absatz 2 Satz 3 IfSG bestehen (s.o.).

 Kontaktdaten – Offenlegung gegenüber Strafverfolgungsbehörden:  Im Zusammenhang mit der Erfassung von Kontaktdaten durch Unternehmen viel diskutiert wurde die Frage, ob Strafverfolgungsbehörden auf die Kontaktlisten zugreifen dürfen, u.a. um Zeugen zu finden, und das Unternehmen ggf. diese Daten offenbaren darf oder muss. Unter bestimmten Umständen wurde dies als zulässig erachtet; vereinzelt wurde von dieser Möglichkeit auch Gebrauch gemacht. Zugriffe von Strafverfolgungsbehörden sind durch eine Gesetzesänderung Ende 2020 nun gesetzlich ausgeschlossen worden (§ 28a Abs. 4 IfSG). Allerdings scheint sich dies dem Gesetzeswortlaut nach nur auf Daten zu beziehen, die aufgrund einer gesetzlichen Pflicht erhoben wurden (§ 28a Abs. 1 Nr. 17 IfSG); fraglich ist daher, ob dies auch für solche Daten gilt, die auf der Grundlage eines berechtigten Interesses oder einer Einwilligung der Betroffenen erhoben wurde, oder ob hier der Zugriff weiterhin zulässig bleibt.

3. Zugangskontrollen

Unternehmen haben unterschiedliche Maßnahmen erwogen, um den Zutritt von möglicherweise Infizierten Personen in ihre Räumlichkeiten zu beschränken. Nur die wenigsten sind datenschutzrechtlich zulässig.

 Eingangsscreenings mit symptombasierten Fragen: Unzulässig, da es nach den bisherigen Erkenntnissen keine spezifischen Krankheitszeichen gibt, mit denen Träger des Covid-19-Virus frühzeitig erkannt werden können. Unternehmen sind lediglich gehalten, anwesende Personen durch schriftliche oder bildliche Hinweise aufzufordern, die Verkaufsfläche im Fall des Auftretens von Symptomen einer akuten Atemwegserkrankung nicht zu betreten. Ähnliches gilt für kontaktbasierte Fragen (HmbBfDI).

Die Frage (aber nicht die Dokumentation), ob eine tatsächliche Covid-19-Infektion besteht, – mit der Folge einer Zugangsverweigerung – , ist möglich, da diese Personen ohnehin keine öffentlichen Orte betreten dürfen.

 Fragen nach der Angehörigkeit zum selben Haushalt (Kontaktbeschränkung nach der SächsCoronaSchVO vom 12.2.2021): Weder erlaubt noch verpflichtend. Zuständig für die Kontrolle der Landes-Corona-Schutzverordnungen sind die Gesundheits- und Ordnungsämter, hilfsweise die Polizei.

 Mund-Nasen-Bedeckung als Zugangsvoraussetzung: Zulässig. Ein Recht zur Verwehrung des Zugangs zu einer Verkaufsfläche oder ähnlich besteht zum einen dann, wenn Personen keine Mund-Nasen-Bedeckung tragen, obwohl sie nach den Landes-Coronaschutzverordnungen dazu verpflichtet sind. Auch wenn sie dazu nicht verpflichtet sind, etwa weil sie ein entsprechendes ärztliches Attest vorweisen (§ 3 Abs. Abs. 2, Abs. 3 Satz 4 SächsCoronaSchVO vom 12.2.2021), dürfte aber der Betriebsinhabers das Recht haben, den Zugang auf Grundlage seines Hausrechts zu verwehren, etwa die Mitfahrt bei Busreisen (wenn diese wieder gestattet sind). Er kann dies auf sein berechtigtes Interesse am Schutz der anderen Kunden und der Beschäftigten stützen.

 Corona-Warn-App als Zugangsvoraussetzung: Unternehmen dürfen die Benutzung der Corona-Warn-App nicht zur Zugangsvoraussetzung für ihre Räumlichkeiten machen. Die von der App erzeugten Status-Daten geben schon keine ausreichenden Rückschlüsse auf eine Corona-Infektion, ihre Erfassung ist daher nicht geeignet, um berechtigte (geschäftliche) Interessen des Unternehmens zu wahren (BayLDA).

 Fiebermessung als Zugangsvoraussetzung: Unzulässig. Eine konkludente Einwilligung durch Betreten des Geländes nach Kenntnisnahme der Hinweise ist nicht ausreichend im Sinne von Art. 9 Abs. 2 lit. a DS-GVO, der von einer ausdrücklichen Einwilligung spricht; auch wäre sie nicht freiwillig (Art. 7 DS-GVO), da die betroffenen Personen teilweise erhebliche Nachteile erleiden würden, wenn sie nicht in die Maßnahme einwilligen bzw. ihnen keine Alternativen zur Verfügung stehen (Koppelungsverbot, Art. 7 Abs. 4 DS-GVO). Auch die Voraussetzungen des Art. 9 Abs. 2 lit. i DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG, dem Infektionsschutzgesetz bzw. den Landesverordnungen zur Eindämmung der Corona-Pandemie liegen nicht vor. Denn die Maßnahme ist weder tauglich, um vor einem weiteren Infektionsrisiko zu schützen, weil die Körpertemperatur nicht sicher eine Infektion mit Corona-Virus indiziert, noch sind spezifische Vorkehrungen zum Schutz der betroffenen Personen ersichtlich. Allenfalls können solche Maßnahmen als freiwilliger Service auf Grundlage einer Einwilligung angeboten werden, dann allerdings unabhängig von der Zugangserlaubnis (HmbBfDI, LDI Rheinland-Pfalz).

B. Maßgaben

Auch wenn die Datenverarbeitung sich auf eine Rechtsgrundlage stützen kann, sind die übrigen Maßgaben für eine rechtmäßige Datenverarbeitung einzuhalten, zumal es sich bei den fraglichen Daten um Gesundheitsdaten mit besonders hohem Schutzbedarf handelt. Im Einzelnen:

1. Information

Wie vor jeder Datenverarbeitung müssen die Betroffenen ordnungsgemäß informiert werden. Die Datenschutzaufsichtsbehörden halten verschiedene Muster bereit, etwa für die Kontaktdatenerfassung.

2. Umfang und Form der Datenerhebung

Die Form der Datenerhebung muss gewährleisten, dass die Vertraulichkeit gewahrt wird und keine unnötigen Daten erhoben werden. Die Datenschutzaufsichtsbehörden halten verschiedene Muster bereit, die allerdings landes- und zeitspezifisch sind (Sachsen: Musterformular mit Datenschutzinformation zur Erhebung der privaten Kontaktdaten der Mitarbeiter auf Grundlage einer Einwilligung, https://www.saechsdsb.de/corona-pandemie/147-pandemie/603-musterformular-des-saechsischen-datenschutzbeauftragten-zur-erhebung-privater-kontaktdaten-von-mitarbeitern-zur-risikopraevention; Musterformular mit Datenschutzinformation betreffend Kontaktdaten von Kunden etc., https://www.saechsdsb.de/images/stories/sdb_inhalt/Corona/Formular_Kontaktdaten_u_Hinweise_nach_Art_13_DSGVO_10112020.docx).

3. Sicherheit der Aufbewahrung

Den Unternehmen muss bewusst sein, dass sie höchst sensible Informationen verwahren. Entsprechend sicher müssen sie aufbewahrt werden („Im Schrank statt im Flur“, Merkblatt zur Kontakterfassung in Corona-Zeiten, LDI Rheinland-Pfalz, 9.6.2020).

4. Löschung der Daten

Die Daten dürfen nur so lange aufbewahrt werden, wie es der Zweck der Erhebung erfordert. Bei Pflichtdatenerhebung ist gesetzlich eine Löschfrist von 4 Wochen vorgesehen (§ 28a Abs. 4 Satz 3 IfSG; § 5 Abs. 6 Satz 4 SächsCoronaSchVO vom 12.2.2021). Bei Erhebung aufgrund eines berechtigten Interesses oder Einwilligung sollte sich die Dauer der Speicherung an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren (LfDI Baden-Württemberg), was wohl auf das Gleiche hinaus läuft.

