Corona in Sachsen: Datenschutzkonformer Umgang mit Kontaktdaten im Friseurhandwerk
Autor:in
Corinna StankeStapeln sich bei Ihnen seit dem 04.05.2020 die Zettel mit den Kontaktdaten zu Ihrer Kundschaft in Ihrem Friseurbetrieb und fragen Sie sich unter Umständen, wie lange Sie diese Zettel eigentlich aufbewahren müssen? Wenn ja, dann sind Sie vermutlich nicht allein mit dieser Frage. Denn im Gegensatz zu anderen Bundesländern ist in Sachsen nicht explizit geregelt, wie lange Sie die Kundschaftsdaten zum Zwecke der Nachverfolgung von Infektionsketten im Zusammenhang mit Corona aufbewahren/speichern müssen.
Daher möchten wir Ihnen im Folgenden einen Überblick geben, was Sie als Friseurbetrieb bei der datenschutzkonformen Aufbewahrung dieser Daten zu beachten haben.
1. Warum müssen Sie die Daten Ihrer Kundschaft überhaupt speichern?
Friseur:innen in Sachsen dürfen endlich wieder seit gut zwei Wochen ihrem Betrieb nachgehen. So groß wie die Freude sicherlich darüber bei Ihrer Kundschaft gewesen ist („endlich wieder Haare schneiden lassen“, „keine grauen Haare mehr“), so groß waren vermutlich auch Ihre Sorgen, wie Sie die neuen Regelungen umsetzen können. Denn nach § 10 (2) der Sächsischen Corona-Schutz-Verordnung vom 12.05.2020 (SächsCoronaSchVo) dürfen Sie als Betrieb von Friseur:innen Ihre Dienstleistungen nur erbringen, wenn Sie sich an die für Sie spezifisch geltenden Vorgaben halten. Unter anderem müssen Sie nach § 10 (2) der SächsCoronaSchVO die SARS-CoV-2-Arbeitsschutzstandards des Bundesministeriums für Arbeit und Soziales (Stand 16.04.2020) beachten sowie den von der Berufsgenossenschaft für Gesundheitsdienst und Wohlfahrtspflege (BGW) entwickelten Branchenstandard für das Handwerk von Friseur:innen (Stand 08.05.2020). Dieser Branchenstandard konkretisiert und ergänzt den SARS-CoV-2-Arbeitsschutzstandard des Bundesministeriums für Arbeit und Soziales. So sollen Sie zum Beispiel aufgrund der dortigen Regelung unter Ziffer 12 die Kontaktdaten Ihrer Kundschaft sowie den Zeitpunkt des Betretens/Verlassens Ihres Betriebes von Friseur:innen von Ihrer Kundschaft zum Zwecke der Nachverfolgung von Infektionsketten im Zusammenhang mit Corona dokumentieren.
Allein innerhalb einer Arbeitswoche sammeln sich da natürlich viele Daten an, die gut dokumentiert und vor fremden Einblicken geschützt werden müssen. Des Weiteren müssen Sie Ihre Kundschaft über die Dokumentation nach der DS-GVO informieren.
Wie gehen Sie diesbezüglich nun vor?
2. Wie dokumentieren Sie die Daten und wie informieren Sie Ihre Kundschaft über die Dokumentation?
Sie können die Kundschaftsdaten inklusive der Zeitpunkte des Betretens/Verlassens zum Beispiel schriftlich durch ein vorgefertigtes Formular erfassen. Auf dem Formular sollten sich die folgenden Angaben/Felder befinden:
- Name
- Telefonnummer oder E-Mail-Adresse (aus Gründen der Datensparsamkeit nicht beides)
- sowie das Datum und der Zeitpunkt des Betretens/Verlassens Ihres Friseurbetriebs durch Ihre Kundschaft.
