[datensicherheit.de, 14.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geht in seiner aktuellen Stellungnahme auf die in der „Corona“-Krise geführten Besucherlisten ein: „Seit nunmehr rund drei Monaten sind Restaurants und Cafés sowie andere Gewerbebetriebe verpflichtet, die Kontaktdaten ihrer Gäste zu erheben. Noch immer herrscht jedoch vielfach Unsicherheit, wie dies praktisch erfolgen kann, ohne Datenschutzrechte der Besucherinnen und Besucher zu verletzen.“

HmbBfDI

Prof. Dr. Johannes Caspar: Nachkontrollen dort, wo im Juni 2020 datenschutzwidrige offene Listen vorgefunden wurden…

HmbBfDI liegen Berichte über Missbrauch von Telefonnummern vor

Obwohl die Hamburgische „SARS-CoV-2-Eindämmungsverordnung“ ausdrücklich verlange, dass unbefugte Dritte keine Kenntnis von den Kontaktdaten erlangen können dürften, sei genau dies noch viel zu oft der Fall. Nahezu täglich erreichten den HmbBfDI Beschwerden von Bürgern über Restaurants mit offenen, frei zugänglichen Kontaktlisten. Teilweise werde auch vom Missbrauch der Telefonnummern für Flirt-Nachrichten oder ähnliche private Zwecke berichtet.

Stichprobe im Juni laut HmbBfDI mit dem Schwerpunkt Sensibilisierung und Beratung

Um Gastwirte zu sensibilisieren, hat der HmbBfDI nach eigenen Angaben im Juni 2020 stichprobenartig 100 Gewerbe- und Gaststättenbetriebe aufgesucht und die Umsetzung der Kontaktdatenerhebung kontrolliert. „Den Schwerpunkt legten die Mitarbeiterinnen und Mitarbeiter des HmbBfDI auf die Beratung und Sensibilisierung der Verantwortlichen vor Ort bei der Umsetzung der Kontaktdatenverarbeitung nach den Regeln der Datenschutzgrundverordnung (DSGVO).“

HmbBfDI ließ praktische Gefahren erläutern, die durch Missbrauch offen einsehbarer Telefonnummern entstehen

Dabei seien in einem Drittel der Fälle unzulässige offene Listen vorgefunden worden. Die Gastronomen seien seinerzeit jeweils über die Unzulässigkeit informiert worden. „Zudem wurden die praktischen Gefahren erläutert, die durch einen Missbrauch der offen einsehbaren Telefonnummern entstehen können.“ Die Mitarbeiter hätten zudem ausführliches Informationsmaterial inklusive eines Musterformulars übergeben.

HmbBfDI sieht nun Einschreiten mit aufsichtsbehördlichen Mitteln für geboten an

Der HmbBfDI hatte demnach seinerzeit explizit erklärt, dass Sanktionen in diesem ersten Schritt jedoch nicht zu befürchten seien, da die Branche „pandemiebedingt“ ohnehin schon schwere Nachteile erleiden müsse. Dort aber, wo im Juni 2020 „datenschutzwidrige offene Listen vorgefunden wurden“, seien nun Nachkontrollen durchgeführt worden. Diese hätten ergeben, dass die weit überwiegende Anzahl der Gaststätten erfreulicherweise den Hinweisen auf die Rechtslage gefolgt und die Praxis erfolgreich umgestellt habe. In vier Restaurants bestanden laut HmbBfDI jedoch nach wie vor dieselben Missstände. Nachdem die erste Stichprobenaktion primär auf die Beratung und Sensibilisierung im Hinblick auf die neuen rechtlichen Anforderungen gerichtet gewesen sei, „ist nun ein Einschreiten mit aufsichtsbehördlichen Mitteln geboten“.

