Ja, eine lange Zeit ohne Datenschutz-Blog! Aber nachdem im März der Katastrophen-Fall ausgerufen und umfassende Maßnahmen und Beschränkungen (inkl. Lockdown) in Kraft traten, hatten die meisten Menschen erstmal ganz andere Sorgen als den Datenschutz.
Dabei hat gerade die Corona Pandemie neue Fragen und Problematiken in diesem Bereich eröffnet.
Keine Angst, ich will jetzt nicht nochmals durchkauen, was in den vergangenen Wochen zu den verschiedenen Themen wie Corona-App, Home-Office, Beschäftigten-Datenschutz/Corona etc. bereits berichtet wurde.
Nur ein kleines Beispiel aus der Praxis. Kürzlich berichtete der NDR (Norddeutscher Rundfunk) in einem Beitrag davon, dass bei der Datenschutzbeauftragten in Schleswig-Holstein immer mehr Beschwerden eingehen. Daten, die bei Restaurant-Besuchen dort von den Gästen registriert werden mussten, wurden wohl nicht ganz korrekt erhoben bzw. verwendet.
Meine eigene Erfahrung: Bei einem Raststätten-Besuch durfte ich meine Daten (Name, Vorname, Adresse, Datum/Uhrzeit des Besuchs und Mobil-Nummer/Telefon-Nummer) zwar selbst in ein einzelnes Kärtchen eintragen. Dieses war aber in einen Plexiglas-Kasten zu werfen. Auch keine Optimal-Lösung, aber weit entfernt von wirklich schlechten Lösungen wie Listen, in die sich Gäste nach und nach eintragen.
Klar ist - da wurde nicht sauber gearbeitet. Klar ist aber auch - bereits das Registrieren der Gäste wird von den meisten Betreibern als lästige Bürde angesehen. Dann auch noch Datenschutz obendrauf. Das ist eine erhebliche Verantwortung.
Aber nun mal zu einem Rand-Aspekt des Datenschutzes:
Wie ist das nun bei den Restaurant-Betreibern, die jetzt regelmäßig die personenbezogenen Daten ihrer Gäste erheben und speichern? Sind diese verpflichtet, ein Verarbeitungsverzeichnis für diese Verarbeitung zu führen?
Meine Auslegung: ja
Warum bin ich dieser Ansicht: Art. 30 Abs. 1 DSGVO sagt im ersten Satz "Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen."
Und die Ausnahme für Unternehmen unter 250 Mitarbeitern (abgesehen davon, dass diese in einem normalen Restaurant-Betrieb aufgrund der regelmäßigen Lohn-Abrechnungen bereits hinfällig sein dürfte) gilt schon deshalb nicht, weil Art. 30 Abs. 5 DSGVO die Ausnahme von der Ausnahme formuliert: "..es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich...".
Und das Beispiel mit den Beschwerden oben zeigt durchaus, dass es ganz praktische Risiken für die Rechte und Freiheiten der Betroffenen gibt.
Aber es gibt auch Kollegen, die der Ansicht sind, dass die Verarbeitung nicht den Kriterien des Art. 2 Nr. (1) DSGVO entspricht, wenn sie mittels einzelner Zettel manuell durchgeführt wird.
Dann machen wir doch eine App dazu!
Nun gibt es da noch das Thema von Apps, die den Gastwirten die Registrierung der Gäste erleichtern sollen. So bietet z.B. die DEHOGA Bayern eine solche App in Zusammenarbeit mit der Bayerischen Digitalministerin und der AKDB an (darfichrein.de).
Einerseits natürlich eine gute Idee.
Andererseits stellt sich der Datenschützer die Frage, ob es für die (ja auch nur zeitlich begrenzte) Registrierung der Gäste während der Corona-Maßnahmen nicht "mildere" Maßnahmen (wie z.B. Registrierungs-Zettel) gibt.
Jedes Verfahren sollte darauf geprüft werden, ob es wirklich eine angemessen Maßnahme ist und ob es nicht datensparsamere und sicherere Verfahren gibt, die den gleichen Zweck erfüllen.
Für eine Corona-Gästeregistrierungs-App würde ich die Erforderlichkeit persönlich ein ganz klein wenig anzweifeln.
Ach ja - und was passiert eigentlich, wenn ein Gast eine Auskunft nach Art. 15 DSGVO an das Restaurant schickt? Da gibt es dann sicher einen vordefinierten Prozess für die Auskunftserteilung!
Ach was bin ich heute wieder übermütig...
Hinweis noch am Rande:
Egal ob Restaurant oder anderer Betrieb - bitte kommen Sie nicht auf die Idee, die Corona Warn App als Voraussetzung für das Betreten zu verlangen. Die Datenschutzkonferenz hat dazu klare Worte gesprochen.