Umsetzung der DS-GVO in NRW

Registrierungspflicht – Was dürfen Betreiber?

Seitdem nun immer mehr Lockerungen in der Corona-Pandemie in Kraft treten, dürfen nach und nach immer mehr Unternehmen wieder Ihre Tore öffnen. In NRW können seit kurzem auch wieder Restaurants Gäste empfangen. Um die Ausbreitung der Pandemie weiterhin im Griff zu haben und weiteren Verbreitungen vorzubeugen, sind die Restaurantbetreiber dazu verpflichtet, die Daten jedes Gastes aufzunehmen.

Doch was darf mit den Daten passieren? Wie dürfen die Daten weiterverarbeitet und gespeichert werden? Datenschutzberater.NRW erklärt Ihnen, worauf sie bei der Einhaltung der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) achten müssen.

+++++

Beachten Sie hierzu auch das Update weiter unten.

+++++

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der Registrierungspflicht unter Einhaltung der DS-GVO oder sind Sie sich unsicher, wie Sie die aktuellen Bestimmungen umsetzen können? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.

Welche Daten dürfen bei der Registrierungspflicht erfasst werden?

Wer sich genauer mit den Angaben für NRW beschäftigt, dem wird deutlich, dass es durchaus nicht einfach ist, die korrekten gesetzlichen Regelungen zu beachten. Gerade in Betrieben, die noch nicht sehr viel Kontakt mit der Verarbeitung von personenbezogenen Daten haben, führt das sicherlich zu Unsicherheiten. Hier treffen Infektionsschutz und Datenschutz aufeinander und es bedarf einer fallbezogenen Abstimmung. Ziehen Sie in jedem Fall Ihren (externen) Datenschutzbeauftragten oder einen Datenschutzberater hinzu, um den Datenschutz bei der Verarbeitung der notwendigen personenbezogenen Daten zu gewährleisten.

Zur Registrierungspflicht „zwecks Nachverfolgung von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2“ hat die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) einen Hinweis herausgegeben.

Dabei unterscheidet Sie in verschiedene Wirtschaftsbranchen und gibt folgende Begründung:

„Sofern die Erfassung nach einer gesetzlichen Vorgabe oder aufgrund einer behördlichen Anordnung erforderlich ist, ist sie zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c, Abs. 3 Datenschutz-Grundverordnung zulässig.“

(Die gesamten „Hinweise zur Erfassung von Kundenkontaktdaten zwecks Nachverfolgung von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2“ der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen finden Sie hier.)

Die aktuelle Situation und die damit verbundene Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus gibt daher für bestimmte Bereiche vor, dass entsprechende Listen geführt werden müssen, um den Betrieb von beispielsweise Gaststätten, Eisdielen, Restaurants, Imbissen usw. öffentlich zu gewährleisten. Ziel dabei ist es, die Infektionsketten des Virus möglichst gering zu halten. Daher werden die Daten aller Personen erfasst, welche den Betrieb als Gäste besuchen. Zu diesem Zweck werden Listen ausgelegt, die Kontaktdaten, Datum und Uhrzeit des Besuches dokumentieren, sowie in den meisten Fällen die Tischnummer, an der der betroffene Gast gesessen hat. Wenn nun bei einem Besucher des Gastronomiebetriebes eine Corona-Infektion nachgewiesen wird, oder das Risiko einer Ansteckung besteht, kann nachvollzogen werden, welche anderen Gäste ggf. gefährdet sein könnten.

Welche Daten genau erfasst werden müssen oder dürfen, wird im Fall vom Bundesland NRW leider nicht näher konkretisiert. In den Angaben ist die Rede von „Kontaktdaten“ und einer namentlichen Registrierung. Es ist also empfehlenswert, die Erfassung der Daten auf ein Minimum zu reduzieren.

Bei dem Führen der Listen beruft sich die LDI NRW auf die Datenminimierung und darauf, dass die gesetzlichen Vorgaben eingehalten werden müssen. Es dürfen in keinem Fall Gesundheitsdaten erfasst werden.

