Contact-Tracing in der Gastronomie – Datenschutzrechtliche To-Dos

Seit heute, 28.09.2020, gilt für Wien eine Verordnung der Magistratsabteilung 15 (“MA 15”), welche ua alle Inhaber von Betriebsstätten der Gastronomie zur Aufzeichnung von bestimmten Informationen zu Gästen verpflichtet. Wird ein Corona-Verdachtsfall bekannt, soll dies die Nachverfolgung einer möglichen Infektionskette (“Contact-Tracing”) vereinfachen. Um eine effiziente Kontaktaufnahme zu ermöglichen, sind von den Kunden Name, Vorname, E-Mail-Adresse und Telefonnummer zu erheben.

Da dies personenbezogene Daten sind, greifen bei dieser Datenverarbeitung die Regelungen der DSGVO. Doch was bedeutet dies konkret für Gastronomiebetriebe? Welche Maßnahmen können hier ergriffen werden?

Zweck, Dauer und Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Bei der verpflichtenden Erhebung für Contact-Tracing kann die Verarbeitung personenbezogener Daten insbesondere auf Art 6 Abs 1 lit c DSGVO gestützt werden, da dies zur Erfüllung einer rechtlichen Verpflichtung (Verordnung der MA 15 vom 25.09.2020) erforderlich ist. Diese legt auch den Zweck der Verarbeitung fest: Übermittlung an die Gesundheitsbehörde zum Zweck des Contact-Tracing auf Verlangen der Bezirksverwaltungsbehörde. Jede darüber hinausgehende Verarbeitung der Daten (zB zu Werbezwecken) ist rechtswidrig.

Die Verordnung verpflichtet Verantwortliche zur Löschung/Vernichtung der Daten nach vier Wochen: zB Daten vom 28.9.2020 sind am 26.10.2020 zu löschen. Hier ist darauf zu achten, dass dies tatsächlich durchgeführt wird, da eine weitere Aufbewahrung rechtswidrig ist.

Art der Erhebung

Die Verordnung selbst stellt keine Anforderungen an eine bestimmte Form, wie die Daten erhoben werden sollen. Dies kann durch Formblätter (wie zB das Muster der Stadt Wien) erfolgen oder aber auch durch digitale Lösungen.

Dringend abzuraten ist von öffentlich aufliegenden Listen, in welche sich Gäste eintragen müssen. Diese entsprechen nicht den datenschutzrechtlichen Anforderungen.

Sicherheitsmaßnahmen

Bei der Verarbeitung personenbezogener Daten müssen vom Verantwortlichen angemessene Sicherheitsmaßnahmen eingehalten werden. Bei Formblättern betrifft dies hauptsächlich den Zugang zu diesen. Idealerweise ist dieser auf eine oder wenige Personen beschränkt. Praktisch umsetzen lässt sich dies zB mit einem versperrbaren Briefkasten, in welchen die Blätter vom Personal oder auch den Gästen eingeworfen werden können. Diese können dann von einer verantwortlichen Person am Ende des Tages entleert und abgelegt werden.

Bei digitalen Lösungen ist ebenfalls darauf zu achten, dass der Zugriff auf die erhobenen Daten möglichst beschränkt ist.

Gästeinformation

Um den Informationsverpflichtungen der DSGVO zu entsprechen, muss der Verantwortliche bei der Erhebung der Daten eine Datenschutzerklärung bereitstellen. Sie muss verständlich darüber informieren, welche Daten von wem für welchen Zweck verarbeitet und an wen übermittelt werden. Ein Beispiel wäre:

“[Name, Anschrift, falls vorhanden Kontaktdaten eines Datenschutzbeauftragten] verarbeitet Ihren Vornamen, Namen, E-Mail Adresse und Telefonnummer aufgrund einer rechtlichen Verpflichtung (§ 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 vom 25.09.2020) und muss diese auf Verlangen der Bezirksverwaltungsbehörde an die zuständige Gesundheitsbehörde zu Zwecken des Contact-Tracing übermitteln. Wir löschen Ihre Daten nach vier Wochen. Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer Daten. Wenn Sie der Meinung sind, dass wir Ihre Rechte verletzen, so können Sie Beschwerde bei der Österreichischen Datenschutzbehörde einbringen.”

Eintrag im Verarbeitungsverzeichnis

Jeder Verantwortliche muss ein Verzeichnis über alle von ihm getätigten Verarbeitungstätigkeiten führen. Hier ist auch die Verarbeitung für Contact-Tracing aufzunehmen. Ein Eintrag sollte zumindest folgende Informationen umfassen:

Verarbeitungszweck	Kategorie betroffener Personen	Empfängerkategorien	Löschfrist	Technische und organisatorische Sicherheitsmaßnahmen
Contact-Tracing aufgrund einer rechtlichen Verpflichtung aus § 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 vom 25.09.2020	Gäste	Gesundheitsbehörden auf Verlangen der Bezirksverwaltungsbehörden	4 Wochen	Beschränkung der Zugriffsrechte durch versperrte Aufbewahrung

PwC Legal berät Sie gerne bei rechtlichen Detailfragen.

Diese Vorgabe kann auch als Chance gesehen werden, das Kundenerlebnis vor Ort zu steigern und Lokalbesuche unkompliziert und diskret zu gestalten. Wie diese Chance strategisch als auch mittels Tool genutzt werden kann, dabei unterstützen gerne unsere Kollegen von Digital Consulting.

FB twitter Linkedin GooglePlus

TagsContact-Tracing Coronavirus COVID-19 DSGVO Gastronomie Wien

Dr. Axel Thoss axel.thoss@pwclegal.at

Mag. Arne Greiner LL.M. arne.greiner@pwc.com

© 2021 *oehner & partner rechtsanwaelte gmbh is an independent Austrian law firm and cooperates with PricewaterhouseCoopers Legal Aktiengesellschaft Rechtsanwaltsgesellschaft, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main, District Court Frankfurt am Main HRB 74165. oehner & partner rechtsanwaelte gmbh does not render non-legal services, such services may be procured through member firms of the PwC network.

Privacy Overview

Diese Webseite benutzt Cookies zur Verbesserung Ihrer Nutzererfahrung und unseres Informationsangebotes. Wir verwenden verschiedene Cookie-Arten: Essenzielle Cookies zur Erreichung der Funktionen der Webseite (zB. Spracheinstellungen). Weiters nutzen wir Cookies von Drittanbietern um zu verstehen, wie Sie unsere Seite nutzen. Diese Cookies sind nicht notwendig für die Funktionalität der Seite und Sie können daher der Setzung des Selbigen widersprechen.

Necessary

immer aktiv

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.

Cookie	Dauer	Beschreibung
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.

Analyse

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
Google Analytics MFMSWS70PX	2 Jahre	Dieser Cookie wird von Google Analytics installiert.