PwC | PwC Legal Austria
  • Share
    • Choose a language:
    • View this page in english
  • PwC Legal Austria
  • Blog
    • Choose a language:
    • View this page in english
  • PwC Legal
  • Über uns
  • Karriere

Contact-Tracing in der Gastronomie – Datenschutzrechtliche To-Dos

Seit heute, 28.09.2020, gilt für Wien eine Verordnung der Magistratsabteilung 15 (“MA 15”), welche ua alle Inhaber von Betriebsstätten der Gastronomie zur Aufzeichnung von bestimmten Informationen zu Gästen verpflichtet. Wird ein Corona-Verdachtsfall bekannt, soll dies die Nachverfolgung einer möglichen Infektionskette (“Contact-Tracing”) vereinfachen. Um eine effiziente Kontaktaufnahme zu ermöglichen, sind von den Kunden Name, Vorname, E-Mail-Adresse und Telefonnummer zu erheben. 

Da dies personenbezogene Daten sind, greifen bei dieser Datenverarbeitung die Regelungen der DSGVO. Doch was bedeutet dies konkret für Gastronomiebetriebe? Welche Maßnahmen können hier ergriffen werden? 

Zweck, Dauer und Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Bei der verpflichtenden Erhebung für Contact-Tracing kann die Verarbeitung personenbezogener Daten insbesondere auf Art 6 Abs 1 lit c DSGVO gestützt werden, da dies zur Erfüllung einer rechtlichen Verpflichtung (Verordnung der MA 15 vom 25.09.2020) erforderlich ist. Diese legt auch den Zweck der Verarbeitung fest: Übermittlung an die Gesundheitsbehörde zum Zweck des Contact-Tracing auf Verlangen der Bezirksverwaltungsbehörde. Jede darüber hinausgehende Verarbeitung der Daten (zB zu Werbezwecken) ist rechtswidrig.

Die Verordnung verpflichtet Verantwortliche zur Löschung/Vernichtung der Daten nach vier Wochen: zB Daten vom 28.9.2020 sind am 26.10.2020 zu löschen. Hier ist darauf zu achten, dass dies tatsächlich durchgeführt wird, da eine weitere Aufbewahrung rechtswidrig ist. 

Art der Erhebung

Die Verordnung selbst stellt keine Anforderungen an eine bestimmte Form, wie die Daten erhoben werden sollen. Dies kann durch Formblätter (wie zB das Muster der Stadt Wien) erfolgen oder aber auch durch digitale Lösungen.

Dringend abzuraten ist von öffentlich aufliegenden Listen, in welche sich Gäste eintragen müssen. Diese entsprechen nicht den datenschutzrechtlichen Anforderungen. 

Sicherheitsmaßnahmen

Bei der Verarbeitung personenbezogener Daten müssen vom Verantwortlichen angemessene Sicherheitsmaßnahmen eingehalten werden. Bei Formblättern betrifft dies hauptsächlich den Zugang zu diesen. Idealerweise ist dieser auf eine oder wenige Personen beschränkt. Praktisch umsetzen lässt sich dies zB mit einem versperrbaren Briefkasten, in welchen die Blätter vom Personal oder auch den Gästen eingeworfen werden können. Diese können dann von einer verantwortlichen Person am Ende des Tages entleert und abgelegt werden. 

Bei digitalen Lösungen ist ebenfalls darauf zu achten, dass der Zugriff auf die erhobenen Daten möglichst beschränkt ist.

Gästeinformation

Um den Informationsverpflichtungen der DSGVO zu entsprechen, muss der Verantwortliche bei der Erhebung der Daten eine Datenschutzerklärung bereitstellen. Sie muss verständlich darüber informieren, welche Daten von wem für welchen Zweck verarbeitet und an wen übermittelt werden. Ein Beispiel wäre: 

“[Name, Anschrift, falls vorhanden Kontaktdaten eines Datenschutzbeauftragten] verarbeitet Ihren Vornamen, Namen, E-Mail Adresse und Telefonnummer aufgrund einer rechtlichen Verpflichtung (§ 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 vom 25.09.2020) und muss diese auf Verlangen der Bezirksverwaltungsbehörde an die zuständige Gesundheitsbehörde zu Zwecken des Contact-Tracing übermitteln. Wir löschen Ihre Daten nach vier Wochen. Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer Daten. Wenn Sie der Meinung sind, dass wir Ihre Rechte verletzen, so können Sie Beschwerde bei der Österreichischen Datenschutzbehörde einbringen.”

Eintrag im Verarbeitungsverzeichnis

Jeder Verantwortliche muss ein Verzeichnis über alle von ihm getätigten Verarbeitungstätigkeiten führen. Hier ist auch die Verarbeitung für Contact-Tracing aufzunehmen. Ein Eintrag sollte zumindest folgende Informationen umfassen: 

VerarbeitungszweckKategorie betroffener PersonenEmpfängerkategorienLöschfristTechnische und organisatorische Sicherheitsmaßnahmen
Contact-Tracing aufgrund einer rechtlichen Verpflichtung aus § 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 vom 25.09.2020GästeGesundheitsbehörden auf Verlangen der Bezirksverwaltungsbehörden4 WochenBeschränkung der Zugriffsrechte durch versperrte Aufbewahrung

 

PwC Legal berät Sie gerne bei rechtlichen Detailfragen.

Diese Vorgabe kann auch als Chance gesehen werden, das Kundenerlebnis vor Ort zu steigern und Lokalbesuche unkompliziert und diskret zu gestalten. Wie diese Chance strategisch als auch mittels Tool genutzt werden kann, dabei unterstützen gerne unsere Kollegen von Digital Consulting. 

FB twitter Linkedin GooglePlus
TagsContact-TracingCoronavirusCOVID-19DSGVOGastronomieWien
Foto von Dr. Axel Thoss
Dr. Axel Thoss axel.thoss@pwclegal.at
Foto von Mag. Arne Greiner LL.M.
Mag. Arne Greiner LL.M. arne.greiner@pwc.com

Neueste Nachrichten

  • PwC Legal verdoppelt Real Estate & Construction Team
  • Axel Thoß steigt zum Partner bei PwC Legal Österreich auf
  • Erneute Fristverlängerung für Gesellschafterversammlungen und Jahresabschlüsse
  • HinweisgeberInnenschutzgesetz (HSchG): Was bringt die Umsetzung der EU Whistleblowing Richtlinie?
  • IFLR1000 Ranking 2022: Team Banking & Finance gelistet!
© 2021 *oehner & partner rechtsanwaelte gmbh is an independent Austrian law firm and cooperates with PricewaterhouseCoopers Legal Aktiengesellschaft Rechtsanwaltsgesellschaft, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main, District Court Frankfurt am Main HRB 74165. oehner & partner rechtsanwaelte gmbh does not render non-legal services, such services may be procured through member firms of the PwC network.
  • Impressum
  • Privacy Policy
  • Cookies
Wir verwenden auf unserer Website Cookies, um die Nutzung bestimmter Funktionen der Website zu ermöglichen, das PwC Serviceangebot kontinuierlich zu verbessern und Ihnen ein besseres Nutzererlebnis zu bieten.


Bei der Verwendung bestimmter Cookies von US-Anbietern kann es zur Übermittlung Ihrer personenbezogener Daten an diese Anbieter in die USA kommen. Wir möchten Sie darüber informieren, dass laut Urteil des Europäischen Gerichtshofs (C-311/18, Schrems II) in den USA kein angemessenes Datenschutzniveau herrscht und zudem keine geeigneten Garantien zum Schutz Ihrer Daten vorhanden sind. Die Übermittlung Ihrer Daten in die USA und die Verwendung von Cookies, bei denen eine solche Übermittlung stattfindet, erfolgt darum ausschließlich auf Grundlage Ihrer Einwilligung.

Bei Übermittlung Ihrer Daten in die USA, besteht insbesondere das Risiko, dass Ihre Daten dem Zugriff durch US-Behörden zu Kontroll- und Überwachungszwecken unterliegen und dagegen keine wirksamen Rechtsbehelfe zur Verfügung stehen. Ebensowenig kann die Durchsetzung von Betroffenenrechten gewährleistet werden. Insgesamt sind die Zugriffe und Verwendung von Daten durch US Behörden, laut dem Gerichtshof der Europäischen Union, nicht auf das zwingend erforderliche Maß beschränkt und daher unverhältnismäßig.


Eine Einwilligung in die Datenübermittlung in die USA wird erteilt, indem Sie alle Cookies akzeptieren und kann jederzeit über Ihre Browser-Einstellungen mit Wirkung für die Zukunft widerrufen werden.

Nähere Informationen finden Sie in unserer Datenschutzerklärung und Cookie-Information.
Cookie Einstellungen
Alle Cookies (inklusive US-Datentransfers) akzeptieren
Nur erforderliche Cookies akzeptieren
Manage consent

Privacy Overview

Diese Webseite benutzt Cookies zur Verbesserung Ihrer Nutzererfahrung und unseres Informationsangebotes. Wir verwenden verschiedene Cookie-Arten: Essenzielle Cookies zur Erreichung der Funktionen der Webseite (zB. Spracheinstellungen). Weiters nutzen wir Cookies von Drittanbietern um zu verstehen, wie Sie unsere Seite nutzen. Diese Cookies sind nicht notwendig für die Funktionalität der Seite und Sie können daher der Setzung des Selbigen widersprechen.
Necessary
immer aktiv
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
CookieDauerBeschreibung
cookielawinfo-checkbox-analytics11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional11 monthsThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent1 yearRecords the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy11 monthsThe cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
CookieDauerBeschreibung
pll_language1 yearThe pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
Analyse
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDauerBeschreibung
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
Google Analytics MFMSWS70PX2 JahreDieser Cookie wird von Google Analytics installiert.
SPEICHERN & AKZEPTIEREN
Unterstützt von CookieYes Logo