Wiener Gastronomen müssen seit einer Woche Daten ihrer Gäste erfassen. Das bringt für viele Wirte sowohl praktisch als auch datenschutzrechtlich eine Reihe an Herausforderungen mit sich. Bereits in den vergangenen Tagen zeigten sich eklatante Verstöße. Doch was muss hier alles beachtet werden?

1. Gilt die Registrierungspflicht für jede Art und Größe von Lokal?

Ja. Die Verordnung stellt ganz allgemein auf "Betriebsstätten der Gastronomie" ab. Einschränkungen auf bestimmte Arten wie etwa Restaurants, Hotelrestaurants, Bars, Kantinen, Kaffeehäuser, Heurige, Schanigärten oder Eissalons beziehungsweise auf Größen im Sinne von Flächen oder Gästekapazitäten gibt es nicht.

2. Gilt das auch für Außenbereiche?

Ja. Auch Schanigärten, Gastgärten oder Außenbars sind Teil der Betriebsstätte. Wer Gäste also zusätzlich oder ausschließlich im Außenbereich bewirtet, muss deren Daten ebenfalls erfassen.

3. Und wenn der Gast sein Essen im Lokal nicht konsumiert, sondern lediglich mitnimmt bzw. abholt?

Die Verordnung gilt für alle Betriebsstätten der Gastronomie – unabhängig davon, ob man die Speisen oder Getränke an Ort und Stelle konsumiert oder nicht. Selbst wenn man die Speisen lediglich abholt, verbringt man in der Regel dennoch Zeit im Lokal. Eine kurze Verweildauer mag die Ansteckungsgefahr vielleicht reduzieren, aber die Verordnung macht die Registrierungspflicht nicht von bestimmten Mindestverweildauern abhängig.

4. Wie steht es um reine Take-away-Betriebe?

Die Verordnung selbst enthält keine explizite Ausnahme für reine Take-away-Betriebe. Nach Auskunft der Stadt Wien soll die Verordnung für diese dennoch nicht gelten. Das könnte man allenfalls nur aus dem Umstand ableiten, dass zu den Pflichtangaben auch die Tischnummer zählt – diese gibt es bei reinen Take-away-Betrieben naturgemäß nicht. Da es sich aber auch bei solchen Betrieben um Betriebsstätten der Gastronomie handelt, unterliegen sie im Zweifelsfall wohl auch der Verordnung.

5. Sind Würstel-, Kebab- oder Pizzastände reine Take-away-Betrieb?

Nach Auskunft der Stadt Wien handelt es sich dabei um reine Take-away-Betriebe, womit die Verordnung für Betreiber solcher Stände nicht gelten soll. In der Verordnung selbst findet man jedoch keine ausdrückliche Ausnahme dafür. Eine Ausnahme würde hier auch keinen Sinn ergeben, da Gäste bei solchen Ständen ebenfalls oft verweilen und somit kein sachlicher Unterschied zu Lokalen oder Restaurants vorliegt.

6. Was, wenn ein Gast die "Stopp Corona"-App des Roten Kreuzes nutzt?

Das macht keinen Unterschied. Die Verordnung nimmt keine bestimmten Gästegruppen aus.

7. Müssen Gastronomen die in der Verordnung angeführten Gästedaten überhaupt erheben?

Die Verordnung verpflichtet die Gastronomen zur Aufbewahrung und – auf Anfrage – zur Weitergabe bestimmter Gästedaten. Eine explizite Verpflichtung zur Erhebung dieser Daten durch den Gastronomen ist in der Verordnung zwar nicht enthalten, jedoch die gesundheitspolitsch gewünschte Vorgehensweise.

8. Genügt also ein bloßes Auflegen von Formularen, ohne dass der Gastronom aktiv auf die Gäste einwirken muss, diese auch auszufüllen?

Ja, das ist ausreichend.

9. Welche Daten müssen Gastronomen beauskunften?

Sofern Gastronomen über diese Daten verfügen, müssen sie Auskunft über Vor- und Nachname, Telefonnummer, E-Mail-Adresse und Tischnummer ihrer Gäste geben.

10. Müssen auch die Verweildauer oder andere Daten der Gäste erhoben werden?

Nein. Die Verordnung zielt ausschließlich auf Vor- und Nachname, Telefonnummer, E-Mail-Adresse und Tischnummer ab.

11. Müssen die Angaben der Gäste – etwa durch Vorlage eines Lichtbildausweises – auf ihre Richtigkeit überprüft werden?

Die Verordnung enthält diesbezüglich keine Verpflichtung.

12. Und wenn die angegebenen Daten der Gäste ganz offensichtlich falsch sind – Stichwort Micky Maus?

Auch diesbezüglich enthält die Verordnung keine Verpflichtung. Ein Hinweis an den Gast, dass es vor allem auch in seinem Interesse ist, richtige Angaben zu machen, liegt rein in der Entscheidung des Gastronomen.

13. Was ist zu tun, wenn der Gast die Registrierung überhaupt verweigert?

Da die Verordnung keine Regelung diesbezüglich enthält, bleibt es die Entscheidung des Gastronomen, allfällige "Verweigerer" des Lokals zu verweisen.

