In den vergangenen Tagen haben Meldungen für Wirbel gesorgt, wonach Sicherheitslücken bei einem in Bremen ansässigen Dienstleister dazu geführt haben sollen, dass bundesweit Millionen Kontakterfassungs-Daten aus der Gastronomie leicht zugänglich gewesen seien.
Hierzu erklärt Professor Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI): „Erste Gastronomie-Betriebe aus Trier und Landau haben sich als von der Datenpanne betroffen gemeldet. Ich gehe davon aus, dass weitere Restaurants hinzukommen. Als rheinland-pfälzische Behörde stehen wir mit der für den Bremer Dienstleister zuständigen Aufsichtsbehörde in der Hansestadt in Kontakt. Im Zuge dessen ist auch zu klären, ob und wie zwischen dem Bremer Dienstleistungs-Unternehmen und den örtlichen Restaurants die Verantwortlichkeit für die Löschung der Daten aus der Kontakterfassung geregelt wurde. Klar ist, dass die Daten aus der Corona-Kontakterfassung zwingend nach Ablauf eines Monats zu löschen sind und auch allgemeine Reservierungsdaten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden. Rheinland-Pfälzische Gastronomie-Betriebe und andere Unternehmen, die eine entsprechende (mutmaßliche) Datenpanne bei sich feststellen, sind nach Artikel 33 Datenschutz-Grundverordnung (DS-GVO) verpflichtet, diese bei uns zu melden. Wir empfehlen den Betrieben, die Kunden des bremischen Dienstleisters waren, dies zeitnah zu prüfen, um Sanktionen wegen unterbliebener Meldepflichten zu vermeiden.“
Mit Blick auf die am Freitag von der Dehoga (Deutsche Hotel- und Gaststättenverband) Rheinland-Pfalz vorgestellte Kontakterfassungs-App für die Gastronomie erklärt Kugelmann: „Die Kontakterfassung in Corona-Zeiten kann grundsätzlich digital erfolgen, sofern die Vorgaben der Datenschutz-Grundverordnung beachtet werden. Das kann sogar besser als schlecht geführte Listen auf Papier sein, wenn es datenschutzrechtlich gut gemacht ist. So sind etwa technisch-organisatorische Maßnahmen zu ergreifen, so dass die Daten angemessen gesichert werden und nur Berechtigte darauf zugreifen können. Die Verantwortlichen müssen zudem die Nutzerinnen und Nutzer in einer Datenschutzerklärung unter anderem über die Datenverarbeitung, die Speicherdauer und ihre Rechte informieren (Art. 13 DS-GVO). Als für den Datenschutz zuständige Stelle in Rheinland-Pfalz fordern wir zeitnah Informationen an, um überprüfen zu können, ob bei der präsentierten App alle Datenschutz-Vorgaben berücksichtigt sind.“
Kugelmann betont: „Kontaktdaten, die in Zeiten der Corona-Pandemie zur Nachverfolgung von Covid19-Infektionen erfasst und gespeichert werden, sind sensible Daten: Aus ihnen geht unter Umständen hervor, wer sich mit wem an welchem Ort zu welcher Uhrzeit getroffen hat. Der Schutz der Privatsphäre der Bürgerinnen und Bürger muss in jedem Fall gewahrt bleiben. Auch in Zeiten der Corona-Krise darf das Datenschutz-Niveau in der Europäischen Union und in Deutschland nicht ausgehöhlt werden: Datenschutz und Gesundheitsschutz müssen Hand in Hand gehen.“
Download Auswirkungen der bundesweiten Datenpanne bei Gästelisten auf rheinland-pfälzische Betriebe – LfDI fordert Informationen zur Kontakterfassungs-App der Dehoga an als PDF[Quelle: Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 01.09.2020]