Zum Inhalt springen Zur Navigation springen
DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

Zugegeben: Der Gastronomie-Sektor war bislang kein typischer Kunde für Datenschutzbeauftragte. Vielleicht ändert sich dies aber, wenn mit Corona die Gastwirte zunehmend zur Datenverarbeitung durch den Staat genötigt werden. Hier ein kleiner Guideline für Gastwirte, was Sie beim Anlegen von Gästelisten zu beachten haben.

Welche Daten sollen Gastwirte verarbeiten?

Die Landesregierungen haben nach Art. 80 Abs. 1 GG i. V. m. § 32 S. 1 IfSG die Kompetenz, Rechtsverordnungen zur Bekämpfung übertragbarer Krankheiten zu erlassen. Im Rahmen von Verordnungen regulieren diese daher nun, unter welchen Voraussetzungen Gastbetriebe trotz der weiterhin herrschende Corona-Pandemie wieder öffnen dürfen. Folgende Themen werden u. a. reguliert:

  • Tragepflicht von Behelfsmasken und sonstige Mundbedeckungen
  • Abstandsregelungen innerhalb der Räumlichkeiten
  • Anzahl an Haushalten, die zusammen an einem Tisch sitzen dürfen
  • zulässige Öffnungszeiten.

Die oben aufgezählten Bereiche waren wohl vorherzusehen. Folgende Regelungen wie in § 2 Abs. 3 Corona-Gaststätten Verordnung Baden-Württemberg wird jedoch so manch einen Gaststättenbetreiber überrascht haben:

„Der Betreiber hat, ausschließlich zum Zweck der Auskunftserteilung gegenüber dem Gesundheitsamt oder der Ortspolizeibehörde nach §§ 16, 25 IfSG, die folgenden Daten bei den Gästen zu erheben und zu speichern:

  1. Name und Vorname des Gastes,
  2. Datum sowie Beginn und Ende des Besuchs, und
  3. Telefonnummer oder Adresse des Gastes.

Die Gäste dürfen die Gaststätte nur besuchen, wenn sie die Daten nach Satz 1 dem Betreiber vollständig und zutreffend zur Verfügung stellen. Diese Daten sind vom Betreiber vier Wochen nach Erhebung zu löschen. Die allgemeinen Bestimmungen über die Verarbeitung personenbezogener Daten bleiben unberührt.“

Ist die Datenerhebung verpflichtend oder freiwillig?

Die konkreten Regulierungen unterscheiden sich in den einzelnen Bundesländern erheblich (eine Übersicht finden Sie z.B. bei der DEHOGA). Manche Bundesländer haben unmissverständlich eine Pflicht zur Datenerhebung normiert, so z. B. Baden-Württemberg, Hamburg oder Hessen. Manche Bundesländer wie Brandenburg schweigen hierüber.

Und andere Bundesländern sind in ihrer Formulierung leider nicht ganz so eindeutig. So heißt es in § 9 Abs. 1 Nr. 1 Dritte Corona Verordnung des Landes Bremen:

„Die Betreiberin oder der Betreiber hat den Namen und die Kontaktdaten jedes Gastes sowie den Zeitpunkt des Betretens und Verlassens der Einrichtung zu dokumentieren und drei Wochen aufzubewahren; ein Gast darf nur bedient werden, wenn er mit der Dokumentation einverstanden ist;“

Ein Einverständnis suggeriert ja, dass der Gast eine Wahl hätte, sodass man von einer datenschutzrechtlichen Einwilligung als Rechtsgrundlage ausgehen könnte. Wenn die Bewirtung aber wiederum nur erfolgt, wenn der Gast zustimmt, dann hat man mit der Freiwilligkeit doch wieder seine Bauchschmerzen. Auch Bayern hat in seinem Hygiene-Konzept lediglich von einer Soll-Formulierung Gebrauch genommen, sodass auch hier ein gewisser Interpretationsspielraum besteht. Hier wären eindeutige Formulierungen für die Gastronomen sicherlich hilfreich.

Wie werden die Daten erhoben?

Leider hat es die Regierung versäumt, den Gastwirten neben diesen gesetzlichen Auflagen auch eine Guideline an die Hand zu geben, wie man diese Informationen datenschutzkonform verarbeitet. So sieht und liest man einige Umsetzungen, die für den Datenschützer das Haar in der Suppe sind.

Der Gastwirt denkt verständlicherweise pragmatisch und will eine schnelle Lösung dieser Aufgabe. Also druckt er sich eine Tabelle aus und legt diese aus, damit die Gäste selbständig ihre Daten eintragen können. Der Umwelt zuliebe möchte man natürlich Papier sparen und die Tabellen sind dann besonders lang, sodass 20 Gäste und mehr sich eintragen können.

Manch ein Gastwirt will den Papierberg gänzlich vermeiden und digital arbeiten. Also lässt er den Personalausweis von den Gästen mit einem Smartphone fotografieren, welches im Optimalfall ein separates Dienstgerät ist. So kann er auch sichergehen, dass die vom Gast angegebenen Daten korrekt sind.

Dem Gastwirt kann man hier aber keinen Vorwurf machen, denn woher sollte er dies wissen. Zwar schützt Unwissenheit grundsätzlich nicht vor Rechtsverfolgung. Allerdings kann man nicht erwarten, dass sich eine ganze Berufsgruppe von heute auf morgen über all die verschiedenen Problematiken eines Rechtsgebietes auseinandersetzt, mit dem es in der Vergangenheit sonst kaum Berührungspunkte hatte. Dem Gastwirt steht auch in der Regel kein Datenschutzbeauftragter, -koordinator oder sonstiger Jurist zur Verfügung, der für ihn schnell die rechtlich zulässigen Handlungsmöglichkeiten ermitteln kann.

Insoweit wäre es wünschenswert gewesen, wenn alle Bundesländer an dieser Stelle ihre Pflicht zur Aufklärung erkannt und entsprechende Informationen zur Verfügung gestellt hätte. Bisweilen gibt es von den Aufsichtsbehörden nur Handreichungen und Hinweise in folgenden Bundesländern:

Grundsätzlich sollten sich Betriebe bei einem Konflikt mit den nachfolgenden Ausführungen zunächst nach den Handreichungen ihrer zuständigen Aufsichtsbehörde richten.

Was gilt es bei den Gästelisten zu beachten?

Der nachfolgende Guideline soll allen Gastwirten helfen, ihren Verarbeitungsprozess kritisch überprüfen zu können und diesen datenschutzkonform zu gestalten:

1. Erhebe nur so viele Informationen, wie dies gesetzlich gefordert ist

Die Grundsätze der Zweckbindung und Datenminimierung aus Art. 5 Abs. 1 DSGVO sind wesentliche Säulen im Datenschutzrecht. Die einzelnen Verordnungen der Bundesländer benennen konkret, welche Informationen die Gastwirte erheben müssen. Diese legitimieren die Datenerhebung, sodass Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage grundsätzlich greift. Wenn der Gastwirt noch weitere Informationen zu eigenen Zwecken erhebt, muss er dies dem Gast kenntlich machen und auch eine separate Rechtsgrundlage hierfür aufweisen (z. B. Einwilligung oder überwiegend berechtigte Interessen). Andernfalls bewegt sich der Wirt sehr schnell im rechtswidrigen Bereich.

2. Reservierungen können die Datenerfassung erleichtern

Soweit Gäste ihren Restaurantbesuch im Voraus reservieren, können hier schon die Daten erhoben werden, umso Zeit vor Ort zu sparen. Insbesondere über Buchungsapps oder über Webformulare, die in der eigenen Webseite integriert sind, kann dieser Arbeitsschritt digital erfasst werden und so wertvolle Zeit des eigenen Personals eingespart werden. Falls Gastwirte diese digitale Arbeitserleichterung noch nicht für sich entdeckt haben, lohnt sich jetzt auf jeden Fall ein zweiter Blick darauf. Allerdings müssen auch hier die technische Lösung und insbesondere der Drittanbieter sorgfältig ausgewählt werden. Folgende Kriterien gilt es u. a. zu prüfen:

  • Ist die Datenübermittlung durch eine Ende-zu-Ende Verschlüsselung geschützt?
  • Wo werden die Daten gespeichert?
  • Behält sich der Drittanbieter eine eigene Nutzung der Daten vor (insbesondere eine Weitergabe der Daten an Dritte)?
  • Wie lange werden die Daten gespeichert?

3. Vorzeigen des Personalausweises ist okay, Fotokopien anlegen grundsätzlich nicht

Früher hat so manch ein Gast gerne unter einem Pseudonym seinen Platz reserviert. Damit der Wirt seine gesetzliche Pflicht erfüllen kann, muss er aber nun die wahre Identität seiner Gäste erfragen. Hierzu kann er sich auch den Personalausweis vorlegen lassen. Aber Vorsicht beim Fotografieren! Der Personalausweis enthält eine Reihe weiterer Informationen, die der Wirt nicht benötigt, sodass deren Verarbeitung datenschutzrechtlich problematisch ist (siehe auch den Beitrag zum Personalausweis). Es sollte daher gänzlich von Fotokopien der Personalausweise abgesehen werden.

Wenn man hierauf nicht verzichten will, dann ist einerseits mit Hilfe einer Schablone, die man über den Ausweis legt, zu gewährleisten, dass nur die erforderlichen Informationen erfasst werden. Andererseits sollten die Fotografien nicht mit einem privaten Smartphone o. Ä. erhoben und gespeichert werden.

4. Schütze die Informationen vor unberechtigten Zugriffen

Das Auslegen einer auszufüllenden Tabelle birgt zweierlei Risiken. Einerseits ist der eingesetzte Kugelschreiber ein ideales Übertragungsmedium für den Corona-Virus und müsste daher nach jeder Benutzung desinfiziert werden. Andererseits erhalten die nachfolgenden Gäste in unberechtigter Weise Zugang zu den Informationen der vorherigen Gäste. Im schlimmsten Falle fotografieren sie diese Liste und nutzen die Kontaktdaten zu eigenen Zwecken aus.

Der Gastwirt trägt die Pflicht dafür Sorge zu tragen, dass sowas nicht passiert und muss daher entsprechende Vorkehrungen treffen. Wenn die Gäste ihre Informationen in einer langen Tabelle eintragen, dann darf diese Sammeltabelle nicht unbewacht herumliegen. Ein Mitarbeiter sollte insoweit die Aufsicht übernehmen, um ggf. eingreifen zu können. Noch besser ist es, wenn die Mitarbeiter selber die Gästelisten führen.

Auch innerhalb der Organisation ist zu prüfen, wie und wo die Gästelisten aufbewahrt werden und welche Mitarbeiter Zugang zu denen haben sollten.

5. Erstelle ein Informationsblatt für die Gäste

Der Gastwirt muss auch hier seine Informationspflichten aus Art. 12 ff. DSGVO erfüllen. Hierzu bietet sich die Erstellung eines Informationsblattes an, welches zentral an der Bartheke oder an einem anderen für den Gast leicht einsehbaren Bereich ausliegt, sodass diese jederzeit nachlesen können. Wenn das Informationsblatt laminiert wird, kann es besonders lange verwendet werden. Folgende Fragen sollten beantwortet werden:

  • Welche Daten werden erhoben?
  • Warum werden diese Daten erhoben?
  • Wie lange werden diese Daten gespeichert?
  • Welche Rechte haben die Gäste als betroffenen Personen?

