Von vielen heiß ersehnt dürfen ab Montag (04.05.2020) Friseurbetriebe wieder ihre Dienste anbieten – zumindest einen Teil davon und unter den gebotenen Sicherheitsmaßregeln. Dazu gehören auch einige Auflagen, die den Datenschutz berühren.
Was ist erlaubt, was nicht?
Die Öffnung darf nur erfolgen „unter Auflagen zur Hygiene, zur Steuerung des Zutritts und zur Vermeidung von Warteschlangen sowie unter Nutzung von persönlicher Schutzausrüstung“, heißt es im Beschluss der Regierungen der Länder. In der Praxis bedeutet dies umfangreiche Maßnahmen. Die Berufsgenossenschaft für Gesundheitsdienst und Wohlfahrtspflege (BGW) hat eine sechsseitige Informationsschrift dazu herausgegeben; darin heißt es unter anderem:
- Der Zutritt der Kunden und Kundinnen oder anderer dritter Personen sollte möglichst nur nach vorheriger telefonischer/digitaler Terminvereinbarung und Abfragen von möglichen COVID-19-Symptomen und Kontakt zu Erkrankten stattfinden. Wer ausnahmsweise unangemeldet den Salon betreten möchte, muss ebenfalls nach COVID-19-Symptomen und Kontakt zu Erkrankten befragt werden.
- Kundenkontaktdaten sowie Zeitpunkt des Betretens/Verlassens des Salons sind mit deren Einverständnis zu dokumentieren, damit eine etwaige Infektionskette nachvollzogen werden kann. Kunden können nur bedient werden, wenn sie mit der Dokumentation einverstanden sind.
Hausbesuche (auch in Pflegeeinrichtungen – natürlich nur, falls keine generelle Besuchssperre besteht) sind übrigens möglich, wenn dort die gleichen Hygiene- und Schutzmaßnahmen eingehalten werden.
Was bedeutet das für den Datenschutz?
Bei den letzten beiden Punkten wird der Datenschützer hellhörig: Es werden Kundenkontaktdaten, Aufenthaltszeit und -dauer, Kontakt zu COVID-19-Erkrankten und insbesondere das Vorhandensein von entsprechenden Symptomen erfasst – also Daten, die unter Artikel 9 der DSGVO fallen und somit einen besonderen Schutz genießen. Das hat einige Konsequenzen für die kleinen Handwerksbetriebe:
- Das deutlich erhöhte Schutzniveau der verarbeiteten Daten muss in der IT abgebildet werden, falls die Daten elektronisch verarbeitet werden.
- Streng genommen setzt die Verarbeitung von Gesundheitsdaten die Bestellung eines Datenschutzbeauftragten voraus, auch wenn der Betrieb sonst eigentlich keinen haben müsste.
- Die Verarbeitung muss ins Verfahrensverzeichnis aufgenommen werden. Auch Friseursalons verarbeiten regelmäßig personenbezogene Daten und müssen also ein solches führen.
Die Verarbeitung erfolgt auf Grundlage von Art. 9, Abs. 2, lit. i) DSGVO (die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit […] erforderlich), für den Betrieb bedeutet das:
- Die Kunden müssen vor der Datenerfassung über
- Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
- Verarbeitungszwecke
- Rechtsgrundlage für die Verarbeitung
- Empfänger bzw. Kategorien von Empfängern
- Verarbeitung außerhalb der EU/des EWR (z.B. Cloudspeicher)
- Speicherdauer
- Betroffenenrechte
präzise, transparent und verständlich informiert werden; im Fall einer telefonischen Anmeldung ist es wahrscheinlich ausreichend, dies mündlich zu tun, sonst z.B. durch Aushang.
- Verweigert der Kunde die Auskunft, darf die Dienstleistung nicht erbracht werden!
- Die Mitarbeitenden für den Datenschutz sensibilisieren.
- Die eigene IT-Infrastruktur auf das gebotene Sicherheitsniveau hin überprüfen.
- die schriftliche Besuchsdokumentation nicht offen herumliegen lassen.
- Unbefugten Zugang zu Computern in den Geschäftsräumen verhindern.
- Die Zweckbindung der Daten beachten.
- Und zu guter Letzt: die Daten unverzüglich löschen, sobald der Zweck der Verarbeitung entfällt (drei Wochen nach dem letzten Kontakt).
Fazit
Zu den umfangreichen Maßnahmen, die getroffen werden müssen, um den Geschäftsbetrieb ohne Gefährdung der Gesundheit von Kunden und Mitarbeitenden wieder aufnehmen zu können, gesellen sich auch noch einige datenschutzrechtliche Hürden. Das ist durchaus eine Herausforderung, die aber gemeistert werden kann – vielleicht eine gute Gelegenheit, das Thema Datenschutz im Unternehmen einmal grundsätzlich anzugehen. Wir helfen Ihnen gerne dabei!