CR-online.de Blog

Vorratsdatenspeicherung in der Gastronomie: Kein Essen ohne Kontaktdaten?

avatar  Niko Härting

10.5.2020 – 12:31

Bei der schrittweisen Öffnung der Gastronomie setzen einige Bundesländer auf die Sammlung von Kontaktdaten. Eilig werden Vorschriften über die Datenerhebung erlassen. Die Vorschriften sind von Land zu Land unterschiedlich, der genaue Zweck der Datensammlung bleibt vage. Mit den Vorgaben der DSGVO sind die neuen Vorschriften nicht vereinbar.

  • Beispiel Berlin

§ 6 Abs. 6 der Corona-Verordnung lautet jetzt:

„Gastronomiebetrieben werden Reservierungssysteme oder andere geeignete Verfahren mit Informationen zur Kontaktnachverfolgung dringlich empfohlen. Diese Informationen sind von dem Betreiber für die Dauer von vier Wochen nach Ende des Aufenthaltes aufzubewahren und der zuständigen Behörde auf Verlangen auszuhändigen. Nach Ablauf der Aufbewahrungsfrist sind die Informationen zu löschen oder zu vernichten.“
(Hervorhebungen hinzugefügt)

Anders als in anderen Bundesländern gibt es somit in Berlin keine Verpflichtung zur Erfassung der Kontaktdaten aller Gäste. Allerdings gibt es eine Verpflichtung, „Informationen zur Kontaktnachverfolgung“ vier Wochen lang aufzubewahren und „der zuständigen Behörde auf Verlangen auszuhändigen“. Welche Behörden aus welchem Grund „zuständig“ sein sollen, bleibt unklar, der Zweck der Datenspeicherung („Kontaktnachverfolgung“) vage.

  • Beispiel Nordrheinn-Westfalen

In einer „Anlage ‚Hygiene- und Infektionsschutzstandards‘ zur CoronaSchutzVO NRW heißt es jetzt unter Nr. I. 6.:

Kundenkontaktdaten sowie Zeiträume des Aufenthaltes in der Innen- und Außengastronomie sind für
jede Tischgruppe mittels einfacher, auf den Tischen ausliegender Listen (einschließlich Einverständniserklärung zur Datenerhebung) zur Ermöglichung einer Kontaktpersonennachverfolgung zu erheben und durch den Inhaber unter Wahrung der Vertraulichkeit gesichert für 4 Wochen aufzubewahren.“
(Hervorhebungen hinzugefügt)

In Nordrhein-Westfalen setzt man somit augenscheinlich auf Freiwilligkeit („Einverständniserklärung“). Freiwillig erhobene „Kundenkontaktdaten“ müssen jedoch vier Wochen lang aufbewahrt werden zum Zwecke einer „Kontaktpersonennachverfolgung“. Was unter einer „Kontaktpersonennachverfolgung“ zu verstehen sein soll, bleibt ebenso offen wie Weitergaberechte und -verpflichtungen der Gastronomen. Ob der Gastronom Gästedaten an Behörden weitergeben darf oder muss, bleibt ungeregelt.

  • Beispiel Mecklenburg-Vorpommern

Mehr Mühe mit der Formulierung einer Regelung hat man sich in Mecklenburg-Vorpommern gegeben. Dort heiß es jetzt in § 3 Abs. 1 Satz 2 Nr. 6 Corona-Verordnung:

„Zum Zweck der Nachverfolgung von Infektionen mit Covid-19 muss eine Person pro Gästegruppe in einer Tagesanwesenheitsliste erfasst werden, die die folgenden Angaben enthalten muss: Vor- und Familienname, vollständige Anschrift, Telefonnummer, Tischnummer, sowie Uhrzeit des Besuches der Gaststätte. Die jeweiligen Tageslisten sind vom Betreiber oder der Betreiberin für die Dauer von vier Wochen aufzubewahren und der zuständigen Gesundheitsbehörde im Sinne des § 2 Absatz 1 Infektionsschutzausführungsgesetz Mecklenburg-Vorpommern auf Verlangen vollständig herauszugeben. Die zu erhebenden personenbezogenen Daten dürfen zu keinem anderen Zweck, insbesondere nicht zu Werbezwecken, weiterverarbeitet werden. Die Informationspflicht nach Artikel 13 der Datenschutz-Grundverordnung kann durch einen Aushang erfüllt werden. Die Anwesenheitsliste ist so zu führen und zu verwahren, dass die personenbezogenen Daten für Dritte, insbesondere andere Gäste, nicht zugänglich sind. Wenn sie nicht von der Gesundheitsbehörde angefordert wird, ist die Anwesenheitsliste unverzüglich nach Ablauf der Aufbewahrungsfrist zu vernichten.“
(Hervorhebungen hinzugefügt)

Anders als in Berlin und in Nordrhein-Westfalen besteht eine ausnahmslose Erhebungspflicht, dies allerdings beschränkt auf „eine Person pro Gästegruppe„. Eine Aufbewahrungspflicht besteht für die Dauer von vier Wochen, und die Daten sind den zustädnigen Gesundheitsämtern jederzeit „auf Verlangen vollständig herauszugeben“. Als Zweck der Datenerhebung und -aufbewahrung wird die „Nachverfolgung von Infektionen mit Covid-19“ angegeben.

