Corona und Datenschutz

Im Zuge der Coro­na-Epi­de­mie ergrei­fen Unter­neh­men der öffent­li­chen Hand und der Pri­vat­wirt­schaft zahl­rei­che Maß­nah­men zu ihrer Bekämp­fung. Dabei wer­den oft per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, die in der Regel beson­ders geschütz­te Gesund­heits­da­ten umfassen.

Im Fol­gen­den soll unter Berück­sich­ti­gung von Aus­sa­gen der Daten­schutz­be­hör­den für eine Rei­he von typi­schen Ver­ar­bei­tungs­si­tua­tio­nen dar­ge­stellt wer­den, ob die Ver­ar­bei­tung auch ohne Ein­wil­li­gung recht­mä­ßig ist und wenn ja auf wel­cher Rechts­grund­la­ge (s.u. A.) und wel­che Rah­men­be­din­gun­gen ggf. zu beach­ten sind (s.u. B).

A. Recht­mä­ßig­keit der Datenverarbeitungen

I. Arbeit­ge­ber und Beschäftigte

Arbeit­ge­ber erhe­ben und ver­ar­bei­ten in unter­schied­li­cher Wei­se Daten ihrer  ihrer Beschäftigten.

1. Fra­ge­rech­te des Arbeitsgebers

Um das indi­vi­du­el­le Arbeits­ver­hält­nis zu gewähr­leis­ten, aber auch zum Schutz der ande­ren Arbeit­neh­mer und von Kun­den stel­len Arbeit­ge­ber ihren Mit­ar­bei­tern Fra­gen mit ver­schie­de­nem Gegen­stand; nicht alle wer­den als zuläs­sig erachtet:

  • Krank­heits­sym­pto­me einer mög­li­chen Coro­na-Infek­ti­on, posi­ti­ve Coro­na­tes­tung: Zuläs­sig; der Arbeit­neh­mer muss wahr­heits­ge­mäß ant­wor­ten (§ 26 Abs. 3 Satz 1 BDSG, Art. 9 Abs. 1 DS-GVO). Der Arbeit­ge­ber hat eine Für­sor­ge- und Schutz­pflicht für Betrof­fe­ne und gesund­heit­li­che Belan­ge ande­rer Arbeit­neh­mer. Nicht zu bean­stan­den­de Fra­ge­stel­lun­gen sind etwa: 
    • Liegt eine Beein­träch­ti­gung des Gesund­heits­zu­stan­des vor, die die Eig­nung für die vor­ge­se­he­ne Tätig­keit auf Dau­er oder wie­der­keh­rend gra­vie­rend einschränkt?
    • Lie­gen anste­cken­de Krank­hei­ten vor, die Kol­le­gen oder Kun­den schwer gefähr­den könnten?
    • Ist in abseh­ba­rer Zeit mit län­ge­rer Arbeits­un­fä­hig­keit zu rechnen?
    • Gibt es typi­sche Sym­pto­me einer Coro­na-Infek­ti­on (dazu aber unten)?

Soweit die Fra­gen nicht den Zwe­cken des Arbeits­ver­hält­nis­ses, son­dern z. B. dem geschäft­li­chen Inter­es­se des Arbeit­ge­bers die­nen, etwa im Hin­blick auf die Für­sor­ge gegen­über sei­nen Kun­den, kommt als Rechts­grund­la­ge Art. 6 Abs. 1 Satz 1 Buch­sta­be f DS-GVO i. V. m. Art. 9 Abs. 2 Buch­sta­be b DS-GVO in Betracht.

  • Zuge­hö­rig­keit zu Risi­ko­grup­pe: Grund­sätz­lich unzu­läs­sig. Beschäf­tig­te unter­lie­gen grund­sätz­lich kei­ner Pflicht, Ihrem Arbeit­ge­ber Dia­gno­sen oder Krank­heits­sym­pto­me zu offenbaren.
  • Auf­ent­hal­ten in aner­kann­ten Risi­ko­ge­bie­ten: Zuläs­sig, wenn gezielt gefragt wird (Arti­kel 6 Abs. 1 lit. c DS-GVO i.V.m. Arti­kel 9 Abs. 1, Abs. 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Abs. 1 Nr 1 lit. b BDSG). Nicht erlaubt ist dage­gen etwa die offen gestell­te Fra­ge, in wel­chem Land eine Urlaubs­ab­we­sen­heit ver­bracht wur­de oder mit wel­chen Per­so­nen der Betrof­fe­ne in Kon­takt stand.
  • Kon­tak­te mit Infi­zier­te: Zuläs­sig, wenn auf­grund der Aus­ge­stal­tung des Arbeits­plat­zes mit Anste­ckun­gen zu rech­nen ist (§ 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DS-GVO). Die Fra­ge muss auf Infek­tio­nen und Ver­dachts­fäl­le bei Per­so­nen gerich­tet sein, mit denen Beschäf­tig­te oder Per­so­nen aus deren unmit­tel­ba­rem Umfeld inner­halb der letz­ten 14 Tage direk­ten Kon­takt hatten.

2. Offen­le­gun­gen des Arbeitgebers

Arbeit­ge­ber möch­ten Infor­ma­tio­nen über Coro­na-Erkran­kun­gen von Mit­ar­bei­tern zum Schutz ande­rer Arbeit­ge­ber oder Kun­den wei­ter­ge­ben, oder wer­den durch Behör­den dazu aufgefordert.

  • Infek­ti­on eines Beschäf­tig­ten – Offen­le­gung an Kon­takt­per­so­nen unter den Beschäf­tig­ten: Zuläs­sig (§ 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DS-GVO). Der Arbeit­ge­ber kann dazu ver­pflich­tet sein, wei­te­re Beschäf­tig­te, die mit einer infi­zier­ten Per­son in Kon­takt stan­den, über das dar­aus resul­tie­ren­de Infek­ti­ons­ri­si­ko zu infor­mie­ren. Erkrank­te Beschäf­tig­te dür­fen aber, soweit irgend mög­lich, nicht nament­lich der übri­gen Beleg­schaft genannt wer­den (Gefahr einer Stig­ma­ti­sie­rung), son­dern abtei­lungs- oder teambezogen.
  • Infek­ti­on eines Beschäf­tig­ten mit Kun­den­kon­takt – Offen­le­gung an Kun­den: In der Regel unzu­läs­sig. Der betrof­fe­ne Beschäf­tig­te wird ohne­hin frei­ge­stellt sein. Soweit Kon­takt­per­so­nen aller­dings bekannt sind, soll­ten die­se benach­rich­tigt werden.
  • Beschäf­tig­te mit Erkran­kung oder Erkran­kungs­ri­si­ko (Auf­ent­halt in Risi­ko­ge­bie­ten, Kon­tak­te zu Infi­zier­ten) – Offen­le­gung an Gesund­heits­be­hör­den: In der Regel zuläs­sig. Bei Ersu­chen von zustän­di­gen Hoheits­trä­gern ist von einer mit der Über­mitt­lungs­pflicht kor­re­spon­die­ren­den Über­mitt­lungs­be­fug­nis der Arbeit­ge­ber aus­zu­ge­hen (LfDI Baden-Würt­tem­berg). Die Rechts­grund­la­ge hängt von der kon­kre­ten behörd­li­chen Anfra­ge ab, wel­che dort erfragt wer­den kann. Bedeut­sam mit Blick auf den betrieb­li­chen Pan­de­mie­schutz sind die Vor­schrif­ten der §§ 30, 31 des Infek­ti­ons­schutz­ge­set­zes (IfSG), wel­che die Qua­ran­tä­nean­ord­nung und das beruf­li­che Tätig­keits­ver­bot durch das Gesund­heits­amt regeln, sowie die Gene­ral­klau­seln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG.

3. Erhe­bung der pri­va­ten Kon­takt­da­ten des Beschäftigten

Arbeit­ge­ber erfra­gen zur Erreich­bar­keit von Mit­ar­bei­tern im Home­of­fice pri­va­te Kontaktdaten.

  • Pri­va­te Tele­fon­num­mer: Kei­ne ein­heit­li­che Rechts­auf­fas­sung. Man­che Auf­sichts­be­hör­den hal­ten dies ohne (frei­wil­li­ge) Ein­wil­li­gung für unzu­läs­sig (HmbBfDI, LfDI Baden-Würt­tem­berg, SDB), ande­re hal­ten dies jeden­falls bei Ver­mitt­lung über die Zen­tra­le, ver­bun­den mit Ruf­num­mern­un­ter­drü­ckung bei Rück­ru­fen, für zuläs­sig, in Aus­nah­me­fäl­len sogar bei direk­ter Erreich­bar­keit des Beschäf­tig­ten, wenn stren­ge Maß­ga­ben ein­ge­hal­ten wer­den (LfDI Rheinland-Pfalz).
  • Pri­va­te E‑Mail-Adres­se: Zuläs­sig. Der Beschäf­tig­te kann ja eine eige­ne E‑Mail-Adres­se spe­zi­ell für die Zwe­cke der Erreich­bar­keit durch den Arbeit­ge­ber schaf­fen (LfDI Rheinland-Pfalz).

