Aus Sicht der Stiftung Datenschutz 04/20: "Vorratsdatenspeicherung durch die Küchentür?"
Stell dir vor, es ist Vorratsdatenspeicherung, und keiner schaut hin. Wie kann es sein, fragte ich mich kürzlich, dass die überwiegende Mehrheit der Bundesländer eine anlasslose Speicherpflicht für personenbezogene Daten in der Gastronomie und in weiteren Branchen erlässt, ohne dass dazu eine wahrnehmbare öffentliche Debatte stattfindet? Waren der Herausgeber dieser Zeitschrift und der Autor dieser Kolumne fast alleine mit ihrer Kritik? Entweder waren weitere krtitische Stimmen im allgemeinen Trubel schlicht untergegangen oder aber Bürgerrechtler*innen und Datenschutzbeauftragte waren mit anderen Themen ausgelastet. Die Datenschutzaufsichtsbehörden jedenfalls, von denen viele bekanntlich keine harte Diskussion um den Grundrechtsschutz scheuen, blieben still. Sie äußerten sich ausschließlich zur Umsetzung der Verordnungen, nicht zu deren Berechtigung und Inhalt.
Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.
(Fast) Nichts ist uneinschränkbar
Eingriffe in das Grundrecht auf Datenschutz (Art. 8 Abs. 1 GRCh) und – nach klassisch deutschem Verständnis – auf informationelle Selbstbestimmung zu rechtfertigen ist kein Ding der Unmöglichkeit. Sowohl die EU-Grundrechtecharta (Art. 52 Abs. 1 GRCh) als auch die EU-Datenschutzgrundverordnung (Art. 6 Abs. 3 Satz 4 DSGVO) sehen nationale und einfachgesetzliche Einschränkungen vor – nur müssen sich diese eben erfolgreich am Grundsatz der Verhältnismäßigkeit messen lassen. Dass das von den deutschen Landesregierungen verfolgte Ziel einer Bekämpfung der Virus-Ausbreitung im öffentlichen Interesse liegt, ist unstreitig. Dass die Kontaktdatenerfassung in bestimmten Bereichen im Interesse der Gesundheitsverwaltung sein könnte, um Infektionsketten aufzudecken und in der Folge zu unterbrechen, ist nachvollziehbar. Genauer zu betrachten ist jedoch, ob die verordneten Pflichten zur Datensammlung – wie von der DSGVO verlangt – erforderlich sind und in angemessenem Verhältnis zum verfolgten legitimen Zweck stehen.
Weniger um das Ob geht es, mehr um das Wie
Den Autor jedenfalls beschlich das Gefühl, die Verhältnismäßigkeitserwägungen der Landesregierungen könnten größtenteils auf der (Vor-)Stufe der Prüfung eines legitimen Zweckes stehengeblieben sein. Jener ist mit dem Ziel der Gesundheitsvorsorge gegeben. Auch dürfte das überall gewählte Instrument der Rechtsverordnung anstelle von formellen Landesgesetzen angesichts des Zeitdruckes auch ein legitimes Mittel zur Verfolgung des legitimen Zweckes sein. Doch bereits bei der Geeignetheitsprüfung hätten erste Zweifel einsetzen müssen. Denn dem Vernehmen nach sind die meisten Gesundheitsämter kaum in der Lage, eine Kontaktkettenverfolgung anhand dezentral abzufragender Gästedaten zu bewerkstelligen; als Grund wird meist die blanke Personalnot genannt. Ob eine effektive Kontaktverfolgung mit mitunter unzureichenden Verwaltungskapazitäten nutzbare Resultate erbringen kann, ist unklar. Doch scheint der so offensichtlich legitime und allgemein begrüßte Zweck der Seuchenbekämpfung vorliegend die gebotene Prüfung der Geeignetheit etwas überstrahlt zu haben. So legte der Landesdatenschutzbeauftragte von Sachsen-Anhalt einen wahrlich zurückhaltenden Maßstab an, als er die Anordnung zur Registrierung von Restaurantgästen als „nicht völlig untauglich“ erachtete. Weil es nicht „völlig ausgeschlossen“ sei, mit der Maßnahme auch Infektionsketten nachverfolgen zu können, wäre diese Grundrechtseinschränkung auch „nicht per se völlig unverhältnismäßig“.
Muss das sein?
