Vereine, die sich dazu entschließen, die Kontaktdaten ihrer Gäste zu erfassen, leisten einen wertvollen Beitrag um allfällige Corona Cluster aufzuspüren. Dabei ist jedoch Vorsicht geboten, wie ein Fall in Deutschland nunmehr zeigt.
Aufgrund eines Raubüberfalls hat die Polizei die Gästeliste eines Restaurants angefordert, das sich neben dem Tatort befindet. Die Polizei wollte die Kontaktdaten allfälliger Zeugen, um diese kontaktieren zu können. Der Lokalbesitzer hat diese Information bereitwillig herausgegeben, wobei ihm offenbar nicht bewusst war, dass er sich hiermit (juristischen) Ärger einhandelt. Zwar ist es löblich, dass der Lokalbesitzer die Polizei bei der Suche nach den Räubern unterstützen möchte, er hat hierbei jedoch einen datenschutzrechtlichen Verstoß begangen.
Verantwortlich für die Führung einer derartigen Gästeliste ist der jeweilige Gastgeber der Veranstaltung. Dieser hat auch dafür zu sorgen, dass die erhobenen Informationen ausschließlich für jenen Zweck verarbeitet werden, für den diese erhoben wurden. Der Verarbeitungszweck „Contact-Tracing“ beinhaltet jedenfalls nicht den Verarbeitungszweck „Verbrechensbekämpfung“, sodass die Übermittlung der Kontaktdaten an die Polizei eine datenschutzrechtliche Verwaltungsübertretung darstellt.
Die im Rahmen des Contact-Tracings aufgenommenen personenbezogenen Daten dürfen entsprechend dem Epidemiegesetz ausschließlich der Bezirksgerichtsverwaltungsbehörde sowie der Österreichischen Agentur für Gesundheit und Ernährungssicherheit (AGES) zur Verfügung gestellt werden. Sollte eine andere Behörde diese Informationen anfordern, ist Vorsicht geboten, da es sich dabei höchstwahrscheinlich um eine Anfrage „auf dem kurzen Weg“ handeln könnte, die ohne Rechtsgrundlage (und daher rechtswidrig) erfolgt. Dem Gastgeber der Veranstaltung droht hier eine Strafe von bis zum EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes.
Daher lautet unsere Empfehlung: Sollte eine Behörde personenbezogene Daten von Ihnen verlangen, bestehen Sie darauf, dass die Anforderung schriftlich erfolgt und die Behörde die konkrete Rechtsgrundlage nennt.
Sollten Sie sich nicht sicher sein, ob Sie die Daten herausgeben dürfen oder nicht, steht Herr Rechtsanwalt Mag. Markus Dörfler (markus.doerfler@h-i-p.at) gerne jederzeit zur Verfügung.