DSGVO, Corona, Datenschutz, Friseur
Riechers / Handwerkskammer

Datenschutzkonforme Erfassung von Kundendaten

Hinweise und Muster für die datenschutzkonforme Erhebung

Gemäß der Niedersächsischen Corona-Verordnung besteht in verschiedenen Branchen und Einrichtungen die Pflicht zur Erhebung und Dokumentation von Kundendaten, u.a. für Dienstleister*innen, die eine Dienstleistung mit unmittelbarem Körperkontakt zu einer Kundin oder einem Kunden erbringen wie in Friseursalons oder im Bereich der medizinischen Fußpflege.

Ohne Erfassung der Kontaktdaten darf die Dienstleistung nicht ausgeübt werden.

Neben den Kontaktdaten (Name, Vorname, Adresse, Telefonnummer) ist der Zeitpunkt des Betretens und Verlassens des Betriebs zu dokumentieren. Die erhobenen Daten müssen drei Wochen aufbewahrt werden.

Datenschutzkonforme Umsetzung

Zur datenschutzkonformen Umsetzung dieser Vorgaben ist Folgendes zu beachten:

Daten dürfen nicht für andere einsehbar sein

Die Dokumentation der Kundendaten muss datenschutzkonform erfolgen, d. h. die erhobenen Daten sind technisch und organisatorisch vor unberechtigtem Einblick und Zugriff zu schützen. Daher wird empfohlen, die Kundendaten mit einzelnen Erfassungszetteln zu dokumentieren, bei denen die Kundinnen und Kunden ihre Daten selbst eintragen. Anschließend sind die Erfassungszettel zugriffssicher abzulegen, also z.B. nicht in offenen Körben.

Wenn mit Listen gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen sehen kann. Empfohlen wird daher, dass die Kundendaten erfragt und selbst in entsprechende Listen eingetragen werden. Wenn die Kundinnen und Kunden ihre Daten selbst eintragen sollen, ist das aus Datenschutzsicht nur zulässig, wenn die Einträge anderer Kund*innen abgedeckt werden.

Für jeden Tag sollte eine neue Liste begonnen werden, um so taggenau den Löschfristen nachkommen zu können.

Informationen über Datenerhebung

Die Kund*innen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DSGVO) informiert werden, z. B. durch einen Aushang oder ein Informationsblatt (s. Downloads) im Eingangsbereich. Dieser Aushang muss folgende Informationen beinhalten:

  • Name und Kontaktdaten des Verantwortlichen,
  • Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
  • Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung,
  • Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich eine Person nachträglich als infiziert herausstellen sollte),
  • Dauer der Speicherung (höchstens ein Monat),
  • Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung und auf Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover),
  • Hinweis, dass die betroffenen Personen nur die Dienstleistung in Anspruch nehmen bzw. die Einrichtung betreten können, soweit sie mit der Datenerfassung einverstanden sind.

Sind bereits entsprechende Informationen nach Art. 13 DSGVO für Kundinnen und Kunden vorhanden, da in der Vergangenheit bereits Kundendaten erfasst wurden, müssen diese lediglich ergänzt werden (neuer Zweck, Rechtsgrundlage, Speicherdauer, Empfänger der Daten).

Aufbewahrungsfrist und Löschung von Daten

Die Daten müssen spätestens einen Monat nach dem letzten Kontakt mit der betreffenden Person vernichtet bzw. gelöscht werden. Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren, ist nicht zulässig. Für ein datenschutzkonformes Löschen digitaler Daten ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.

Übermittlung von Daten

Die Listen sollten ausschließlich bei schriftlicher Aufforderung z. B. durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Jede Aufforderung zur Übermittlung und die Übermittlung selbst ist zu dokumentieren (welche Liste wurde an wen wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.

Keine anderweitige Nutzung von Daten

Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache oder der Werbung genutzt werden.