Datenschutz beim Date: Gästedokumentation in Bars in Corona-Zeiten
Wie alle anderen Gastronomen müssen auch Barbetreiber dokumentieren, wer sich wann bei ihnen aufgehalten hat. Das birgt Risiken beim Datenschutz – und der ist ernst zu nehmen. Wir haben einen Überblick zusammengestellt, auf welche Knackpunkte es bei Gästedokumentation in Bars zu achten gilt.
In der Militärsprache gibt es den Begriff vom Zwei-Fronten-Krieg. Nun sind Kriegsmetaphern im Journalismus zumindest außerhalb der britischen Sport-Presse meist eher unangemessen. Aber manchmal drängen sie sich auf, so wie aktuell bei der Dokumentationspflicht für Gastronomen im Zuge des „Reboot“ nach dem Corona-Lockdown: Wirte dürfen zwar ihre Türen wieder aufsperren, müssen aber – neben all den anderen Beschränkungen, die es zu beachten gilt – gleichzeitig lückenlos nachweisen können, wer sich in ihrem Gastraum aufgehalten hat. Im Fall neu infizierter Personen soll diese Dokumentation dabei helfen, Infektionsketten von Covid-19 besser nachverfolgen zu können und Gäste, die zum selben Zeitpunkt vor Ort waren, gezielt in Quarantäne schicken zu können.
Und diese Anforderung wird (all die anderen Schlachten, die Barbetreiber derzeit schlagen müssen, einmal außer Acht gelassen) sehr schnell zum Zwei-Fronten-Krieg.
Dokumentation von Gästedaten: Ist der Wirt nachlässig, kann er belangt werden. Doppelt.
Denn es gilt: Kommen Wirte dieser Verpflichtung zur Dokumentation nicht den Vorschriften entsprechend nach, sind ihre Säumnisse sanktionierbar, zum Beispiel durch schmerzhafte Bußgelder. Traurigerweise hört man bereits jetzt auch immer wieder von Gaststätten, die dieser Pflicht nicht umfänglich oder gar nicht nachkommen. Das ist nicht nur für den jeweiligen Betrieb ungünstig, weil er sich angreifbar macht; es schadet auch den Läden, die sich den Vorschriften beugen, weil Gäste ihnen dann vorhalten: „Im anderen Restaurant gestern Abend mussten wir aber nichts ausfüllen!“
Doch damit aber nicht genug, womit die zweite Front entsteht – im Datenschutz. Denn dem Wirt als Gewerbetreiber obliegt die Pflicht, die zu erhebenden Daten gemäß den Vorschriften zu verarbeiten, primär also entsprechend der Datenschutz-Grundverordnung (DSGVO). Begeht der Wirt hier Unsauberkeiten oder gar handfeste Irrtümer, können ebenfalls Sanktionen folgen.
Registrierung von Gästen im Restaurant: die Basics
Schauen wir zuallererst auf die Ausgangssituation, also das, was der Wirt tun muss, um seiner Dokumentationspflicht nachzukommen. Leider ist es, wie so oft im bundesdeutschen Föderalismus, kaum möglich, Aussagen zu formulieren, die für ganz Deutschland gelten. Die Regelung und Anwendung der Dokumentationspflicht liegt auf Ebene der einzelnen Bundesländer. In Sachsen beispielsweise ist die Registrierung zwar nicht vorgeschrieben, sie wird aber von den Behörden ausdrücklich empfohlen. Grundsätzlich gelten aber mehr oder weniger identisch überall folgende Pflichten bzw. Richtlinien:
– Der Betrieb muss die Anwesenheit jedes Gastes dokumentieren, der vor Ort bewirtet wird. Zu den erforderlichen Informationen zählt im Normalfall der Name sowie eine valide Kontaktmöglichkeit des Gastes (also z.B. postalische Adresse, Email-Adresse oder Telefonnummer).
– Zusätzlich muss verzeichnet werden, an welchem Datum der Gast vor Ort war, außerdem die Zeit seines Eintreffens und seines Verlassens.
– Die erfassten Informationen sind tageweise zu bündeln und müssen für einen bestimmten Zeitraum (je nach Bundesland ist von „1 Monat“ oder „4 Wochen“ die Rede) aufbewahrt werden, um im Fall der Fälle abrufbar zu sein.
– Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu vernichten. Wichtig im Fall von Listen auf Papier: Die einfache Entsorgung im Papiermüll ist keine Vernichtung. Bei Entsorgung im Abfall muss das Material geschreddert oder anderweitig unbrauchbar gemacht werden.
