PwC | PwC Legal Austria
  • Share
    • Choose a language:
    • View this page in english
  • PwC Legal Austria
  • Blog
    • Choose a language:
    • View this page in english
  • PwC Legal
  • Über uns
  • Karriere
28.09.2020

Contact-Tracing in der Gastronomie – Datenschutzrechtliche To-Dos

Seit heute, 28.09.2020, gilt für Wien eine Verordnung der Magistratsabteilung 15 (“MA 15”), welche ua alle Inhaber von Betriebsstätten der Gastronomie zur Aufzeichnung von bestimmten Informationen zu Gästen verpflichtet. Wird ein Corona-Verdachtsfall bekannt, soll dies die Nachverfolgung einer möglichen Infektionskette (“Contact-Tracing”) vereinfachen. Um eine effiziente Kontaktaufnahme zu ermöglichen, sind von den Kunden Name, Vorname, E-Mail-Adresse und Telefonnummer zu erheben. 

Da dies personenbezogene Daten sind, greifen bei dieser Datenverarbeitung die Regelungen der DSGVO. Doch was bedeutet dies konkret für Gastronomiebetriebe? Welche Maßnahmen können hier ergriffen werden? 

Zweck, Dauer und Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Bei der verpflichtenden Erhebung für Contact-Tracing kann die Verarbeitung personenbezogener Daten insbesondere auf Art 6 Abs 1 lit c DSGVO gestützt werden, da dies zur Erfüllung einer rechtlichen Verpflichtung (Verordnung der MA 15 vom 25.09.2020) erforderlich ist. Diese legt auch den Zweck der Verarbeitung fest: Übermittlung an die Gesundheitsbehörde zum Zweck des Contact-Tracing auf Verlangen der Bezirksverwaltungsbehörde. Jede darüber hinausgehende Verarbeitung der Daten (zB zu Werbezwecken) ist rechtswidrig.

Die Verordnung verpflichtet Verantwortliche zur Löschung/Vernichtung der Daten nach vier Wochen: zB Daten vom 28.9.2020 sind am 26.10.2020 zu löschen. Hier ist darauf zu achten, dass dies tatsächlich durchgeführt wird, da eine weitere Aufbewahrung rechtswidrig ist. 

Art der Erhebung

Die Verordnung selbst stellt keine Anforderungen an eine bestimmte Form, wie die Daten erhoben werden sollen. Dies kann durch Formblätter (wie zB das Muster der Stadt Wien) erfolgen oder aber auch durch digitale Lösungen.

Dringend abzuraten ist von öffentlich aufliegenden Listen, in welche sich Gäste eintragen müssen. Diese entsprechen nicht den datenschutzrechtlichen Anforderungen. 

Sicherheitsmaßnahmen

Bei der Verarbeitung personenbezogener Daten müssen vom Verantwortlichen angemessene Sicherheitsmaßnahmen eingehalten werden. Bei Formblättern betrifft dies hauptsächlich den Zugang zu diesen. Idealerweise ist dieser auf eine oder wenige Personen beschränkt. Praktisch umsetzen lässt sich dies zB mit einem versperrbaren Briefkasten, in welchen die Blätter vom Personal oder auch den Gästen eingeworfen werden können. Diese können dann von einer verantwortlichen Person am Ende des Tages entleert und abgelegt werden. 

Bei digitalen Lösungen ist ebenfalls darauf zu achten, dass der Zugriff auf die erhobenen Daten möglichst beschränkt ist.

Gästeinformation

Um den Informationsverpflichtungen der DSGVO zu entsprechen, muss der Verantwortliche bei der Erhebung der Daten eine Datenschutzerklärung bereitstellen. Sie muss verständlich darüber informieren, welche Daten von wem für welchen Zweck verarbeitet und an wen übermittelt werden. Ein Beispiel wäre: 

“[Name, Anschrift, falls vorhanden Kontaktdaten eines Datenschutzbeauftragten] verarbeitet Ihren Vornamen, Namen, E-Mail Adresse und Telefonnummer aufgrund einer rechtlichen Verpflichtung (§ 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 vom 25.09.2020) und muss diese auf Verlangen der Bezirksverwaltungsbehörde an die zuständige Gesundheitsbehörde zu Zwecken des Contact-Tracing übermitteln. Wir löschen Ihre Daten nach vier Wochen. Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer Daten. Wenn Sie der Meinung sind, dass wir Ihre Rechte verletzen, so können Sie Beschwerde bei der Österreichischen Datenschutzbehörde einbringen.”

Eintrag im Verarbeitungsverzeichnis

Jeder Verantwortliche muss ein Verzeichnis über alle von ihm getätigten Verarbeitungstätigkeiten führen. Hier ist auch die Verarbeitung für Contact-Tracing aufzunehmen. Ein Eintrag sollte zumindest folgende Informationen umfassen: 

VerarbeitungszweckKategorie betroffener PersonenEmpfängerkategorienLöschfristTechnische und organisatorische Sicherheitsmaßnahmen
Contact-Tracing aufgrund einer rechtlichen Verpflichtung aus § 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 vom 25.09.2020GästeGesundheitsbehörden auf Verlangen der Bezirksverwaltungsbehörden4 WochenBeschränkung der Zugriffsrechte durch versperrte Aufbewahrung

 

PwC Legal berät Sie gerne bei rechtlichen Detailfragen.

Diese Vorgabe kann auch als Chance gesehen werden, das Kundenerlebnis vor Ort zu steigern und Lokalbesuche unkompliziert und diskret zu gestalten. Wie diese Chance strategisch als auch mittels Tool genutzt werden kann, dabei unterstützen gerne unsere Kollegen von Digital Consulting. 

FB twitter Linkedin GooglePlus
TagsContact-TracingCoronavirusCOVID-19DSGVOGastronomieWien
Foto von Dr. Axel Thoss
Dr. Axel Thoss axel.thoss@pwclegal.at
Foto von Mag. Arne Greiner LL.M.
Mag. Arne Greiner LL.M. arne.greiner@pwc.com

Neueste Nachrichten

  • PwC Legal Österreich begleitet Citycom bei den Verhandlungen für die Etablierung eines 5G-Netzes für B2B-Kunden in Graz
  • Whistleblowing | Hinweisgeber: EU-Hinweisgeber-Richtlinie – Was ist bei der Einführung eines Hinweisgebersystems zu beachten?
  • PwC Legal Österreich begleitet Verkauf von Grundstücken beim Flughafen Wien an Deutsche Logistik Holding DLH
  • PwC Legal Österreich begleitet Catella Residential IM weiter auf Expansionskurs
  • Brexit-Update: Was ab 1.1.2021 aus immigrationrechtlicher Sicht zu beachten ist (Stand: 05.01.2021)
© 2021 *oehner & partner rechtsanwaelte gmbh is an independent Austrian law firm and cooperates with PricewaterhouseCoopers Legal Aktiengesellschaft Rechtsanwaltsgesellschaft, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main, District Court Frankfurt am Main HRB 74165. oehner & partner rechtsanwaelte gmbh does not render non-legal services, such services may be procured through member firms of the PwC network.
  • Impressum
  • Privacy Policy
  • Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und Ihnen ein besseres Nutzererlebnis zu bieten. Durch die weitere Nutzung dieser Webseite stimmen Sie der Verwendung von Cookies zu. Lesen Sie bitte unsere Cookie-Richtlinie, wenn Sie mehr darüber erfahren möchten.