HmbBfDI leitet gegen unwillige Betriebe Bußgeldverfahren ein

„Die pandemiebedingten erheblichen wirtschaftlichen Schwierigkeiten der Gastronomiebranche rechtfertigen es nicht, wenn nach direkter Ansprache durch die Datenschutzbehörde weiter daran festgehalten wird, die Anschriften und Telefonnummern Hunderter oder gar Tausender Besucher öffentlich auszulegen.“ Gegen die betroffenen Betriebe würden daher nun Bußgeldverfahren eingeleitet.

HmbBfDI-Nachprüfung zeigt: Etwa ein Siebtel der Betriebe immer noch mit fehlerhafter Erfassung der Kontaktdaten

Professor Caspar kommentiert: „Unsere Nachprüfung hat gezeigt, dass etwa ein Siebtel der Betriebe die Kontaktdatenerfassung auch nach behördlicher Ansprache immer noch fehlerhaft durchführen. Woran die datenschutzkonforme Umsetzung gescheitert ist, konnten die betroffenen Gaststättenbetreiber nicht plausibel darlegen. Bedauerlicherweise haben sich die Betriebe auch in der Nachkontrolle nicht einsichtig gezeigt. Ich appelliere in diesem Zusammenhang an alle Stellen, die nach der CoV-2-Eindämmungsverordnung verpflichtet sind, Kontaktdaten zu erheben: Bitte behandeln sie die Kontaktdaten vertraulich!“

HmbBfDI stellt klar, dass Regeln zum Datenschutz keine unverbindlichen Empfehlungen sind

Die Regeln zum Datenschutz seien eben keine unverbindlichen Empfehlungen: „Sie sind zum Schutz der Kunden und Gäste einzuhalten“, betont der HmbBfDI. Dies sollte im Interesse aller verantwortlichen Stellen liegen, nicht zuletzt, auch um Bußgelder, die bei Verstößen drohen, zu vermeiden. Abschließend ruft er auf: „Bei Fragen zur Behandlung von Kontaktdaten besuchen Sie unsere Informationsseiten oder fragen Sie direkt an!“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Mustervorlage zur Erfassung von Kontaktdaten der Kunden nach der Hamburgischen SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 24.06.2020
Datenschutz und Infektionsschutz gehen Hand in Hand

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 15.05.2020
Datenschutz in Zeiten von Covid-19

datensicherheit.de, 04.08.2020
Corona: HmbBfDI fordert, Kontaktdaten vertraulich zu behandeln / HmbBfDI Prof. Dr. Johannes Caspar sieht Bundesgesetzgeber in der Pflicht

datensicherheit.de, 25.07.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung

[datensicherheit.de, 26.05.2020] Aus gegebenem Anlass weist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) darauf hin, dass im Kontext der nun in Kraft tretenden neuen „Corona“-Verordnung des Landes in Gaststätten bei der Verwendung von Personen-Listen auf den Datenschutz zu achten ist: „Pro Gast ein Blatt!“

Gaststätten können unter Auflagen öffnen

Am 27. Mai 2020 tritt demnach die inzwischen achte „Corona-Bekämpfungsverordnung Rheinland-Pfalz“ (8. CoBeLVO) in Kraft. Der LfDI RLP, Prof. Dr. Dieter Kugelmann, weist daher auf die richtige Verwendung von Personen-Listen hin.
Mit dieser neuen Verordnung könnten nun weitere Betriebe und Einrichtungen öffnen, wenn sie unter anderem bestimmte personenbezogene Daten der Kunden und Gäste erfassen und speichern.

Gaststätten dürfen Personen-Daten nur Gesundheitsamt melden – sonstige Nutzung verboten

Dabei müsse in jedem Fall der Datenschutz beachtet werden: Die Aufbewahrungsfrist für die Daten (in der Regel Name, Vorname, Anschrift, Telefonnummer) beträgt laut Kugelmann einen Monat. Danach seien diese Daten grundsätzlich zu löschen, wenn nicht andere gesetzliche Aufbewahrungsfristen gelten.
Das zuständige Gesundheitsamt könne, soweit dies nach den Bestimmungen des „Infektionsschutzgesetzes“ und der „8. CoBeLVO“ erforderlich ist, bei den Betrieben Auskunft über die Kontaktdaten verlangen. Eine Verarbeitung der Daten zu anderen Zwecken sei nicht zulässig. „Das zuständige Gesundheitsamt muss die übermittelten Daten unverzüglich und irreversibel löschen, sobald die Daten für die Aufgabenerfüllung (in der Regel die Kontaktverfolgung) nicht mehr benötigt werden“, betont der LfDI RLP.

Regelungen des Datenschutzes gelten weiterhin

Die Auslegung einer einsehbaren Liste etwa in Restaurants, in die Kunden sich eintragen sollen, sei in jedem Fall datenschutzrechtlich unzulässig. Grundsätzlich gelte die Regel: „Pro Gast ein Blatt“, so Professor Kugelmann.
Es sei klar, dass die Erhebung von Daten zur Bekämpfung der „Corona-Pandemie“ eine Rolle spiele. Genauso wichtig sei aber auch: „Die Regelungen des Datenschutzes gelten weiterhin.“ Die Bürger müssten darauf vertrauen können, dass kein Datenmissbrauch erfolgt. „Und wenn dies doch geschieht, wird der Missbrauch sanktioniert.“

Personen-Listen in einigen Gaststätten offen einsehbar ausgelegt…

Bereits unter der vor etwa zwei Wochen in Kraft getretenen „6. CoBeLVo“ waren bestimmte Betriebe verpflichtet, Gäste und Kunden nur nach Reservierung und Anmeldung zu empfangen und bestimmte personenbezogene Daten festzuhalten. Beim LfDI sind nach eigenen Angaben bereits „zahlreiche Anfragen von Bürgerinnen und Bürgern eingegangen, die nachgefragt haben, welche Regelungen bei der Erhebung von Kontaktdaten in Restaurants, Eisdielen oder auch Friseurgeschäften gelten“.
In den vergangenen Tagen sei mehrfach angezeigt worden, dass Listen für andere Kunden einsehbar ausgelegt worden seien. Die Verantwortlichen für solche Datenschutz-Pannen hätten von dem LfDI „einen Hinweis erhalten, wie sie datenschutzgerecht vorzugehen haben“.

Gaststätten müssen Besucher über Datenverarbeitung, Speicherdauer und ihre Rechte informieren

Darüber hinaus hätten die Restaurant-Verantwortlichen und die anderen Dienstleister die Gäste und Kunden insbesondere über die Datenverarbeitung, die Speicherdauer und ihre Rechte zu informieren (Art. 13 DS-GVO). Dies könne etwa über „gut sichtbare Aushänge“ erfolgen. Der LfDI ruft die Berufsverbände und die Innungen auf zu überprüfen, „ob ihre Mustervorlagen für die Kundeninformation den Anforderungen des Art. 13 DS-GVO genügen“.
Die Rechtsgrundlage für die Datenerhebung könne sich direkt aus der „8. CoBeLVO“ ergeben. In bestimmten Fällen könne auch ein Vertrag nach Art. 6 Abs. 1 S. 1 lit. b DS-GVO Rechtsgrundlage sein, wenn z.B. ein Dienstleister aufgrund einer beruflichen Haftungssituation zum Schutz der Gesundheit seiner Mitarbeiter sowie der anderen Kunden seine Dienstleistung nur dann anbieten kann, wenn der Kunde seine Kontaktdaten hinterlässt. Aus den in § 1 Abs. 8 der „8. CoBeLVo“ aufgelisteten und auf der Website der Landesregierung von Rheinland-Pfalz veröffentlichten Hygienekonzepten könnten sich weitere Regelungen zur Ausgestaltung der zulässigen Datenverarbeitung ergeben.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Corona & Datenschutz

RheinlandPfalz, 26.05.2020
Hygienekonzepte: Mit Zukunftskonzept weitere Lockerungen ermöglichen

datensicherheit.de, 22.05.2020
Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO