HTTP 200 OK
Allow: GET, PUT, PATCH, HEAD, OPTIONS
Content-Type: application/json
Vary: Accept
{
"resource_uri": "https://fragdenstaat.de/api/v1/message/524981/?format=api",
"id": 524981,
"url": "https://fragdenstaat.de/anfrage/dokumentation-teilnehmer-in-fitnessstudios-corona/#nachricht-524981",
"request": "https://fragdenstaat.de/api/v1/request/198823/?format=api",
"sent": true,
"is_response": true,
"is_postal": false,
"is_draft": false,
"kind": "email",
"is_escalation": false,
"content_hidden": false,
"sender_public_body": "https://fragdenstaat.de/api/v1/publicbody/4082/?format=api",
"recipient_public_body": null,
"status": "resolved",
"timestamp": "2020-10-01T09:55:58+02:00",
"registered_mail_date": null,
"redacted": false,
"not_publishable": false,
"attachments": [],
"subject": "Dokumentation Teilnehmer in Fitnessstudios- Corona [#198823]",
"content": "Sehr geehrter Herr Möller,\n\ndie Zulässigkeit der Erhebung und Erfassung als eine Form der Verarbeitung von personenbezogenen Daten richtet sich nach Art. 6 DS-GVO. Diese ist u.a. dann rechtmäßig, wenn sie nach Abs. 1 lit. e DS-GVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Ein öffentliches Interesse ist gegeben, wenn Epidemien oder Pandemien zum Gesundheitsschutz der Bevölkerung eingedämmt werden sollen.\n\nDie Rechtsgrundlage für die zulässige Datenverarbeitung ergibt sich aus § 2a Abs. 1 CoronaSchVO (Stand 01.10.20) und Nr. 1 der korrespondierenden Anlage VII. Danach sind die Daten in dem dort aufgeführten Umfang durch die anwesenden Personen zu erbringen, um eine einfache Rückverfolgung zu gewährleisten. Der Umfang der Datenerhebung erfasst neben den Namen, der Anschrift und der Telefonnummer bei wechselnden Personenkreisen auch die Dauer des Aufenthalts in der Einrichtung. Sinn und Zweck dieser Norm ist es, mögliche Infektionsketten zügig nachverfolgen zu können, um die erforderlichen Maßnahmen im Bedarfsfall zum Schutz der Bevölkerung einzuleiten.\nVon der gesonderten Erhebung der Adressdaten und Telefonnummern kann - wie von Ihnen korrekt dargestellt- nach § 2a Abs.1 S. 2 CoronaSchVO NRW abgesehen werden, wenn diese Daten dem Verantwortlichen (hier dem Fitnessstudiobetreiber/ Inhaber) bereits vorliegen. Ich teile Ihre Auffassung, dass diese letztgenannten Daten nicht erfasst werden müssen, soweit der Verantwortliche diese Daten seiner Kundendatei entnehmen kann. Aus meiner Sicht ist es weniger vorstellbar, dass eine solche Datei u.a. für die Vertragsunterlagen, etwaige Trainingspläne usw. beim Inhaber nicht existiert.\nSofern allerdings diese Datei in der Tat ausgelagert sein sollten und z.B. die Verwaltung der Kundenverträge einem Steuerberater übertragen worden ist, somit die Daten dem Inhaber nicht unmittelbar zur Verfügung stehen, ist die gesonderte Erfassung auch weiterhin erforderlich und in der Folge rechtlich zulässig. Tatsächlich verfügt der Inhaber in einem solchen Fall nicht über die entsprechenden Daten und könnte die rechtlichen Vorgaben der Schutzverordnung nicht erfüllen. Es muss jedoch in jedem Stadium des Betriebs sichergestellt sein, dass im Infektionsfall umgehend die entsprechenden Informationen den zuständigen Behörden zur Verfügung gestellt werden können. Das wäre bei der Auslagerung nicht zu gewährleisten, insbesondere, wenn der Steuerberater z.B. außerhalb der Geschäftszeiten nicht erreichbar ist.\n\nUnabhängig davon bleibt der Inhaber nach § 2a Abs. 3 CoronaSchVO NRW verantwortlich, die personenbezogenen Daten nach den geltenden datenschutzrechtlichen Vorschriften zu verarbeiten, insbesondere vor dem Zugriff Unbefugter zu sichern und nach Ablauf von vier Wochen vollständig datenschutzkonform zu vernichten.\n\nIch hoffe, Ihnen mit meiner Stellungnahme geholfen zu haben.\nDiese Auskunft ergeht gebührenfrei.\n\nMit freundlichen Grüßen",
"redacted_subject": [
[
false,
"Dokumentation Teilnehmer in Fitnessstudios- Corona [#198823]"
]
],
"redacted_content": [
[
false,
"Sehr geehrter Herr Möller,\n\ndie Zulässigkeit der Erhebung und Erfassung als eine Form der Verarbeitung von personenbezogenen Daten richtet sich nach Art. 6 DS-GVO. Diese ist u.a. dann rechtmäßig, wenn sie nach Abs. 1 lit. e DS-GVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Ein öffentliches Interesse ist gegeben, wenn Epidemien oder Pandemien zum Gesundheitsschutz der Bevölkerung eingedämmt werden sollen.\n\nDie Rechtsgrundlage für die zulässige Datenverarbeitung ergibt sich aus § 2a Abs. 1 CoronaSchVO (Stand 01.10.20) und Nr. 1 der korrespondierenden Anlage VII. Danach sind die Daten in dem dort aufgeführten Umfang durch die anwesenden Personen zu erbringen, um eine einfache Rückverfolgung zu gewährleisten. Der Umfang der Datenerhebung erfasst neben den Namen, der Anschrift und der Telefonnummer bei wechselnden Personenkreisen auch die Dauer des Aufenthalts in der Einrichtung. Sinn und Zweck dieser Norm ist es, mögliche Infektionsketten zügig nachverfolgen zu können, um die erforderlichen Maßnahmen im Bedarfsfall zum Schutz der Bevölkerung einzuleiten.\nVon der gesonderten Erhebung der Adressdaten und Telefonnummern kann - wie von Ihnen korrekt dargestellt- nach § 2a Abs.1 S. 2 CoronaSchVO NRW abgesehen werden, wenn diese Daten dem Verantwortlichen (hier dem Fitnessstudiobetreiber/ Inhaber) bereits vorliegen. Ich teile Ihre Auffassung, dass diese letztgenannten Daten nicht erfasst werden müssen, soweit der Verantwortliche diese Daten seiner Kundendatei entnehmen kann. Aus meiner Sicht ist es weniger vorstellbar, dass eine solche Datei u.a. für die Vertragsunterlagen, etwaige Trainingspläne usw. beim Inhaber nicht existiert.\nSofern allerdings diese Datei in der Tat ausgelagert sein sollten und z.B. die Verwaltung der Kundenverträge einem Steuerberater übertragen worden ist, somit die Daten dem Inhaber nicht unmittelbar zur Verfügung stehen, ist die gesonderte Erfassung auch weiterhin erforderlich und in der Folge rechtlich zulässig. Tatsächlich verfügt der Inhaber in einem solchen Fall nicht über die entsprechenden Daten und könnte die rechtlichen Vorgaben der Schutzverordnung nicht erfüllen. Es muss jedoch in jedem Stadium des Betriebs sichergestellt sein, dass im Infektionsfall umgehend die entsprechenden Informationen den zuständigen Behörden zur Verfügung gestellt werden können. Das wäre bei der Auslagerung nicht zu gewährleisten, insbesondere, wenn der Steuerberater z.B. außerhalb der Geschäftszeiten nicht erreichbar ist.\n\nUnabhängig davon bleibt der Inhaber nach § 2a Abs. 3 CoronaSchVO NRW verantwortlich, die personenbezogenen Daten nach den geltenden datenschutzrechtlichen Vorschriften zu verarbeiten, insbesondere vor dem Zugriff Unbefugter zu sichern und nach Ablauf von vier Wochen vollständig datenschutzkonform zu vernichten.\n\nIch hoffe, Ihnen mit meiner Stellungnahme geholfen zu haben.\nDiese Auskunft ergeht gebührenfrei.\n\nMit freundlichen Grüßen"
]
],
"sender": "Gesundheitsamt Kreis Mettmann",
"status_name": "Anfrage abgeschlossen",
"last_modified_at": "2024-01-03T16:02:23.118447+01:00"
}