Nach den intensiven Einschränkungen jeglichen öffentlichen Lebens kehrt ein bisschen Normalität zurück. Jedoch um einen Preis: Wer ein Café oder Restaurant besucht, muss seine Kontaktdaten hinterlegen. Ist das datenschutzrechtlich vertretbar? Und worauf müssen Gastronomen während Corona achten?
Warum werden überall Kontaktdaten gesammelt?
Obwohl sich die verschiedenen Interessensgruppen zwischenzeitlich darauf geeinigt haben, wie eine kommende Corona-App aussehen soll, wird es noch dauern, bis eine funktionstüchtige App verfügbar ist und von den meisten Smartphone-Nutzern auch installiert wurde.
Um bei einem Infektionsfall mit dem hochansteckendem Covid-19 Virus schnell mögliche Kontaktpersonen der Erkrankten nachvollziehen zu können, müssen Besucher von fast jedem öffentlichen und halb-öffentlichen Ort nun ein Formular ausfüllen und dort personenbezogene Daten wie Name und Adresse hinterlegen. Die Eigentümer des Ortes, beispielsweise Gaststättenbetreiber müssen die Formulare anschließend vier Wochen lang vertraulich aufbewahren.
Sollte ein Mensch sich mit Covid-19 infizieren, kann er das zuständige Gesundheitsamt nun informieren, in welchen Lokalen etc. er sich aufgehalten hat und nun können die Ämter händisch die möglichen Kontaktpersonen identifizieren und vor dem Virus warnen. Aus der Perspektive des Seuchenschutzes ist dieses Vorgehen verständlich – aber gibt es dafür eine datenschutzrechtliche Grundlage? Dürfen diese Daten überhaupt gesammelt werden?
Die Datenerhebung ist eine Sache der Verhältnismäßigkeit
Die europäische Datenschutzgrundverordnung sieht eine Ausnahmesituation wie die Corona-Krise nicht vor. Daher ist an dieser Stelle Fingerspitzengefühl von Seiten der politisch verantwortlichen wie derjenigen gefragt, die die Regelungen umsetzen müssen. Vor dem Hintergrund der Gefahren, die durch eine Infektion mit dem Covid-19 Virus für Leib und Leben einher gehen, sind die datenschutzrechtlichen Probleme, die mit der Erhebung der Kontaktdaten der Besucher einhergehen, zu vertreten.
Da Gastronomen aufgrund der rechtlichen Vorschriften ihrer Arbeit nur dann nachgehen dürfen, wenn sie die Daten ihrer Kunden erheben, besteht für die Gastronomen so eine Rechtsgrundlage nach Art. 6 DSGVO. Denn die Erhebung der personenbezogenen Daten durch den Gastronomen ist durch die entsprechenden Vorgaben der Infektionsschutzgesetze vorgesehen, was die Rechtsgrundlage nach sich zieht. Außerdem könnte man den Besuch des Restaurants als Einwilligung zur Datenverarbeitung verstehen.
Die meisten Bundesländer geben auch relativ strenge Regeln vor, wie die Erhebung der personenbezogenen Daten vor sich gehen soll. In Nordrhein-Westfalen und Hessen beispielsweise müssen Restaurant- und Café-Betreiben (u.a.) auf den Tischen Formulare für ihre Gäste auslegen. Auch haben die meisten Bundesländer mehr oder weniger brauchbare Handreichungen mitgegeben, auf was beim Umgang mit den Daten zu achten ist.
Der Vorsitzende der Stiftung Datenschutz, Frederick Richter, sieht in der Erhebung der Daten auch kein grundsätzliches Problem. Allerdings sei eine verschlüsselte Speicherung der Daten wünschenswert gewesen. Aber vor allem wundert er sich, dass es überhaupt keine gesellschaftliche Debatte im Vorfeld dieser Maßnahme gegeben hatte. Vielleicht waren alle nur erleichtert, wieder in einem Café Kaffee trinken zu dürfen.
Wie sollten Gastronomen mit personenbezogenen Daten umgehen?
Durch die Regelungen fürchtet manch ein Gastronom in einer endlosen Papierflut untergehen zu müssen. Dennoch ist die Abgabe eines Formulars pro Gästegruppe noch immer der beste Weg. Das Anliegen Papier und Arbeit zu sparen, ist kein ausreichender Grund für eine lange Liste mit Gästen, die jeder einsehen kann, der sich in ebenjene Liste einträgt. Hierbei handelt es sich um einen eklatanten Verstoß gegen den Datenschutz: Die Daten müssen vertraulich bleiben. Aus diesem Grunde klagte auch ein Rechtsanwalt vor dem Oberverwaltungsgericht Münster. Alle bisherigen Standards zur Sicherung und Übermittlung von Daten würden bei den Corona-Maßnahmen missachtet. Das Urteil hierzu steht noch aus.
Auch die beeindruckende Leistung des Kölner Vereins „Veedelsretter,“ eine eigene App zu programmieren, muss aus datenschutzrechtlicher Perspektive kritisch gesehen werden. Mit dieser App müssen Gastronomiegäste kein Formular aus Papier nutzen, sondern können einfach ihre Daten mit einem QR-Code übermitteln. Denn ist bei dieser App die Sicherheit der Daten vor unbefugtem Zugriff ausreichend geschützt? Und wie wird sichergestellt, dass im Fall der Fälle auch die Mitarbeiter des Gesundheitsamt nur die relevanten Daten abrufen können – und nicht gleich alle?
Wie gehen Gastronomen richtig vor?
Um rechtlich wirklich auf der sicheren Seite zu sein, sollten Gastronomen bei der Erhebung ein paar Punkte beachten.
- Nicht mehr Daten erheben, als die geltende Rechtslage erfordert. Die erhobenen Daten der Gäste sollten so sparsam und zweckgebunden wie möglich erhoben werden. Daher erheben Gastronomen am besten auch nur die Daten, die der Gesetzgeber vorschreibt.
- Die Daten müssen zweckgebunden genutzt werden. Die personenbezogenen Daten sollten auch tatsächlich nur für eine Rückverfolgung einer Infektionskette genutzt werden.
Wenn die Daten auch für weitere Zwecke genutzt werden sollen, müssen Gastronomen über diese Datennutzung aus ausdrücklich auf dem Formular informieren.
- Die Gäste informieren. Auch wenn die Daten nur für die Gesundheitsämter erhoben werden, sollten Gastronomen trotzdem ein Informationsblatt erstellen, die erklären welche Daten aus welchem Grund erhoben werden. Außerdem informiert dieses Blatt darüber, wie die Daten gespeichert und ggf. weitergegeben werden.
- Die Daten müssen vertraulich behandelt werden. Anstelle einer langen, offen einsehbaren Gästeliste tragen sich die Gäste im besten Fall in ein Formular ein, das anschließend vom Personal eingesammelt und vertraulich gelagert wird.
Personalausweise dürfen nicht kopiert werden. Zwar dürfen sich Gastronomen sich den Personalausweis vorzeigen lassen, aber diese Daten nicht speichern. Der Personalausweis enthält weitere Daten, die nicht erhoben werden müssen – deswegen wäre eine Fotografie des Personalausweises datenschutzrechtlich nicht zulässig.
Die Verordnungsgeber geben eine Aufbewahrungsfrist von ca. 4 Wochen an. Danach besteht keine Gefahr der Ansteckung mehr und der Gastronom muss die erhobenen Daten der Gäste unwiderruflich löschen.