Umsetzung der DS-GVO in NRW

Besonderheiten beim Umgang mit personenbezogenen Daten auch außerhalb der Corona-Zeit

Die Einhaltung des Datenschutzes betrifft alle Bereiche des Lebens – daher auch die Freizeit- und Tourismusbranche in Nordrhein-Westfalen. Egal ob kleiner Tierpark, der Zoo als mittelständisches Unternehmen oder großer Freizeitpark – die Umsetzung der DS-GVO und die damit einhergehenden gesetzlichen Vorgaben gelten für alle, die personenbezogene Daten verarbeiten.

Im Datenschutzblog von Datenschutzberater.NRW erfahren Sie daher heute mehr über die Vorgaben für Köln, Bonn, Düsseldorf und ganz NRW.

Datenschutz in NRW: Erfassung personenbezogener Daten nicht erst seit Corona-Schutzverordnung

Viele Freizeiteinrichtungen wie Tierparks, Zoos, Freizeitparks, Streichelzoos, Indoorspielplätze und Kletterhallen, haben nun trotz Corona mit Auflagen wieder geöffnet. Eine Auflage davon ist die sogenannte Corona-Schutzverordnung.

Die Corona-Schutzverordnung schreibt vor, dass unter bestimmten Vorgaben, die Daten von Besuchern zur Nachverfolgung von Infektionsketten erfasst werden müssen. Welche Daten Sie erfassen dürfen und wie Sie mit den personenbezogenen Daten nach den Vorgaben in NRW umgehen müssen, lesen Sie hier.

Bei dieser Registrierungspflicht werden natürlich personenbezogene Daten erfasst und verarbeitet. Aber nicht nur seit der Einführung dieser Pflicht in NRW werden personenbezogene Daten in Freizeiteinrichtungen erfasst.

Personenbezogene Daten in NRWs Tierparks, Zoos und Freizeitparks

Wenn man an die Verarbeitung der personenbezogenen Daten von Betroffenen denkt, hat so mancher Betreiber einer Freizeiteinrichtung erst einmal die Daten von Besuchern im Blick. Grundsätzlich sollte man dabei auf jeden Fall alle Daten, die bei einer Anmeldung erfasst werden im Blick behalten. Dies liegt – außerhalb der Corona-Regeln – in erster Linie bei der online-Buchung, Newsletter-Anmeldung, Marketingaktionen oder Gewinnspielen usw. vor. Aber auch bei Gruppenanmeldungen (z.B. Schulen, Kindergärten, Vereine) werden oft vorab Anmeldungen durchgeführt.

Man sollte bei dem Datenschutz aber auch andere Betroffenendaten berücksichtigen. Zu weiteren Personengruppen gehören:

  • Mitarbeiter
  • Bewerber
  • Lieferanten/Kreditoren
  • Kunden/Debitoren
  • Interessenten
  • Besucher der Homepage

Zu den personenbezogenen Daten gehören alle Daten, die es theoretisch möglich machen, eine natürliche Person zu identifizieren. Dazu gehören auch IP-Adressen, Bankverbindungen und Telefonnummern. Zuständig für die Überprüfung der Einhaltung des Datenschutzes ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Ein Datenschutzmanagementsystem ist das Ziel

Um die Vorgaben der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) umzusetzen sollte es ein sogenanntes Datenschutzmanagementsystem (DSMS) geben, in dem die verschiedenen Komponenten des Datenschutzes umgesetzt werden können. Im DSMS stellt man zentral sicher, dass alle Vorgaben eingehalten und dokumentiert werden. Es dient auch als Nachweis für die Einhaltung der gesetzlichen Vorgaben gegenüber den Aufsichtsbehörden in NRW.

Das DSMS und seine Elemente sollten stetig weiterentwickelt und regelmäßig überprüft werden.

Welche ersten Schritte ein DSMS für Zoos, Tier-, Freizeitparks aber auch andere Freizeiteinrichtungen in NRW umfassen sollte, werden wir Ihnen im Folgenden kurz beschreiben.

Betroffenenrechte und Verzeichnis der Verarbeitungstätigkeiten

Eine Grundlage des Datenschutzes stellen die sogenannten Betroffenenrechte dar. Dazu gehören die Informationspflicht bei der Datenerhebung, Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Auskunft (bei Auskunftsersuchen des Betroffenen) usw.

Alle Verarbeitungen von personenbezogenen Daten müssen dokumentiert werden. Dies erfolgt in dem sogenannten Verzeichnis für Verarbeitungstätigkeiten (VVT). Das VVT für die einzelnen Vorgänge muss dabei mindestens u.a. folgende Angaben enthalten:

  • Namen und Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung
  • Beschreibung der Kategorie der betroffenen Personen
  • Beschreibung der Kategorie personenbezogener Daten

Außerdem werden in diesem Verzeichnis u.a. auch die Weitergaben der Daten an Dritte, Übermittlung an ein Drittland und die vorgesehenen Löschfristen dokumentiert.

