Datenschutz ist in der Kneipe angekommen oder Was läuft datenschutztechnisch falsch im Land Brandenburg

Datenschutz ist in der Kneipe angekommen

oder

Was läuft datenschutztechnisch falsch im Land Brandenburg

Sicherlich ist das Thema Datenschutz seit langem ein Stammtischthema in Kneipen und Gaststätten. „Wozu Datenschutz? – Datenschutz hemmt die wirtschaftliche Entwicklung – Datenschutz brauchten wir früher auch nicht!“

So oder so ähnlich liefen die Diskussionen bei einem gut gekühlten Gerstensaft mit geistigen Getränken ab. Seit Corona uns fest im Griff hat, laufen die Gespräche anders:

„Wozu Gästelisten? – Was wollen die mit meinen Daten? – Warum muss ich das machen?“

Der Datenschutz ist in den Kneipen angekommen. Aber nicht nur da, sondern auch in den Hotels und Restaurants. Ob das Abendessen mit Freunden, das Candle-Light-Dinner mit meiner Frau oder das schnelle Bier to go in der Kneipe; Alles wird dokumentiert! Richtig so? Corona will es!

Vor einigen Tagen habe ich meine Familie zum Essen beim Griechen unseres Vertrauens eingeladen. Nach dem üblichen Prozedere (ich will am Fenster sitzen, nööö mit dem Rücken zum Gang geht gar nicht) brachte uns die freundliche Bedienung die Speisekarte. Im selben Atemzug mit „Was möchten Sie trinken?“ kam „Tragen Sie sich doch bitte in die Gästeliste ein“.

Ich bin Datenschützer! Listen und gerade Gästelisten machen mich immer neugierig. Und so kamen dann von mir die üblichen Fragen: “Wofür brauchen Sie die Daten? – Was machen Sie mit den Daten? – Was passiert, wenn ich Ihnen meine Daten nicht gebe?“. Die nette Kellnerin zuckte mit den Achseln und die Familie rollt mit den Augen.

Die Gästeliste war doch recht informativ. Eine akkurat mit Excel erstellte Liste im Din-A4-Format mit 20 Zeilen und endlosen Spalten. Alles wurde abgefragt: Name, Anschrift, Telefonnummer, Handynummer, Mailadresse, aus wie vielen Haushalten wir kommen und so weiter.

Das Ausfüllen solcher Listen übernimmt meine Frau. Angeblich ist meine Schrift unleserlich. Angeblich! Auf meine Bemerkung: „Schatz, die haben die Spalte =Schuhgröße= vergessen“ kam von meiner Frau: „Ach guck mal, die Meyers aus der Hauptstraße sind auch da. Und die Müllers auch. Das die sich das noch leisten können? (die Namen sind aus Datenschutzgründen von mir geändert worden).

Die Kellnerin brachte die Getränke und die Antworten auf meine Fragen. Nett von ihr! Dem bösen Blick meiner Frau entnahm ich: „Keine weiteren Fragen mehr“!

Diese Anekdote am Rande bringt mich unweigerlich zu der Frage: „Was läuft datenschutztechnisch falsch im Land Brandenburg?“.

Die Politik zwingt die Gastwirte und Hoteliers dazu, Gästelisten zu führen. Aber niemand sagt ihnen, wie diese aussehen müssen. So sagt die Verordnung über den Umgang mit dem SARS-CoV-2-Virus und COVID-19 in Brandenburg im §3 Abs.2

(2) Personendaten nach Absatz 1 Satz 1 Nummer 5 sind der Vor- und Familienname und die Telefonnummer oder E-Mail-Adresse der Betroffenen. Bei der Erfassung dieser Daten ist zu verhindern, dass Betroffene Kenntnis von personenbezogenen Daten anderer Betroffener erhalten. Der Anwesenheitsnachweis ist für die Dauer von vier Wochen unter Einhaltung datenschutzrechtlicher Vorschriften aufzubewahren oder zu speichern und auf Verlangen an das zuständige Gesundheitsamt herauszugeben. Nach Ablauf der Aufbewahrungsfrist ist der Anwesenheitsnachweis zu vernichten oder zu löschen.

