Aktuelles:

Ein Unglück kommt selten alleine: Corona & Datenschutz – die Kundenliste

22. Mai 2020

Nach dem Lockdown dürfen Restaurants, Cafés, Bars, Friseure und Kosmetikstudios wieder öffnen. Voraussetzung für die Öffnung ist allerdings, dass spezifische Hygienekonzepte umgesetzt werden.

In vielen Bundesländern ist es für Gastronomie- sowie Handwerksbetriebe im Bereich der persönlichen Dienstleistungen Pflicht, nur solchen Kunden Einlass zu ihrem Betrieb zu gewähren, die ihre Kontaktdaten angeben. Diese Maßnahme, die Gegenstand vieler Allgemeinverfügungen von Kommunen ist, zielt darauf ab, dass etwaige Infektionsketten nachverfolgt werden können.

Rechtsgrundlage für die Erhebung der Kontaktdaten (also Vor- und Nachname, postalische Adresse und ggf. Telefonnummer oder E-Mail-Adresse) und der Verweildauer des Kunden im jeweiligen Betrieb ist somit Art. 6 Abs. 1 S. 1 lit. c), Abs. 3 DSGVO in Verbindung mit der jeweiligen behördlichen Anordnung. Weigert sich ein Kunde, seine Kontaktdaten anzugeben, darf dieser nicht bedient und muss auf Grundlage des Hausrechts des Betriebsgeländes verwiesen werden.

Rechtlich herausfordernd ist für die betroffenen Unternehmen allerdings die Art und Weise, wie die Erhebung und Speicherung der Kontaktdaten der Kunden erfolgt:

  • Keine Abfrage bei Reservierung/Terminvereinbarung: Die Kontaktdaten der Kunden dürfen auf Grundlage von Art. 6 Abs. 1 S. 1 lit. c), Abs. 3 DSGVO in Verbindung mit der jeweiligen behördlichen Anordnung nicht bereits bei der Reservierung oder Terminvereinbarung abgefragt werden. Die Erhebung der Kontaktdaten ist auf dieser Rechtsgrundlage erst erlaubt, wenn der Kunde im jeweiligen Betrieb erscheint.
  • Vertrauliche Datenabfrage erforderlich: Es ist nicht zulässig, z.B. fortlaufende Kundenlisten zu führen, aus denen ein neuer Kunde erkennen kann, wer sich vor ihm in dem Betrieb aufgehalten hat. Denn solche offenen Kundenlisten stellen einen DSGVO-Verstoß dar, der zu Bußgeld- und Schadensersatzzahlungen führen kann. In Gastronomiebetrieben muss daher bei der papierhaften Erfassung der Kundendaten für jede Besetzung eines Tisches eine separate Liste vorgehalten werden, in der sich die Gäste der jeweiligen „Runde“ eintragen können.
  • Begrenzte Speicherdauer: Die Kundenlisten dürfen nur so lange aufbewahrt werden, wie dies der Zweck (Nachverfolgung etwaiger Infektionsketten) erfordert. Unter Berücksichtigung der derzeitigen Erkenntnisse zu der Inkubationszeit bei Covid-19 dürfte daher jedenfalls eine längere Aufbewahrung der Kundenlisten als drei Wochen nach dem jeweiligen Besuch nicht mehr DSGVO-konform sein.
  • Datenschutzinformation bereitstellen: Die Kunden müssen über die Erhebung ihrer personenbezogenen Daten im Zusammenhang mit der Kundenliste nach Art. 13 DSGVO informiert werden. Neben Informationen zu der verantwortlichen Stelle sowie dem Zweck der Datenverarbeitung sind insbesondere Informationen zu der Speicherdauer sowie den datenschutzrechtlichen Rechten der betroffenen Kunden zu erteilen.
  • Keine Nutzung für Werbung: Die zur Nachverfolgung etwaiger Infektionsketten erhobenen personenbezogenen Daten dürfen durch die jeweiligen Betriebe nicht zu anderen Zwecke wie z.B. Werbung verwendet werden. Wie verlockend es also auch sein mag: Eine E-Mail an die in der Kundenliste angegebenen E-Mail-Adressen mit Hinweis auf ein Event oder eine Rabattaktion ist datenschutzrechtlich unzulässig.

Dem Datenschutz sollte also bei der Führung und Aufbewahrung der Kundenlisten Beachtung geschenkt werden, um Auseinandersetzungen mit Datenschutzaufsichtsbehörden sowie Gästen und Kunden zu vermeiden. Übrigens: Wer Kundenlisten mittels Apps führen will, muss auch die Apps daraufhin überprüfen, ob sie den Anforderungen der DSGVO entsprechen. Diese Prüfung muss dokumentiert werden, um im Falle eines Falles gut gerüstet zu sein.