Gästeregistrierung im Lokal: Ohne Ausweispflicht sinnlos
Die Regierung hat in Österreich gerade eine Gesetzesnovelle zu COVID-19 repariert und eine neue Variante in Begutachtung geschickt. Demnach sollen Betriebe, Veranstalter und Vereine verpflichtet werden, Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern für 28 Tage zu speichern und den Gesundheitsbehörden im Anlassfall zur Verfügung zu stellen. Das betrifft neben der Gastronomie und der Hotellerie auch Kulturbetriebe.
In den Erwägungsgründen des Gesetzestextes findet sich aber auch ein Passus, der besagt, dass Gäste freiwillig entscheiden können, ob sie ihre Daten angeben oder nicht. Die Tür zum Lokal darf deshalb nicht geschlossen bleiben. Das bedeutet, dass jeder für sich selbst entscheiden darf, ob er seine Daten angibt.
Nur noch mit Ausweis ins Wirtshaus?
Datenschützer Hans Zeger findet diese Lösung halbherzig und rät dazu, nichts anzugeben oder bei sozialem Zwang „Max Mustermann“ hinzuschreiben. Die Lösung, so wie sie geplant sei, sei zwar rechtlich möglich, aber nicht besonders sinnvoll. „Ist es jetzt notwendig, dass die Kontaktdaten erhoben werden, oder nicht? Falls ja, dann brauche ich auch eine Nachweispflicht und man soll künftig nur noch mit Personalausweis ins Wirtshaus gehen können“, sagt Zeger im Gespräch mit der futurezone.
„Doch die Regierung scheut genau diese Debatte, weil man für so eine Verpflichtung die Verfassung ändern müsste. Derzeit haben wir das Recht, anonym auf die Straße zu gehen, einzukaufen oder ins Gasthaus. Derartige Listen berühren unsere Grundrechte“, sagt Zeger. „Wenn die Kontaktlisten so wichtig sind, muss sich die Regierung trauen und sagen: Ab sofort gibt es kein anonymes Essen mehr. Alles andere ist halbherzig“, sagt der Datenschützer.
"Derzeit haben wir das Recht, anonym auf die Straße zu gehen, einzukaufen oder ins Gasthaus. Derartige Listen berühren unsere Grundrechte“
Epidemologische Frage
Auf die Frage, wie sinnvoll das Gesetz in dieser Fassung sei, antwortet der Jurist, Professor und Institutsleiter am Institut für Innovation und Digitalisierung im Recht der Uni Wien, Nikolaus Forgo: "Das ist vor allem eine epidemiologische Frage. Aus rechtlicher Sicht kann ich dazu beitragen, dass eine grundrechtseinschränkende Maßnahme nur dann zulässig ist, wenn sie überhaupt geeignet ist, ein legitimes Ziel zu erreichen. Das erscheint mir hier mindestens nicht evident." Forgo hält es zudem für denkbar, dass durch eine derartige Formulierung sozialer Druck aufgebaut werden könnte, sich in so eine Liste einzutragen - oder auch, sich nicht einzutragen.
Auch Lisa Seidl, Juristin bei der Datenschutzorganisation epicenter.works, ist angesichts des Gesetzesvorhabens skeptisch: "Vor allem die Datensicherheit ist ein Riesen-Thema. Einfach einen Zettel aufzulegen ist hier nicht zielführend. Das wird für Unternehmen schwer umzusetzen zu sein", warnt die Juristin.
Begehrlichkeiten bei der Polizei
„Es muss in der Gesetzesvorlage klar drin stehen, dass die Daten nur zu diesem Zweck verwendet werden dürfen, und dass ansonsten mit entsprechenden Sanktionen zu rechnen ist“, sagt Zeger. Ansonsten könnte es auch passieren, dass die Polizei diese Daten für Ermittlungen heranziehen möchte, wie es bereits in Deutschland mit den Corona-Gästelisten geschehen ist. Der erste Part steht zwar drin, aber von Sanktionen ist keine Rede. Auch Seidl von epicenter.works befürchtet, dass Missbrauch der Daten - etwa für Newsletter - möglich wird.
Das gab es bereits in Deutschland. Polizei und die Staatsanwaltschaft hatten dort ebenfalls bereits großes Interesse an den Coronalisten: In Hamburg wurden etwa Personen als Zeugen vorgeladen, die an einem bestimmten Tag ein Restaurant besucht hatten, vor dem es eine Messerattacke gegeben hatte. Insgesamt kam es zu mehreren Vorfällen, in denen die Polizei die Coronalisten für Ermittlungen herangezogen hatte.
„Es muss in der Gesetzesvorlage klar drin stehen, dass die Daten nur zu diesem Zweck verwendet werden dürfen, und dass ansonsten mit entsprechenden Sanktionen zu rechnen ist."
„Ich glaube kaum, dass ein Wirt vorher alle Gesetze durchliest, wenn die Polizei zu ihm kommt und ihn auffordert, in der Coronaliste nachzuschauen, ob Person X zu Gast war“, meint Zeger. „Wenn im Gesetz klar drin steht, dass die Liste nicht für diesen Zweck geeignet ist, dann hat er aber eine andere Handhabe und kann die Herausgabe verweigern“, so der Datenschützer.
In Deutschland gab es mit den Coronalisten zudem das Problem, dass diese von den Verantwortlichen vielerorts am Eingang deponiert waren. So kam es nicht nur zu Situationen, bei denen die Daten für Newsletter missbraucht worden waren, sondern auch zu Stalking-Vorfällen und, wie es die Beschuldigten nachher ausdrückten, misslungenen „Flirt-Versuchen“.
