Contact-Tracing in der Gastronomie – Datenschutzrechtliche To-Dos
Co-Autor: Mag. Arne Greiner LL.M.
Seit heute, 28.09.2020, gilt für Wien eine Verordnung der Magistratsabteilung 15 (“MA 15”), welche ua alle Inhaber von Betriebsstätten der Gastronomie zur Aufzeichnung von bestimmten Informationen zu Gästen verpflichtet. Wird ein Corona-Verdachtsfall bekannt, soll dies die Nachverfolgung einer möglichen Infektionskette (“Contact-Tracing”) vereinfachen. Um eine effiziente Kontaktaufnahme zu ermöglichen, sind von den Kunden Name, Vorname, E-Mail-Adresse und Telefonnummer zu erheben.
Da dies personenbezogene Daten sind, greifen bei dieser Datenverarbeitung die Regelungen der DSGVO. Doch was bedeutet dies konkret für Gastronomiebetriebe? Welche Maßnahmen können hier ergriffen werden?
Zweck, Dauer und Rechtsgrundlage
Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Bei der verpflichtenden Erhebung für Contact-Tracing kann die Verarbeitung personenbezogener Daten insbesondere auf Art 6 Abs 1 lit c DSGVO gestützt werden, da dies zur Erfüllung einer rechtlichen Verpflichtung (Verordnung der MA 15 vom 25.09.2020) erforderlich ist. Diese legt auch den Zweck der Verarbeitung fest: Übermittlung an die Gesundheitsbehörde zum Zweck des Contact-Tracing auf Verlangen der Bezirksverwaltungsbehörde. Jede darüber hinausgehende Verarbeitung der Daten (zB zu Werbezwecken) ist rechtswidrig.
Die Verordnung verpflichtet Verantwortliche zur Löschung/Vernichtung der Daten nach vier Wochen: zB Daten vom 28.9.2020 sind am 26.10.2020 zu löschen. Hier ist darauf zu achten, dass dies tatsächlich durchgeführt wird, da eine weitere Aufbewahrung rechtswidrig ist.
Art der Erhebung
Die Verordnung selbst stellt keine Anforderungen an eine bestimmte Form, wie die Daten erhoben werden sollen. Dies kann durch Formblätter (wie zB das Muster der Stadt Wien) erfolgen oder aber auch durch digitale Lösungen.
Dringend abzuraten ist von öffentlich aufliegenden Listen, in welche sich Gäste eintragen müssen. Diese entsprechen nicht den datenschutzrechtlichen Anforderungen.
Sicherheitsmaßnahmen
Bei der Verarbeitung personenbezogener Daten müssen vom Verantwortlichen angemessene Sicherheitsmaßnahmen eingehalten werden. Bei Formblättern betrifft dies hauptsächlich den Zugang zu diesen. Idealerweise ist dieser auf eine oder wenige Personen beschränkt. Praktisch umsetzen lässt sich dies zB mit einem versperrbaren Briefkasten, in welchen die Blätter vom Personal oder auch den Gästen eingeworfen werden können. Diese können dann von einer verantwortlichen Person am Ende des Tages entleert und abgelegt werden.
Bei digitalen Lösungen ist ebenfalls darauf zu achten, dass der Zugriff auf die erhobenen Daten möglichst beschränkt ist.
Gästeinformation
Um den Informationsverpflichtungen der DSGVO zu entsprechen, muss der Verantwortliche bei der Erhebung der Daten eine Datenschutzerklärung bereitstellen. Sie muss verständlich darüber informieren, welche Daten von wem für welchen Zweck verarbeitet und an wen übermittelt werden. Ein Beispiel wäre:
“[Name, Anschrift, falls vorhanden Kontaktdaten eines Datenschutzbeauftragten] verarbeitet Ihren Vornamen, Namen, E-Mail Adresse und Telefonnummer aufgrund einer rechtlichen Verpflichtung (§ 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 vom 25.09.2020) und muss diese auf Verlangen der Bezirksverwaltungsbehörde an die zuständige Gesundheitsbehörde zu Zwecken des Contact-Tracing übermitteln. Wir löschen Ihre Daten nach vier Wochen. Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer Daten. Wenn Sie der Meinung sind, dass wir Ihre Rechte verletzen, so können Sie Beschwerde bei der Österreichischen Datenschutzbehörde einbringen.”
Eintrag im Verarbeitungsverzeichnis
Jeder Verantwortliche muss ein Verzeichnis über alle von ihm getätigten Verarbeitungstätigkeiten führen. Hier ist auch die Verarbeitung für Contact-Tracing aufzunehmen. Ein Eintrag sollte zumindest folgende Informationen umfassen:
Verarbeitungszweck | Kategorie betroffener Personen | Empfängerkategorien | Löschfrist | Technische und organisatorische Sicherheitsmaßnahmen |
Contact-Tracing aufgrund einer rechtlichen Verpflichtung aus § 5 Abs 3 Epidemiegesetz iVm Verordnung der MA 15 vom 25.09.2020 | Gäste | Gesundheitsbehörden auf Verlangen der Bezirksverwaltungsbehörden | 4 Wochen | Beschränkung der Zugriffsrechte durch versperrte Aufbewahrung |
PwC Legal berät Sie gerne bei rechtlichen Detailfragen.
Diese Vorgabe kann auch als Chance gesehen werden, das Kundenerlebnis vor Ort zu steigern und Lokalbesuche unkompliziert und diskret zu gestalten. Wie diese Chance strategisch als auch mittels Tool genutzt werden kann, dabei unterstützen gerne unsere Kollegen von Digital Consulting.