"Mit der neuen Verordnung können weitere Betriebe und Einrichtungen öffnen, wenn sie unter anderem bestimmte personenbezogene Daten der Kunden und Gäste erfassen und speichern", sagt Professor Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI). "Dabei muss in jedem Fall der Datenschutz beachtet werden: Die Aufbewahrungsfrist für die Daten (in der Regel Name, Vorname, Anschrift, Telefonnummer) beträgt einen Monat. Danach sind die Daten grundsätzlich zu löschen, wenn nicht andere gesetzliche Aufbewahrungsfristen gelten. Das zuständige Gesundheitsamt kann, soweit dies nach den Bestimmungen des Infektionsschutzgesetzes und der 8. CoBeLVO erforderlich ist, bei den Betrieben Auskunft über die Kontaktdaten verlangen. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Das zuständige Gesundheitsamt muss die übermittelten Daten unverzüglich und irreversibel löschen, sobald die Daten für die Aufgabenerfüllung (in der Regel die Kontaktverfolgung) nicht mehr benötigt werden."
Professor Kugelmann sagt weiter: "Die Auslegung einer einsehbaren Liste etwa in Restaurants, in die Kunden sich eintragen sollen, ist in jedem Fall datenschutzrechtlich unzulässig. Grundsätzlich gilt die Regel: Pro Gast ein Blatt. Es ist klar, dass die Erhebung von Daten zur Bekämpfung der Corona-Pandemie eine Rolle spielt. Genauso wichtig ist aber auch: Die Regelungen des Datenschutzes gelten weiterhin. Die Bürgerinnen und Bürger müssen darauf vertrauen können, dass kein Datenmissbrauch erfolgt. Und wenn dies doch geschieht, wird der Missbrauch sanktioniert."
Schon unter der 6. CoBeLVo, die vor etwa zwei Wochen in Kraft getreten war, waren bestimmte Betriebe verpflichtet, Gäste und Kunden nur nach Reservierung und Anmeldung zu empfangen und bestimmte personenbezogene Daten festzuhalten. Beim LfDI sind bereits zahlreiche Anfragen von Bürgerinnen und Bürgern eingegangen, die nachgefragt haben, welche Regelungen bei der Erhebung von Kontaktdaten in Restaurants, Eisdielen oder auch Friseurgeschäften gelten. In den vergangenen Tagen ist mehrfach angezeigt worden, dass Listen so ausgelegt worden seien, dass sie für andere Kunden einsehbar gewesen seien. Die Verantwortlichen für solche Daten-Pannen haben von dem LfDI einen Hinweis erhalten, wie sie datenschutzgerecht vorzugehen haben.
Darüber hinaus haben die Restaurant-Verantwortlichen und die anderen Dienstleister die Gäste und Kunden insbesondere über die Datenverarbeitung, die Speicherdauer und ihre Rechte zu informieren (Art. 13 DS-GVO). Dies kann etwa über gut sichtbare Aushänge erfolgen. Der LfDI ruft die Berufsverbände und die Innungen auf zu überprüfen, ob ihre Mustervorlagen für die Kundeninformation den Anforderungen des Art. 13 DS-GVO genügen.
Die Rechtsgrundlage für die Datenerhebung kann sich direkt aus der 8. CoBeLVO ergeben. In bestimmten Fällen kann auch ein Vertrag nach Art. 6 Abs. 1 S. 1 lit. b DS-GVO Rechtsgrundlage sein, wenn z.B. ein Dienstleister aufgrund einer beruflichen Haftungssituation zum Schutz der Gesundheit seiner Mitarbeiter sowie der anderen Kunden seine Dienstleistung nur dann anbieten kann, wenn der Kunde seine Kontaktdaten hinterlässt. Aus den Hygienekonzepten, die in § 1 Abs. 8 8. CoBeLVo aufgelistet und die auf der Internetseite der Landesregierung veröffentlicht sind, können sich weitere Regelungen zur Ausgestaltung der zulässigen Datenverarbeitung ergeben.
Der LfDI hat Informationen zur Datenerhebung durch Dienstleister im Bereich der Körperpflege, durch Gaststättenbetreiber und ähnliche Betriebe sowie zu zahlreichen anderen datenschutzrechtlichen Fragen im Zusammenhang mit der Corona-Bekämpfung veröffentlicht.