Gastronomiebetriebe dürfen in vielen Bundesländern unter bestimmten Voraussetzungen wieder öffnen. In Baden-Württemberg ist der Betrieb eine Speisegaststätte unter den Auflagen der Corona-Verordnung Gaststätten (CoronaVO), seit dem 19.05.2020 wieder erlaubt.
“Erfassen Sie die Daten nicht über jedermann frei zugängliche Listen und achten Sie als Betreiber darauf, dass Dritte keinen Einblick in die bereits erfassten Daten anderer Gäste haben” – Markus Spöhr
Spätestens seit dem vergangenen Wochenende dürfte es einigen Bürgern aufgefallen sein, dass der Besuch des Biergartens oder des Lieblingsrestaurants mit der Erfassung ihrer personenbezogenen Daten verbunden ist. Stellt der Gast dem Betreiber der Gaststätte die Daten nicht zur Verfügung, ist dem Gast kein Einlass zu gewähren.
Die wenigsten Gaststättenbetreiber machen sich aber darüber Gedanken, was mit den von ihnen gesammelten Daten passiert und ob auch die Daten bei ihnen sicher sind.
Die Umsetzung der Datenerhebung gestaltet sich in der Praxis unterschiedlich. Die meisten Gastronomen bitten Ihre Gäste zu Beginn des Besuchs oder spätestens bei der Auswahl Ihrer Speisen und Getränke einen Zettel mit den erforderlichen Angaben auszufüllen. Andere hingegen bitten höflichst darum, sich in eine fortlaufende Liste einzutragen. Wer technikaffin ist und sich nicht vor der Digitalisierung sträubt, hat einen QR Code auf den Tischen, welcher die Gäste, nachdem sie ihn mit Ihrem Smartphone gescannt haben, dazu auffordert, Ihre Angaben direkt in ihr Smartphone einzugeben. Unabhängig davon für welche Alternative man sich entscheidet, sollte berücksichtigt werden, dass für das Führen dieser Listen die Datenschutz-Grundverordnung (DSGVO) gilt.
Kein Zugriff auf die Daten durch Dritte
Die Betreiber der Gaststätte sollten darauf achten, dass Dritte keinen Zugriff auf die Daten anderer Gäste haben oder in sonstiger Weise Kenntnis von den Daten erlangen. Eine frei zugängliche und fortlaufende Liste zum Eintragen der Daten ist deshalb von vorneherein ausgeschlossen, ebenso wie das offene Führen von Büchern mit den Kontaktdaten. Sofern der Betreiber sich für eine fortlaufende Liste entscheidet, müsste er folglich die Daten selbst erfragen und in die Liste eintragen.
Darüber hinaus empfiehlt sich für jeden Tag eine eigene Liste zu beginnen, damit die Daten nach Beendigung der Aufbewahrungsfrist gelöscht werden können (Löschverpflichtung gem. § 2 Abs. 3 CoronaVO BaWü).
Grundsatz der Datenminimierung und Zweckbindung
Gastronomen sollten nicht mehr Daten als nötig erheben. Nach der CoronaVO BaWü sind nur Name und Vorname, Datum sowie Beginn und Ende des Besuchs und die Telefonnummer oder Adresse des Gastes zu erheben. Die zusätzliche Angabe der Emailadresse würde folglich gegen den Grundsatz der Datenminimierung verstoßen.
Des Weiteren ist die strenge Zweckbindung der Datenerhebung zu berücksichtigen. Die Verarbeitung der Daten für Werbezwecke würde gegen den Grundsatz der Zweckbindung verstoßen und könnte mit einem Bußgeld geahndet werden.
Auftragsverarbeitungsvertrag
Betreiber von Gaststätten, die sich für die Datenerhebung mittels QR-Code entscheiden, sollten darüber hinaus berücksichtigen, ob nicht möglicherweise eine Auftragsverarbeitung mit dem App-Anbieter vorliegt und deshalb ein Auftragsverarbeitungsvertrag erforderlich ist.
Informationspflichten gegenüber dem Gast
Ferner ist der Gast zum Zeitpunkt der Erhebung gem. Art 13 DSGVO zu informieren. Dieser Pflicht kommen die Betreiber der Gaststätten am besten nach,indem Sie im Eingangsbereich einen Aushang anbringen oder ein Informationsblatt auslegen. Sofern die Gäste Ihre Daten auf einem jeweils gesonderten Blatt eintragen, wären die Datenschutzhinweise auf diesem anzubringen, zumindest jedoch ein Hinweis darauf, wo die Datenschutzinformationen im Eingangsbereich zu finden sind.
Die Informationen müssen beinhalten:
- Name und Kontaktdaten des Verantwortlichen,
- Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
- Zwecke, zu denen die personenbezogenen Daten verarbeitet werden (Nachvollziehung von Infektionsketten durch Behörden) sowie die Rechtsgrundlage der Verarbeitung (Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. § 2 Abs. 3 CoronaVO BaWü),
- Empfänger oder Kategorien von Empfängern (z.B. Gesundheitsamt, für den Fall, dass sich ein Gast nachträglich als infiziert herausstellen sollte),
- Dauer der Speicherung (vier Wochen in Baden-Württemberg),
- Hinweis auf das Bestehen des Rechts auf Auskunft, auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung sowie auf das Recht auf Beschwerde bei der Aufsichtsbehörde
Zusammenfassung
Erfassen Sie die Daten nicht über jedermann frei zugängliche Listen und achten Sie als Betreiber darauf, dass Dritte keinen Einblick in die bereits erfassten Daten anderer Gäste haben. Erfassen Sie nur die nötigsten Daten und löschen Sie diese nach Ablauf der duch die CoronaVO BaWü vorgegebenen vier Wochen. Vergessen Sie auch nicht die Datenschutzhinweise gem. Art. 13 DSGVO. Werden die Daten über einen QR Code erfasst, ist zudem an den Abschluss eines Auftragsverarbeitungsvertrages zu denken.
Dass die Daten nicht zu Werbezwecke genutzt werden, sollte darüber hinaus selbstverständlich sein.
Artikel zum selben Thema:
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]
Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA
Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung […]
Gruppenpostfächer – Personendaten in vielen Händen
Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand […]