Mit Beginn der kälteren Jahreszeit ist mit einer Zunahme der Innengastronomie zu rechnen.[1] Um dem erhöhten Infektionsrisiko in Räumen entgegenzuwirken, ist es notwendig, sichere Möglichkeiten der Kontaktverfolgung von Gästen zu gewährleisten. Die zuletzt bekannt gewordenen Sicherheitspannen bei der Speicherung von Corona-Kontaktlisten in Restaurants,[2] und die Nutzung der Daten für polizeiliche Ermittlungen,[3] sind geeignet, Restaurantbesucher zu Falschangaben zu motivieren. Angesichts dieser Entwicklungen stellt sich die Frage, wie eine datenschutz- und rechtskonforme Führung der Gästelisten aussehen könnte, die geeignet wäre, das Vertrauen der Bürger zurückzugewinnen.
Rahmenbedingungen zur Aufbewahrung von Kontaktlisten
Ungeachtet bestehender Unterschiede bei der Registrierungspflicht zwischen den Bundesländern[4] ergeben sich für Gastronomen generalisierend folgende Verpflichtungen: Die Gastronomen müssen den Vor- und Nachnamen, Kontaktdaten (Anschrift, Telefonnummer und/oder E-Mail), sowie den Zeitraum des Aufenthalts des Gastes festhalten. Diese Daten haben die Gastronomiebetriebe für drei bis vier Wochen (oder einen Monat – je nach Bundesland) aufzubewahren und anschließend zu löschen. Eine bestimmte Form ist bei der Aufbewahrung nicht zu beachten. Die Länder betonen in ihren Verordnungen, dass die Daten ausschließlich zur Kontaktverfolgung genutzt werden dürfen und das eine Kenntnisnahme durch Dritte auszuschließen ist.[5]
Die konkrete Umsetzung dieser Vorgaben obliegt den einzelnen Gastronomiebetrieben, wobei von den Behörden und den Gastronomieverbänden zahlreiche Muster für die Datenerhebung bereitgestellt worden sind.[6] Eine Verpflichtung, diese zu nutzen, besteht jedoch nicht. Kontaktlisten können in Papierform oder digital geführt werden. Hieraus ergibt sich ein breites Spektrum möglicher Gestaltungsformen, wobei lediglich die Eintragung in fortlaufende Listen durch die Gäste selbst als unzulässig erachtet wird.[7]
Technische und rechtliche Risiken cloudbasierter Lösungen
Zur Vermeidung eines Zettelchaos gehen Restaurants vermehrt dazu über, die Daten in Cloud-Services zu speichern. Die Risiken einer solchen Vorgehensweise sind spätestens erkennbar geworden, nachdem es Hackern des Chaos Computer Clubs (CCC) gelang, in das System eines solchen Cloudanbieters ohne größere Probleme einzudringenund so zeitweise auf die Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten, zuzugreifen.[8] Für Gastronomiebetreiber birgt die Nutzung solcher cloudbasierter Systeme ein oft nicht erkanntes haftungsrechtliches Risiko. Denn Cloudservices wie beispielsweise jener, der zuletzt von CCC gehackt wurde, fungieren häufig lediglich als sog. Auftragsverarbeiter (Art. 28 DSGVO).[9] Bei dieser Konstellation verarbeitet ein Auftragsverarbeiter[10] – der Cloudservice – bestimme Daten im Auftrag eines Verantwortlichen, z.B. eines Restaurants. Im Außenverhältnis behält der Verantwortliche, in unserem Beispiel das Restaurant, jedoch die volle datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten.[11] Für Restaurants als Verantwortliche der Datenverarbeitung besteht daher im Falle einer nicht ordnungsgemäßen Datenverarbeitung durch den Auftragsverarbeiter ein Risiko von Sanktionen nach Art. 83 Abs. 4 i.V.m. Art. 28 DSGVO.[12] Aufgrund dieser Risiken, muss gegenwärtig generell von der Nutzung bestehender Cloud-Systeme abgeraten werden.
Apps anstatt Gästelisten?
Eine echte Alternative zur Führung von Gästelisten entsteht derzeit in Österreich. Dort ist vor kurzem eine App entwickelt worden, die eine anonyme, digitale Gästeregistrierung ermöglicht.[13] Mit der App scannen die Gäste einen zu einem Tisch gehörigen QR-Code, wodurch verschlüsselt gespeichert wird, welches Smartphone sich zu welcher Zeit an welchem Tisch befunden hat. Im Falle eines bestätigten Corona-Infizierten im Restaurant kann der Wirt Besucher, die zur selben Zeit im Restaurant waren, durch die App mittels Pushnachricht warnen. So innovativ und datensparsam dieser Ansatz erscheinen mag, so stößt er doch auf die gleichen Bedenken, die auch gegen eine allgemeine Verpflichtung zur Nutzung der Corona-Warn App der Bundesregierung vorgetragen werden: Zum einen kann die fortwährende Nutzung der App schwer überwacht werden. Zum anderen muss es eine Alternative für Gäste geben, die über kein kompatibles Smartphone verfügen. Nicht zuletzt ist die rechtliche Zulässigkeit einer Verpflichtung zur Nutzung der Corona-Warn App umstritten.[14] Eine verpflichtende Nutzung von Apps, sei es einer eigenen App für Restaurants oder der Corona-Warn App, kann daher kurzfristig keine Lösung sein.
Datenschutzkonforme Gestaltung papiergeführter Listen
Aktuell ist die sicherste Lösung immer noch die Nutzung von Papierlisten. Aber auch hier sind mehrere Ansätze denkbar. So plädiert der CCC dafür, dass Gäste einen gesonderten Zettel ausfüllen, der vom Wirt zusammen mit den anderen Zetteln des Tages in einem versiegelten Umschlag verwahrt wird. Täglich wird dann, nach Ablauf der Aufbewahrungsfrist, je ein Umschlag vernichtet.
Doch dieser Ansatz erscheint wenig praxistauglich. Zum einen entsteht bereits durch die parallele Aufbewahrung von 30 Umschlägen ein gewisses Risiko für Chaos. Wirkliche Unordnung dürfte jedoch entstehen, wenn die Umschläge im Falle der Fälle geöffnet und die Zettel wieder geordnet werden müssen. Geht man von einem Restaurant aus, das 50 eintragungspflichtige Gästegruppen im Laufe des Tages bewirtet, müssten im Falle einer bestätigten Infektion erst 50 Zettel geordnet und ausgewertet werden, bis die betroffenen Gäste kontaktiert werden könnten. Bedenkt man, dass dieses Problem sich mit mehr Zetteln noch vergrößert und das gleichzeitig bei mehr Gästen von einer erhöhten Ansteckungsgefahr ausgegangen werden kann, werden die Nachteile dieser „Zettellösung“ deutlich. Im Ergebnis würde wertvolle Zeit verloren gehen und dem Infektionsschutz kein Gefallen getan.
Vorzugwürdig erscheint daher ein Konzept, das u.a. der Landesbeauftrage für Datenschutz in Mecklenburg-Vorpommern empfiehlt:[15] Danach sollen die personenbezogenen Daten bei der Bestellung durch eine Servicekraft aufgenommen werden, die diese in eine fortlaufende Liste einträgt. Die Gäste könnten so nichts von den personenbezogenen Daten der anderen Gäste mitbekommen. Am Ende des Tages könnten die fortlaufend erstellten Listen sicher verwahrt werden. Durch ein solches Vorgehen wird ein Zettelchaos vermieden und gleichzeitig im Ernstfall eine zielgerichtete Zugriffsmöglichkeit auf die Daten gewährleistet.
Wichtig ist, dass Gastronomiebetreiber nicht mehr Daten erheben, als Sie nach der jeweiligen Corona-Verordnung dürfen. Denn nur die Erhebung der von der Verordnung vorgesehenen Daten ist nach Art. 6 Abs. 1 Satz 1 lit. c) DSGVO zulässig. Zudem sollte ein Rhythmus gefunden werden, um die alten Listen zu entsorgen. Empfehlenswert ist, dies zu Beginn des Tages vorzunehmen, an dem die Aufbewahrungspflicht abgelaufen ist. Die Listen sollten nicht schlicht weggeworfen, sondern vorher geschreddert werden. Mit diesen einfachen Schritten lässt sich ein ausreichendes Niveau an Datenschutz gewährleisten.
Ausblick
Sofern die Bundesländer nicht – wie etwa der Freistaat Sachsen[16] – die Registrierungspflicht in Restaurants auflockern, sollte eine einheitliche Regelung zur Führung der Coronalisten angestrebt werden. Vorzugwürdig sind weiterhin Papierlösungen, wobei zur Vermeidung von zu vielen Zetteln Verfahren mit fortlaufenden Listen am geeignetsten sind. Denkbar sind aber auch digitale Alternativen, soweit Datensicherheit und Datenschutz gewährleistet werden. Hier sind nicht zuletzt auch die Regierungen von Bund und Ländern gefordert, Alternativen zu entwickeln und zu formulieren, um die den Gastronomien auferlegten Belastungen abzumildern. Ob und wie es mit den Coronalisten weitergeht ist vorrangig keine juristische, sondern eine politische Frage.
Peter Fischer
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 3/2020. Die vollständige Ausgabe finden Sie hier.
[1] Der Artikel bezieht sich auf die Sach- und Rechtslage v. 07.09.2020.
[2] Vgl. Meyer-Fünffinger e.al., Daten von Restaurantbesuchern einsehbar, tagesschau.de, 28.08.2020, letzter Abruf am 07.09.2020.
[3] Siehe dazu der vorangegangene Beitrag von Büttel.
[4] Eine nützliche Übersicht zu den unterschiedlichen Regelungen ist die diesbezügliche Synopse der DEHOGA, , letzter Abruf am 07.09.2020.
[5] Vgl. z.B. § 6 Abs. 1, 2 CoronaVO Baden-Württemberg v. 23.06.2020.
[6] z.B. das Musterformular für die Gastronomie zur Erhebung von Kontaktdaten von Gästen des Bayerischen Landesamts für Datenschutzaufsicht, letzter Abruf am 07.09.2020.
[7] Vgl. die Nachweise bei Haschert, in: Schmidt, COVID-19, Rechtsfragen zur Corona-Krise
2. Auflage 2020, § 20, Rn. 147 ff.
[8] Vgl. hierzu und zu den folgenden Darstellungen die Pressemitteilung des CCC vom 28.08.2020, letzter Abruf am 07.09.2020.
[9] Zu weiteren Gestaltungsmöglichkeiten vgl. Schumacher, in: Bräutigam, IT-Outsourcing und Cloud-Computing, 4. Aufl. 2019, B. Datenschutzrechtliche Aspekte bei Outsourcing-Projekten, Rn. 52.
[10] Vgl. die Legaldefinition in Art. 4 Nr. 8 DSGVO.
[11] Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 28 DS-GVO, Rn. 3.
[12] Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 28 DS-GVO, Rn. 29.
[13] Wimmer, Österreichische App ersetzet unsichere Coronalisten in Restaurants, futurezone.at, 13.08.2020, letzter Abruf am 07.09.2020.
[14] Zur Diskussion: Haschert, in: Schmidt, COVID-19, Rechtsfragen zur Corona-Krise, 2. Auflage 2020, § 20, Rn. 94 ff.
[15] Vgl. die Hinweise zu Corona und Datenschutz auf der Website des Landesbeauftrage für Datenschutz in Mecklenburg-Vorpommern, letzter Abruf am 07.09.2020.
[16] In Sachsen greift diese Pflicht erst bei 35 Corona-Neuinfektionen auf 100.000 Einwohner innerhalb von 7 Tagen; vgl. § 7 Abs. 1 SächsCoronaSchVO v. 25.08.2020.