Technische und organisatorische Maßnahmen – Datenschutz in NRW

Die technischen und organisatorischen Maßnahmen (TOMs) werden festgelegt, um sicher zu stellen, dass die personenbezogenen Daten des Betroffenen ausreichend vor dem Zugriff Unbefugter geschützt sind. Dazu gehören sowohl die ausreichende IT-Sicherheit bei der Datenverarbeitung, sichere Kennwörter, aber auch die sichere Aufbewahrung von Daten im Gebäude, Büro usw.

Auch die TOMs müssen dokumentiert werden, wenn möglich bereits bei der Erfassung des VVT und in einem zentralen Dokument.

Der Datenschutz in NRW und die Mitarbeiter

Um den Datenschutz umzusetzen und einzuhalten, braucht es geschulte Mitarbeiter. Daher sollten alle Mitarbeiter, die personenbezogene Daten verarbeiten (dazu zählt auch die Datenvernichtung und Entsorgung) eine entsprechende Unterweisung im Thema Datenschutz erhalten.

Achten Sie darauf, dass die Mitarbeiter auch Zugriff auf die entsprechenden Dokumentationen des Unternehmens (VVT, TOMs, DSMS usw.) Zugriff erhalten, um die Vorgaben des Unternehmens einhalten zu können.

ADV-Verträge und Datenschutzfolgenabschätzung

Im Bereich von Freizeiteinrichtungen werden gerne auch Daten durch einen Auftragsdatenverarbeiter verarbeitet. Hierbei muss durch einen sogenannten ADV-Vertrag die Einhaltung des Datenschutzes auch bei der Auftragsdatenverarbeitung sichergestellt werden. Auftragsdatenverarbeitungen finden sich zum Beispiel bei der Nutzung von Buchungsplattformen für Eintrittskarten wieder, bei der Verwendung von Cookies auf der Homepage aber auch bei der externen Datenvernichtung. Prüfen Sie die Vorgänge in Ihrem Freizeitpark, Tierpark, Zoo oder der Indoorhalle regelmäßig auf diese Verarbeitung.

Vor allem bei der Verarbeitung von Mitarbeiterdaten sollte auch eine Datenschutzfolgenabschätzung im Zusammenhang einer Schwellwertanalyse durchgeführt werden. Diese werden dann notwendig, wenn die personenbezogenen Daten zu der sogenannten besonderen Art gehören, die als besonders schützenswert gelten (u.a. Gesundheitsdaten – z.B. Krankmeldungen). Hierbei sollte ein jedes Unternehmen gesondert das Risiko bewerten, dem die Daten des Betroffenen durch einen möglichen Zugriff eines Dritten unterliegen. Im Nachgang müssen die Sicherheitsvorkehrungen für den Datenschutz entsprechend angepasst werden.

Besonderheit: Videoüberwachung

Im Umgang mit ständig wechselnden Gästen und unter anderem zu deren Sicherheit, werden immer mehr Bereiche in Zoos, Freizeitparks und anderen Freizeiteinrichtungen videoüberwacht. Auch bei Bildern, die verarbeitet werden, handelt es sich um personenbezogene Daten, deren Verarbeitung den Vorgaben der DS-GVO unterliegen.

Bei der Videoüberwachung gilt es im Datenschutz unterschiedliche Dinge zu beachten. Mehr dazu finden Sie in unserem Blog zu diesem Thema.

Partner für Datenschutz in NRW – der externe Datenschutzbeauftragte

Unter bestimmten Voraussetzungen müssen Freizeiteinrichtungen in NRW einen (externen) Datenschutzbeauftragten berufen. Dieser sollte bei der Umsetzung des Datenschutzes unterstützend tätig sein und auf Missstände im Datenschutz hinweisen.

Ein (externer) Datenschutzbeauftragter sollte aber auch in jegliche Verarbeitung von personenbezogenen Daten eingebunden sein und diese Prozesse begleiten. Dabei kann er zum Beispiel unterstützend bei der Erstellung von Vorlagen zur Einhaltung des Datenschutzes helfen.

Aber auch wer keinen (externen) Datenschutzbeauftragten berufen muss, sollte sich den fachlichen Rat zum Beispiel eines Datenschutzberaters holen. Vor allem im Bereich von Tourismus und Freizeitbranche wird die Registrierung der Betroffenen und dem damit zusammenhängenden Datenschutz immer wichtiger. Datenschutzberater.NRW ist der Partner für die Umsetzung der DS-GVO im Bereich Köln, Bonn, Düsseldorf und ganz NRW.

Mit unserem Team aus IT, Datenschutz und Steuerrecht erstellen wir Ihnen gerne ein individuelles und praxisnahes Konzept beispielsweise für folgende Angebote:

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO in NRW? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.

NRW: Übersicht für den Datenschutz in Tierpark, Zoo und Freizeitpark