Muster Informationspflichten

Seit Montag, den 11. Mai 2020 (in Bayern ab 18.05.) dürfen Gastronomiebetriebe und zahlreiche andere Einrichtungen des alltäglichen Lebens wieder öffnen. Die Auflagen zu Abstand und maximale Gäste- / Käufer-Zahl auf der Verkaufsfläche sind durchaus eine Herausforderung für die Betreiber der Einrichtungen. Bei all den Anforderungen wird der Datenschutz schnell vergessen. Wir helfen mit unserem kostenlosen Muster Informationspflichten für Besucher von Gastronomie und anderen Einrichtungen im Zuge der Corona-Pandemie, entwickelt gemeinsam mit RA Stephan Hansen-Oest.

Welche personenbezogenen Daten von Besuchern sind zu notieren?

Einig sind sich die Länderverordnungen in dem Punkt, dass Name und Rufnummer der Besucher zu notieren und auf Verlangen der Gesundheitsbehörde im Verdachtsfall einer Infektion herauszugeben sind. Teilweise sind die dazugehörigen Verordnungen bzw. Anforderungen noch etwas schwammig bzw. zu unkonkret. Das wird in den nächsten Tagen sicher nachjustiert. So steht z.B. noch die Frage im Raum, ob die jeweilige Einrichtung die notierten Angaben z.B. anhand eines Ausweisdokuments verifizieren muss. Auch bei den Löschfristen finden sich nicht überall konkrete Angaben. Das Bundesland NRW sieht beispielsweise die Vernichtung der personenbezogenen Daten nach 1 Monat vor.

Übrigens: Da nirgendwo von einer Unterschrift durch die Besucher die Rede ist, wäre es auch eine Möglichkeit, die Daten auf elektronischem Wege zu erheben. So könnten Sie auch Reservierungssysteme nutzen, sofern die Angaben darin zusätzlich / ergänzend erfasst werden können.

Um der Papierflut bzw. Zettelwirtschaft Herr zu werden, wäre auch die abendliche Digitalisierung sprich das Einscannen der erfassten Daten in einen dazugehörigen Datums-Ordner vielleicht ganz hilfreich. Würde nebenbei die Übergabe an die zuständige Gesundheitsbehörde im Rahmen einer Anforderungen der Daten erleichtern und es reihen sich bei Ihnen nicht Ordner an Ordner mit den erhobenen Daten. Die Kür wäre natürlich ein Scan mit OCR, was aber eine möglichst „unverschlüsselte“ Handschrift der Eintragen voraussetzt 🙂

Informationspflichten nach Art. 13 DSGVO an die Besucher nicht vergessen

Egal, in welchem Umfang oder auf welche Art (analog per Formular / Besucherliste oder digital z.B. in Form von Excel-Tabellen) Sie die Daten Ihrer Besucher erheben, es sind die Angaben zu den Informationspflichten nach Art. 13 DSGVO zu erfüllen. Dies kann beispieslweise mittels Aushang vor Ort und einem mündlichen Hinweis an Ihre Besucher geschehen. Hier zählt Pragmatismus in Anbetracht der angespannten Situation. Ein passendes kostenloses Muster hierzu haben wir gemeinsam mit dem in der Branche wohlbekannten Rechtsanwalt Stephan Hansen-Oest (https://www.datenschutz-guru.de) entwickelt. Nach dem Download sollten sie dieses bitte auf Ihre Einrichtung anpassen und bei Bedarf ergänzen oder überflüssige Angaben streichen.

Denken Sie bitte an das Verzeichnis für Verarbeitungstätigkeiten

Diese Erhebung von personenbezogenen Daten im Rahmen der Corona-Pandemie sollte sich ebenfalls in Ihrem Verzeichnis für Verarbeitungstätigkeiten wiederfinden. Sie haben noch keins? Tipps und Tricks dazu entweder bei RA Hansen-Oest oder bei uns hier im Blog.

Kostenloses Muster Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie

Wir, also Stephan Hansen-Oest und a.s.k. Datenschutz, stellen Ihnen dieses unverbindliche Muster kostenfrei zur Verfügung. Bitte beachten Sie dabei:

  • Passen Sie bitte die Bezüge zu den aktuell geltenden Landesverordnungen bzw. Rechtsanwendungen an
  • Fair Use: Diese Vorlage kann gerne in der Praxis von Organisationen genutzt und verändert werden. Wir (RA Hansen-Oest und a.s.k. Datenschutz Sascha Kuhrau) möchten jedoch nicht, dass sie ohne unsere Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.
  • Haftung: Diese Vorlage stellt lediglich einen Vorschlag dar. Es wird keine Haftung für Schäden durch die Verwendung übernommen

Anregungen und Ergänzungen für die Vorlagen? Dann immer her damit.