+++++++++++++++

Update

In einer neuen Fassung der Angaben der LDI wurde nun folgende ergänzt und festgelegt:

„Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die CoronaSchVO NRW in § 2a Abs. 1 (sogenannte einfache Rückverfolgbarkeit) eine papiergebundene Erfassung der Kontaktdaten Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise vor. Zusätzlich hierzu können die Verantwortlichen auch eine digitale Datenerfassung anbieten (§ 2a Abs. 3 CoronaSchVO NRW). Personen, die in eine digitale Datenerfassung nicht einwilligen, ist in jedem Fall eine nur papiergebundene Datenerfassung anzubieten.“

Außerdem wurde am 1.10.2020 eine Ergänzung zur Feststellung der Richtigkeit von Angaben erstellt:

„Zu dem zum 01.10.2020 eingeführten Bußgeldtatbestand bei unrichtiger Angabe der Kontaktdaten (§ 18 Abs. 2 Nr. 2b in Verbindung mit §§ 2a Abs. 1, 13 Abs. 5 Satz 4 CoronaSchVO NRW) ist aus datenschutzrechtlicher Sicht anzumerken:

Die Pflicht zur Überprüfung der Richtigkeit der Kontaktdaten wird nicht ausdrücklich den einzelnen Verantwortlichen (z. B. Restaurantbetriebe) auferlegt. Vielmehr obliegt es den örtlichen Ordnungsbehörden, Gesundheitsämtern und der Polizei, die Kontaktdaten durch Vorlage des Personalausweises in Stichproben zu überprüfen. Die einzelnen Verantwortlichen sind daher nicht berechtigt, sich den Personalausweis vorlegen zu lassen. Dies dürfen nur die für die Umsetzung des Infektionsschutzgesetzes zuständigen Behörden.

Im Interesse eines effektiven Infektionsschutzes sollte der Verantwortliche jedoch die Listen zwischendurch auf offensichtliche Falscheintragungen – wie z. B. Phantasienamen, Namen von Comicfiguren – sichten und die Kunden gezielt auf eine Korrektur ansprechen.“

Zitat LDI NRW: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Corona-und-Datenschutz/Gastronomie-Hinweise.html

+++++++++++++++

Vertraulichkeit und Integrität

Damit die personenbezogenen Daten, die erfasst werden, nicht für Dritte einsehbar sind, gibt die LDI NRW vor, dass die ausgelegten Listen immer nur tischweise ausgelegt werden und bei jedem Besucherwechsel entsprechend zu entfernen sind. Danach sollten sie aus datenschutzrechtlichen Gründen sicher und unzugänglich aufbewahrt werden. Es ist daher nicht möglich, die Listen fortlaufend zu führen oder nur intervallmäßig auszutauschen. Außerdem sollen Blankolisten geführt werden, die von jedem Gast auszufüllen sind. Somit sollen Vertraulichkeit und Integrität sichergestellt werden. Somit ist die Weitergabe an andere Gäste in der Theorie nicht möglich.

Die Daten dürfen nur an das Gesundheitsamt oder die Polizei weitergegeben werden. Dies erfolgt lediglich durch eine schriftliche Anfrage durch das Gesundheitsamt oder eine andere öffentliche Stelle. Wie in der DS-GVO üblich, müssen solche Anfragen und auch jegliche Art von Herausgabe der Daten vom Verantwortlichen dokumentiert werden.

Zweckbindung und Informationspflichten

Neben den Vorgaben zur Verhütung von Corona-Infektionen, die jeder Betreiber einer Gastronomie einhalten muss, sollte die Datenerhebung auch datenschutzrechtlich abgesichert sein. Die Listen zur Nachverfolgung von Personenkontakten muss daher nach den Vorgaben der DS-GVO geführt und aufbewahrt werden.

Die Kontaktdaten dürfen vom Restaurantbetreiber ausschließlich nur für die Kontaktnachverfolgung verwendet werden. Eine Verwendung der Daten für Werbezwecke oder ähnliches ist nicht erlaubt. Die Zweckbindung besagt nach DS-GVO, dass die Erfassung der Daten ausschließlich an einen Zweck gebunden ist. Wer jetzt auf die Idee kommt eine weitere Verwendung der Daten durch die Zustimmung auf dem Dokument möglich zu machen, der verstößt gegen die Datenschutzgrundverordnung.

