· 

Gästeregistrierung in Wien unzulässig – Entscheidung der DSB



update: 26.11.2020

Die DSB hat auf der Website einen Auszug des Bescheides veröffentlicht


Die DSB hat in erster Instanz zur Gästeregistrierung im Gastrobereich in einem Bescheid Stellung genommen. Eine betroffene Person hat sich beschwert, und die DSB hat diesem Gast recht gegeben. Es wird in das Grundrecht auf Datenschutz bzw. Geheimhaltung eingegriffen.


Rechtsgrundlagen

 

Die Entscheidung verweist auf die Wiener Contact-Tracing-VO sowie auch auf § 5 EpidemieG.

 

Gesundheitsdaten

 

Die DSB ist der Meinung, dass die Verarbeitung der Anwesenheitsdaten der Gäste „Gesundheitsdaten“ darstellt, da Daten über einen möglichen, zukünftigen Gesundheitszustand der Gäste erhoben und verarbeitet werden.

 

Hier die relevanten Stellen aus dem Bescheid der DSB

 

 

 

 

 

Daraus ergibt sich, dass die Verarbeitung nicht auf die Alternativen des Art 6 Abs 1 bis f DSGVO, sondern auf die strengeren Voraussetzungen des Art 9 Abs 2 DSGVO zu stützen sind, wodurch auch das „berechtigte Interesse“ des Art 6 Abs 1 lit f DSGVO wegfällt.

 

 

keine ausreichende Rechtsgrundlage

 

Die Verarbeitung der Gesundheitsdaten wäre zulässig, wenn eine „ausreichend präzise und den Anforderungen des Art 9 Abs 2 lit i DSGVO entsprechende Rechtsgrundlage“ geschaffen worden wäre. An diesen Kriterien ist Wien nach Ansicht der DSB gescheitert.

 

In der Entscheidung wird auch auf die Novelle zum EpidemieG verwiesen, die eine Bestimmung enthielt, die aber nicht vom Beschluss umfasst war, und auch auf eine „freiwillige“ Datenerhebung gestützt gewesen wäre. Dazu gab es eine Stellungnahme der DSB, die nach wie vor abrufbar ist, und in der die „Freiwilligkeit“ der Einwilligung bereits heftig kritisiert wurde.

 

Die DSB stellt fest, dass in der Contact-Tracing-VO keine ausreichende Rechtsgrundlage für die Verarbeitung der Gesundheitsdaten geschaffen wurde.

Wirte haben nur eine Verpflichtung zur Datenherausgabe an die Gesundheitsbehörde im Anlassfall, jedoch ergibt sich aus der VO keine Verpflichtung zur Erhebung (Aufzeichnung) der Daten. Wer die Daten nicht erheben muss, kann diese nicht weitergeben, aber eine Verpflichtung zur Erhebung wurde in der VO nicht geschaffen.

 

Nach Ansicht der DSB ist die Verpflichtung (rechtliche Pflicht iSd Art 9 Abs 2 lit i DSGVO) zur Erhebung der in der Contact-Tracing Verordnung nicht ausreichend deutlich und klar normiert.

 

 

 

 

Weitere Analyse der DSB:

 

Die DSB gibt dem Verordnungsgeber in der weiteren Folge gewissermaßen eine Anleitung, was zu tun ist, denn es führt eine Grundrechtsprüfung im engeren Sinne durch:

 

 

Bei einem Eingriff in das Grundrecht auf Datenschutz / Geheimhaltung müssen klare und präzise Regeln für die Tragweite und die Anwendung der Datenerhebung in Zusammenhang mit dem Contact Tracing formuliert werden, sodass ausreichende Garantien für die natürlichen Personen gegeben sind. Wenn Art 9 DSGVO-Daten verarbeitet werden, sind diese Garantien umso wichtiger.

 

Die Tragweite des Eingriffs in das Grundrecht muss ich aus dem Normtext, der die Kontaktdatenerhebung vorschreibt selbst zweifelsfrei ergeben. Diese einfach Nachvollziehbarkeit ist notwendig, um den betroffenen Personen die Tragweite des Eingriffs deutlich zu machen, und den Grundsatz der Transparenz in Art 5 Abs 1 lit a DSGVO zu erfüllen.

 

 

Schlussfolgerung:

 

Dem Gesetzgeber in Wien bleibt nun ca. 2 Wochen Zeit (bis zum geplanten Ende des Lockdown), die Verordnung neu zu formulieren, und den Notwendigkeiten, die sich aus der „datenschutzrechtlichen Rechtsprechung“ ergeben, anzupassen.

 

Die anderen Länder sollte mE diese Entscheidung auch zum Anlass nehmen, den Normtext zu überprüfen und gegebenenfalls den Eingriff klar und präzise in der gesamten Tragweite formulieren und ausreichende Garantien für die betroffenen Personen in die Normen aufnehmen.

 

Wirte und andere Gastrobetriebe sind mE aufgrund dieser diffizilen, nicht leicht durchschaubaren Konstellation an Normen nicht verpflichtet, Erhebungen von Kontaktdaten durchzuführen.

 

 

 

Danke in dieser Sache an Mag. Maximilian Kröpfl, der dataprotect auf diese Entscheidung aufmerksam gemacht hat.

 

 

 

23.11.2020, Autor:

 

Michael Schweiger, zert DSBA


Download
Contact Tracing VO in Wien rechtswidrig.
Adobe Acrobat Dokument 373.6 KB

Kommentar schreiben

Kommentare: 2
  • #1

    Johannes Guger (Donnerstag, 26 November 2020 17:03)

    Die Entscheidung ist für wohlmeinende Bürger kaum nachzuvollziehen.
    Mich würde interessieren, wie das im Vergleich zum Meldezettel in einem Hotel ist. Geht hier die entsprechende Verordnung (Meldegesetz?) auch darauf ein? Unter Umständen können hier auch Gesundheitsdaten erfasst sein, z.B. im Falle von Rollstuhlfahrern.

  • #2

    Michael Suda (Freitag, 27 November 2020 10:17)

    Um die Diskussion über diese Entscheidung auf einen sachlich(er)en Boden zu stellen, hat die Datenschutzbehörde die Entscheidungsgründe des nicht rechtskräftigen Bescheids gestern auf ihrer Website veröffentlicht: https://www.dsb.gv.at/dam/jcr:d6607a1c-5307-45df-a7dc-b28899ad2090/D1243093.pdf
    Der Sachverhalt wird als bekannt vorausgesetzt (und war auch völlig unstrittig).