Experten - geschrieben von dp am Sonntag, Juni 28, 2020 17:06 - ein Kommentar
Berlin: Musterformulare für Corona-Kontaktdatenerhebung
Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben
[datensicherheit.de, 28.06.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, weist Berliner Gewerbetreibende darauf hin, „dass bei der Erhebung von Kontaktdaten von Kundinnen und Kunden zur Nachverfolgung von ,Corona‘-Kontakten der Datenschutz stets zu wahren ist“. So seien laufende Listen, auf denen die Kontaktdaten der Gäste offen für Dritte einsehbar sind, unzulässig. Als Hilfestellung stellt die Berliner Aufsichtsbehörde für den Datenschutz auf ihrer Website Musterformulare zur Verfügung.
BlnBDI: Ein Formular-Blatt pro Person!
Einträge in laufende Listen unzulässig
Die „SARS-CoV-2-Infektionsschutzverordnung“, welche die „SARS-CoV-2-Eindämmungsmaßnahmenverordnung“ ablöst, verpflichtet demnach Gastronomiebetriebe, Betriebe des Friseurhandwerks und viele andere Stellen in Berlin, Informationen zur Kontaktnachverfolgung von Gästen oder Kunden zu erheben.
In der Praxis würden Restaurantgäste oder Kunden anderer Gewerbebetriebe bei Eintritt in das Geschäft häufig dazu aufgefordert, sich mit ihrem Namen und ihren Adressdaten in laufende Listen einzutragen, auf denen sie auch die Kontaktdaten Dritter einsehen könnten. Dieses Vorgehen sei unzulässig.
Corona-Krise: Kontaktdaten sicher verwahren und fristgerecht vernichten
Bei der Datenerhebung müssten die Verantwortlichen strikt darauf achten, dass die Kunden „keinen Einblick in die personenbezogenen Daten anderer Gäste erhalten“. Um das zu gewährleisten, sollte sich jede Person auf einem gesonderten Blatt eintragen können. Die ausgefüllten Formulare dürften auch nicht offen herumliegen, sondern müssten für den Zeitraum der Aufbewahrung sicher vor dem Zugriff Dritter verwahrt bleiben.
Es empfiehlt sich laut BlnBDI, beispielsweise eine verschließbare Box aufzustellen, in welche die ausgefüllten Formulare eingeworfen werden. Diese sollte dann täglich geleert werden, um die Formulare ohne Zusatzaufwand nach Tagen sortiert aufbewahren und fristgerecht vernichten zu können.
Gäste und Kunden über Datenverarbeitung und Rechte informieren
Für eine datenschutzkonforme Umsetzung der Maßnahme müssten die Gäste zudem gemäß Artikel 13 der Datenschutz-Grundverordnung (DSGVO) ausreichend über die Verarbeitung ihrer Daten und ihre Rechte informiert werden. Dies könne in Form einer kurzen Datenschutzerklärung erfolgen, die entweder per Aushang im Eingangsbereich gut sichtbar angebracht oder als Informationsblatt einzeln ausgehändigt wird.
Aus dieser Erklärung müsse insbesondere hervorgehen, wer für die Datenverarbeitung verantwortlich ist und auf welche Rechtsgrundlage sie gestützt wird, für welchen Zweck und für wie lange die Daten erhoben werden, wer darauf zugreifen kann und welche Rechte die Betroffenen haben.
Rechtswidrige Datennutzung mit Bußgeld bewehrt
Die ausgefüllten Bögen müssten sicher aufbewahrt und nach Ablauf der Aufbewahrungsfrist „taggenau sicher vernichtet“ werden, etwa mittels eines Aktenvernichters. Es genüge nicht, die Formulare von Hand zu zerreißen.
Verantwortliche müssten unbedingt beachten, dass die erhobenen Daten ausschließlich zum Zweck der Kontaktnachverfolgung im Falle von bekanntgewordenen Infektionen verarbeitet und ggf. an das zuständige Gesundheitsamt übermittelt werden dürfen. Eine Nutzung der Daten zu sonstigen Zwecken, wie zum Beispiel Werbung, wäre rechtswidrig und könne mit Bußgeldern geahndet werden.
Vertrauen in der Corona-Krise Voraussetzung für sachgerechte Mitwirkung
„Wie bei der digitalen Kontaktnachverfolgung mittels Warn-App ist auch bei Maßnahmen, die der manuellen Nachverfolgung von möglichen Infektionsketten dienen, Vertrauen eine wichtige Voraussetzung. Wer befürchten muss, dass seine Daten nicht gut aufgehoben sind, ist eher dazu geneigt, Falschangaben zu machen. Mir ist bewusst, dass der Umgang mit so vielen Kundendaten nicht zum Kerngeschäft von Restaurantbetrieben oder Friseurgeschäften gehört und die gesetzlichen Vorgaben daher einige Unsicherheiten sowohl bei den Verantwortlichen als auch bei den Betroffenen hervorrufen“, so Smoltczyk.
Zur Unterstützung hat ihre Behörde Musterformulare auf der eigenen Website zur Verfügung gestellt. „Ich empfehle Berliner Verantwortlichen, diese zu verwenden oder sich inhaltlich daran zu orientieren.“
Weitere Informationen zum Thema:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Kontaktdatenerhebung durch Gewerbetreibende – Musterformulare der BlnBDI
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Hinweise zum Datenschutzgemäß Art. 13 Datenschutz-Grundverordnung (DS-GVO)zur verpflichtenden Kontaktnachverfolgung im Sinne derSARS-CoV-2-Infektionsschutzverordnung
datensicherheit.de, 26.05.2020
Personen-Listen in Gaststätten: Pro Gast ein Blatt
ein Kommentar
HeBu
Kommentieren
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche - Dez 5, 2024 12:43 - noch keine Kommentare
KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
weitere Beiträge in Branche
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
- Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen
- KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Wie steht es um die Freiwilligkeit der Datenerhebung? Normalerweise sollten einem keine Nachteile entstehen, wenn man keine Einwilligung zur Datenerhebung erteilt. Natürlich bringt die Einwilligung einen wichtigen Vorteil, nämlich die Möglichkeit der schnellen Information potentiell einem Risiko ausgesetzter Gäste. Aber eine Nicht-Einwilligung könnte u.U. zum Platzverweis/Bedienungsverweigerung (nach Hausrecht) oder aber auch ab Samstag zu einem Bußgeld führen. Besteht da noch die Freiwilligkeit nach DSGVO oder greifen da andere Gesetze, welche das DSGVO überlagern?