DSGVO, Corona, Datenschutz, Friseur
Riechers / Handwerkskammer

Datenschutzkonforme Erfassung von Kundendaten

Hinweise und Muster für die datenschutzkonforme Erhebung

Die Niedersächsische Verordnung zur Bekämpfung der Corona-Pandemie (CoronaVO) schreibt für zahlreiche Gewerbebetriebe eine Pflicht zur Dokumentation der Kontaktdaten aller Kundinnen und Kunden vor. Dies gilt für:

  • Frisörinnen und Frisöre sowie Betreiberinnen und Betreiber eines Manikürestudios, Pedikürestudios oder Kosmetikstudios (§ 7 Abs. 1 Sätze 3 und 4 CoronaVO)
  • Restaurationsbetriebe, insbesondere Restaurants, Gaststätten, Biergärten im Freien, Imbisse, Cafés, allein oder in Verbindung mit anderen Einrichtungen, und Kantinen (§6 Abs. 1 Satz 5 CoronaVO)

Neben den Kontaktdaten (Name, Vorname, Adresse, Telefonnummer) ist der Zeitpunkt des Betretens und Verlassens des Betriebs zu dokumentieren. Die erhobenen Daten müssen drei Wochen aufbewahrt werden. Wer damit nicht einverstanden ist, darf nicht bedient werden.


Datenschutzkonforme Umsetzung

Zur datenschutzkonformen Umsetzung dieser Vorgaben ist nach den Vorgaben der Landesbeauftragen für Datenschutz Folgendes zu beachten:

Daten dürfen nicht für andere einsehbar sein

Wenn mit Listen gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen sehen kann. Empfohlen wird daher, dass die Kundendaten (Vorname, Familienname, vollständige Anschrift und Telefonnummer) erfragt und selbst in entsprechende Listen eingetragen werden. Wenn die Kundinnen und Kunden ihre Daten selbst eintragen sollen, ist das aus Datenschutzsicht nur zulässig, wenn die Einträge anderer Kund*innen abgedeckt werden.

Für jeden Tag sollte eine neue Liste begonnen werden, um so taggenau den Löschfristen nachkommen zu können.

Informationen über Datenerhebung

Die Kund*innen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DSGVO) informiert werden, z. B. durch einen Aushang oder ein Informationsblatt (s. Downloads) im Eingangsbereich. Dieser Aushang muss folgende Informationen beinhalten:

  • Name und Kontaktdaten des*der Verantwortlichen
  • Kontaktdaten des*der Datenschutzbeauftragten (soweit vorhanden)
  • Zweck, zu denen die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlagen der Verarbeitung (Frisörsalons, Maniküre-, Pediküre- und Kosmetikstudios: Art. 6 Abs. 1 lit. c DS-GVO i. V. m. § 7 Abs. 1 Satz 4 CoronaVO  / Restaurationsbetriebe: Art. 6 Abs. 1 lit. c DS-GVO i. V. m. § 6 Abs. 1 CoronaVO)
  • Empfänger (z.B. Gesundheitsamt, für den Fall, dass sich ein*e Kund*in nachträglich als infiziert herausstellen sollte)
  • Dauer der Speicherung (drei Wochen)
  • Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung sowie auf das Recht auf Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover)
  • Hinweis, dass Kundinnen und Kunden nur bedient werden können, soweit sie mit der Datenerfassung einverstanden sind.

Sind bereits entsprechende Informationen nach Art. 13 DSGVO für Kundinnen und Kunden vorhanden, da in der Vergangenheit bereits Kundendaten erfasst wurden, müssen diese lediglich ergänzt werden (neuer Zweck, Rechtsgrundlage, Speicherdauer, Empfänger der Daten).

Aufbewahrungsfrist und Löschung von Daten

Die Daten müssen spätestens einen Monat nach dem letzten Kontakt mit der betreffenden Person vernichtet bzw. gelöscht werden. Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren, ist nicht zulässig. Für ein datenschutzkonformes Löschen digitaler Daten ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.

Übermittlung von Daten

Die Listen sollten ausschließlich bei schriftlicher Aufforderung z. B. durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Jede Aufforderung zur Übermittlung und die Übermittlung selbst ist zu dokumentieren (welche Liste wurde an wen wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.

Keine anderweitige Nutzung von Daten

Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache oder der Werbung genutzt werden.