4. Zugangs­be­schrän­kun­gen und ver­pflich­ten­de Gesundheitsvorsorgemaßnahmen

Zur Auf­recht­erhal­tung der Arbeits­fä­hig­keit der Beleg­schaft erwä­gen Arbeit­ge­ber, ihre Mit­ar­bei­ter zu ver­schie­de­nen Maß­nah­men der Gesund­heits­vor­sor­ge anzu­hal­ten bzw. sol­che zu dulden.

  • Fie­ber­mes­sun­gen: Unter bestimm­ten Vor­aus­set­zun­gen zuläs­sig (§ 26 Abs. 3 Satz 1 BDSG). Vor­aus­set­zung ist, dass zusätz­lich Risi­ko­fak­to­ren vor­lie­gen, u.a. bereits Fäl­le nach­weis­lich Infi­zier­ter im Unter­neh­men auf­ge­tre­ten sind, das Unter­neh­men in einem Risi­ko­ge­biet liegt, Beschäf­tig­te Kon­takt zu Infi­zier­ten hat­ten oder haben oder in Arbeits­um­fel­dern mit beson­ders engem Kon­takt. Eine Spei­che­rung der Daten dürf­te nicht erfor­der­lich sein, wenn die Fie­ber­mes­sung ledig­lich dazu dient, Ein­lass zu gewäh­ren (LDI NRW, HmbBfDI).
  • Nega­tiv-Test auf das Coro­na­vi­rus SARS-CoV‑2 als Vor­aus­set­zung für Zugang zum Arbeits­platz; Anspruch auf Gehalts­fort­zah­lung: Die Fra­ge ist umstrit­ten. Eine pau­scha­le Anord­nung ohne beson­de­re Ver­dachts- und Risi­ko­mo­men­te dürf­te unzu­läs­sig sein, abzu­wä­gen sind unter Wah­rung des Grund­sat­zes der Ver­hält­nis­mä­ßig­keit die Inter­es­sen des Arbeit­ge­bers und sei­ne durch Recht­spre­chung und SARS-CoV-2-Arbeits­schutz­stan­dard des BMAS bestä­tig­te Pflicht zu Schutz­maß­nah­men im Betrieb, um Beschäf­tig­te und Kun­den vor einer Infek­ti­on zu schüt­zen, mit den Inter­es­sen des Arbeit­neh­mers ins­be­son­de­re an kör­per­li­cher Unver­sehrt­heit. Tests auf Basis von Blut­ent­nah­men wie Anti­gen-Tests dürf­ten daher aus­schei­den. Bei Arbeit­neh­mern, die in Kran­ken­häu­sern und Pfle­ge­ein­rich­tun­gen arbei­ten, kann eine dau­er­haf­te Gefähr­dungs­la­ge mit der Fol­ge einer Pflicht zur Vor­la­ge eines Nega­tiv-Tests füh­ren. Eine Ver­pflich­tung zum Test selbst schei­det aus.
  • Imp­fung als Vor­aus­set­zung für Zugang zum Arbeits­platz: Auch die­se Fra­ge wird kon­tro­vers dis­ku­tiert. Die ableh­nen­de Hal­tung wird begrün­det mit dem Feh­len einer all­ge­mei­nen gesetz­li­chen Impf­pflicht und einem Umkehr­schluss aus der enu­me­ra­ti­ven Auf­zäh­lung von Arbeit­ge­bern aus dem Gesund­heits­be­reich, die gem. §§ 23a, 23 Abs. 3 IfSG zur Ver­ar­bei­tung von Daten betref­fend den Impf­sta­tus von Beschäf­tig­ten ermäch­tigt sind. Befür­wor­ter wei­sen auf die schwer­wie­gen­de­ren medi­zi­ni­schen, aber auch wirt­schaft­li­chen Aus­wir­kun­gen einer Infek­ti­on mit dem Coro­na­vi­rus im Ver­hält­nis zu ande­ren (Massen-)Infektionskrankheiten hin und die sich fes­ti­gen­de wis­sen­schaft­li­che Erkennt­nis, dass eine Imp­fung nicht nur Eigen­schutz, son­dern auch Fremd­schutz vor Anste­ckung Drit­ter bie­tet. Frag­lich ist aller­dings, ob dies als daten­schutz­recht­li­che Ermäch­ti­gungs­grund­la­ge aus­reicht. Zwar erlaubt Art. 9 Abs. 2 lit. i DS-GVO eine Ver­ar­bei­tung von Gesund­heits­da­ten, soweit dies aus „Grün­den des öffent­li­chen Inter­es­ses im Bereich der öffent­li­chen Gesund­heit, wie dem Schutz vor schwer­wie­gen­den grenz­über­schrei­ten­den Gesund­heits­ge­fah­ren …erfor­der­lich“ ist. Not­wen­dig ist aber zusätz­lich eine gesetz­li­che Norm „auf der Grund­la­ge des Uni­ons­rechts oder des Rechts eines Mit­glied­staats, das ange­mes­se­ne und spe­zi­fi­sche Maß­nah­men zur Wah­rung der Rech­te und Frei­hei­ten der betrof­fe­nen Per­son, ins­be­son­de­re des Berufs­ge­heim­nis­ses, vor­sieht“. Unab­hän­gig davon ist aller­dings arbeits­recht­lich zu prü­fen, ob der (imp­f­un­wil­li­ge) Arbeit­neh­mer noch sinn­voll auf sei­ner bis­he­ri­gen Posi­ti­on ein­ge­setzt wer­den kann oder eine per­so­nen­be­ding­te Kün­di­gung in Betracht kommt.
  • Instal­la­ti­on der Coro­na Warn App als Vor­aus­set­zung für Zugang zum Arbeits­platz: Unzu­läs­sig. Es bestehen schon erheb­li­che Zwei­fel, ob die­ses Mit­tel zur Errei­chung des ange­streb­ten Zwecks geeig­net ist. Auch eine Ein­wil­li­gung schei­det man­gels Frei­wil­lig­keit aus (BayL­DA).

