Eine Frage höre ich immer öfter:
Wie erkenne ich, ob mein Datenschutzbeauftragter gute Arbeit leistet?
Diese Frage begleitet mich schon seit langem.
Neulich auf der Terrasse eines Restaurants sollte ich ein Formular
ausfüllen und wurde nachdenklich. – Es geht natürlich um die Kontaktketten
bzw. um die Gästelisten die jedes Restaurant führen muss.
Rechtsgrundlage hierfür ist das Infektionschutzgesetz §§ 16, 25.
Dabei werden personenbezogene Daten erhoben. Bei uns in Baden-Württemberg
ist dies in der Corona-Gaststättenverordnung geregelt unter § 2, Abs.3:
- Folgende Daten der Gäste müssen erhoben und gespeichert werden:
1. Name und Vorname des Gastes
2. Datum, sowie Beginn und Ende des Besuchs
3. Telefonnr oder Adresse des Gastes.
Die Gäste dürfen die Gaststätte nur besuchen, wenn Sie die Daten nach Satz 1
dem Betreiber vollständig und zutreffend zur Verfügung stellen.
Diese Daten sind vom Betreiber vier Wochen nach der Erhebung zu löschen.
Die allgemeinen Bestimmungen über die Verarbeitung von personenbezogen Daten bleiben davon unberührt.
Die Formulierung ist klar und eindeutig.
Ich jedoch hielt eine DIN A4 Seite in der Hand, versehen mit folgendem Text:
Eine Einwilligung zur Datenerhebung?
Wozu eine Einwilligung für die Erhebung personenbezogener Daten nach DSGVO?
In diesem Fall steht das Infektionschutzgesetz über der DSGVO!
Interessant wird es bei der Löschpflicht.
Die Verordnung schreibt klar vor: Löschung 4 Wochen nach Erhebung.
Löschung nach Ende der Pandemie ist so ganz und gar nicht DSGVO konform.
Schon alleine die Vorstellung des Papierberges, der sich bis zum Ende
der Pandemie ansammeln würde, macht mich sprachlos.
Wie würde GH2 das lösen?
- 1. Ein Infoblatt erstellen und für alle zugänglich auslegen.
2. Die 3 oben genannten Datensätze erheben und unterschreiben lassen.
3. Die Garantie einer vollständigen DSGVO konformen Löschung aussprechen und die Zusage,
dass die Daten nicht zweckentfremdet verarbeitet werden.
Kurz, auf den Punkt und immer machbar für den Kunden,
so verstehen wir von GH2 Datenschutz.