Kontaktdatenerfassung in Bäderbetrieben auf dem Prüfstand der Datenschutzaufsichtsbehörden

© BBH

Die Corona-Pandemie wirkt sich weiterhin auf den Alltag und die Freizeitgestaltung aus. Neben Abstandsregelungen, Hygienemaßnahmen und dem Tragen von Alltagsmasken (wir berichteten) spielt auch die Kontaktdatenerfassung von Besuchern eine große Rolle bei der Kontrolle des Infektionsgeschehens. Dies gilt insbesondere für Betriebe mit Publikumsverkehr wie im Gastronomie- und Kulturbereich, deren Öffnung durch die Aufstellung eines Hygiene- und Schutzkonzeptes überhaupt erst ermöglicht wird.

Aber auch Sport- bzw. Freizeiteinrichtungen und Schwimmbäder sind hiervon betroffen. Gerade mit Beginn der Hallenbadsaison rückt für Bäderbetriebe nun neben dem komplexen Thema Lüftungsanlagen die Frage nach der Kontaktdatenerfassung der Gäste, deren datenschutzrechtliche Zulässigkeit und Umsetzung in den Vordergrund.

Bei der Erhebung, Speicherung und sonstigen Verarbeitung von Besucherdaten müssen datenschutzrechtliche Vorgaben beachtet werden. Nach der Datenschutz-Grundverordnung (DS-GVO) ist die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten nur gegeben, wenn hierfür gewisse Bedingungen erfüllt sind.

Die Rechtmäßigkeit kann auf eine gesetzliche Vorgabe gestützt werden, oder, sofern eine solche nicht vorliegt, auf eine Einwilligung der betroffenen Person. Die gesetzliche Pflicht zur Kontaktdatenerfassung und damit zugleich Grundlage für die Rechtmäßigkeit der Verarbeitung nach der DS-GVO kann sich aus den Corona-Verordnungen der einzelnen Bundesländer ergeben.

Keine einheitliche Rechtslage

In Deutschland hat sich aufgrund der Verordnungsermächtigung der Länder im Infektionsschutzgesetz (IfSG) ein Flickenteppich aus länderspezifischen Regelungen gebildet. Zusätzlich erschwert wird die unübersichtliche Lage dadurch, dass die Verordnungen teilweise in sehr kurzen Zeitabständen geändert werden, um sie dem  aktuellen Infektionsgeschehen anzupassen.

Für Bäderbetriebe gilt es daher, das jeweilige Landesrecht zu beachten, aufmerksam zu beobachten und die individuelle Rechtsgrundlage für die Datenerhebung fortlaufend zu prüfen.

Einige Bundesländer schreiben in ihren Corona-Verordnungen vor, dass Kontaktdaten, jedenfalls in Hallenbädern, abgefragt werden müssen, beispielsweise in Bayern oder Berlin. Andere Länder empfehlen lediglich eine Erhebung oder stellen sie unter die Bedingung der Zustimmung des Gastes, so etwa in Rheinland-Pfalz.

Weitere Verordnungen enthalten keine klaren Regelungen für die Datenerhebung und Dokumentation im Bäderbetrieb. In Niedersachsen und Hessen sind die Datenschutzbehörden offenbar der Ansicht, eine Erhebung und Speicherung der Besucherdaten sei grundsätzlich unzulässig. Die jeweilige Verordnung biete für die Erhebung und Speicherung der Daten keine eindeutige Rechtsgrundlage.

Wenn die Verordnungen des jeweiligen Landes keine Vorgabe zur Kontaktdatenerfassung enthalten, muss für eine Kontaktdatenerhebung geprüft werden, ob die Datenerhebung auf eine andere Rechtsgrundlage gestützt werden kann bzw. muss, etwa die Einwilligung des Besuchers. Andernfalls wäre auf die Kontaktdatenerhebung zu verzichten.

Insbesondere ist spezifisch zu prüfen, ob eine eindeutige Verpflichtung zur Datenerhebung im gesamten Schimmbadbereich besteht oder ggf. nur im Restaurationsbetrieb des Schwimmbades.

Gerichte äußern sich bisweilen uneinheitlich

Der Verfassungsgerichtshof (VGH) des Saarlandes  stufte die Rechtsverordnung der saarländischen Landesregierung als nicht ausreichend ein und erklärte die Regelung zur Datenerhebung für verfassungswidrig (Urt. v. 28.8.2020, Az. Lv 15/20). Das Saarland wird nun ein entsprechendes Landesgesetz auf den Weg bringen müssen. Demgegenüber hat das Oberverwaltungsgericht (OVG) Nordrhein-Westfahlen die entsprechende Regelung in der Landesverordnung als verfassungsgemäß eingestuft (Beschl. v. 23.6.2020, Az. 13 B 695/20.NE). Beide gerichtlichen Verfahren betrafen zwar nicht spezifisch die Kontaktdatenerhebung von Besuchern im Bäderbetrieb, sind aktuell dennoch zu beachten.

Umsetzung datenschutzkonform ausgestalten

Im Hinblick auf die Umsetzung der Kontaktdatenerfassung durch Bäderbetriebe kommt es immer wieder zu Verstößen gegen das Datenschutzrecht. In einigen Fällen wird eine Liste oder eine Art Gästebuch ausgelegt, in welchen sich die Gäste nacheinander eintragen und so die Kontaktdaten anderer Gäste frei einsehen können. Eine solche Zugänglichmachung von Daten gegenüber unbefugten Dritten stellt jedoch einen Verstoß gegen das Datenschutzrecht dar, welcher mit empfindlichen Bußgeldern geahndet werden kann.

Weiterhin sollten Kunden über die Datenerhebung informiert, nur die benötigten Kontaktdaten abgefragt und diese innerhalb der vorgeschriebenen Fristen gelöscht werden.

Von Seiten der wachsamen Datenschutzbehörden droht ein Einschreiten, wenn landesrechtliche Vorgaben nicht beachtet werden. Auf Bäderbetriebe und ihre Mitarbeiter kommt damit ein zusätzlicher Aufwand zu, die jeweiligen Vorschriften im Blick zu behalten.

Ansprechpartner*innen: Tobias Sengenberger/Meike Weichel/Alexander Bartsch/Thomas Schmeding

Share
Weiterlesen

21 Mai

Der Erste seiner Art: Der AI Act kommt

Nach der Zustimmung durch das Europäische Parlament vom 13.3.2024 hat nun der Rat der Europäischen Union am 21.5.2024 das Gesetz über künstliche Intelligenz („AI Act“) als weltweit ersten umfassenden Rechtsrahmen für das Thema künstliche Intelligenz (KI) verabschiedet. Unternehmen sollten sich...

15 Mai

Kommunalpolitische Initiativen gegen den Stillstand im Straßenverkehrsrecht

Am 24.11.2023 haben neun Bundesländer die als Minimalkompromiss ausgehandelte Novelle des StVG und der StVO auf den letzten Metern gestoppt. Der Vermittlungsausschuss könnte die gescheiterte Reform noch retten – bislang gibt es allerdings noch keinerlei offizielle Verlautbarung, ob und wann...