Seit heute ist es fix: Beim Gasthausbesuch müssen wir uns registrieren.
Die Corona-Zeit ist eine herausfordernde Zeit für den Datenschutz. In solchen Zeiten mag es Sinn machen, dass Maßnahmen ergriffen werden, welche die Persönlichkeitsrechte von Personen und den Datenschutz strapazieren. Sei es durch Listen der persönlichen Kontaktdaten die von Arbeitgebern erhoben werden, die Diskussion ob eine verpflichtende contact-tracing-App installiert werden muss, oder wie gerade aktuell das Führen von Besucherlisten bei einem Gastronomiebesuch. Diese Regeln mögen alle Sinn machen um einen noch größeren Ausbruch der Corona-Pandemie zu verhindern, sind aber auf alle Fälle kritisch zu hinterfragen.
Sehr oft habe ich in Diskussionen vernommen, dass in solchen Zeiten der Datenschutz ausgesetzt wird bzw. keine Anwendung mehr findet.
Krise hin oder her, die Grundsätze des Datenschutzes gelten auch in Krisenzeiten, und können nicht einfach so ausgehebelt oder ausgesetzt werden.
Was sind nun die wichtigsten Datenschutzgrundsätze (definiert im Artikel 5 der DSGVO), und was bedeuten sie für die Besucherregistrierung beim Gastronomiebesuch?
Rechtmäßigkeit
Wenn man personenbezogene Daten verarbeiten will braucht man dafür immer eine Rechtsgrundlage. Bei einer freiwilligen Registrierung in der Gastronomie war es die Einwilligung. Das dies nicht effektiv ist liegt auf der Hand, wenn in einem Infektionsfall nicht alle Betroffenen verständigt werden können. Eine andere rechtliche Grundlage ist, dass ein Gesetz zur Durchführung der Registrierungspflicht gibt. Im Epidemiegesetz oder in der Covid-19 Maßnahmenverodnung findet sich hierzu nichts. Also wird der Weg über Verordnungen der Länder sein, die ja schon in einigen Bundesländern, jetzt auch in Vorarlberg Realität wird.
Verarbeitung nach Treu und Glauben, Transparenz
Dies bedeutet, dass der Gast genau wissen muss, dass Daten von ihm erhoben werden, welche Daten von Ihm erhoben werden und was mit diesen Daten passiert. z.B. Wo sie wie lange gespeichert werden und wer die Daten bekommt (z.b. im Anlaßfall die Landessanitätsdirektion).
Zweckbindung
Dieser Grundsatz ist äußerst wichtig. Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie auch erhoben wurden. Das heißt, dass Daten die für ein eventuelles Corona-Kontakt-Tracing erhoben wurden auch nur dafür verwendet werden dürfen. Dass ich diese Daten nutze um Gäste zu kontaktieren (egal per Telefon oder oder Mail) um sie zu bewerben ist somit untersagt.
Datenminimierung
Das bedeutet, dass nur so viel Daten erhoben werden dürfen, die ich zur Erreichung des Zweckes auch benötige. Für ein Corona-Kontakt-Tracing wären somit Name, Adresse, Telefonnummer und ev. Emailadresse. Einkommen, Alter, Beruf oder ähnliches braucht es nicht zur Erfüllung des Zweckes, der Kontaktaufnahme im Anlassfall und sind somit nicht zulässig. Maximal darf ich das als freiwillige Angabe anführen, dies muss aber transparent gekennzeichnet sein.
Speicherbegrenzung
Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den Zweck dienlich ist, danach sind sie zu löschen. d.h. dass wenn der Anlassfall nicht mehr gegeben ist, sind sie zu löschen. Gab es keinen infizierten Gast, so sind die Daten nach einem Zeitraum. In den Verordnungen findet sich hier eine Aufbewahrungspflicht von 4 Wochen. Danach sind die Gästedaten ausnahmslos zu löschen.
Integrität und Vertraulichkeit
Personenbezogene Daten die verarbeitet werden müssen streng vertraulich und sicher verarbeitet werden. Das heißt, die Kontaktblätter für niemanden einsehbar sein dürfen und an einem versperrten Ort gelagert werden müssen. Dies ist ein kritischer Punkt da dies ein administrativer Aufwand bedeutet. Hier wäre der Weg der in Tirol gegangen wird sicher eine saubere Lösung. Das Kontakt-Tracing erfolgt über eine App, auf die die Landessanitäsdirektion im Anlassfall Zugriff hat. Die Gastronimiebetreiber werden dadurch auch entlastet.
FAZIT:
eine Kontaktverfolgung im Anlassfall macht sicher Sinn um die weitere Ausbreitung der COVID-19 Pandemie einzudämmen. Aus datenschutzrechtlicher Sicht ist aber genau darauf zu achten, dass die Verarbeitung der Kontaktdaten von Gästen unter größtmöglichem Schutz der Persönlichkeitsrechte der Gäste passiert. Wie mit dem Problem der falschen Angaben der Kontaktdaten umgegangen wird ist noch nicht ganz klar aus meiner Sicht. Dies ist aber sichtlich ein Problem. Aus Deutschland gibt es Zahlen, dass ca. ein Drittel der Kontaktdaten falsch sind. hier kann wahrscheinlich nur an die Eigenverantwortung der Gäste appelliert werden und durch ausreichende Information Unsicherheit und Misstrauen gegenüber der Registrierungspflicht ausgeräumt werden.
zum Autor:
Johannes Nicolussi ist zertifizierter Datenschutzbeauftragter, geprüfter Datenschutzexperte und zertifizert nach ISO 27001. Er ist Unternehmensberater für Datenschutz und Informationssicherheit und berät vorwiegend Gemeinden und Unternehmen im Sozial- und Gesundheitsbereich. Für das WIFI der Wirtschaftstkammer Tirol war er Vortragenden bzgl. der Einführung der Datenschutzgrundverordnung für die Tourismusbetriebe in Tirol
Es ist in D und einigen Schweizer Kantonen seit Monaten so, daß man sich in eine Liste im Restaurant einträgt. Bis man bestellt hat, ist der Zettel ausgefüllt.
Wer ein Smartphone mit sich herumträgt, ist nach Schweizer Vorschriften sowieso sechs Monate „überwacht“, so lange werden u.a. seine Bewegungsdaten vom Provider aufgezeichnet.
Das alles ist das viel kleinere Übel als der Lockdown oder die Reisperre.
Vielleicht müßten wir uns von facebook und google-maps und whatsapp abmelden, wenn wir die Bewegungsprofile nicht teilen wollen? Oder das Smatphone in einer Blechschachtel mittragen?
Danke dennoch für Ihren klugen Artikel, schöne Grüße,
Mein Tipp: habt immer ein paar Adressaufkleber dabei, das geht schnell und es sind nur die Daten drauf, die hinterlegt werden müssen. Steht mehr drauf, dann mit Edding schwärzen.