Datenschutz bei Corona Gästelisten in Gaststätten in Hessen: Der Reiz zur Zweckentfremdung vorhandener Daten  

 

Einleitung

Die Corona Pandemie hat durch ihre Einzigartigkeit viele alltägliche Handlungsweisen verändert, darunter auch den Besuch von Gaststätten, Bars oder Lokalen. Mitunter ist die Wiedereröffnung der Betriebe an viele Vorrausetzungen gebunden, wie bspw. einer Dokumentation von Gästen, die Speisen vor Ort verzehren möchten. Bei der Verwendung dieser Gästelisten sind datenschutzrechtlich einige Punkte zu beachten

 

Rechtsgrundlage

In § 4 Abs. 1 Nr. 2 lit. b der Hessischen Corona-Kontakt- und Betriebsbeschränkungsverordnung ist geregelt:

Gaststätten (...) dürfen Speisen und Getränke (...) zum Verzehr vor Ort anbieten, wenn sichergestellt ist, dass

Name, Anschrift und Telefonnummer der Gäste ausschließlich zur Ermöglichung der Nachverfolgung von Infektionen von der Betriebsinhaberin oder dem Betriebsinhaber erfasst werden; diese haben die Daten für die Dauer eines Monats ab Beginn des Besuchs geschützt vor Einsichtnahme durch Dritte für die zuständigen Behörden vorzuhalten und auf Anforderung an diese zu übermitteln sowie unverzüglich nach Ablauf der Frist sicher und datenschutzkonform zu löschen oder zu vernichten; die Bestimmungen der Art. 13, 15, 18 und 20 der Datenschutz-Grundverordnung finden keine Anwendung; die Gäste sind über diese Beschränkungen zu informieren“

Grundsätzlich handelt es sich bei der Erhebung der Kontaktdaten der Gäste um eine Verarbeitung, die einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO zu unterliegen hat. Dabei erweist sich die Hessische Corona-Kontakt- und Betriebsbeschränkungsverordnung als eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO.

 

Grundsatz der Datenminimierung und Richtigkeit, Speicherdauer

Es sind ausschließlich die von der Landesregierung vorgegebenen Daten zu erheben, welche sich auf den Namen, die Anschrift und Telefonnummer des Besuchers beschränken. Die Erfassung von weiteren personenbezogenen Daten, wie der E-Mail-Adresse etc., fallen nicht unter die oben beschriebene Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO und bedürfen einer separaten Rechtsgrundlage.

Zur Überprüfung der Richtigkeit der angegebenen personenbezogenen Daten gem. Art. 5 Abs. 1 lit. d DSGVO ist nach Maßgabe des Gesetzes der Betreiber verpflichtet. Auf der anderen Seite würde es für diesen einen unverhältnismäßigen Aufwand darstellen, jedes Mal die Identität der Gäste zu erfragen bzw. zu überprüfen. Offen bleibt in diesem Zusammenhang auch, ob ein Gast überhaupt verpflichtet ist, Ausweisdokumente vorzuzeigen bzw. an einer Überprüfung mitzuwirken. Im Zweifel ist allerdings nicht davon auszugehen.

Die Aufbewahrungsfrist der Gästelisten beschränkt sich auf einen Monat bzw. bis die zuständige Behörde diese beansprucht hat.

 

Aufbewahrungsart und Zugriffskontrolle

Weiterhin soll sichergestellt werden, dass die ausgefüllten Gästelisten vor Einsichtnahme Dritter geschützt aufbewahrt werden. Hierzu reicht es nicht aus, die Listen (umgedreht) in ein Körbchen an der zentralen Sammel- und Ausfüllstation liegen zu lassen. Die Entgegennahme der Listen kann durch das Personal selbst oder durch eine Briefkastenbox, die das Herausnehmen der Listen verhindert, gelöst werden.

Außerdem sollten die Gästelisten nur von einem klar definierten Kreis von Personen bearbeitet und an einem vor Dritten geschützten Ort aufbewahrt werden. Für eine ordnungsgerechte Entsorgung und Fristwahrung ist ebenfalls eine Organisation nach dem Datum sinnvoll.

 

Löschung bzw. Vernichtung der Gästelisten

Nach Ablauf des Monats haben Betreiber von Gaststätten die Gästelisten zu vernichten und zu entsorgen. Durch die Verarbeitung von personenbezogenen Daten sind die Gästelisten demnach etwa irreversibel zu schreddern.

 

Online-Formulare mittels QR Code

Um eine Ansammlung von Papier und eine schnellere Bearbeitung der Gästelisten zu gewährleisten ist die Verwendung von Online Formularen mit Hilfe von Diensten von Drittanbietern möglich. Die Bereitstellung eines Registrierungsformulars durch einen QR Code am jeweiligen Tisch bietet einen direkten Zugriff auf eine Webseite sowie das Formular. Hierbei ist jedoch zu beachten, dass auch dort die Grundsätze der Verarbeitung beachtet werden (insbesondere Datenminimierung) und entsprechende Datenschutzhinweise auf der Webseite bereitgestellt werden.

