Datenabgabe in Restaurants. Bedienung mit Maske
Datenabgabe in Restaurants. Bedienung mit Maske
Photo by David Emrich on Unsplash

Muss ich meine Daten im Restaurant oder beim Friseur angeben? — Corona und DSGVO

Patrick Grihn
May 12, 2020 · 3 min read

Seit dem 11.05.2020 dürfen Restaurants wieder öffnen. Durch den Föderalismus in Deutschland gibt es in jedem Bundesland unterschiedliche Richtlinien und Regelungen. Kunden/Nutzer werden häufig nicht wirklich vor die Wahl gestellt, sondern bekommen eine Liste vorgelegt und werden darauf hingewiesen, das dies Pflicht sei. Aber ist das so?

TL:DR (wie immer): Nein. Die Behörden sprechen davon, dass Besuche “nach Einholen des Einverständnisses” zu dokumentieren sind. Bei Restaurants ist die Erfassung durch Listen und die Aufbewahrung für vier Wochen als Auflage formuliert, allerdings ebenfalls mit einem Verweis auf eine Einverständniserklärung.

Gesetzliche Vorgaben zu Zeiten des Corona-Virus

In der Gesetzesänderung zum 11.05.2020 heißt es “nach Einholen des Einverständnisses”. In der finalen Fassung (und nach Einschreiten der Landesbeauftragten für Datenschutz und Informationssicherheit [LDI] NRW) “nach Einholen des Einverständnisses zur Ermöglichung einer Kontaktpersonennachverfolgung”.

Vorgaben der DSGVO

  • Freiwillig
  • Transparent
  • Zweckgebunden
  • Jederzeit widerrufbar

Aus diesen Vorgaben ist klar erkennbar, dass keine Verpflichtung besteht, diese Listen auszufüllen. Hieraus könnten unter Umständen auch andere Daten gelesen bzw. interpretiert werden. Konkret steht ja die Frage im Raum, wer mit wem Kontakt hat. Bei manchen Kontakten kann es aber sein, dass es besser ist, dass diese nicht dokumentiert sind (z. B. Whistleblower, Rechtsanwälte usw.)

Was sagt die Aufsichtsbehörde?

  • Bei Take-Away, Lieferung oder ähnlichem ist die Liste weder vorgesehen, noch gestattet, da nicht notwendig. In keinem Fall darf eine Eintragung in der Liste zur Bedingung für einen Besuch, eine Bestellung o. ä. gemacht werden.
    Aber: Sollte das Ordnungs- bzw. Gesundheitsamt oder eine andere Behörde eine Anordnung treffen, wäre dies erforderlich.
    Diese Informationen gibt es bei zuständigen Behörden
  • Bei Friseuren, Fußpflegern, Kosmetikbetrieben sowie Nagelstudios darf eine Liste angelegt werden. Die Betonung liegt auf darf. Grundlage ist die Anlage zur CoronaSchutzVerordnung (CoronaSchVO)
  • Zur Gastronomie gibt es ebenfalls die Aussage, dass eine Liste samt Einverständniserklärung bereitliegen muss

Außerdem darf die Liste nicht öffentlich ausliegen. Sie ist also entsprechend zu schützen und vom Personal auszufüllen oder in Einzelblättern pro Kunde einzuholen.

Solange diese Voraussetzung jedoch fehlt, ist die Kontaktdatenerfassung bei der Belieferung mit Speisen oder beim Außer-Haus-Verkauf unzulässig.

Wir sehen hier also einen ähnlichen Weg, wie bei den aktuell diskutierten Corona-Tracing-Apps:
Die Behörden setzen auf Freiwilligkeit und den Verstand der Bürger. Zwangsmaßnahmen sind diese Listen also nicht.

Welche Daten dürfen in Kontaktlisten erfasst werden?

Folgende Auflistung kann als Orientierung dienen:

  • Name
  • Mobiltelefonnummer oder E-Mail Adresse (zur direkten und schnellen Kontaktaufnahme)
  • Postadresse

Weitere Daten sind nicht erforderlich. Insbesondere keine Geburtsdaten, Alter oder Ausweisdaten.

Gibt es Alternativen zu Listen in der Gastronomie oder beim Friseur?

Im Übrigen ist es auch möglich, dass z. B. die Daten der Reservierung/Buchung genommen werden, sofern davon auszugehen ist, dass sich die Personen untereinander kennen oder sämtliche Daten dort eingegeben werden. So kann über die Reservierung und den Kassenbeleg die Aufenthaltsdauer ermittelt werden.

Wir wurden auf ein interessantes Projekt aufmerksam gemacht, welches Gastronomen erleichtern und den Gästen sichererer und einfacher machen soll, die Nachverfolgung zu ermöglichen und damit den gesetzlichen Anforderungen zu folgen, gleichzeitig jedoch möglichst sicher und datensparsam zu sein.

Hier der Link zur App: https://www.recoverapp.de/

[UPDATE 15.05.2020]Der Anbieter nutzt hier eine asymmetrische Verschlüsselung, wodurch selbst dieser die Daten nicht entschlüsseln kann. Hierauf machte uns der Hersteller aufmerksam (Siehe Kommentar). Hierdurch werden die Daten tatsächlich geschützt und können nicht eingesehen werden. [/UPDATE]

Voraussetzung ist jedoch, dass der Gastronom die entsprechende App anbietet, also sich dort einträgt/registriert.

DSB Ruhr

DSB Ruhr bietet Informationen zum Thema Datenschutz…

Patrick Grihn

Written by

Experte für Datenschutz, Auditor, ext. Datenschutzbeauftragter, Entrepreneur, Data-Privacy-Officer

DSB Ruhr

DSB Ruhr

DSB Ruhr bietet Informationen zum Thema Datenschutz, Datensicherheit sowie externe Datenschutzbeauftragte. [EN] DSB Ruhr is a company for Data Protection and Privacy, providing informations and Guidelines to the GDPR of Europe & national Laws of Germany.

Patrick Grihn

Written by

Experte für Datenschutz, Auditor, ext. Datenschutzbeauftragter, Entrepreneur, Data-Privacy-Officer

DSB Ruhr

DSB Ruhr

DSB Ruhr bietet Informationen zum Thema Datenschutz, Datensicherheit sowie externe Datenschutzbeauftragte. [EN] DSB Ruhr is a company for Data Protection and Privacy, providing informations and Guidelines to the GDPR of Europe & national Laws of Germany.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store