II. Unter­neh­men und Dritte

Auch per­so­nen­be­zo­ge­ne Daten von Kun­den und Lie­fe­ran­ten ver­ar­bei­ten Unter­neh­men zum Zwe­cke der Bekämp­fung der Corona-Pandemie.

1. Erfas­sung der Kon­takt­da­ten von Kunden:

Die Kon­takt­da­ten von Kun­den und Besu­chern kön­nen auf unter­schied­li­cher Grund­la­ge erfasst werden.

  • Gesetz­li­che Pflicht:  Soweit eine gesetz­li­che Pflicht besteht, die Kon­takt­da­ten von Kun­den zu erfas­sen, ist die Ver­ar­bei­tung daten­schutz­recht­lich auch gestat­tet (Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 32 S. 1, 28 Abs. 1 Satz 1 und 2 IfSG i.V.m. den Vor­schrif­ten der Lan­des-Coro­na-Bestim­mun­gen). Gemäß § 5 Abs. 6 Satz 1 SächsCo­ro­naSch­VO vom 12.2.2021 sind etwas Betriebs­in­ha­ber in bestimm­ten Bran­chen ver­pflich­tet, die Namen und Kon­takt­da­ten aller Gäs­te zu erfassen.
  • Anord­nung von Gesund­heits­be­hör­den:  Ähn­lich dürf­te zu ent­schei­den sein, wenn das Unter­neh­men von Gesund­heits­be­hör­den im Rah­men einer Ver­fü­gung auf­ge­for­dert wird, Daten von Kun­den oder Besu­chern von Ver­an­stal­tun­gen zu erhe­ben, zu spei­chern oder zu über­mit­teln für den Fall, dass spä­ter bekannt wird, dass eine infi­zier­te Per­son auf der Ver­an­stal­tung war. Einer sol­chen Anord­nung zur Spei­che­rung von Besu­cher­da­ten kor­re­spon­diert regel­mä­ßig eine Über­mitt­lungs­pflicht an die zustän­di­ge Behör­de, etwa nach der Rege­lung des § 16 Absatz 2 Satz 3 IfSG (LfDI Baden-Württemberg).
  • Berech­tig­tes Inter­es­se:  Eine Regis­trie­rung kann auf­grund einer hohen indi­vi­du­el­len Anste­ckungs­ge­fahr nach den Maß­stä­ben des RKI auch ohne recht­li­che Ver­pflich­tung zuläs­sig sein nach Art. 6 Abs. 1 lit. f DSGVO. Nach Ein­schät­zung des Robert Koch Insti­tuts wird eine nament­li­che Regis­trie­rung etwa emp­foh­len für Kon­takt­per­so­nen, die z.B. ohne Sicher­heits­ab­stand ein min­des­tens 15-minü­ti­ges Gespräch „face-to-face“ füh­ren oder die mit Kör­per­flüs­sig­kei­ten in direk­te Berüh­rung kommen.
  • Ein­wil­li­gung: Eine frei­wil­li­ge Regis­trie­rung ist den­je­ni­gen anzu­bie­ten, die dar­an teil­neh­men möch­ten. Rechts­grund­la­ge ist dann die Ein­wil­li­gung nach Art. 6 Abs. 1 lit a DS-GVO.

