Gaststätten, Friseursalons und andere Einrichtungen sind nach der Hamburgischen SARS-CoV-2-EindämmungsVO verpflichtet, die Kontaktdaten ihrer Gäste zu erheben und vier Wochen aufzubewahren. Zahlreiche Beratungsanfragen und Beschwerden beim HmbBfDI haben gezeigt, dass bei den Gewerbetreibenden eine große Unsicherheit herrscht, wie diese Anforderung umzusetzen ist. Sehr problematisch ist die teilweise verbreitete Praxis, offene Listen im Eingangsbereich auszulegen. Die Kontaktdaten sind dadurch für alle nachfolgenden Gäste offengelegt. Dem Missbrauch sind dann Tür und Tor geöffnet.
Elbe Express / Haber Merkezi
Teaserbild: Shutterstock.com
Dem Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) liegt ein erster Hinweis vor, dass eine Kundin nach ihrem Restaurantbesuch unter Verwendung ihrer angegebenen Mobilfunknummer zu privaten Zwecken kontaktiert wurde. Diesem Fall wird der HmbBfDI mit Hochdruck nachgehen.
Nachdem der HmbBfDI den Gesetzgeber von Anfang an darauf hingewiesen hat, dass offene Listen nicht akzeptabel sind, hat der Senat erfreulicherweise einen entsprechenden Hinweis in die HmbSARS-CoV-2-EindämmungsVO aufgenommen. Dort heißt es nun, dass zu gewährleisten ist, dass unbefugte Dritte keine Kenntnis von den Daten erlangen. Verantwortliche Stellen, das sind regelmäßig die Gewerbe- und Gaststättenbetriebe, müssen die Datenschutzvorschriften umsetzen und alle nötigen technischen oder organisatorischen Maßnahmen ergreifen, um die Kontaktdaten der Kundinnen und Kunden zu schützen. Kommen Daten abhanden, so ist der Schutz der Betroffenen besonders wichtig. Zudem müssen unverzüglich die zuständige Aufsichtsbehörde und in bestimmten Fallkonstellationen auch die Betroffenen informiert werden. Denn dann liegt eine meldepflichtige Datenpanne vor.
Das ist offenbar noch nicht bei allen verantwortlichen Daten verarbeitenden Stellen angekommen, so dass Betreiberinnen und Betreiber der Gewerbe- und Gaststättenbetriebe mitunter individuell aufgefordert werden müssen, die Datenschutzvorschriften umzusetzen. Dies ist problematisch, da der HmbBfDI nicht über das notwendige Personal verfügt, um Betroffene entsprechend zu beraten und notwendige Kontrollen durchzuführen. Erschwerend kommt hinzu, dass die Behörde überwiegend Anfragen von Bürgerinnen und Bürgern erreichen, ohne dass Betriebe konkret namentlich benannt werden, so dass nicht gezielt vorgegangen und Sanktionsmaßnahmen ergriffen werden können, um das Datenschutzrecht umfassend sicher zu stellen. Trotz der massiven Engpässe hat sich der HmbBfDI der Mammutaufgabe gestellt, persönlich Gewerbe- und Gaststättenbetriebe aufzusuchen und die Umsetzung der Kontaktdatenerhebung zu kontrollieren.
Die Prüfung hat sich als durchaus erfreulich erwiesen, da eine überwiegende Zahl der Gewerbe-und Gaststättenbetriebe die Kontaktdaten datenschutzkonform verarbeiten und diejenigen Betriebe, die einen Mangel aufgewiesen haben, sehr dankbar waren für die Beratungen durch die Mitarbeiterinnen und Mitarbeiter des HmbBfDI bei der Umsetzung der Kontaktdatenverarbeitung nach den Regeln der Datenschutz-Grundverordnung.
Um sich ein Bild von der datenschutzkonformen Umsetzung zu machen, hat der HmbBfDI im Juni eine Stichprobe von 100 Gewerbe- und Gaststättenbetrieben in der Neustadt (City), im Schanzenviertel und in Altona/Ottensen durchgeführt. Darunter befanden sich 97 Restaurants, 2 Bäckereien und 1 Friseursalon. Die Stadtteile wurden aufgrund der hohen Dichte der Gastronomiebetriebe ausgewählt. Die Kolleginnen und Kollegen haben sich als Datenschutzbehörde zu erkennen gegeben und sich zeigen lassen, wie die Kontaktdatenerhebung praktisch umgesetzt wird. Auch wenn ihr Besuch und ihre Anregungen zur datenschutzkonformen Verarbeitung der Kontaktdaten von der weit überwiegenden Anzahl der Betriebe als sehr positiv aufgenommen wurden, so lässt das Ergebnis noch Luft nach oben. Denn 33 % der geprüften Betriebe haben für die Kontaktdatenverarbeitung Listen verwendet, die offen herumliegen und für jedermann zugänglich sind (z.B. Listen, die offen auf dem Tresen, auf den Tischen oder aber am Eingang ausgelegt waren). 67 % der geprüften Betriebe haben keine Listen verwendet. Die Datenverarbeitung erfolgte hier z.B. über Einzelbögen, die unmittelbar eingesammelt wurden, über Smartphone-Apps oder direkt durch das Personal.
Die nachfolgende Übersicht gibt die Ergebnisse bezogen auf die einzelnen Stadtteile wieder.
City/Neustadt | Schanzenviertel | Altona/Ottensen | Ergebnis aller Stadteile | |
Anzahl geprüfter Lokalitäten | 25 | 40 | 35 | 100 |
Offene Liste | 4 (16 %) | 14 (35 %) | 15 (42,8 %) | 33 (33%) |
Datenschutz-konforme Lösung | 21 | 26 | 20 | 67 (67 %) |
Hierzu Prof. Johannes Caspar, Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit: „Der Fokus unserer Aktion liegt auf der Beratung und Sensibilisierung der Wirtschaft vor Ort. Sanktionen werden in diesem Schritt jedenfalls bei Erstverstößen nicht erfolgen, da die Branche derzeit schon hart genug getroffen ist und komplexe rechtliche Anforderungen zu meistern hat. Da eine flächendeckende Kontrolle durch den HmbBfDI kapazitätsmäßig nicht möglich ist, kommt insbesondere der sozialen Interaktion zwischen Gästen und Gaststättenbetreibern große Bedeutung zu: Die Erfahrung unserer Prüfung hat gezeigt, dass oft schon ein Hinweis des Gastes auf die datenschutzrechtlichen Defizite ausreicht, um bei Gaststättenbetreibern vor Ort eine Änderung der Praxis herbeizuführen. Wer als Gast oder Gaststättenbetreiber nicht sicher ist, welche Vorgaben gelten und umzusetzen sind, kann sich jederzeit an uns wenden oder dies auf unserer Website in Erfahrung bringen. Das gilt insbesondere auch für die Pflicht, die Daten nach vier Wochen datenschutzgerecht zu löschen.“