Sie sollten für jede/n Ihrer Kunden:innen aus Datenschutzgründen ein eigenes Formular verwenden und beispielsweise keine Sammelliste, wo die nachfolgenden Kunden:innen die Daten ihrer Vorgänger:innen einsehen können. Sofern Sie aus Praktikabilitätsgründen mit Sammellisten arbeiten möchten, müssen Sie darauf achten, dass die Einträge Ihrer vorherigen Kunden:innen abgedeckt sind, beziehungsweise alternativ können Sie die Daten Ihrer Kundschaft erfragen und selbst eintragen.
Gleichzeitig müssen Sie Ihre Kundschaft über die Dokumentation ihrer Daten nach Art. 13 DS-GVO informieren. Dies kann zum Beispiel durch einen Aushang oder ein Schild an Ihrem Tresen geschehen, indem Sie Ihre Kundschaft über die folgenden Punkte aufklären:
- Verantwortliche:r für die Dokumentation der Daten (Name des Friseurbetriebs, Adresse)
- Kontaktdaten des/der Datenschutzbeauftragten (falls vorhanden)
- Zweck der Dokumentation (z. B. „Nachweis von Infektionsketten im Zusammenhang mit Corona“)
- Welche Daten gespeichert werden
- Mögliche Empfänger:innen der Daten (z. B. zuständige Gesundheitsämter)
- Speicherdauer (in Sachsen nicht ausdrücklich geregelt)
- Rechtsgrundlage
- Hinweis auf Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde.
3. Wie sollten Sie die Daten aufbewahren?
Sie müssen die Daten vor neugierigen Blicken anderer Kunden:innen schützen und sicher aufbewahren. Daher sollten Sie darauf achten, dass Sie zum Beispiel die Formulare nicht offen auf Ihrem Tresen und für jedermann sichtbar liegen lassen. Die Formulare selbst können Sie in einem Ordner in einem abschließbaren Schrank aufbewahren, zu welchem nur ein begrenzter Personenkreis in Ihrem Friseurbetrieb Zugang hat. Sofern Sie die Daten Ihrer Kundschaft elektronisch erfassen, ist hierbei zu beachten, dass der PC/Bildschirm nicht frei zugänglich/einsehbar ist.
4. Wie lange müssen Sie die Daten aufbewahren?
4.1 Aufbewahrungsfrist
Diese Frage ist gar nicht so direkt zu beantworten. Denn wie schon eingangs erwähnt, ist in Sachsen nicht explizit geregelt, ob die Daten Ihrer Kundschaft im Zusammenhang mit Corona nun drei, vier, sechs Wochen oder gar länger aufbewahrt werden müssen. Daher müssen wir auf die Grundregeln der DS-GVO zurückgreifen, nach denen personenbezogene Daten zu löschen sind, wenn sie für den Zweck, hier die Nachverfolgung von Infektionsketten im Zusammenhang mit Corona, nicht mehr erforderlich sind. Wann dies aber der Fall ist, ist aufgrund der ungewissen Lage wiederum nicht einheitlich zu beantworten. Daher unterscheiden sich auch die Aufbewahrungsfristen in den jeweiligen Bundesländern, sofern eine Speicherdauer geregelt wurde. Die Berufsgenossenschaft für Gesundheitsdienst und Wohlfahrtspflege (BGW) geht von sechs Wochen aus, sodass Sie diese Informationen als Richtschnur für sich nehmen könnten. Länger als sechs Wochen sollten Sie Daten daher grundsätzlich nicht aufbewahren.
Sofern wir nun beispielsweise von einer Aufbewahrungsfrist von sechs Wochen ausgehen, müssen Sie diese Frist für jede/n Ihrer Kunden:innen individuell, das heißt taggenau, bestimmen. Wenn Sie mit Sammellisten arbeiten, sollten Sie daher für jeden Tag eine neue Liste beginnen, um die Aufbewahrungsfristen taggenau einzuhalten. Das heißt, dass Sie zum Beispiel die Daten Ihrer Kundschaft, die am Montag, 18.05.2020, einen Termin bei Ihnen hatten, für sechs Wochen aufbewahren müssen. Nach Ablauf dieser sechs Wochen sind die Daten im Zusammenhang mit Corona zu löschen. Für Kunden:innen, die am Dienstag, 19.05.2020, einen Termin bei Ihnen hatten, müssen Sie die Daten auch wieder taggenau für sechs Wochen aufbewahren und nach dem Ablauf der sechs Wochen löschen.
4.2 Dokumentation der Löschung
Um den Überblick über die taggenauen Fristabläufe nicht zu verlieren, können Sie sich eine Liste anfertigen, in die Sie die folgenden Daten eintragen:
- Bezeichnung Wochentag
- Termin Ihrer Kundschaft
- Aufbewahrung sechs Wochen
- Löschung am XX.XX.XXXX (Löschung am Tag nach Ablauf der sechs Wochen)
- Art der Löschung (z. B. Schredder)
- Löschung erfolgt durch XXX (Person eintragen, die die Löschung vorgenommen hat).
Zugleich dient Ihnen die Liste zu Nachweiszwecken, denn auch die Löschung von personenbezogenen Daten sollte nach der DS-GVO dokumentiert werden.
Hier haben wir Ihnen eine solche Liste als Musterbeispiel vorbereitet, die Sie für Ihren Betrieb von Friseur:innen verwenden und anpassen können. Um es zu öffnen, müssen Sie auf den Download-Link klicken.
5. Wie löschen Sie die Daten?
Auf jeden Fall datenschutzkonform. Werfen Sie die Formulare daher bitte nicht im Ganzen oder nur zerrissen in den Müll, um eine unbefugte Einsichtnahme weiterhin zu verhindern. Sie können zum Vernichten der Formulare einen Schredder verwenden. Grundsätzlich ist auch der Einsatz von Dienstleistern zur Vernichtung von größeren Mengen an Dokumenten sinnvoll, jedoch enden die Aufbewahrungsfristen für jede/n Ihrer Kunden:innen unterschiedlich, sodass es Ihnen nicht möglich ist, die Formulare gebündelt am Ende eines Monats zu vernichten.
Sofern Sie die Daten digital erfassen, müssen Sie sicherstellen, dass die Daten unwiederbringlich gelöscht sind. Ein „Löschen“, das heißt Verschieben, in den digitalen Papierkorb reicht aufgrund der Wiederherstellbarkeit der Daten nicht aus.
6. An wen dürfen Sie die Formulare übermitteln?
Die Formulare sollten Sie grundsätzlich nur bei schriftlicher Aufforderung durch das zuständige Gesundheitsamt übermitteln. Wichtig ist, dass Sie sich von der Identität des/der Anfragenden überzeugen und nicht unbefugten Dritten die Formulare übersenden. Bitte dokumentieren Sie zu Nachweiszwecken jegliche Anfragen und Übermittlungen und übersenden Sie die Daten auf einem sicheren Übertragungsweg, zum Beispiel per Post oder per E-Mail mit Ende-zu-Ende-Verschlüsselung.
7. Dürfen Sie die Kontaktdaten Ihrer Kundschaft im Zusammenhang mit Corona zu Werbezwecken verwenden?
Nein. Die diesbezüglich dokumentierten Daten, zum Beispiel die E-Mail-Adresse, dürfen Sie nicht für Werbezwecke oder andere Zwecke weiterverarbeiten.
Die Informationen in diesem Blogbeitrag geben den Stand vom 18.05.2020 in Sachsen für Betriebe von Friseur:innen wieder und können sich in Anbetracht der aktuellen Lage, unter anderem aufgrund neu erlassener Verordnungen und Branchenstandards, jederzeit ändern. Beachten Sie daher stets die für Sie spezifischen (datenschutzrechtlichen) Vorschriften und jegliche Änderungen dieser Vorschriften.