R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
SRNL 2021, 10
von Laer 

Datenschutzkonforme Coronahygienekonzepte: Wie gehe ich mit Besucherlisten um?

von Anna von Laer, Bielefeld

„Die Einsichtnahme in Gottesdienstbesucherlisten durch den leitenden Pfarrer zur Überprüfung der Vollständigkeit der Liste und der Einhaltung sowie Evaluierung des Coronaschutzkonzeptes ist durch § 6 Abs. 1 Buchstaben a und d KDG in Verbindung mit der Coronaschutzverordnung NRW gedeckt.“

DSG-DBK 01/2021 vom 17.12.2021 – Entscheidung des Datenschutzgerichts der deutschen Bischofskonferenz

Abbildung 12

Müssen Corona-Kontaktlisten kontrolliert werden?

Welche Pflichten habe ich im Hinblick auf das Führen von Kontaktlisten?

Durch Vorgaben der Coronaschutzverordnungen der Bundesländer mussten sich viele Einrichtungen wie Kirchen, Museen, Restaurants, Fitnessstudios etc. mit dem Führen von Kontaktlisten auseinandersetzen. Das Nachhalten von Kontaktlisten ist in der Regel Bestandteil eines umfassenden Hygienekonzepts, welches essentiell für die Weiterführung des Betriebes ist. Auf Grundlage der Kontaktlisten erfolgt dann die Kooperation und Absprache mit den Gesundheitsämtern, wenn in den Betrieben und Einrichtungen positive Fälle von Corona auftreten. Verstöße gegen die auf Grundlage der Coronaschutzverordnungen erstellten Hygienekonzepte können für die betroffenen Betriebe und Einrichtungen nach den Coronaschutzverordnungen zu Bußgeldern bis hin zu Schließungen führen.

Zusätzlich ist die Erstellung von Kontaktlisten als datenschutzrechtliche Verarbeitung zu sehen, da in großer Zahl personenbezogene Daten von Kunden und Besuchern aufgenommen werden, wie Name, Adresse, Telefonnummer und Emailadresse. Das Führen der Kontaktlisten legt eine erweiterte datenschutzrechtliche Verantwortung fest, die zusätzlich das Risiko birgt, gegen datenschutzrechtliche Vorgaben zu verstoßen und damit auch ein Bußgeld auferlegt zu bekommen. Die verantwortlichen Stellen haben durch Musterkontaktlisten und Musterinformationen, die ihnen von ihren Verbänden o.ä. zur Verfügung gestellt SRNL 2021 S. 10 (11)werden oder die sie auf den Seiten der Landesregierungen erhalten können, Hilfestellungen angeboten bekommen. Es bleibt jedoch die Frage, inwiefern die Betriebe und Einrichtungen nachhalten müssen, ob die Listen ordentlich und vollständig geführt werden. Es sind nicht wenige Fälle bekannt geworden, in denen Besucher und Kunden Scherznamen oder falsche Adressangaben gemacht haben und somit die Kontaktnachverfolgung unmöglich gemacht haben.

Wie weit geht aber die Überprüfungsmöglichkeit der verantwortlichen Stelle und wann ist das Nachprüfen der Listen bereits ein Verstoß gegen datenschutzrechtliche Vorgaben? Dieser Fall wurde jetzt in zweiter Instanz vor dem Datenschutzgericht der deutschen Bischofskonferenz entschieden. Hier ging es um die Befugnisse des Pfarrers, nachträglich Besucherlisten auf fehlende und fehlerhafte Angaben hin zu überprüfen. Ausgangslage des Streifalls war, dass die zuständige Aufsichtsbehörde diese Befugnis mit dem Hinweis ablehnte, dass vom datenschutzrechtlichen Zweck der Führung von Kontaktlisten nicht die Kontrolle durch die verantwortliche Stelle umfasst sei und somit ein Datenschutzverstoß vorläge. Die Listen seien, so die Aufsichtsbehörde, nur zur Kontaktnachverfolgung durch die Gesundheitsämter bestimmt, so dass dem Pfarrer eine Überprüfung der Besucherlisten nicht zustehe. Eine solche Einsichtnahme sei nicht geeignet, die spätere Rückverfolgung zu verbessern.

Hier handelt es sich zwar um einen Fall aus dem kirchlichen Datenschutzgesetz, er kann aber durch die Geltung der DSGVO Grundsätze für kirchliche Einrichtungen auch auf die Gesamtrechtslage übertragen werden.

Entscheidung des Datenschutzgerichts der deutschen Bischofskonferenz (DBK) in der 2. Instanz

Die Kirchengemeinde wollte die Entscheidung der Aufsichtsbehörde gerichtlich überprüfen lassen, ihr wurde auch in zwei Instanzen recht gegeben.

Das Interdiözesane Datenschutzgericht der ersten Instanz sowie das DBK in der zweiten Instanz haben zu Recht festgestellt, dass die Kirchengemeinde durch die Einsichtnahme in die Gottesdienstbesucherliste zur Überprüfung der Vollständigkeit der Liste sowie der Einhaltung und Evaluierung des Coronaschutzkonzepts der Gemeinde keine Datenschutzverletzung begangen hat. Auch zukünftig darf ihr Pfarrer Einsicht in die Gottesdienstbesucherliste nehmen, um die Vollständigkeit der Liste zu kontrollieren und die Einhaltung ihres Coronaschutzkonzepts zu prüfen.

Zu der Kontrollmöglichkeit gehört auch der Abgleich der Liste mit anderen Kontaktdaten, insbesondere der Gemeindemitglieder, um dadurch mögliche Fehler der eingetragenen Daten zu erkennen. Die Datenerhebung über die Kontaktlisten und die weitere Verarbeitung der personenbezogenen Daten durch Überprüfung seien von dem in der Coronaschutzverordnung festgelegten Zweck umfasst, dem Gesundheitsamt die Kontaktnachverfolgung nach Feststellung einer Neuinfektion zu ermöglichen.

Korrekter Umgang mit Kontaktlisten

Die Urteile der kirchlichen Datenschutzbehörden sind insofern für die betroffenen Betriebe und Einrichtungen als positiv zu bewerten, als dass sie zumindest das Risiko minimieren, durch das Führen und Kontrollieren von Kontaktlisten einen Datenschutzverstoß zu begehen. Andererseits zeigt es jedoch, dass die Umsetzung von Hygienekonzepten den verantwortlichen Stellen eine große Verantwortung abverlangt. Im Umkehrschluss kann man das Urteil nämlich auch so lesen, dass es nicht damit getan ist, die Daten zu erfassen und dem Gesundheitsamt auf Anfrage zu übermitteln, sondern dass die Betriebe und Einrichtungen angehalten sind, für die Gesundheitsämter korrekte Daten vorzuhalten, die sie im Zweifelsfall auch zu überprüfen haben. Diese Lesart wurde bereits für die Stadt Hamburg festgelegt, die in § 7 Abs. 2 HmbSARS-CoV-2-EindämmungsVO eine Pflicht zur Plausibilitätsprüfung normiert hat. Hiernach hat der Verpflichtete zu prüfen, ob die angegebenen Kontaktdaten vollständig sind und ob diese offenkundig falsche Angaben enthaltenkönnten. Somit hat die datenschutzrechtliche Klarheit über den Zweck des Führens von Besucherlisten zur Erleichterung der Kontaktverfolgung durch die Gesundheitsämter zu mehr Verantwortung hinsichtlich der Umsetzung von Coronaschutzverordnungen geführt. Auch wenn die Verpflichtung aus der Hamburger Gesetzgebung aktuell für dieses Urteil nicht gültig ist, zeigt es doch eine Tendenz, die Verantwortlichen, welche im Rahmen ihrer Corona Hygiene Konzepte Kontaktlisten führen müssen, nicht nur Prüfmöglichkeiten sondern auch Prüfpflichten aufzuerlegen. Wenn sich die Entwicklung von einer Prüfmöglichkeit zu einer Prüfpflicht verschärft bleibt die Frage zu klären, welcher Aufwand hierbei betrieben werden muss und ob die Pflicht nicht mit den vorhandenen Kapazitäten in den betroffenen Betrieben und Einrichtungen kollidiert.

Das Urteil ist nachzulesen auf der Website des Datenschutzgerichts der deutschen Bischofskonferenz: https://www.dbk.de/fileadmin/user_upload/DSG-DBK_01_2021_Beschluss_vom_12.7.2021__anonym.pdf

Abbildung 13

Anna von Laer betreut seit dem Frühjahr 2020 als Rechtsanwältin für die MÖNIG Wirtschaftskanzlei Mandate im IT-Recht, Datenschutz- und Gesellschaftsrecht. Sie ist zudem TÜV-zertifizierte Datenschutzbeauftragte. Davor hat sie mehrere Jahre als Justiziarin für eine große Deutsche Stiftung gearbeitet und war dort für die rechtliche Beratung in komplexen IT-Projekten und für die datenschutzrechtliche Umsetzung innovativer Digitalformate zuständig.

 
stats