Die oben beschrie­be­ne Kon­takt­nach­ver­fol­gung kann ana­log oder über Apps und Brow­ser­an­wen­dun­gen erfol­gen. Hier­bei sind aller­dings beson­de­re Maß­ga­ben zu beach­ten (s.u.).

2. Offen­le­gun­gen des Unternehmens

  • Kon­takt­da­ten – Offen­le­gung gegen­über Gesund­heits­be­hör­den:  Eine Über­mitt­lungs­pflicht mit kor­re­spon­die­ren­dem daten­schutz­recht­li­chem Über­mitt­lungs­recht kann auf­grund von § 16 Absatz 2 Satz 3 IfSG bestehen (s.o.).
  • Kon­takt­da­ten – Offen­le­gung gegen­über Straf­ver­fol­gungs­be­hör­den:  Im Zusam­men­hang mit der Erfas­sung von Kon­takt­da­ten durch Unter­neh­men viel dis­ku­tiert wur­de die Fra­ge, ob Straf­ver­fol­gungs­be­hör­den auf die Kon­takt­lis­ten zugrei­fen dür­fen, u.a. um Zeu­gen zu fin­den, und das Unter­neh­men ggf. die­se Daten offen­ba­ren darf oder muss. Unter bestimm­ten Umstän­den wur­de dies als zuläs­sig erach­tet; ver­ein­zelt wur­de von die­ser Mög­lich­keit auch Gebrauch gemacht. Zugrif­fe von Straf­ver­fol­gungs­be­hör­den sind durch eine Geset­zes­än­de­rung Ende 2020 nun gesetz­lich aus­ge­schlos­sen wor­den (§ 28a Abs. 4 IfSG). Aller­dings scheint sich dies dem Geset­zes­wort­laut nach nur auf Daten zu bezie­hen, die auf­grund einer gesetz­li­chen Pflicht erho­ben wur­den (§ 28a Abs. 1 Nr. 17 IfSG); frag­lich ist daher, ob dies auch für sol­che Daten gilt, die auf der Grund­la­ge eines berech­tig­ten Inter­es­ses oder einer Ein­wil­li­gung der Betrof­fe­nen erho­ben wur­de, oder ob hier der Zugriff wei­ter­hin zuläs­sig bleibt.

3. Zugangs­kon­trol­len

Unter­neh­men haben unter­schied­li­che Maß­nah­men erwo­gen, um den Zutritt von mög­li­cher­wei­se Infi­zier­ten Per­so­nen in ihre Räum­lich­kei­ten zu beschrän­ken. Nur die wenigs­ten sind daten­schutz­recht­lich zulässig.

  • Ein­gangs­scree­nings mit sym­ptom­ba­sier­ten Fra­gen: Unzu­läs­sig, da es nach den bis­he­ri­gen Erkennt­nis­sen kei­ne spe­zi­fi­schen Krank­heits­zei­chen gibt, mit denen Trä­ger des Covid-19-Virus früh­zei­tig erkannt wer­den kön­nen. Unter­neh­men sind ledig­lich gehal­ten, anwe­sen­de Per­so­nen durch schrift­li­che oder bild­li­che Hin­wei­se auf­zu­for­dern, die Ver­kaufs­flä­che im Fall des Auf­tre­tens von Sym­pto­men einer aku­ten Atem­wegs­er­kran­kung nicht zu betre­ten. Ähn­li­ches gilt für kon­takt­ba­sier­te Fra­gen (HmbBfDI).

Die Fra­ge (aber nicht die Doku­men­ta­ti­on), ob eine tat­säch­li­che Covid-19-Infek­ti­on besteht, – mit der Fol­ge einer Zugangs­ver­wei­ge­rung – , ist mög­lich, da die­se Per­so­nen ohne­hin kei­ne öffent­li­chen Orte betre­ten dürfen.

  • Fra­gen nach der Ange­hö­rig­keit zum sel­ben Haus­halt (Kon­takt­be­schrän­kung nach der SächsCo­ro­naSch­VO vom 12.2.2021): Weder erlaubt noch ver­pflich­tend. Zustän­dig für die Kon­trol­le der Lan­des-Coro­na-Schutz­ver­ord­nun­gen sind die Gesund­heits- und Ord­nungs­äm­ter, hilfs­wei­se die Polizei.
  • Mund-Nasen-Bede­ckung als Zugangs­vor­aus­set­zung: Zuläs­sig. Ein Recht zur Ver­weh­rung des Zugangs zu einer Ver­kaufs­flä­che oder ähn­lich besteht zum einen dann, wenn Per­so­nen kei­ne Mund-Nasen-Bede­ckung tra­gen, obwohl sie nach den Lan­des-Coro­na­schutz­ver­ord­nun­gen dazu ver­pflich­tet sind. Auch wenn sie dazu nicht ver­pflich­tet sind, etwa weil sie ein ent­spre­chen­des ärzt­li­ches Attest vor­wei­sen (§ 3 Abs. Abs. 2, Abs. 3 Satz 4 SächsCo­ro­naSch­VO vom 12.2.2021), dürf­te aber der Betriebs­in­ha­bers das Recht haben, den Zugang auf Grund­la­ge sei­nes Haus­rechts zu ver­weh­ren, etwa die Mit­fahrt bei Bus­rei­sen (wenn die­se wie­der gestat­tet sind). Er kann dies auf sein berech­tig­tes Inter­es­se am Schutz der ande­ren Kun­den und der Beschäf­tig­ten stützen.
  • Coro­na-Warn-App als Zugangs­vor­aus­set­zung: Unter­neh­men dür­fen die Benut­zung der Coro­na-Warn-App nicht zur Zugangs­vor­aus­set­zung für ihre Räum­lich­kei­ten machen. Die von der App erzeug­ten Sta­tus-Daten geben schon kei­ne aus­rei­chen­den Rück­schlüs­se auf eine Coro­na-Infek­ti­on, ihre Erfas­sung ist daher nicht geeig­net, um berech­tig­te (geschäft­li­che) Inter­es­sen des Unter­neh­mens zu wah­ren (BayL­DA).
  • Fie­ber­mes­sung als Zugangs­vor­aus­set­zung: Unzu­läs­sig. Eine kon­klu­den­te Ein­wil­li­gung durch Betre­ten des Gelän­des nach Kennt­nis­nah­me der Hin­wei­se ist nicht aus­rei­chend im Sin­ne von Art. 9 Abs. 2 lit. a DS-GVO, der von einer aus­drück­li­chen Ein­wil­li­gung spricht; auch wäre sie nicht frei­wil­lig (Art. 7 DS-GVO), da die betrof­fe­nen Per­so­nen teil­wei­se erheb­li­che Nach­tei­le erlei­den wür­den, wenn sie nicht in die Maß­nah­me ein­wil­li­gen bzw. ihnen kei­ne Alter­na­ti­ven zur Ver­fü­gung ste­hen (Kop­pe­lungs­ver­bot, Art. 7 Abs. 4 DS-GVO). Auch die Vor­aus­set­zun­gen des Art. 9 Abs. 2 lit. i DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG, dem Infek­ti­ons­schutz­ge­setz bzw. den Lan­des­ver­ord­nun­gen zur Ein­däm­mung der Coro­na-Pan­de­mie lie­gen nicht vor. Denn die Maß­nah­me ist weder taug­lich, um vor einem wei­te­ren Infek­ti­ons­ri­si­ko zu schüt­zen, weil die Kör­per­tem­pe­ra­tur nicht sicher eine Infek­ti­on mit Coro­na-Virus indi­ziert, noch sind spe­zi­fi­sche Vor­keh­run­gen zum Schutz der betrof­fe­nen Per­so­nen ersicht­lich. Allen­falls kön­nen sol­che Maß­nah­men als frei­wil­li­ger Ser­vice auf Grund­la­ge einer Ein­wil­li­gung ange­bo­ten wer­den, dann aller­dings unab­hän­gig von der Zugangs­er­laub­nis (HmbBfDI, LDI Rheinland-Pfalz).

B. Maß­ga­ben

Auch wenn die Daten­ver­ar­bei­tung sich auf eine Rechts­grund­la­ge stüt­zen kann, sind die übri­gen Maß­ga­ben für eine recht­mä­ßi­ge Daten­ver­ar­bei­tung ein­zu­hal­ten, zumal es sich bei den frag­li­chen Daten um Gesund­heits­da­ten mit beson­ders hohem Schutz­be­darf han­delt. Im Einzelnen:

1. Infor­ma­ti­on

Wie vor jeder Daten­ver­ar­bei­tung müs­sen die Betrof­fe­nen ord­nungs­ge­mäß infor­miert wer­den. Die Daten­schutz­auf­sichts­be­hör­den hal­ten ver­schie­de­ne Mus­ter bereit, etwa für die Kontaktdatenerfassung.

2. Umfang und Form der Datenerhebung

Die Form der Daten­er­he­bung muss gewähr­leis­ten, dass die Ver­trau­lich­keit gewahrt wird und kei­ne unnö­ti­gen Daten erho­ben wer­den. Die Daten­schutz­auf­sichts­be­hör­den hal­ten ver­schie­de­ne Mus­ter bereit, die aller­dings lan­des- und zeit­spe­zi­fisch sind (Sach­sen: Mus­ter­for­mu­lar mit Daten­schutz­in­for­ma­ti­on zur Erhe­bung der pri­va­ten Kon­takt­da­ten der Mit­ar­bei­ter auf Grund­la­ge einer Ein­wil­li­gung, https://www.saechsdsb.de/corona-pandemie/147-pandemie/603-musterformular-des-saechsischen-datenschutzbeauftragten-zur-erhebung-privater-kontaktdaten-von-mitarbeitern-zur-risikopraevention; Mus­ter­for­mu­lar mit Daten­schutz­in­for­ma­ti­on betref­fend Kon­takt­da­ten von Kun­den etc., https://www.saechsdsb.de/images/stories/sdb_inhalt/Corona/Formular_Kontaktdaten_u_Hinweise_nach_Art_13_DSGVO_10112020.docx).

3. Sicher­heit der Aufbewahrung

Den Unter­neh­men muss bewusst sein, dass sie höchst sen­si­ble Infor­ma­tio­nen ver­wah­ren. Ent­spre­chend sicher müs­sen sie auf­be­wahrt wer­den („Im Schrank statt im Flur“, Merk­blatt zur Kon­takt­er­fas­sung in Coro­na-Zei­ten, LDI Rhein­land-Pfalz, 9.6.2020).

4. Löschung der Daten

Die Daten dür­fen nur so lan­ge auf­be­wahrt wer­den, wie es der Zweck der Erhe­bung erfor­dert. Bei Pflicht­da­ten­er­he­bung ist gesetz­lich eine Lösch­frist von 4 Wochen vor­ge­se­hen (§ 28a Abs. 4 Satz 3 IfSG; § 5 Abs. 6 Satz 4 SächsCo­ro­naSch­VO vom 12.2.2021). Bei Erhe­bung auf­grund eines berech­tig­ten Inter­es­ses oder Ein­wil­li­gung soll­te sich die Dau­er der Spei­che­rung an der mut­maß­li­chen Inku­ba­ti­ons- und Ent­de­ckungs­zeit von Infek­tio­nen ori­en­tie­ren (LfDI Baden-Würt­tem­berg), was wohl auf das Glei­che hin­aus läuft.

5. Zweck­bin­dung

Die erho­be­nen Daten dür­fen nur zu dem damit ver­bun­den Zweck ver­ar­bei­tet wer­den. Die Erhe­bung etwa der pri­va­ten Kon­takt­da­ten erfolgt für ein­deu­ti­ge, kon­kre­te und legi­ti­me Zwe­cke, ins­be­son­de­re für den Zweck, die Infek­ti­ons­ge­fähr­dung der Beschäf­tig­ten zu ver­rin­gern. Die­se Daten dür­fen nicht spä­ter ohne geson­der­te Ein­wil­li­gung für Kon­takt­auf­nah­men, etwa nach Fei­er­abend oder am Wochen­en­de, oder für ande­re Zwe­cke genutzt wer­den. Kon­takt­in­for­ma­tio­nen von Besu­chern oder Gäs­ten dür­fen nicht für Wer­be­zwe­cke ver­wen­det wer­den, etwa Gut­schei­ne beim Restau­rant­be­such oder beim Ver­las­sen des Restau­rants oder der Veranstaltung.

