Nach (noch nicht rechtskräftiger) Ansicht der Datenschutzbehörde (DSB) ist die Registrierung von Gästen zum Zwecke der Kontaktnachverfolgung im Zusammenhang mit COVID-19-Verdachtsfällen datenschutzrechtswidrig, da es sich dabei um gesundheitsbezogene Daten handeln würde und weder eine gesetzliche Grundlage existiere noch eine gültige Einwilligung in diese Verarbeitung möglich sei.
Ins Rollen gebracht hat dies nach einem Bericht des DerStandard eine Beschwerde eines auf Datenschutzrecht spezialisierten Juristen, der sich selbst in einem Lokal registriert und sich anschließend über die diesbezügliche Verarbeitung seiner Daten bei der DSB beschwert hat. Die Entscheidung der DSB ist noch nicht rechtskräftig; die näheren Details der Begründung und die Argumentation der Parteien sind daher unbekannt. Was jedoch aufgrund dieses Berichtes bekannt ist, soll hier kritisch betrachtet werden.
Registrierungsdaten sind Gesundheitsdaten
Laut dem Bericht des DerStandard qualifiziert die DSB die im Rahmen der Registrierung erhobenen Daten als Gesundheitsdaten iSd Art 9 Abs 1 DSGVO. Dies erscheint doch verwunderlich. Nach Erwägungsgrund 35 zur DSGVO sollen zu den personenbezogenen Gesundheitsdaten nämlich all jene Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Unter diesen Begriff sind somit insbesondere Ablauf und Inhalt einer medizinischen Behandlung sowie verschriebene Medikamente zu subsumieren, aber auch die Feststellung, dass eine Person krank, genesen oder völlig gesund ist (Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 156 (Stand 1.12.2018, rdb.at)). Der Begriff ist jedoch sehr weit auszulegen und umfasst neben medizinischen Daten und körperlichen Zuständen auch Leistungsdaten, die z.B. mittels Fitnessarmbändern und Health-Apps erhoben werden, aus denen Rückschlüsse auf den Gesundheitsstatus gezogen werden können (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 28 (Stand 7.5.2020, rdb.at)).
Nach § 1 Z 2 lit c) der Verordnung des Magistrats der Stadt Wien betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 (in der Folge kurz „Verordnung“) sind der Bezirksverwaltungsbehörde zur Verhinderung der Verbreitung von COVID-19 für den Fall des Auftretens eines Verdachtsfalles von COVID-19 von Betriebsstätten der Gastronomie auf Verlangen Name, Telefonnummer, E-Mail-Adresse und Tischnummer von Gästen zu übermitteln.
Aus diesen Daten lassen sich jedoch nur schwerlich Informationen zum Gesundheitszustand ableiten, sondern lediglich, dass Herr A am Tag B das Lokal C besucht hat und am Tisch D gesessen ist. Selbst wenn die Behörde dem Lokalbetreiber mitteilt, dass sich ein COVID-19-positiver Gast in seinem Lokal aufgehalten hat und sie daher die Daten der anderen Anwesenden an diesem Tag zur Kontaktnachverfolgung benötigt, lässt sich dadurch vom Lokalbetreiber (als Verantwortlichem der Datenverarbeitung im Zuge der Registrierung) keinesfalls ableiten, welcher Gast das war und ob eine oder mehrere andere Gäste somit ebenfalls infiziert sein könnten.
Würde man den Begriff „Gesundheitsdaten“ derart weit interpretieren, wäre auch bereits die Bestellung einer Rampe (zur Überwindung von Stiegen) als Gesundheitsdatum zu werten, da sich daraus ableiten lässt, dass der Besteller möglicherweise im Rollstuhl sitzt. Erst die Behörde, die die Kontaktnachverfolgung vornimmt, verfügt über genug Informationen, um eine (immer noch rein hypothetische) Infektion bestimmter Personen ermitteln zu können und um mögliche Betroffene darüber zu informieren bzw. mit diesen Kontakt aufzunehmen. Der Lokalbetreiber selbst kann dies anhand der ihm verfügbaren Daten hingegen nicht.
Insofern erscheint die Qualifikation der Registrierungsdaten (im Zuge der Verarbeitung durch den Gastronomen) als Gesundheitsdaten fragwürdig.
Geht man aber vom Vorliegen von Gesundheitsdaten aus, kann sich eine rechtliche Grundlage für deren Verarbeitung nur aus Art 9 Abs 2 DSGVO ergeben. Hier kommt etwa die Einwilligung oder eine rechtliche Verpflichtung dazu in Frage.
Keine freiwillige Einwilligung
Eine rechtmäßige Einwilligung, auf Basis derer etwa Gesundheitsdaten verarbeitet werden dürften, könne nach Ansicht der DSB im gegenständlichen Fall nicht vorliegen, da die dafür geforderte Freiwilligkeit fehlen würde. Gäste, die sich weigern, sich zu registrieren, könnten des Lokals verwiesen werden und hätten – zumindest im Raum Wien – auch keine Alternative. Laut DSB würde daher eine Zwangssituation vorliegen.
Die DSB spielt damit offenbar auf das sog. Kopplungsverbot gemäß Art 7 Abs 4 DSGVO an. Nach diesem ist ein Abhängigmachen (iS einer Bündelung) eines Vertragsabschlusses bzw. die Erbringung einer Leistung von der Erteilung einer Einwilligung der betroffenen Person in eine (sachfremde, d.h. nicht für die Abwicklung des Geschäfts erforderliche) Datenverarbeitung untersagt. Eine Einwilligung gilt demnach nicht als freiwillig erteilt, wenn der Betroffene faktisch keine andere Wahl hat, als der Datenverarbeitung zuzustimmen, um in den Genuss einer Dienstleistung oder einer anderen vertraglichen Leistung zu kommen (Kastelitz in Knyrim, DatKomm Art 7 DSGVO Rz 33 (Stand 7.5.2020, rdb.at)).
Fraglich ist jedoch, ob die Einwilligung gegenständlich tatsächlich unfreiwillig war. So ist zwar die Erbringung von Leistungen grundsätzlich auch hier von der Registrierung abhängig, jedoch steht es jedem frei, auch falsche Angaben zu machen, ohne die von der DSB genannten Konsequenzen fürchten zu müssen. Dies wurde, wie allgemein bekannt, in der Praxis auch häufig so praktiziert. Gibt der Gast daher seine richtigen Daten an, willigt er freiwillig ein, gibt er (auch nur teilweise) falsche Daten an, willigt er nicht ein (und wird trotzdem bedient).
Zudem ist fraglich, ob die Verarbeitung der Gästedaten nicht ohnedies implizit zur Vertragserfüllung notwendig ist. Können Gastronomen auf Verlangen der Behörde dieser keine Auskunft gemäß der Verordnung geben, obwohl sie offenbar Gäste bedient haben, drohen Verwaltungsstrafen von bis zu EUR 1.450,00. Ein Lokalbesitzer ist somit gezwungen, die Daten nach bestem Wissen zu erheben. Da er sich die Daten aber wohl kaum alle merken kann, ist eine Aufzeichnung und somit eine analoge oder digitale Verarbeitung zwingend notwendig. Andernfalls könnte er sein Lokal nicht aufsperren, um seine Leistungen zu erbringen. Indirekt ist die Verarbeitung der Gästedaten somit für die Dauer der Geltung der Verordnung zur Leistungserbringung notwendig.
Keine rechtliche Pflicht zur Datensammlung
Ebenso wenig nachvollziehbar ist, warum Gastronomen nicht berechtigt wären, sich auf eine rechtliche Verpflichtung zur Datensammlung zu berufen. Nach Ansicht der DSB würde die Verordnung nämlich lediglich die Pflicht zur Auskunft vorschreiben, nicht jedoch zur Datensammlung verpflichten oder berechtigen. Diese Ansicht ist schon aus den soeben genannten Gründen fraglich.
Andere Rechtsgrundlagen
Da die Entscheidung der DSB (noch) nicht öffentlich ist, ist nicht bekannt, ob auch andere Rechtfertigungstatbestände geprüft wurden. Zu denken wäre etwa an Art 9 Abs 2 lit i) DSGVO, wonach die Verarbeitung von Gesundheitsdaten zulässig ist, wenn dies aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage des Rechts eines Mitgliedstaats, erforderlich ist.
Ein Beispiel dafür ist gerade die Übermittlung von Gesundheitsdaten im Rahmen gesetzlicher Meldepflichten. So besteht z.B. auf Verlangen der Bezirksverwaltungsbehörden eine Pflicht des Arbeitgebers zur Auskunftserteilung über Verdachtsfälle und Infektionen nach lit i) iVm § 5 Abs 3 Epidemiegesetz 1950 (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 56 (Stand 7.5.2020, rdb.at)).
Folgt man der Ansicht der DSB, dass die Registrierungsdaten Gesundheitsdaten sind (was nur möglich ist, wenn man diese Verdachtsfällen gleichstellt), sollte Art 9 Abs 2 lit i) DSGVO aber auch hier anwendbar sein, insbesondere da die Verordnung zur Auskunftserteilung von Gastronomiebetrieben ebenfalls aufgrund des § 5 Abs 3 Epidemiegesetz 1950 erlassen wurde.
Zusammenfassung
Es bestehen somit begründete rechtliche Bedenken gegen die (im Wortlaut jedoch nicht bekannte) Entscheidung der DSB. Es darf mit Spannung erwartet werden, ob diese Entscheidung von den weiteren Instanzen bestätigt wird.
Nach (noch nicht rechtskräftiger) Ansicht der Datenschutzbehörde (DSB) ist die Registrierung von Gästen zum Zwecke der Kontaktnachverfolgung im Zusammenhang mit COVID-19-Verdachtsfällen datenschutzrechtswidrig, da es sich dabei um gesundheitsbezogene Daten handeln würde und weder eine gesetzliche Grundlage existiere noch eine gültige Einwilligung in diese Verarbeitung möglich sei.
Ins Rollen gebracht hat dies nach einem Bericht des DerStandard eine Beschwerde eines auf Datenschutzrecht spezialisierten Juristen, der sich selbst in einem Lokal registriert und sich anschließend über die diesbezügliche Verarbeitung seiner Daten bei der DSB beschwert hat. Die Entscheidung der DSB ist noch nicht rechtskräftig; die näheren Details der Begründung und die Argumentation der Parteien sind daher unbekannt. Was jedoch aufgrund dieses Berichtes bekannt ist, soll hier kritisch betrachtet werden.
Registrierungsdaten sind Gesundheitsdaten
Laut dem Bericht des DerStandard qualifiziert die DSB die im Rahmen der Registrierung erhobenen Daten als Gesundheitsdaten iSd Art 9 Abs 1 DSGVO. Dies erscheint doch verwunderlich. Nach Erwägungsgrund 35 zur DSGVO sollen zu den personenbezogenen Gesundheitsdaten nämlich all jene Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Unter diesen Begriff sind somit insbesondere Ablauf und Inhalt einer medizinischen Behandlung sowie verschriebene Medikamente zu subsumieren, aber auch die Feststellung, dass eine Person krank, genesen oder völlig gesund ist (Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 156 (Stand 1.12.2018, rdb.at)). Der Begriff ist jedoch sehr weit auszulegen und umfasst neben medizinischen Daten und körperlichen Zuständen auch Leistungsdaten, die z.B. mittels Fitnessarmbändern und Health-Apps erhoben werden, aus denen Rückschlüsse auf den Gesundheitsstatus gezogen werden können (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 28 (Stand 7.5.2020, rdb.at)).
Nach § 1 Z 2 lit c) der Verordnung des Magistrats der Stadt Wien betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 (in der Folge kurz „Verordnung“) sind der Bezirksverwaltungsbehörde zur Verhinderung der Verbreitung von COVID-19 für den Fall des Auftretens eines Verdachtsfalles von COVID-19 von Betriebsstätten der Gastronomie auf Verlangen Name, Telefonnummer, E-Mail-Adresse und Tischnummer von Gästen zu übermitteln.
Aus diesen Daten lassen sich jedoch nur schwerlich Informationen zum Gesundheitszustand ableiten, sondern lediglich, dass Herr A am Tag B das Lokal C besucht hat und am Tisch D gesessen ist. Selbst wenn die Behörde dem Lokalbetreiber mitteilt, dass sich ein COVID-19-positiver Gast in seinem Lokal aufgehalten hat und sie daher die Daten der anderen Anwesenden an diesem Tag zur Kontaktnachverfolgung benötigt, lässt sich dadurch vom Lokalbetreiber (als Verantwortlichem der Datenverarbeitung im Zuge der Registrierung) keinesfalls ableiten, welcher Gast das war und ob eine oder mehrere andere Gäste somit ebenfalls infiziert sein könnten.
Würde man den Begriff „Gesundheitsdaten“ derart weit interpretieren, wäre auch bereits die Bestellung einer Rampe (zur Überwindung von Stiegen) als Gesundheitsdatum zu werten, da sich daraus ableiten lässt, dass der Besteller möglicherweise im Rollstuhl sitzt. Erst die Behörde, die die Kontaktnachverfolgung vornimmt, verfügt über genug Informationen, um eine (immer noch rein hypothetische) Infektion bestimmter Personen ermitteln zu können und um mögliche Betroffene darüber zu informieren bzw. mit diesen Kontakt aufzunehmen. Der Lokalbetreiber selbst kann dies anhand der ihm verfügbaren Daten hingegen nicht.
Insofern erscheint die Qualifikation der Registrierungsdaten (im Zuge der Verarbeitung durch den Gastronomen) als Gesundheitsdaten fragwürdig.
Geht man aber vom Vorliegen von Gesundheitsdaten aus, kann sich eine rechtliche Grundlage für deren Verarbeitung nur aus Art 9 Abs 2 DSGVO ergeben. Hier kommt etwa die Einwilligung oder eine rechtliche Verpflichtung dazu in Frage.
Keine freiwillige Einwilligung
Eine rechtmäßige Einwilligung, auf Basis derer etwa Gesundheitsdaten verarbeitet werden dürften, könne nach Ansicht der DSB im gegenständlichen Fall nicht vorliegen, da die dafür geforderte Freiwilligkeit fehlen würde. Gäste, die sich weigern, sich zu registrieren, könnten des Lokals verwiesen werden und hätten – zumindest im Raum Wien – auch keine Alternative. Laut DSB würde daher eine Zwangssituation vorliegen.