Der Absatz zwei sagt eigentlich alles aus. Erfasst werden soll: Name, Familienname und die Telefonnummer oder die Mail-Adresse. Mehr nicht! Auch sagt dieser Absatz, dass andere keine fremden Daten sehen dürfen. Die Löschfrist beträgt vier Wochen. Danach sind die Anwesenheitslisten bei digitalen Listen zu löschen und bei physischen Listen zu schreddern.

Da die brandenburgische Verordnung nichts anderes aussagt, leite ich ab, dass die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz vollumfänglich einzuhalten sind.

Kommen wir zur Datensparsamkeit.

Die Verordnungen zum Umgang mit dem Coronavirus ist Ländersache. Darum sind die Vorgaben, wie die „Gästelisten“ aussehen sollen, unterschiedlich. In Brandenburg werden der Name und die Telefonnummer oder E-Mail-Adresse abgefragt. Anderen Bundesländern fordern da mehr Daten.

Sollten weitere Daten abgefragt werden, die nicht in der Verordnung aufgeführt sind, so wird die rechtliche Grundlage der Datenabfrage verlassen.

Der Art. 6 Datenschutzgrundverordnung (DSGVO) sagt:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

Die rechtliche Verpflichtung ist der §3 Abs.2 der Verordnung über den Umgang mit dem SARS-CoV-2-Virus und COVID-19 in Brandenburg

Der Verantwortliche ist der Besitzer, Inhaber oder Geschäftsführer des Hotels, Restaurants oder der Gaststätte.

Sollen zusätzliche Daten abgefragt werden, die der Absatz 2 nicht umfasst, muss eine eigenständige Einwilligungserklärung erstellt werden. Diese ist vom Gast zu unterschreiben.

Auch sollte sich der Gastwirt oder Hotelier entscheiden, ob die Dokumentation der Anwesenheit physisch, also in Papierform, oder digital geschehen soll. In vielen Hotels habe ich erlebt, dass die ausgefüllten Gästelisten eingescannt und dann abgeheftet werden. Das ist einmal zu viel und unnötig.

Aber das ist nicht alles. Wer personenbezogene Daten gemäß Art 4 Abs.2 DSGVO verarbeitet, muss die Verarbeitung dokumentieren. Und dann noch die Rechte der Betroffenen. Das Recht auf Transparenz der Verarbeitung, das Recht auf Auskunft über die Daten, das Recht auf Beschwerde und vieles mehr.

Das alles hat die Politik den Gastwirten nicht gesagt. Die oberste Datenschützerin im Land Brandenburg, Frau Dagmar Hartge, hat am 11. August diesen Jahres dazu geschrieben:

„Ein sorgsamer Umgang mit den Daten der Gäste ist kein Selbstzweck, sondern Voraussetzung für das nötige Vertrauen. Nur wenn die Gäste sicher sind, dass ihre Daten nicht in falsche Hände geraten, werden sie richtige und vollständige Angaben machen. Diese wiederum sind notwendig, um den Gesundheitsbehörden im Bedarfsfall zu ermöglichen, potenziell Infizierte zu finden und dadurch Infektionsketten zu unterbrechen. Gaststätten, die den Datenschutz beachten, zeigen somit nicht nur ihren Gästen, dass sie deren Persönlichkeitsrechte ernst nehmen; sie erleichtern auch die wichtige Aufgabe des Infektionsschutzes.“

Diesem kann ich nur zustimmen. Aber zurück zu den Gästelisten. Ich würde als Datenschützer dringendst von selbstgebastelten Excellisten abraten, die von allen anderen Gästen eingesehen werden können. Schlimmstenfalls könnten sie per Handy abfotografiert werden und zu anderen Zwecken missbraucht werden. Gästelisten sind nur praktikabel, wenn eine Servicekraft sich ständig um diese Liste kümmert. Das halte ich allerding nicht für effizient und mit hohen Mehrkosten verbunden.

