Umsetzung der DS-GVO in NRW

Ein erster Statusbericht in der Corona-Zeit

Seit der Einführung der Registrierungspflicht von Gästen in Restaurants sind nun einige Wochen vergangen. Nachdem in NRW weitreichende Lockerungen der Corona-Maßnahmen in Kraft getreten waren, mussten die Menschen teilweise personenbezogene Daten angeben, um das öffentliche Leben zumindest annähernd wieder aufzunehmen.

Weil immer wieder Unsicherheiten und Datenschutzverstöße aufgekommen sind, möchten wir von Datenschutzberater.NRW den heutigen Blog zu einem kleinen Status-Update zum Thema Registrierungspflicht und Datenschutz in den Gastronomiebetrieben in NRW nutzen. Was ist seit deren Einführung im Rahmen der Corona-Lockerungen passiert und wie gehen die Betriebe damit um?

Datenschutz in NRW: Registrierungspflicht und die DS-GVO

Die Corona-Schutzverordnung für das Land NRW lässt vielen Betrieben im Freizeitsektor kaum eine Wahl, ob sie die Daten Ihrer Besucher registrieren oder nicht. Verstöße gegen die Registrierungspflicht können vor allem die Gastrobetriebe und Dienstleister wie Frisöre oder Kosmetikstudios in NRW weitreichende Folgen haben. Daher sind alle, die von dieser Pflicht betroffen sind, auch sehr bemüht diese umzusetzen.

Was es grundsätzlich bei der Registrierungspflicht und dem Datenschutz für Betriebe in NRW zu beachten gibt, lesen Sie hier.

Da Strafen und Konsequenzen für die Betriebe und zum Schutz der Allgemeinheit oft schnell und kurzfristig umgesetzt werden und dann nicht selten auch sehr weitreichende und sofortige Konsequenzen mit sich bringen, setzen sie diese meist konsequent um. Weniger konsequent wird dabei auf den Datenschutz geachtet.

Auch wenn in NRW noch keine Daten über die Menge der Beschwerden und Verstöße veröffentlicht wurden, so kann man davon ausgehen, dass es hier in naher Zukunft auch entsprechende Probleme für die Unternehmen geben wird. Viel zu oft stellen sich, trotz der Angaben der Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW), unter anderem folgende Fragen:

  • Welche Daten dürfen bei der Registrierungspflicht in NRW erfasst werden?
  • Wie und wofür dürfen die Daten aus der Corona-Schutzverordnung NRW verwendet werden?
  • Wie lange dürfen die Daten aus der Gästeregistrierung in NRW aufbewahrt werden?

Erste Berichte über Beschwerden in anderen Bundesländern

In anderen Bundesländern häufen sich bereits die Beschwerden über die Nichteinhaltung der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) bei der Umsetzung der Registrierungspflicht. So zum Beispiel in Niedersachsen. Hier gab die Landesdatenschutzbeauftragte Anfang des Monats bekannt, dass bisher ca. 60 Beschwerden über eine nicht DS-GVO-konforme Erfassung der Gästedaten eingegangen sind.

In den meisten Fällen wurde von den Betroffenen vor allem bemängelt, dass die Listen offen ausliegen würden oder Daten abgefragt werden, die nach den Vorgaben des Datenschutzes und der Corona-Schutzverordnung weder notwendig noch zulässig seien. Außerdem gab es Beschwerden darüber, dass auch Betriebe Daten der Kunden abgefragt hatten, die scheinbar nicht dazu verpflichtet seien.

Die Unternehmen werden, auch in NRW, auf die Beschwerden über mangelnden Datenschutz hin überprüft. Besteht ein Grund zur Beanstandung, werden in der Regel Geldbußen erlassen, aber auch Ermahnungen. Hierbei kommt es auf die Schwere des Verstoßes an.

Registrierungspflicht in NRW – Wer Sie einhalten muss und wie man sie umsetzen kann

Wenn man an die Registrierungspflicht denkt, dann kommen einem meist Restaurants und Cafés in den Sinn. Aber auch bei anderen Dienstleistern in NRW müssen Kontaktdaten und die Zeiten des Besuchs erfasst werden, dazu gehören unter anderem:

  • Fitnessstudios
  • Schwimmbäder (Freibad und Hallenbad)
  • Schönheits-Salons, Kosmetiker*innen
  • Frisöre
  • Handwerker
  • Freizeitparks und andere Einrichtungen wie Tierparks und Zoos
  • Veranstaltungsbranche und Kinos

Die Aufnahme der Kontaktdaten dient der Nachverfolgung von Infektionsketten und auch nur dafür dürfen die Daten erhoben werden. Die Umsetzung der Vorgaben reicht im Alltag von kreativ bis nicht DS-GVO-konform. Auch wenn nicht ganz genau definiert wurde, welche personenbezogene Daten genau erfasst werden müssen, bzw. dürfen, so gilt nach der Datenschutzgrundverordnung das Prinzip der Datenminimierung. Es dürfen also nur die Daten erfasst werden, die man für die Kontaktaufnahme zur Unterbrechung einer möglichen Infektionskette benötigt. Wer also zu viele Daten seiner Gäste sammelt, läuft Gefahr, gegen die DS-GVO zu verstoßen.

Sehr beliebt zur Erfassung der Daten ist der QR-Code, den man einfach zur Registrierung abscannt und seine Daten dann eingibt. Was einfach klingt, muss auch den Vorgaben der Datenschutzgrundverordnung angepasst werden.

