DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

Zugegeben: Der Gastronomie-Sektor war bislang kein typischer Kunde für Datenschutzbeauftragte. Vielleicht ändert sich dies aber, wenn mit Corona die Gastwirte zunehmend zur Datenverarbeitung durch den Staat genötigt werden. Hier ein kleiner Guideline für Gastwirte, was Sie beim Anlegen von Gästelisten zu beachten haben.

Welche Daten sollen Gastwirte verarbeiten?

Die Bundesländer haben nach Art. 70 Abs. 1 GG die Gesetzgebungskompetenz im Bereich der Gaststätten. Im Rahmen von Verordnungen regulieren diese daher nun, unter welchen Voraussetzungen Gastbetriebe trotz der weiterhin herrschende Corona-Pandemie wieder öffnen dürfen. Folgende Themen werden u. a. reguliert:

  • Tragepflicht von Behelfsmasken und sonstige Mundbedeckungen
  • Abstandsregelungen innerhalb der Räumlichkeiten
  • Anzahl an Haushalten, die zusammen an einem Tisch sitzen dürfen
  • zulässige Öffnungszeiten.

Die oben aufgezählten Bereiche waren wohl vorherzusehen. Folgende Regelungen wie in § 2 Abs. 3 Corona-Gaststätten Verordnung Baden-Württemberg wird jedoch so manch einen Gaststättenbetreiber überrascht haben:

„Der Betreiber hat, ausschließlich zum Zweck der Auskunftserteilung gegenüber dem Gesundheitsamt oder der Ortspolizeibehörde nach §§ 16, 25 IfSG, die folgenden Daten bei den Gästen zu erheben und zu speichern:

  1. Name und Vorname des Gastes,
  2. Datum sowie Beginn und Ende des Besuchs, und
  3. Telefonnummer oder Adresse des Gastes.

Die Gäste dürfen die Gaststätte nur besuchen, wenn sie die Daten nach Satz 1 dem Betreiber vollständig und zutreffend zur Verfügung stellen. Diese Daten sind vom Betreiber vier Wochen nach Erhebung zu löschen. Die allgemeinen Bestimmungen über die Verarbeitung personenbezogener Daten bleiben unberührt.“

Ist die Datenerhebung verpflichtend oder freiwillig?

Die konkreten Regulierungen unterscheiden sich in den einzelnen Bundesländern erheblich (eine Übersicht finden Sie z.B. bei der DEHOGA). Manche Bundesländer haben unmissverständlich eine Pflicht zur Datenerhebung normiert, so z. B. Baden-Württemberg, Hamburg oder Hessen. Manche Bundesländer wie Brandenburg schweigen hierüber.

Und andere Bundesländern sind in ihrer Formulierung leider nicht ganz so eindeutig. So heißt es in § 9 Abs. 1 Nr. 1 Dritte Corona Verordnung des Landes Bremen:

„Die Betreiberin oder der Betreiber hat den Namen und die Kontaktdaten jedes Gastes sowie den Zeitpunkt des Betretens und Verlassens der Einrichtung zu dokumentieren und drei Wochen aufzubewahren; ein Gast darf nur bedient werden, wenn er mit der Dokumentation einverstanden ist;“

Ein Einverständnis suggeriert ja, dass der Gast eine Wahl hätte, sodass man von einer datenschutzrechtlichen Einwilligung als Rechtsgrundlage ausgehen könnte. Wenn die Bewirtung aber wiederum nur erfolgt, wenn der Gast zustimmt, dann hat man mit der Freiwilligkeit doch wieder seine Bauchschmerzen. Auch Bayern hat in seinem Hygiene-Konzept lediglich von einer Soll-Formulierung Gebrauch genommen, sodass auch hier ein gewisser Interpretationsspielraum besteht. Hier wären eindeutige Formulierungen für die Gastronomen sicherlich hilfreich.

Wie werden die Daten erhoben?

Leider hat es die Regierung versäumt, den Gastwirten neben diesen gesetzlichen Auflagen auch eine Guideline an die Hand zu geben, wie man diese Informationen datenschutzkonform verarbeitet. So sieht und liest man einige Umsetzungen, die für den Datenschützer das Haar in der Suppe sind.

Der Gastwirt denkt verständlicherweise pragmatisch und will eine schnelle Lösung dieser Aufgabe. Also druckt er sich eine Tabelle aus und legt diese aus, damit die Gäste selbständig ihre Daten eintragen können. Der Umwelt zuliebe möchte man natürlich Papier sparen und die Tabellen sind dann besonders lang, sodass 20 Gäste und mehr sich eintragen können.

Manch ein Gastwirt will den Papierberg gänzlich vermeiden und digital arbeiten. Also lässt er den Personalausweis von den Gästen mit einem Smartphone fotografieren, welches im Optimalfall ein separates Dienstgerät ist. So kann er auch sichergehen, dass die vom Gast angegebenen Daten korrekt sind.

