DSB: Wiener Contact-Tracing Gästeregistrierung datenschutzwidrig
- Originalsprache: Deutsch
- ZIIRBand 9
- Judikatur, 4883 Wörter
- Seiten 68 -76
- https://doi.org/10.33196/ziir202101006801
20,00 €
inkl MwSt
Die einer Person zugeordneten Kennziffern (wie zB die Sozialversicherungsnummer) stellen dann kein Gesundheitsdatum dar, wenn sie als bloßer Identifikator und unabhängig von einem gesundheitlichen Kontext verwendet werden.
Werden die Daten einer Person (hier: Vorname, Nachname und Telefonnummer) aber ausschließlich zum Zweck des „Schutz[es] von Leben und Gesundheit [der] Mitarbeiter und [der] Gäste [des Gastronomiebetriebes] iZm dem Auftreten des Coronavirus bzw der COVID-19-Epidemie“ sowie zum Zweck der „Unterstützung der Bezirksverwaltungsbehörde bei der Ermittlung von Kontaktpersonen bei Auftreten eines Infektionsfalles“ erhoben, erfolgt diese Datenermittlung in einem rein gesundheitlichen Kontext. Es handelt sich damit insgesamt um Gesundheitsdaten iSv Art 9 Abs 1 DSGVO.
Zur Verarbeitung dieser nach dem Zweck ihrer Erhebung als „potentiell sensible“ Daten zu qualifizierenden besonderen Kategorie personenbezogener Daten bedarf es einer ausdrücklichen Einwilligung gemäß Art 9 Abs 1 lit a DSGVO. Deren Wirksamkeit ist vom Verantwortlichen gemäß Art 5 Abs 1 lit a und Abs 2 iVm Art 7 und 9 Abs 1 lit a DSGVO nachzuweisen.
Es fehlt bereits an der für die Einwilligung notwendigen Freiwilligkeit, wenn die zugehörige Datenschutzinformation (lt. amtlichen Registrierungsformular) der Verantwortlichen die Erhebung der Daten ihrer Kunden mit dem Zutritt zu ihrer Betriebsstätte alternativlos verknüpft.
Aus § 5 Abs 3 EpiG (idF BGBl I 104/2020) und der Contact-Tracing Verordnung der Stadt Wien (WrABl 2020/41) lässt sich lediglich die Pflicht der Beschwerdegegnerin zur Auskunftserteilung gegenüber der Bezirksverwaltungsbehörde ableiten, nicht jedoch eine Verpflichtung zur Erhebung der Gästedaten.
Beruft sich der Verantwortliche auf eine – unzureichende – gesetzliche Verpflichtung zur Verarbeitung (hier: Art 6 Abs 1 lit c iVm Wr Contact-Tracing-VO) und macht er die Erhebung gleichzeitig von der freiwilligen Angabe durch seine Kunden abhängig, verstößt dieses als irreführend zu qualifizierende Verhalten auch gegen den datenschutzrechtlichen Grundsatz von Treu und Glauben des Art 5 Abs 1 lit a DSGVO. Dadurch wird der Betroffene gleichermaßen in seinem Recht auf Geheimhaltung nach § 1 DSG verletzt.
Redaktionelle Leitsätze
- Thiele, Clemens
- Gesundheitskontext
- § 10 DSG
- Daten, potentiell sensible
- § 1 Abs 2 DSG
- § 43a EpidemieG
- § 5 Abs 3 EpidemieG
- Gastro-Registrierungspflicht
- § 6 Abs 1 lit c COVID-19-Maßnahmeverordnung
- Bewegungsprofil
- Kennziffer
- Art 9 Abs 2 DSGVO
- Betretungsverbot, von Gaststätten
- Datenschutzverletzung
- Kontaktdatenerhebung
- Corona-Tracking
- § 7 COVID-19-Maßnahmengesetz
- Gesundheitsdaten
- ZIIR 2021, 68
- § 4 COVID-19-Maßnahmengesetz
- COVID-19
- Privatsphäre
- § 3 COVID-19-Maßnahmengesetz
- Art 4 Z 10 DSGVO
- Medienrecht
- Art 5 DSGVO
- Art 4 Z 6 DSGVO
- Betreiberpflichtenmodell
- DSB, 23.11.2020, DSB-D124.3093, (nrk) – Gästeregisterung
- WrCoTrVO
- § 8 COVID-19-Maßnahmengesetz
- Contact Tracing
Weitere Artikel aus diesem Heft