Kontaktdatenerfassung gemäß Hamburgischer SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO)

Kontaktdatenerfassung gemäß Hamburgischer SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO)

Bereits im März veröffentlichte der HmbBfDI eine Corona-FAQ-Sammlung, um den Bürgerinnen und Bürgern zeitnah aktuelle Informationen zu aktuellen Fragestellungen bereit zu stellen, die gehäuft die Behörde erreichen. Durch Medienanfragen und einige Beschwerden Betroffener erhält der HmbBfDI nun vermehrt Hinweise, dass die Kontaktdaten von Besucherinnen und Besuchern, die auf Grund der Hamburgischen SARS-CoV-2-Eindämmungsverordnung beim Besuch von Gewerbe- und Gastbetrieben erfasst werden müssen, häufig offen und für Dritte zugänglich ausliegen. Kundinnen und Kunden, die sich dort eintragen, können dadurch Kenntnis über die Einsicht in die Kontaktdaten der zuvor anwesenden Personen erlangen.

Nachdem wir von Anfang an darauf hingewiesen haben, dass dies datenschutzrechtlich unzulässig ist, hat der Senat nun erfreulicherweise einen entsprechenden Hinweis in die HmbSARS-CoV-2-EindämmungsVO aufgenommen. Dort heißt es nun, dass zu gewährleisten ist, dass unbefugte Dritte keine Kenntnis von den Daten erlangen. Das ist offenbar noch nicht bei allen verantwortlichen Daten verarbeitenden Stellen angekommen, sodass wir mitunter Betreiberinnen und Betreiber individuell auffordern müssen, die Datenschutzvorschriften umzusetzen.

Unsicherheit besteht auch dahingehend, welche Kontaktdaten konkret anzugeben sind. Die Hamburgische Verordnung macht hier – anders als zum Beispiel die in Schleswig-Holstein – keine präzisen Vorgaben. Dies nehmen wir zum Anlass, um im Folgenden auf weiterführende Fragen einzugehen und darüber zu informieren, dass der HmbBfDI in seiner letzten FAQ-Aktualisierung auch eine Mustervorlage (PDF) zur Erfassung von Kontaktdaten der Kunden nach der Hamburgische SARS-CoV-2-Eindämmungsverordnung online zur Verfügung gestellt hat.

Wer ist für die Einhaltung des Datenschutzes in Geschäftsstätten verantwortlich?

Die Betriebsinhaberin oder der Betriebsinhaber sind für die Einhaltung des Datenschutzes gemäß Art. 4 Nr. 7 DSGVO selbst verantwortlich. Führt die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte die Kontaktdaten der Gäste auf einer Liste und lässt diese offen für alle sichtbar ausliegen (z.B. am Eingang/ Tresen oder an der Theke), so stellt dies einen Verstoß gegen die DSGVO dar, insbesondere als unzulässige Offenlegung und als Verstoß gegen die Datensicherheit. Denn die verantwortlichen Stellen, das sind die Betriebsinhaberin oder der Betriebsinhaber, müssen die Daten vor dem Zugriff Unberechtigter schützen und sicher aufbewahren.

Wer kontrolliert die Einhaltung des Datenschutzes vor Ort?

Die in der Hamburgischen SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO) enthaltenen Regelungen sind mit einem einheitlichen Katalog an Ordnungswidrigkeitsverstößen (vgl. § 62 Abs. 1 HmbSARS-CoV-2-EindämmungsVO, gültig ab dem 27.05.2020) und entsprechenden Bußgeldregelsätzen (vgl. § 62 Abs. 2 HmbSARS-CoV-2-EindämmungsVO) versehen worden. Diese Verstöße stellen Ordnungswidrigkeiten nach § 73 Abs. 1a Nr. 24 i. V. m. § 32 IfSG dar und werden von der zuständigen Behörde (Gesundheitsbehörde) geahndet. Wenn die sachlich zuständige Behörde nicht handeln kann (beispielsweise am Wochenende oder weil nicht genug Außendienstpersonal vorhanden ist), ist die Polizei zuständig.

Gaststätten dürfen nicht geöffnet werden, wenn sie ihre Pflicht aus § 22 Abs. 4 Nr. 7 HmbSARS-CoV-2-EindämmungsVO nicht nachkommen. Danach sind zum Zweck der Nachverfolgung von Infektionsketten die Kontaktdaten der Gäste unter Angabe des Datums zu erfassen, die Aufzeichnungen sind vier Wochen aufzubewahren und der zuständigen Behörde auf Verlangen vorzulegen und die Daten nach Ablauf der Aufbewahrungsfrist zu löschen. Öffnet eine Gaststätte ohne diese Vorkehrungen, ist dies bußgeldbewährt.

