Viel wird in diesen Tagen über mögliche Datenschutzprobleme bei der neuen Corona-Warn-App oder bei Videokonferenzanbietern wie Zoom diskutiert. Aber bereits die Registrierungspflicht, die für Kunden in den meisten Bundesländern etwa in Gaststätten oder bei Frisören gilt, ist nicht unproblematisch. Gastbeitrag von Rechtsanwalt Sascha Hesse
Seit der Wiedereröffnung von Restaurants, Cafés oder Frisören müssen Gäste sich registrieren. Die meisten Besucher haben Verständnis dafür, wenn sie ihre Kontaktdaten in Listen eintragen müssen – stets versehen mit der Uhrzeit ihres Besuchs. Die Daten sollen der Nachverfolgung von Infektionsketten im Zusammenhang mit der Corona-Pandemie dienen. Sie müssen vier Wochen von den Betreibern aufbewahrt werden, um sie auf Anfrage an das zuständige Gesundheitsamt weitergeben zu können.
Soweit die Theorie. Die Praxis sieht jedoch – wenn wir ehrlich sind – meist so aus: Nicht alle Gäste tragen sich tatsächlich in die Listen ein. Viele Einträge sind zudem kaum vollständig oder nicht leserlich, im Ernstfall also wenig hilfreich. Aber viel heikler aus Sicht von Datenschützern: Bisweilen liegen die Listen beispielsweise in Restaurants noch offen auf den Tischen herum, wenn die dort mit ihren Kontaktdaten aufgeführten Gäste längst gegangen sind. Nachfolgende Gäste können sehen, wer vorher an ihrem Tisch gesessen hat. Oder Listen mit vorherigen Einträgen werden gleich von Tisch zu Tisch gereicht – jeder Besucher kann sie im Prinzip auch mit seinem Smartphone abfotografieren, ohne dass die Bedienung es überhaupt mitbekommt.
Denn das eigentliche Problem ist doch: Seit dem Beginn der Registrierungspflicht müssen Betriebe oder Institutionen Daten erfassen, die darin ungeübt sind, um es milde auszudrücken. Diese Überforderung führt zu ständigen Verstößen gegen den Datenschutz. Die Datenschutzbeauftragten der Bundesländer registrieren bereits eine wachsende Zahl von Beschwerden – aber die breite Masse nimmt die Fehltritte meist schweigend hin. Es sind schließlich spezielle Zeiten, die besondere Maßnahmen erfordern. Da will man nicht kleinlich sein.
Doch die Stimmung kann kippen, wie sich bereits bei der Verwendung von Videokonferenzsoftware zeigt: Wochenlang nutzten Unternehmen, Institutionen und Selbständige gängige Anbieter wie Zoom, um auch während der Corona-Pandemie Konferenzen und Besprechungen abhalten zu können. Seit einigen Wochen werden jedoch immer neue datenschutzrechtliche Probleme bekannt, die den Einsatz von Zoom in Unternehmen und Behörden grundsätzlich infrage stellen. So lässt sich der Konferenzanbieter beispielsweise pauschal genehmigen, umfangreiche personenbezogene Informationen zu erheben und an Dienstleister weitergeben zu können. Auf der Empfängerliste von Zoom: Facebook. Hierhin flossen anscheinend Daten von Nutzern, ohne diese darüber zu informieren.
Vertrauensverlust ist immens
Einen für Ende Juni angekündigten Transparenzbericht hat Zoom zur Empörung von Datenschützern bislang nicht vorgelegt. Der Vertrauensverlust ist immens, sogar Politiker warnen vor dem Einsatz von Zoom. Viele Unternehmen haben die Software bereits von ihren Rechnern verbannt, auch Privatnutzer sind zunehmend vorsichtig. Das Unternehmen mit Sitz im kalifornischen San José ist tief gefallen – nur kurioserweise an der Börse nicht. Die Aktionäre von Zoom rechnen offenbar fest damit, dass der Softwareanbieter seine Datenschutzlecks stopfen und neu durchstarten kann.
Zur Verteidigung von Zoom lässt sich anbringen, dass das 2011 gegründete Unternehmen nach Jahren des langsamen Wachstums auf den plötzlichen Boom im Zuge der Corona-Pandemie schlicht nicht vorbereitet war. Zuvor waren es in der Regel mehr oder weniger hippe Start-up-Unternehmen, die den Dienst nutzten, um sich Dienstreisen zu sparen. Deren Chefs und Mitarbeitern war die Weitergabe der Nutzerdaten möglicherweise sogar egal. Dass dann aber auch das britische Kabinett Zoom verwenden würde, damit dürfte noch vor wenigen Monaten in San José wohl niemand gerechnet haben – sonst hätten die Verantwortlichen von Zoom vielleicht auch keine Server in China für die Übertragung von angeblich unzureichend verschlüsselten Konferenzen angemietet. Denn auch das ist einer der heiklen Punkte, den insbesondere die Politik ankreidet.