Diesem niederschwelligen Ansatz mag man noch folgen und die Datenerhebung als zur Erreichung des Zweckes nicht „schlechthin ungeeignet“ sondern als dafür zumindest förderlich ansehen. Doch wartet spätestens auf der zweiten Stufe der Verhältnismäßigkeitsprüfung der richtig harte Brocken in Form der unbarmherzigen Frage: „Muss es denn in dieser Form und Ausgestaltung sein?“ Wenn hier geprüft wird, ob ein gleich geeignetes, milderes Mittel zur Zweckerreichung in Frage kommt, dann hätten einige Landesregierungen in dieser Prüfung scheitern können. Es handelt sich um diejenigen Länder, die schlicht alle Kontaktdaten erheben lassen, anstatt sich sachgerecht zu beschränken. Es erscheint in keiner Hinsicht erforderlich, wenn sämtliche Gäste verpflichtet werden, sämtliche Kontaktdaten für mehrere Wochen zu hinterlassen. Anstatt sowohl Name und Anschrift als auch elektronische Kontaktdaten und Telefonnummer abzufragen, reicht es für eine – bestenfalls – zeitnahe Ansprache durch Gesundheitsämter im Bedarfsfall aus, wenn von Besucherinnen und Besuchern der Gastronomie lediglich ein Kontaktdatum nach Wahl zur schnellen Erreichbarkeit abgefordert wird.
Warum einheitlich, wenn’s auch zersplittert geht? Bei der Umsetzung der Datenabfrage zeigt sich eine große Uneinheitlichkeit der Länder: In manchen heißt es in der jeweiligen Verordnung nur „Kontaktdaten“ (Bremen, Hamburg, Niedersachsen, Nordrhein-Westfalen), in manchen werden einzelne Datenkategorien aufgeführt; das Saarland fordert Name, Wohnort und „Erreichbarkeit“. In manchen Ländern sollen alle Gäste registriert werden, in anderen nur einer pro Gruppe oder Haushalt. In Brandenburg, Sachsen und Thüringen gibt es wiederum gar keine Registrierungspflicht für die Gastwirte, sondern nur entsprechende Empfehlungen, in Berlin immerhin die „dringende Empfehlung“ – was auch immer eine solche rechtlich darstellen soll. Warum ausgerechnet in diesem Bereich wieder der berühmte föderale „Flickenteppich“ ausgerollt werden musste, ist nicht bekannt. Angesichts derselben Grundlage für alle Verordnungen (Infektionsschutzrecht des Bundes), derselben Pandemie in allen Bundesländern und derselben Adressatenschaft (alle gastronomischen Betriebe), hätte sich eine einheitliche Linie aufgedrängt. Sie hätte den praktischen Vorteil gehabt, dass man die Gastwirte bundesweit leicht hätte informieren können, was es überall bei der Datenerhebung zu beachten gilt. So bleibt für die datenschutzrechtlich Verantwortlichen nur der gut gemeinte Rat: „Erkundigen Sie sich in Ihrem Bundesland“. Erfreulich ist dagegen, dass mittlerweile einige vormals sammelfreudigere Bundesländer beginnen, sich an den datensparsameren zu orientieren. So nahm sich Bayern ein Beispiel an Mecklenburg-Vorpommern und schränkte zum Juni des Jahres seine Verordnung ein. In beiden Ländern müssen Gastronomen nun nur noch die Kontaktdaten einer Person pro Hausstand aufnehmen.
Aber es gibt womöglich noch mildere Mittel als das Beschränken der erhobenen Datenkategorien, um der Verhältnismäßigkeit genügen zu können. In der Schweiz wurde zum Zwecke der Kontaktverfolgung in der Gastronomie die App „Mindful“ entwickelt: Um in einem Lokal nachverfolgbar, aber datensparsam einzuchecken, öffnet der Gast die registrierungsfreie App, scannt einen QR-Code und würde im Falle eines positiv getesteten anderen Gastes eine Push-Nachricht empfangen. Daten im Lokal werden keine hinterlassen.
Ist das denn schon Vorratsdatenspeicherung?
Darf man denn nun die Pflicht zur Registrierung von Gastronomiebesuchenden eine „Vorratsdatenspeicherung“ nennen, obwohl sie nicht exakt der zuletzt von Innenpolitikern „Mindestspeicherfrist“ genannten Erhebung von Telekommunikationsdaten entspricht? Ja, man sollte. Denn hier wie dort haben wir es mit einer Speicherung ohne Anlass zu tun. Ob es ein Infektionsrisiko im Gastraum und damit ein konkretes Risiko gegeben haben kann, wird erst im Nachhinein bekannt. Auch relativiert die Verwendung des Begriffes nicht etwa die „andere“ Vorratsdatenspeicherung. Die offensive Benennung soll der Maßnahme der Länder vielmehr die nötige Aufmerksamkeit bringen, die ihr bislang nicht zuteil wurde.