Unzulässige Formulare
In Österreich haben manche Gasthäuser und Hotels bereits auf freiwilliger Basis sogenannte Coronalisten eingesetzt. An den Verein ARGE Daten, bei der Zeger Obmann ist, seien zahlreiche Fomulare herangetragen und zur unverbindlichen Prüfung vorgelegt worden, die „katastrophale Datenschutzverletzungen“ aufgewiesen haben.
Darunter befand sich etwa ein Formular einer Tourismus-Marketing-Agentur, wonach nach früheren Reisen in Risikogebiete gefragt wurde, Kontakte zu Personen aus bedenklichen Ländern, nach Gesundheitssymptomen wie Husten, Schnupfen und Fieber sowie behördlicher Quarantäne. „Das sind unzulässige Eingriffe in die Reisefreiheit und ins Familienleben“, sagt Zeger. Er rät Betroffenen, diese Formulare nicht auszufüllen oder alle Fragen grundsätzlich mit „nein“ zu beantworten.
„Solche Formulaer enthalten zahllose DSGVO-Verstöße, unter anderem fehlt die verbindliche Angabe, wer der Verantwortliche ist, welche Auskunfts- und Informationsrechte bestehen, was mit den Daten tatsächlich geschieht, wie lange sie aufbewahrt werden, an wen sie weiter geleitet werden, wer Ansprechstelle für Beschwerden ist und vieles mehr“, so Zeger.
"Nach derzeitigem Stand gibt es keine diesbezüglichen Beschwerden bei der Datenschutzbehörde", antwortete Andrea Jelinek, die Chefin der für derartige Verstöße zuständigen Datenschutzbehörde auf Nachfrage.
Digitale Lösung
Damit mit Coronalisten kein Unfug getrieben werden kann und sich das Zettelchaos in Grenzen hält, hat ein Österreicher eine digitale Lösung entwickelt, die derzeit noch anonym funktioniert: die Lipp Gast App (die futurezone hat darüber berichtet). Der Betreiber hat im Gespräch mit der futurezone angekündigt, die App jederzeit umstellen zu können und man bereits an einer Lösung arbeite, die dem neuen Gesetz angepasst sei.
Für Gastronomen, Kulturbetriebe und Hoteliers hätte diese folgenden Vorteil: Sie müssen sich nicht um die Datenspeicherung, Datenverwaltung und -weitergabe an die zuständigen Gesundheitsbehörden kümmern, denn das würde Lipp Gast übernehmen. „Die Daten werden bei uns am Server gespeichert und Zugriff hat niemand, auch die Gastronomen nicht. Im Bedarfsfall machen wir eine Auswertung für die Gesundheitsbehörden und nach 28 Tagen werden die Daten automatisiert gelöscht“, sagt Christoph Reichl, der selbst ein Gasthaus in Mattighofen betreibt.
Heikle Fragen und Unsicherheit
Zeger hält von einer solchen Lösung nicht so viel. „Dann gibt es noch eine zusätzliche Stelle, die involviert ist.“ Außerdem besteht bei digitalen Gästeregistrierungs-Apps die Gefahr, dass die Daten auf unsicheren Servern landen, die in Folge gehackt werden. Der Chaos Computer Club (CCC) hat in einem beliebten, digitalen Cloud-System für gastronomische Betriebe Schwachstellen entdeckt. Über 87.000 Corona-Datensätze und 5,4 Millionen Reservierungen waren dabei einsehbar, darunter befanden sich auch Daten von Politikern.
Zudem ist in Folge unklar, wer für die Daten verantwortlich ist: Ist es der Wirt, der die Daten abrufen muss oder ist es der App-Betreiber, der die digitale Lösung bereit stellt? Der Cloud-Dienst-Betreiber, dessen System vom CCC "geprüft" worden war, meinte dazu, dass die „Datenhoheit bei den Kunden“ liegen würde, also bei den Gastronomen – und diese würden auch für die Löschung der Daten die Verantwortung tragen.
Generell müsse man bei digitalen Lösungen, Vieles bedenken, sagt etwa Thomas Lohninger, Geschäftsführer von epicenter.works. Er sehe aber auch das Bemühen einiger Anbieter, datenschutzkonforme und sichere Lösungen gestalten zu wollen. Die Daten müssen dabei auf jeden Fall auf Servern in Europa gespeichert werden. „Außerdem kommt es auf die richtige Verschlüsselung der Daten an.“
Das österreichische Gesundheitsministerium gibt sich deshalb dem gegenüber zurückhaltend und sagt im Bezug auf digitale Lösungen, vorerst ausschließlich die Stopp-Corona-App des Roten Kreuzes bewerben zu wollen.
Pferd andersrum aufzäumen
„Wichtig wäre, dass wir eine Regelung brauchen, die Grundrechte, Verfassung und Datenschutz gleichermaßen abdeckt. Das muss eine umfassende Lösung sein“, erklärt Zeger. Der Datenschützer ist der Meinung, dass man seitens der Regierung öfters das Ziel aus den Augen verliere: „Es geht eigentlich darum, erfasste Coronafälle zu registrieren. Das geht auch genau umgekehrt: Jeder soll online nachschauen können, ob es an einem Ort, den man besucht hat, in den vergangenen 14 Tagen einen Coronafall gab oder nicht. Aus Datenschutzsicht wäre das zu bevorzugen und dafür bräuchte man auch kein Gesetz.“