Viele Wochen hat uns das Corona-Virus zu Hause festgehalten. Viele Unternehmen wie Gastronomien, Friseure und Fitnessstudios mussten in den letzten Wochen mit geschlossenen Betrieben und erheblichen Umsatzausfällen umgehen. Langsam werden Infektionsschutzmaßnahmen gelockert und in den meisten Bundesländern können viele Betreiber wieder Gäste beziehungsweise Kunden empfangen. Die damit einhergehenden Verpflichtungen zur Erfassung bestimmter Kundendaten, um diese nach entsprechender Aufforderung den Behörden übermitteln zu können, werden in den Bundesländern allerdings sehr unterschiedlich umgesetzt. Wichtig ist, dass auch unter den aktuellen Umständen die Datenschutzgrundsätze bei der Verarbeitung von personenbezogenen Daten weiterhin gelten. So ist es im Restaurant beispielsweise nicht zulässig, Gästen von anderen Tischen Einblick in die Anschriften von anderen Besuchern zu erlauben. Eine fortlaufende Liste mit den Informationen verbietet sich daher.
Mit über 70 Unternehmen, die wir als externe Datenschutzbeauftragte betreuen, möchten auch wir einen gesellschaftlichen Beitrag leisten und Unternehmen unterstützen. Aus diesem Grund haben wir ein Musterformular für die Erhebung der Daten von Gästen entwickelt, dass neben den gesetzlichen Anforderungen auch die notwendigen Datenschutzhinweise und Informationspflichten enthält. Zunächst für die Coronaschutzverordnung (CoronaSchVO) und der Anlage „Hygiene- und Infektionsschutzstandards“ zur CoronaSchVO NRW für Nordrhein-Westfalen.
Dieses Formular finden Sie in zwei Varianten:
- Die erste Variante ist für den Fall vorgesehen, dass der Betrieb keinen Datenschutzbeauftragten bestellt hat (meistens dann der Fall, wenn weniger als 20 Personen regelmäßig mit personenbezogenen Daten arbeiten).
- Bei der zweiten Variante ist ein Feld vorhanden, in das man die E-Mail Adresse des Datenschutzbeauftragten einfügen kann.
Beide Versionen sind als PDF-Dokument mit den Daten des Betreibers im Kopf ausfüllbar und speicherbar. Das heißt, das Formular kann entweder ausgedruckt Gästen ausgehändigt werden oder auf der eigenen Webseite (auch vorausgefüllt) für Gäste zur Verfügung gestellt werden, so dass diese das Formular ausgefüllt zum Besuch mitbringen können.
Die Variante für kleine Betriebe, ohne eigenen Datenschutzbeauftragten, haben wir als Blöcke drucken lassen. Diese können bei uns – solange der Vorrat reicht – angefordert werden. Wir senden Ihnen diese gerne kostenlos zu!
Umsetzungshinweise:
Bitte tragen Sie im Formular die vollständigen Kontaktdaten des Betriebs einschließlich Rechtsform (z.B. GmbH, GbR etc.) ein. Bei Einzelunternehmen ist der vollständige Name des Inhabers sowie die Anschrift des Betriebs einzutragen. Sofern Sie über einen Stempel mit den entsprechenden Angaben verfügen, können Sie in das Feld auch Ihren Firmenstempel setzen.
Bitte sammeln Sie die ausgefüllten Formulare unbedingt ein und stellen Sie sicher, dass keine anderen Gäste die Angaben einsehen können. Wir empfehlen dann die chronologische Ablage, damit Sie fristgerecht die Vernichtung der Daten einleiten können. Hier hat sich ein Aktenordner mit Register bewährt.
Grundsätzlich müssen die Daten unter Verschluss gehalten werden, das heißt der Ordner sollte in einem verschlossenen/nicht zugänglichen Schrank verwahrt werden.
Die Löschung der Daten muss zeitnah nach Ablauf der Aufbewahrungspflicht (in NRW vier Wochen) erfolgen. Am besten prüfen Sie jeden Tag, welche Daten gelöscht werden müssen.
Die sichere Vernichtung kann dann auf verschiedene Arten erfolgen: So können Sie einen entsprechenden Aktenvernichter nutzen, der über einen sogenannten „Kreuzschnitt“ verfügt, also kleine Schnipsel schneidet (Streifen sind nicht ausreichend). Sie können aber auch ein Unternehmen mit der Vernichtung beauftragen. Dabei müssen Sie aber unbedingt eine Vereinbarung über eine Auftragsverarbeitung mit dem Dienstleister abschließen. Gute Entsorger bieten Ihnen hierzu datenschutzkonforme Auftragsformulare an. Bei dieser Variante benötigen Sie eine Aktentonne von Ihrem Entsorger, die verschlossen ist und verhindert, dass jemand die Papiere nach Einwurf wieder herausnehmen kann. Wichtig ist, dass die personenbezogenen Daten unkenntlich gemacht werden, das heißt nicht wiederhergestellt werden können.
Für die Dokumentation der Vernichtung empfehlen wir Ihnen eine Liste zu führen, in der Sie vermerken, ab wann Sie die Unterlagen von welchem Tag vernichtet haben.