Whistleblowing-Meldesysteme
Wir helfen bei der Umsetzung und Aufarbeitung!
Im September 2020 wurde in Wien wie auch in Ober- und Niederösterreich eine Contact-Tracing Verordnung erlassen. Diese verpflichtete unter anderem Gastwirte dazu, bestimmte personenbezogene Daten ihrer Gäste, wie Namen und Kontaktinformationen, zu erheben sowie zu speichern. Diese Informationen sollten bei Auftreten von COVID-19-Verdachtsfällen an die Bezirksverwaltungsbehörde als Gesundheitsbehörde übermittelt werden. Die Daten waren vier Wochen nach ihrer Erhebung zu löschen.
Ein Wiener Gastronom erachtete sich durch diese Verordnung unter anderem in seinen Grundrechten auf Datenschutz, Recht auf Privat- und Familienleben sowie auf Einhaltung des Kommunikationsgeheimnisses als verletzt und stellte zudem die gesetzliche Grundlage der Verordnung in Frage. Mittels Individualantrag trug er seine Bedenken an den Verfassungsgerichtshof heran.
Dieser hielt fest, dass die gesetzliche Grundlage, auf welche die Wiener Contact-Tracing Verordnung gestützt wurde (§ 5 Abs 3 EpiG), keine ausdrückliche Verpflichtung zur Erhebung und Übermittlung bestimmter Daten von Kunden von Gastronomiebetrieben enthielt. Zum erst am 19.12.2020 in Kraft getretenen § 5c EpiG hielt der VfGH fest, dass diese Bestimmung im Hinblick auf den Umfang der zur Erhebung vorgesehenen personenbezogenen Daten, wie Name, Kontaktdaten, Ort und Zeit des Aufenthaltes, einen schwerwiegenden Eingriff in das Grundrecht auf Datenschutz nach Art 8 EMRK und § 1 DSG erlaubt. § 5c EpiG lässt die Erhebung und Übermittlung von personenbezogenen Daten von Kunden von Gastronomiebetrieben soweit und solange zu, als dies auf Grund der COVID-19-Pandemie unbedingt erforderlich und verhältnismäßig ist und ist zudem auf Personen beschränkt, die sich länger als 15 Minuten am betreffenden Ort aufgehalten haben.
Räumt eine Verordnungsermächtigung dem Verordnungsgeber – zulässig – einen solch großzügigen Ermessensspielraum ein, verlangt die Rechtsprechung des VfGH vom Verordnungsgeber eine nachvollziehbare Darlegung der Entscheidungsgrundlagen für die Verordnung und der gesetzlich vorgegebenen Abwägungsentscheidung. Wie in einigen anderen COVID-19-Verordnungen, waren auch der Contact-Tracing Verordnung der Stadt Wien keinerlei Hinweise auf die Entscheidungsgrundlagen und der gesetzlich festgelegten Abwägungsentscheidungen zu entnehmen. Die bloße Sammlung und Übermittlung von vorhandenen wissenschaftlichen Daten und Studien zu den Auswirkungen und zur Verbreitung von COVID-19 wird diesen Anforderungen dann nicht gerecht, wenn nicht nachvollziehbar ist, inwiefern sie Grundlage für die Willensbildung waren. Daher stellte der VfGH – weil die Verordnung mit Ende des Jahres 2020 außer Kraft getreten ist – die Gesetzwidrigkeit der Verordnung fest.
Die Frage, ob § 5 Abs 3 EpiG eine ausreichende Grundlage für eine Verpflichtung zur Erhebung und Übermittlung der Daten durch die Gastronomen darstellte, musste der VfGH nicht mehr prüfen. Sie war jedoch zuvor bereits in einer Entscheidung der Datenschutzbehörde mit überzeugenden Argumenten abgelehnt worden. Zudem hatte die Datenschutzbehörde festgestellt, dass die auf die Verordnung der Stadt Wien gestützte Datenverarbeitung durch die Gastwirte gegen die Grundsätze der Datenverarbeitung verstößt.
Die strengen Anforderungen an einen verhältnismäßigen Eingriff in das Grundrecht auf Datenschutz lassen darüber hinaus auch Zweifel an der Verfassungskonformität des neu geschaffenen § 5c EpiG, der nunmehr die Erhebung von Kontaktdaten regeln soll, aufkommen. Diese verstärken sich dadurch, dass die solcherart erhobenen personenbezogenen Daten in diesem Zusammenhang Gesundheitsdaten sind. Doch bereits der Umfang der vom Gastwirt zu erhebenden und zu speichernden personenbezogenen Daten erscheint unverhältnismäßig. Die Preisgabe von Kontaktdaten ist vor dem Hintergrund, dass diese bei Angabe des vollständigen Vor- und Zunamens durch die Behörde ermittelt werden können, nicht unbedingt erforderlich. Ob es tatsächlich notwendig ist zu dokumentieren, an welchem Tisch der Gast genau Platz genommen hat (und damit: mit wem), knüpft sich an die epidemiologische Frage nach der (reellen) Möglichkeit der Ansteckung von Gästen desselben oder des Nachbartisches.
Die vorgesehene Speicherungsdauer von 28 Tagen wird infolge des Umstandes, dass eine Übertragung von COVID-19 nach bisher durch Experten vermitteltem Kenntnisstand deutlich unter dieser zeitlichen Grenze liegt, nicht zwingend erforderlich sein. – Dies auch unter Berücksichtigung einer etwaigen (zusätzlichen) behördlichen Reaktionszeit.
Zutreffend schreibt § 5c Abs 4 EpiG aber vor, dass die zur Aufbewahrung der Daten verantwortlichen Personen insbesondere sicherzustellen haben, dass die erhobenen Daten nicht durch Dritte einsehbar sind. In welcher Weise sie das umsetzen – ob elektronisch mittels QR-Code oder manuell mit „Stift und Zettel“ – bleibt ihnen überlassen. Auch betriebsintern wird ein datenschutzsicherer Umgang mit den Daten gefordert.
Zusammengefasst steht die nunmehr aktuelle gesetzliche Grundlage zur Gästeregistrierung unter grundrechtlichen Bedenken. Falls der Zutritt von Gästen in Gaststätten unter der Voraussetzung einer „Registrierung“ künftig erlaubt sein soll, sollte die bestehende gesetzliche Grundlage nochmals überarbeitet werden, um sie auf ein verfassungsrechtlich stabileres Fundament zu stellen – in diesem Zusammenhang könnte weniger (an Daten) mehr (an Rechtssicherheit) bedeuten.
Für die Beantwortung weiterer Fragen zu diesem Thema steht Ihnen unser Experte Dr. Thomas Riesz aus dem Team Datenschutzrecht gerne telefonisch oder unter akut@hnp.at zur Verfügung.
Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.