Fragenkatalog_CoronaPrfung
Dieses Dokument ist Teil der Anfrage „Fragebögen zur Prüfung des Datenschutzes“
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen LDI NRW, Postfach 20 04 44, 40102 Düsseldorf - Musteranschreiben „Corona-Prüfungen" Aufsicht nach Art. 58 der Europäischen Datenschutz-Grund-verord- . nung (Verordnung (EU) 2016/679, hier: DS-GVO) ' Datenschutzüberprüfung nach Art. 58 Abs. 1 lit. b DS-GVO Anlagen: Information zur Verarbeitung personenbezogener Daten durch die LDI (Stand: Mai 2018) Sehr geehrte Damen und Herren, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nord- rhein-Westfalen ist nach Art. 55 DS-GVO, 8 40 Abs. 1 BDSG und 8 26 DSG NRW dafür zuständig, die Einhaltung der datenschutzrechtlichen Bestimmungen bei Unternehmen in Nordrhein-Westfalen zu überprüfen. In unserer Funktion als Datenschutzaufsichtsbehörde nach Art. 58 DS- GVO für den nicht-öffentlichen Bereich in Nordrhein-Westfahlen prüfen wir stichprobenartig die Umsetzung der datenschutzrechtlichen Vorschrif- ten in allen Branchen und Unternehmensformen des privaten Rechts. Ziel unserer Kontrolle gemäß Art. 58 Abs. 1 lit. b DS-GVO ist zu überprü- fen, ob Sie die Verarbeitung der Kontaktdaten Ihrer Kundinnen und Kun- den in Zusammenhang mit der Coronaschutzverordnung Nordrhein- Westfalen (CoronaSchVO NRW) datenschutzkonform vornehmen. Hierzu verweise ich zunächst auf unsere Hinweise auf der Homepage der LDI NRW unter folgendem Link: Be . Juli 2020 Seite 1 von 4 Aktenzeichen bei Antwort bitte angeben Muster Telefon 0211 38424-98 Fax 0211 38424-10 Dienstgebäude und Lieferan- . schrift: Kavalleriestraße 2 - 4 40213 Düsseldorf Telefon 02 11-38424-0 Telefax 0211 38424-10 poststelle@ldi.nrw.de www.ldi.nrw.de Öffentliche Verkehrsmittel: Rheinbahnlinien 708, 709 Haltestelle Poststraße
https://www.ldi.nrw.de/mainmenu Datenschutz/submenu Datenschutz- recht/Inhalt/Corona- und-Datenschutz/Gastronomie-Hinweise. html Bitte beantworten Sie uns folgende Fragen: — . Wie informieren Sie im Sinne von Art. 13, 14 Datenschutz-Grundver- ‘ordnung Ihre Kundinnen und Kunden über den Zweck der Kontaktda- tenerfassung (Nachverfolgbarkeit möglicher Infektionsketten und Zu- gangsbeschränkungen)? Haben Sie z.B. ein Informationsblatt ausge- wat? nn ° . Wie wird die Liste zum Zwecke der Eintragung der Kundin oder dem Kunden ausgehändigt? Werden die Voreintragungen abgedeckt? Wird für jede neue Gästegruppe an einem Restauranttisch eine Blan- koliste ausgehändigt? 3. Setzen Sie eine digitale Datenerfassung ein? Wenn ja, wie funktio- niert diese? Wie erfolgt die digitale Speicherung und mit welcher Sor- tierung (z.B. nach Besuchsdatum)? Haben Sie für die Erfassung der Kontaktdaten einen Dienstleister beauftragt und wenn ja, welchen (bitte vollständige Anschrift)? 4: Wie bewahren Sie die Kontaktdatenlisten in Papierform auf und wer hat Zugang zu den Daten? Sind alle Zugangsberechtigten von Ihnen über den datenschutzkonformen Umgang mit diesen Daten unterrich- tet (insb. über den Schutz vor Einsicht durch unberechtigte Dritte, en- ger Verwendungszweck)? 5. Wie stellen Sie die regelmäßige Vernichtung der Kontaktdatenlisten in Papierform bzw. der elektronischen Datensammlung sicher? Die Daten sind r nur vier Wochen aufzubewahren. Hinweis: Die Vernichtung der Kontaktdatenlisten in Papierform darf nicht nur durch einfaches Zerreißen erfolgen, sondern sie müssen datenschutzkonform ver- nichtet werden (z.B. mittels Aktenvernichter der Sicherheitsstufe 4 und hö- her). Auch elektronische Datenerfassungen sind nach dem Stand der Tech- nik sicher zu löschen. Sollten Sie hierfür einen Dienstleister in Anspruch nehmen, haben Sie sich die Sicherheit des Löschvorgangs bestätigen zu . Juli 2020 Seite 2 von 4
lassen. “ Juli 2020 . Seite 3 von 4 6. Haben Sie bereits Daten nach schriftlicher Aufforderung aneine Ord- nungsbehörde/Gesundheitsbehörde übermittelt und — wenn ja — wie ist diese Übermittlung erfolgt (sicherer Übertragungsweg)? 7. wie gehen Sie mit Ihren Kundinnen oder Kunden um, wenn diese Ihnen datenschutzrechtliche Bedenken vortragen (z.B. durch Verweis auf die Coronaschutzverordnung des Landes NRW, Verwendung nur für die Nachverfolgbarkeit einer Infektionskette, Sicherung der Anga- ben vor dem Zugriff unbefugter Dritter, Löschung nach vier Wochen)? Ihre Antworten bitte ich bis zum (4 Wochen) entweder postalisch an Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Referat5 Kavalleriestraße 2-4 40102 Düsseldorf oder per E-Mail an Referat-5@ldi.nrw.de zu senden. Ihre Antworten bitten wir uns in deutscher Sprache zuzuleiten. Soweit sich aus dem von Ihnen ausgefüllten Fragebogen und/oder mitge- | schickten Unterlagen für uns Unklarheiten ergeben, behalten wir uns wei- tere Nachfragen vor. Auch ist nicht auszuschließen, dass wir im An- schluss an das schriftliche Verfahren eine Vor-Ort-Kontrolle vornehmen werden (Art. 58 Abs. 1 lit. f DS-GVO). Gesetzliche Informationen:
& . Juli 2020 Seite 4 von 4 Für Ihre Mitwirkung bereits im Voraus herzlichen Dank. Mit freundlichen Grüßen _ Im Auftrag (..)