Erhebung von Kundenkontaktdaten

Nach wochenlangem Lock-down durften nun auch wieder viele Geschäfte und Betriebe öffnen, vorausgesetzt besondere Hygiene und Abstandsregeln werden eingehalten. Vor allem die Gastronomie, die sich gewöhnlicherweise wenig mit Datenschutz bezüglich ihrer Kunden und Kundinnen beschäftigen musste, steht jetzt vor besonderen datenschutzrechtlichen Herausforderungen. Durch die Erfassung von Kundenkontaktdaten soll die Nachverfolgung von Infektionsketten und Ausbrüchen von Covid-19 erleichtert werden.

Welche Daten sollen erhoben werden?

Für die Erhebung von Kundenkontaktdaten soll der Namen, die Anschrift und die Telefonnummer des jeweiligen Gastes erfasst werden.

In § 4 Abs.2 Nr.3 der Verordnung des Bundeslandes Hessens für Gaststätten und Hotels heißt es bezüglich Kundenkontaktdaten beispielsweise wie folgt:

„Ab dem 15. Mai 2020 dürfen die in Abs. 1 genannten Betriebe Speisen und Getränke auch zum Verzehr vor Ort anbieten, wenn sichergestellt ist, dass bei Bewirtung in geschlossenen Räumen Name, Anschrift und Telefonnummer der Gäste zur Ermöglichung der Nachverfolgung von Infektionen unter Beachtung der datenschutzrechtlichen Bestimmungen von der Betriebsinhaberin oder dem Betriebsinhaber erfasst werden.“

Je nach Bundesland gelten dabei jedoch unterschiedliche Regelungen. In Hessen muss beispielsweise nach dem Wortlaut der Verordnung nach nicht der Zeitpunkt des Besuchs und den des Verlassens erhoben werden.

In anderen Landesverordnung wird dies für die Erhebung für Kundenkontaktdaten hingegen eindeutig vorausgesetzt.

Welche Rechtsgrundlage gilt für die Erhebung von Kundenkontaktdaten?

Die konkreten Regulierungen sind jedoch in den einzelnen Bundesländern unterschiedlich ausgestaltet. Aus den Regelungen mancher Bundesländer geht unmissverständlich eine Pflicht zur Erhebung von Kundenkontaktdaten hervor, so beispielsweise in Baden-Württemberg, Hamburg, Hessen oder Nordrhein-Westfalen. Stimmt der Gast, Kunde oder Kundin der Erhebung seiner Kundenkontaktdaten nicht zu, so muss der Betreiber oder die Betreiberin – im Rahmen des Hausrechts – ihm oder ihr den Eintritt bzw. die Bewirtung verwehren. Andere Bundesländer wie Brandenburg beziehen hierzu keinerlei Stellung. Auch die hessische Verordnung statuiert lediglich eine Pflicht zur Erhebung von Kundenkontaktdaten gegenüber dem Betreiber (Art. 6 Abs.1 S.1 lit.c Datenschutz-Grundverordnung (DSGVO) als Ausgangspunkt). Die Regelungen beinhalten nicht was passiert, wenn der Gast sich weigert diese Daten bereitzustellen.

Einige Bundesländer hingegen geben nicht ganz eindeutige Formulierungen ab. So heißt es in § 9 Abs.1 Nr.1 Dritte Corona Verordnung des Landes Bremen bzgl. der Erfassung von Kundenkontaktdaten: „Die Betreiberin oder der Betreiber hat den Namen und die Kontaktdaten jedes Gastes sowie den Zeitpunkt des Betretens und Verlassens der Einrichtung zu dokumentieren und drei Wochen aufzubewahren; ein Gast darf nur bedient werden, wenn er mit der Dokumentation einverstanden ist;“

Ein Einverständnis würde ja darauf abzielen, dass dem Gast eine Wahl gegeben wird. Dies impliziert die Möglichkeit von einer datenschutzrechtlichen Einwilligung als Rechtsgrundlage ausgehen zu können. Erfolgt die Bewirtung wiederum nur, wenn der Gast der Erhebung seiner Kundenkontaktdaten zustimmt, ist die Freiwilligkeit fragwürdig. Auch Bayern hat in seinem Hygiene-Konzept lediglich Soll-Anweisungen gegeben, sodass auch hier ein gewisser Interpretationsspielraum besteht. Eindeutige Formulierungen für die Gastronomen wären daher sicherlich hilfreich.

Beachtung von Datenschutzgrundsätzen

Die Landesverordnungen enthalten Formulierungen, dass die Daten nur „unter Beachtung der datenschutzrechtlichen Bestimmungen“, so beispielsweise die hessische Verordnung. Auch die baden-württembergische Verordnung ordnet in § 3 Abs.3 an, dass die „allgemeinen Bestimmungen über die Verarbeitung personenbezogener Daten […] unberührt [bleiben].“Datenschutzrecht und die Datenschutzgrundverordnung (DSGVO) sind daher bei der Erfassung von Kundenkontaktdaten zwingend zu beachten. Zentraler Anknüpfungspunkt der datenschutzrechtlichen Bestimmungen sind unter anderem die Grundsätze, die Art. 5 DSGVO festlegt. Daher müssen Betreiber und Betreiberinnen strikt auf die Datenminimierung achten. Es dürfen also nur so viele Daten erhoben werden, insoweit sie für den Zweck benötigt werden.

