In Kürze herrscht in der Münchner Innenstadt wieder der totale Ausnahmezustand, das Oktoberfest steht vor der Tür. Jüngst empört sich die Presse über datenschutzrechtliche Auflagen für Wiesnwirte. Worum es geht und wieso solche Schlagzeilen riskieren, dass der eigentliche Zweck der DSGVO verzerrt wird, zeigt dieser Artikel.
Der Inhalt im Überblick
Umgang mit Datenschutz auf dem Oktoberfest sorgt für Schlagzeilen
Aufhänger der Aufregung ist in ein Artikel in der BILD mit der Überschrift „Datenschutz-Irrsinn auf der Wiesn“, welcher in weiteren Medien aufgegriffen wurde. Es geht darum, dass für Tischreservierungen Wiesnwirte die Einwilligung Ihrer Gäste einholen, damit Sie den Namen auf das Reservierungsschild schreiben können. Hierfür wird im Rahmen der Reservierungsanfrage eine entsprechende Einwilligungserklärung per E-Mail verschickt. Bei fehlender Einwilligung wird eine Codenummer für die Tischreservierung verwendet.
Namentliche Reservierung nur mit Einwilligung?
Wird der Name für die Reservierung abgefragt, liegt eine Datenverarbeitung vor. Zumindest immer dann wenn kein Firmenname angegeben wird, sondern der Name einer natürlichen Person. Wie bei jeder Datenverarbeitung bedarf es einer Rechtsgrundlage. Die Einwilligung ist bloß eine mögliche Rechtsgrundlage. Zwar erfreut sich die Einwilligung an großer Beliebtheit, häufig wird jedoch übersehen, dass an eine wirksame Einwilligung hohe Anforderungen geknüpft sind. Daher sollten auch andere Rechtsgrundlage in Betracht gezogen werden.
Gibt es eine Alternative zur Einwilligung?
Grundsätzlich müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für Zwecke der Verarbeitung notwendige Maß beschränkt werden (Art. 5 Abs. 1 lit. c DSGVO). Für die Abwicklung einer Reservierung reicht eine Nummer oder ein anderes Pseudonym, die Angabe des Namens ist strenggenommen nicht zwingend erforderlich. Somit fällt der Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage weg, wonach die Datenverarbeitung zur Durchführung vorvertragliche Maßnahmen erforderlich sein muss.
Inwieweit das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) herangezogen werden kann, ist fraglich. Zwar ist es vertretbar im Rahmen der Interessenabwägung zu dem Ergebnis zu kommen, dass die Rechte und Freiheiten der natürlichen Person nicht überwiegen. Schließlich ist es nicht unerwartet, dass zumindest der Nachname im Zusammenhang mit der Reservierung genutzt wird. Völlig unwahrscheinlich ist, dass hieraus Nachteile oder Einschränkungen für die Rechte und Freiheiten der Betroffenen entstehen.
Auch nicht völlig abwegig ist, dass die Datenverarbeitung für die Wahrung des berechtigten Interesses der Wiesnwirte erforderlich ist. Zumindest wenn man dahingehend argumentiert, dass die Namen für die Reservierung genutzt werden, um Traditionen zu wahren und einen freundlicheren und persönlichen Empfang zu bereiten. Gerade wenn es wie hier nur um einen Namen für eine Reservierung geht und somit nicht um eine umfangreiche Datenverarbeitung, dürfen die Anforderungen nicht unverhältnismäßig hoch sein.
Der Blick fürs Wesentliche geht verloren
Die Schlagzeilen zum Datenschutz auf den Wiesen befeuern Stimmen, die behaupten, dass die DSGVO ein reines Bürokratiemonster sei. Es ist nachvollziehbar, dass wer einen Wiesntisch reserviert, um eine feucht fröhliche Zeit auf dem Oktoberfest zu haben, keine Lust hat sich mit einer Einwilligungserklärung zur Datenverarbeitung rumzuschlagen. Schade ist jedoch, dass solche Schlagzeilen der eigentliche Intention der DSGVO nicht gerecht werden und in den Hintergrund rücken, wofür die DSGVO steht.
DSGVO stärkt Bewusstsein für den Datenschutz
Ziel der Reglungen der DSGVO ist es nicht durch ein enges Regelungskorsett den Alltag und das Miteinander zu verklausulieren. Vielmehr sollen Datenschutzregelungen das Grundrecht auf informationelle Selbstbestimmungen gewährleisten. Identitätsdiebstahl oder -betrug durch Hackerangriffe, Manipulation und Diskriminierung des Einzelnen bspw. durch umfassendes Tracking, Überwachungsmechanismen, sind nur einige Stichworte die zeigen, wie wichtig der Schutz unserer personenbezogenen Daten ist.