Doch Unwissenheit schützt bekanntlich vor Strafe nicht. Und so sind auch die vielen Betreiber von Restaurants oder Cafés nicht auf der sicheren Seite, wenn sie sich bei Verstößen gegen den Datenschutz darauf berufen, dass sie von der Registrierungspflicht überrumpelt wurden. Ganz im Gegenteil: Sie müssen im Zweifel sogar beweisen, dass sie alles richtig gemacht haben in Sachen Datenschutz. So sieht es die Anfang 2018 in der EU eingeführte Datenschutzgrundverordnung (DSGVO) mit der sogenannten Beweislastumkehr vor. Mussten Betroffene nach dem alten Bundesdatenschutzgesetz selbst nachweisen, dass ein Verstoß gegen den Datenschutz vorliegt, so sollen Unternehmen nun im Streitfall belegen, dass sie die DSGVO genauestens befolgt haben. Und das kann im Ernstfall richtig in die Hose gehen, die drohenden finanziellen Strafen für eine fehlende oder falsche Umsetzung sind hoch.
Was könnte passieren? Gäste, die ihre Daten auf einer Liste eingetragen haben, könnten von ihrem Auskunftsrecht Gebrauch machen: Welche Daten sind erhoben worden, wann werden sie wieder gelöscht? Die DSGVO ermöglicht Verbrauchern ein umfassendes Auskunfts-, Korrektur-, Übertragungs- und Löschrecht. Fordern kritische Verbraucher ihre Rechte tatsächlich einmal ein, könnten sie damit so manchen Restaurant- oder Cafébetreiber arg in die Bredouille bringen – insbesondere angesichts der in diesen Tagen häufig beobachteten “Zettelwirtschaft” in punkto Registrierungspflicht.
Glücklicherweise – für die unzähligen Gewerbetreibenden, bei denen der Datenschutz im Moment eher lax gehandhabt wird – wissen die meisten Bundesbürger kaum um ihre Rechte. Die meisten Verbraucher sind froh, dass sie nach dem langen Corona-Shutdown überhaupt wieder ein wenig Normalität zurückgewonnen haben. Deshalb tragen sie ihre Daten bereitwillig in Listen ein. Selbst dann, wenn sie nur schnell eine Kugel Eis für die Kinder holen.
Wie eine Fiktion von George Orwell
Doch wie lange geht das noch gut? Findige Unternehmer könnten etwa auf die Idee kommen, Datenschutzverstöße zu sammeln und Schadenersatzansprüche geltend zu machen. Denn laut DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen die Verantwortlichen oder Auftragsverarbeiter des Unternehmens, welches die Daten erhoben und gesammelt hat. Mit Rückendeckung der DSGVO dürfen Betroffene Schadensersatz und sogar Schmerzensgeld verlangen, wenn die beklagten Unternehmen keine datenschutzkonforme Vorgehensweise nachweisen können oder gar Fehler einräumen müssen.
Was wäre, wenn es für die Meldung potenzieller Datenschutzverstöße und die Geltendmachung persönlicher Rechte in Zukunft sogar eine App gäbe? Das wäre die Perfektionierung eines neues Geschäftsmodells in Sachen DSGVO. Tausende von kritischen Verbrauchern könnten dann – stetig auf der Suche nach Verstößen in ihrem Alltag – selbst die kleinen Gewerbetreibenden um die Ecke arg ins Straucheln bringen. Das klingt noch wie eine Fiktion von George Orwell. Aber zeigt, wie ernst die Lage werden kann, wenn Verbraucher anfangen, sich gegen die momentan allgegenwärtige Datensammlung zu wehren. Ob Arzt, Frisör, Restaurant- oder Cafébetreiber: Sie alle bewegen sich derzeit auf dünnem Eis in Sachen Datenschutz. Was ist die Lösung? Alle Gewerbetreibenden sollten die DSGVO bei der Registrierungspflicht peinlichst genau beachten, um bei einem Stimmungsumschwung in der Bevölkerung nicht auf der Verliererseite zu stehen.
Autor Sascha Hesse ist CEO der Agor AG, die deutschland- und europaweit zu Datenschutz und IT-Sicherheit berät, und zugleich Partner und Rechtsanwalt der Agor legal Rechtsanwaltsgesellschaft.
