"Corona-Listen" datenschutzgerecht führen

Die Landesbe­auftragten für den Datenschutz und die Informati­onsfreiheit TLfDI erreichen in den letzten Wochen eine Vielzahl von Beschwerden hinsichtlich der Verpflichtung zur Führung sogenannter Corona-Listen“, also die Erfassung von personen­bezogenen Daten der Kunden, wie Name, Vorname, Adresse, Telefonnummer oder Emailadresse zur gegebenenfalls notwendigen Nachverfolgung von Kontakten bei einer Infektion mit SARS-CoV-2.

Doch auch für diese Listen gilt die Datenschutz-Grundverordnung! Jedem Kunden ist daher eine vollständige Information nach Art. 13 DS-GVO zur Verfügung zu stellen, was je nach den Umständen des Einzelfalls auch durch einen Aushang geschehen kann. Aus der Information muss sich sowohl der eindeutige Zweck der Verarbeitung als auch die Speicherdauer ergeben. (In diesem Fall wohl höchstens 3 Wochen)

Die Datenver­arbeitung hat so zu erfolgen, dass Dritte keinen Einblick in die bereits erfassten Daten anderer Gäste haben. Das Auslegen einer solchen fortlaufenden Liste“ zum Eintragen der Kontaktdaten genügt datenschutz­rechtlichen Anforderungen (z.B. Rechtsgrundlage, Erforderlichkeit) genauso wenig, wie das offene Führen von Büchern mit diesen Daten.

Zu einer entsprechenden Pressemitteilung aus Thüringen hier.