Wer schon vor dem Coronavirus auf eine digitale Anmeldung oder einen Zugang durch einen Transponder gesetzt hat, der profitiert jetzt von dieser Investition. Ein gutes Beispiel dafür sind Fitnessstudios, die den Zugang zu Ihren Räumlichkeiten mittlerweile oft über Transponderarmbänder oder Chipcards möglich machen. Hierbei können Ankunft und Verlassen des Studios, sowie die Kontaktdaten des Kunden genau registriert werden.

Die Gästeregistrierung ist vor allem dann schnell umsetzbar, wenn diese die Karten vorab im Internet kaufen müssen. Schwimmbäder, Saunen, Konzertveranstalter oder auch Kinos in NRW setzen darauf. Durch eine Vorabreservierung kann – DS-GVO-konform – die Corona-Schutzverordnung umgesetzt werden.

Egal welche Form der Registrierung Sie für Ihr Dienstleistungsunternehmen nutzen möchten: IT-Experte und (externer) Datenschutzbeauftragter sind bei den meisten Umsetzungen die fachlichen Ansprechpartner.

Datenschutz und Corona-Schutzverordnung NRW – ein kleiner Leitfaden

Damit Sie nicht in die Datenschutz-Falle tappen, möchten wir Ihnen noch einmal die wichtigsten Punkte für die DS-GVO-konforme Umsetzung der Registrierungspflicht aufzeigen:

  • Achten Sie darauf, dass nur notwendige Kontaktdaten aufgenommen werden
  • Benutzen Sie für jeden Besucher / jede Familie / jede Besuchergruppe – tischweise ein neues Formular – Daten anderer Betroffener dürfen nicht einsehbar sein – die Liste darf nicht fortführend geführt werden
  • Bewahren Sie die Liste für andere unzugänglich auf
  • Beachten Sie, dass die Daten nur für die Registrierung nach der Corona-Schutzverordnung genutzt werden dürfen – eine weitere Nutzung für andere Zwecke ist (auch mit Einverständnis des Betroffenen) nicht erlaubt (Zweckbindung)
  • Die Unterlagen dürfen nicht länger als die Aufbewahrungspflicht es angibt aufbewahrt oder gespeichert werden
  • Bei der Übermittlung der Daten auf Anfrage öffentlicher Stellen (z.B. Gesundheitsamt o.ä.) dürfen nur die Daten für den angeforderten Zeitraum weitergegeben werden – nicht für mehrere Wochen oder Tage darüber hinaus
  • Die Registrierungspflicht im Zuge der Corona-Schutzverordnung unterliegt den gleichen Vorgaben der DS-GVO wie jede andere Verarbeitung von Daten, z.B.:
    • Führen von Verarbeitungsverzeichnissen (VVT)
    • Festlegen von technisch-organisatorischen Maßnahmen (TOMs)
    • Einhaltung der Betroffenenrechte
    • Zweckbindung und Informationspflicht
    • DS-GVO-konforme Löschung der Daten
  • Prüfen Sie, ob Verträge zur Auftragsdatenverarbeitung notwendig sein können (z.B. bei der Vernichtung der Daten durch einen externen Anbieter)
  • Übermitteln Sie die Daten nur bei Bedarf und sicher an die öffentlichen Stellen
  • Schulen Sie Ihre Mitarbeiter im Umgang mit dem Datenschutz
  • Das Vermeiden von Datenpannen steht neben dem Infektionsschutz an erster Stelle

Verstöße vermeiden – Im Zweifel einen (externen) Datenschutzbeauftragten hinzuziehen

Im Alltag ist die Umsetzung der Vorgaben im Datenschutz in der Verbindung mit den vielen Vorgaben zum Schutz vor Corona nicht immer einfach. Gerade kleine Betriebe kommen dabei durchaus an Ihre Grenzen. Aber egal ob Datenschutz oder Corona-Einschränkungen – Verstöße können im schlechtesten Fall immer auch finanzielle Einbußen und nicht zuletzt große Probleme für betroffene Unternehmen in NRW hervorrufen.

Beide Verordnungen haben ihre dringende Berechtigung und sollten daher professionell, aber so praxisnah wie möglich umgesetzt werden. Wenden Sie sich im Zweifel immer an Ihren (externen) Datenschutzbeauftragten in NRW, der Ihnen bei der entsprechenden Umsetzung helfen kann.

Wenn Sie aufgrund der Vorgaben der Datenschutzgrundverordnung keinen (externen) Datenschutzbeauftragten berufen müssen, können Sie projektbezogen auch einen Datenschutzberater hinzuziehen.

Datenschutzberater.NRW kann Ihnen bei der Umsetzung der DS-GVO und des BDSG praxisnah und individuell helfen. Unser Team aus dem Bereich Datenschutz, IT und Steuerrecht bietet Ihnen u.a. folgende Leistungen im Rahmen von verschiedenen Betreuungen an:

Wir betreuen unsere Kunden im Raum Köln, Bonn, Düsseldorf und ganz NRW. Nehmen Sie einfach zu uns Kontakt auf.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der Registrierungspflicht unter Einhaltung der DS-GVO oder sind Sie sich unsicher, wie Sie die aktuellen Bestimmungen umsetzen können? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.

Registrierungspflicht in der Gastronomie und der Datenschutz in NRW – ein erstes Update