Patrick Grihn

Muss ich meine Daten im Restaurant oder beim Friseur angeben? – Corona und DSGVO

Photo by David Emrich on Unsplash

Seit dem 11.05.2020 dürfen Restaurants wieder öffnen. Durch den Föderalismus in Deutschland gibt es in jedem Bundesland unterschiedliche Richtlinien und Regelungen. Kunden/Nutzer werden häufig nicht wirklich vor die Wahl gestellt, sondern bekommen eine Liste vorgelegt und werden darauf hingewiesen, das dies Pflicht sei. Aber ist das so?

TL:DR (wie immer): Nein. Die Behörden sprechen davon, dass Besuche “nach Einholen des Einverständnisses” zu dokumentieren sind. Bei Restaurants ist die Erfassung durch Listen und die Aufbewahrung für vier Wochen als Auflage formuliert, allerdings ebenfalls mit einem Verweis auf eine Einverständniserklärung.

Gesetzliche Vorgaben zu Zeiten des Corona-Virus

Wir reden von einem Status Quo und werden diesen Artikel ggfs. updaten. Die Landesregierung trifft unterschiedliche Aussagen zum Anlegen von Listen nach “Einholen des Einverständnisses” zur Nachverfolgung der Kontakte.

In der Gesetzesänderung zum 11.05.2020 heißt es “nach Einholen des Einverständnisses”. In der finalen Fassung (und nach Einschreiten der Landesbeauftragten für Datenschutz und Informationssicherheit [LDI] NRW) “nach Einholen des Einverständnisses zur Ermöglichung einer Kontaktpersonennachverfolgung”.

Vorgaben der DSGVO

Setzt man datenschutzrechtlich das “Einverständnis” der “Einwilligung” gem. Art. 6 Abs. a DSGVO gleich, gelten die Voraussetzungen des Artikel 7 DSGVO. Konkret:

  • Freiwillig
  • Transparent
  • Zweckgebunden
  • Jederzeit widerrufbar

Aus diesen Vorgaben ist klar erkennbar, dass keine Verpflichtung besteht, diese Listen auszufüllen. Hieraus könnten unter Umständen auch andere Daten gelesen bzw. interpretiert werden. Konkret steht ja die Frage im Raum, wer mit wem Kontakt hat. Bei manchen Kontakten kann es aber sein, dass es besser ist, dass diese nicht dokumentiert sind (z. B.
Whistleblower, Rechtsanwälte usw.).

Was sagt die Aufsichtsbehörde?

Hier muss man zwischen den einzelnen Gruppen bzw. Gewerken differenzieren.
Zusammenfassend kann man es wie folgt beschreiben:

  • Bei Take-Away, Lieferung oder ähnlichem ist die Liste weder vorgesehen, noch gestattet, da nicht notwendig. In keinem Fall darf eine Eintragung in der Liste zur Bedingung für einen Besuch, eine Bestellung o. ä. gemacht werden.
    Aber: Sollte das Ordnungs- bzw. Gesundheitsamt oder eine andere Behörde eine Anordnung treffen, wäre dies erforderlich.
    Diese Informationen gibt es bei zuständigen Behörden.
  • Bei Friseuren, Fußpflegern, Kosmetikbetrieben sowie Nagelstudios darf eine Liste angelegt werden. Die Betonung liegt auf darf. Grundlage ist die Anlage zur CoronaSchutzVerordnung (CoronaSchVO)
  • Zur Gastronomie gibt es ebenfalls die Aussage, dass eine Liste samt Einverständniserklärung bereitliegen muss.

Außerdem darf die Liste nicht öffentlich ausliegen. Sie ist also entsprechend zu schützen und vom Personal auszufüllen oder in Einzelblättern pro Kunde einzuholen.

Solange diese Voraussetzung jedoch fehlt, ist die Kontaktdatenerfassung bei der Belieferung mit Speisen oder beim Außer-Haus-Verkauf unzulässig.

Wir sehen hier also einen ähnlichen Weg, wie bei den aktuell diskutierten Corona-Tracing-Apps:

Die Behörden setzen auf Freiwilligkeit und den Verstand der Bürger. Zwangsmaßnahmen sind diese Listen also nicht.

Welche Daten dürfen in Kontaktlisten erfasst werden?

Grundsätzlich gilt im Datenschutz das Gebot der Datensparsamkeit. Es sind also nur solche Daten zu erfassen, die zwingend notwendig sind. Fraglich ist, was der effizienteste Weg zur Nachverfolgung der Kontakte ist. Das kann z. B. der Postweg sein. In der Regel nimmt das Gesundheitsamt jedoch wenn möglich per Telefon Kontakt auf.

Folgende Auflistung kann als Orientierung dienen:

  • Name
  • Mobiltelefonnummer oder E-Mail Adresse (zur direkten und schnellen Kontaktaufnahme)
  • Postadresse

Weitere Daten sind nicht erforderlich. Insbesondere keine Geburtsdaten, Alter oder Ausweisdaten.

Gibt es Alternativen zu Listen in der Gastronomie oder beim Friseur?

Bisher gibt es keine allgemeine Tracing-App, sodass eine Nachverfolgung von Kontakten grundsätzlich erstmal nicht möglich ist. Aus datenschutzrechtlicher Sicht ist vor allem die Anonymität und die Minimierung der Daten insbesondere gegenüber öffentlichen Stellen in den Vordergrund zu stellen. Dies vor allem, so lange es keinen konkreten (Anfags-)Verdacht gibt.

Im Übrigen ist es auch möglich, dass z. B. die Daten der Reservierung/Buchung genommen werden, sofern davon auszugehen ist, dass sich die Personen untereinander kennen oder sämtliche Daten dort eingegeben werden. So kann über die Reservierung und den Kassenbeleg die Aufenthaltsdauer ermittelt werden.

Wir wurden auf ein interessantes Projekt aufmerksam gemacht, welches Gastronomen erleichtern und den Gästen sichererer und einfacher machen soll, die Nachverfolgung zu ermöglichen und damit den gesetzlichen Anforderungen zu folgen, gleichzeitig jedoch möglichst sicher und datensparsam zu sein.

Hier der Link zur App: https://www.recoverapp.de/

[UPDATE 15.05.2020]Der Anbieter nutzt hier eine asymmetrische Verschlüsselung, wodurch selbst dieser die Daten nicht entschlüsseln kann. Hierauf machte uns der Hersteller aufmerksam (Siehe Kommentar). Hierdurch werden die Daten tatsächlich geschützt und können nicht eingesehen werden. [/UPDATE]

Voraussetzung ist jedoch, dass der Gastronom die entsprechende App anbietet, also sich dort einträgt/registriert.