Corona-Listen: Datenerhebung in der Gastronomie. Was ist zu beachten?

“Erfas­sen Sie die Daten nicht über jeder­mann frei zugäng­li­che Lis­ten und ach­ten Sie als Betrei­ber dar­auf, dass Drit­te kei­nen Ein­blick in die bereits erfass­ten Daten ande­rer Gäs­te haben” – Mar­kus Spöhr

Spä­tes­tens seit dem ver­gan­ge­nen Wochen­en­de dürf­te es eini­gen Bür­gern auf­ge­fal­len sein, dass der Besuch des Bier­gar­tens oder des Lieb­lings­re­stau­rants mit der Erfas­sung ihrer per­so­nen­be­zo­ge­nen Daten ver­bun­den ist. Stellt der Gast dem Betrei­ber der Gast­stät­te die Daten nicht zur Ver­fü­gung, ist dem Gast kein Ein­lass zu gewähren.

Die wenigs­ten Gast­stät­ten­be­trei­ber machen sich aber dar­über Gedan­ken, was mit den von ihnen gesam­mel­ten Daten pas­siert und ob auch die Daten bei ihnen sicher sind.

Die Umset­zung der Daten­er­he­bung gestal­tet sich in der Pra­xis unter­schied­lich. Die meis­ten Gas­tro­no­men bit­ten Ihre Gäs­te zu Beginn des Besuchs oder spä­tes­tens bei der Aus­wahl Ihrer Spei­sen und Geträn­ke einen Zet­tel mit den erfor­der­li­chen Anga­ben aus­zu­fül­len. Ande­re hin­ge­gen bit­ten höf­lichst dar­um, sich in eine fort­lau­fen­de Lis­te ein­zu­tra­gen. Wer tech­nik­af­fin ist und sich nicht vor der Digi­ta­li­sie­rung sträubt, hat einen QR Code auf den Tischen, wel­cher die Gäs­te, nach­dem sie ihn mit Ihrem Smart­phone gescannt haben, dazu auf­for­dert, Ihre Anga­ben direkt in ihr Smart­phone ein­zu­ge­ben. Unab­hän­gig davon für wel­che Alter­na­ti­ve man sich ent­schei­det, soll­te berück­sich­tigt wer­den, dass für das Füh­ren die­ser Lis­ten die Datenschutz-Grundverordnung (DSGVO) gilt.

Kein Zugriff auf die Daten durch Dritte

Die Betrei­ber der Gast­stät­te soll­ten dar­auf ach­ten, dass Drit­te kei­nen Zugriff auf die Daten ande­rer Gäs­te haben oder in sons­ti­ger Wei­se Kennt­nis von den Daten erlan­gen. Eine frei zugäng­li­che und fort­lau­fen­de Lis­te zum Ein­tra­gen der Daten ist des­halb von vor­ne­her­ein aus­ge­schlos­sen, eben­so wie das offe­ne Füh­ren von Büchern mit den Kon­takt­da­ten. Sofern der Betrei­ber sich für eine fort­lau­fen­de Lis­te ent­schei­det, müss­te er folg­lich die Daten selbst erfra­gen und in die Lis­te eintragen.

Dar­über hin­aus emp­fiehlt sich für jeden Tag eine eige­ne Lis­te zu begin­nen, damit die Daten nach Been­di­gung der Auf­be­wah­rungs­frist gelöscht wer­den kön­nen (Lösch­ver­pflich­tung gem. § 2 Abs. 3 Coro­na­VO BaWü).

Grund­satz der Daten­mi­ni­mie­rung und Zweckbindung

Gas­tro­no­men soll­ten nicht mehr Daten als nötig erhe­ben. Nach der Coro­na­VO BaWü sind nur Name und Vor­na­me, Datum sowie Beginn und Ende des Besuchs und die Tele­fon­num­mer oder Adres­se des Gas­tes zu erhe­ben. Die zusätz­li­che Anga­be der Email­adres­se wür­de folg­lich gegen den Grund­satz der Daten­mi­ni­mie­rung verstoßen.

Des Wei­te­ren ist die stren­ge Zweck­bin­dung der Daten­er­he­bung zu berück­sich­ti­gen. Die Ver­ar­bei­tung der Daten für Wer­be­zwe­cke wür­de gegen den Grund­satz der Zweck­bin­dung ver­sto­ßen und könn­te mit einem Buß­geld geahn­det werden.

Auf­trags­ver­ar­bei­tungs­ver­trag

Betrei­ber von Gast­stät­ten, die sich für die Daten­er­he­bung mit­tels QR-Code ent­schei­den, soll­ten dar­über hin­aus berück­sich­ti­gen, ob nicht mög­li­cher­wei­se eine Auf­trags­ver­ar­bei­tung mit dem App-Anbieter vor­liegt und des­halb ein Auf­trags­ver­ar­bei­tungs­ver­trag erfor­der­lich ist.

Infor­ma­ti­ons­pflich­ten gegen­über dem Gast

Fer­ner ist der Gast zum Zeit­punkt der Erhe­bung gem. Art 13 DSGVO zu infor­mie­ren. Die­ser Pflicht kom­men die Betrei­ber der Gast­stät­ten am bes­ten nach,indem Sie im Ein­gangs­be­reich einen Aus­hang anbrin­gen oder ein Infor­ma­ti­ons­blatt aus­le­gen. Sofern die Gäs­te Ihre Daten auf einem jeweils geson­der­ten Blatt ein­tra­gen, wären die Daten­schutz­hin­wei­se auf die­sem anzu­brin­gen, zumin­dest jedoch ein Hin­weis dar­auf, wo die Daten­schutz­in­for­ma­tio­nen im Ein­gangs­be­reich zu fin­den sind.

Die Infor­ma­tio­nen müs­sen beinhalten:

• Name und Kon­takt­da­ten des Verantwortlichen,
• Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten (soweit vorhanden),
• Zwe­cke, zu denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den (Nach­voll­zie­hung von Infek­ti­ons­ket­ten durch Behör­den) sowie die Rechts­grund­la­ge der Ver­ar­bei­tung (Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. § 2 Abs. 3 Coro­na­VO BaWü),
• Emp­fän­ger oder Kate­go­rien von Emp­fän­gern (z.B. Gesund­heits­amt, für den Fall, dass sich ein Gast nach­träg­lich als infi­ziert her­aus­stel­len sollte),
• Dau­er der Spei­che­rung (vier Wochen in Baden-Württemberg),
• Hin­weis auf das Bestehen des Rechts auf Aus­kunft, auf Berich­ti­gung, Löschung oder auf Ein­schrän­kung der Ver­ar­bei­tung sowie auf das Recht auf Beschwer­de bei der Aufsichtsbehörde

Zusam­men­fas­sung

Erfas­sen Sie die Daten nicht über jeder­mann frei zugäng­li­che Lis­ten und ach­ten Sie als Betrei­ber dar­auf, dass Drit­te kei­nen Ein­blick in die bereits erfass­ten Daten ande­rer Gäs­te haben. Erfas­sen Sie nur die nötigs­ten Daten und löschen Sie die­se nach Ablauf der duch die Coro­na­VO BaWü vor­ge­ge­be­nen vier Wochen. Ver­ges­sen Sie auch nicht die Daten­schutz­hin­wei­se gem. Art. 13 DSGVO. Wer­den die Daten über einen QR Code erfasst, ist zudem an den Abschluss eines Auf­trags­ver­ar­bei­tungs­ver­tra­ges zu denken.

Dass die Daten nicht zu Wer­be­zwe­cke genutzt wer­den, soll­te dar­über hin­aus selbst­ver­ständ­lich sein.