Aktuell finden eine Reihe von Lockerungen statt, die schrittweise wieder zurück zur Normalität führen sollen. Diese stellen jedoch ihrerseits ungewohnte Belastungen für die Betroffenen dar und bringen zugleich rechtliche Herausforderungen mit sich.
Auch der Gastronomiebetrieb soll wieder unter Einschränkungen ermöglicht werden. Diese betreffen neben den allgemeinen Vorsorgemaßnahmen wie Abstandsregelungen oder der Tragepflicht eines Mund-Nasen-Schutzes in einigen Bundesländern auch eine Pflicht zur Erhebung und Speicherung des Namens, der Telefonnummer sowie des exakten Zeitraums des Besuchs.
Wie muss diese Datenerhebung ausgestaltet werden und dürfen Gäste trotzdem bedient werden, wenn sie sich weigern ihre Daten anzugeben?
Je nach Bundesland sind die Regelungen unterschiedlich ausgestaltet. Manche Bundesländer haben eine Pflicht zur Erhebung der Daten eingeführt, andere dagegen nur eine Empfehlung. Gastwirte sollten sich über die exakten, für sie geltenden Vorschriften beispielsweise auf der Webseite ihres Bundeslandes informieren. Eine Sammlung der Verordnungen der verschiedenen Bundesländer finden Sie unter Anderem auch auf www.lexcorona.de.
Eine ausdrückliche Pflicht zur Erhebung der Daten jedes einzelnen Gastes haben die Bundesländer Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein und Thüringen eingeführt. Mecklenburg-Vorpommern und das Saarland haben eine Pflicht zur Erhebung der Daten einer Person pro Haushalt, bzw. Gruppe eingeführt. Bayern, durch die Reservierungspflicht ebenfalls.
In den Bundesländern, in denen keine Regelung getroffen wird oder lediglich eine Empfehlung ausgesprochen wird, steht es den Gastwirten frei, ob sie die Daten vorsorglich dennoch erheben möchten. Ob gemäß Art. 6 Abs. 1 lit. a) DSGVO eine Rechtfertigung durch eine Einwilligung der Gäste, in den Bundesländern ohne Pflicht, vorliegen kann, ist dann fraglich, wenn der Gastwirt ansonsten die Bedienung verweigert, da die Datenerhebung nicht zwingend für die Tätigkeit vorliegen muss. Jedenfalls liegt aber auch für diese Gastwirte aktuell eine Rechtfertigung dieser Datenerhebung gemäß Art. 6 Abs. 1 lit. f) DSGVO vor. Bei Abwägung der entgegenstehenden Interessen überwiegt das Interesse des Gastwirtes am Gesundheitsschutz seiner Kunden, das jedem Betroffenen auch zugutekommt. Zudem steht es Personen frei das entsprechende Restaurant nicht zu besuchen, wenn sie keine Erhebung ihrer Daten in Kauf nehmen möchten.
Wie die Datenerhebung genau ausgestaltet werden soll oder was die Gastwirte dabei zwingend beachten müssen, wurde nicht geregelt. Im Folgenden sollen einige Hinweise aufgestellt werden.
1. Informierung der Kunden über die Datenerhebung und Speicherung
Der Gastwirt sollte die Kunden über Rechtsgrundlage zur Datenerhebung und Speicherung informieren. Diese stellt Art. 6 Abs. 1, lit. c) DSGVO in Verbindung mit der Verordnung des Landes dar, wenn diese den Gastwirt zur Datenerhebung verpflichtet. Wenn der Gastwirt nicht verpflichtet ist und die Datenerhebung auf freiwilliger Basis der Kunden erfolgt, ist sie durch eine Einwilligung gemäß Art. 6 Abs. 1, lit. a) DSGVO rechtmäßig. Wenn der Gastwirt nicht zur Erhebung verpflichtet ist, den Restaurantbesuch aber dennoch von der Zurverfügungstellung der Daten abhängig macht, ist sie, solange eine erhöhte Gefahr der Ansteckung besteht, nach Art. 6 Abs. 1, lit. f) DSGVO rechtmäßig. Der Gastwirt muss dann aber gegebenenfalls nachweisen können, dass er vor der Erhebung eine Interessenabwägung zwischen den Rechten der betroffenen Kunden auf informationelle Selbstbestimmung und ihrem Gesundheitsschutz vorgenommen hat.
Weiterhin muss der Gastwirt die Kunden darüber informieren, wie lange die Daten gespeichert bleiben und dass sie hinterher gelöscht oder vernichtet werden. In den Fällen, in denen die Erhebung durch eine Verordnung verpflichtend ist, muss der Gastwirt diese Dauer angeben. Auch in den übrigen Fällen sollte die Dauer der Speicherung drei bis vier Wochen nicht überschreiten, da hinterher der Zweck der Speicherung wegfällt.
2. Schutz der Daten
Die Gastwirte sind, als Verantwortliche für die Daten, dazu verpflichtet, diese ausreichend zu schützen. Falls die Daten in Papierform vorliegen, sollten sie nicht offen herumliegen, sondern verschlossen aufbewahrt werden. In digitaler Form sollten übliche Sicherheitsstandards eingehalten werden und auch bei der Löschung dürfen sie nicht noch im Papierkorb verbleiben, wo sie eventuell durch Dritte eingesehen werden könnten.
Der Schutz der Daten beginnt aber bereits beim Schutz gegenüber den anderen Kunden. Jeder Kunde sollte seine Daten also einzeln übermitteln oder abgeben können. Nur eine Tabelle zu verwenden, in die sich alle Kunden des jeweiligen Tages einzutragen haben ist dagegen nicht erlaubt, weil sie allen übrigen Kunden ebenfalls die Einsichtnahme und den Zugriff auf die Daten gewähren würde. An dieser Stelle muss die Anlage der CoronaSchVO NRW kritisiert werden, die die Erhebung in Form von auf den Tisch liegenden Listen vorschreibt. Diese Formulierung ist bestenfalls irreführend und damit datenschutzrechtlich höchst problematisch.
3. Umfang und Zweck der Datenerhebung
Wichtig ist, dass nur die gesetzlich vorgeschriebenen Daten erhoben werden. Für zusätzliche Daten, wie Anschriften, liegt keine Rechtfertigung vor. Auch bei der freiwilligen Datenerhebung sollte diese auf das Minimum beschränkt sein, das notwendig ist, um den Zweck der Erhebung zu erfüllen: Die Person im Falle der Erkrankung eines anderen Kunden über das Risiko zu informieren. Insofern ist auch der Scan oder die Anfertigung von Kopien des Personalausweises nicht erlaubt, weil damit der Umfang der Datenerhebung überschritten würde.
Festzuhalten bleibt: Bei aller Notwendigkeit der Vorsichtsmaßnahmen sollte der Datenschutz nicht aus dem Fokus geraten und kann mit einfacher Organisation gewährleistet bleiben.
(Beitrag ist mit Unterstützung von RA Joscha Falkenhagen verfasst worden)