14. Wann sind die Gästedaten zu löschen?

Die Registrierungsdaten sind vier Wochen nach ihrer Erhebung zu löschen. Wurden die Daten beispielsweise am 28. September 2020 erhoben, sind sie mit Ablauf des 26. Oktober 2020 zu löschen.

15. Wer darf im Gastronomiebetrieb Zugriff auf die Gästedaten haben?

Ganz klar: Es dürfen nur so wenige Personen wie irgendwie möglich Zugriff auf die Gästeinformationen haben. Ob es sich dabei um einen oder mehrere bestimmte Mitarbeiter, den Geschäftsführer oder den Eigentümer handelt, ist nicht vorgegeben. Wichtig ist nur, dass der Personenkreis klar eingegrenzt ist, diese Personen auf das Datengeheimnis verpflichtet sind und niemand anderem Zugriff gewährt wird.

16. Wie sind die Gästedaten zu verwahren?

Die Gästedaten sind sicher zu verwahren, sodass weder betriebsinterne noch betriebsexterne Personen sich Zugang zu diesen verschaffen können.

17. Was ist zu beachten, wenn Gastronomen die Gästeregistrierung mittels technischer Lösungen von Drittanbietern vornehmen?

Der Drittanbieter fungiert als datenschutzrechtlicher Dienstleister, mit dem der Gastronom vorab einen speziellen datenschutzrechtlichen Auftragsverarbeitervertrag abschließen muss. Dem Gastronomen muss auch bewusst sein, dass vom Drittanbieter verursachte Datenschutzverletzungen dem Gastronomen zugerechnet werden.

18. Müssen Gastronomen weitere datenschutzrechtliche Vorgaben beachten?

Ja. Die Erhebung der Gästedaten stellt eine neue Form der Datenverarbeitung dar. Gastronomen müssen somit insbesondere ihr Verfahrensverzeichnis entsprechend ergänzen, den Gästen ausreichende Informationen vor der Datenerhebung erteilen, die Gäste über ihre Betroffenenrechte informieren und ihre Mitarbeiter auf das Datengeheimnis verpflichten.

19. An wen dürfen bzw. müssen Gastronomen diese Daten auf Anfrage weitergeben?

Die Daten dürfen ausschließlich auf deren Anfrage hin an die Wiener Bezirksverwaltungsbehörde – also das Magistrat – weitergegeben werden.

20. Und wenn eine andere Behörde, die Polizei, ein Gericht oder sonst jemand die Datenübermittlung anfordert?

In diesem Fall dürfen die Daten nicht herausgegeben werden. Die Vorgabe ist klar: Niemand außer dem Magistrat der Stadt Wien darf diese Daten anfordern. Eine Übermittlung an andere würde auch den Lokalbetreiber strafbar machen.

21. Gilt dieses Verbot der Datenweitergabe selbst dann, wenn die Agentur für Gesundheit und Ernährungssicherheit (Ages) die Anfrage stellt?

Prinzipiell ja, da die Ages eben nicht die Wiener Bezirksverwaltungsbehörde ist. Sofern es sich aber im Einzelfall um eine schwerwiegende grenzüberschreitende Gesundheitsgefahr handelt, wäre auch eine Informationsweitergabe an die Ages erlaubt.

22. Dürfen Gastronomen diese Daten auch für andere Zwecke wie etwa Marketing oder Newsletter nutzen?

Ganz klar: nein. Die Verordnung erlaubt die Nutzung der Daten ausschließlich zur Nachverfolgung der Kontakte bei Auftreten eines Verdachtsfalls von Covid-19.

23. Dürfen die Gästedaten länger als vier Wochen aufbewahrt werden?

Eine längere Aufbewahrung ist jedenfalls verboten.

24. Und kürzer?

Das ist eine spannende Frage. Laut der erlassenen Verordnung: nein. Aber die Wiener Verordnung ist im Gesamtkontext der Datenschutzgrundverordnung (DSGVO) zu betrachten, die vorrangig gilt und jede Datenerhebung an einen bestimmten Zweck koppelt. Hier liegt der Zweck im Contact-Tracing. Angesichts der Inkubationszeit von bis zu 14 Tagen laut Ages scheinen die vier Wochen daher überschießend, selbst wenn man noch einen gewissen Puffer für die notwendigen Kommunikationswege einrechnet.

25. Welche Strafen drohen?

Die Verordnung basiert auf dem Epidemiegesetz, das für Verstöße gegen die Auskunftspflicht Geldstrafen von bis zu 1.450 Euro und im Nichteinbringungsfall Freiheitsstrafen von bis zu vier Wochen vorsieht. Verstöße gegen datenschutzrechtliche Bestimmungen oder Vorgaben sind mit bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes sanktioniert – je nachdem, was höher ist.

26. Wer kann bestraft werden?

Bestraft wird der jeweilige Betreiber der Gastronomiestätte. Eine Bestrafung von Gästen ist durch die Verordnung nicht gedeckt.

27. Wie lange gelten diese Regeln?

Die Regeln gelten vorläufig bis zum Jahresende – also bis einschließlich 31. Dezember 2020. (Sascha Jung, Randolph Schwab, 4.10.2020)