6. Daten­ver­ar­bei­tung mit Hil­fe von Softwareanwendungen

Daten­ver­ar­bei­tun­gen im Zusam­men­hang mit dem Schutz vor den Fol­gen der Coro­na-Epi­de­mie kön­ne auch unter Ein­satz der Diens­te Drit­te erfol­gen. Ins­be­son­de­re bei den oben beschrie­be­nen Kon­takt­nach­ver­fol­gun­gen set­zen Betriebs­in­ha­ber ver­schie­de­ne Apps und Brow­ser­an­wen­dun­gen ein. Hier­bei sind aller­dings daten­schutz­recht­li­che eini­ge Maß­ga­be zu beachten:

  • Der Betriebs­in­ha­ber bleibt Ver­ant­wort­li­cher für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten sei­ner Besu­cher im Sin­ne der DS-GVO.
  • Der Anbie­ter der Anwen­dun­gen ver­ar­bei­tet die Daten der Besu­cher für den Betriebs­in­ha­ber in der Regel im Auf­trag. Zwi­schen dem Betriebs­in­ha­ber und dem Anbie­ter der Anwen­dung ist daher ein Auf­trags­ver­ar­bei­tungs­ver­trag ent­spre­chend den Vor­ga­ben des Art. 28 Abs. 3 DS-GVO zu schließen.
  • Der Betriebs­in­ha­ber bleibt für die Löschung der Daten nach Ablauf der Auf­be­wah­rungs­frist ver­ant­wort­lich. Auch wenn er den Anbie­ter der Anwen­dung mit der Löschung beauf­tragt, obliegt es ihm, zu über­prü­fen, ob der Anbie­ter die Daten nach Ablauf der Auf­be­wah­rungs­frist tat­säch­lich löscht.
  • Der Betriebs­in­ha­ber unter­liegt bei der Daten­er­he­bung mit­tels einer Anwen­dung den Infor­ma­ti­ons­pflich­ten nach Art. 13 DS-GVO. Die­se Infor­ma­tio­nen hat der Betriebs­in­ha­ber vor der Regis­trie­rung zur Ver­fü­gung zu stel­len, ent­we­der in der Anwen­dung oder ana­log durch Aus­hang in den Räum­lich­kei­ten des Betriebs, ggf. mit Anga­be eines Links zu den voll­stän­di­gen Infor­ma­tio­nen online. Die ver­ant­wort­li­che Stel­le für die­se Infor­ma­ti­on ist der Betriebs­in­ha­ber; er ist als sol­cher in den Infor­ma­tio­nen zu nennen.
  • Der Betriebs­in­ha­ber hat sicher­zu­stel­len, dass er einen Anbie­ter wählt, der die Daten sicher vor Zugrif­fen Unbe­rech­tig­ter auf­be­wahrt und eine ver­schlüs­sel­te Über­mitt­lung der Daten gewährleistet.
  • Die Regis­trie­rung über eine Anwen­dung auf Gerä­ten der Besu­cher und der Abschluss eines Nut­zungs­ver­tra­ges, der ggf. die Nut­zung wei­te­rer Funk­tio­nen ermög­licht (Platz­re­ser­vie­rung, Essens­be­stel­lung, Ter­min­ver­ein­ba­rung etc.) muss immer frei­wil­lig sein und darf nicht zur Vor­aus­set­zung für den Besuch der Räum­lich­kei­ten gemacht wer­den. Daher muss eine Alter­na­ti­ve zur Daten­er­fas­sung etwa in Papier­form gege­ben sein.
  • Soweit Daten­er­he­bung zur Kon­takt­nach­ver­fol­gung ver­pflich­tend ist, besteht das Pro­blem, dass bei den Ange­bo­ten man­cher Anbie­ter der Betriebs­in­ha­ber kei­ne direk­ten Zugriffs­mög­lich­kei­ten auf die erho­be­nen Daten hat. Statt­des­sen sol­len die­se das Gesund­heits­amt an den jewei­li­gen Anbie­ter ver­wei­sen, wenn eine Kon­takt­nach­ver­fol­gung not­wen­dig ist. Ob der Betriebs­in­ha­ber bei die­sem Vor­ge­hen sei­nen Ver­pflich­tun­gen nach der Coro­na-Bekämp­fungs­ver­ord­nung nach­kommt, ist kei­ne daten­schutz­recht­li­che Fra­ge, son­dern mit den zustän­di­gen Gesund­heits­äm­tern zu klären.