Ebenso sollten Auftragsverarbeitungsverträge gem. Art. 28 DSGVO mit den Drittanbietern abgeschlossen werden, worauf die Datenschutzhinweise des Betreibers hinweisen sollten.

 

Informationspflichten

Eine weitere Pflicht der Betreiber ist es, die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren.

Die betroffene Person ist über

  • die Art und Kategorie der Daten,
  • den Zweck der Verarbeitung,
  • die Dauer der Speicherung und
  • welche Rechte sie als betroffene Person hat

aufzuklären. Hierzu können Datenschutzhinweise an zentralen Orten des Lokals ausgeschildert werden, ähnlich wie Hinweisschilder für eine Videoüberwachung. Es könnten aber auch QR-Codes auf den Tischen oder am Eingang angebracht werden, welche auf den Datenschutzhinweis auf der Webseite oder auf spezifische Corona-Datenschutzinformationen verweisen.

 

Zweckentfremdete Verwendung der Gästelisten

In der hessischen Corona Verordnung wird unmissverständlich der Zweck der Datenverarbeitung auf die „Ermöglichung der Nachverfolgung von Infektionen von der Betriebsinhaberin oder dem Betriebsinhaber“ begrenzt. Eine Verarbeitung dieser Daten zu anderen Zwecken, wie der Verfolgung von Straftaten, ist nicht erlaubt.

Trotzdem besitzt die Polizei die Möglichkeit in Bezug auf §§ 94 Abs. 1, 2 StPO die Gästelisten als Beweismittel zur Verfolgung und Aufklärung einer Straftat in Beschlag zu nehmen. Dies allerfings unter der Voraussetzung, dass ebenfalls ein richterlicher Beschluss hierzu vorliegt oder bei Gefahr in Verzug die Beschlagnahme von der Staatsanwaltschaft angeordnet wird.

Es zeigt sich ein typisches Bild der Rechtsunsicherheit, nach dem das Verhalten der Ermittlungsbehörden im Einzelfall betrachtet werden muss. Nach Ansicht des hessischen Datenschutzbeauftragen Prof. Ronellenfitsch…

erklärt sich das durch Vernunft und Verantwortungsbewusstsein der hessischen Bevölkerung getragene Verhalten und die Akzeptanz der gravierenden Beschränkungen der informationellen Selbstbestimmung durch die berechtigte Annahme, dass es sich bei den Eingriffen nur um vorübergehende singuläre Maßnahmen handelt. Dieses Vertrauen sollte man nicht durch Zweckentfremdung der Eingriffsmaßnahmen auf das Spiel setzen. So sollte berücksichtigt werden, dass die Angabe richtiger Kontaktdaten durch eine jederzeit zu erwartende zweckwidrige Verwendung gefährdet werden könnte und damit die wichtige Nachverfolgung der Infektionen.“[1]

In besonderen Fällen sollte jedenfalls immer eine Interessenabwägung zwischen den Interessen der betroffenen Person und denen der Ermittlungsbehörden durchgeführt werden. Auf der einen Seite herrscht hohes Vertrauen der Bürger zur zweckgebundenen Verwendung der Gästelisten, um die Auswirkungen des COVID-19 Virus zu verringern. Auf der anderen Seite ist es ebenfalls im Interesse der Bürger, Straftaten in ihrer Nachbarschaft durch die Unterstützung der Polizei einzudämmen. Die Polizei verfolgt dabei das Interesse, ihre Aufgabe, soweit die gesetzlichen Mittel es erlauben, zu erfüllen. Dabei sollte beachtet werden, dass die Einschränkung von Freiheitsrechten nur in Verhältnismäßigkeit und Erforderlichkeit der Maßnahme selbst durchgeführt wird.

Eine eindeutige Lösung dieser Frage gibt es dennoch nicht. Trotzdem ist zu vermuten, dass die Auswertung der Gästelisten bei kleineren Ordnungswidrigkeiten unzulässig ist. Dagegen kann bei der Verfolgung von Mord oder Totschlag ein Überwiegen der Interessen zur Verwendung der Gästelisten durch Ermittlungsbehörden bestehen.

Zusammenfassend gesagt liegt es in der Verantwortung der Bundesregierung auf Bundesebene, eine eindeutige Regelung zur Verwendung der Gästelisten durch Ermittlungsbehörden zu beschließen und Handlungshilfen für Interessenabwägungen zu geben.

 

[1] https://datenschutz.hessen.de/pressemitteilungen/zweckbindung-von-personenbezogenen-daten-zur-verfolgung-von-infektionsketten

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner | Externer Datenschutzbeauftragter

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz