Frank Müns
Frank Müns
06.07.2021

Daten- und Infektionsschutz in Zeiten von COVID-19

Über die Themen Infektions- und Datenschutz

Das Infektionsschutzgesetz (IFSG) verlangt, eine umfangreiche Menge von Daten Betroffener sowie Dritter zu erheben und zu verarbeiten.

Da Gesundheitsdaten dem besonderen Schutz des Artikels 9 der Datenschutzgrundverordnung unterliegen, ist es an dieser Stelle besonders wichtig diese Daten zu schützen und ausschließlich nach den gesetzlichen Vorgaben zu verarbeiten.

Durch das Infektionsschutzgesetz stehen nun viele Arbeitgeber und Beschäftigte vor der Frage, in welchem Umfang sie unter welchen Umständen Gesundheitsdaten austauschen dürfen und müssen.

Kernaussagen der Datenschutzkonferenz

In der Datenschutzkonferenz (DSK) stellte die Datenschutzaufsichtsbehörde des Bundes und der Länder ihre gemeinsame Position vor:

Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte, dass Gesundheitsinformationen sehr sensible Daten seien und Datenverarbeiter sich ihrer besonderen Verantwortung bewusst sein sollten.

Es heißt jedoch auch: „Solange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg.

[Denn] die Gesundheit der Bürgerinnen und Bürger steht nämlich jetzt im Mittelpunkt.“

Vom Landesamt für Datenschutzaufsicht wurden bereits in der Vergangenheit vielfältige Hinweise veröffentlicht, die die praxisgerechte Umsetzung infektions- und datenschutzrechtlicher Anforderungen unterstützt.

All denen, die Kontaktdaten sorglos mit offenen Kontaktlisten auf Papier erfassen wollen und damit den Datenschutz der Gäste missachten, gilt eine besondere Warnung.

Eine bessere Alternative, welche das Landesamt bei Papiernutzung stattdessen empfiehlt, sind Einzelbögen mit aktuell geforderten Angaben.

Zu erhebende Daten bei der Dokumentation

Sofern eine Dokumentationspflicht besteht, bezieht sich diese für alle Branchen und Einrichtungen auf folgende Daten:

  • Familienname
  • Vorname
  • Straße und Hausnummer
  • Postleitzahl und Wohnort
  • eine Telefonnummer
  • Erhebungsdatum und -uhrzeit oder vereinbarter Termin

Handelt es sich um gewerbliche Tätigkeitengenügen die dienstlichen Kontaktdaten.

Somit ist nur die Angabe der Anschrift des Unternehmens bzw. der zuständigen Behörde und des Ansprechpartners notwendig.

Die Kontaktdaten müssen vollständig und wahrheitsgemäß angegeben werden, § 5 Abs. 1 Satz 7 CoronaVO.

Jedoch dürfen die Daten nur bei begründeten Zweifeln an ihrer Plausibilität überprüft werden.

Eine mögliche Erfassungsmöglichkeit stellt folgendes Musterformular dar, welches vom bayerischen Landesamt für Datenschutzaufsicht bereitgestellt wird.

Digitale Kontakterfassung als Alternative zur Papiernutzung

Das Angebot von digitalen Kontakterfassungsmethoden kann eine wertvolle Entlastung bieten.

Durch leistungsfähige Verschlüsselungsverfahren, kann sichergestellt werden, dass kein Unbefugter die Daten für eigene Zwecke missbraucht.

Im ersten Jahr der Pandemie war der unbedachte Umgang mit Kontaktdaten auf Papier viel zu oft ein Anlass für Einzelfalluntersuchungen bis hin zu Geldbußen.

Verfahren dieser Art sind eindeutig vermeidbar.

Neben den Hilfestellungen für papiergebundene Kontaktdatenerfassung gibt es mittlerweile einige leistungsfähige elektronische Kontaktdatenerfassungsverfahren, die auch datenschutzrechtlich gute Lösungen ermöglichen.

Lesen Sie hier mehr über die Luca App.

Informationspflicht über Datenerhebungen

Betroffene Personen müssen gemäß Art. 13 Datenschutzgrundverordnung (DSGVO) über die Datenerhebung informiert werden.

Um dieser Informationspflicht nachzukommen, könnte dort, wo die Daten erfasst werden, ein Aushang angebracht oder ein Informationsblatt ausgelegt werden.

Auf diesen Aushängen müssen folgende Informationen aufgezeigt werden:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung der personenbezogenen Daten, sowie die Rechtsgrundlage
  • Empfänger oder Kategorien von Empfängern
  • Dauer der Speicherung
  • Hinweis auf das Recht auf Auskunft, auf Berichtigung und auf Beschwerde bei einer Aufsichtsbehörde
  • Hinweis, dass die betroffenen Personen nur die Dienstleistung in Anspruch nehmen bzw. die Einrichtung betreten können, soweit sie mit der Datenerfassung einverstanden sind

Aufbewahrungsfristen der erhobenen Daten

Die zu erhebenden Daten sind für die Dauer von drei Wochen nach dem Ende des jeweiligen Ereignisses aufzubewahren, da das Ziel der Dokumentation ausschließlich die Nachvollziehbarkeit etwaiger Infektionsketten ist (§ 5 Abs. 1 Satz 3 CoronaVO).

Spätestens nach einem Monat nach dem Ende des jeweiligen Ereignissens müssen die Kontaktdaten gelöscht werden.

Das Löschen der Kontaktdaten muss unbedingt datenschutzkonform geschehen.

Bei Dokumenten in Papierform kann dies beispielsweise durch Schreddern der Listen mit einem Aktenvernichter geschehen.

Nicht Datenschutzkonform wäre es, wenn die Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Papiertonne gelangen.

Auch bei den digitalen Formaten ist es nicht ausreichend, die Dateien in den digitalen Papierkorb zu verschieben und diesen zu leeren.

Download:

Vorlage Aushang Hinweise Datenverarbeitung

Download

Titelbild Einwilligungspflicht Veroeffentlichung Mitarbeiterfotos
VORHERIGER BEITRAG Einwilligungspflicht Veröffentlichung Mitarbeiterfotos
Titelbild CC und BCC Was sind die Unterschiede
NÄCHSTER BEITRAG CC und BCC - Was sind die Unterschiede?