– Die Herausgabe der einschlägigen Daten ist ausschließlich an das Gesundheitsamt (im Normalfall) gestattet, und zwar nur dann, wenn der Verdacht besteht, ein Corona-Patient habe sich im Lokal aufgehalten.
Mit dem Datenschutz ist nicht zu spaßen
Das klingt zunächst einmal simpel, und in einer einfacheren Realität wäre es das auch: Kladde auf den Tresen, Kugelschreiber daneben, und alle Gäste können selbstständig „einchecken“. Doch in einer Zeit, in der praktisch jedes Grundschulkind schon in Anklängen mit Richtlinien des Datenschutzes vertraut ist, lauern an dieser Stelle einige Stolpersteine. Wir haben die wichtigsten davon zusammengefasst:
– Die Grundlagen aller Datenerhebung und -verarbeitung regelt vor allem Artikel 5 am Anfang des II. Kapitels der DSGVO. Unter Ziffer 1b ist dort z.B. explizit die Rede vom „eindeutigen Zweck“ einer Datenerhebung. Dies besagt etwa, dass der Wirt die Informationen, die er aufgrund der gegebenen Vorschriften erhebt, keinesfalls zu einem anderen Zwecke verwenden darf. Die Übertragung gesammelter Email-Adressen in den eigenen Newsletter-Verteiler wäre dort ein klassisches Beispiel für einen Verstoß.
– Artikel 5, Ziffer 1c, weist zudem auf das Prinzip der sogenannten „Datenminimierung“ hin: Es besagt, dass der Erheber von Daten (also der Wirt) diese stets nur im möglichst geringen Umfang zu Erfüllung des Zwecks sammeln soll. Entsprechend sichert sich der Wirt hier beispielsweise ab, indem er von seinen Gästen nur eine Kontaktmöglichkeit (also z.B. Postanschrift oder Telefonnummer) dokumentiert.
– Von zentraler Bedeutung ist es zudem, dass der Wirt den Artikel 13/DSGVO beachtet und umsetzt. Dieser Abschnitt setzt sich mit den sogenannten Rechten des Betroffenen (also in diesem Fall der Gast) auseinander und nimmt den Erheber der Daten (also den Wirt) in die Auskunftspflicht etwa darüber, zu welchem Zweck die Daten erhoben werden. Missachtungen bzgl. Art. 13 sind der häufigste Ansatzpunkt für Beschwerden von Betroffenen sowie Kritik durch Aufsichtsbehörden.
– Der Wirt muss gewährleisten, dass kein Gast Einsicht in die Daten anderer Gäste nehmen kann. Die simple, offen ausliegende Liste zum Self-Check-in scheidet also spätestens an dieser Stelle aus.
Die Landesbeauftrage für den Datenschutz in Schleswig-Holstein weist zudem etwa darauf hin, dass eine solche, tageweise geführte Liste streng genommen ebenfalls nicht aussagen darf, wie die Namen der sich aktuell im Gastraum befindlichen Personen lauten.
Wichtig: Stifte und sonstige Schreibgeräte müssen desinfiziert werden!
– Die schlichte, auf Papier geführte Tagesliste ist grundsätzlich legitim. Sie muss dann allerdings vom Servicepersonal geführt und unter Verschluss gehalten werden, wie z.B. das Bayerische Landesamt zur Datenschutzaufsicht klarstellt.
– Unter andern brachte der nordrhein-westfälische Landesbeauftragte für den Datenschutz außerdem das Modell ins Spiel, dass der Wirt auf jeden freien Tisch ein leeres Formular legt, auf dem sie Gäste sich beim Platznehmen eintragen und beim Verlassen des Lokals die Uhrzeit eintragen können. Hier kann man sich mit einem sogenannten „Briefkastenmodell“ absichern: Die Gäste tragen sich beim Kommen auf dem leeren Formular am Tisch ein, wenn sie das Lokal verlassen, tragen sie die Uhrzeit ein. Das fertige Formular deponieren sie dann beim Verlassen in einem geschlossenen Behältnis.
– Bei allen Modellen, innerhalb derer die Gäste selbst ein Formular ausfüllen, muss vom Servicepersonal penibel auf eine fortwährende, gründliche Desinfektion der Schreibgeräte geachtet werden.
– Das Abfotografieren von Personalausweisen ist nicht nur aus datenschützerischer Sicht hochproblematisch, sondern bei strenger Betrachtung sogar illegal. Von dieser Variante sollte in jedem Fall Abstand genommen werden.
Gästedokumentation in Bars: doch lieber digital?
