Datenschutz Verstehen – Gastronomie und Datenschutz
Kurze Einleitung
Als die Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 in Kraft getreten ist, befürchteten viele Gastronomen und Hotelbetreiber eine Abmahnwelle. Diese ist allerdings ausgeblieben. Seit der Wiedereröffnung der Restaurants am 11.05.2020 sind Gastronomen verpflichtet personenbezogene Daten der Besucher zu erfassen, um die Ansteckungsgefahr, durch Covid 19, zu minimieren und nachverfolgen zu können. Gerade hierbei stellt sich die Frage, ob die Erfassung der Daten auch datenschutzkonform abläuft.
Datenschutz bei der Gastronomie
Auch wenn es auf den ersten Blick nicht ersichtlich ist, spielt die DSGVO für die Gastronomie eine bedeutende Rolle. Einer der häufigsten Fehler, die Gastronomen unterlaufen beginnen schon im Bereich der Personalbeschaffung. So müssen beispielsweise gespeicherte Bewerberdaten besonders geschützt werden. Zudem müssen die Löschfristen eingehalten und dokumentiert werden. Im Rahmen der Erfüllung der Informationspflichten ist es außerdem zwingend notwendig über die Speicherdauer bei Bewerbungen umfassend zu informieren. Verarbeitet der Arbeitgeber personenbezogene Daten, wie z.B. bei der Arbeitszeiterfassung oder der Lohnbuchhaltung ist eine Rechtsgrundlage erforderlich. Die entsprechende Rechtsgrundlage ist der Art. 88 DSGVO i.V.m. § 26 BDSG. Demnach ist die Erfassung von personenbezogenen Daten immer dann gestattet, wenn es zur Durchführung des Arbeitsverhältnisses erforderlich ist. Ansonsten müssen Mitarbeiter über den Zweck der Datenverarbeitung informiert werden und eingewilligt haben. Üblicherweise finden zusätzlich weitere datenschutzrechtliche Verstöße bei der Unterhaltung einer Social Media Plattform statt. Werden hier beispielsweise Mitarbeiter zu Werbezwecken abgebildet, benötigt man hierfür auch eine aktive Einwilligung durch den Mitarbeiter.
Datenschutz-Grundverordnung seit 2018 für Gastronomie
Trotz der neuen Datenschutz-Grundverordnung scheint es so, dass die Gastronomie sich nicht von der Gesetzesänderung betroffen fühlt. Viele Betreiber von Cafés und Restaurants nehmen an, nicht von der DSGVO betroffen zu sein. Einer der beliebtesten Beispiele, bei denen die Datenschutz-Grundverordnung greift, ist der Bereich Marketing. Gastronomen streben nach stetiger Verbesserung des Service und Zufriedenheit ihrer Kunden. Daher setzen viele auf sogenannte Feedback-Systeme. Damit erhalten Kunden die Gelegenheit den Gastronomen zu bewerten. Bei der Nutzung solcher Feedback-Systeme muss darauf geachtet werden, dass alle datenschutzrechtlichen Vorgaben erfüllt werden.
- Vor dem Ausfüllen des Feedback-Bogens muss der Gast zunächst einmal die Datenschutzerklärung vorgelegt werden. Damit wird der Gast darüber informiert welchen Zweck die Umfrage hat. Außerdem wird über die Speicherdauer, Auskunftsrechte, Widerrufsrechte und ggf. die Kontaktdaten des Datenschutzbeauftragten informiert.
- Im nächsten Schritt bedarf es der aktiven Einwilligung des Besuchers
- Weiterhin dürfen nur insoweit personenbezogen Daten erhoben werden, wie sie dem Zweck der Umfrage dient (Grundsatz der Datenminimierung).
- Letztlich muss der Gastronom dafür sorgen, dass die Daten gegen Einsicht Dritter geschützt werden.
Was müssen Gastronomen im Datenschutz beachten?
Sobald Gastronomen mit personenbezogenen Daten in Kontakt kommen, müssen datenschutzrechtliche Vorgaben aus der DSGVO eingehalten werden. Diese personenbezogenen Daten treten in folgenden Situationen auf:
- Bei Tischreservierungen: Hierbei werden Name und Telefonnummer der betroffenen erfragt.
- Bewerbung und Einstellung von Mitarbeitern: Viele personenbezogenen Daten der Mitarbeiter werden erfragt. Dazu gehören Name, Adresse, Telefonnummern, Lebensläufe, Qualifikationen oder sogar Religionszugehörigkeiten.
- Fotografie bei Veranstaltungen: Auf vielen Veranstaltungen werden Bilder und Videoaufnahmen gemacht. Dabei werden ebenfalls Gäste und Mitarbeiter aufgenommen.
- W-LAN : Viele Gastronomen stellen immer öfter freies Internet mittels W-LAN für Besucher zur Verfügung. Auch dabei werden personenbezogene Daten der Nutzer erfasst.
Um den datenschutzrechtlichen Vorgaben gerecht zu werden, muss der Gastronom unter anderem zwei wichtige Konzepte implementieren:
- Löschkonzepte: Der Gastronom muss darauf achten, dass die Löschfristen für personenbezogene Daten eingehalten werden
- Technische und organisatorische Maßnahmen: Außerdem müssen technische und organisatorische Maßnahmen implementiert werden. Dies können z.B. Zugriffsrechte oder Berechtigungskonzepte sein.
Datenerhebung durch Corona in der Gastronomie
Die Landesregierungen haben durch Art. 80 Abs. 1 GG i.V.m. § 32 Satz 1 IfSG eine Rechtsverordnung zur Bekämpfung übertragbarer Krankheiten erlassen. In dieser Verordnung wurde festgelegt unter welchen Voraussetzungen Gastronomen wieder öffnen dürfen. Vorgaben diesbezüglich sind:
- Maskenpflicht
- Abstandsregeln in geschlossenen Räumlichkeiten
- Zulässige Öffnungszeiten
- Anzahl der Haushalte, die an einem Tisch sitzen dürfen
Eine weitere wichtige Auflage seitens der Landesregierungen, ist das Führen einer Liste aller Besucher. Dadurch soll die Ansteckungskette nachvollzogen werden können. Leider haben die Landesregierungen allerdings offengelassen, welche Auflagen diese Listen genau erfüllen müssen, um datenschutzkonform zu sein. Im Folgenden werden nun wichtige Inhalte aufgeführt, die auf jeden Fall in der Liste auftauchen müssen.
Der Gastwirt muss seinen Informationspflichten nachkommen. Daher ist er nach Art. 12 ff. DSGVO dazu verpflichtet diese Informationen vor Eintragung preiszugeben.
Checkliste Corona Gastronomie
- Welche Daten werden erhoben?
- Warum werden diese Daten erhoben?
- Wie lange werden Daten gespeichert?
- Welche Rechte haben die Gäste als betroffene Personen?
- Welche Rechtsgrundlage besteht für die Datenerhebung?
- Wer ist der Empfänger dieser Daten?
- Kontaktdaten des Datenschutzbeauftragten
Muster bei Datenerhebung für Gastronomen (Corona)
Erhalten Sie untenstehend unser kostenfreies Muster für die datenschutzkonforme Erhebung der personenbezogenen Daten von Ihren Besuchern, Gästen oder Kunden. Sollten Sie ein ähnliches Gewerbe betreiben (Fitness-Studio, Friseur etc.), sprechen Sie uns gerne an für kostenfreie Muster.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.