Muster Informationspflichten

Seit Mon­tag, den 11. Mai 2020 (in Bay­ern ab 18.05.) dür­fen Gas­tro­no­mie­be­trie­be und zahl­rei­che ande­re Ein­rich­tun­gen des all­täg­li­chen Lebens wie­der öff­nen. Die Auf­la­gen zu Abstand und maxi­ma­le Gäs­te- /​ Käu­fer-Zahl auf der Ver­kaufs­flä­che sind durch­aus eine Her­aus­for­de­rung für die Betrei­ber der Ein­rich­tun­gen. Bei all den Anfor­de­run­gen wird der Daten­schutz schnell ver­ges­sen. Wir hel­fen mit unse­rem kos­ten­lo­sen Mus­ter Infor­ma­ti­ons­pflich­ten für Besu­cher von Gas­tro­no­mie und ande­ren Ein­rich­tun­gen im Zuge der Coro­na-Pan­de­mie, ent­wi­ckelt gemein­sam mit RA Ste­phan Hansen-Oest.

Wel­che per­so­nen­be­zo­ge­nen Daten von Besu­chern sind zu notieren?

Einig sind sich die Län­der­ver­ord­nun­gen in dem Punkt, dass Name und Ruf­num­mer der Besu­cher zu notie­ren und auf Ver­lan­gen der Gesund­heits­be­hör­de im Ver­dachts­fall einer Infek­ti­on her­aus­zu­ge­ben sind. Teil­wei­se sind die dazu­ge­hö­ri­gen Ver­ord­nun­gen bzw. Anfor­de­run­gen noch etwas schwam­mig bzw. zu unkon­kret. Das wird in den nächs­ten Tagen sicher nach­jus­tiert. So steht z.B. noch die Fra­ge im Raum, ob die jewei­li­ge Ein­rich­tung die notier­ten Anga­ben z.B. anhand eines Aus­weis­do­ku­ments veri­fi­zie­ren muss. Auch bei den Lösch­fris­ten fin­den sich nicht über­all kon­kre­te Anga­ben. Das Bun­des­land NRW sieht bei­spiels­wei­se die Ver­nich­tung der per­so­nen­be­zo­ge­nen Daten nach 1 Monat vor.

Übri­gens: Da nir­gend­wo von einer Unter­schrift durch die Besu­cher die Rede ist, wäre es auch eine Mög­lich­keit, die Daten auf elek­tro­ni­schem Wege zu erhe­ben. So könn­ten Sie auch Reser­vie­rungs­sys­te­me nut­zen, sofern die Anga­ben dar­in zusätz­lich /​ ergän­zend erfasst wer­den können.

Um der Papier­flut bzw. Zet­tel­wirt­schaft Herr zu wer­den, wäre auch die abend­li­che Digi­ta­li­sie­rung sprich das Ein­scan­nen der erfass­ten Daten in einen dazu­ge­hö­ri­gen Datums-Ord­ner viel­leicht ganz hilf­reich. Wür­de neben­bei die Über­ga­be an die zustän­di­ge Gesund­heits­be­hör­de im Rah­men einer Anfor­de­run­gen der Daten erleich­tern und es rei­hen sich bei Ihnen nicht Ord­ner an Ord­ner mit den erho­be­nen Daten. Die Kür wäre natür­lich ein Scan mit OCR, was aber eine mög­lichst “unver­schlüs­sel­te” Hand­schrift der Ein­tra­gen voraussetzt 🙂

Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO an die Besu­cher nicht vergessen

Egal, in wel­chem Umfang oder auf wel­che Art (ana­log per For­mu­lar /​ Besu­cher­lis­te oder digi­tal z.B. in Form von Excel-Tabel­len) Sie die Daten Ihrer Besu­cher erhe­ben, es sind die Anga­ben zu den Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu erfül­len. Dies kann bei­spies­lwei­se mit­tels Aus­hang vor Ort und einem münd­li­chen Hin­weis an Ihre Besu­cher gesche­hen. Hier zählt Prag­ma­tis­mus in Anbe­tracht der ange­spann­ten Situa­ti­on. Ein pas­sen­des kos­ten­lo­ses Mus­ter hier­zu haben wir gemein­sam mit dem in der Bran­che wohl­be­kann­ten Rechts­an­walt Ste­phan Han­sen-Oest (https://​www​.daten​schutz​-guru​.de) ent­wi­ckelt. Nach dem Down­load soll­ten sie die­ses bit­te auf Ihre Ein­rich­tung anpas­sen und bei Bedarf ergän­zen oder über­flüs­si­ge Anga­ben streichen.

Den­ken Sie bit­te an das Ver­zeich­nis für Verarbeitungstätigkeiten

Die­se Erhe­bung von per­so­nen­be­zo­ge­nen Daten im Rah­men der Coro­na-Pan­de­mie soll­te sich eben­falls in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten wie­der­fin­den. Sie haben noch keins? Tipps und Tricks dazu ent­we­der bei RA Han­sen-Oest oder bei uns hier im Blog.

Kos­ten­lo­ses Mus­ter Infor­ma­ti­ons­pflich­ten bei Erhe­bung per­so­nen­be­zo­ge­ner Daten im Zuge der Corona-Pandemie

Wir, also Ste­phan Han­sen-Oest und a.s.k. Daten­schutz, stel­len Ihnen die­ses unver­bind­li­che Mus­ter kos­ten­frei zur Ver­fü­gung. Bit­te beach­ten Sie dabei:

  • Pas­sen Sie bit­te die Bezü­ge zu den aktu­ell gel­ten­den Lan­des­ver­ord­nun­gen bzw. Rechts­an­wen­dun­gen an
  • Fair Use: Die­se Vor­la­ge kann ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir (RA Han­sen-Oest und a.s.k. Daten­schutz Sascha Kuhrau) möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Ver­trags­mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Ver­trags­mus­ter­buch wiederfindet.
  • Haf­tung: Die­se Vor­la­ge stellt ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen

Anre­gun­gen und Ergän­zun­gen für die Vor­la­gen? Dann immer her damit.

All­ge­mei­nes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besucher
19608 Downloads

Auf Frei­staat Bay­ern ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher in Bayern
12426 Downloads

Auf Hes­sen ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher Hessen
9610 Downloads

Auf Schles­wig-Hol­stein ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher Schles­wig Holstein
1340 Downloads

Fra­gen Sie Ihren (exter­nen) Datenschutzbeauftragten

Bevor im Umgang mit oder der Anpas­sung von die­sen Vor­la­gen für Ihre Orga­ni­sa­ti­on etwas schief geht und Ihnen mög­li­cher­wei­se Unge­mach durch die Daten­schutz­auf­sicht droht, bin­den Sie bit­te Ihren Daten­schutz­be­auf­trag­ten früh­zei­tig in das The­ma Infor­ma­ti­ons­pflich­ten mit ein. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Mög­li­cher­wei­se unter­lie­gen Sie der gesetz­li­chen Pflicht zur Benen­nung, aber auch ohne deren Vor­lie­gen ist ein Daten­schutz­be­auf­trag­ter der Pro­fi für Ihre Fra­gen rund um das The­ma Daten­schutz. Ger­ne unter­brei­ten wir Ihnen ein Ange­bot für einen exter­nen Datenschutzbeauftragten.

Ver­si­ons­his­to­rie

Update 12.05.2020: Nut­zer­hin­weis auf Benen­nung statt Bestel­lung eines DSB auf­ge­grif­fen und Wort­wahl ent­spre­chend angepasst

Update 13.05.2020: Mus­ter­vor­la­ge zur Daten­er­fas­sung Gas­tro­no­mie als Anhang ergänzt

Update 14.05.2020: Ver­si­on mit ers­ten Anpas­sun­gen auf Frei­staat Bay­ern veröffentlicht

Update 16.05.2020: Ver­si­on mit Anpas­sun­gen auf kon­kre­te Ver­ord­nung in Hes­sen veröffentlicht

Update 18.05.2020: Ver­si­on Schles­wig-Hol­stein veröffentlicht

 

 

Prüfliste abgehakt

Ein­satz­zweck der Check­lis­te zur Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maßnahmen

Wir haben die erst­mals im Juni 2019 hier ver­öf­fent­lich­te Check­lis­te zur Prü­fung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) über­ar­bei­tet. Mit­tels die­ser Check­lis­te kön­nen Sie

  1. Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men prü­fen und grob doku­men­tie­ren (kein Ersatz für eine Detaildokumentation),
  2. das Schutz­ni­veau Ihrer Dienst­leis­ter im Rah­men von Art. 28 DSGVO Auf­trags­ver­ar­bei­tung und deren tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne des Art. 32 DSGVO grob prüfen,
  3. die Prü­fung des Schutz­ni­veaus bei Ihren Dienst­leis­tern doku­men­tie­ren oder
  4. sich ein­fach einen ers­ten Über­blick über die eige­nen inter­nen Schutz­maß­nah­men ver­schaf­fen (Was fehlt? Was ist schon vorhanden?).

Wie­so Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

“Erfolgt eine Ver­ar­bei­tung im Auf­trag eines Ver­ant­wort­li­chen, so arbei­tet die­ser nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewährleistet.”

https://​dsgvo​-gesetz​.de/​a​r​t​-​2​8​-​d​s​g​vo/

Mit­tels die­ser Check­lis­te kön­nen Sie sich schon mal grob einen ers­ten Über­blick ver­schaf­fen. Je nach Detail­grad beim Aus­fül­len der Prüf­punk­te kann das Doku­ment jedoch auch als Ersatz für eine zusätz­li­che und aus­führ­li­che­re Doku­men­ta­ti­on her­an­ge­zo­gen wer­den. Dafür haben wir bewußt zahl­rei­che Frei- und Kom­men­tar­fel­der vor­ge­se­hen, um hier auch ins Detail gehen zu können.

Wel­che The­men behan­delt die Checkliste?

Wir haben uns beim Auf­bau sowohl an den Anfor­de­run­gen der DSGVO ori­en­tiert als auch bewähr­tes aus den frü­he­ren Anfor­de­run­gen bzw. Über­schrif­ten des Bun­des­da­ten­schutz­ge­set­zes ori­en­tiert. Der Auf­bau ist wie folgt:

  • Ver­trau­lich­keit
    • Zutritts­kon­trol­le
    • Zugangs­kon­trol­le
    • Zugriffs­kon­trol­le
    • Tren­nungs­kon­trol­le
    • Pseud­ony­mi­sie­rung (lit a)
  • Inte­gri­tät
    • Wei­ter­ga­be­kon­trol­le
    • Ein­ga­be­kon­trol­le
  • Ver­füg­bar­keit und Belastbarkeit 
    • Ver­füg­bar­keits­kon­trol­le
  • Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Evaluierung 
    • Daten­schutz-Manage­ment
    • Inci­dent Respon­se Management
    • Daten­schutz­freund­li­che Voreinstellungen
    • Auf­trags­kon­trol­le

Was hat sich gegen­über der vor­he­ri­gen Ver­si­on der Check­lis­te geändert?

  • Hin­zu­nah­me von Anla­gen, die bei­gefügt wer­den kön­nen wie 
    • Ver­zeich­nis zu den Kate­go­rien von im Auf­trag durch­ge­führ­ten Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 Abs. 2 DSGVO)
    • Lis­te der ein­ge­setz­ten Sub­un­ter­neh­mer mit Tätig­kei­ten für Sie als Auftraggeber
    • Richt­li­nie Datenschutz
    • Richt­li­nie Umgang mit Datenpannen
    • Über­sicht der Sen­si­bi­li­sie­rungs- und Schu­lungs­maß­nah­men der letz­ten 24 Monate
  • Kon­kre­ti­sie­rung bei vor­han­de­nen ISMS
  • Erhö­hung des Detail­grads bei der einen oder ande­ren Auswahl
  • For­ma­tie­run­gen

Ist die Check­lis­te kostenfrei?

Wie die frü­he­ren Ver­sio­nen die­ser Check­lis­te stel­len wir auch die aktu­el­le Check­lis­te wie­der kos­ten­frei zur Ver­fü­gung. Wir appel­lie­ren jedoch an die Fair­ness der Nut­zer und Down­loa­der: Wir möch­ten nicht, dass die­se Check­lis­te ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem käuf­lich zu erwer­ben­den Vor­la­gen­buch (ana­log oder digi­tal) wie­der­fin­det. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung der Check­lis­te übernommen.

Anre­gun­gen und Vor­schlä­ge für die Wei­ter­ent­wi­ckung der Check­lis­te ger­ne an info@​ask-​datenschutz.​de

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
7944 Downloads