Allgemeines Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Freistaat Bayern angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Hessen angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Schleswig-Holstein angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Fragen Sie Ihren (externen) Datenschutzbeauftragten

Bevor im Umgang mit oder der Anpassung von diesen Vorlagen für Ihre Organisation etwas schief geht und Ihnen möglicherweise Ungemach durch die Datenschutzaufsicht droht, binden Sie bitte Ihren Datenschutzbeauftragten frühzeitig in das Thema Informationspflichten mit ein. Sie haben keinen Datenschutzbeauftragten? Möglicherweise unterliegen Sie der gesetzlichen Pflicht zur Benennung, aber auch ohne deren Vorliegen ist ein Datenschutzbeauftragter der Profi für Ihre Fragen rund um das Thema Datenschutz. Gerne unterbreiten wir Ihnen ein Angebot für einen externen Datenschutzbeauftragten.

Versionshistorie

Update 12.05.2020: Nutzerhinweis auf Benennung statt Bestellung eines DSB aufgegriffen und Wortwahl entsprechend angepasst

Update 13.05.2020: Mustervorlage zur Datenerfassung Gastronomie als Anhang ergänzt

Update 14.05.2020: Version mit ersten Anpassungen auf Freistaat Bayern veröffentlicht

Update 16.05.2020: Version mit Anpassungen auf konkrete Verordnung in Hessen veröffentlicht

Update 18.05.2020: Version Schleswig-Holstein veröffentlicht

Das Verzeichnis von Verarbeitungstätigkeiten

Wer sich mit dem Thema Datenschutz beschäftigt, stößt ziemlich schnell auf Art. 30 DSGVO „Verzeichnis von Verarbeitungstätigkeiten“ (externer Link). In Abs. 1 heißt es:

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

Diese Formulierung lässt wenig Spielraum dafür, ob die eigene Organisation von dieser Verpflichtung betroffen ist oder nicht. Gerne schielt der eine oder andere auf Art. 30 Abs. 5 DSGVO, steht doch da etwas von Ausnahmen ab 250 Mitarbeitern. Doch mit der Freude ist’s schnell vorbei. Denn sowohl § 70 BDSG (externer Link) als auch die diversen Landesgesetze setzen diese Ausnahme umgehend wieder aus. Wobei schon die weitere Formulierung des Art. 30 Abs. 5 DSGVO schnell klar macht, das Schlupfloch ist gar keins.

„Alles kein Problem, das Verzeichnis der Verarbeitungstätigkeiten erstellt schließlich der Datenschutzbeauftragte“

Leider knapp daneben, denn genau das zählt NICHT zu den Aufgaben des oder der Datenschutzbeauftragten. Die Aufgaben sind in Art. 39 DSGVO (externer Link) recht konkret beschrieben und das Führen der Verzeichnisses der Verarbeitungstätigkeiten ist nicht enthalten. Durchaus sinnvoll ist jedoch, die Pflege des Verzeichnisses der Verarbeitungstätigkeiten dem Datenschutzbeauftragten zu übertragen. Als zentraler Ansprechpartner und als Kontrollinstanz benötigt er diese Übersicht für die tägliche Arbeit. Das setzt jedoch voraus, dass die Verantwortlichen in den Fachbereichen den Datenschutzbeauftragten frühzeitig in neue Verarbeitungstätigkeiten einbinden, über Änderungen an bestehenden Verarbeitungen informieren oder auch mal Signal geben, wenn eine Verarbeitungstätigkeit entfällt. Damit sind wir schnell im Prozess- und Änderungsmanagement für Ihre Organisation. Doch das ist eine andere Aufgabe.

Für was ist das Verzeichnis von Verarbeitungstätigkeiten denn überhaupt gut?

Gute Frage 🙂 Art. 30 DSGVO lässt sich dazu nicht weiter aus. Auch die nationalen Datenschutzgesetze bringen kein Licht ins Dunkel. In Art. 30 steht zumindest noch der Hinweis, dass dieses Verzeichnis der jeweiligen Aufsichtsbehörde (und auch nur der) auf Verlangen vorzulegen ist. Lassen Sie sich nicht beirren, sollte mal jemand anderes das Verzeichnis sehen wollen (Auftraggeber beispielsweise). Für diese ist dieses Verzeichnis nicht gedacht und dort auch nicht vorzulegen. Wirklich nicht. Für den Fall gibt es das sog. Verzeichnis von Verarbeitungen für Auftragsverarbeiter. Weniger umfangreich und ziemlich easy in Erstellung und Pflege.

Erwägungsgrund 82 DSGVO (externer Link) hat etwas mehr Input zum Zweck des Verzeichnisses von Verarbeitungstätigkeiten:

Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.

Seien wir mal ehrlich: Wir erstellen also so ein Verzeichnis und dann haben wir den Nachweis, die DSGVO einzuhalten? Nicht wirklich. „Doch“, mag der eine oder andere jetzt einwerfen, der schon mal Kontakt zu verschiedenen Datenschutzaufsichten hatte. Zumindest stellt sich das gelegentlich schon mal in Stellungnahmen und Aussagen der Aufsichtsbehörden so dar. Ohne dieses Verzeichnis gibt es keinen Datenschutz in der Organisation 😉 Doch kann Formalismus Datenschutz, vielleicht noch im weiteren Sinne einer „Sicherheitskultur“ erzeugen? Indirekt sicherlich, als Mittel zum Zweck. Aber ein reines Verzeichnis von Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO ist kein Datenschutz und erzeugt keinen Datenschutz. Das wird auch schnell klar, wenn man sich die seitens des Gesetzgebers geforderten Inhalte anschaut.

Welche Angaben sind in einem Verzeichnis von Verarbeitungstätigkeiten aufzuführen?

Art. 30 Abs. 1 DSGVO führt dazu weiter aus:

Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Viel Content, jedoch kein gelebter Datenschutz. Für einen ersten Überblick, wo und wie welche personenbezogenen Daten in einer Organisation verarbeitet werden, recht hilfreich. Doch dann ist die Luft schnell raus. Das merken auch die verantwortlichen Fachbereichsleiter, wenn man diese mit den Standardmustern aus dem Fundus der verschiedenen Aufsichtsbehörden konfrontiert. Diese Muster fragen nämlich genau diese Punkte ab. Nur diese Punkte. Und jetzt? Für was?

Also wie kann man aus dem Verzeichnis von Verarbeitungstätigkeiten einen praktischen Nutzen ziehen?

Ein guter DSB oder auch Datenschutzberater wird Sie auf die Zusammenhänge innerhalb der DSGVO hinweisen. Und hier finden sich weiter vorne in der DSGVO zwei Artikel, die direkt mit dem Verzeichnis von Verarbeitungstätigkeiten verzahnt werden können und die sich wunderbar ergänzen. Die Rede ist von Art. 13, 14 DSGVO Informationspflichten (externer Link). Darin sind Angaben benötigt, die dem Betroffenen gegenüber dargestellt werden müssen. So z.B. in Art. 13 Absatz 1 DSGVO

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

und ergänzend in Art. 13 Abs. 2 DSGVO noch folgende Angaben:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Einige wichtige Bestandteile dieser Angaben sollten sich im Verzeichnis von Verarbeitungstätigkeiten finden lassen. Doch was ist mit den anderen Angaben. Diese jetzt separat bei den Fachbereichen – möglicherweise noch in einem zeitlich versetzten Projekt – anfordern? Na, die werden sich freuen 🙂

Sinnvollerweise sollte man die Angaben für Art. 30 DSGVO sowie die Art. 13, 14 DSGVO in einem Rutsch bei den Fachbereichen erheben und zusammentragen. Dafür wäre eine Erweiterung der aktuellen Mustervorlagen der Aufsichtsbehörden notwendig. Übrigens dürfen Sie an diese ruhig Hand anlegen (also an die Vorlagen, nicht an die Vertreter der Aufsichtsbehörden 😉 ), denn was Sie dort als Vorlagen finden, sind Empfehlungen und nicht in Stein gemeißelt.

Verzeichnis von Verarbeitungstätigkeiten als Arbeitsdokument und nicht als reine Datensammlung verstehen

Noch wäre eine solche ausgefüllte Vorlage jedoch nicht mehr als eine erweiterte Datensammlung. Um sich einen Überblick über die Verarbeitung personenbezogener Daten zu verschaffen, sicherlich besser geeignet als die reine Anforderung aus Art. 30 DSGVO. Doch da geht noch was, oder? Genau. Ergänzen Sie doch diese Übersicht gleich um weitere Angaben wie Rechtsgrundlage bzw. Erlaubnistatbestand (Art. 6 DSGVO), involvierte externe Dienstleister (Art. 28 DSGVO Auftragsverarbeitung), Angaben zur Durchführung und den Ergebnissen einer DSFA (Art. 35 DSGVO) sowie für die Audit- und Kontrollaufgaben des DSB mit Überprüfungen z.B. der Berechtigungs- bzw. Löschkonzepte.

Warum das Verzeichnis von Verarbeitungstätigkeiten um diese Punkte ergänzen?

Sie ersetzen den reinen Übersichtscharakter (der ja alleine keinen Datenschutz in Ihrer Organisation schafft) durch einen Arbeitscharakter des Dokuments. Oder salopp gesagt, das Verzeichnis lebt und unterstützt Ihre Organisation bei der Umsetzung des Datenschutzes in der Organisation aktiv. Weiterhin haben Sie an zentraler Stelle nun definitiv einen Nachweis, dass Ihre Organisation das Thema Datenschutz ernst nimmt und lebt. Gleichzeitig können Sie anhand eines so aufgeppten Dokuments nun auch Aktivitäten und Wiedervorlagen sicherstellen.

Rechtsgrundlage: Stützt sich die Verarbeitung auf die korrekte Rechtsgrundlage? Besteht ein Vertragsverhältnis, ist womöglich die genutzte Einverständniserklärung obsolet und könnte entfallen. Sind Rechtsvorschriften der Auslöser, ergeben sich möglicherweise aus deren Kontext auch gleich die Angaben zu Aufbewahrungs- bzw. Löschfristen.

Externe Dienstleister bzw. Auftragsverarbeitung: Liegt die notwendige Vereinbarung zur Auftragsverarbeitung vor? Sind die TOM des Dienstleisters (interner Link) geprüft? Wurden diese bei längerer Zusammenarbeit schon mal auf Aktualität geprüft?

Datenschutzfolgenabschätzung: Wurde die DSFA durchgeführt? Wann und durch wen? Wie war das Ergebnis? Bei negativem Ergebnis, wurde die Verarbeitung dennoch in Betrieb genommen? Wer hat das entschieden? Wurde die DSFA regelmäßig aktualisiert und nachgeprüft im Hinblick auf Veränderungen bei Risiken und Schutzmaßnahmen?

Welche Kontrollen und Überprüfungen hat der DSB zu den einzelnen Verarbeitungen durchgeführt? Wann wäre welche Überprüfung als nächstes geplant?

Sie sehen, damit kann man jetzt arbeiten und etwas sinnvolles anfangen, oder?

Wo bekomme ich ein erweitertes Muster für ein solches Verzeichnis von Verarbeitungstätigkeiten her?

Eine schon mal um einige Punkte angepasste Vorlage für ein „aktives“ Verzeichnis von Verarbeitungstätigkeiten können Sie am Ende des Beitrags herunterladen. Konstruktives Feedback, Ideen und Anregungen  sowie Ergänzungen gerne willkommen.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auftragsverarbeiter schreibt die Überprüfung externer Dienstleister vor, ob ausreichend Garantien (TOM – technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen. Da wir für unsere Kunden zahlreiche Dienstleister im Rahmen der bisherigen Auftragsdatenverarbeitung und zukünftigen Auftragsverarbeitung prüfen, schlagen hier nicht selten ordnerweise Dokumentationen über ein vorhandenes oder vermeintliches Schutzkonzept beim Dienstleister auf. Nach dem Motto „Weniger ist oftmals mehr“ haben wir eine frühere Checkliste für technische und organisatorische Maßnahmen (TOM) vom Datenschutz-Guru RA Stephan Hansen-Oest ergänzt und im Hinblick auf die Sortierung der DSGVO überarbeitet. Da Stephan weite Teile seiner genialen Vorlagen und Muster kostenfrei zur Nutzung zur Verfügung stellt und auch beim Thema Datenschutz gilt „Gemeinsam sind wir stark“, wollen wir da nicht hintenanstehen.

Mittels der anhängenden Checkliste Technische und Organisatorische Maßnahmen, kurz TOM, als ausfüllbares Word-Formular kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren (click & dirty). Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären. Mit der Ergebnisprotokollierung am Ende sollte auch der Dokumentations- und Rechenschaftspflicht zu dem Punkt Genüge getan sein. Ein Auftraggeber kann seinem Dienstleister diese Checkliste auch direkt zusenden, damit dieser seine Dokumentation erstellen und zurücksenden kann. Als Anhang zur Vereinbarung zur Auftragsverarbeitung von Stephan eignet sich das Dokument ebenso. Kleiner Nebeneffekt: Wenn der Auftraggeber damit seine TOM dokumentiert, kann er auf diese Standard-TOM im Verzeichnis von Verarbeitungstätigkeiten verweisen und muss dort diese Angaben nicht erneut wiederholen.

Bitte beachten: Diese Checkliste entbindet natürlich nicht von der konkreten Prüfung, ob die genannten Schutzmaßnahmen für das angestrebte Schutzziel ausreichend sind. Im Zweifel sind die Angaben mit weiterer Dokumentation, Interviews oder Vor-Ort-Prüfungen zu vertiefen.

Anregungen und Ideen zu Ergänzungen sind gerne willkommen.

Auftragsverarbeitung ist übrigens nichts Neues. Bisher hieß es Auftragsdatenverarbeitung. Es sind jedoch einige Ergänzungen und höhere Dokumentationsanforderungen hinzugekommen.

Bitte nutzen Sie die aktuelle Version 3.1: