Mehr Klarheit in der Verordnung des Wiener Magistrats wäre wünschenswert. Wirte, die Daten an andere als die Bezirksverwaltungsbehörde und die Ages weitergeben, machen sich wahrscheinlich strafbar.
Gastkommentare und Beiträge von externen Autoren müssen nicht der Meinung der Redaktion entsprechen.
Das Epidemiegesetz (seit Kurzem heißt es abgekürzt EpiG) verpflichtet in § 5 Abs. 3 „alle Personen“, den Bezirksverwaltungsbehörden Auskünfte zu erteilen, die zur Feststellung einer Infektionsquelle für eine anzeigepflichtige Krankheit erforderlich sind. Dabei werden als Beispiele Ärzte, Labors, Arbeitgeber, Familienangehörige und Personal von Gemeinschaftseinrichtungen genannt – eine Klarstellung, die angesichts des Wortes „alle" unnötig ist. Auf dieser Grundlage hat der Magistrat der Stadt Wien (MA 15) jedenfalls eine Regelung mit dem etwas sperrigen Titel Verordnung des Magistrats der Stadt Wien betreffend Auskunftserteilung für Contact-Tracing im Zusammenhang mit Verdachtsfällen von Covid-19 erlassen. Diese ist am 28.9.2020 in Kraft getreten und soll vorerst bis Jahresende gelten.
Daraus ergibt sich nun detailliert, wer welche Daten der Behörde zu melden hat. Der Verordnungsgeber schwindelt sich etwas um genaue Angaben herum, wenn er von „folgenden Stellen“ spricht, die er zur Auskunftserteilung (und damit indirekt natürlich auch zur Datensammlung) verpflichtet. Als solche nennt er neben Krankenanstalten, Wohnheimen, Pflegeheimen, Pflegestationen oder Einrichtungen der Wohnungslosenhilfe ganz generell auch „Betriebsstätten“ – ohne nähere Konkretisierung oder etwa Verweis auf deren Betreiber.
Schanigärten nicht ausgenommen
Alle Betriebsstätten im Gebiet der Stadt Wien müssen unter anderem eine „zentrale Ansprechperson der Betriebsstätte“ samt deren Daten (Vorname, Nachname, Telefonnummer und E-Mail-Adresse) und auch die Daten des „Personals“ bekannt geben, wenn dies vom Magistrat (MA 15) verlangt wird. Eine Verpflichtung, Daten von „Kundinnen und Kunden“ bekannt zu geben, besteht nur für „Betriebsstätten der Gastronomie“. Dies ohne jede Einschränkung im Hinblick auf Lokalgröße, Gästekapazität etc. Der Wortlaut der Verordnung nimmt auch Schanigärten nicht vom Anwendungsbereich aus.
Wie der Wirt zu diesen Daten kommt, bleibt ihm überlassen. Geregelt ist aber, dass die gesammelten Kundendaten explizit nur für die Nachverfolgung der Kontakte bei Auftreten eines Covid-19-Verdachtsfall gespeichert und verarbeitet werden dürfen. Nach vier Wochen sind diese Daten ausnahmslos zu löschen. Dies gilt nach dem Wortlaut sowohl für die Inhaber der Betriebsstätten als auch für die Behörden.
Gäste nicht ausdrücklich verpflichtet
Die „Kundinnen und Kunden“ werden in der Verordnung also nicht verpflichtet, der Betriebsstätte – oder wem auch immer – ihre Daten bekannt zu geben. Der Wirt, der diese Daten auf Anforderung aber nicht bekannt geben kann oder will, riskiert eine Geldstrafe von bis zu 1450 Euro (bzw. eine Ersatzfreiheitsstrafe von bis zu vier Wochen) nach dem EpiG (§ 40 lit c).
Nach dem Wortlaut der Verordnung ist der Wirt nicht verpflichtet, die Gästeangaben - zumindest auf inhaltliche Richtigkeit - zu prüfen. Kann er bei falschen Angaben seiner Kundinnen und Kunden daher auch nicht bestraft werden? Für Kundinnen und Kunden könnte die Pflicht zur wahrheitsgemäßen Angabe der abgefragten Daten schon aus dem Gesetz folgen, wenn man die Auskunftspflicht für „alle Personen“ in § 5 Abs. 3 EpiG nicht ganz eng auslegen will. Das zieht die Konsequenz nach sich, dass Personen, die ihrem Wirt falsche Angaben zu ihren persönlichen Daten machen, eine Verwaltungsübertretung begehen. Das Gesetz verlangt freilich die Auskunft gegenüber den Behörden, nicht gegenüber dem Wirt. Haftet also doch der Wirt für falsche Kundendaten? Eine Klarstellung des Verordnungsgebers wäre sinnvoll.
Die Frage, die sich in Zeiten von „Daten sind das neue Gold“ auch hier stellt, lautet: Ist die Verordnung mit der Datenschutzgrundverordnung (kurz: DSGVO) in Einklang zu bringen? Die Kurzfassung der Antwort lautet „Ja, aber“.
Durch die Verordnung der MA 15 werden wesentliche Grundsätze der DSGVO (unter anderem Zweckbindung und Speicherbegrenzung) eingehalten. Auch die „Rechtmäßigkeit der Verarbeitung“ (für die Kenner: Art 6 Abs 1 lit c DSGVO) ist erfüllt.
Kunden ohne Mail und Telefon abzuweisen?
Das „aber“ liegt im Detail. Ist es wirklich notwendig, die E-Mail-Adresse und die Telefonnummer zu sammeln? Dies könnte dem Grundsatz der Datenminimierung widersprechen. Was ist aber mit Menschen, die keine E-Mail-Adresse oder Telefonnummer haben? Darf der Wirt diese gar nicht mehr einlassen oder bedienen? Was muss der Wirt tun, wenn ein (ihm vielleicht sogar namentlich unter anderem Namen bekannter) Stammgast als Max Mustermann zum Essen kommt?
Die DSGVO sieht vor, dass der Verantwortliche (hier wäre das der Wirt) personenbezogene Daten im Hinblick auf ihren Zweck richtigstellen oder löschen muss. Da der Zweck das Contact-Tracing ist, müsste der Wirt daher die ihm bekannt gegebenen Daten prüfen, weil andernfalls der Zweck der Datensammlung vereitelt wird. Die Verordnung lässt die Wirte (und die Datenschützer) in diesen Punkten im Unklaren. Und damit kann der Wirt auch Zwischen die Mühlsteine verschiedener Verordnungen und Verordnungsgeber geraten.
All diese Unklarheiten kann ein Wirt – sollte eine Strafe nach dem EpiG über ihn verhängt werden – zwar einwenden. Ein mutiger Wirt kann auch noch einen Schritt weitergehen und sich auf den Standpunkt stellen: Die Verordnung gelte nicht – zumindest nicht so umfassend –, da sie der DSGVO widerspreche. Ob die Verordnung der MA 15 das Schicksal einiger Covid-Verordnungen auf Bundesebene erleidet und nachbessert werden muss, werden vermutlich bald erste Gerichtsentscheidungen zeigen. Im Hinblick auf die wesentlich höhere Strafdrohung bei Verstößen gegen die DSGVO wäre das vielleicht sogar nicht nur mutig.
Daten müssen sicher verstaut werden
Eines ist jedenfalls sicher: Sollte ein Wirt die Kontaktinformationen erheben, muss er diese sicher verstauen und darf diese ausschließlich zum Zweck des Contact-Tracing verwenden. Er darf die Daten nur an die Bezirksverwaltungsbehörde sowie an die Österreichischen Agentur für Gesundheit und Ernährungssicherheit (gemäß § 5 Abs 4 EpiG) weitergeben. Sollte eine andere Behörde diese Informationen anfordern, ist Vorsicht geboten, da es sich dabei höchstwahrscheinlich um eine Anfrage „auf dem kurzen Weg“ handeln könnte, die ohne Rechtsgrundlage (und daher rechtswidrig) erfolgt. Dem Wirt droht hier eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.
In Deutschland hat es solche Fälle bereits gegeben. Hier hat die Polizei die Daten für die Aufklärung eines Raubüberfalls angefordert und der Wirt hat die Daten bereitwillig herausgegeben. Was die Datenschutzbehörde unternehmen wird, ist noch offen.
Auch im Interesse der Gesundheit des Rechtsstaates wäre vom Verordnungsgeber mehr Mut zur Klarheit zu erwarten gewesen.
Zu den Autoren
Mag. Markus Dörfler LL.M. und Mag. Georg Streit sind Partner bei Höhne, In der Maur & Partner Rechtsanwälte GmbH & Co KG.
