Mittlerweile hat man sich ja schon fast daran gewöhnt, dass selbst beim Kantinenbesuch in der Mittagspause diverse personenbezogene Daten erhoben werden. Über die Datenerhebung beim Besuch von Cafés, Restaurants und Bars berichteten wir schon vor einigen Wochen in unserem Blog. Vor dem Hintergrund der Covid-19-Pandemie dient die Datenerhebung der Rückverfolgbarkeit von Infektionsketten. In der Regel werden zu diesem Zweck das Datum und die Uhrzeit des Restaurantbesuchs sowie Name, Anschrift, Telefonnummer und E-Mail-Adresse erhoben, wobei die zu erhebenden Daten von Bundesland zu Bundesland variieren können. Rechtsgrundlage der Datenverarbeitung in diesem Zusammenhang ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. der jeweiligen Corona-Verordnung des Bundeslandes.
Unzulässige Erhebung der Kontaktdaten
Nicht selten erfolgt die Erhebung der Gästedaten durch offen herumliegende Formulare, die für jeden einsehbar sind. Da die erhobenen Kontaktdaten vertraulich zu behandeln sind, haben bereits einige Landesdatenschutzbeauftragte deutlich darauf hingewiesen, dass die Daten für Dritte nicht einsehbar sein dürfen. Bei einer Stichprobe der Hamburger Datenschutzaufsicht haben sich etwa 1/3 der Gastronomen nicht an diese Vorgabe gehalten. Anstatt Listen auszulegen, sollten die Daten daher besser direkt von den Mitarbeitern separat aufgenommen werden oder gleich individuelle Formulare Anwendung finden, die direkt vom Gast ausgefüllt werden und etwa beim Verlassen des Restaurants in ein nicht einsehbares Behältnis geworfen werden können.
Unzulässige Verwendung der Kontaktdaten
Neben dem Ausspähen der erhobenen Kontaktdaten durch andere Gäste oder sonstige unbefugte Dritte können die Kontaktdaten aber auch direkt bei den Gastronomen weitere Begehrlichkeiten wecken. Denn diese hätten nun theoretisch über die geführten Listen und ausgefüllten Formulare die Möglichkeit, herauszufinden, wer ihre Gäste wirklich sind. So ließe sich mit den Kontaktdaten bspw. herausfinden, ob ein Restaurant etwa auch Besucher aus anderen Stadtteilen anzieht oder die Gäste nur aus der unmittelbaren Nachbarschaft kommen. Theoretisch besteht seitens der Gastronomen auch die Möglichkeit die Daten zu Werbezwecken zu verwenden. E-Mail-Adresse, Adresse und Telefonnummer könnten dazu verwandt werden, um Werbeflyer zu verschicken oder um einen Werbeanruf durchzuführen. Für die genannten Zwecke dürfen die Daten jedoch nicht verwendet werden. Denn Zweck der Datenerhebung ist ausschließlich die Weiterleitung an die zuständigen Gesundheitsbehörden, wenn der Fall der Fälle Eintritt und Infektionsketten zurückverfolgt werden müssen. Werden die Kontaktdaten der Besucher missbraucht und für Werbezwecke verwendet, können Bußgelder in Höhe von bis zu 4 % Prozent des Jahresumsatzes durch die Datenschutzaufsichtsbehörden festgesetzt werden.
Verwendung der Kontaktdaten zu polizeilichen Ermittlungszwecken
Neben der Rückverfolgung von Infektionsketten kann eine zulässige Verwendung der erhobenen Kontaktdaten jedoch auch dann vorliegen, wenn die Daten bei Ermittlungen gegen Straftaten Verwendung finden. In einem Fall hatte die Polizei Hamburg eine Corona-Liste abtelefoniert, um Zeugen für eine Straftat ausfindig zu machen. Auch die taz berichtete hierzu vor einigen Tagen. Dass die Polizei diese Daten für ihre Ermittlungen verwenden darf, ergibt sich wohl direkt aus der Strafprozessordnung. Denn die Daten vom Restaurantbesuch werden als Beweismittel beschlagnahmt, um potentielle Augenzeugen kontaktieren.
Zwar kann die Verarbeitung der Daten im Rahmen von strafrechtlichen Ermittlungsverfahren rechtlich zulässig sein, so warnen die Datenschutzbehörden dennoch vor einer allzu unbedachten Verwendung dieser Daten durch die Ermittlungsbehörden, da dies das Vertrauen der Bevölkerung in die Maßnahmen zur Eindämmung der Pandemie verringern könne.
Fazit
Schließlich bleibt festzuhalten, dass Gastronomen die erhobenen Kontaktdaten Ihrer Gäste äußerst sorgfältig behandeln sollten. Die Daten dürfen nur zur Nachverfolgung von Infektionsketten verwendet werden. Insbesondere der Verlockung, die Daten zu Werbezwecken zu verwenden, sollte nicht nachgegeben werden, um Bußgelder wegen Verletzung datenschutzrechtlicher Grundätze zu vermeiden. Die Weiterleitung der Daten an die Staatsanwaltschaft und deren Ermittlungsbeamte kann jedoch datenschutzkonform sein. Außerdem sollte unbedingt daran gedacht werden, die Kontaktdaten datenschutzkonform zu vernichten, sobald diese nicht mehr zur Rückverfolgung von Infektionsketten dienen können. Die genaue Speicherdauer ergibt sich dabei aus den jeweiligen Corona-Verordnungen der Bundesländer und beträgt in der Regel 3 – 6 Wochen.