Von vielen befürchtet und nun auch aufgedeckt: der Hamburgische Datenschutzbeauftragte Johannes Caspar entdeckte bei einer Nachkontrolle, dass nicht alle Gastwirte die personenbezogenen Daten, die im Rahmen der Corona-Personenverfolgung abgegeben werden müssen, vertraulich behandeln.

Solche Nichtbeachtung der Datenschutzvorgaben rief zunächst nur Ermahnungen hervor, doch mittlerweile wird für das Zuwiderhandeln gegen die Bestimmungen der DSGVO mit Sanktionen bestraft.

Tägliche Beschwerden von Kunden

Datenschutzbeauftrage erreichen täglich unzählige Beschwerden von Kunden, die sich über offene Kontaktlisten beklagen. Diese, aufgrund von Corona-Bestimmungen zu erstellenden Listen, können einfach abfotografiert werden, da sie schlicht und einfach offenen und ungeschützt herumliegen. Kunden berichten auch, dass mit ihren Telefonnummern schon Missbrauch betrieben wurde. So kam es schon zu Werbeanrufen, Betrugsmaschen und auch Flirt-Anrufen bzw. Nachrichten.

Sogar die Polizei wollte bei einer Veranstaltung die Kontaktlisten abfotografieren und für ihren Prüfbericht benutzen. Die Veranstalter handelten aber richtig und lehnten die Herausgabe der Kontaktlisten ab. „Wir haben darauf aufmerksam gemacht, dass wir das nicht für rechtens halten, weil wir als Veranstalter dem Datenschutz unterliegen und die Listen alleine den Gesundheitsbehörden zur Nachverfolgung eventueller Infektionen zur Verfügung gestellt werden sollen.“ Das ist ein positives Beispiel für den korrekten Umgang mit Corona-Kontaktlisten, auch wenn die Polizei am Ende die Liste abfotografierte. 

Hier kann man ganz klar sagen: der Sinn und Zweck des Datenschutzes wird nicht mehr verfolgt, wenn für simple Prüfberichte die Kontaktlisten abfotografiert werden!

Stichproben in Gaststätten

Bei immer wieder durchgeführten Stichproben viel aber leider auf, dass die Daten von der Gaststätte nicht sachgerecht erhoben wurde und auch die Standards der DSGVO nicht eingehalten wurden. Das führte zur Einleitung von Bußgeldverfahren. 

Rechtliche Konsequenzen

Hält man sich nicht an die geltenden Vorgaben der DSGVO, drohen hohe Bußgelder! Bei schweren Verstößen können von den Aufsichtsbehörden Sanktionen von bis zu 4% der Einnahmen verhängen. 

Rechtstipp: Achten Sie bitte immer darauf die Corona-Kontaktlisten vertraulich zu behandeln. Erheben Sie nur die Daten, zu denen Sie laut Corona-Verordnung auch verpflichtet sind und achten auf die Einhaltung der Löschfristen.

Grundsätze zum Datenschutz

Müssen Sie aufgrund von Corona-Vorgaben personenbezogene Daten erheben, sollte sie zunächst auf die Zweckbindung dieser Datenerhebung achten. Das heißt, Sie sollten diese Daten zu keinem anderen Zweck benutzen, als für die Bereitstellung an das zuständige Gesundheitsamt. 

Des Weiteren sollten Sie auf die Transparenz achten. Genauer gesagt, informieren Sie Ihre Kunden über den Grund der Datenerhebung. 

Vielleicht der wichtigste Punkt ist, dass Sie diese Daten immer vertraulich behandeln müssen! Auf keinen Fall darf die Liste für andere Kunden zugänglich sein oder offen herumliegen.

Datenschutz verlangt auch immer, dass nur so wenig Daten wie möglich erhoben werden sollten. Daher achten Sie darauf, dass Sie wirklich nur die für die Kontaktliste erforderlichen Daten erheben. Es ist zB nicht die Identität der Person zu überprüfen. Das wäre rechtswidrig und würde im Zweifel zu Bußgeldern führen. 

Auch die Speicherdauer sollte immer eingehalten werden. Kontaktlisten sind 4 Wochen lang aufzubewahren und danach selbstständig zu löschen/ ordnungsgemäß zu vernichten.

Welche Rechte haben Betroffene?

Betroffene könnten auf Grundlage der DSGVO ihr Auskunftsrecht geltend machen. Danach hätten Betroffene auch ein Recht auf Berichtigung oder Löschung der personenbezogenen Daten. Betroffene könnten Sie auch verpflichten die Verarbeitung der personenbezogenen Daten einzuschränken. 

Allerdings könnten Betroffene kein Gebrauch von einem Widerspruchsrecht machen. Grund dafür ist, dass Sie aufgrund der Corona-Vorgaben dazu verpflichtet sind diese Daten zu erheben und für die vorgegebene Speicherdauer aufzubewahren.

Fazit

Die Erhebung von personenbezogenen Daten im Rahmen eines Restaurants- oder Barbesuchs, war eine Neuheit und kam sehr plötzlich. Die Corona-Kontaktlisten bürgen in Bezug auf die DSGVO die Gefahr, dass bei Zuwiderhandeln gegen Datenschutzvorgaben ein Bußgeld droht. Je nach Schwere des Verstoßes kann ein Bußgeld bis zu 4 % der Einnahmen betragen.

Sie haben Fragen zum Thema Datenschutz und Umgang mit Corona-Kontaktlisten? Melden Sie sich bei uns! Unser im Datenschutz spezialisiertes Team hilft Ihnen sehr gerne und steht Ihnen schnell und unkompliziert in allen rechtlichen Belangen zur Seite.

Lesen Sie auch unseren Artikel zum Thema „Alles über DSGVO-Bußgelder“