Dem Gastwirt kann man hier aber keinen Vorwurf machen, denn woher sollte er dies wissen. Zwar schützt Unwissenheit grundsätzlich nicht vor Rechtsverfolgung. Allerdings kann man nicht erwarten, dass sich eine ganze Berufsgruppe von heute auf morgen über all die verschiedenen Problematiken eines Rechtsgebietes auseinandersetzt, mit dem es in der Vergangenheit sonst kaum Berührungspunkte hatte. Dem Gastwirt steht auch in der Regel kein Datenschutzbeauftragter, -koordinator oder sonstiger Jurist zur Verfügung, der für ihn schnell die rechtlich zulässigen Handlungsmöglichkeiten ermitteln kann.

Insoweit wäre es wünschenswert gewesen, wenn alle Bundesländer an dieser Stelle ihre Pflicht zur Aufklärung erkannt und entsprechende Informationen zur Verfügung gestellt hätte. Bisweilen gibt es von den Aufsichtsbehörden nur Handreichungen und Hinweise in folgenden Bundesländern:

  • Hamburg (Unter dem Punkt: Verarbeitung personenbezogener Covid-19-Daten durch den stationären Handel und Unternehmen mit Publikumsverkehr)
  • Hessen
  • Mecklenburg-Vorpommern (Unter dem Punkt: Cafés, Restaurants und weitere Gastronomiebetriebe)
  • Niedersachsen
  • Nordrhein Westfalen
  • Rheinland-Pfalz (Unter dem Punkt: Was haben Gaststättenbetreiber und ähnliche Betriebe bei der Wiederöffnung datenschutzrechtlich zu beachten?)
  • Saarland
  • Schleswig-Holstein

Grundsätzlich sollten sich Betriebe zunächst nach den Handreichungen ihrer zuständigen Aufsichtsbehörde richten.

Was gilt es bei den Gästelisten zu beachten?

Der nachfolgende Guideline soll allen Gastwirten helfen, deren Aufsichtsbehörde keine konkreten Vorgaben gemacht haben, ihren Verarbeitungsprozess kritisch überprüfen zu können und datenschutzkonform zu gestalten:

1. Erhebe nur so viele Informationen, wie dies gesetzlich gefordert ist

Die Grundsätze der Zweckbindung und Datenminimierung aus Art. 5 Abs. 1 DSGVO sind wesentliche Säulen im Datenschutzrecht. Die einzelnen Verordnungen der Bundesländer benennen konkret, welche Informationen die Gastwirte erheben müssen. Diese legitimieren die Datenerhebung, sodass Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage grundsätzlich greift. Wenn der Gastwirt noch weitere Informationen zu eigenen Zwecken erhebt, muss er dies dem Gast kenntlich machen und auch eine separate Rechtsgrundlage hierfür aufweisen (z. B. Einwilligung oder überwiegend berechtigte Interessen). Andernfalls bewegt sich der Wirt sehr schnell im rechtswidrigen Bereich.

2. Reservierungen können die Datenerfassung erleichtern

Soweit Gäste ihren Restaurantbesuch im Voraus reservieren, können hier schon die Daten erhoben werden, umso Zeit vor Ort zu sparen. Insbesondere über Buchungsapps oder über Webformulare, die in der eigenen Webseite integriert sind, kann dieser Arbeitsschritt digital erfasst werden und so wertvolle Zeit des eigenen Personals eingespart werden. Falls Gastwirte diese digitale Arbeitserleichterung noch nicht für sich entdeckt haben, lohnt sich jetzt auf jeden Fall ein zweiter Blick darauf. Allerdings müssen auch hier die technische Lösung und insbesondere der Drittanbieter sorgfältig ausgewählt werden. Folgende Kriterien gilt es u. a. zu prüfen:

  • Ist die Datenübermittlung durch eine Ende-zu-Ende Verschlüsselung geschützt?
  • Wo werden die Daten gespeichert?
  • Behält sich der Drittanbieter eine eigene Nutzung der Daten vor (insbesondere eine Weitergabe der Daten an Dritte)?
  • Wie lange werden die Daten gespeichert?

3. Vorzeigen des Personalausweises ist okay, Fotokopien anlegen grundsätzlich nicht

Früher hat so manch ein Gast gerne unter einem Pseudonym seinen Platz reserviert. Damit der Wirt seine gesetzliche Pflicht erfüllen kann, muss er aber nun die wahre Identität seiner Gäste erfragen. Hierzu kann er sich auch den Personalausweis vorlegen lassen. Aber Vorsicht beim Fotografieren! Der Personalausweis enthält eine Reihe weiterer Informationen, die der Wirt nicht benötigt, sodass deren Verarbeitung datenschutzrechtlich problematisch ist (siehe auch den Beitrag zum Personalausweis). Es sollte daher gänzlich von Fotokopien der Personalausweise abgesehen werden.

Wenn man hierauf nicht verzichten will, dann ist einerseits mit Hilfe einer Schablone, die man über den Ausweis legt, zu gewährleisten, dass nur die erforderlichen Informationen erfasst werden. Andererseits sollten die Fotografien nicht mit einem privaten Smartphone o. Ä. erhoben und gespeichert werden.

4. Schütze die Informationen vor unberechtigten Zugriffen

Das Auslegen einer auszufüllenden Tabelle birgt zweierlei Risiken. Einerseits ist der eingesetzte Kugelschreiber ein ideales Übertragungsmedium für den Corona-Virus und müsste daher nach jeder Benutzung desinfiziert werden. Andererseits erhalten die nachfolgenden Gäste in unberechtigter Weise Zugang zu den Informationen der vorherigen Gäste. Im schlimmsten Falle fotografieren sie diese Liste und nutzen die Kontaktdaten zu eigenen Zwecken aus.

Der Gastwirt trägt die Pflicht dafür Sorge zu tragen, dass sowas nicht passiert und muss daher entsprechende Vorkehrungen treffen. Wenn die Gäste ihre Informationen in einer langen Tabelle eintragen, dann darf diese Sammeltabelle nicht unbewacht herumliegen. Ein Mitarbeiter sollte insoweit die Aufsicht übernehmen, um ggf. eingreifen zu können. Noch besser ist es, wenn die Mitarbeiter selber die Gästelisten führen.

Auch innerhalb der Organisation ist zu prüfen, wie und wo die Gästelisten aufbewahrt werden und welche Mitarbeiter Zugang zu denen haben sollten.

5. Erstelle ein Informationsblatt für die Gäste

Der Gastwirt muss auch hier seine Informationspflichten aus Art. 12 ff. DSGVO erfüllen. Hierzu bietet sich die Erstellung eines Informationsblattes an, welches zentral an der Bartheke oder an einem anderen für den Gast leicht einsehbaren Bereich ausliegt, sodass diese jederzeit nachlesen können. Wenn das Informationsblatt laminiert wird, kann es besonders lange verwendet werden. Folgende Fragen sollten beantwortet werden:

  • Welche Daten werden erhoben?
  • Warum werden diese Daten erhoben?
  • Wie lange werden diese Daten gespeichert?
  • Welche Rechte haben die Gäste als betroffenen Personen?

Soweit ein Restaurant über eine Webseite verfügt, sollte insbesondere die letzte Frage bereits in der Datenschutzerklärung beantwortet sein, sodass deren Text an dieser Stelle übernommen werden kann. (Unterstützung bei dem Erstellen der Datenschutzhinweise bietet z.B. der Datenschutz Generator des Kollegen Thomas Schwenke) Hinsichtlich der zweiten Frage kann ein Gastwirt dies leicht beantworten, wenn er in der jeweils für ihn geltenden Verordnung eine Pflicht zur Datenerhebung normiert ist. Dann kann er diese konkrete Verordnung benennen und klarstellen, dass er lediglich seine gesetzliche Pflicht erfüllt.

Wenn sich aus der Verordnung selbst keine Pflicht ergibt, kann der Wirt möglicherweise berechtigte Interessen haben, bei der Kontaktpersonenermittlung im Falle einer Infektion mitzuwirken. Hier müsste allerdings eine Interessenabwägung erfolgen und auch entsprechend intern dokumentiert. Für den Wirt ist es an dieser Stelle einfacher und rechtlich sicherer, die Datenerhebung in diesem Falle nur auf freiwilliger Basis einer Einwilligung zu stützen.

6. Entwickle Routinen für das Löschen der Daten

In den Verordnungen sind die Aufbewahrungsfristen von ca. vier Wochen grundsätzlich genannt. Selbst wenn nicht, kann man sich an die Festlegungen der anderen Bundesländer orientieren. Diese Festlegung rührt von der Inkubationszeit her. Nach Ablauf dieser vier Wochen besteht keine Gefahr der Ansteckung mehr. Wenn man diese erhobenen Informationen nach dem Datum sortiert ablegt, behält man leicht den Überblick und man kann schnell sowie routiniert die Löschung vornehmen.

7. Entsorge die Gästelisten nicht unachtsam

Insbesondere wenn man Listen in Papierform führt, ist es ein No-Go, diese einfach achtlos in die Papiertonne zu werfen. Ein Dritter kann diese Gästelisten Leichtens aus der Tonne fischen und die Daten rechtswidrig verwenden. Man sollte sie wenigstens vorab schreddern. Da diese Daten keinen hohen Schutzbedarf unterliegen, ist die Entsorgung über eine Datenschutztonne zwar wünschenswert, aber nicht erforderlich. Die Anmietung einer solchen Tonne ist wohl nur dann sinnvoll, wenn man sie sich mit benachbarten Gastronomiebetrieben teilen und insoweit die Kosten aufteilen kann.

Wenn die Gästelisten digital gespeichert sind, ist daran zu denken, dass die typische Form des Löschens in Form des „in den Papierkorb verschieben“ keine datenschutzkonforme darstellt. Solche Dateien können durch bloß einen Klick wiederhergestellt werden. Dieser digitale Papierkorb ist daher zumindest ebenfalls „zu leeren“.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie.