Corona-Pandemie

Zulässige Maßnahmen durch Unternehmen gegenüber Dritten wie Kunden, Besuchern etc. zum Zweck des Infektionsschutzes

Unternehmen (z.B. Messeveranstalter, Theater etc.) dürfen auf freiwilliger Grundlage sowie nach Aufforderung durch Gesundheitsbehörden Daten von Kunden oder Besuchern erheben, speichern oder übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war:


Solange eine behördliche Anordnung nicht vorliegt, ist es Veranstaltern unbenommen, die Namen und Kontaktdaten ihrer Besucher zu dem Zweck, diese den Gesundheitsbehörden auf Anforderung zu übermitteln, auf der Grundlage einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO von den Besuchern zu erheben und zu speichern. Die Dauer der Speicherung sollte sich in diesem Fall an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren.


Für den Fall, dass seitens der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, kann der Veranstalter die Erhebung und Speicherung der Daten entsprechend der behördlichen Anordnung auf Artikel 6 Absatz 1 Buchstabe c sowie Absatz 2 und 3 DSGVO stützen. Einer solchen Anordnung zur Speicherung von Besucherdaten entspricht regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Absatz 2 Satz 3 IfSG. Demnach besteht die Verpflichtung, auf Verlangen der Behörde die erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.


§ 16 Absatz 1 IfSG sieht vor: „Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die bei diesen Maßnahmen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.“


Sobald eine solche behördliche Anordnung vorliegt, sollte das von ihr betroffene Unternehmen prüfen, ob die hieraus resultierende Datenverarbeitung (insbesondere die Erhebung und Speicherung der betreffenden Daten und ggf. die Übermittlung an die Gesundheitsbehörde) in der Datenschutzerklärung des Unternehmens nach Artikel 13, 14 DSGVO angeführt wird, und andernfalls eine Anpassung vornehmen und die Betroffenen gesondert informieren.


In jedem Fall ist sicherzustellen, dass die erhobenen Daten nicht von unbefugten Dritten (auch nicht von anderen Besuchern) eingesehen werden können, und nur für den Zweck der Kontaktaufnahme von Besuchern nach Maßgabe des Gesundheitsamtes verwendet sowie vor dem Zugriff von außen gesichert werden.


Nach Ablauf der Aufbewahrungspflicht sind die erhobenen Daten endgültig und restlos zu löschen oder vernichten. Eine Verarbeitung der so erhobenen Daten zu anderen Zwecken (etwa Werbung) als denen des § 28 IfSG nach Maßgabe der gesundheitsbehördlichen Anordnungen ist grundsätzlich unzulässig.