Soweit ein Restaurant über eine Webseite verfügt, sollte insbesondere die letzte Frage bereits in der Datenschutzerklärung beantwortet sein, sodass deren Text an dieser Stelle übernommen werden kann. (Unterstützung bei dem Erstellen der Datenschutzhinweise bietet z.B. der Datenschutz Generator des Kollegen Thomas Schwenke) Hinsichtlich der zweiten Frage kann ein Gastwirt dies leicht beantworten, wenn er in der jeweils für ihn geltenden Verordnung eine Pflicht zur Datenerhebung normiert ist. Dann kann er diese konkrete Verordnung benennen und klarstellen, dass er lediglich seine gesetzliche Pflicht erfüllt.

Wenn sich aus der Verordnung selbst keine Pflicht ergibt, kann der Wirt möglicherweise berechtigte Interessen haben, bei der Kontaktpersonenermittlung im Falle einer Infektion mitzuwirken. Hier müsste allerdings eine Interessenabwägung erfolgen und auch entsprechend intern dokumentiert. Für den Wirt ist es an dieser Stelle einfacher und rechtlich sicherer, die Datenerhebung in diesem Falle nur auf freiwilliger Basis einer Einwilligung zu stützen.

6. Entwickle Routinen für das Löschen der Daten

In den Verordnungen sind die Aufbewahrungsfristen von ca. vier Wochen grundsätzlich genannt. Selbst wenn nicht, kann man sich an die Festlegungen der anderen Bundesländer orientieren. Diese Festlegung rührt von der Inkubationszeit her. Nach Ablauf dieser vier Wochen besteht keine Gefahr der Ansteckung mehr. Wenn man diese erhobenen Informationen nach dem Datum sortiert ablegt, behält man leicht den Überblick und man kann schnell sowie routiniert die Löschung vornehmen.

7. Entsorge die Gästelisten nicht unachtsam

Insbesondere wenn man Listen in Papierform führt, ist es ein No-Go, diese einfach achtlos in die Papiertonne zu werfen. Ein Dritter kann diese Gästelisten Leichtens aus der Tonne fischen und die Daten rechtswidrig verwenden. Man sollte sie wenigstens vorab schreddern. Da diese Daten keinen hohen Schutzbedarf unterliegen, ist die Entsorgung über eine Datenschutztonne zwar wünschenswert, aber nicht erforderlich. Die Anmietung einer solchen Tonne ist wohl nur dann sinnvoll, wenn man sie sich mit benachbarten Gastronomiebetrieben teilen und insoweit die Kosten aufteilen kann.

Wenn die Gästelisten digital gespeichert sind, ist daran zu denken, dass die typische Form des Löschens in Form des „in den Papierkorb verschieben“ keine datenschutzkonforme darstellt. Solche Dateien können durch bloß einen Klick wiederhergestellt werden. Dieser digitale Papierkorb ist daher zumindest ebenfalls „zu leeren“.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Beim Erstellen von Ausweiskopien ist zusätzlich darauf zu achten, die Kopie mit einem Vermerk zu versehen. Das ist z.B. im PAuswG so gefordert, genauen Paragraph habe ich jetzt nicht zur Hand.

    • Die Frage ist, ob dies auch für Friseurbetriebe gilt. Hier wird teilweise vor Zutritt auch nach dem Gesundheitszustand gefragt

  • Eine Informationspflicht bei der Datenerhebung besteht m. E. nicht, wenn diese aufgrund einer Rechtsverordnung erfolgt. Dies ergibt sich aus Art 12 Abs 4 DSGO und dem Erwägungsgrund 62: Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist.
    Dass ein gegenüber dem Schutz der Kontaktdaten überwiegendes Interesse zu deren Erfassung besteht, liegt zudem auf der Hand, denn schließlich dient die Kontaktverfolgung dem Schutz der Gesundheit und ggf. sogar des Lebens. Würde man den Sinn der Kontaktverfolgung in Frage stellen, wären auch alle Rechtsverordnungen, die diese anordnen unverhältnismäßig. Der Datenschutz ist bei der Frage des Ob der Kontaktverfolgung somit nachrangig, jedoch hinsichtlich der Ausgestaltung der notwendigen Datenverarbeitung maßgeblich.

    • Art. 12 Abs. 4 DSGVO ist meines Erachtens nicht einschlägig, da dieser sich auf die Betroffenenrechte (Art. 15 ff. DSGVO) bezieht.

      Allerdings könnte Erwägungsgrund 62 in der Tat eine Ausnahme von der Informationspflicht begründen. Dieser greift aber nur für die Bundesländer, die in ihren Verordnungen eindeutig eine Pflicht zur Datenerhebung normiert haben. Wie im Artikel ausgeführt, haben aber nicht alle Bundesländer eine solche eindeutige Pflicht normiert. Zudem ist das Verhältnis zwischen Erwägungsgründen und Artikeln der DSGVO nicht unumstritten.

      Folgende Argumente sprechen zu dem dafür, ein Informationsblatt anzufertigen:

      1. Die Regelungen in den Bundesländer sind uneinheitlich, sodass für den Gast hiermit Transparenz geschafft werden kann.
      2. Der Arbeitsaufwand ist überschaubar.
      3. Auf diese Weise wird sichergestellt, dass alle Mitarbeiter ebenfalls informiert sind und damit in der Lage sind, bei Fragen seitens der Gäste entsprechend antworten zu können.
      4. Soweit eine entsprechende Rechtsvorschrift fehlt und der Gastwirt versäumt, über die Datenverarbeitung zu informieren, liegt ein Verstoß gegen die DSGVO vor und es besteht mithin ein Sanktionsrisiko.

      Im Artikel wird nicht per se verneint, dass das Interesse der Möglichkeit einer Kontaktverfolgung das Geheimhaltungsinteresse des Gastes überwiegen kann. Allerdings muss man bei dieser Abwägung auch die konkreten Umstände und die aktuelle Lage des jeweiligen Bundeslandes (Infektionsrate etc.) berücksichtigen. Hier sollte man sich auch über die Ansicht der jeweils zuständigen Aufsichtsbehörde informieren. Gerade bei der Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f. DSGVO vertreten diese nicht immer eine einheitliche Meinung.

  • Die Formulare oder Tageslisten sind zum Übergang nach den Corona-Schutz-Maßnahmen für 4 Wochen aufzubewahren. Eine längere Aufbewahrung ist unzulässig, so ist es zumindest geregelt!

    Nach der Datenschutz-Grundverordnung haben von einer Datenverarbeitung betroffene Personen bestimmte Rechte, um auch selbst die Rechtmäßigkeit einer Datenverarbeitung überprüfen zu können.

    Ein Widerspruchsrecht gegenüber den Unternehmerinnen und Unternehmern besteht hier nicht, da diese gesetzlich verpflichtet sind, die Daten zu erheben und auf Anforderung an das zuständige Gesundheitsamt zu übermitteln.

    Aber für alle Betroffenen gilt:

    Grundsätzlich müssen Betroffenenrechte innerhalb von vier Wochen bearbeitet werden. Diese Frist kann in Ausnahmefällen um weitere zwei Monate verlängert werden. Die betroffene Person muss dann aber über die Gründe für die Fristverlängerung unterrichtet werden.

    Da bin ich gespannt inwieweit Betroffene ihre Rechte diesbezüglich anwenden, und von den Gastronomiebetrieben diese einfordern. Denn unabhängig davon, dass die Daten „lediglich“ 4 Wochen gespeichert werden müssen, erhoben werden sie dennoch.

    • Die Aussagen sind in ihrer Allgemeinheit grundsätzlich richtig. Allerdings gilt hier nochmal der ausdrückliche Hinweis, dass die Unterschiede innerhalb der Bundesländer zu berücksichtigen sind.

      Denn wie auch schon im Artikel erläutert, ist nicht im jeden Bundesland eine Pflicht zur Erhebung der Kontaktdaten zum Zwecke der Kontaktverfolgung normiert. Wenn eine solche Pflicht nicht normiert ist, dann kann der Wirt die Daten nur auf Grundlage einer freiwilligen Einwilligung oder bei überwiegenden berechtigten Interessen erheben. Im letzteren Falle steht dem Gast dann aber ein Widerspruchsrecht zu.

      Auch bei den Aufbewahrungsfristen gibt es Unterschiede zwischen den Bundesländern: So hat Schleswig-Holstein in § 4 Absatz 2 Corona-BekämpfVO sogar eine Aufbewahrungsfrist von sechs Wochen festgelegt. Bayern und Hessen sehen eine Frist von einem Monat vor (was nicht identisch mit 4 Wochen ist) und Niedersachsen bestimmt die kürzeste Frist mit drei Wochen.

  • Herzlichen Dank für die Auflistung der zu beachtenden Dinge!

    Sicherlich ist kein Gastwirt daran interessiert, neben evtl. Verstössen gegen die ihn betreffende Corona-VO sich auch noch eines Datenschutzverstosses schuldig zu machen. Das kann jedoch schnell passieren, denn wie zutreffend festgestellt wurde, war für die Wirte Datenschutz bislang eher kein Thema und somit ist von gewisser Unkenntnis ibei denen auszugehen.
    Darum: Könnten nicht -evtl. in gekürzter und für nicht-Fachleute = Gastronomen verständlicher Form- die o.g. 7 Punkte über die DEHOGA, Innungen, IHKs usw. an die Gaststätten verteilt werden?

    Und noch ein Nebensatz aus eigenem Erleben zu den Friseuren: Neben der jeweiligen Landes-Corona-VO (Friseure) gilt für die zusätzlich eine Standardarbeitsanweisung der zuständigen Berufsgenossenschaft BGW. Diese ist anzuwenden, weil sie eine ‚Vermutungswirkung‘ entfacht. Allerdings wird in dieser Anweisung eine Speicherfrist von 6(!) Wochen für die erhoben Daten gefordert – nach meiner Rückfrage bei der BGW angeblich in Abstimmung mit dem Hamburgischen LfDI!

    • Vielen Dank für Ihre Hinweise. Sie beziehen sich wahrscheinlich auf folgenden Aushang der BGW und dem SARS-CoV-2-Arbeitsschutzstandard für das Friseurhandwerk der BGW. Bei ersterem wird tatsächlich dieLöschung nach spätestens sechs Wochen genannt. Hamburg selbst sieht bei Gaststätten eine Speicherung von nur vier Wochen vor. Auch hier wird wieder deutlich, wie vergleichbare Sachverhalte unterschiedlich beurteilt werden. Die Behörden werden wohl hier kein Bußgeld erlassen können, wenn man die Daten aufgrund der unterschiedlichen Informationen sechs Wochen lang aufbewahrt. Darüberhinaus können die Daten aber nicht gespeichert werden, wenn man keinen neuen (und mit Art. 6 Abs. 4 DSGVO kompatiblen) Zweck vorweisen kann. Im Zweifel sollte man sich als Unternehmer notieren, auf welcher Information man seine Frist bestimmt hat.

  • Es stellt sich doch hier vielmehr die Frage nach der Zweckmässigkeit der Datenverarbeitung. So ist vor allem auch die gesetzlich verankerte Pflicht (wenn gegeben) zu hinterfragen.
    Es stellt sich die Frage für welche festgelegte, eindeutige und legitimen Zwecke (Art. 5 Abs. 1 Bst. a DSGVO) die Daten überhaupt benötigt werden. (Art. 5 ist auch zu berücksichtigen, wenn die Voraussetzungen von Art. 6 erfüllt sind.) Für den (direkten) Gesundheitsschutz des jeweiligen Gastes ist diese Datenerhebung wohl kaum notwendig. Um ein Rückverfolgung der Ausbreitung des Virus zu Bewerkstelligen wohl auch nicht, denn dies kann nur sichergestellt werden, wenn jeder Erkrankte sich melden muss und dies auch tut. Hierzu müssen aber zunächst auch alle getestet werden und über diese Informationen verfügen. Bzw. es müsste auch eine Pflicht eingeführt werden, dass sich jeder regelmässig testen lassen muss.
    Ist nun ein Gast an Corona erkrankt und er war in den Tagen vor dem positiven Test noch in einigen Restaurants und Cafés, telefoniert dann das Gesundheitsministerium sämtliche Listen ab? Und was wird mitgeteilt? „Bleiben Sie bei Husten und Fieber zu hause“? Informationen, die jeder schon hat/weiss.
    Ich zweifle sehr stark an einer Verhältnismässigkeit und Zweckbindung dieser Massnahme.

    • Die Vorgehensweise im Falle eines erkrankten Gastes ist sicherlich in den verschiedenen Landesverordnungen nicht eindeutig erläutert. So wird teilweise normiert, dass die erhobenen Daten den Behörden auf Anfrage vorzulegen sind oder dass die Daten aus Gründen der Kontaktverfolgung zu erheben sind.

      Wenn nach einem Restaurantbesuch bekannt wird, dass ein Gast an Corona erkrankt ist, dann können die anderen Gäste und Mitarbeiter, die sich zur gleichen Zeit im Restaurant befanden, informiert werden. Diese sollten sich dann ebenfalls auf den Virus testen lassen. Die Benachrichtigung kann durch die Gesundheitsbehörden selber erfolgen, wenn diese die Listen vom Gastwirt erhalten, oder aber den Gastwirt direkt um die Benachrichtigung auffordern.

      Der Gast selber kann zwar nicht mehr geschützt werden, die Verbreitung des Viruses kann aber besser nachverfolgt und damit auch langfristig eingedämmt werden. Dies genügt für die Bejahung eines legitimen Zwecks. Für die Geeignetheit genügt es, wenn das Mittel die Erreichung des Zwecks zumindest fördert. Auch die Erforderlichkeit kann bejaht werden, da derzeit noch keine anderen, milderen Mittel erkennbar bzw. verfügbar sind. Der Einsatz einer Corona-App ist bislang noch sehr umstritten. Restaurants weiterhin die Möglichkeit der Bewirtung zu verbieten, greift erheblich u. a. in das Recht auf Berufsausübung aus Art. 12 Abs. 1 S. 2 GG ein.

      • Ich sehe ein, dass im Rahmen einer Verhältnismässigkeitsprüfung die Notwendigkeit, wie auch die Erforderlichkeit allenfalls begründet werden kann. Jedoch scheitert diese Prüfung spätestens an der Zweck-Mittel-Relation (Verhältnismässigkeit i.e.S.). Ohne hier auf detailliertere juristische Ausführungen einzugehen, möchte ich dies mit einem Vergleich veranschaulichen.
        1. Die Schweiz hatte zunächst eine solche Erfassung von Gästedaten vorgesehen (gestützt auf eine gesetzliche Grundlage). Diese sind dann jedoch zurückgekrebst und haben dies als lediglich freiwillig deklariert. In Österreich und Liechtenstein werden diese Daten schon gar nicht erfasst. Ich weiss, es ist nicht unbedingt das stärkste Argument. Ist aber wohl ein Orientierungspunkt.
        2. Eine sogenannte „Corona-App“ verfolgt im Prinzip denselben Zweck wie die Erfassung der Namen und Kontaktdaten von Gästen, nämlich das „Virustracking“. Mir ist bewusst, dass über eine App umfassendere Daten erfasst werden (können) und hier ein grösserer Eingriff in die Privatsphäre vorgenommen werden kann. In Zusammenhang mit der App wird jedoch alles erdenkliche getan, dass die Betroffenen so gut es geht anonym sind (Sprichwort: Pseudonyme, dezentraler Ansatz). Auch wird immer wieder die Freiwilligkeit betont und in der CH auch gesetzlich verankert. Nun sollen jedoch im Rahmen von Restaurant- und Cafébesuchen Personen auf einmal ihre Namen und Kontaktdaten bekanntgeben müssen. Dies entspricht nicht dem Vorgehen, welche in Zusammenhang mit der App verfolgt wird. Im Endeffekt wäre eine Corona-App im Sinne von Art. 32 DSGVO datenschutzrechtlich besser als die Erfassung der Daten in Gaststätten. Hinzukommt die Frage, was mit den Daten geschieht, wenn diese an die Gesundheitsministerien weitergeleitet werden. Werden dort Coronapositivgetestete in einer Art „Coronatrackingstammbaum“ verewigt?
        3. Wenn dies wirklich verhältnismässig wäre und auch zweckdienlich ist, müsste man auch konsequenterweise dieselben Massnahmen in der Geschäftswelt und im ÖV durchsetzen.

        • Ihre Ausführungen hinsichtlich der Verhältnismäßigkeit einer solchen gesetzlichen Pflicht zur Erhebung und (kurzzeitigen) Aufbewahrung einer Kontaktliste in Restaurants schweifen zunehmend vom eigentlichen Fokus dieses Blogbeitrages ab. Dieser lag darin, den Gastwirten eine Guideline bereitzustellen, wie diese ihre gesetzliche Pflicht erfüllen können, ohne dabei Datenschutzverstöße zu begehen. Eine detaillierte Auseinandersetzung, welche Maßnahmen zur Eindämmung der Corona-Pandemie effektiv und verhältnismäßig sind und dahingehend ob diese Rechtsverordnungen ihrerseits rechtmäßig sind, soll und kann hier im Blog nicht geleistet werden.

          Wenn sich im jeweiligen Bundesland eine gesetzliche Pflicht zur Datenerhebung besteht, dann kann sich der Wirt auch auf diese Norm als Rechtsgrundlage der Datenverarbeitung stützen. So auch das BayLDA in ihrem Musterformular für die Gastronomie zur Erhebung von Kontaktdaten von Gästen, welches nunmehr verfügbar ist. Diese nennen neben Art. 6 Abs. 1 lit. c auch lit. d DSGVO (i. V. m. der Bayrischen Verordnung und dem Rahmen-Hygienekonzept) als Rechtsgrundlage für die Datenverarbeitung. Insbesondere Art. 6 Abs. 1 lit. c DSGVO verlangt hierbei nach dem Gesetzeswortlaut nicht, dass ein Gesetz bzw. die rechtliche Verpflichtung rechtmäßig ist.

          Die Verhältnismäßigkeitsprüfung wird für einen Wirt nur dann relevant, wenn er sich stattdessen auf berechtigte Interessen i. S. v. Art. 6 Abs. 1 S. 1 lit. f DSGVO beruft. Bei den übrigen Rechtsgrundlagen des Art. 6 DSGVO bedarf es nur der Bejahung der Erforderlichkeit der Datenverarbeitung. Die juristische Prüfung der Verhältnismäßigkeit wird ein Wirt kaum anstellen können. Aus diesem Grunde wird auch schon im Blogbeitrag empfohlen, lieber Einwilligungen einzuholen, wenn keine rechtliche Pflicht zur Datenerhebung bestehen.

  • Bei uns im Eiscafé liegen auf jedem Tisch Schulhefte aus, wo sich jeder Gast eintragen soll, bis das Heft voll ist… das kann doch nicht rechtens sein? Bin ich verpflichtet, in so einem Fall meine kompletten Daten dorthinein zu schreiben, sodass jeder nachfolgende Gast neben Namen auch Adresse, Telefonnummer und Email-Adresse hat? Was kann man tun?

    • Was Sie in jedem Fall tun können, wenn Sie das nächste Eis genießen, ist den Eisdielenbetreiber auf die Problematik der Situation hinzuweisen. Zurzeit dürfen wir alle etwas rücksichtsvoller sein als sonst und man darf wohl auch davon ausgehen, dass der Eisdielenbetreiber gar nicht weiß, wie er mit den Daten umzugehen hat. Leider geben auch die zuständigen Behörden den Gastronomen viel zu wenig Hinweise und Informationen mit, im Regelfall sogar gar keine. Weitere allgemeine Informationen darüber, wie Daten erhoben, aufbewahrt und gelöscht werden sollten, können Sie diesem Blogbeitrag entnehmen und gerne mit der Lieblings-Eisdiele oder dem Stammrestaurant teilen.

      • Ein freundliches Gespräch ist sicher immer gut. Die Frage ist aber : Bin ich im Rahmen der Coronaregeln verpflichtet meine Daten auf ein Blatt zu schreiben, das offensichtlich dem nächsten Gast wieder zum Ausfüllen vorgelegt wird. Solange bis es vollgeschrieben ist ! Haben wir deshalb vor ein paar Monaten Dutzende von Einverständniserklärungen für alle möglichen Dienstleistungen unterschreiben müssen??? Sodass jetzt jeder Gast Einsicht bekommt. Also muss man bei solchem Verhalten die Adresse angeben oder nicht?

        • Die Rechtsverordnungen regeln nicht die konkrete Ausführung, wie die Gastwirte oder andere Verpflichtete die Daten zu erheben und aufzubewahren haben. Diese Rechtsvorschriften normieren nur, welche Datenarten zu erheben sind und wie lange diese aufzubewahren sind. Wie bereits im Blogbeitrag ausführlich erläutert, ergibt sich in manchen Bundesländern eine Pflicht zur Datenerhebung, indem der Gastwirt den Gast nicht bedienen darf, wenn dieser die Datenerhebung verweigert. In anderen Bundesländern ist es lediglich als Empfehlung ausgesprochen. Die Frage des „Wie“ der Datenverarbeitung bemisst sich an der DSGVO und dem BDSG.
          Wenn Sie als Gast der Meinung sind, dass ein Wirt die Datenverarbeitung nicht korrekt ausführt, dann stehen Ihnen folgende Handlungsmöglichkeiten zur Verfügung:
          1. Das Gespräch mit dem Wirt suchen und ihn über eine datenschutzkonforme Verarbeitung freundlich informieren.
          2. Bei Uneinsichtigkeit des Wirtes den Datenschutzbehörden dies melden.
          3. Die Lokalität verlassen. Denn es steht Ihnen jederzeit frei, in einer Gastronomie oder zu Hause zu essen.