Parallel bieten bereits mehrere Firmen speziell für diese neuartigen Erhebungszwecke entwickelte Software bzw. Apps an, zwei der bekanntesten unter ihnen sind aktuell Visito und Digital Waiter. Sie sollen einen für die Gäste und Mitarbeiter möglichst schnellen und diskreten Check-in via Smartphone oder Tablet gewährleisten. Dennoch gilt es selbst im Jahr 2020 zu bedenken: Eventuell kommt auch mal ein Gast ohne mobiles Endgerät in die Bar. Oder er möchte sich nicht auf elektronischem Wege registrieren. Einige Exemplare für die klassische Papier-Dokumentation sollten also immer vorrätig sein.
Gleichzeitig ist auch häufiger die Rede davon, dass z.B. auch digitale Reservierungs-Tools die Aufgabe der Dokumentation erledigen können. Dazu merken Datenschützer jedoch unterschiedliche, folgende Bedenken an:
– Reservierungs-Apps speichern die Gästedaten teilweise an datenschutzrechtlich problematischen Orten (ein Problem, das bei allen elektronischen Lösungen mitgedacht werden muss).
– Mitunter werden Daten länger gespeichert als erlaubt bzw. nicht automatisch nach Ablauf der erforderlichen Frist gelöscht.
– In manchen Fällen werden die Daten nicht mit End-to-End-Verschlüsselung übertragen.
– Es muss dringend überprüft werden, ob sich der Dienstanbieter in den AGB eine Drittverwendung der Daten einräumt.
Ja, es stimmt: Schon das Tippen einer solchen Liste kann entmutigend sein, erst recht das Lesen. Denn eigentlich sehnt sich doch jeder Barbetreiber danach, einfach die Tür aufzumachen, endlich wieder ein paar Leuten einen schönen Abend zu bereiten und wenigstens ein kleines bisschen Umsatz zu erwirtschaften. Und so muss es derzeit wohl sein, dass sich ein Pärchen beim Date vorm ersten Drink zunächst gemeinsam mit dem Bartender dem Datenschutz zuwenden muss.
Ein paar kleine gute Neuigkeiten gibt es aber auch: Entgegen mancher Gerüchte ist der Gastwirt im Normalfall nicht dazu verpflichtet, die Richtigkeit der von den Gästen gemachten Angaben zu überprüfen. Lediglich im Falle begründeter Zweifel ist er angehalten, sich die Angaben z.B. durch die Vorlage des Ausweises bestätigen zu lassen. So lange die Gäste also nicht gerade behaupten, „Donald Duck“ oder „Clint Eastwood“ zu heißen, ist der Bartender da nicht in der Pflicht. Übrigens muss er ebenso wenig absichern, ob nicht zu viele Haushalte gleichzeitig an einem Tisch sitzen. Wenigstens eine Front, an der die Schlacht gerade ruht.
Dieser Beitrag ist entstanden unter Mitarbeit von Susanne Baró Fernández.
Credits
Foto: AdobeStock/edward_indy
Clemens Bergbauer
Um genau diese Problematik haben wir, von Weder & Noch, Gedanken gemacht. Leider nehmen viele Gastronomen genau diese Problem nicht erst. Für die, die es tun: unter http://www.gastregister.de sind alle DSGVO Richtlinien abgedeckt 😉
Lu
Was ist denn wenn der Gast seine Angaben verwehrt, verweise ich ihn dann der Bar oder darf er das?! Die Frage ist tatsächlich Diskussion an einigen Tresen und Kollegen und fand bis jetzt keine sinnvolle Antwort
Mixology
Liebe Lu,
eine gute Frage, die sich derzeit sicherlich viele Gastronomen berechtigterweise Stellen. Die Beantwortung muss sicherlich streng genommen auf Landesebene erfolgen (siehe z.B. das im Text genannte Beispiel Sachsen).
Grundsätzlich sollte sich der Gastronom wohl aber lieber absichern und dementsprechend in solch einem Fall die Bewirtung verweigern. Das ist natürlich extrem ungünstig, da man jeden Euro Umsatz braucht. Aber auf lange Sicht wahrscheinlich sinnvoller, auf einen verkauften Drink zu verzichten als sich juristisch angreifbar zu machen.
Und natürlich darfst Du die Bewirtung aus solch einem Grund verweigern. Selbst wenn Du unsicher bist, ob der Gast seine Daten vorenthalten darf, hält die Bar das Hausrecht.
Liebe Grüße
// Nils
Steffen
Wir gehen mit https://corona-anmeldung.de noch einen Schritt weiter und möchten nicht nur Datenschutz und Umweltschutz gewährleisten, sondern bieten zusätzlich dem Barbetrieb die Möglichkeit, seine Getränke- oder Speisekarte dem Gast nach der Registrierung digital zu präsentieren, sodass dieser diese im Anschluss der Registrierungspflicht online abrufen kann.