Verordnung zur Bekämpfung der Corona-Pandemie vom 15. Mai 2020 und verpflichtende Kundendatenverarbeitung für Gastronomen

Mit der novellierten Fassung der Verordnung zur Bekämpfung der Corona-Pandemie vom 15. Mai 2020 (VO-CP) hat die Landesregierung mit Wirkung zum 18. Mai 2020 eine landesrechtliche Regelung zur Erhebung und Speicherung von Kundendaten durch Gastronomiebetreiber geschaffen.

Nach Maßgabe des § 7 Abs. 1 Nr. 4 VO-CP in Verbindung mit Ziffer II. des Hygieneplans der saarländischen Landesregierung für Gaststätten und Beherbergungsstätten sind durch Gastronomen Name, Vorname, Wohnort und Erreichbarkeit in Form einer Telefonnummer oder der E-Mail-Adresse je eines Vertreters der anwesenden Haushalte sowie deren Ankunftszeit zu erheben und für die Dauer eines Monats zu speichern. Aus datenschutzrechtlicher Sicht ist aufgrund dieser gesetzlich normierten Pflicht die mit dieser Regelung verbundene Verarbeitung von Kundenkontaktdaten nach Art. 6 Abs. 1 lit. c in Verbindung mit Abs. 2 und 3 DSGVO legitimiert.

In welcher Form diese Pflicht zur Datenverarbeitung umgesetzt wird, bleibt letztlich dem jeweiligen Gastronomiebetreiber überlassen. So könnte bspw. - unter Verwendung der regelmäßig vorhandenen Reservierungsbücher - eine schriftliche Notiz bereits im Rahmen der Reservierung erfolgen oder die Gäste beim Eintreffen in dem Betrieb erfasst werden. Sofern bereits Online-Reservierungssysteme gegeben sind, könnten bspw. auch über diese die notwendigen Kontaktdaten der Kunden abgefragt werden. Für jeden einsehbare oder unbeaufsichtigt ausliegende Gästelisten bzw. ein Scannen, Kopieren oder Fotografieren von Ausweisdokumenten sind allerdings nicht als datenschutzrechtlich zulässig zu erachten.

Im Hinblick auf den Zweck der Verarbeitungspflicht, den Gesundheitsämtern die Nachverfolgbarkeit von Infektionsketten zu ermöglichen, sind die erhobenen und gespeicherten Kundenkontaktdaten für den Fall, dass das zuständige Gesundheitsamt diese anfordert, zu übermitteln. Die Anforderung des Gesundheitsamts selbst ist zu dokumentieren. Die Daten sollten dabei nur auf einem sicheren Übertragungsweg (per Post, per Fax oder per E-Mail mit Ende-zu-Ende-Verschlüsselung) zur Verfügung gestellt werden.

Soweit eine Speicherung der so erhobenen Kundenkontaktdaten für einen Monat nach dem Besuch des Gastronomiebetriebs erfolgen muss, ist darauf zu achten, dass die gespeicherten Daten fristgerecht vernichtet bzw. gelöscht werden; beispielsweise durch Schreddern von papiergeführten Erfassungslisten oder durch Löschen bei digitaler Speicherung.

Absolut unzulässig ist eine zweckwidrige Weiterverarbeitung der Kundenkontaktdaten, wie beispielsweise eine Verwendung oder Weitergabe für Werbezwecke.

Die betroffenen Kunden sind durch Informationen im Sinne des Art. 13 DSGVO über Zweck und Ausgestaltung der Datenverarbeitung zu informieren (siehe Muster).