„Gästeliste? Klar, mache ich doch… Wir halten uns an alle Auflagen.“. Diese oder ähnliche Aussagen hört man derzeit häufig. Friseure, Gastwirte, Betreiber von Fitnessstudios: sie alle müssen auf Grundlage der verschiedenen Corona-Landesverordnungen die Namen und Kontaktdaten ihrer Kunden/Gäste erfassen und diese für drei bzw. vier Wochen (je nach Bundesland) aufbewahren. Und sonst?
Was ist mit den restlichen Rahmenbedingungen zum Umgang mit personenbezogenen Daten? Dazu sagen die verschiedenen Corona-Verordnungen nichts aus. Verschiedene Branchenverbände oder Landesaufsichtsbehörden haben Mustervorlagen für die Erhebung von Kontaktdaten herausgegeben. Aber mehr leider auch nicht. Gilt der Datenschutz jetzt nicht (mehr)?
Allgemeine DSGVO-Anforderungen gelten auch in Corona-Zeiten
Doch, selbstverständlich! Nur werden Friseure & Co. damit mehr oder minder allein gelassen. Das mit der Erhebung personenbezogener Daten auch weitere datenschutzrechtliche Pflichten verbunden sind, wird leider häufig verschwiegen oder als selbstverständlich vorausgesetzt. So sind nicht nur die Kontaktdaten vor unberechtigter Einsicht zu schützen (also bitte keine Listen zum Selbsteintragen auslegen). Genauso ist beispielsweise das – hoffentlich vorhandene – Verzeichnis der Verarbeitungstätigkeiten entsprechend um Verfahren der Kontaktdatenerhebung zu ergänzen oder aber die Rechte auf Auskunft oder Löschung nachvollziehbar umzusetzen.
Insbesondere das Wort „nachvollziehbar“ ist dabei wichtig. Denn eine Beschwerde bei der Landesaufsichtsbehörde ist schnell gemacht und die Behörde MUSS der Beschwerde nachgehen. Spätestens an dieser Stelle kommt dann das „dicke Ende“.