Besucherlisten zur Nachverfolgbarkeit von Infektionsketten
Dürfen Unternehmen Besucherlisten führen, um die Nachverfolgbarkeit von Infektionsketten zu ermöglichen oder Besucher nachträglich über Infektionen zu benachrichtigen?
Zur Nachverfolgung von Infektionsketten in Unternehmen und für die Benachrichtigung von Besuchern oder sonstigen Betriebsfremden über nach dem Besuch bekannt gewordene Infektionen (z.B. von internen Kontaktpersonen) bietet sich die Einführung einer Besucherliste an. In der praktischen Umsetzung gibt es unterschiedliche Ansätze wie Papierlisten, Tablets, Terminals, etc. Praktisch und ohne großen Aufwand umsetzbar sind Papierlisten (auch für diese gilt die DSGVO!).
Die Datenverarbeitung im Zusammenhang mit Besucherlisten lässt sich regelmäßig mit dem Hausrecht i. V. m. überwiegenden berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) rechtfertigen, sofern auch die sonstigen datenschutzrechtlichen Anforderungen eingehalten werden, nämlich u.a.:
- Information. Besucher/Betriebsfremde müssen sämtliche Informationen auf die Datenverarbeitung i.S.v. Art. 13 DSGVO erhalten (u.a. Informationen über den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die von dem Verantwortlichen verfolgten berechtigten Interessen, die Dauer der Verarbeitung und über die Betroffenenrechte aus Art. 15 ff DSGVO). Hier genügt ein Hinweis auf ein gut sichtbar ausgehängtes Informationsschreiben. Gegebenenfalls bietet es sich auch an, die Informationen jedem Besucher auszuhändigen.
- Zweckbindung. Die Angaben aus der Besucherliste dürfen zu keinen anderen Zwecken als zur Nachverfolgung von möglichen Infektionen verarbeitet werden. Es dürfen nur die zur Identifikation der Person erforderlichen Informationen (z.B. Name und Adresse, oder Telefonnummer, oder E-Mail-Adresse und Datum des Besuchs) erfragt, gespeichert und ggf. weiterverwendet werden.
- Speicherdauer und Löschung. Eine Speicherung von höchstens einem Monat sollte ausreichen, um im Falle von Infektionen mögliche Kontaktpersonen nachzuverfolgen. Nach Ablauf der Monatsfrist sind die Listen datenschutzgerecht zu entsorgen/löschen (bitte beachten Sie, dass Papierlisten nicht einfach mit dem „Hausmüll“ entsorgt werden können, sondern grundsätzlich zu schreddern sind, bzw. von zertifizierten Unternehmen zu entsorgen sind).
- Zugriffsbeschränkung und -sicherung. Die Besucherlisten sollten so aufbewahrt/gespeichert werden, dass nur befugte Personen Zugriff haben. Der Kreis der Befugten sollte so eng wie möglich (so groß wie nötig) sein. Die Besucherlisten sollten separat gespeichert werden.
Darüber hinaus ist darauf zu achten, dass die Besucherlisten nicht offen ausliegen, und die Gäste keinen unbefugten Zugriff auf die Daten anderer Gäste haben (ein Blatt je Gast).