Hamburg. Immer häufiger können Besucher Selbstauskunft per Handy hinterlassen. Doch Datenschützer empfehlen ein anderes Vorgehen.
Es ist längst Standard – wenn auch ein ungeliebter: Wer ein Restaurant oder Café besucht, muss dort seine Daten hinterlegen, damit im Falle einer Corona-Infektion nachverfolgt werden kann, wer sich zur selben Zeit dort aufgehalten hat. Wie die Daten erfasst werden, ist von Lokal zu Lokal unterschiedlich. Klar ist aber: Immer häufiger werden Gäste gebeten, ihre Daten online abzugeben.
Im italienischen Restaurant Dal Fabbro am Eppendorfer Weg oder in der Villa am Park in Eimsbüttel etwa können Gäste einen QR-Code mit dem Handy scannen und dann ihre Daten in ein Online-Formular eingeben. Sicher, kontaktlos und ohne bürokratischen Aufwand – das sollen die Vorteile dieser Methode sein, die inzwischen immer mehr Gastwirte und Gäste nutzen.
Doch seitdem der Chaos Computer Club durch einen Hacker-Angriff offengelegt hat, dass Tausende Corona-Kontaktverfolgungs-Formulare nicht ausreichend geschützt im Netz standen, sind viele Gäste verunsichert. Konkret geht es um den Gastronomie-Software-Anbieter Gastronovi aus Bremen. Das Unternehmen bestätigte nach dem Hackerangriff, dass die Systeme anfällig gewesen seien. Weiter heißt es, dass die Schwachstellen umgehend behoben wurden und dass die Daten der Kunden zu keinem Zeitpunkt unsachgemäß verwendet worden seien.
Lüneburger Agentur entwickelt App 2FDZ
Klar ist: Mit der Notwendigkeit, die Kontaktnachverfolgung beim Restaurantbesuch möglich zu machen, ist auch ein Markt entstanden, auf dem sich zahlreiche Anbieter für digitale Lösungen versuchten und versuchen. Einer davon ist die Lüneburger Agentur Aktiv Online. Sie zählte zu den ersten Firmen in Deutschland, die eine digitale Lösung zur Erfassung der Kundendaten angeboten haben. „Damals ging alles sehr schnell“, erinnert sich Geschäftsführer Roland Delion. „An dem Montag, an dem wir auf den Markt gekommen sind, waren wir noch allein. Am Ende der Woche gab es schon vier weitere Anbieter.“
Lesen Sie auch:
- Gastro-Dienstleister hat Gäste-Daten unzureichend geschützt
- Das Borchers öffnet nach sieben Monaten wieder
Die App, die Delion und sein Team entwickelt haben, nennt sich 2FDZ und wird auch in Hamburg von vielen, teils namhaften Gastrobetrieben genutzt. Wie aber funktioniert die App? Sind die Daten sicher? Und wer ist für das Löschen verantwortlich? Schließlich dürfen die Daten je nach Bundesland nur eine bestimmte Zeit gespeichert werden, in Hamburg sind es vier Wochen.
„Bei 2FDZ funktioniert es so, dass der Restaurantbesucher den QR-Code mit dem Handy einscannt. Dann wird er zu einem Formular weitergeleitet, auf dem er seine Kontaktdaten einträgt.“ Diese Angaben werden verschlüsselt an eine Datenbank weitergeleitet und nach Ablauf der gesetzlichen Frist automatisch gelöscht. „Die Anwendungen sind so programmiert, dass die entsprechenden Daten sicher nach Ablauf der Frist verschwinden“, versichert Delion.
„Das Interesse von Dritten an den Daten ist da“
Aus der Erfahrung der vergangenen Wochen und Monate weiß er aber auch: „Das Interesse von Dritten an den Daten ist da.“ Die Regelungen des Gesetzgebers seien aber zum Glück eindeutig. „Die aufgrund der Pandemie-Erlasse erfassten Kontaktdaten dürfen nur für den einen Zweck gespeichert werden. Wer anders handelt, macht sich strafbar, und die Strafen sind zu Recht hoch.“
Laut Ulrike von Albedyll, Landesgeschäftsführerin des Hotel und Gaststättenverbandes Dehoga, würden die meisten Gastronomiebetriebe aber noch ganz klassisch mit Stift und Papier arbeiten. „In der Praxis hat es sich bei den meisten gut eingespielt, mit kleinen Zetteln zu arbeiten, die die Gäste dann ausfüllen.“
Für alle Gäste einsehbare Sammellisten, die es anfänglich noch in einigen Restaurants gegeben hätte, würde es inzwischen aus datenschutzrechtlichen Gründen nicht oder kaum noch geben. „Die Papierlösung ist für viele Gastronomen die übersichtlichste. Die Zettel werden gesammelt, geordnet abgeheftet und nach vier Wochen entsorgt.“ Das sei natürlich ein enormer Aufwand, aber inzwischen habe es sich eingespielt.
Datenschutz: Noch nicht jede Frage geklärt
Auch Hamburger Datenschützer meinen: „Grundsätzlich spricht nichts gegen den Einsatz von digitalen Lösungen im Gastronomiebetrieb. Im Gegenteil können sowohl Gaststättenbetriebe als auch Gäste hiervon profitieren“, so Alina Feustel vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.
„Viele der Dienstleister sind allerdings noch nicht lange mit ihren Angeboten zur Kontaktdatenerfassung am Markt, sodass möglicherweise nicht alle datenschutzrelevanten Punkte bis zum Ende durchdacht worden sind und so Sicherheitslücken entstehen können. Der Fall Gastronovi hat das anschaulich gemacht“, so Feustel. „Und so ist die klassische Lösung mit Papier und Stift auch diejenige, die die Hamburger Datenschützer empfehlen.“
Doch auch bei den schriftlich gesammelten und zum Teil an die Gesundheitsämter weitergegebenen Daten sei noch nicht jede Frage abschließend geklärt.
Polizei nutzte Daten für Ermittlungen
So hatte zuletzt die Polizei für Aufsehen gesorgt, als herauskam, dass sie in mehreren Fällen Kundendaten für Ermittlungen genutzt hat. Wie berichtet, sind fünf Fälle bekannt, in denen zum Zwecke polizeilicher Ermittlungen Einsicht in Gästelisten genommen wurde.
Datenschützerin Feustel betont: Da die Kontaktdaten in großem Ausmaß anlasslos gespeichert werden, gilt es, die angeordneten Maßnahmen stets an die Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit sowie die aktuellen Entwicklungen und Gefährdungslagen auszurichten. „Wir begrüßen es daher ausdrücklich, dass die Sozialbehörde zusichert, die Kontaktdatenverarbeitung zur Infektionskettenverfolgung durch die Gesundheitsämter kontinuierlich zu evaluieren.“