Austria

Contact-Tracing im Wirtshaus: Wer muss wem was melden?

Mehr Klarheit in der Verordnung des Wiener Magistrats wäre wünschenswert. Wirte, die Daten an andere als die Bezriksverwaltungsbehörde und die Ages weitergeben, machen sich wahrscheinlich strafbar.

Das Epidemiegesetz (seit Kurzem heißt es abgekürzt EpiG) verpflichtet in § 5 Abs. 3 „alle Personen“, den Bezirksverwaltungsbehörden Auskünfte zu erteilen, die zur Feststellung einer Infektionsquelle für eine anzeigepflichtige Krankheit erforderlich sind. Dabei werden als Beispiele Ärzte, Labors, Arbeitgeber, Familienangehörige und Personal von Gemeinschaftseinrichtungen genannt – eine Klarstellung, die angesichts des Wortes „alle" unnötig ist. Auf dieser Grundlage hat der Magistrat der Stadt Wien (MA 15) jedenfalls eine Regelung mit dem etwas sperrigen Titel Verordnung des Magistrats der Stadt Wien betreffend Auskunftserteilung für Contact-Tracing im Zusammenhang mit Verdachtsfällen von Covid-19 erlassen. Diese ist am 28.9.2020 in Kraft getreten und soll vorerst bis Jahresende gelten.

Daraus ergibt sich nun detailliert, wer welche Daten der Behörde zu melden hat. Der Verordnungsgeber schwindelt sich etwas um genaue Angaben herum, wenn er von „folgenden Stellen“ spricht, die er zur Auskunftserteilung (und damit indirekt natürlich auch zur Datensammlung) verpflichtet. Als solche nennt er neben Krankenanstalten, Wohnheimen, Pflegeheimen, Pflegestationen oder Einrichtungen der Wohnungslosenhilfe ganz generell auch „Betriebsstätten“ – ohne nähere Konkretisierung oder etwa Verweis auf deren Betreiber.

Schanigärten nicht ausgenommen

Alle Betriebsstätten im Gebiet der Stadt Wien müssen unter anderem eine „zentrale Ansprechperson der Betriebsstätte“ samt deren Daten (Vorname, Nachname, Telefonnummer und E-Mail-Adresse) und auch die Daten des „Personals“ bekannt geben, wenn dies vom Magistrat (MA 15) verlangt wird. Eine Verpflichtung, Daten von „Kundinnen und Kunden“ bekannt zu geben, besteht nur für „Betriebsstätten der Gastronomie“. Dies ohne jede Einschränkung im Hinblick auf Lokalgröße, Gästekapazität etc. Der Wortlaut der Verordnung nimmt auch Schanigärten nicht vom Anwendungsbereich aus.

Wie der Wirt zu diesen Daten kommt, bleibt ihm überlassen. Geregelt ist aber, dass die gesammelten Kundendaten explizit nur für die Nachverfolgung der Kontakte bei Auftreten eines Covid-19-Verdachtsfall gespeichert und verarbeitet werden dürfen. Nach vier Wochen sind diese Daten ausnahmslos zu löschen. Dies gilt nach dem Wortlaut sowohl für die Inhaber der Betriebsstätten als auch für die Behörden.

Gäste nicht ausdrücklich verpflichtet

Die „Kundinnen und Kunden“ werden in der Verordnung also nicht verpflichtet, der Betriebsstätte – oder wem auch immer – ihre Daten bekannt zu geben. Der Wirt, der diese Daten auf Anforderung aber nicht bekannt geben kann oder will, riskiert eine Geldstrafe von bis zu 1450 Euro (bzw. eine Ersatzfreiheitsstrafe von bis zu vier Wochen) nach dem EpiG (§ 40 lit c).

Nach dem Wortlaut der Verordnung ist der Wirt nicht verpflichtet, die Gästeangaben - zumindest auf inhaltliche Richtigkeit ­- zu prüfen. Kann er bei falschen Angaben seiner Kundinnen und Kunden daher auch nicht bestraft werden? Für Kundinnen und Kunden könnte die Pflicht zur wahrheitsgemäßen Angabe der abgefragten Daten schon aus dem Gesetz folgen, wenn man die Auskunftspflicht für „alle Personen“ in § 5 Abs. 3 EpiG nicht ganz eng auslegen will. Das zieht die Konsequenz nach sich, dass Personen, die ihrem Wirt falsche Angaben zu ihren persönlichen Daten machen, eine Verwaltungsübertretung begehen. Das Gesetz verlangt freilich die Auskunft gegenüber den Behörden, nicht gegenüber dem Wirt. Haftet also doch der Wirt für falsche Kundendaten? Eine Klarstellung des Verordnungsgebers wäre sinnvoll.

Die Frage, die sich in Zeiten von „Daten sind das neue Gold“ auch hier stellt, lautet: Ist die Verordnung mit der Datenschutzgrundverordnung (kurz: DSGVO) in Einklang zu bringen? Die Kurzfassung der Antwort lautet „Ja, aber“.

Durch die Verordnung der MA 15 werden wesentliche Grundsätze der DSGVO (unter anderem Zweckbindung und Speicherbegrenzung) eingehalten. Auch die „Rechtmäßigkeit der Verarbeitung“ (für die Kenner: Art 6 Abs 1 lit c DSGVO) ist erfüllt.

Kunden ohne Mail und Telefon abzuweisen?

Das „aber“ liegt im Detail. Ist es wirklich notwendig, die E-Mail-Adresse und die Telefonnummer zu sammeln? Dies könnte dem Grundsatz der Datenminimierung widersprechen. Was ist aber mit Menschen, die keine E-Mail-Adresse oder Telefonnummer haben? Darf der Wirt diese gar nicht mehr einlassen oder bedienen? Was muss der Wirt tun, wenn ein (ihm vielleicht sogar namentlich unter anderem Namen bekannter) Stammgast als Max Mustermann zum Essen kommt?

Die DSGVO sieht vor, dass der Verantwortliche (hier wäre das der Wirt) personenbezogene Daten im Hinblick auf ihren Zweck richtigstellen oder löschen muss. Da der Zweck das Contact-Tracing ist, müsste der Wirt daher die ihm bekannt gegebenen Daten prüfen, weil andernfalls der Zweck der Datensammlung vereitelt wird. Die Verordnung lässt die Wirte (und die Datenschützer) in diesen Punkten im Unklaren. Und damit kann der Wirt auch Zwischen die Mühlsteine verschiedener Verordnungen und Verordnungsgeber geraten.

All diese Unklarheiten kann ein Wirt – sollte eine Strafe nach dem EpiG über ihn verhängt werden – zwar einwenden. Ein mutiger Wirt kann auch noch einen Schritt weitergehen und sich auf den Standpunkt stellen: Die Verordnung gelte nicht – zumindest nicht so umfassend –, da sie der DSGVO widerspreche. Ob die Verordnung der MA 15 das Schicksal einiger Covid-Verordnungen auf Bundesebene erleidet und nachbessert werden muss, werden vermutlich bald erste Gerichtsentscheidungen zeigen. Im Hinblick auf die wesentlich höhere Strafdrohung bei Verstößen gegen die DSGVO wäre das vielleicht sogar nicht nur mutig.

Daten müssen sicher verstaut werden

Eines ist jedenfalls sicher: Sollte ein Wirt die Kontaktinformationen erheben, muss er diese sicher verstauen und darf diese ausschließlich zum Zweck des Contact-Tracing verwenden. Er darf die Daten nur an die Bezirksverwaltungsbehörde sowie an die Österreichischen Agentur für Gesundheit und Ernährungssicherheit (gemäß § 5 Abs 4 EpiG) weitergeben. Sollte eine andere Behörde diese Informationen anfordern, ist Vorsicht geboten, da es sich dabei höchstwahrscheinlich um eine Anfrage „auf dem kurzen Weg“ handeln könnte, die ohne Rechtsgrundlage (und daher rechtswidrig) erfolgt. Dem Wirt droht hier eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

In Deutschland hat es solche Fälle bereits gegeben. Hier hat die Polizei die Daten für die Aufklärung eines Raubüberfalls angefordert und der Wirt hat die Daten bereitwillig herausgegeben. Was die Datenschutzbehörde unternehmen wird, ist noch offen.

Auch im Interesse der Gesundheit des Rechtsstaates wäre vom Verordnungsgeber mehr Mut zur Klarheit zu erwarten gewesen. 

Zu den Autoren

Mag. Markus Dörfler LL.M. und Mag. Georg Streit sind Partner bei Höhne, In der Maur & Partner Rechtsanwälte GmbH & Co KG.

Football news:

Bayern München und Alaba haben sich zum Dritten mal nicht auf einen neuen Vertrag einigen können
Atalanta und Ajax zeigten klugen Fußball: viele fallen und subtile Umstellungen auf dem Weg
Vadim Evseev: Lokomotive mochte Mut. Keine Angst, Fußball zu spielen, gut gemacht
Barcelona könnte PSV-Stürmer Malena Unterschreiben, falls der deal Scheitert, will der FC Barcelona die Angriffslinie verstärken. Das vorrangige Ziel von Blaugrana-Trainer Ronald Koeman bleibt der Stürmer von Olympique Lyon, Memphis Depay. Sollte dieser Transfer jedoch nicht gelingen, wäre Doniell Malen vom PSV Eindhoven ersatzgeschwächt, berichtet Mundo Deportivo
Pickford stellte Bodyguards wegen Drohungen von Fans nach Van Dykes Verletzung ein
Wir studieren Borussia Favre: Sie liebt Ballbesitz, Schlüsselspieler im Angriff - der 17-jährige Giovanni Reina testet heute Dortmund gegen Zenit St. Petersburg
Eine bedauerliche Aussage über den Beitritt zu einem imaginären Turnier. La Liga Präsident über Bartomeu Worte über die Europäische Premier League