Beschlagnahme von Gästedaten

Zur Nachverfolgung von Corona-Infektionen sind Restaurants, Gaststätten etc. aufgrund der Coronschutzverordnung (Corona-SchVo) dazu verpflichtet die Kontaktdaten ihrer Gäste zu erfassen.

Ein Rechtsanwalt aus Nordrhein-Westfalen hat im Wege des einstweiligen Rechtsschutzes allerdings gegen die Coronaschutzverordnung (Corona-SchVo) vor dem Oberverwaltungsgericht (OVG-NRW vom 23. Juni 2020, Az. 13 B 695/20.NE) Münster Beschwerde eingelegt. Er war der Ansicht, dass die Datenerhebung ihn in seinem Grundrecht auf informationelle Selbstbestimmung verletze und gegen datenschutzrechtliche Vorgaben verstoße.

Nach Ansicht des OVG ist die Verordnung jedoch rechtmäßig. In Anbetracht der mittlerweile weitgehenden Öffnung des sozialen und wirtschaftlichen Lebens sei die Erhebung von Kundenkontaktdaten als milderes Mittel anzusehen, um Infektionsketten aufzudecken und zu unterbrechen. Die Einschränkung des Grundrechts auf informationelle Selbstbestimmung sowie der allgemeinen Handlungsfreiheit müsse gegenüber dem mit der Verordnung bezweckten Schutz von Leben und Gesundheit zurücktreten. Mit der vorsorglichen Erhebung der Kundendaten solle nach Ansicht der Richter sichergestellt werden, dass bei Nachweis einer Neuinfektion die Kontaktpersonen des Betroffenen leichter durch die Gesundheitsämter identifiziert werden könnten. Dabei sei unter anderem zu berücksichtigen, dass weder der Besuch eines Restaurants noch eines Fitnessstudios oder Friseurs der Deckung elementarer Grundbedürfnisse diene und Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung (DSGVO) voraussichtlich gewährleistet.

Mit der Frage, was mit den gesammelten Daten im Nachgang geschieht und ob dabei tatsächlich die Vorgaben der DSGVO eingehalten werden, haben sich nun auch Datenschützer und Strafverfolgungsbehörden befasst.

Ursächlich für die Klärung dieser Frage war ein Fall der sich vor einem Lokal in Hamburg ereignete. Dort gerieten mehrere Menschen an einem Sommerabend in Streit. Später hieß es, ein Mann habe einen Passanten mit einem Teppichmesser bedroht. Der Verdächtige wurde identifiziert und wenig später festgenommen. Der Fall wurde medial aufgegriffen, jedoch nicht etwa wegen der Tat an sich, sondern weil die Aufklärung des Falles auf Umwegen zustande kam: Die Polizei hatte sich von dem Lokal einfach im Wege des Beschlagnahmerechts von Daten die Gäste-Daten aushändigen lassen. Sie alle waren potenzielle Zeugen.

Beschlagnahme von Daten zu Beweiszwecken möglich

Seitdem beschäftigen sich Datenschützer mit dem Fall der Beschlagnahme von Daten. Denn es stellt sich die Frage, wer eigentlich alles Zugriff auf die Gästeinformationen haben darf – und zu welchem Zweck. In Hessen ist dies streng geregelt. Die landesweite Verordnung sieht vor, dass persönliche Daten, die etwa in gastronomischen Betrieben erhoben werden, ausschließlich zweckgebunden verwendet werden. Das heißt, die Gastronomen dürften sie nur im Fall einer nachgewiesenen Infektion herausgeben und auch dann nur an die zuständigen Gesundheitsämter, um eine Infektionskette nachzuvollziehen. Die Weitergabe an andere Behörden beispielsweise zum Zweck der Beschlagnahme von Daten sei somit ausgeschlossen.

Anders jedoch sehen es die Strafverfolgungsbehörden. Nach Ansicht der Frankfurter Staatsanwaltschaft etwa ist die Beschlagnahme von Daten sehr wohl möglich, um in begründeten Fällen auch auf sogenannte Gäste-Daten zuzugreifen. Nach deren Auffassung handelt es sich hierbei weniger um eine Frage des Datenschutzes, sondern vielmehr um die Frage, ob derartige Unterlagen „beschlagnahmefrei“ sind. Nach hiesiger Auffassung sind sie es nicht. Das bedeutet, sie können durchaus zu Beweiszwecken, also zum Beispiel, um, wie in Hamburg, die Namen möglicher Zeugen festzustellen, sichergestellt werden. Die Datenschutzbestimmungen stünden einer Beschlagnahme von Daten nicht entgegen, denn dem Schutz der personenbezogenen Daten wird auch Rechnung getragen, wenn sich die Unterlagen in den Ermittlungsakten befinden.

Daten müssen ordnungsgemäß vernichtet werden

Weiter ist zu klären, wie die Restaurants, Eisdielen, Friseure und andere Betriebe selbst mit den Daten umgehen – und wie viel Wert sie darauflegen, dass der Datenschutz am Ende eingehalten wird. Nach Auffassung der hessischen Datenschützer dürfen die Angaben nur vier Wochen lang aufbewahrt werden. Anschließend müssten sie ordnungsgemäß vernichtet werden. Sie einfach im Müll zu entsorgen reicht jedoch nicht aus. Das heißt: Die Betriebe müssten sie entweder von Fachfirmen entsorgen lassen oder selbst dafür sorgen, dass sie geschreddert oder wie auch immer unkenntlich gemacht werden. Ansonsten gilt das als Verstoß gegen den Datenschutz.

Ein weiteres Problem sind sogenannte offene Listen, die statt separater Zettel ausgelegt werden und für alle einsehbar sind. Dies ist laut der hessischen Datenschutzbehörde ebenfalls nicht erlaubt. Mehrere Beschwerden gingen beim hessischen Datenschützer deswegen schon ein. Die Zahl befindet sich derzeit im mittleren zweistelligen Bereich.

Zu den offenen Listen äußerte sich auch der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Prof. Dr. Johannes Caspar. In einer aktuellen Stellungnahme zu den in der Corona-Krise geführten Besucherlisten erklärte Herr Prof. Dr. Caspar: „Seit nunmehr rund drei Monaten sind Restaurants und Cafés sowie andere Gewerbebetriebe verpflichtet, die Kontaktdaten ihrer Gäste zu erheben. Noch immer herrscht jedoch vielfach Unsicherheit, wie dies praktisch erfolgen kann, ohne Datenschutzrechte der Besucherinnen und Besucher zu verletzen.“

Denn nahezu täglich erreichten den HmbBfDI Beschwerden von Bürgern über Restaurants, die offene, frei zugängliche Kontaktlisten führten. Durch diese Handhabung ist es möglich, dass Dritte ungehindert Zugang zu den Kontaktdaten der Besucher erlangen. Es wurde teilweise vom Missbrauch der Telefonnummern für Flirt-Nachrichten oder ähnliche private Zwecke berichtet. Um Gastwirte entsprechend zu sensibilisieren, hat der HmbBfDI nach eigenen Angaben im Juni 2020 stichprobenartig 100 Gewerbe- und Gaststättenbetriebe aufgesucht und die Umsetzung der Kontaktdatenerhebung kontrolliert. Dabei seien in einem Drittel der Fälle unzulässige offene Listen vorgefunden worden. Die Gastronomen seien seinerzeit jeweils über die Unzulässigkeit informiert worden.

Prof. Dr. Caspar beruhigte die Gastronomen jedoch dahingehend, dass im ersten Schritt nicht mit Sanktionen von Seiten der Datenschutzbehörde zu rechnen ist, da die Branche aufgrund der Pandemie ohnehin schon schwere Nachteile erleiden musste. Dort aber, wo im Juni 2020 offene Kontaktlisten vorgefunden wurden, seien nun Nachkontrollen durchgeführt worden. Diese hätten ergeben, dass die weit überwiegende Anzahl der Gaststätten erfreulicherweise den Hinweisen auf die Rechtslage gefolgt und die Praxis erfolgreich umgestellt habe. In vier Restaurants bestanden laut HmbBfDI jedoch nach wie vor dieselben Missstände. Gegen die betroffenen Betriebe wird Hamburger Datenschutzbehörde nun ein Bußgeldverfahren einleiten.

Die Nachkontrolle des HmbBfDI hat ergeben, dass etwa ein Siebtel der Betriebe die Kontaktdatenerfassung auch nach der behördlichen Ansprache immer noch fehlerhaft durchführen. Prof. Dr. Caspar appellierte daher nochmal eindringlich an alle Gastronomen die Gästedaten vertraulich zu behandeln, denn schließlich seien die Regeln zum Datenschutz nicht lediglich eine unverbindliche Empfehlung. Sie dienen vielmehr dem Schutz der Kunden und Gäste und sollten auch schon deshalb eingehalten werden, um Bußgelder bei Verstößen zu vermeiden.

Fazit

Die Frage zur Beschlagnahme von Daten wird in Zukunft noch zu klären sein. Unstreitig ist jedoch, dass die verschiedenen Betriebe, die die Kontaktdaten ihrer Gäste sammeln auch während der Corona-Pandemie zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet sind.

Zielgruppe

Jegliche Betriebe mit Besucherkontakt.

Wie helfen wir Ihnen weiter?

Gerne beraten wir Sie datenschutzrechtlich über den korrekten Umgang mit Gästedaten, ebenso wie zum Umgang mit Strafverfolgungsbehörden im Rahmen der Beschlagnahme von Daten.

Ihre Vorteile durch die Awareness-Schulung Datenschutz

Falscher Umgang mit Gästedaten kann zu Sanktionen durch die zuständigen Datenschutzbehörden führen, ebenso können auch die betroffenen Personen selbst im Rahmen des Privatklagewegs wegen Verstößen gegen die DSGVO gegen Sie vorgehen.

Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine Beratung rund um das Thema Datenschutz an.