Landesbeauftragte
für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen

LDI NRW, Postfach 20 04 44, 40102 Düsseldorf -

Musteranschreiben „Corona-Prüfungen"

Aufsicht nach Art. 58 der Europäischen Datenschutz-Grund-verord-
. nung (Verordnung (EU) 2016/679, hier: DS-GVO)
' Datenschutzüberprüfung nach Art. 58 Abs. 1 lit. b DS-GVO

Anlagen: Information zur Verarbeitung personenbezogener Daten
durch die LDI (Stand: Mai 2018)

Sehr geehrte Damen und Herren,

die Landesbeauftragte für Datenschutz und Informationsfreiheit Nord-
rhein-Westfalen ist nach Art. 55 DS-GVO, 8 40 Abs. 1 BDSG und 8 26
DSG NRW dafür zuständig, die Einhaltung der datenschutzrechtlichen
Bestimmungen bei Unternehmen in Nordrhein-Westfalen zu überprüfen.

In unserer Funktion als Datenschutzaufsichtsbehörde nach Art. 58 DS-
GVO für den nicht-öffentlichen Bereich in Nordrhein-Westfahlen prüfen
wir stichprobenartig die Umsetzung der datenschutzrechtlichen Vorschrif-
ten in allen Branchen und Unternehmensformen des privaten Rechts.

Ziel unserer Kontrolle gemäß Art. 58 Abs. 1 lit. b DS-GVO ist zu überprü-
fen, ob Sie die Verarbeitung der Kontaktdaten Ihrer Kundinnen und Kun-
den in Zusammenhang mit der Coronaschutzverordnung Nordrhein-
Westfalen (CoronaSchVO NRW) datenschutzkonform vornehmen.

Hierzu verweise ich zunächst auf unsere Hinweise auf der Homepage der
LDI NRW unter folgendem Link: Be

 

. Juli 2020
Seite 1 von 4

Aktenzeichen
bei Antwort bitte angeben
Muster

Telefon 0211 38424-98
Fax 0211 38424-10

Dienstgebäude und Lieferan- .

schrift:
Kavalleriestraße 2 - 4
40213 Düsseldorf
Telefon 02 11-38424-0
Telefax 0211 38424-10
poststelle@ldi.nrw.de
www.ldi.nrw.de

Öffentliche Verkehrsmittel:
Rheinbahnlinien 708, 709
Haltestelle Poststraße

https://www.ldi.nrw.de/mainmenu Datenschutz/submenu Datenschutz-

recht/Inhalt/Corona- und-Datenschutz/Gastronomie-Hinweise. html

Bitte beantworten Sie uns folgende Fragen:

—

. Wie informieren Sie im Sinne von Art. 13, 14 Datenschutz-Grundver-
‘ordnung Ihre Kundinnen und Kunden über den Zweck der Kontaktda-
tenerfassung (Nachverfolgbarkeit möglicher Infektionsketten und Zu-
gangsbeschränkungen)? Haben Sie z.B. ein Informationsblatt ausge-
wat?

nn °

. Wie wird die Liste zum Zwecke der Eintragung der Kundin oder dem
Kunden ausgehändigt? Werden die Voreintragungen abgedeckt?
Wird für jede neue Gästegruppe an einem Restauranttisch eine Blan-
koliste ausgehändigt?

3. Setzen Sie eine digitale Datenerfassung ein? Wenn ja, wie funktio-
niert diese? Wie erfolgt die digitale Speicherung und mit welcher Sor-
tierung (z.B. nach Besuchsdatum)? Haben Sie für die Erfassung der
Kontaktdaten einen Dienstleister beauftragt und wenn ja, welchen
(bitte vollständige Anschrift)?

4: Wie bewahren Sie die Kontaktdatenlisten in Papierform auf und wer
hat Zugang zu den Daten? Sind alle Zugangsberechtigten von Ihnen

über den datenschutzkonformen Umgang mit diesen Daten unterrich-

tet (insb. über den Schutz vor Einsicht durch unberechtigte Dritte, en-
ger Verwendungszweck)?

5. Wie stellen Sie die regelmäßige Vernichtung der Kontaktdatenlisten
in Papierform bzw. der elektronischen Datensammlung sicher? Die
Daten sind r nur vier Wochen aufzubewahren.

Hinweis:

Die Vernichtung der Kontaktdatenlisten in Papierform darf nicht nur durch
einfaches Zerreißen erfolgen, sondern sie müssen datenschutzkonform ver-
nichtet werden (z.B. mittels Aktenvernichter der Sicherheitsstufe 4 und hö-

her). Auch elektronische Datenerfassungen sind nach dem Stand der Tech-

nik sicher zu löschen. Sollten Sie hierfür einen Dienstleister in Anspruch
nehmen, haben Sie sich die Sicherheit des Löschvorgangs bestätigen zu

 

. Juli 2020
Seite 2 von 4

lassen. “ Juli 2020
. Seite 3 von 4
6. Haben Sie bereits Daten nach schriftlicher Aufforderung aneine Ord-
nungsbehörde/Gesundheitsbehörde übermittelt und — wenn ja — wie
ist diese Übermittlung erfolgt (sicherer Übertragungsweg)?

7. wie gehen Sie mit Ihren Kundinnen oder Kunden um, wenn diese
Ihnen datenschutzrechtliche Bedenken vortragen (z.B. durch Verweis
auf die Coronaschutzverordnung des Landes NRW, Verwendung nur
für die Nachverfolgbarkeit einer Infektionskette, Sicherung der Anga-
ben vor dem Zugriff unbefugter Dritter, Löschung nach vier Wochen)?

Ihre Antworten bitte ich bis zum (4 Wochen) entweder postalisch an

Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen

Referat5

Kavalleriestraße 2-4

40102 Düsseldorf

oder

per E-Mail an

Referat-5@ldi.nrw.de

zu senden. Ihre Antworten bitten wir uns in deutscher Sprache zuzuleiten.

Soweit sich aus dem von Ihnen ausgefüllten Fragebogen und/oder mitge- |
schickten Unterlagen für uns Unklarheiten ergeben, behalten wir uns wei-
tere Nachfragen vor. Auch ist nicht auszuschließen, dass wir im An-
schluss an das schriftliche Verfahren eine Vor-Ort-Kontrolle vornehmen
werden (Art. 58 Abs. 1 lit. f DS-GVO).

Gesetzliche Informationen:

&

. Juli 2020
Seite 4 von 4

 

Für Ihre Mitwirkung bereits im Voraus herzlichen Dank.

Mit freundlichen Grüßen _
Im Auftrag

(..)