Welchen Stellenwert der DSGVO beigemessen wird, zeigt nicht zuletzt auch die globale Auswirkung. In Länder, wie bspw. Südkorea, Indien oder Brasilien dient die DSGVO als Vorbild zur Stärkung des eigenen Datenschutzes.
Sicher wird der gut gemeinte Zweck der DSGVO hiermit verwischt, aber auch nur weil Unternehmer fürchten müssen bei kleinsten Fehlern empfindlich zur Kasse gebeten zu werden.
Ich kann das Verhalten durchaus nachvollziehen und würde es selbst nicht anders tun.
Für den internen Verarbeitungsvorgang (Reservierungssystem, Rechnungsstellung usw.) dürfte doch Art. 6 lit. b.) DS-GVO in Frage kommen?
Lediglich das Ausdrucken der Reservierungsschilder ist doch der vermeintliche „Stein des Anstosses“, korrekt? Zumal das manchmal auch handschriftlich geschieht. Ich habe dann noch nie erlebt, dass der Name auf den Reservierungsschield a) richtig b) leserlich war – die Diskussion ob das nun „strukturiertes Dateisystem“ ist, sparen wir uns bitte ;-).
Einfach Reservierungsnummern vergeben fertig – die werden vermutlich intern ohnehin verwendet. Dann finden auch die zahlreichen Hubers, Meiers (Mair, Maier usw.), Schmidts (Schmitt usw.) und Schneiders den für sie bestimmten Platz ;-).
Die DGSVO gilt: „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Daher ist das Namenskärtchen KEIN Problem
jedoch die Elektronische Einwilligungserklärung per email, welche die Tischreservierung erst elektronisch verfügbar macht.
Kann man so interpretieren. Wesentlich problematischer ist das offen herumliegende Reservierungsbuch in immer noch vielen Lokalen, in denen die Namen inklusive der Telefonnummern stehen. Jeder kann das Buch an sich nehmen und evtl. dann auch Profile erstellen. Hier rate ich schon lange zu Reservierungsnummern. Leider sind manche einfach unbelehrbar und werden erst durch Strafe klüger werden.
Eine solche ist kürzlich in Rumänien gegenüber einem Hotel verhängt worden, nachdem dessen Frühstücksliste im Internet gelandet ist und sich ein Gast beschwerte. Somit sind solche Strafen nicht ganz unwahrscheinlich.
https://twitter.com/Dr_Datenschutz/status/1148255159924994054
„Inwieweit das berechtigte Interesse herangezogen werden kann, ist fraglich.“
Wegen solcher vagen Aussagen sind die Leute ja so verunsichert. Natürlich kann man das auf Basis berechtigter Interessen machen. Wenn wir Datenschutzbeauftragten /-berater uns wünschen, dass in der Öffentlichkeit weniger Unsinn diskutiert wird, müssen wir mal etwas mehr Mut zeigen und verbindliche Aussagen machen. Niemand möchte eine „es kommt darauf an“ Aussage vom DSB…
Das Problem ist ja leider nur, dass wir DSB eben keine verbindlichen Aussagen machen KÖNNEN. Ohne Verfahren tut das nicht einmal die Datenschutzbehörde. Und wer möchte schon die Verantwortung dafür übernehmen? Schließlich ist der DSB eben nicht der Verantwortliche.
Ich bin persönlich auch eher geneigt, mutige Aussagen zu treffen. Trotzdem können sie nie verbindlich sein.
Kirche im Dorf lassen.
M.E. nach liegt bei einer namentlichen Reservierung eine (vor-) vertragliche Verarbeitung (echt? bei einem Schild auf dem Tisch? Verarbeitung im Sinne DSGVO? Never ever!) nach Art. 6, Abs.1 lt. b vor.
Von daher wäre ich hier als Wirt gelassen. Sicherheitshalber kann man noch fragen „kann Ihr Name auf dem Reservierungsschild stehen, oder lieber eine Nummer“ (und die Antwort dokumentieren) und gut iss es.
Über sowas wird sich aufgeregt, aber dass die Datenkraken wirklich ALLES abgreifen und Verkaufen interessiert nicht (und schon gar nicht die Bild).
Ich wünsche mir hier ein wenig mehr die Formulierung von Lösungen als das Aufzählen von Problemen. Für den Laien, der recherchiert, ist hier nicht rauslesbar, welcher Ansatz jetzt zum Ziel führt.
Es gibt aber nunmal nicht “die” Lösung, die zudem automatisch auf alle anderen Tischreservierungen beim Griechen und Chinesen übertragbar ist. Es kommt auch auf die Art an. Im Artikel steht doch dass grds. Art 6 I f DSGVO in Betracht kommen kann. Laien sollten sich an ihren DSB wenden oder zunächst in Grundzüge zum DatenschutzR einlesen – sonst ist verständlich, dass man bei spezifischen Detailfragen nicht viel versteht.