Bei der telefonischen oder Online-Reservierung könnten die entsprechenden Daten schon vorher erfasst werden. Denkbar ist auch ein Meldeformular, das auf der Webseite des Hotels oder Restaurants abgelegt ist und online bearbeitet werden kann. Bleiben die Gäste, die nicht reserviert haben. Um diese zu erfassen braucht man einen Gästezettel.

Dann noch die Informationen an die Gäste über die Datenverarbeitung und die Verantwortlichen hierfür. Wie Frau Hartge in ihrem Statement sagt:

Nur wenn die Gäste sicher sind, dass ihre Daten nicht in falsche Hände geraten, werden sie richtige und vollständige Angaben machen.

Transparenz und die Verarbeitung nach Treu und Glaube ist der Grundstein des modernen Datenschutzes. Wenn der Gast weiß, dass seine Daten in guten Händen sind, wird er auch Vertrauen haben.

Die Informationen über die Rechte des Gastes im Punkto Datenschutz kann man ausdrucken und damit eine Wand des Schankraumes tapezieren. Oder sie auf Servietten drucken lassen. Oder sie auf den Gästezettel in einfacher, verständlicher Sprache anbringen.

Ich habe einen Gästezettel erstellt, von dem ich sagen kann: „Der ist datenschutzkonform.“

Aber der Zettel ist nur der halbe Datenschutz. Alles Weitere, wie Dokumentation, Aufklärung, Löschung oder Verhalten bei Verlust der Daten, kommt noch hinzu. Der Inhaber des Hotels oder Gaststätte ist für den Datenschutz voll verantwortlich.

Und gerade hier läuft einiges schief. Ich kann aber den Gastwirten und Hoteliers nicht die Schuld an den Versäumnissen der Politik geben, die es schlichtweg verpasst haben, hier präzise, einheitliche Vorgaben zu machen. Auch sollte man nicht den Volksmund bemühen, der das sagt: Unwissenheit schützt nicht vor Strafe oder gar das Strafgesetzbuch mit dem § 17:

Fehlt dem Täter bei Begehung der Tat die Einsicht, Unrecht zu tun, so handelt er ohne Schuld, wenn er diesen Irrtum nicht vermeiden konnte. Konnte der Täter den Irrtum vermeiden, so kann die Strafe nach § 49 Abs. 1 gemildert werden.

Gemilderte Strafe hin oder her. Letztendlich ist der Verantwortliche (Inhaber, Geschäftsführer…) der Sündenbock und kann für etwas belangt werden, von dem er keine Ahnung hat, nämlich vom Datenschutz. Datenschutz ist nicht das Betätigungsfeld der Gastwirte, sondern der Datenschützer.

Vielmehr sollten sich die Akteure Gedanken über den § 3 Abs. 3 der Verordnung über den Umgang mit dem SARS-CoV-2-Virus und COVID-19 in Brandenburg machen, der sagt:

(3) Die oder der Verantwortliche kann die Erfüllung der Verpflichtungen nach Absatz 1 auf Dritte übertragen. Ihre oder seine Verantwortlichkeit bleibt davon unberührt.

Das bedeutet: Fragen Sie den Datenschützer ihres Vertrauens!

Ein Datenschützer kann kein Hotel führen. Seine Fähigkeiten im Service eines Restaurants sind auch meist sehr begrenzt. Aber er kann Daten schützen und verarbeiten. Das ist sein Beruf. Fragen Sie doch mal an. Viele kleinere Datenschutzagenturen würden den Datenschutz für eine durchaus erschwingliche Summe übernehmen.

Lassen Sie uns zusammen den Datenschutz ernst nehmen. Datenschutz ist ein Persönlichkeitsrecht, und im Moment auch ein Schutz vor SARS-CoV-2 oder besser Corona.

Rüdiger Kösling

Agentur Consilium