Weiterhin muss die Kundschaft bei Erhebung der Daten über die Datenverarbeitung transparent und verständlich nach Art. 13, 14 DS-GVO informiert werden. Hierzu zählt eine notwendige Erläuterung zum Verwendungszweck der Datenverarbeitung.“ – so die LDI NRW weiter in ihren Ausführungen (Informationspflichten).

VVT TOMS Löschung

Neben der Pflicht, die Anfrage und Ausgabe der Daten zu dokumentieren, entstehen bei der Verarbeitung der Daten auch alle weiteren Pflichten, die Datenschutzgrundverordnung und Bundesdatenschutzgesetz mit sich bringen. Daher müssen für diese besondere Art der Datenerfassung auch die entsprechenden Schritte der Dokumentation eingehalten werden. Dazu gehört das Eintragen der Datenerhebung in das Verzeichnis der Verarbeitungstätigkeiten (VVT) und die entsprechenden technisch-organisatorischen Maßnahmen (TOMs). Eine Übermittlung der Daten sollte laut LDI NRW daher auch über einen sicheren Übertragungsweg erfolgen. Der sichere Übertragungsweg definiert sich zum Beispiel über die Technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Daraus kann man folgende Tipps ableiten:

  • Nutzen Sie mindestens eine Transport-Verschlüsselung von europäischen Providern entsprechend der technischen Richtlinie der LDI NRW
  • Verwenden Sie im Betreff keine personenbezogenen Daten
  • Informieren Sie sich über die Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation der Datenschutzkonferenz und den späteren Anpassungen

Wie lange dürfen die Daten bei der Registrierungspflicht gespeichert werden? Nach Anpassung der Richtlinien müssen die Daten vier Wochen aufbewahrt werden. Danach müssen Sie vom Verantwortlichen nach den Vorgaben der DSGVO vernichtet werden. Wie Sie personenbezogene Daten DSGVO-konform vernichten, lesen Sie in unserem Blog.

Grundsätzlich gelten für die Erfassung von personenbezogenen Daten auch in dieser besonderen Situation die gleichen Betroffenenrechte und Pflichten für den Verantwortlichen, wie bei jeder anderen Verarbeitung von Daten auch (Informationspflicht bei Datenerhebung, Auskunftsrecht, Recht auf Vergessenwerden usw.).

Auch bei Handwerks- und Dienstleistungsgewerbe gilt: Listenpflicht

Was für die Gastronomie gilt, muss auch im Handwerks- und Dienstleistungsgewerbe eingehalten werden. Gewerbe, die unter den Vorgaben der CoronaSchVO NRW wieder den Betrieb aufnehmen können, müssen, genauso wie oben beschrieben, Listen für die Nachvollziehbarkeit von Kontakten führen. Auch hier gelten bei der Verarbeitung der Daten selbstverständlich die Vorgaben der Datenschutzgrundverordnung.

Vorab-Reservierungen Fluch und Segen

Wenn ein Kunde sich vorab beim Dienstleister – egal welcher Branche – registriert, kann das für die Erfassung der Daten sehr hilfreich sein. Die Abwicklung der Registrierung wird so erleichtert. Aber auch bei der Voraberfassung der Daten gelten die Grundlagen des Datenschutzes. Achten Sie also beispielsweise auch bei einer möglichen Online-Registrierung auf sichere Zugänge über die entsprechenden Server, werden die Daten verschlüsselt übertragen? Wie werden die Daten aufbewahrt? Und so weiter. Aber auch bei telefonischen Reservierungen und einer damit verbundenen Registrierung, sollten Sie die entsprechenden gesetzlichen Vorgaben einhalten.

Registrierungspflicht und Datenschutz

Da die Registrierungspflicht nach den Vorgaben der Coronaschutzverordnung und in Kombination mit dem Datenschutz ein sehr komplexes Thema ist, macht es Sinn hier den (externen) Datenschutzberater des Unternehmens hinzuzuziehen.

Wir von Datenschutzberater.NRW stellen den externen Datenschutzberater (TÜV) und bieten verschiedene projektbezogene Pakete für den Datenschutz an:

Wir betreuen bereits erfolgreich Mandanten in Köln, Bonn, Düsseldorf und ganz NRW. Kontaktieren Sie uns doch einfach, wir erstellen Ihnen ein individuelles und umsetzbares Programm für Ihr Unternehmen.

Datenschutz und Corona – Kundenkontaktdaten in Restaurants