Blog > COVID-19 Gästeregistrierung: Datenschutzbehörde zeigt sich skeptisch >
Aufliegende Gästelisten
Mittwoch, 14. Oktober 2020 - 14:56

COVID-19 Gästeregistrierung: Datenschutzbehörde zeigt sich skeptisch

Ende September haben der Bürgermeister und der Gesundheitsstadtrat der Stadt Wien eine Registrierungspflicht in der Gastronomie ausgerufen. Wirte seien demnach verpflichtet bestimmte Daten ihrer Gäste zu erfassen. Die Datenschutzbehörde (DSB) findet es fraglich, ob die Rechtsgrundlage der Verordnung den datenschutzrechtlichen Anforderungen entspricht.

Die Wiener Verordnung

Die entsprechende Verordnung des Magistrats der Stadt Wien stützt sich auf die Bestimmungen des § 5 Abs 3 Epidemiegesetz 1950. Diese Bestimmungen sehen vor, dass „auf Verlangen der Bezirksverwaltungsbehörde […] alle Personen, […], die zu den Erhebungen einen Beitrag leisten könnten, zur Auskunftserteilung verpflichtet [sind].“

Die Wiener Verordnung regelt darüber hinaus, welche Stellen (Krankenanstalten, Wohnheime, Betriebsstätten u.a. der Gastronomie, etc.) zur Verhinderung der Verbreitung von COVID-19 im Falle des Auftretens eines Verdachtsfalles welche Auskünfte an die Bezirksverwaltungsbehörde zu übermitteln haben.

Im Falle der Gastronomie wären dies Vorname, Name, Telefonnummer, E-Mail-Adresse und Tischnummer der Kundinnen und Kunden (§ 1 Z 2 lit e). Weiters dürften diese Daten ausschließlich zur COVID-19-Kontaktnachverfolgung gespeichert und verwendet werden und müssten vier Wochen nach ihrer Aufnahme gelöscht werden.

DSB zur Gästeregistrierung allgemein

Die Datenschutzbehörde führt in ihrer Information zum Coronavirus (Frage 17) aus, unter welchen Voraussetzungen eine derartige Gästeregistrierung vorstellbar wäre.

So stellt sie nach der Prüfung der Anwendbarkeit des Datenschutzrechts fest, dass es sich bei den erhobenen Daten um Informationen über eine mögliche Infektion eines gewissen Besucherkreises und somit um ein sensibles Datum handelt. Entsprechend greift Art 9 Abs 1 DSGVO, der ein ausdrückliches Verbot der Verarbeitung besonders schützenswerter Daten (hier: Gesundheitsdaten) vorsieht.

Entsprechend müsste für eine Zulässigkeit der Datenverarbeitung eine der Ausnahmebestimmungen des Art 9  Abs 2 DSGVO greifen. Ein (alleiniges) Berufen auf berechtigte Interessen gemäß Art 6 Abs 1 lit f DSGVO ist nicht ausreichend.

Auch eine Berufung auf eine Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person gem. Art 9 Abs 2 lit c DSGVO kommt gemäß den Ausführungen der Datenschutzbehörde nicht in Betracht, da dies nach Ansicht der Behörde eine unmittelbare Gefährdung voraussetzt und andere Rechtsgrundlagen durchaus in Betracht kommen. Erwägungsgrund 46 DSGVO sieht nämlich vor, dass eine Berufung auf lebenswichtige Interessen grundsätzlich nur erfolgen sollte, wenn keine anderen Rechtsgrundlagen zur Verfügung stehen.

Als Rechtsgrundlage in Frage kommt aber jedenfalls eine Datenverarbeitung auf Basis der ausdrücklichen Einwilligung der Gäste des jeweiligen Gastronomiebetriebs (Art 9 Abs 2 lit a DSGVO). Dies allerdings nur, wenn der Eintritt in die Gaststätte bei Verweigerung der Daten nicht verweigert wird. In diesem Fall könnte nämlich nicht mehr von einer freiwilligen Einwilligung ausgegangen werden und die erteilte Einwilligung wäre entsprechend ungültig.

In Frage kommt laut Datenschutzbehörde natürlich auch die „Schaffung einer qualifizierten gesetzlichen Grundlage im nationalen Recht gemäß Art. 9 Abs. 2 lit. i DSGVO, auf deren Basis die oben genannten Daten durch den Betreiber der Gaststätte erhoben werden.“ Dabei wäre jedoch zu beachten, dass dieses Gesetz angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen muss. Darüber hinaus muss sie klar und präzise sein und ihre Anwendung für die Rechtsunterworfenen vorhersehbar sein.

Nur unter diesen Voraussetzungen kann eine nationale Norm als Rechtsgrundlage für eine solche Verarbeitung herangezogen werden.

DSB zur Gästeregistrierung in Wien

Zur Gästeregistrierung in Wien führt die DSB aus (Frage 18), dass die Schaffung einer rechtlichen Verpflichtung wie oben beschrieben zwar zulässig sei. „Ob allerdings die gewählte Rechtsgrundlage (§ 5 Epidemiegesetz) die genannten Anforderungen erfüllt, ist fraglich.“

Diese Sichtweise der DSB ist anhand der Argumentation der Stadt Wien gut nachvollziehbar. Diese führt zu ihrer Rechtsgrundlage nach einem Verweis auf die oben erwähnte Auskunftspflicht gemäß Epidemiegesetz unter anderem aus: „Zudem ist hier Art 6 Abs 1 lit d DSGVO einschlägig („die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen).“

Dabei übersieht die Stadt Wien offenbar gleich zwei wesentliche Punkte: Nämlich, dass sie es hier einerseits mit besonders schützenswerten Gesundheitsdaten zu tun hat und sie sich daher entsprechend auf einen der Ausnahmetatbestände des Art 9 Abs 2 DSGVO berufen müsste. Und andererseits, dass durchaus eine Berufung auf andere Rechtsgrundlagen wie etwa die Einwilligung der Betroffenen möglich wäre und die Berufung auf lebenswichtige Interessen daher nicht in Frage kommt.

Am Ende ihrer Ausführungen zur Wiener Gästeregistrierung weist die Datenschutzbehörde auf folgendes hin: „Personen, die sich durch die Datenerhebung in ihren Rechten verletzt erachten, haben die Möglichkeit, Beschwerde vor der Datenschutzbehörde zu erheben.“ Dafür bietet die Behörde auch entsprechende Formulare an.

Wie geht es weiter?

Dass für Gäste keine Pflicht zur Bekanntgabe ihrer Daten besteht, räumt die Stadt Wien in ihrer Stellungnahme zu meiner Anfrage ein. Noch unbeantwortet ist meine Frage, ob nach Ansicht der Stadt Wien eine Verpflichtung für Gastronomen besteht, Daten ihrer Kunden zu erheben. Dazu wird hoffentlich meine Nachfrage mehr Klarheit bringen. Die gesamte Anfrage ist auf der Plattform Frag den Staat einsehbar.

Ob eine derartige Verpflichtung für Wirte tatsächlich besteht ist mehr als fraglich, sieht § 5 Abs 3 Epidemiegesetz doch lediglich vor, dass jene Personen zur Auskunft verpflichtet sind, die einen Beitrag leisten könnten. Niemand wird jedoch verpflichtet einen Beitrag leisten zu können und eine derartige Pflicht müsste auch klar und präzise formuliert sein und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen, wie auch die Datenschutzbehörde in ihren Ausführungen festhält.

 

Mag. Andreas Krisch ist Geschäftsführer der Datenschutzagentur und Mitglied des Österreichischen Datenschutzrates

Datenschutz Online-Schulung

Explainable AI

Artikel lesen >

Newsletter

Für den Datenschutzbrief
anmelden >

DRUCKEN:
Diesen Beitrag drucken >