Lesezeit: 3 MinDatenschutz – Personenbezogene Daten sind zweckgebunden
Wie wir bereits berichteten, setzt die Coronaschutzverordnung in NRW voraus, dass Dienstleister aus verschiedenen Branchen die Kontaktdaten Ihrer Besucher erfassen und speichern müssen. Grund dafür ist, dass Infektionsketten nachvollzogen werden sollen.
In die Kritik geraten waren die Listen, weil Sie scheinbar auch über den Zweck der Nachverfolgbarkeit hinaus für die Strafverfolgung genutzt wurden. In einem Update informierte die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) jetzt, dass das nicht weiter erlaubt ist.
In unserem Datenschutz-Blog für Köln, Bonn, Düsseldorf, Siegerland, Rhein-Sieg-Kreis und ganz NRW erklären wir von Datenschutzberater.NRW jetzt, was das für die Registrierungspflicht bedeutet und worauf Sie bei der Zweckbindung im Datenschutz achten müssen.
Zugriff von Strafverfolgungsbehörden nun gesetzlich ausgeschlossen
Wie die LDI NRW in einem Beitrag auf Ihrer Homepage nun erklärt, war die Strafverfolgung mit Hilfe von personenbezogenen Daten aus den Kontaktlisten der Corona-Verordnung, laut Strafprozessordnung bisher unter bestimmten Voraussetzungen zulässig.
„Der Umstand, dass die Corona-Kontaktlisten schon kurz nach ihrer Einführung zur Strafverfolgung genutzt wurden, hat jedoch einmal mehr gezeigt, dass dort, wo Daten erhoben werden, auch immer neue Begehrlichkeiten geweckt werden, diese Daten zu anderen Zwecken zu nutzen. Unter anderem die LDI NRW hat in Fällen, in denen Daten zu einem besonderen Zweck erhoben werden, häufig gefordert, dass die Zweckbindung der Nutzung dieser Daten immer auch gesetzlich festgeschrieben werden sollte.“
(Zitat: LDI NRW)
Nach Kritik an der Tatsache, dass die personenbezogenen Daten bei der Registrierungspflicht, meist ohne Wissen der Betroffenen, möglicherweise auch für die grundsätzlich zweckfremde Strafverfolgung genutzt werden konnten, hat der Bundesgesetzgeber nun doch eingelenkt.
In der Mitteilung der LDI NRW heißt es demnach, dass es vielfach nicht bekannt war, dass eine Zweckänderung zur Nutzung der Daten möglich sei. Das könne zu Problemen in der Akzeptanz bei der Bevölkerung führen, die Daten zur Nachverfolgung von Infektionsketten bereit zu stellen.
Nach den aktuellen Angaben ist also der Zugriff auf diese Daten zur Strafverfolgung gesetzlich nun ausgeschlossen.
Zweckbindung im Datenschutz – worauf müssen Unternehmen achten
Zwar wäre die Nutzung der personenbezogenen Daten aus der Registrierungspflicht grundsätzlich unter bestimmten Bedingungen zur Strafverfolgung erlaubt gewesen – in der Regel besteht aber eine Zweckbindung im Datenschutz.
Diese soll sicherstellen, dass erhobene personenbezogene Daten nur für den Zweck genutzt werden, für den die gesetzliche Notwendigkeit oder die Einwilligung des Betroffenen vorliegt. Diese kann nur durch eine gesetzliche Vorgabe oder die erneute Einwilligung zur Nutzung durch den Betroffenen aufgehoben werden.
Im Beispiel der Registrierungspflicht zur Nachverfolgung von Infektionsketten hätte z.B. zur Strafverfolgung unter bestimmten Vorgaben eine Nutzung der personenbezogenen Daten erfolgen können. Die Daten hätten aber nicht für ein Gewinnspiel nutzbar gemacht werden dürfen o.ä. Auch hätte die Abgabe der Daten nicht gleichzeitig mit einem solchen verknüpft werden dürfen.
Überschaubare Abgrenzungen
Im Alltag kann es vorkommen, dass Daten beispielsweise auf Grundlage von gesetzlichen Vorgaben oder durch eine erneute Einwilligung für verschiedene Zwecke genutzt und eine Verknüpfung dieser Zwecke und der Erfassung vorliegt. Dies muss für den Betroffenen aber vollumfänglich überschaubar sein.
Dabei sollte, wie im Fall der Registrierungspflicht geschehen, jede Erfassung und jeder Zweck im Einzelnen von einem Fachmann geprüft werden. Im o.g. Beispiel wurde dann beschlossen, dass die Daten nun nicht mehr für den Zweck der Strafverfolgung genutzt werden dürfen.
Hilfe durch den externen Datenschutzbeauftragten
Bei den komplexen Vorgaben im Datenschutz und bei der Einhaltung der Datenschutzgrundverordnung (DS-GVO) macht es Sinn, sich von einem Fachmann unterstützen zu lassen. Wir von Datenschutzberater.NRW können Ihnen mit folgenden Angeboten dabei helfen, den Datenschutz umzusetzen:
- Wir stellen einen externen Datenschutzbeauftragten für NRW
- Projektbezogener Datenschutz
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- Mitarbeiterschulungen
- Website-Scan für eine datenschutzkonforme Homepage
- GoBD-Beratung
Wir betreuen Mandanten im Großraum Köln, Bonn, Düsseldorf, Siegen, Siegburg und ganz NRW als externer Datenschutzbeauftragter. Nehmen Sie Kontakt zu uns auf und wir erstellen Ihnen ein praxisnahes und umsetzbares Angebot für Ihren Datenschutz.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO im Bereich der Registrierungspflicht der Coronaschutzverordnung einhalten, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.