Haufe Online Redaktion
Haufe Online Redaktion
Bußgeld für Datenschutzverstöße bei Corona-Listen der Gastronomie
Bild: Haufe Online Redaktion In der Gastronomie muss nicht nur desinfiziert und maskiert werden, auch Datenschutz bei derfassten Gästedaten ist Pflicht.

Gaststätten müssen seit Monaten Kontaktlisten führen, um eine Nachverfolgung von Infektionsketten zu ermöglichen. Mittlerweile häufen sich Beschwerden bei den Datenschutzbehörden, dass bei Erfassungen der Gästedaten der Datenschutz nicht beachtet wird. Stichproben in Gewerbe- und Gaststättenbetrieben ergaben in zwischen 30 bis über 50% der Fälle Verstöße wie etwa offen ausliegende Listen. Nun drohen die Behörden mit Geldbußen und machen Nachkontrollen. 

Schon seit einigen Monaten sind Gastronomie-Betriebe dazu verpflichtet, von ihren Gästen Kontaktdaten zu erfassen, um im Falle einer Corona-Infektion von Mitarbeitern oder anderen Gästen alle weiteren potenziell gefährdeten Personen ausfindig machen und informieren zu können. Entsprechende Regelungen gibt es in den Corona-Schutzverordnungen der Bundesländer, wobei es von Bundesland zu Bundesland unterschiedliche Details gibt, etwa zum Umfang der zu erhebenden Daten oder zur den Löschungsfristen.

DSGVO-Regeln sind auch bei Erhebung der Kontaktdaten durch Lokale zu beachten

Auch bei der Erhebung und Speicherung der Daten über diese Gästelisten sind die Vorgaben der Datenschutzgrundverordnung zur Verarbeitung von personenbezogenen Daten zu beachten.

  • Informationspflichten:

Dazu gehören etwa die umfangreichen Informationspflichten die bei der Verarbeitung von personenbezogenen Daten Pflicht sind. Zu diesen Informationen gehören etwa Angaben zum Verantwortlichen, zur Rechtsgrundlage, auf der diese Datenerfassung beruht, zum Zweck der Datenerhebung oder auch zur Dauer der Speicherung. Diese Informationen werden aber nicht regelmäßig erteilt.

  • Sicherungs- und Löschpflichten

Zudem ist sicherzustellen, dass die erhobenen Daten nicht für unbeteiligte Dritte zugänglich sind und auch sicher aufbewahrt werden und nach Ablauf der Aufbewahrungsfrist, sicher gelöscht werden. Dafür reicht es beispielsweise nicht aus, Papierformulare mit Kontaktdaten einfach zu zerreißen und im Altpapier oder Restmüll zu entsorgen, sondern es muss ein geeigneter Aktenvernichter zum Einsatz kommen.

  • Zweckbindung:

Ebenso selbstverständlich ist, dass die Daten ausschließlich für den ursprünglichen Zweck verwendet werden dürfen.Fraglich ist hier schon, ob die Polizei zur Strafverfolgung Einsicht nehmen darf, sicher dürfen die Daten nicht in eine Kundenkartei für Werbezwecke wandern).

In der Praxis werden die meisten Listen in schriftlicher Form erstellt, etwa in dem die Besucher ihre Kontaktdaten auf einem Formular eintragen. Es gibt mittlerweile auch elektronische Lösungen, die ebenfalls genutzt werden dürfen, sofern sie die Datenschutzvorgaben einhalten.

Wachsende Anzahl von Beschwerden geben Hinweise auf zahlreiche Verstöße

Bei den Datenschutzbehörden der Länder häufen sich mittlerweile allerdings Beschwerden über Verstöße bei der Erfassung der Kontaktdaten. Häufig geht es dabei um offen ausgelegte Listen, etwa im Eingangsbereich, in die sich die Gäste eintragen sollen. Hier sind die Kontaktdaten völlig ungeschützt und für nachfolgende Gäste direkt einsehbar, sodass ein Missbrauch der Daten jederzeit möglich ist.

In Hamburg hatte der dortige Datenschutzbeauftragte nach etlichen Beschwerden bereits im Juni eine Stichprobe bei etwa 100 Gewerbe- und Gaststättenbetrieben durchführen lassen und dabei in jedem dritten Fall Verstöße wie etwa solche offen ausliegenden Listen feststellen müssen. Die Betriebe wurden daraufhin auf die Mängel aufmerksam gemacht und aufgefordert diese abzustellen.

Nachkontrollen durchgeführt und Bußgeldverfahren eingeleitet

Bei nun durchgeführten Nachkontrollen zeigte sich erfreulicherweise, dass die meisten der beanstandeten Betriebe den Aufforderungen der Datenschutzbehörde zur Nachbesserung gefolgt waren und die Vorgaben mittlerweile einhalten. In immerhin vier Fällen erwiesen sich die Betreiber jedoch als beratungsresistent und hier sollen nun Bußgeldverfahren nach der DSGVO eingeleitet werden, die aufgrund des seit zwei Jahren deutlich erhöhten Strafrahmens für die Betroffenen überaus spürbar ausfallen könnten.

Auch in Brandenburg hatten Stichproben bei über 50 Gaststätten eher ernüchternde Resultate erbracht, waren doch in mehr als der Hälfte dieser Betriebe Verstöße festgestellt worden. So wurden hier oftmals zu viele Daten abgefragt und Löschfristen missachtet. Derzeit prüft die dortige Datenschutzbeauftragte, ob in einigen Fällen, bei denen schwerwiegende Verstöße festgestellt worden waren, eine förmliche Verwarnung ausgesprochen werden soll oder sogar weitere Maßnahmen notwendig sind.

Hilfestellungen für Corona-Gästelisten wie etwa Musterformulare oder Checklisten: Download 

Viele Datenschutzbehörden der Länder bieten auch zu den Corona-Gästelisten Hilfestellungen wie etwa Musterformulare oder Checklisten an, so etwa der Hamburger Datenschutzbeauftragte Auf den jeweiligen Websites der für Sie zuständigen Länderbehörde sollten Sie daher bei entsprechendem Informationsbedarf schnell fündig werden.

Vgl. zu dem Thema auch:

Polizei-Zugriff auf Corona-Gästelisten in Restaurants bleiben umstritten

Aktuelle Corona-Schutzmaßnahmen und der Datenschutz

Welche Behördenmaßnahmen zum Coronavirus sind zulässig

Hintergrund: DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere  Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.

Schlagworte zum Thema:  Coronavirus
Meistgelesene beiträge
Neueste beiträge