Aufgabe des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) als Datenschutzaufsichtsbehörde ist es, die Einhaltung der Gesetze zum Datenschutz zu kontrollieren und bei Nichteinhaltung mit entsprechenden Sanktionen zu reagieren. Im Zusammenhang mit der HmbSARS-CoV-2-EindämmungsVO kontrolliert der HmbBfDI daher ausschließlich, ob sich die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte an die „Regeln des Datenschutzrechts“ halten. Bislang wurden in Fällen, in denen Verstöße gemeldet wurden, die verantwortlichen Stellen binnen kürzester Zeit kontaktiert und angewiesen, die Namen vor der Einsichtnahme unbefugter dritter Personen zu schützen.

Die wichtigsten Regeln zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten (z.B. bei Erhebung, Speicherung, Übermittlung, Löschung etc.) finden sich in der Datenschutz-Grundverordnung (DSGVO) wieder, insbesondere in Art. 5 DSGVO. Im Einzelnen ist sicherzustellen, ob es eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gibt (Rechtmäßigkeit der Verarbeitung), ob die Verarbeitung dem Zweck angemessen sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt ist (sog. Datensparsamkeit), ob die Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden (sog. Zweckbindung), ob die Datensicherheit gewährleistet ist und ob die Datenverarbeitung transparent ist (Ausfluss des Transparenzgebotes ist die Datenschutzerklärung gem. Art. 13 DSGVO).

Wie kann eine Erfassung von Kontaktdaten der Kunden datenschutzkonform vorgenommen werden?

Die Daten müssen vor dem Zugriff Unberechtigter sowie sicher aufbewahrt werden und die Speicherung darf nur kurzfristig erfolgen. Deshalb dürfen Listen, in denen solche Daten geführt werden, nicht offen herumliegen und nicht für jedermann zugänglich sein. Oftmals ist es besser, die Daten zu jedem erfassten Besucher/Kunden auf einem gesonderten Blatt zu führen und danach sicher wegzuschließen, wenn sie nicht elektronisch geführt werden. Alternativ bietet es sich vielfach an, die Daten schon bei der Terminvereinbarung abzufragen. In gastronomischen Einrichtungen kann eine gemeinsame Liste pro Gästegruppe genutzt werden. Diese tragen sich dann alle auf die Liste ein, die auf dem gemeinsam genutzten Tisch liegt, und das Personal entfernt sie, bevor die nachfolgende Gästegruppe den Tisch einnimmt. Eine Mustervorlage zur Erfassung von Kontaktdaten der Kunden nach der Hamburgische SARS-CoV-2-Eindämmungsverordnung kann hier (PDF) eingesehen werden.

Wurden bereits Bußgeldverfahren eingeleitet?

Nein, Bußgeldverfahren wurden daher bislang noch nicht eingeleitet. Es ist unser Ziel, die betroffenen Gastwirte und andere Gewerbetreibende, die derzeit erheblich unter den Auswirkungen der Pandemie zu leiden haben, zunächst zu beraten und für die datenschutzrechtlichen Belange zu sensibilisieren. Wir behalten uns dennoch vor, die Situation jederzeit neu zu bewerten und entsprechen zu handeln. Auch wenn eine flächendeckende Kontrolle aufgrund der beschränkten personellen Ausstattung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nicht möglich, dürfen die datenschutzrechtlichen Vorkehrungen durch die jeweiligen Gewerbetriebe nicht außer Acht gelassen werden. Hierzu können auch unangekündigte Stichprobenkontrollen erfolgen.

Sollte sich bei einer Nachkontrolle oder anlässlich einer erneuten Beschwerde erweisen, dass eine Umsetzung der Vorgaben entgegen unserer Anordnung nicht erfolgt ist, ist eine Verhängung von weitergehenden Maßnahmen zur Durchsetzung der Datenschutzvorgaben (Bußgeldverfahren/Zwangsgeld) möglich.

Verzeichnet der HmbBfDI ein erhöhtes Beschwerdeaufkommen bezüglich der Erfassung von Kontaktdaten?

Uns erreichen neben zahlreiche Beratungsanfragen von Gastronomen oder Friseursalons auch einige Bürgerbeschwerden über konkrete Einrichtungen. Diesen gehen wir in jedem Einzelfall nach und sorgen für eine datenschutzgerechte Umsetzung. Wir führen keine Gesamtstatistik über Covid-19-bezogene Datenschutzverstöße, registrieren jedoch die einzelnen uns gemeldeten Fälle.