  • Aus meiner SIcht ist die Erfassung persönlicher Daten, insbesondere Name etc. nicht verhältnismäßig, da sie zur Kontaktverfolgung nicht notwendig ist. Es wäre vollkommen ausreichend, wenn der Gast eine Tel-Nr. oder eine Email-Adresse hinterlässt, so dass er im Infektionsfall benachrichtigt werden kann ohne dass irgendjemand nachvollziehen kann, wer hier mit wem zusammen essen war. Unzumutbar ist ebenfalls, dass der Wirt die echten Personalien prüfen muss – Wirte sind keine Hilfspolizisten und sollten das ablehnen. Aus gutem Grund gibt es in Deutschland keine Pflicht mehr, eine Kennkarte ständig mit sich herumzutragen (das war in den letzten beiden Diktaturen so). Mir drängt sich der Eindruck auf, dass es hier nicht vorrangig um Pandemiebekämpfung geht, sondern darum, die Bevölkerung an die Überwachung zu gewöhnen und bestimmte Berufsgruppen daran, Polizeifunktionen zu übernehmen (bei Ärzten ist das schon seit einigen Jahren der Fall, die müssen auch die Daten der Patienten prüfen). Wenn es keine Anonymität mehr gibt, gibt es auch keine Freiheit mehr. Bürger, verweigert Euch diesen immer weitergehenden staatlichen Zumutungen!

  • Aktuell ist in den Medien viel im Gespräch, dass diese Listen von Polizeibehörden zu Ermittlungszwecken angefordert und verwendet werden. Allerdings dürfen diese Listen doch ausschließlich der zuständige Behörde übertragen werden. In dem Fall der Liste dürfte das ja das Gesundheitsamt sein. Was ist jetzt aber wenn eine Strafverfolgungsbehörde kommt (offenbar primär zur Zeugensuche) und diese Listen sehen möchte und der Gastwirt die auch herausgibt? Ist das dann nicht ein Verstoß gegen die DSGVO? Oder steht hier dann tatsächlich die StPO über der DSGVO?

    • Es ist richtig, dass sich die Polizeibehörden nicht auf die im Blogartikel erwähnten Rechtsgrundlagen stützen können, solange die Rechtsverordnungen selber keine entsprechende Befugnisnormen zugunsten der Polizeibehörden einräumen.

      Aus der StPO (Zweck: Strafverfolgung) oder der allgemeinen Gefahrenabwehrgesetze der jeweiligen Bundesländer (Zweck: Gefahrenabwehr, Präventivmaßnahmen) können sich aber eigene Befugnisnormen für die Polizei und Staatsanwaltschaft ergeben. Hier ist es wichtig, dass der Gastronom sich schriftlich bestätigen lässt, auf welche Befugnisnorm die Polizei die Herausgabe oder Einsichtnahme dieser Listen stützt. Es sollte auch um Ausführungen zum Verarbeitungszweck und Erforderlichkeit der Datenverarbeitung bitten. Nur so kann sich der Gastwirt vor dem Vorwurf einer unrechtmäßigen Datenübermittlung und damit vor einer Sanktion durch die Datenschutzaufsichtsbehörden schützen.

      Als Rechtsgrundlagen der Datenverarbeitung kann sich dann der Gastwirt auf Art. 6 Abs. 1 lit. c DSGVO oder § 24 BDSG stützen. Insoweit kann an dieser Stelle auf folgenden Blogartikel noch ergänzend hingewiesen werden: https://www.dr-datenschutz.de/polizeianfragen-rechtskonforme-datenweitergabe-nach-der-dsgvo/

      Die StPO etc. steht also nicht über der DSGVO. Wie auch beim IfSG iVm. den Rechtsverordnungen der Bundesländer kann es eine Rechtsgrundlage der Datenübermittlung gemäß Art. 6 Abs. 1 lit. c DGSGVO bilden, soweit die Voraussetzungen vorliegen.

  • Hallo, ich lebe in Niedersachsen und gebe grundsätzlich nur meinen Namen, Wohnort und Telefonnummer an. (Grundsätzlich nicht die Straße mit und Hausnummer) Muss doch so ausreichend sein, oder?

  • In einem Kino hat man bei uns zusätzlich den Personalausweis verlangt, dann hat sich die Mitarbeiterin die Perso-Nummer aufgeschrieben und unsere Handynummern angerufen. Ich hatte meins nicht dabei und es war auch ausgestellt. Daraufhin wurde mir der Zutritt nur auf Kulanz gewährt; ich sollte innerhalb von 24 Stunden mit angezeigter Nummer im Kino anrufen. Das habe ich nicht getan, daraufhin bekam ich Besuch von der Polizei, die meine Nummer überprüft hat. Das Ganze ist doch absurd!
    Übrigens hat man in einem Berliner Lokal die Schublade unter dem Tresen während des Restaurantbetriebes aufgebrochen – alle Daten Futsch! Jetzt steht der Betreiber vor Gericht! Der Täter ist weiter flüchtig und die Daten auch. Soviel dazu.

  • Findet die DSGVO überhaupt Anwendung, wenn die Daten handschriftlich niedergeschrieben werden und in keinem digitalen System erfasst werden, sondern on papierform aufbewahrt werden? Dies ist nicht im Geltungsbereich nach Art. 2 DSGVO („Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“). Ist ein Verweis auf die DSGVO dann überhaupt statthaft?

    • Die Ablage handschriftlicher Gästelisten in Papierform erfolgt oftmals sortiert in einem Briefumschlag oder Aktenordner, sodass es sich um ein Dateisystem handelt. Der Begriff Dateisystem wird definiert in Art. 4 Nr. 6 DSGVO als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. Der Anwendungsbereich der DSGVO ist daher auch hierfür grundsätzlich eröffnet.

  • Oben heißt es wie folgt: „Die einzelnen Verordnungen der Bundesländer benennen konkret, welche Informationen die Gastwirte erheben müssen. Diese legitimieren die Datenerhebung, sodass Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage grundsätzlich greift.“
    Völlig richtig ist, dass nach Art. 6 Abs. 1 Satz 1 lit. c DSGVO die Datenerhebung nur bei Bestehen einer rechtlichen Verpflichtung, also aufgrund einer wirksamen Rechtsgrundlage zulässig ist. Diese Rechtsgrundlage kann ein Gesetz, eine Rechtsverordnung oder eine andere rechtliche Vorschrift sein.
    Mir stellt sich hierzu aber die GRUNDSÄTZLICHE Frage, ob die von den Bundesländern erlassenen Rechtsverordnungen eine Datenerhebung in Gaststätten und auch in anderen Institutionen überhaupt anordnen dürfen. Denn in § 32 des Infektionsschutzgesetzes ist eine Ermächtigung der Landesregierungen, in das informationelle Selbstbestimmungsrecht nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, also das Datenschutzrecht einzugreifen, NICHT vorgesehen. In § 32 IfSG heißt es nämlich nur wie folgt: „Die Grundrechte der Freiheit der Person (Artikel 2 Abs. 2 Satz 2 Grundgesetz), der Freizügigkeit (Artikel 11 Abs. 1 Grundgesetz), der Versammlungsfreiheit (Artikel 8 Grundgesetz), der Unverletzlichkeit der Wohnung (Artikel 13 Abs. 1 Grundgesetz) und des Brief- und Postgeheimnisses (Artikel 10 Grundgesetz) können insoweit eingeschränkt werden.“ Ein Eingriff in die Datenschutzrechte durch Rechtsverordnung sieht das Infektionsschutzgesetz also nicht vor.
    Außerdem ist auch in den weiteren Vorschriften des Infektionsschutzgesetzes ein Eingriff in das informationelle Selbstbestimmungsrecht nicht vorgesehen.
    Nach der Rechtsprechung des Bundesverfassungsgerichts ist aber ein solcher Eingriff in das informationelle Selbstbestimmungsrecht – wie hier der Datenerhebung von Gaststättenbesuchern oder Gästen anderer Institutionen – nur zulässig, wenn hierfür eine GESETZLICHE Grundlage besteht.
    Da die Ermächtigungsvorschrift des § 32 IfSG zum Erlass von Rechtsverordnungen der Länder einen Eingriff in das informationelle Selbstbestimmungsrecht nicht vorsieht, ist eine in einer solchen Rechtsverordnung enthaltene Datenerhebungspflicht verfassungswidrig und damit unwirksam bzw. nichtig. Nur der (Bundes-)Gesetzgeber – also Bundestag und Bundesrat – könnte eine solche Datenerhebungspflicht durch Ergänzung des Infektionsschutzgesetzes verfassungsgemäß anordnen.

    • Wir hatten uns den Sachverhalt der Gästelisten im Mai aus einfachgesetzlicher Sicht angeschaut. Hier bleibt festzuhalten, dass bis die Gerichte die Reglungen zur Kontaktnachverfolgung verwerfen, sich die Gaststättenbetreiber auf diese und den Vertrauensschutz im Hinblick auf die Gesetzgebung berufen können.

      Zu Ihrer grundsätzlichen Frage. Diese ist gut nachvollziehbar und begründet. Um an dieser Stelle dazu keinen Roman zu verfassen, sei lediglich darauf hingewiesen, dass sich mit dieser Frage jüngst auch der Verfassungsgerichtshof des Saarlandes beschäftigte (wir berichteten) und zu dem Ergebnis kam:

      „Ein Eingriff in das Grundrecht auf Schutz der personenbezogenen Daten bedarf einer in der Regel förmlichen, parlamentarischen Ermächtigung, die die zu erhebenden personenbezogenen Daten als solche, den Anlass und den spezifischen Zweck der Erhebung, die Art und Dauer der Aufbewahrung sowie ihre Löschung normenklar und bestimmt regelt und den Grundsatz der Verhältnismäßigkeit wahrt. Schon daran fehlt es. Das IfSG enthält keine solche Ermächtigung. Alleine die sich aus § 28, § 32 IfSG ergebende Befugnis, „die notwendigen Schutzmaßnahmen zu treffen“ ist – jedenfalls für den generell-abstrakten Eingriff in das Recht auf informationelle Selbstbestimmung – zu unbestimmt.“ Die landesrechtliche Norm enthält lediglich rudimentäre Regelungen über den Zweck der Datenerhebung und den Umgang mit Daten und ist zudem lediglich exekutives Recht. Im Zuge dessen wurde vom Gericht eine Unvereinbarkeitserklärung ausgesprochen und dem saarländischen Landtag bis zum 30. November Zeit gegeben, eine entsprechende gesetzliche Regelung zur Kontaktverfolgung erlassen.

  • wie sieht es mit der Datenfassung von Stammgästen (die z.B. täglich zum Mittagstisch gehen) aus? Kann man die auf einer wiederkehrenden Liste zusammenfassen?

    • Zunächst einmal gibt es keine abweichenden Regelungen zu Stammgästen, sodass diese ebenfalls erfasst werden müssen.

      Soweit man diese gesondert in einer wiederkehrenden Liste erfassen will, muss man auf folgende Aspekte achten:
      – Die betroffenen Stammgäste wurden ebenfalls nach Art. 13 DSGVO informiert und können auf Nachfrage erneut informiert werden.
      – Die Stammgäste können nicht die Kontakt- und Adressdaten anderer Stammgäste einsehen.
      – Die Stammgäste werden darum gebeten, Änderungen ihrer Kontakt- und Adressdaten mitzuteilen, damit der Gastwirt die aktuellen und richtigen Daten hat.
      – Es wird aktiv kontrolliert und notiert, ob der Stammgast tatsächlich am gewohnten Tag zur gewohnten Zeit anwesend war. Andernfalls besteht die Gefahr, dass ein Stammgast in Quarantäne geschickt wird, obwohl dieser ausnahmsweise nicht da war.

      Ob sich der Arbeitsaufwand letztlich tatsächlich reduziert oder am Ende genauso hoch ist, wie wenn der Stammgast wie jeder andere seine Liste manuell ausfüllt, muss der Gastwirt dann für sich selbst entscheiden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.