5. Zweckbindung

Die erhobenen Daten dürfen nur zu dem damit verbunden Zweck verarbeitet werden. Die Erhebung etwa der privaten Kontaktdaten erfolgt für eindeutige, konkrete und legitime Zwecke, insbesondere für den Zweck, die Infektionsgefährdung der Beschäftigten zu verringern. Diese Daten dürfen nicht später ohne gesonderte Einwilligung für Kontaktaufnahmen, etwa nach Feierabend oder am Wochenende, oder für andere Zwecke genutzt werden. Kontaktinformationen von Besuchern oder Gästen dürfen nicht für Werbezwecke verwendet werden, etwa Gutscheine beim Restaurantbesuch oder beim Verlassen des Restaurants oder der Veranstaltung.

6. Datenverarbeitung mit Hilfe von Softwareanwendungen

Datenverarbeitungen im Zusammenhang mit dem Schutz vor den Folgen der Corona-Epidemie könne auch unter Einsatz der Dienste Dritte erfolgen. Insbesondere bei den oben beschriebenen Kontaktnachverfolgungen setzen Betriebsinhaber verschiedene Apps und Browseranwendungen ein. Hierbei sind allerdings datenschutzrechtliche einige Maßgabe zu beachten:

 Der Betriebsinhaber bleibt Verantwortlicher für die Verarbeitung der personenbezogenen Daten seiner Besucher im Sinne der DS-GVO.

 Der Anbieter der Anwendungen verarbeitet die Daten der Besucher für den Betriebsinhaber in der Regel im Auftrag. Zwischen dem Betriebsinhaber und dem Anbieter der Anwendung ist daher ein Auftragsverarbeitungsvertrag entsprechend den Vorgaben des Art. 28 Abs. 3 DS-GVO zu schließen.

 Der Betriebsinhaber bleibt für die Löschung der Daten nach Ablauf der Aufbewahrungsfrist verantwortlich. Auch wenn er den Anbieter der Anwendung mit der Löschung beauftragt, obliegt es ihm, zu überprüfen, ob der Anbieter die Daten nach Ablauf der Aufbewahrungsfrist tatsächlich löscht.

 Der Betriebsinhaber unterliegt bei der Datenerhebung mittels einer Anwendung den Informationspflichten nach Art. 13 DS-GVO. Diese Informationen hat der Betriebsinhaber vor der Registrierung zur Verfügung zu stellen, entweder in der Anwendung oder analog durch Aushang in den Räumlichkeiten des Betriebs, ggf. mit Angabe eines Links zu den vollständigen Informationen online. Die verantwortliche Stelle für diese Information ist der Betriebsinhaber; er ist als solcher in den Informationen zu nennen.

 Der Betriebsinhaber hat sicherzustellen, dass er einen Anbieter wählt, der die Daten sicher vor Zugriffen Unberechtigter aufbewahrt und eine verschlüsselte Übermittlung der Daten gewährleistet.

 Die Registrierung über eine Anwendung auf Geräten der Besucher und der Abschluss eines Nutzungsvertrages, der ggf. die Nutzung weiterer Funktionen ermöglicht (Platzreservierung, Essensbestellung, Terminvereinbarung etc.) muss immer freiwillig sein und darf nicht zur Voraussetzung für den Besuch der Räumlichkeiten gemacht werden. Daher muss eine Alternative zur Datenerfassung etwa in Papierform gegeben sein.

 Soweit Datenerhebung zur Kontaktnachverfolgung verpflichtend ist, besteht das Problem, dass bei den Angeboten mancher Anbieter der Betriebsinhaber keine direkten Zugriffsmöglichkeiten auf die erhobenen Daten hat. Stattdessen sollen diese das Gesundheitsamt an den jeweiligen Anbieter verweisen, wenn eine Kontaktnachverfolgung notwendig ist. Ob der Betriebsinhaber bei diesem Vorgehen seinen Verpflichtungen nach der Corona-Bekämpfungsverordnung nachkommt, ist keine datenschutzrechtliche Frage, sondern mit den zuständigen Gesundheitsämtern zu klären.