Wer in Zeiten von Corona eine Gaststätte aufsucht, muss sich anders verhalten als zuvor.
Abstand, Mundschutz, Öffnungszeiten – einiges schränkt die Freude am Restaurant- oder Kneipenbesuch derzeit etwas ein.
Es ist aber nötig, wenn man den Einschätzungen der arrivierten Virologen trauen will.
Und das sollte man sollen.
Anonyme Alkoholika – nicht mehr überall
Kneipen sind Ländersache (Art. 70 Abs. 1 GG). Deshalb unterscheiden sich die Regeln von Bundesland zu Bundesland zum Teil ganz erheblich. Diese Unterschiede beziehen sich vor allem auf eine weitere Auflage in Corona-Zeiten: das Führen einer Gästeliste mit Namen, Anschrift und Telefonnummer sowie Anfang und Ende des Besuchs. Durchaus sensible Daten, die in Kombination Brisanz bergen, wenn sie in falsche Hände oder auf falsche Festplatten geraten. In Baden-Württemberg, Hamburg oder Hessen verpflichtend, machen andere Länder (etwa Brandenburg) keine Vorgaben dazu oder belassen es bei dringenden Empfehlungen (z.B. Bayern und Bremen).
Checkliste für Gästelisten
Viele Gastwirte stehen nun nicht nur vor dem Problem, die Gästelisten führen zu müssen (und damit potentielle Gäste abzuschrecken), sondern das auch noch datenschutzkonform zu bewältigen. Die dabei einschlägige EU Datenschutzgrundverordnung (DSGVO) ist für viele Neuland, denn sonst ist der reguläre Gaststättenbetrieb eine datenschutzrechtlich weitgehend unkritische Angelegenheit.
Was ist also zu tun? Zunächst gilt es freilich, nur so wenig Daten wie möglich zu erheben (Datenminimierung, Art. 5 Abs. 1 DSGVO). Daher ist das Fotokopieren oder Fotografieren des Personalausweises kein probates Mittel, weil so weit mehr Daten erhoben würden als erforderlich. Werden die Daten elektronisch aufgenommen (etwa im Zuge der Tischreservierung über die Internetseite der Gaststätte), muss gewährleistet sein, dass die Übertragung der Daten verschlüsselt geschieht und die Daten sicher gespeichert werden.
Schutz vor unberechtigtem Zugriff für die Dauer der Speicherfrist
Kein Unberechtigter darf Zugang zu den Daten haben – weder bei einer elektronischen Gästedatei noch bei einer Papierliste; entsprechende Vorkehrungen (Passwortschutz, sicheres Verschließen) sind zu treffen. Eine Papierliste darf also weder auf der Theke liegen, noch an den Tischen „umgehen“ (schon, weil damit ein gewisses Infektionsrisiko einherginge), sondern muss jedem Gast persönlich von einem Mitarbeiter des Gastronomiebetriebs vorgelegt werden.
Eine zeitnahe Löschung bzw. Vernichtung der Datenlisten liegt in der Natur der Zweckbindung der Daten (die Möglichkeit zur Information potentiell Betroffener bei aufgetretenen Neuinfektionen unter den Gästen). Die für diesen Zweck sachlich nötigen Aufbewahrungsfristen legen die Landesverordnungen unterschiedlich fest (drei Wochen sind es etwa in Bremen, vier Wochen in Baden-Württemberg). Nach Ablauf der Frist sind die Daten in jedem Fall rechtssicher zu löschen – nicht nur in den elektronischen Papierkorb zu verschieben, sondern auch dort „endgültig“ zu löschen; Papierlisten sind vor Entsorgung zu schreddern.
Vertrauensbildend – und vorgeschrieben: Die Information der Gäste
Es ist nicht nur eine vertrauensbildende Maßnahme, sondern vorgeschrieben (Art. 12 ff. DSGVO), dass die Gäste über Art und Umfang der erhobenen Daten informiert werden (Datenschutzerklärung auf der Internetseite, Informationsblatt vor Ort). Jeder Gast muss wissen, welche Daten aus welchem Grund erhoben werden und wie lange diese Daten gespeichert bleiben. Zudem ist auf die Rechte hinzuweisen, die jeder Gast als Betroffener i. S. d. DSGVO hat.
Der Beitrag stammt von unserem freien Autor Josef Bordat. Er ist Teil unserer Reihe “Berichte aus der Parallelwelt”. Dort werfen Autoren aus anderen Fachbereichen einen Blick auf die Rechtswissenschaft in Theorie und Praxis. Die Beiträge betrachten, anders als unsere sonstigen Fachbeiträge Begebenheiten und Rechtsfälle daher auch nicht juristisch, sondern aus einem völlig anderen Blickwinkel. Aus welchem, das soll der Beurteilung der Leser überlassen bleiben. Interessant wird es, wie wir meinen, allemal.