Wahrung der Vertraulichkeit bei Kontaktdatenerfassung in der Gastronomie – Keine Zweckentfremdung der Corona-Warn-App

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht und des Bayerischen Landesbeauftragten für den Datenschutz vom 25.06.2020

Sowohl bei der Kontaktdatenerfassung zur Rückverfolgung von Infektionsketten als auch bei der Nutzung der offiziellen Corona-Warn-App des Robert-Koch-Instituts sind datenschutzrechtliche Vorgaben zu beachten. Kontaktdaten dürfen insbesondere nicht auf offen einsehbaren Listen erhoben werden. Die Nutzung der Corona-Warn-App ist freiwillig und darf daher weder bei Gästen noch bei Beschäftigten als „Zutrittsbedingung“ gefordert noch darf der persönliche Risikostatus bei ihnen eingesehen werden.

Seit dem 18.05.2020 müssen Gastronomiebetriebe in Bayern zur Verfolgung von Infektionsketten im Zusammenhang mit SARS-CoV-2 Kontaktdaten von Gästen erheben. Hierbei ist aus datenschutzrechtlicher Sicht insbesondere der Grundsatz der Vertraulichkeit und Integrität einzuhalten. Das vom Bayerischen Staatsministerium für Gesundheit und Pflege und vom Bayerischen Staatsministerium für Wirtschaft, Landesentwicklung und Energie entwickelte „Hygienekonzept Gastronomie“ legt daher ausdrücklich fest, dass die erhobenen Daten so zu verwahren sind, dass Dritte – in erster Linie andere Gäste – sie nicht einsehen können. Gleichwohl erreichen das Landesamt für Datenschutzaufsicht vermehrt Eingaben, wonach Gastronomiebetriebe entweder von ihren Kunden die Eintragung in eine fortlaufende Liste verlangen oder die einzelnen Formulare offen herumliegen. Dies stellt einen klaren datenschutzrechtlichen Verstoß dar, der auch mit der Verhängung einer Geldbuße geahndet werden kann.

Michael Will, Präsident des Landesamts für Datenschutzaufsicht: „Offene Listen mit den Kontaktdaten der Gäste in Restaurants, Cafés oder Biergärten sind ebenso unzulässig wie unnötig. Auf unserer Homepage steht ein datenschutzrechtlich geprüfter Muster-Erfassungsbogen für den einzelnen Gast bereit, den Wirte nur noch vom Gast ausfüllen lassen, dann sicher verwahren und nach einem Monat entsorgen müssen, damit sie sich wieder allein dem Wohl ihrer Gäste widmen können und sich nicht um vermeidbare Datenschutzbeschwerden kümmern müssen.“

Auch bei der seit 16.06.2020 verfügbaren offiziellen Corona-Warn-App des Robert-Koch-Instituts sind datenschutzrechtliche Grenzen zu berücksichtigen. In den Medien wird derzeit gehäuft über die Frage diskutiert, ob Wirte oder Arbeitgeber die Nutzung der App durch ihre Gäste oder Beschäftigten prüfen oder vorschreiben dürfen. In beiden Fällen ergeben sich aber nicht auszuräumende Datenschutzkonflikte: Sowohl der Arbeitgeber, der seine Beschäftigten auf Privat- oder auch auf Dienstgeräten zur Benutzung der Corona-Warn App verpflichtet und den Status der App kontrollieren möchte als auch Betriebe, die die Benutzung der App vor einem Zutritt von Kunden zu ihren Geschäftsräumen prüfen möchten, treten in eine eigenständige datenschutzrechtliche Verantwortlichkeit ein. Unabhängig von formalen Anforderungen wie ausreichenden Informationspflichten fehlen tragfähige Rechtsgrundlagen für die Verarbeitung der Daten durch die Unternehmen zu betrieblichen Zwecken. Die bei Installation der App vom Nutzer zu erteilende Einwilligung genügt insoweit nicht, da sie die vom Arbeitgeber bzw. Unternehmen verfolgten Zwecke der Zugangskontrolle und betrieblichen Infektionsprävention nicht umfasst. Gesonderte Einwilligungen der Beschäftigten bzw. Kunden und Gäste können mangels hinreichender Freiwilligkeit keine belastbare datenschutzrechtliche Rechtfertigung vermitteln.

Michael Will warnt ausdrücklich: „Wer als Arbeitgeber, Gastwirt oder Ladeninhaber glaubt, die CoronaWarn-App für eigene Zwecke der Zugangskontrolle und des betrieblichen Infektionsschutzes vereinnahmen zu können, begibt sich datenschutzrechtlich ins Abseits. Da wir keine Gewähr dafür sehen, dass grundlegende datenschutzrechtliche Anforderungen eingehalten werden können, werden wir solche Zweckentfremdungen der Warn-App wenn nötig auch mit Geldbußen unterbinden. Das Projekt der WarnApp überzeugt durch guten Datenschutz und sein Konzept der Freiwilligkeit, Druck und falsche Anreize beschädigen es.“

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.