Seit heute dürfen Gastronomie-Betriebe in Niedersachsen (Frisörbetriebe bereits seit dem 04.05.2020) unter Beachtung strenger Regeln wieder Gäste empfangen und bewirten. Dabei werden die Betriebe per Landesverordnung u.a. dazu verpflichtet, Daten des Gastes zu dokumentieren. Damit findet eine Verarbeitung personenbezogener Daten statt, so dass die Rahmenbedingungen der Datenschutz-Grundverordnung (DS-GVO) klar zu beachten sind. Unter welchen Rahmenbedingungen hat nun diese Datenerhebung zu erfolgen?
Die Niedersächsische Verordnung zur Bekämpfung der Corona-Pandemie in der Fassung vom 9. Mai 2020 macht in ihrem § 6 Vorgaben, welche Daten Restaurationsbetriebe von ihren Gästen erheben müssen und wie mit ihnen umzugehen ist. Dort wird aufgeführt:
- Name und Kontaktdaten des Gastes
- Zeitpunkte des Betretens und des Verlassens der Einrichtung
- Einverständnis des Gastes zur Dokumentation
- Dreiwöchige Aufbewahrung und anschließende Löschung
Betrachtet man diese Vorgaben unter einem datenschutzrechtlichen Blickwinkel, so zeigen sich einige interessante Aspekte.
Die zur Datenverarbeitung gemäß DS-GVO erforderliche Rechtsgrundlage ist mit der Landesverordnung gegeben (Art. 6 Abs. 1 Buchst. c DS-GVO). Auch die Art der zu erhebenden Daten (Name, Kontaktdaten, Zeitpunkte) und die Speicherdauer (3 Wochen) werden mit der Verordnung festgelegt.
Einwilligung zur Datenverarbeitung nicht erforderlich
Des Weiteren hat der Gast sein Einverständnis mit der Datenerhebung zu unterschreiben. Leider ist dieses geforderte Einverständnis des Gastes datenschutzrechtlich unzutreffend bzw. entbehrlich. Und das aus mehreren Gründen:
- Das für eine Einwilligung zwingend erforderliche Kriterium der Freiwilligkeit ist ausgeschlossen, da der Gast bei einer Verweigerung seines Einverständnisses gemäß den Vorgaben der Verordnung nicht bewirtet werden darf.
- Würde eine Einwilligung bzw. ein Einverständnis als Rechtsgrundlage herangezogen, bestünde für den Gast ein Recht auf Widerspruch zur Datenverarbeitung. Ein Widerspruch ist allerdings durch die zwingende Vorgabe zur Erhebung durch die Landesverordnung ebenfalls nicht möglich.
- Mit der Verordnung selbst liegt bereits eine Rechtsgrundlage zur Datenverarbeitung vor (Art. 6 Abs. 1 Buchst. c DS-GVO), so dass es datenschutzrechtlich keiner weiteren Grundlage wie einem Einverständnis bedarf.
Aber wie dem auch sei: die Landesverordnung sieht eine „Einverständnis-Pflicht“ derzeit vor, so dass jeder Gastronom schlecht beraten wäre, dieser nicht nachzukommen – unabhängig, wie sinnvoll oder konfliktfrei diese auch ist.
Aufbewahrung und Offenlegung
Als Aufbewahrungsdauer wird ein Zeitraum von drei Wochen vorgegeben. D.h. für diese Dauer muss der Betreiber die Daten vorhalten. Im Umkehrschluss bedeutet dies aber auch: nach Ablauf dieser Frist MUSS er die erfassten Daten wieder löschen.
Nicht unmittelbar im Zusammenhang mit Restaurationsbetrieben, aber schon im Rahmen der Landesverordnung, wird ebenfalls geregelt, an wen die Daten herauszugeben sind: an Gesundheitsämter und zwar nur auf Anforderung. In welcher Form eine Herausgabe erfolgt (Anfrage zu einer spezifischen Person, Zeitraum der Anfrage), bleibt jedoch offen.
So weit die in der Landesverordnung angesprochenen Regelungen. Welche grundlegenden datenschutzrechtlichen Anforderungen werden aber nicht angesprochen, sind aber dennoch zu beachten?
Weitere datenschutzrechtliche Anforderungen
Zunächst ist an dieser Stelle die Informationspflicht des Art. 13 DS-GVO zu nennen. D.h. der Betreiber muss seinen Gast darüber informieren, welche Daten zu welchem Zweck er erhebt, an wen diese Daten weitergegeben werden und wie lange sie gespeichert werden. Des Weiteren ist in dem Zusammenhang auf die bestehenden Datenschutzrechte (Auskunft, Berichtigung, usw.) sowie das Recht auf Beschwerde bei der Aufsichtsbehörde hinzuweisen. Ein von der Landesbeauftragten für Datenschutz Niedersachsen herausgegebenes Muster finden Sie hier. Auf der Homepage der Landesbeauftragten für Datenschutz Niedersachsen sind weitere Hinweise zur datenschutzkonformen Dokumentation zu finden.
Des Weiteren hat der Betreiber angemessene organisatorische und technische Sicherheitsmaßnahmen zu ergreifen. D.h. er muss vermeiden, dass die erhobenen Daten weder durch Verlust (gleich welcher Art) untergehen, noch dass Angestellte fröhlich in ihrem Bekanntenkreis erzählen, wer nun alles im Restaurant zu Gast war oder dass Gästelisten im Müllcontainer gefunden werden.
Dabei versteht sich von selbst, dass der Betreiber verpflichtet ist, einen Nachweis zur Umsetzung aller ergriffenen Maßnahmen zu führen.
Aber nicht nur diese Punkte lässt die Landesverordnung offen. Unklar ist insbesondere die Übermittlung an Gesundheitsämter und der dortige Umgang bzw. die Weiterverwendung der eingesammelten Daten. Wie soll eine Übermittlung erfolgen? Per E-Mail vielleicht? Aus Gründen der Datensparsamkeit dürften nur die Kontaktdaten von Personen übermittelt werden, die das Lokal in einem engen zeitlichen Zusammenhang besucht haben. Wie wird dies sichergestellt?
Wenn man sich diese Fragen vor Augen führt, ist es sehr verständlich, wenn Gastronomen auch weiterhin auf Außer-Haus-Bestellungen setzen und lieber auf eine Öffnung ihres Betriebs verzichten.