  • Beispiel Rheinland-Pfalz

In § 2 Abs. 2 Satz 2 Nr. 2 Corona-Verordnung heißt es in Rheinland-Pfalz:

„Es besteht eine Reservierungs- oder Anmeldepflicht unter Angabe der Kontaktdaten (Name, Vorname, Anschrift, Telefonnummer) sämtlicher Gäste. Die Kontaktdaten sind von dem Betreiber der Einrichtung für eine Frist von einem Monat beginnend mit dem Tag des Besuches der Gäste in der Einrichtung aufzubewahren; nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich irreversibel zu löschen. Das zuständige Gesundheitsamt kann, soweit dies zur Erfüllung seiner nach den Bestimmungen des Infektionsschutzgesetzes (IfSG) und dieser Verordnung obliegenden Aufgaben erforderlich ist, Auskunft über die Kontaktdaten der Gäste verlangen; die Daten sind unverzüglich von den Gastronomen zu übermitteln. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. An das zuständige Gesundheitsamt übermittelte Daten sind von diesem unverzüglich irreversibel zu löschen, sobald die Daten für die Aufgabenerfüllung nicht mehr benötigt werden. Der die Reservierung vornehmende Gast ist bei Annahme der Reservierung auf das Vorgehen nach Satz 2 bis 6 hinzuweisen.“

Anders als in Mecklenburg-Vorpommern besteht somit eine Verpflichtung zur lückenlosen Erfassung der Kontaktdaten aller Gäste. Die Daten sind einen Monat lang aufzubewahren. Der Zweck der Datenerhebung und -speicherung bleibt undefiniert. Allerdings sind die Daten jederzeit dem zuständigen Gesundheitsamt zu übermitteln, sofern dies zur Erfüllung der infektionsrechtlicne Aufgaben des Amts „erforderlich“ ist.

Was ist von diesen Bestimmungen zu halten?

Die Sammlung von Gästedaten ist nichts anderes als eine neue Form der Vorratsdatenspeicherung. Denn die Daten werden unabhängig von einer Gefahr, einem Verdacht oder Vorkommnis für den Fall gesammelt, dass sie möglicherweise einmal zur „Kontaktnachverfolgung“ gebraucht werden könnten.

Die Logik der Datensammlung ist simpel: Je mehr Daten man über Aufenthaltsorte hat, desto mehr lassen sich „Kontaktketten“ nachverfolgen. Die ist eine Ãœberwachungslogik, nach der beispielsweise in Nordrhein-Westfalen auch bereits Daten über Friseurbesuche und (demnächst) Besuche im Fitnessstudio gesammelt werden. Und nach dieser Logik gibt es dann eigentlich auch keinen Grund, weshalb eine solche Datenerfassung und -speicherung „auf Vorrat“ nicht auch in Einzelhandelsgeschäften, Museeen, Verkehrsmitteln und Bürgerämtern erfolgen soll.

Was sagt die DSGVO?

Den Gastronomen werden durch die neuen Bestimmungen Datenverarbeitungspflichten auferlegt. Dies ist nach Art. 6 Abs. 1 Satz 1 lit. c DSGVO grundsätzlich zulässig, allerdings nach Art. 6 Abs. 3 Satz 4 DSGVO unter der Maßgabe der Verhältnismäßigkeit:

„Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“
(Hervorhebungen hinzugefügt)

Soweit man unter dem „Zweck“ der Sammlung von Kontaktdaten die „Kontaktnachverfolgung“ versteht, ist dies gewiss ein legitimer Zweck, der auch im öffentlichen Interesse liegt. Die Vorratsdatenspeichrung ist dennoch unverhältnismäßig:

  • Es ist nicht ersichtlich, dass die Gesundheitsämter zu einer „Kontaktnachverfolgung“ überhaupt in der Lage sind, sodass bereits für die Geeignetheit der Datensammlung Zweifel bestehen.
  • Für eine „Kontaktnachverfolgung“ würde es ausreichen, – wie in Mecklenburg-Vorpommern – die Kontaktdaten eines Gastes pro Tisch zu erfassen. Die in anderen Bundesländern angeordnete Erfassung der Daten sämtlicher Gäste ist exzessiv. Es fehlt somit an der Erforderlichkeit.
  • Zu guter Letzt fehlt es auch an der Angemessenheit und somit an der Verhältnismäßigkeit im engeren Sinne. Eine Erfassung von Aufenthaltsorten der Bürger „auf Vorrat“ stellt einen gravierenden Eingriff in Persönlichkeits- und Datenschutzrechte dar, der außer Verhältnis zu der erhofften Idenfizierung des ein oder anderen Infizierten steht. Dass in einem Restaurant, in dem ja ohnehin Abstandsregeln gelten, eine beträchtliche Infektionsgefahr von Gästen an anderen Tischen besteht, ist allenfalls eine vage Annahme, die sich auf keine gesicherten Erkenntnisse stützen kann.

Anzeige:

Mehr zum Autor: RA Prof. Niko Härting ist namensgebender Partner von HÄRTING Rechtsanwälte, Berlin. Er ist Mitglied der Schriftleitung Computer und Recht (CR) und ständiger Mitarbeiter vom IT-Rechtsberater (ITRB) und vom IP-Rechtsberater (IPRB). Er hat das Standardwerk zum Internetrecht, 6. Aufl. 2017, verfasst und betreut den Webdesign-Vertrag in Redeker (Hrsg.), Handbuch der IT-Verträge (Loseblatt). Zuletzt erschienen: "Datenschutz-Grundverordnung".
Beitrag von Niko Härting vom – 12:31. Rubrik: Allgemein, Compliance, Datenschutz (Kap. B), Datenschutz, Datenschutz (Kap. A), Stichwörter: , , , , , , . Lesezeichen: Permalink. Kommentare: RSS-Feed. Trackbacks sind deaktiviert, aber Sie können einen Kommentar schreiben.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.


Twitter, Facebook, ...
Service
© Verlag Dr. Otto Schmidt, Köln