Datenerhebung von Gästen & Kunden: Das ist zu beachten
In vielen Bundesländern öffnen gastronomische und weitere Betriebe. Nun müssen die Betreiber plötzlich Daten ihrer Gäste und Kunden erheben. Das fordern die Landesverordnungen der einzelnen Länder. Lesen Sie, was hierbei aus Datenschutzsicht zu beachten ist.
Die aktuellen Rechtsverordnungen der Länder gegen die Ausbreitung des Corona-Virus auf Basis des Infektionsschutzgesetzes enthalten für Betreiber gastronomischer Betriebe (sowie für weitere Akteure, z.B. Betreiber von Friseursalons), eine Pflicht, die personenbezogenen Daten ihrer Gäste bzw. Kunden zu erheben.
Um welche Daten geht es?
Zumeist geht es hier um den Namen, die Anschrift und die Telefonnummer des jeweiligen Gastes.
Dabei gelten unterschiedliche Regelungen je nach Bundesland. So müssen Betreiber in Hessen nach dem Wortlaut der Verordnung nicht den Zeitpunkt des Besuchs und den des Verlassens erheben. In anderen Landesverordnung steht dies hingegen eindeutig drin.
Beispiel: Gesetzeswortlaut der Verordnung in Hessen für Gaststätten und Hotels (§ 4 Abs. 2 Nr. 3):
„Ab dem 15. Mai 2020 dürfen die in Abs. 1 genannten Betriebe Speisen und Getränke auch zum Verzehr vor Ort anbieten, wenn sichergestellt ist, dass bei Bewirtung in geschlossenen Raumen Name, Anschrift und Telefonnummer der Gäste zur Ermöglichung der Nachverfolgung von Infektionen unter Beachtung der datenschutzrechtlichen Bestimmungen von der Betriebsinhaberin oder dem Betriebsinhaber erfasst werden.“
Wichtig: Die Pflicht zur Datenerhebung besteht für den Betreiber in Hessen nach dem Gesetzeswortlaut nur bei einer Bewirtung in geschlossenen Räumen. Sie gilt somit nicht bei einer Bewirtung auf der offenen Terrasse des Restaurants.
Achtung: Andere Landesverordnungen, wie etwa die von Niedersachsen, machen diese Einschränkung nicht. Sie erstrecken die Pflicht zur Datenerfassung auf jeden Gast, unabhängig von der Räumlichkeit der Bewirtung. Damit gilt und damit nicht nur bei einer Bewirtung in geschlossenen Räumen.
Jeder Betreiber muss daher die ihn betreffende Landesverordnung genau studieren.
Welche Rechtsgrundlage gilt für die Datenerhebung?
Wie die Datenerhebung konkret ausgestaltet ist, regeln die einzelnen Landesverordnungen ebenfalls unterschiedlich.
So statuiert die hessische Verordnung lediglich eine Pflicht zur Datenerhebung gegenüber dem Betreiber (Art. 6 Abs. 1 Buchst. c Datenschutz-Grundverordnung (DSGVO) als Ausgangspunkt). Sie regelt nicht, was passiert, wenn der Gast diese Daten nicht bereitstellen will.
Andere Verordnungen (z.B. in Niedersachsen oder NRW) sind da konkreter. Sie verpflichten den Betreiber zur Datenerhebung mit Zustimmung des jeweiligen Gastes. Stimmt der Gast oder Kunde nicht zu, so muss der Betreiber – im Rahmen des Hausrechts – ihm den Eintritt bzw. die Bewirtung verwehren.
Eine Übersicht über die Regelungen nach Bundesland findet sich auf der Website der DEHOGA
Update 19.5: Auch einige Datenschutzaufsichtsbehörden haben sich zum Umgang mit Gästelisten geäußert. So etwa das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein. Es hat ein Musterformular für die Erhebung von Kontaktdaten und für die Informationen an die betroffenen Personen zur Verfügung gestellt.
Auch der Hessische Landesdatenschutzbeauftragte hat Handlungshilfen online gestellt. Darüber hinaus finden sich beim Hamburgischen Landesdatenschutzbeauftragten in den Corona-FAQs Tipps zur Verarbeitung von Gäste- und Kundeninformationen.
Am 25.5. hat das Bayerische Landesamt für Datenschutzaufsicht Tipps zur datenschutzkonformen Umsetzung veröffentlicht. Ein Musterformular zur Datenerhebung einschließlich datenschutzrechtlichem Informationstext findet sich unter https://www.lda.bayern.de/media/musterformular_kontakterhebung_corona.pdf
Im Vordergrund muss für jeden Betreiber zunächst stehen, wie er den Gast oder Kunden aufklärt, wie er die Datenerhebung umsetzt und wie er die Nachweis- und Dokumentationspflicht erfüllt. Tragen zum Beispiel die Angestellten am Eingang die Daten ein? Oder liegen Listen an den Tischen aus zum Selbsteintragen?
Wie sind die Listen aufbewahrt? Können nur Berechtigte darauf zugreifen? Oder liegen sie ungeschützt auf dem Tresen herum?
Wichtig: In einigen Bundesländern muss der Betreiber die Kontaktdaten von jedem einzelnen Gast aufnehmen. Das gilt also auch für alle einzelnen Mitglieder einer Familie.
Zumindest solange diese Familien-Mitglieder die Einwilligungsfähigkeit besitzen. Ansonsten übernehmen das die Erziehungs- / Sorgeberechtigten etwa für die Kinder.
Außerdem ist zu beachten: Kommunale Regelungen können grundsätzlich die einzelnen Landesverordnungen konkretisieren und ergänzen. Sie können daher im Einzelfall abweichen.
Die Betreiber von Geschäften und Restaurants müssen derartige Regelungen gleichwohl beachten.
Datenschutzgrundsätze strikt beachten
Die Verordnung des Landes Hessen enthält etwa die Formulierung, dass die Daten nur „unter Beachtung der datenschutzrechtlichen Bestimmungen“ erfasst werden dürfen. Ähnliche Formulierungen finden sich in anderen Landesverordnungen.
Zentraler Anknüpfungspunkt der datenschutzrechtlichen Bestimmungen sind unter anderem die Grundsätze, die Art. 5 DSGVO festlegt.
So müssen Betreiber strikt beispielsweise auf die Datenminimierung achten. Sie dürfen also nur so viele Daten erheben, wie sie wirklich für den Zweck benötigen.
Beispiel: Manche Verordnungen sprechen allgemein von „Kontaktdaten“ (relativ unkonkret). Andere wiederum (z.B. Hessen) sprechen von „Name, Anschrift und Telefonnummer“, die zu erfassen sind.
Bei der Formulierung „Kontaktdaten“ dürfte – neben Name und Anschrift – die Angabe eines Kontaktdatums (z.B. Telefonnummer oder E-Mail-Adresse) ausreichen.
Zweckbindung und Speicherfrist
Zudem ist die strenge Zweckbindung dieser Daten sowie die Löschverpflichtung zu beachten.
Die Zwecke nennen die Verordnungen jeweils eigenständig. Es geht darum, dass die zuständigen Behörden / Gesundheitsämter Infektionen / Infektionsketten der Gäste nachvollziehen können. An diese Grundsätze haben sich Betreiber strikt zu halten.
Die in diesem Rahmen erhobenen Daten dürfen sie nicht verwenden, um den Personaleinsatz zu planen oder um Werbung zu versenden (Stichwort: Zweckänderung. Sie sollten auch nicht in der Schublade verstauben, sondern sicher gelöscht bzw. geshreddert werden.
Aufbewahrungspflicht – was sagen die Landesverordnungen?
Wann die Restaurant- oder Geschäftsinhaber die Daten der Gäste bzw. Kunden löschen „dürfen“ und müssen, regeln die einzelnen Verordnungen (allerdings nicht alle). Die Fristen unterscheiden sich ebenfalls je nach Bundesland.
Die hessische Verordnung nennt etwa keinen bestimmten Aufbewahrungszeitraum. Sie verweist lediglich auf „die allgemeinen datenschutzrechtlichen Bestimmungen“.
Der Betreiber kann sich jedoch – zumindest inoffiziell – an den Fristen anderer Bundesländer orientieren. Eine Aufbewahrung zwischen 3 und 4 Wochen dürfte unproblematisch sein.
Allerdings wäre eine Konkretisierung des Landesgesetzgebers wünschenswert. Denn der einzelne Betreiber kann die „Erforderlichkeit“ der Speicherdauer nur schwer allein beurteilen.
Gastronomen, die landesübergreifend in mehreren Bundesländern tätig sind, müssen daher zwingend die teils unterschiedlichen Regelungen und Fristen beachten.
Einige Fragen bleiben …
Auch wenn die meisten Landesverordnungen einen mehr oder weniger klaren Rahmen für die damit einhergehende Datenverarbeitung durch Betreiber vorgeben: Es bleiben zahlreiche Fragen ungeklärt.
So sagt der Wortlaut der Niedersächsischen Verordnung, dass nach Ablauf der Aufbewahrungsfrist (3 Wochen) die Kontaktdaten zu löschen sind. Der Betreiber hat jedoch auch den Namen und den Zeitpunkt des Betretens und Verlassens der Lokalität erfasst. Bezieht sich die Löschfrist also nur auf die Kontaktdaten? Wohl eher nein, aber dennoch unglücklich formuliert.
Für Baden-Württemberg hagelte es schon erste Kritik an der Verordnung durch den dortigen Landesbeauftragten. Dort steht in der Verordnung zum Beispiel nicht, was passiert, wenn der Betreiber die Daten nicht erhebt und / oder der Betroffene diese nicht gibt.
In anderen Verordnungen (z.B. Niedersachsen) steht, dass dem Gast im Rahmen des Hausrechts der Zugang zu verwehren ist. Nach Auffassung der Landesdatenschutzbeauftragten könne in einer solchen nicht hinreichenden Regelung keine Verpflichtung zur Datenerhebung im Sinne von Art. 6 Abs. 1 Buchst. c DSGVO gesehen werden. Mit der Folge, dass auch eine anonyme Bewirtung möglich wäre. Ähnlich sieht die Lage in Hessen aus.
Die Landesbeauftragte für den Datenschutz Niedersachsen hat zahlreiche Praxishilfen für die datenschutzkonforme Dokumentation herausgegeben. Dort finden sich auch Muster für Restaurationsbetriebe, Friseursalons und weitere Einrichtungen.
Achtung: Sie beziehen sich in dieser Form nur auf die niedersächsiche Verordnung.
Des Weiteren stellt sich vielleicht mancher Betreiber die Frage, ob und wie er denn die Richtigkeit der Angaben des Gastes kontrollieren bzw. sicherstellen soll. Darf er sich zu diesem Zweck etwa den Personalausweis des Gastes vorlegen lassen?
Solange der Betreiber hinsichtlich der Unrichtigkeit der Angaben keine begründeten Anhaltspunkte hat, scheint ein solches Vorgehen zumindest fraglich und diskutabel.
Fazit: Datenschutz umsetzen, Ärger sparen!
Auch datenschutzrechtlich zeigen sich im Detail recht deutlichen Unterschiede in den einzelnen Landesverordnungen.
Ihre Abweichungen machen es für diejenigen, die die Regelungen umsetzen müssen, nicht gerade einfacher.
Die Regelungen müssten zudem so konkret sein, dass die Normadressaten direkte Handlungspflichten daraus ableiten können. Das ist aktuell nicht überall der Fall.
Selbst wenn nicht mit einer Bußgeldwelle in diesem Bereich der Datenverarbeitung zu rechnen ist: Betreiber von Gasto-Einrichtungen und Geschäften müssen sich verstärkt mit den datenschutzrechtlichen Vorgaben der Corona-Verordnungen ihres Bundeslands vertraut machen und entsprechende Vorgaben wie etwa Speicherfristen umsetzen.
Das kostet nicht viel Zeit und spart Ärger.