In einigen Bundesländern sehen Verordnungen eine Registrierungspflicht für Besucher vor. Andere Bundesländer empfehlen dies zumindest. Juristisch verarbeitet der Restaurantinhaber damit personenbezogene Daten. Als sog. verantwortliche Stelle ist er für die Beachtung der gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) verantwortlich. Diese Pflicht besteht unabhängig davon, wie die Verordnung des jeweiligen Bundeslandes ausgestaltet ist. Erfolgt die Datenverarbeitung nicht gesetzeskonform (egal ob sie auf einer Verordnung oder einer Empfehlung beruht), so drohen dem Inhaber (erhebliche) Bußgelder und Entschädigungsansprüche seitens der Gäste. Und kein Gastwirt möchte beispielsweise, dass weibliche Gäste durch Aushilfspersonal, das auf die hinterlegten Daten Zugriff hat, im Nachhinein gestalkt werden.
Folgende Eckpunkte sollten daher unbedingt beachtet werden, um sich nicht angreifbar zu machen:
Zweckbindung
Die Zweckbindung der Datenerhebung ist eine der elementaren Regeln der DS-GVO. Die zu Corona-Zeiten erfassten Daten dürfen ausschließlich zur Eindämmung der Pandemie durch die Identifizierung der Kntaktpersonen genutzt werden.
Stalking oder freundlich gemeinte Dating-Anfragen sind dabei selbstverständlich nicht vom Zweck erfasst.
Empfehlung:
Mitarbeiter sind zu sensibilisieren, dass eine unautorisierte Nutzung der Daten zu Konsequenzen sowohl für Mitarbeiter als auch den Vorgesetzten führen kann.
Umfang der verarbeiteten Daten
Die jeweiligen Landesverordnungen – so vorhanden – geben vor, welche Daten zu erfassen sind. In der Regel sind: Name (inkl. Vorname), Datum, Beginn und Ende des Besuchs mit Uhrzeit sowie Kontaktdaten (Telefonnummer, Adresse oder E-Mail).
Die Erhebung von Gesundheitsdaten („waren Sie krank?“, „zeigen Sie Symptome?“) ist zur Erreichung des Zwecks einer Nachverfolgung von Infektionsketten nicht notwendig. Aber Hygiene-Konzepte können zum Zwecke der Vermeidung von Infektionen gemäß Art. 9 Abs. 2 DS-GVO grundsätzlich zulässig sein. Datenschutzrechtlich sicherer wäre ein Hinweis an die Gäste, dass bei Vorliegen von Symptomen einer akuten Atemwegserkrankung jeglicher Schwere oder von Fieber eine Bewirtung nicht möglich ist (so bspw. Bayerisches Corona-Pandemie: Hygienekonzept Gastronomie).
Empfehlung:
Hinsichtlich der Frage, welche Daten gesammelt werden, empfiehlt es sich, sich an der jeweiligen Landesverordnung zu orientieren und dabei auf Änderungen der Vorschriften zu achten, die sich regelmäßig erfolgen.
Form der Datenerhebung
Auf welche Art und Weise sollten die Daten erhoben werden? Der klassische Zettel oder besser eine der neu entwickelten Corona-Apps?
Sofern die jeweilige App die Sicherheit der Daten garantiert, das Löschkonzept ermöglicht und die Daten verfügbar macht, ist es sinnvoll, diesen Service in Anspruch zu nehmen. Aus datenschutzrechtlicher Sicht bestehen dann keine Bedenken.
Wer sich für die Variante des händisch auszufüllenden Zettels entscheidet, sollte genauestens auf die Durchführung achten.
Die Daten sind vor dem Zugriff unberechtigter Dritter zu schützen. Ein fortlaufender Bogen, auf dem die neuen Gäste die Daten ihrer Vorgänger einsehen können, ist daher ein datenschutzrechtliches No-Go!
Die Daten sind aber auch intern vor unberechtigtem Zugriff zu schützen und zu sichern. Es reicht daher nicht, wenn beispielsweise jeder Mitarbeiter frei und ohne klare Anweisungen ausgefüllte Zettel entgegennimmt und diese an einem unabgeschlossenen Ort deponiert.
Empfehlung:
- Je Gast einen Bogen anlegen
- Dokumentieren, welcher Mitarbeiter, wann Zugriff hat
- Die entgegengenommenen Bögen unverzüglich verschließen und sicher aufbewahren
Denkbar wäre es bspw., wenn der Gast seine Daten in ein Formular einträgt, dieses zweimal faltet und es anschließend geklammert wird. Außen werden Name, Vorname, Datum und Uhrzeit vermerkt. Kenntnis von der Telefonnummer, Adresse etc. erlangt der Inhaber erst bei Öffnen/Entfernen der Verklammerung.
Datenschutzkonzept
Auch der kleine Betrieb, der Daten nur zu Corona-Zeiten sammelt, sollte ein Datenschutzkonzept formulieren. Dies kann natürlich sehr kurz und schlicht gehalten werden. Wichtig ist, die Einhaltung der Vorgaben zu kontrollieren.
Empfehlung:
Es ist ausreichend, schriftlich genau festzulegen, wo die Daten aufbewahrt werden, wer Zugriff hat und wie die Daten verwaltet werden.
Informationspflichten
Beispiel aus der bayerischen Corona-VO (4. BayIfSMV vom 05. Mai 2020): „Der Gastgeber hat den Gast bei Erhebung der Daten entsprechend den Anforderungen an eine datenschutzrechtliche Information gemäß Art. 13 DS-GVO in geeigneter Weise zu informieren.“
Diese Pflicht trifft allerdings nicht nur Betriebe aus dem Süden Deutschlands. Auch in Bundesländern, in denen diese Informationspflichten nicht explizit in eine Corona-Verordnung gegossen sind oder entsprechende Verordnungen nicht existieren, sind diese Pflichten aufgrund der Bestimmungen der DS-GVO zu beachten.
Empfehlung:
Verständlicher Aushang oder Übergabe eines Info-Zettels bezüglich der Rechte und Pflichten aus Art. 13 DS-GVO (ggf. Link/QR-Code zu einem Vordruck)
Löschroutine
Die meisten landesrechtlichen Verordnungen sehen eine Löschpflicht nach vier Wochen oder einem Monat zu löschen. Aber auch unabhängig dieser Verordnungen sind die Daten zu löschen, sobald sie für ihren Zweck nicht mehr benötigt werden.
Empfehlung:
- Automatisierte Löschfunktion einer App nutzen.
- Bei der Verwendung ausgefüllter Bögen ist unbedingt auf eine Ordnung zur Einhaltung der Fristen zu achten.
- Darüber hinaus sind die Bögen datenschutzkonform zu entsorgen, d.h. z.B. zu schreddern oder in sog. Daten-Tonnen werfen. Nicht datenschutzkonform wäre der schlichte Einwurf in den Papiermüll oder das Schreddern mit einem nicht DIN-konformen Gerät.
Auskunftsrecht
Zu beachten ist, dass jeder Besucher, dessen Daten gesammelt wurden, ein Auskunftsrecht über die Art der Daten hat. Beispiel: Herr Maier war am 15.05. zu Gast und fragt am 12.06. nach seinen Daten.
Empfehlung:
Die betroffenen Betriebe müssen gewährleisten, dass Anfragen im Nachgang innerhalb eines Monats beantwortet werden können. Dies kann mittels App oder eines Datenbanksystems vorbereitet werden.
Rechtliche Grundlage
Die Daten können auf Grundlage einer Einwilligung oder auf Grundlage des Art. 6 Abs. 1 lit. c DS-GVO erhoben werden. Es reicht aus, den Gast auf die Norm der DS-GVO zu verweisen. Einer expliziten Einwilligung bedarf es dann nicht mehr.
Sich als einzige Rechtsgrundlage nur auf die Einwilligung verlassen, ist nicht empfehlenswert. Die Einwilligung ist nämlich jederzeit widerruflich. Würde z.B. ein Gast unmittelbar nach Verlassen der Lokalität die Löschung seiner Daten verlangen, stünde der Wirt, der sich nur auf die Einwilligung verlassen hat, vor dem Dilemma, dass er behördlichen Auflagen nicht mehr nachkommen kann und die Daten wieder vernichten muss. Außerdem wäre bei unter 16-jährigen zu beachten, dass es die Zustimmung der Eltern bedarf.
Empfehlung:
Ein Verweis auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSG-VO ist ausreichend, einer expliziten (freiwilligen) Einwilligung des Besuchers bedarf es dann nicht mehr.