Verordnung zur Bekämpfung der Corona-Pandemie und verpflichtende Kundendatenverarbeitung

Mit der novellierten Fassung der Verordnung zur Bekämpfung der Corona-Pandemie vom 15. Mai 2020 (VO-CP) hat die Landesregierung mit Wirkung zum 18. Mai 2020 erstmals eine landesrechtliche Regelung zur Erhebung und Speicherung von Kundendaten durch Betreiber von u.a. Gastronomiebetrieben geschaffen. Diese Regelung wurde zuletzt durch die Neufassung der VO-CP vom 10. Juli 2020 (Amtsbl. 2020, 586 ff) mit Wirkung zum 13. Juli 2020 angepasst.

Nach Maßgabe des § 3 VO-CP sind durch Betreiber von Gastronomiebetrieben, Kinos, Theatern, Opern, Konzerthäusern, Indoorspielplätzen, Hotels, Beherbergungsbetrieben und Campingplätzen sowie Veranstalter von Gottesdiensten, Wettkämpfen u. a. Name, Vorname, Wohnort und Erreichbarkeit in Form einer Telefonnummer oder der E-Mail-Adresse je eines Vertreters der anwesenden Haushalte sowie deren Ankunftszeit zu erheben und für die Dauer eines Monats zu speichern. Aus datenschutzrechtlicher Sicht ist aufgrund dieser gesetzlich normierten Pflicht die mit dieser Regelung verbundene Verarbeitung von Kundenkontaktdaten nach Art. 6 Abs. 1 lit. c in Verbindung mit Abs. 2 und 3 DSGVO legitimiert.

In welcher Form diese Pflicht zur Datenverarbeitung umgesetzt wird, bleibt letztlich dem jeweiligen Verantwortlichen überlassen. So könnte beispielsweise - unter Verwendung der regelmäßig vorhandenen Reservierungsbücher - eine schriftliche Notiz bereits im Rahmen der Reservierung erfolgen oder die Gäste beim Eintreffen in dem Betrieb erfasst werden. Sofern bereits Online-Reservierungssysteme gegeben sind, könnten auch über diese die notwendigen Kontaktdaten der Kunden abgefragt werden. Für jeden einsehbare oder unbeaufsichtigt ausliegende Gästelisten bzw. ein Scannen, Kopieren oder Fotografieren von Ausweisdokumenten sind allerdings nicht als datenschutzrechtlich zulässig zu erachten.

Im Hinblick auf den Zweck der Verarbeitungspflicht, den Gesundheitsämtern die Nachverfolgbarkeit von Infektionsketten zu ermöglichen, sind die erhobenen und gespeicherten Kontaktdaten für den Fall, dass das zuständige Gesundheitsamt diese anfordert, zu übermitteln. Die Anforderung des Gesundheitsamts selbst ist zu dokumentieren. Die Daten sollten dabei nur auf einem sicheren Übertragungsweg (per Post, per Fax oder per E-Mail mit Ende-zu-Ende-Verschlüsselung) zur Verfügung gestellt werden.

Soweit eine Speicherung der so erhobenen Kundenkontaktdaten für einen Monat erfolgen muss, ist darauf zu achten, dass die gespeicherten Daten fristgerecht vernichtet bzw. gelöscht werden; beispielsweise durch Schreddern von papiergeführten Listen und Erfassungsbögen oder durch Löschen bei digitaler Speicherung.

Absolut unzulässig ist eine zweckwidrige Weiterverarbeitung der Kundenkontaktdaten, wie beispielsweise eine Verwendung oder Weitergabe für Werbezwecke. Die betroffenen Kunden sind durch Informationen im Sinne des Art. 13 DSGVO über Zweck und Ausgestaltung der Datenverarbeitung zu informieren (siehe Muster).