Seitdem die Corona-Pandemie begonnen hat, hat sich das Leben, sowohl von Privatpersonen als auch von Unternehmen, stark verändert. Neue Vorgaben, Einschränkungen und Anpassungen der Arbeitsabläufe sind keine fremden Themen mehr. Besonders von der Corona-Pandemie betroffen ist der Gastronomiebereich. Restaurants, Hotels, Bars und Lokale erleben grundlegende Umstrukturierungen und müssen ihr gesamtes Geschäftsmodell an die neue Situation anpassen.
Zu den wichtigsten datenschutzrelevanten Änderungen gehört die Dokumentation der Gäste bzw. die sogenannten Corona-Gästelisten. Demnach müssen Gäste ihre Kontaktdaten hinterlassen. Sonst dürfen sie nicht bewirtet werden.
In der Hessischen Corona-Kontakt- und Betriebsbegrenzungsverordnung ist geregelt,
Gaststätten (…) dürfen Speisen und Getränke (…) zum Verzehr vor Ort anbieten, wenn sichergestellt ist, dass
“Name, Anschrift und Telefonnummer der Gäste ausschließlich zur Ermöglichung der Nachverfolgung von Infektionen von der Betriebsinhaberin oder dem Betriebsinhaber erfasst werden; diese haben die Daten für die Dauer eines Monats ab Beginn des Besuchs geschützt vor Einsichtnahme durch Dritte für die zuständigen Behörden vorzuhalten und auf Anforderung an diese zu übermitteln sowie unverzüglich nach Ablauf der Frist sicher und datenschutzkonform zu löschen oder zu vernichten; die Bestimmungen der Art. 13, 15, 18 und 20 der Datenschutz-Grundverordnung finden keine Anwendung; die Gäste sind über diese Beschränkungen zu informieren.”
Grundsätzlich handelt es sich bei der Erhebung der Kontaktdaten der Gäste um eine Verarbeitung, die einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO unterliegt. Dabei erweist sich die Hessische Corona-Kontakt- und Betriebsbeschränkungsverordnung als eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO.
Achtung! Die rechtlichen Grundlagen ändern sich aktuell sehr schnell und können zum jetzigen Zeitpunkt schon wieder abweichende Angaben machen. Auch sind von Bundesland zu Bundesland unterschiedliche Regelungen möglich.
Art. 83 Abs. 4 DSGVO geht auf mögliche Sanktionen bei Verstößen ein.
Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.
Folgenden zentrale Datenschutz-Forderungen müssen bei Corona-Gästelisten betrachtet werden:
Die Verantwortlichen sind normalerweise verpflichtet, die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Zu diesen Informationspflichten gehören:
Die aktuelle hessische Verordnung sagt, dass Artikel 13 DSGVO (Informationspflichten) keine Anwendung findet. Wir empfehlen aber dennoch dringend, die Informationen dem Betroffenen zu übermitteln.
Gemäß den Vorgaben der Landesregierung sind ausschließlich folgende Daten für die Corona-Gästelisten zu erheben.
Dabei gilt: Je weniger Daten, desto besser. Die gesammelten Daten müssen nach einem Monat vernichtet werden bzw. bis die zuständige Behörde diese beansprucht hat. Hier sollte unbedingt eine Protokollierung der Löschung erfolgen.
Es muss sichergestellt werden, dass die ausgefüllten Gästelisten vor Zugriff eines Dritten geschützt sind. Diese Daten müssen an einem sicheren Ort gespeichert werden. Nur klar berechtigte Personen dürfen die Daten einsehen. Außerdem ist es sinnvoll die Daten nach Datum zu sortieren, um eine ordnungsgerechte Entsorgung und Fristwahrung zu gewährleisten. Das Auslegen einer Liste pro Tisch ist unbedingt zu unterlassen. Sonst kann der nachfolgende Gast sehen, wer vor ihm am Tisch war.
In der hessischen Coronaverordnung wird der Zweck der Datenverarbeitung auf die “Ermöglichung der Nachverfolgung von Infektionen von der Betriebsinhaberin oder dem Betriebsinhaber” begrenzt. Die Datenverarbeitung für einen anderen Zweck – etwa um Werbung für das Restaurant zu machen – , ist datenschutzrechtlich nicht zulässig.
Input your search keywords and press Enter.