In Deutschland sind Gastronomiebetriebe seit mehreren Monaten zur Kontaktdatenerfassung ihrer Gäste verpflichtet. Das Ziel ist und war ein schnelleres, effizienteres Covid-19-Contact-Tracing. Am Donnerstag wurde bekannt, dass auch Wien auf diese Maßnahme setzt – und den Gastronomiebetrieben gerade einmal vier Tagen Vorbereitungsfrist einräumt.

In den Medien liest man, Datenschutz sei kein Thema, denn statt tabellarischer Listen solle den Gästen lediglich ein einzelnes Blatt vorgelegt werden (siehe Formular). Die Verpflichtung zur Bekanntgabe könne über das Hausrecht der Gastronomiebetriebe erreicht werden. Wer seine Daten nicht teilen will, könne folglich aus dem Betrieb verwiesen werden. Doch wurde hier datenschutzrechtlich alles bedacht?

Die Situation in Deutschland zeigt einen stetig ansteigenden Beschwerdetrend im Zusammenhang mit der Gastronomie-Kontaktdatenerfassung. Gäste berichten, dass Kontaktlisten oft frei zugänglich im Eingangsbereich aufliegen und daher für andere Gäste jederzeit leicht einsehbar sind. Insbesondere weibliche Gäste sehen sich vermehrt mit ungewollten Kontaktaufnahmen anderer Gäste oder Angestellter konfrontiert. So wundert es nicht, dass die verantwortliche Aufsichtsbehörde in Hamburg nach stichprobenartigen Überprüfungen von 100 Gastronomiebetrieben in jedem dritten Fall Datenschutzverstöße feststellen musste. In Brandenburg gab es gar bei der Hälfte der geprüften Betriebe Verstöße.

Der Einsatz einzelner Blätter reicht nicht

Was sollten Gastronomiebetriebe in Wien nun ab Montag beachten? Aus datenschutzrechtlicher Sicht ist klar, dass allein der Einsatz einzelner Blätter ganz sicher nicht den Erfordernissen des Datenschutzes entspricht. Die datenschutzkonforme Umsetzung liegt ausschließlich in der Verantwortung der Gastronomiebetriebe – ob sie das nun wollen oder nicht. Sie haben die hierbei relevanten Vorgaben und Grundsätze der Datenschutzgrundverordnung (DSGVO) einzuhalten. Im Zusammenhang mit der Kontaktdatenerfassung sind das insbesondere der Schutz vor Offenlegung, die Zweckbindung, die Informationspflichten und die Löschpflicht. Offenlegungen der Gästedaten gegenüber Dritten sind jedenfalls zu vermeiden, auch Angestellten sollte eine Einsichtnahme verweigert werden, soweit keine besonderen Gründe wie eine etwaige Kontrolltätigkeit vorliegen.

Besondere Vorsicht ist auch bei der Verwendung der Daten geboten: Diese dürfen im Anlassfall nur an die zuständigen (Gesundheits-)Behörden weitergegeben werden, nicht aber etwa an die Polizei zur Identitätserhebung im Rahmen von Straftaten im Lokal oder dessen Nähe. Auch wenn wohl nur Name und Kontaktdaten erhoben werden, so knüpft daran dennoch eine umfassende Informationspflicht einschließlich der Aufbewahrungsfrist von vier Wochen. Schließlich ist auf die tatsächliche und vollständige Löschung der Daten am Ende der Aufbewahrungsfrist zu achten. Das klingt alles einfach, ist es in Praxis jedoch nicht.

QR-Codes haben sich bewährt

In Deutschland haben sich digitale Lösungen wie QR-Codes zur Registrierung über das Smartphone oder die Datenerhebung im Rahmen der Onlinereservierung bewährt. Gerade bei bestehenden Onlinereservierungssystemen ist jedoch auf die Rechtsgrundlage der Verarbeitung zu achten.

Wenngleich die Kontaktdatenerfassung sinnvoll und notwendig ist, ist deren korrekte Umsetzung mit einigen erheblichen Hürden verbunden – vor allem, wenn all dies in gerade einmal vier Tagen erfolgen soll. Gastronomiebetriebe sind in dieser Situation sicherlich nicht zu beneiden, und es bleibt zu hoffen, dass Politik und Kammern den Gastronomen unterstützend zur Seite stehen – denn Verstöße gegen die DSGVO gehen mit empfindlichen Strafen einher. In Deutschland sind in diesem Zusammenhang bereits Bußgeldverfahren gegen mehrere beratungsresistente Gastronomiebetriebe eingeleitet worden. Das sollte Wien vermeiden. (Sascha Jung, Randolph Schwab, 25.9.2020)