Wer in Wien eine Bar, ein Restaurant oder ein Café besucht, muss seit gestern, 28. September 2020, seinen Namen, Telefonnummer, E-Mail-Adresse, Tischnummer sowie Uhrzeit und Datum des Besuchs registrieren. Mindestens 5000 Gastronomiebetriebe in Wien müssen diese Daten erfassen, sonst droht eine Geldstrafe. Was sind die Folgen?
Es ist schwer abzuschätzen, wie viele Daten aufgrund dieses jüngsten Erlasses erhoben werden. Nach Angaben der Wirtschaftskammer Österreich sind mindestens 5000 Bars, Restaurants und Cafés in Wien betroffen (Imbissbetriebe sind ausgenommen). Man kann (sehr) konservativ sagen, dass im Durchschnitt 50 Personen ein betroffenes Lokal besuchen werden (genaue Daten dazu gibt es nicht). Das würde bedeuten, dass täglich mindestens 250.000 Namen und persönliche Daten durch die verpflichtende Kontaktregistrierung gesammelt werden. Dies ist eine enorme Menge an Daten. Die lokalen Behörden haben keinen bestimmten Prozess zur Erhebung dieser Daten vorgeschrieben. Die Erfassung kann entweder dadurch erfolgen, dass jedem Gast ein Papierformular zum Ausfüllen ausgehändigt wird, oder durch die Verwendung einer digitalen App. Die Daten müssen dann vom Gastronomen mindestens 4 Wochen lang gespeichert werden.
Es gab wenig Vorankündigung für die neue Messung, die zu hastig eingeführt und nicht sehr gut durchdacht zu sein scheint. Zwei Fragen, die beantwortet werden müssen, sind, ob die Datenschutzrisiken, die wir eingehen müssen, in einem angemessenen Verhältnis zum angeblichen Schutz unserer kollektiven Gesundheit stehen. Und ob die örtliche Regierung Ineffizienz, Rechtsverstöße und eine zu große Belastung der lokalen Gastronomen riskiert, indem sie die Methode der Datenerfassung nicht festlegt.
Schützt die obligatorische Kontaktregistrierung unsere kollektive Gesundheit?
Ja, insbesondere in einer Welt, in der jede Bewegung jeder Person minutiös erfasst wird, ist die Ermittlung von Kontaktpersonen eine wirksame Strategie zur Krankheitsbekämpfung. Sobald bestätigt ist, dass sich eine Person mit COVID-19 angesteckt hat, werden die persönlichen Daten aller Personen, mit denen sie Kontakt hatte, zur Verfügung gestellt, und diese Person kann dann daran gehindert werden, Weitere zu infizieren. Dies lässt jedoch an beängstigende orwellianische Szenarien denken, die die Bürger instinktiv an Kontrollregime und beängstigende Eingriffe in die Privatsphäre erinnern. Natürlich ist die derzeitige Kontaktregistrierungspflicht nicht so umfassend, da sie "nur" die Besucher von Restaurants, Bars und Cafés zur Angabe ihrer persönlichen Daten auffordert. Jede derartige Datenerhebung wirft jedoch Bedenken hinsichtlich der Art und Weise der Datenerhebung und -weitergabe, der Transparenz, der Speicherdauer der Daten, der Verschlüsselung und des Risikos von Datenschutzverletzungen auf. Daher ist es wenig hilfreich, wenn einige Beamte die Besucher zur Angabe ihrer Daten auffordern, weil sie ihre persönlichen Daten bereits in den sozialen Medien und für Kundenkarten in Geschäften angeben. Die Hemmung, aktiv persönliche Daten anzugeben, hat mit der Tatsache zu tun, dass die Kontaktregistrierung eine weitere Freigabe persönlicher Daten ist, die potenziell verletzt werden könnte. Von der Flut widersprüchlicher Informationen und dem Mangel an Konsens in Bezug auf das Corona-Virus und dessen Eindämmung, das Eingriffen in die Rechte auf Privatleben, kombiniert mit einer COVID-19-Müdigkeit nach so vielen Monaten der Einschränkungen, einmal abgesehen.
Die Frage der Verhältnismäßigkeit ist von entscheidender Bedeutung, und mit dieser Frage geht die Forderung der Behörde einher, wissenschaftliche Untersuchungen vorzulegen, um die invasive Praxis der Kontaktregistrierung zu stützen. Ohne wissenschaftliche Begründung ist die Kontaktregistrierung nur ein weiterer politischer Schritt, der vorgeblich zeigt, dass man sich bemüht, die Ausbreitung von COVID-19 zu verhindern. Leider ergab eine ausgiebige Durchsuchung der offiziellen Website der Stadt Wien und anderer lokaler offizieller Quellen keinen Hinweis auf überwältigend klare wissenschaftliche Untersuchungen, die die Kontaktregistrierung, wie sie in der Wiener Gastronomie eingeführt wurde, als eindeutige Notwendigkeit zur Eindämmung der Verbreitung von COVID-19 unterstützen. Weitere weltweite Online-Recherchen ergaben einige Forschungsergebnisse, die in der angesehenen medizinischen Fachzeitschrift The Lancet veröffentlicht wurden, sich aber eher mit der Unterscheidung zwischen konventioneller und App-Kontaktverfolgung befassen. Das wirft nur weitere Fragen auf. Warum kann man zum Beispiel dem Wiener Gast nicht zutrauen, dass er sich erinnert, wo und mit wem er in den letzten Wochen etwas getrunken oder gegessen hat? Es scheint offensichtlich an einer angemessenen und klaren Begründung für die verpflichtende Kontaktaufnahme zu fehlen. Erste Rückmeldungen* zeigen bereits, dass mindestens 40% der Gäste nicht bereit sind, die neuen Anforderungen zu erfüllen. Die Folgen für die Wiener Gastronomie sind noch abzuwarten.
Riskiert die Stadtverwaltung Ineffizienz, Rechtsbruch und eine Überforderung der Gastronomen?
Seit der Einführung der Datenschutz-Grundverordnung im Mai 2018 müssen Gastronomiebetriebe, wie jedes andere Unternehmen auch, eine Reihe von Maßnahmen zum Schutz personenbezogener Daten einhalten. Zu diesen Maßnahmen gehören die sichere Verarbeitung personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen und die sichere Speicherung dieser Daten. Natürlich erfordern die neuen Bestimmungen eine erneute Schulung des Personals, das für die Erfassung der personenbezogenen Daten zuständig ist (im Falle der Verwendung von Papierformularen), und möglicherweise eine Erweiterung der sicheren Speicherkapazitäten. Als zusätzliche Sicherheit, insbesondere wenn die Datenerfassung über Papierformulare erfolgt, sollten die Gastronomen in Erwägung ziehen, ihr Personal Vertraulichkeitsvereinbarungen unterzeichnen zu lassen. Darüber hinaus müssen Websites und andere Stellen, an denen die Datenschutzpolitik des Gastronomen angezeigt wird, möglicherweise aktualisiert werden, um zu präzisieren, wie die personenbezogenen Daten der Gäste verarbeitet und gespeichert werden. Außerdem stellt sich die Frage, ob der Gastronom aufgrund der potenziell enormen Menge an personenbezogenen Daten, die er zu verarbeiten hat, nun einen Datenschutzbeauftragten benennen muss. Werden die Daten digital erfasst, muss der Gastronom in digitale Geräte investieren, die ständig desinfiziert werden müssen, oder er stellt den Gast vor die Aufgabe, eine App herunterzuladen, mit der er sich dann registrieren muss oder mit der er einen QR-Code scannt. Eine offensichtliche Frage, die sich dabei stellt, ist: Wer kontrolliert, ob der Gast tatsächlich seine Daten registriert oder den Code einscannt? Berichte aus dem Ausland bestätigen bereits, dass zwei Drittel aller Registrierungen nutzlos sind, weil sie entweder unleserlich sind oder falsche Namen enthalten.**
Was ist mit QR-Codes?
Es ist fraglich, warum nicht eine klare und übersichtliche Richtlinie für die Erhebung personenbezogener Kontaktdaten erlassen wurde. Neben der Bereitstellung eines Formulars und einer Liste von Apps, die verwendet werden können, bleibt es dem Gastronomen überlassen, wie er die mühsame Aufgabe der Erfassung der personenbezogenen Daten seiner Gäste bewältigt. Alles, was die lokale Regierung interessiert, ist, dass die Daten irgendwie gesammelt werden. Aber sollten die Behörden bei solch sensiblen Messungen nicht mehr Weisung erteilen? Es wurden bereits eine Reihe enormer Verstöße gegen einfache, aber ungesicherte IT-Lösungen zur Erfassung von Gästedaten aufgedeckt, wie z. B. die 4 Millionen Einträge im System von Gastronovi in Deutschland***. Liegt es nicht in der Verantwortung jeder Behörde, dafür zu sorgen, dass ihre Maßnahmen so sicher wie möglich für die Öffentlichkeit durchgeführt werden können? Natürlich wurde Wien in letzter Zeit auf zahlreiche berüchtigte rote Listen gesetzt, und es besteht die Gefahr, dass COVID-19 die lokale Wirtschaft immer mehr lähmt. Der Druck, von diesen Listen herunterzukommen, ist groß. Anstatt neue Messungen durchzupeitschen, hätte die Stadtverwaltung zum Beispiel eine App zur Verfügung stellen sollen, die mit QR-Codes arbeitet. QR-Codes sind nichts Neues. Sie werden seit über einem Jahrzehnt im Marketing, im Bankwesen und bei Veranstaltungen eingesetzt. Nahezu jeder weiß, wie man QR-Codes verwendet. Inzwischen gibt es eine Vielzahl von Apps, mit denen Gastronomen persönliche Daten ihrer Gäste sammeln. Für den Gast bedeutet dies mehrere Apps herunterzuladen und viele Seiten mit Datenschutz- und Nutzungsbedingungen durchzulesen. Hier gibt es definitiv Verbesserungsbedarf.
RFID als Lösung für die Wiener Christkindlmärkte.
Die Verpflichtung zur Erfassung von Gästedaten wird zumindest bis Ende des Jahres bestehen bleiben. Wenn die Weihnachtsmärkte wie in den vergangenen Jahren organisiert werden, wird möglicherweise auch die Kontaktregistrierung ein Thema werden. Die Technologie der Radiofrequenz-Identifikation (RFID) wurde in den vergangenen Jahren bei vielen Großveranstaltungen erfolgreich eingesetzt. Die Besucher solcher Veranstaltungen erhalten ein Armband mit RFID-Etiketten, die eindeutige Identifikationsdaten enthalten, mit denen Zahlungen getätigt und der Eintritt überwacht werden können. Die eindeutigen Identifikationsdaten sind mit den persönlichen Daten verknüpft, die der Besucher bei der Registrierung angegeben hat. RFID erfordert eine vorherige Registrierung und einen physischen Chip, der z. B. in ein Armband eingebaut werden kann. Sie hat jedoch gegenüber QR den Vorteil, dass sie mit Geld vorgeladen und zum Bezahlen verwendet werden kann.
Sowohl QR-Codes als auch RFID sind Technologien, die leicht verfügbar und einfach zu implementieren sind. In Anbetracht der Tatsache, dass Wien beabsichtigt, die Kontaktregistrierung in der Gastronomie zumindest bis Ende des Jahres vorzuschreiben, sollten die lokalen Behörden aktiv werden und eine Lösung für alle Betriebe anbieten. Dies wäre der vernünftigste Weg, um eine effiziente, sichere, praktikable und am wenigsten belastende Art der Datenerfassung für die Bürger zu gewährleisten.
In Anbetracht der Tatsache, dass Wien beabsichtigt, die Kontaktregistrierung in der Gastronomie zumindest bis Ende des Jahres vorzuschreiben, sollten die lokalen Behörden aktiv werden und eine Lösung für alle Betriebe anbieten. Dies wäre der vernünftigste Weg, um eine effiziente, sichere, praktikable und am wenigsten belastende Art der Datenerfassung für die Bürger zu gewährleisten.
Geschrieben von Aisha N. van der Staal und Gregor Wepper