Die DSB spielt damit offenbar auf das sog. Kopplungsverbot gemäß Art 7 Abs 4 DSGVO an. Nach diesem ist ein Abhängigmachen (iS einer Bündelung) eines Vertragsabschlusses bzw. die Erbringung einer Leistung von der Erteilung einer Einwilligung der betroffenen Person in eine (sachfremde, d.h. nicht für die Abwicklung des Geschäfts erforderliche) Datenverarbeitung untersagt. Eine Einwilligung gilt demnach nicht als freiwillig erteilt, wenn der Betroffene faktisch keine andere Wahl hat, als der Datenverarbeitung zuzustimmen, um in den Genuss einer Dienstleistung oder einer anderen vertraglichen Leistung zu kommen (Kastelitz in Knyrim, DatKomm Art 7 DSGVO Rz 33 (Stand 7.5.2020, rdb.at)).
Fraglich ist jedoch, ob die Einwilligung gegenständlich tatsächlich unfreiwillig war. So ist zwar die Erbringung von Leistungen grundsätzlich auch hier von der Registrierung abhängig, jedoch steht es jedem frei, auch falsche Angaben zu machen, ohne die von der DSB genannten Konsequenzen fürchten zu müssen. Dies wurde, wie allgemein bekannt, in der Praxis auch häufig so praktiziert. Gibt der Gast daher seine richtigen Daten an, willigt er freiwillig ein, gibt er (auch nur teilweise) falsche Daten an, willigt er nicht ein (und wird trotzdem bedient).
Zudem ist fraglich, ob die Verarbeitung der Gästedaten nicht ohnedies implizit zur Vertragserfüllung notwendig ist. Können Gastronomen auf Verlangen der Behörde dieser keine Auskunft gemäß der Verordnung geben, obwohl sie offenbar Gäste bedient haben, drohen Verwaltungsstrafen von bis zu EUR 1.450,00. Ein Lokalbesitzer ist somit gezwungen, die Daten nach bestem Wissen zu erheben. Da er sich die Daten aber wohl kaum alle merken kann, ist eine Aufzeichnung und somit eine analoge oder digitale Verarbeitung zwingend notwendig. Andernfalls könnte er sein Lokal nicht aufsperren, um seine Leistungen zu erbringen. Indirekt ist die Verarbeitung der Gästedaten somit für die Dauer der Geltung der Verordnung zur Leistungserbringung notwendig.
Keine rechtliche Pflicht zur Datensammlung
Ebenso wenig nachvollziehbar ist, warum Gastronomen nicht berechtigt wären, sich auf eine rechtliche Verpflichtung zur Datensammlung zu berufen. Nach Ansicht der DSB würde die Verordnung nämlich lediglich die Pflicht zur Auskunft vorschreiben, nicht jedoch zur Datensammlung verpflichten oder berechtigen. Diese Ansicht ist schon aus den soeben genannten Gründen fraglich.
Andere Rechtsgrundlagen
Da die Entscheidung der DSB (noch) nicht öffentlich ist, ist nicht bekannt, ob auch andere Rechtfertigungstatbestände geprüft wurden. Zu denken wäre etwa an Art 9 Abs 2 lit i) DSGVO, wonach die Verarbeitung von Gesundheitsdaten zulässig ist, wenn dies aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage des Rechts eines Mitgliedstaats, erforderlich ist.
Ein Beispiel dafür ist gerade die Übermittlung von Gesundheitsdaten im Rahmen gesetzlicher Meldepflichten. So besteht z.B. auf Verlangen der Bezirksverwaltungsbehörden eine Pflicht des Arbeitgebers zur Auskunftserteilung über Verdachtsfälle und Infektionen nach lit i) iVm § 5 Abs 3 Epidemiegesetz 1950 (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 56 (Stand 7.5.2020, rdb.at)).
Folgt man der Ansicht der DSB, dass die Registrierungsdaten Gesundheitsdaten sind (was nur möglich ist, wenn man diese Verdachtsfällen gleichstellt), sollte Art 9 Abs 2 lit i) DSGVO aber auch hier anwendbar sein, insbesondere da die Verordnung zur Auskunftserteilung von Gastronomiebetrieben ebenfalls aufgrund des § 5 Abs 3 Epidemiegesetz 1950 erlassen wurde.
Zusammenfassung
Es bestehen somit begründete rechtliche Bedenken gegen die (im Wortlaut jedoch nicht bekannte) Entscheidung der DSB. Es darf mit Spannung erwartet werden, ob diese Entscheidung von den weiteren Instanzen bestätigt wird.