Anfang dieser Woche hat die Feststellung der Datenschutzbehörde, dass Gastronomen mit der Einhaltung der Wiener Gästeregistrierung gegen den Datenschutz verstoßen, für Aufregung gesorgt. Im STANDARD-Forum war dazu unter anderem zu lesen, der Zweck heilige in diesem Fall die Mittel, und in Zeiten der Pandemie solle man sich nicht mit datenschutzrechtlichen Spitzfindigkeiten und Formalismen aufhalten.

Mit dem Datenschutz ist es so eine Sache. Entstanden als Abwehrrecht gegen den Staat und mit der Zeit ausgeweitet gegenüber jedermann, erweist er sich auf den ersten Blick immer dann als besonders mühsam, wenn er Eingriffe in die Sphäre des Bürgers abwehren soll. Nun auch scheinbar in jenem Fall, in dem die Stadt vergisst, die vom Wiener Bürgermeister in der Pressekonferenz verkündete Datenerhebungspflicht der Gastwirte auch in der Verordnung niederzuschreiben, und in dem die Datenschutzbehörde entscheidet, dass diese Verordnung daher keine geeignete Eingriffsnorm für die Datenverarbeitung darstellen kann.

Zum Handkuss kommen nun jene Wirte, die im guten Glauben an eine bestehende rechtliche Verpflichtung die Kontaktdaten ihrer Gäste erhoben haben. Sie sitzen nun auf einem Haufen von Formularen mit Kontaktdaten, die sie weder erheben wollten noch erheben sollten und für deren Erhebung sie sich jetzt auch noch rechtswidriges Handeln vorwerfen lassen müssen. Schuld an der Misere sei die Datenschutzbehörde, die ihr Handwerk nicht verstehe, oder überhaupt die geradezu peinliche Versessenheit mancher Bürger auf rechtskonformes Handeln.

Versteht die Datenschutzbehörde ihr Geschäft wirklich nicht?

Das Datenschutzgesetz schreibt mit Bedacht auf das Grundrecht selbst, die Europäische Grundrechtecharta und die Europäische Menschenrechtskonvention vor, dass Eingriffe des Staates nur auf Grundlage von Gesetzen geschehen dürfen. Und diese Gesetze dürfen wiederum nur Maßnahmen beinhalten, die zum Schutz der Gesundheit auch wirklich notwendig sind. Dieser bewusste Umgang mit unseren Grundrechten ist es, der eine demokratische Gesellschaft ausmacht.

Auch hat die Datenschutzbehörde festgestellt, dass die Gästeregistrierungsdaten zu den Gesundheitsdaten zählen. Denn die erhobenen Daten dienen dazu, in potenziellen Covid-Verdachtsfällen über das mögliche Gesundheitsrisiko zu informieren. Das kann man kritisieren, ändert aber nichts an der Spruchpraxis der Behörde. Gesetzliche Eingriffe im Zusammenhang mit Gesundheitsdaten sind allerdings nur zulässig, wenn dies zur Wahrung eines wichtigen öffentlichen Interesses erforderlich ist und gleichzeitig der Datenschutz angemessen garantiert wird. Letzteres ist im gegenständlichen Fall nicht geschehen.

Unabhängig davon hat der Eingriff verhältnismäßig und deshalb insbesondere auf das gelindeste zum Ziel führende Mittel beschränkt zu erfolgen. Darüber hinaus muss Klarheit über Anlass und Zweck des Eingriffs, die betroffenen Personen, die Datenkategorien, die datenschutzrechtlichen Verantwortlichen, allfällige Übermittlungsempfänger und die Datensicherheitsmaßnahmen bestehen.

Was heißt das für die Gästeregistrierung?

Es bedarf eines Gesetzes, das die Verarbeitung von Daten der Gastro-Besucher regelt. Eines Gesetzes, das in unserer demokratischen Gesellschaft zum Schutz der Gesundheit in dieser Pandemie notwendig ist. Und wir stellen fest: Ein solches Gesetz haben wir nicht.

Nicht verzagen, der Eingriff in die Privatsphäre des Bürgers ist auch im Verordnungsweg erlaubt. Aber nur in jenen Fällen, in denen ein bestehendes Gesetz bereits formrichtig einschränkt und die Verordnung diesen zulässigen Eingriff nur noch weiter konkretisiert.

Genau das hat man auch in Wien gemacht und die gesetzliche Pflicht des Epidemiegesetzes zur Auskunftserteilung für das Contact-Tracing in Wien konkretisiert. Zwar wurden hierbei die Datenkategorien festgelegt, die man vom Gastronomen gerne auf Nachfrage übermittelt bekommen würde, jedoch verabsäumt, für die Gastronomen eine korrespondierende Verpflichtung zu normieren, ebendiese Daten auch zu erheben. Was komisch anmutet, wenn man sich an die Pressekonferenzen zu diesem Thema zurückerinnert.

Die Datenschutzbehörde hat ebendieses Versäumnis festgestellt. Für die eigentlich kommunizierte Pflicht der Gästeregistrierung muss der staatliche Eingriff grundsätzlich auf einem Gesetz beruhen. Andere Bundesländer glauben ein solches im Covid-19-Maßnahmengesetz gefunden zu haben.

Kann Wien die Verordnung einfach sanieren?

Das kommt darauf an, was man in Wien regeln möchte. Möchte man tatsächlich nur die Datenkategorien über die Verordnung konkretisieren, die bei Vorliegen (etwa durch eine Reservierung) vom Gastronomen auf Anfrage der Gesundheitsbehörde bereitgestellt werden müssen und über welche Gastronomen bereits verfügen, dann kann alles beim Alten bleiben.

Möchte man den Gastronomen zur Erhebung rechtskonform verpflichten, dann wird das im Verordnungsweg spannend. Ein entsprechendes Gesetz fehlt schließlich, obwohl genau das explizit mit der Novelle des Epidemiegesetz bereits im August geplant war. Dort sollte eine neue Bestimmung aufgenommen werden, die zur Kontaktdatenerhebung verpflichtet. Nur hat man diese Bestimmung dann nicht im Nationalrat beschlossen.

Was bedeutet das für die Zeit nach dem Lockdown II?

Fakt ist, (spätestens) mit dem Aufsperren der Gastronomie am 7. Dezember besteht in Wien keine Pflicht zur Erhebung von Kontaktdaten der Gäste. Zwar kann eine verweigerte Mitwirkung am Contact-Tracing tatsächlich mit bis zu knapp 1.500 Euro bestraft werden, doch hebt auch die Datenschutzbehörde hervor, dass dies nur für Informationen gelten könne, über die Gastronomen ohnehin bereits verfügen.

Ein Lösungsweg für die Gastronomie ist es, einfach keine Daten zu erheben. Wer das nicht möchte, kann nur auf eine ausdrücklich erteilte Einwilligung als Rechtsgrundlage setzen. Die Datenverarbeitung wiederum muss dann auch den grundlegenden Datensicherheitsmaßnahmen genügen (wie etwa Speicherung der Registrierungsdaten in datenschutzkonformen Apps oder sichere Verwahrung von Kontaktformularen in versperrten Schubladen). Das immer unter der Bedingung, dass der Gast seine Einwilligung freiwillig gibt und keinen Nachteil erleidet, wenn er seine Daten nicht bekanntgeben möchte.

Gut wäre eine Lösung unter dem Dach der Interessenvertretung. Nur bitte nicht wieder rechtsunrichtige Formulare an die Mitglieder verteilen. (Maximilian Kröpfl, 25.11.2020)