Verordnung zur Bekämpfung der Corona-Pandemie vom 15. Mai 2020 und verpflichtende Kundendatenverarbeitung für Gastronomen

Pressemitteilung der saarländischen Landesbeauftragten für Datenschutz und Informationsfreiheit vom 03.06.2020

Mit der novellierten Fassung der Verordnung zur Bekämpfung der Corona-Pandemie vom 15. Mai 2020 (VO-CP) hat die Landesregierung mit Wirkung zum 18. Mai 2020 eine landesrechtliche Regelung zur Erhebung und Speicherung von Kundendaten durch Gastronomiebetreiber geschaffen. Diese Regelung wurde zuletzt durch die Neufassung der VO-CP vom 29. Mai 2020 mit Wirkung zum 1. Juni 2020 angepasst und auf Theater, Opern- und Konzerthäuser sowie auf Betreiber von Kinos und Indoorspielplätzen ausgedehnt.

Nach Maßgabe des § 3a in Verbindung mit § 4 Abs. 1 Nr. 4 VO-CP in Verbindung mit Ziffer II. des Hygieneplans der saarländischen Landesregierung für Gaststätten und Beherbergungsstätten sind durch Gastronomen Name, Vorname, Wohnort und Erreichbarkeit in Form einer Telefonnummer oder der E-Mail-Adresse je eines Vertreters der anwesenden Haushalte sowie deren Ankunftszeit zu erheben und für die Dauer eines Monats zu speichern. Aus datenschutzrechtlicher Sicht ist aufgrund dieser gesetzlich normierten Pflicht die mit dieser Regelung verbundene Verarbeitung von Kundenkontaktdaten nach Art. 6 Abs. 1 lit. c in Verbindung mit Abs. 2 und 3 DSGVO legitimiert. Gleiches gilt für in § 3a in Verbindung mit § 4 Abs. 6 Satz 2, Abs. 6a bzw. Abs. 7 Satz 2 VO-CP normierte Verarbeitungspflicht für Theater, Opern- und Konzerthäuser sowie für Betreiber von Kinos und Indoorspielplätzen.

In welcher Form diese Pflicht zur Datenverarbeitung umgesetzt wird, bleibt letztlich dem jeweiligen Verantwortlichen überlassen. So könnte beispielsweise – unter Verwendung der regelmäßig vorhandenen Reservierungsbücher – eine schriftliche Notiz bereits im Rahmen der Reservierung erfolgen oder die Gäste beim Eintreffen in dem Betrieb erfasst werden. Sofern bereits Online-Reservierungssysteme gegeben sind, könnten auch über diese die notwendigen Kontaktdaten der Kunden abgefragt werden. Für jeden einsehbare oder unbeaufsichtigt ausliegende Gästelisten bzw. ein Scannen, Kopieren oder Fotografieren von Ausweisdokumenten sind allerdings nicht als datenschutzrechtlich zulässig zu erachten.

Im Hinblick auf den Zweck der Verarbeitungspflicht, den Gesundheitsämtern die Nachverfolgbarkeit von Infektionsketten zu ermöglichen, sind die erhobenen und gespeicherten Kundenkontaktdaten für den Fall, dass das zuständige Gesundheitsamt diese anfordert, zu übermitteln. Die Anforderung des Gesundheitsamts selbst ist zu dokumentieren. Die Daten sollten dabei nur auf einem sicheren Übertragungsweg (per Post, per Fax oder per E-Mail mit Ende-zu-Ende-Verschlüsselung) zur Verfügung gestellt werden.

Soweit eine Speicherung der so erhobenen Kundenkontaktdaten für einen Monat erfolgen muss, ist darauf zu achten, dass die gespeicherten Daten fristgerecht vernichtet bzw. gelöscht werden; beispielsweise durch Schreddern von papiergeführten Listen und Erfassungsbögen oder durch Löschen bei digitaler Speicherung.

Absolut unzulässig ist eine zweckwidrige Weiterverarbeitung der Kundenkontaktdaten, wie beispielsweise eine Verwendung oder Weitergabe für Werbezwecke.

Die betroffenen Kunden sind durch Informationen im Sinne des Art. 13 DSGVO über Zweck und Ausgestaltung der Datenverarbeitung zu informieren (siehe Muster).

Zugehörige Dateien

Muster Art. 13 DSGVO Gastronomiebetreiber

Muster Erfassungsbogen Gastronomiebetreiber

Muster Art. 13 DSGVO Theater, Opern- und Konzerthäuser sowie Kinobetreiber

Mustererfassungsbogen Theater, Opern- und Konzerthäuser sowie Kinobetreiber

Die Pressemitteilungen der saarländischen Landesbeauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.