Kontaktnachverfolgung: Pandemieeindämmung vs. Datenschutz
Geschrieben von Christian Scholtz, veröffentlicht am 30.06.2020Nach dem Lock Down der vorangegangenen Wochen hat bundesweit nunmehr die zweite Phase in der Bekämpfung der Pandemie begonnen: Schrittweise erlauben die Bundesländer die Wiederaufnahme des öffentlichen und wirtschaftlichen Lebens. Besonders deutlich wird dies an der Gastronomie als sozialer Treffpunkt und Beispiel für zumeist mittelständische oder gar selbständig geführte Unternehmen.
In diesem Blogbeitrag wollen wir anhand der Kontaktnachverfolgung in gastronomischen Betrieben das Spannungsfeld zwischen Infektionsschutzgesetz und Datenschutz näher beleuchten.
Hygieneregeln und weitere Maßnahmen zum Infektionsschutz
Einhergehend mit den Öffnungen sind allerdings diverse Vorgaben des Gesetzgebers in Kraft getreten: Hygeniekonzepte werden verlangt, bestimmte Verhaltensregeln empfohlen und auch eine Kontaktnachverfolgung durch das Dokumentieren von Namen und Adresse der Gäste soll ermöglicht werden. Dabei fungiert als Rechtsgrundlage § 32 Infektionsschutzgesetz (IfSG), welche den jeweiligen Landesregierungen gestattet, Rechtsverordnungen sowie Gebote und Verbote zur Bekämpfung übertragbarer Krankheiten zu erlassen.
Das Land Berlin hat hiervon in Form der SARS-CoV-2-Eindämmungsmaßnahmenverordnung Gebrauch gemacht. In dieser finden sich detaillierte Maßnahmen und Voraussetzungen, die an verschiedene Branchen als Bedingung für eine Wiederaufnahme des Geschäftsbetriebs gestellt werden. Die Vorgaben reichen dabei von klaren Verboten (z.B wie in § 6 Abs. 3 u. 4 festgelegt, keine Öffnung von Shisha-Bars, Spa– und Wellness Bereichen, Vorführungen etc.), Beschränkungen (maximal eine Person auf 20 qm Geschäftsfläche, § 6a Abs. 2) und Empfehlungen (Tragen einer Mund-Nasen-Bedeckung im öffentlichen Raum, § 2 Abs. 2).
Diese Abstufungen deuten darauf hin, dass der Senat darum bemüht war die Einschränkungen auf das mindeste zu reduzieren und Ermessungsspielräume zu gewähren. Auch das Aufnehmen der Kontaktdaten wird den Betreibern von Gastronomie durch § 6 Abs. 6 lediglich geraten. Entgegen den Verordnungen anderer Bundesländer, wie etwa in Nordrhein Westfalen wird daher das Auslegen einer Liste zum Abfragen von Name, Adresse und Telefonnummer nicht verpflichtend. Im Rahmen eines schlüssigen Hygeniekonzeptes kann dies aber eine elementare Maßnahme sein, insbesondere hinsichtlich Nachweispflichten gegenüber den Behörden.
Und der Datenschutz?
Unstreitig sind die Kontaktdaten als personenbezogene Daten nach Art. 4 Nr.1 DSGVO anzusehen. Damit bedarf es einer Rechtgrundlage, die die Verarbeitung durch den verantwortlichen Gastronomen gestattet. Durch Art. 6 Abs. 1 s.1 lit. c) DSGVO ist eine solche grundsätzlich gegeben – die Einhaltung des Infektionsschutzgesetzes bzw. der jeweiligen Länderverordnungen stellt eine rechtliche Verpflichtung dar, die die Datenerhebung und Speicherung notwendig macht.
Zur Reichweite des Infektionsschutzgesetzes, welches teilweise erhebliche Beschränkungen von Grundrechten gestattet wurde im Verlaufe der Pandemie bereits vielfach kontrovers diskutiert. Auch speziell auf den Datenschutz und die informationelle Selbstbestimmung bezogen gab es Kritik – sogar vom Bundesbeauftragten für Datenschutz und Informationssicherheit, Ulrich Kelber.
Vorliegend kann bei näherer Betrachtung aber in den meisten Umsetzungen der Bundesländer von einer Zulässigkeit in Fragen der Kontaktnachverfolgung und der damit verbundenen Dokumentation von Kundendaten ausgegangen werden: Durch die Beschränkung auf Name, Adresse und Telefonnummer, die begrenzte Speicherdauer und die weiterhin bestehende Entscheidungsfreiheit des Einzelnen, ob er bereit ist gegen Angabe seiner Daten die Bewirtung in Anspruch zu nehmen, ergibt sich kein als zu weitreichend anzusehender Eingriff.
Nur in Baden-Württemberg kam es zu Unklarheiten; die dortige Verordnung sah nämlich keine Konsequenzen vor, für den Fall, dass ein Betroffener seine Daten nicht angeben wollte. Somit eignet sich diese auch nicht um als eine klare rechtliche Verpflichtung im Sinne der DSGVO angesehen zu werden, wie der dortige Datenschutzbeauftragte beklagte. Die Vorgaben der Landesregierungen müssen klar aufzeigen, dass die Nichtabgabe der Kontaktdaten mit einem Verbot verbunden ist, den Gast zu bewirten.
Dennoch müssen sämtliche Grundsätze und Vorgaben, die die DSGVO an eine rechtmäßige Datenverarbeitung stellt, gewahrt bleiben.
Wie ist die Verarbeitung zur Kontaktnachverfolgung durchzuführen?
Gerade kleine Unternehmen, wie eben auch Restaurants haben oftmals noch nicht allzu viele Berührungspunkte mit Datenschutzthemen: Reservierungen und Bewirtung sind zumeist auch anonym oder zumindest pseudonym möglich. Die Infektionsschutzmaßnahmen ändern dies nun: Die Verarbeitung personenbezogener Daten wird – je nach Bundesland – nun verpflichtend, wie oben beschrieben.
Nicht selbstverständlich mag manchen Betreibern daher erscheinen, was sich aus der DSGVO an Vorgaben und Maßstäben zwingend ergibt: Die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 lit. a) – f) DSGVO.
- Die Verarbeitung nach Treu und Glauben und Transparenz gebietet es den Betroffenen umfassend über die Verarbeitung zu informieren. Dies kann beispielsweise durch einen Aushang geschehen, der alle in Art. 12 DSGVO geforderten Angaben enthält.
- Sämtliche Kontaktdaten sind gebunden an den Zweck des Infektionsschutzes. Eine Verwendung zu anderen Zwecken (etwa Marketing) ist nicht zulässig.
- Es ist ein Minimum an Daten zu erheben. Gestattet sind nur die unmittelbar durch Gesetz hervorgehebenen Kontaktdaten. Darüberhinausgehende Erhebungen (evtl. gar zum Gesundheitszustand) sind zu unterlassen.
- Die Daten müssen richtig und auf dem neusten Stand sein, um den Zweck der Erhebung erfüllen zu können. Offensichtlich falsch angegebene Namen, E-Mails oder Adressen genügen nicht diesen Anforderungen und sind vom Verantwortlichen abzulehnen.
- Nach festgelegter Dauer der Speicherung (in dem meisten Bundesländern vier Wochen) sind die Daten unbedingt zu löschen
- Bei der Dokumentation und Ablage der Daten muss für die Sicherheit dieser gesorgt werden. Dies bezieht sich sowohl auf dem Schutz vor unberechtigter Verarbeitung, als auch der unbeabsichtigten Zerstörung. Daher sollte die Liste nicht öffentlich, für jeden einsehbar ausgelegt werden, sondern sorgfältig vom Personal selbst gepflegt werden.
Im Falle von Fragen oder Unklarheiten helfen wir Ihnen gerne. Sollten Sie durch das Infektionsschutzgesetz verpflichtet sein, die Kontaktdaten Ihrer Kunden zu verarbeiten helfen wir auch gerne bei der datenschutzrechtlich zulässigen Umsetzung und bei der Erstellung von Datenschutzhinweisen.