Infolgedessen ist auf die Formulierung der jeweiligen Verordnung zu achten. Manche Verordnungen sprechen relativ unkonkret allgemein von „Kontaktdaten“ Andere wiederum wie beispielsweise Hessen und Baden-Württemberg sprechen von „Name, Anschrift und/oder Telefonnummer“, die zu erfassen sind. Sollte die Verordnung lediglich den Wortlaut „Kontaktdaten“ enthalten ist – neben Name und Anschrift – die Angabe eines Kontaktdatums (z.B. Telefonnummer oder E-Mail-Adresse) ausreichend.

Zweckbindung und Speicherfrist der Kundenkontaktdaten

Als weiterer Datenschutzgrundsatz ist die strenge Zweckbindung dieser Daten sowie die Löschverpflichtung zu beachten. Die Zwecke werden in den Verordnungen jeweils eigenständig aufgeführt. Zweck ist, den zuständigen Behörden und Gesundheitsämtern das Nachvollziehen von Infektionen und Infektionsketten der Gäste erleichtern zu können. Diese Grundsätze sind von den Betreibern und Betreiberinnen strikt einzuhalten. Die in diesem Rahmen erhobenen Kundenkontaktdaten dürfen nicht verwendet werden, um den Personaleinsatz zu planen oder um Werbung zu versenden, da ansonsten eine Zweckänderung vorliegen würde.

Wie werden die Daten erhoben?

Die Betriebe, Geschäfte und Gaststätten müssen sich zwar datenschutzkonform verhalten, ihnen wurde neben diesen gesetzlichen Anforderungen keinerlei Hilfestellung im Sinne einer Anleitung mit an die Hand gegeben, wie Informationen datenschutzkonform verarbeiten zu sind. Dabei sind in vielen Einrichtungen bereits einige datenschutzrechtliche Fehler bei der Erfassung von Kundenkontaktdaten unterlaufen. So wurden beispielsweise in manchen Betrieben nur eine Tabelle -und somit für jedermann einsehbar- ausgelegt, in die jeder Gast selbstständig seine Daten eintragen sollte.

Sollte der Gast seine Kundenkontaktdaten in Papierform angeben, müssen diese, abgesehen von dem Inhaber oder der Inhaberin des Betriebs für andere Personen verborgen bleiben.

Weiterhin ist zu beachten die Listen sofern sie nicht mehr benötigt werden, nicht einfach in die Papiertonne zu werfen. Dritte können andernfalls die Gästelisten aus dem Papiermüll fischen und diese Daten rechtswidrig verwenden. Die Kundenkontaktdaten sollten zumindest vorab geschreddert werden. Wünschenswerter wäre es natürlich die Formulare über eine Datenschutztonne zu entsorgen.

Daten, die im digitalen Format erhoben werden, dürfen nach Verwendung nicht einfach in den „Papierkorb“ geschoben werden, da solche Dateien durch einen bloßen Klick wiederhergestellt werden könnten. Für ein datenschutzkonformes Löschen muss zumindest anschließend auch der Papierkorb geleert werden.

Grundsätzlich ordnen die Verordnungen an die Daten für nicht mehr als vier Wochen ab Erhebung aufzubewahren. Diese Frist beruht auf der Inkubationszeit des Virus, da nach Ablauf der vier Wochen Frist keine Gefahr der Ansteckung besteht. Sollte das eigene Bundesland keine Aufbewahrungsfristen vorsehen, können die Betriebe sich ggf. an der Festlegung der anderen Länder orientieren. Es ist weiterhin ratsam die Information nach Datum sortiert anzuordnen. So verliert man nicht so schnell den Überblick und die Daten können routiniert nach Daten gelöscht werden.

Reservierungen können in den häufig ohnehin schon sehr stressigen Arbeitsabläufe zumindest den Aufwand der Datenerhebung vorab erleichtern. Die Kundenkontaktdaten können also schon vor Inanspruchnahme des gastronomischen Service oder aber auch einer Dienstleistung erhoben werden. Damit der Betreiber oder die Betreiberin jedoch die gesetzliche Pflicht erfüllen kann, muss er oder sie die wahre Identität seiner Gäste erfragen. Hierzu können die Kunden und Kundinnen ihren Personalausweis vorlegen. Von Fotokopien des Personalausweises sollte jedoch abgesehen werden, da dieser eine Reihe von Informationen beinhaltet, die vom Betreiber oder der Betreiberin für das bloße Sicherstellen von Kundenkontaktdaten nicht benötigt werden und die Verarbeitung dieser Daten problematisch macht.

Aufgrund der besonderen Umstände und der aktuellen Notwendigkeit der Erfassung von Kundenkontaktdaten ist festzuhalten, dass viele Betriebe, Gaststätten und Geschäfte nicht drum herumkommen sich mit Datenschutzrecht zu beschäftigen.