IHK Schwarzwald-Baar-Heuberg
Datenschutzkonforme Erhebung von Besucherdaten
§ 14 der CoronaVO regelt in der aktuellen Fassung, welche Betriebe die Daten ihrer Kunden zur Kontaktnachverfolgung festhalten müssen. Dadurch soll im Infektionsfall eine schnelle Kontaktaufnahme möglich sein.
Auf der rechten Seite stellen wir Ihnen ein Formular zur Verfügung mit dem Sie datenschutzkonform die Daten Ihrer Kunden festhalten können. Füllen Sie dazu vor dem Druck die markierten Felder mit den erforderlichen Angaben zu Ihrem Unternehmen aus. Zum digitalen Ausfüllen muss die Datei in einem pdf-fähigen Programm geöffnet werden.
Zur datenschutzkonformen Umsetzung der Vorgaben der CoronaVO ist Folgendes zu beachten:
Geheimhaltung
Wenn mit Erfassungslisten gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen zur Kenntnis nehmen kann. Der Verantwortliche sollte deshalb die Daten erfragen (Vornamen, Familienname, vollständige Anschrift und Telefonnummer) und selbst in entsprechende Listen eintragen. Damit könnte zugleich die Lesbarkeit der erhobenen Daten sichergestellt werden, soweit die Listen manuell in Papierform geführt werden. Ein eigenständiges Eintragen der Kontaktdaten durch die betroffene Person (in manuelle Listen) ist aus Datenschutzsicht nur zulässig, wenn vorherige Einträge abgedeckt werden. Es dürfen nur die Daten erhoben werden, die gemäß Corona-Verordnung verlangt werden.
Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so Tag-genau den Löschfristen nachkommen zu können.
Alternativ kann auch pro Kunde/Gast/Teilnehmer/Besucher ein einzelnes Dokument verwendet werden.
Wenn mit Erfassungslisten gearbeitet wird, ist darauf zu achten, dass keine Person die Daten anderer Personen zur Kenntnis nehmen kann. Der Verantwortliche sollte deshalb die Daten erfragen (Vornamen, Familienname, vollständige Anschrift und Telefonnummer) und selbst in entsprechende Listen eintragen. Damit könnte zugleich die Lesbarkeit der erhobenen Daten sichergestellt werden, soweit die Listen manuell in Papierform geführt werden. Ein eigenständiges Eintragen der Kontaktdaten durch die betroffene Person (in manuelle Listen) ist aus Datenschutzsicht nur zulässig, wenn vorherige Einträge abgedeckt werden. Es dürfen nur die Daten erhoben werden, die gemäß Corona-Verordnung verlangt werden.
Für jeden Tag sollte zudem eine neue Liste begonnen werden, um so Tag-genau den Löschfristen nachkommen zu können.
Alternativ kann auch pro Kunde/Gast/Teilnehmer/Besucher ein einzelnes Dokument verwendet werden.
Informationspflicht
Die betroffenen Personen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen könnte dort, wo die Daten erfasst werden (z. B. im Empfangsbereich), ein Aushang angebracht oder ein Informationsblatt ausgelegt werden. Die Informationen müssen beinhalten:
Die betroffenen Personen müssen über die Datenerhebung gem. Art. 13 Datenschutzgrundverordnung (DS-GVO) informiert werden. Um dieser Informationspflicht nachzukommen könnte dort, wo die Daten erfasst werden (z. B. im Empfangsbereich), ein Aushang angebracht oder ein Informationsblatt ausgelegt werden. Die Informationen müssen beinhalten:
- Name und Kontaktdaten des Verantwortlichen,
- Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
- Zwecke, zu denen die personenbezogenen Daten verarbeitet werden sowie die Rechtsgrundlagen der Verarbeitung,
- Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich eine Person nachträglich als infiziert herausstellen sollte),
- Dauer der Speicherung (höchstens ein Monat),
- Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung und auf Beschwerde bei einer Aufsichtsbehörde,
- Hinweis, dass die betroffenen Personen nur die Dienstleistung in Anspruch nehmen bzw. die Einrichtung betreten können, soweit sie mit der Datenerfassung einverstanden sind.
- Sind im Betrieb oder der Einrichtung bereits Informationen nach Art. 13 DS-GVO für Kundinnen und Kunden bzw. Teilnehmende vorhanden, da in der Vergangenheit bereits deren Daten erfasst wurden, müssen diese lediglich ergänzt werden (neuer Zweck, dessen Rechtsgrundlage, Speicherdauer, Empfänger der Daten).
Auskunft an Behörden
Die erfassten Daten sollten ausschließlich bei schriftlicher Aufforderung z. B. durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Jede Aufforderung zur Übermittlung und die Übermittlung selbst müssen dokumentiert werden, um der Rechenschaftspflicht nachzukommen (welche Liste wurde an wen wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.
Die erfassten Daten sollten ausschließlich bei schriftlicher Aufforderung z. B. durch das Gesundheitsamt oder durch eine andere öffentliche Stelle übermittelt werden. Jede Aufforderung zur Übermittlung und die Übermittlung selbst müssen dokumentiert werden, um der Rechenschaftspflicht nachzukommen (welche Liste wurde an wen wie übermittelt). Die Daten sollten nur auf einem sicheren Übertragungsweg übermittelt werden (per Post, per Fax oder per Mail mit Ende-zu-Ende-Verschlüsselung). Die Übermittlung per Mail ohne Ende-zu-Ende-Verschlüsselung ist kein geeigneter sicherer Übertragungsweg.
Löschung
Die Daten müssen spätestens einen Monat nach dem letzten Kontakt mit der betreffenden Person vernichtet bzw. gelöscht werden. Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Unzureichend wäre es, Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.
Die Daten müssen spätestens einen Monat nach dem letzten Kontakt mit der betreffenden Person vernichtet bzw. gelöscht werden. Das muss datenschutzkonform geschehen, z. B. durch Schreddern der Listen mit einem Aktenvernichter bei Papierunterlagen bzw. durch sicheres Löschen bei digitalen Formaten. Unzureichend wäre es, Papierunterlagen in Gänze oder nur zerrissen in den Hausmüll bzw. die Altpapiertonne zu geben bzw. Dateien lediglich in den digitalen Papierkorb zu verschieben und diesen zu entleeren. Für ein datenschutzkonformes Löschen ist der Einsatz zusätzlicher Löschtools erforderlich, die ein unwiederbringliches Löschen von Dateien gewährleisten.
Nutzung
Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache/Werbung genutzt werden.
Die erhobenen Daten dürfen zu keinem anderen Zweck wie z.B. der Kundenansprache/Werbung genutzt werden.