Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

19.11.2020

Geschäftszahl

2020-0.743.659

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: 2020-0.743.659 vom 19. November 2020 (Verfahrenszahl: DSB-D124.3093)

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Uwe A*** (Beschwerdeführer) vom 5. Oktober 2020 gegen die X*** Gaststätten GmbH (Beschwerdegegnerin), vertreten durch Dr. Wilfried Q*** LL.M., Rechtsanwalt in 1**0 Wien, wegen behaupteter Verletzung im Recht auf Geheimhaltung wie folgt:

1.    Der Beschwerde wird stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem sie dessen personenbezogene Daten, nämlich Vorname, Nachname sowie Telefonnummer, für Zwecke der Kontaktnachverfolgung verarbeitet hat.

2.    Im Übrigen wird die Beschwerde als unbegründet abgewiesen.

Rechtsgrundlagen: Artikel 5, Absatz eins, Litera a, bis f, Artikel 6, Absatz eins, Litera c,, Artikel 51, Absatz eins,, Artikel 57, Absatz eins, Litera f, sowie Artikel 77, Absatz eins, der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; Paragraphen 18, Absatz eins, sowie 24 Absatz eins und Absatz 5, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF; Paragraphen 5, Absatz 3, sowie Paragraph 40, des Epidemiegesetzes 1950 (EpiG), Bundesgesetzblatt Nr. 186 aus 1950, idgF; Paragraphen eins, bis 3 der Verordnung des Magistrats der Stadt Wien betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 (Wiener Conact-Tracing Verordnung), ABl. Nr. 41/2020.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit verfahrenseinleitender Eingabe vom 5. Oktober 2020 brachte der Beschwerdeführer vor, die Beschwerdegegnerin erhebe über ihren Auftragsverarbeiter beim Betreten ihrer Betriebsstätte in 1**0 Wien, Y***straße *, iSd Wiener Contact-Tracing Verordnung die personenbezogenen Daten Vorname, Nachname, Telefon, E-Mail (optional) und Tischnummer.

Darüber hinaus informiere die Beschwerdegegnerin darüber, dass sie diese Daten zum Schutz „von Leben und Gesundheit unserer Mitarbeiter und unserer Gäste im Zusammenhang mit dem Auftreten des Coronavirus bzw. der COVID-19-Edpidemie“ sowie zur „Unterstützung der Bezirksverwaltungsbehörde bei der Ermittlung von Kontaktpersonen bei Auftreten eines Infektionsfalls“ erhebe. In der Auskunftsbeantwortung hingegen stütze die Beschwerdegegnerin die Verarbeitung auf die Wiener Contact-Tracing Verordnung, womit wohl eine Verarbeitung gemäß Artikel 6, Absatz eins, Litera c, DSGVO gemeint sei. Die Beschwerdegegnerin mache den Vertragsschluss von der Bereitstellung der personenbezogenen Daten abhängig.

Hierdurch sehe sich der Beschwerdeführer in seinem Grundrecht auf Datenschutz gemäß Paragraph eins, Absatz eins, DSG verletzt, da die Beschwerdegegnerin die oben angeführten personenbezogenen Daten rechtswidrig, weil ohne Rechtsgrundlage iSd Artikel 6, DSGVO, verarbeite.

Der Beschwerde waren ein Antrag auf Auskunft sowie die erteilte Auskunft der Beschwerdegegnerin in Kopie beigelegt.

2. Mit Erledigung vom 14. Oktober 2020, GZ: 2020-0.647.953, forderte die Datenschutzbehörde die Beschwerdegegnerin zur Stellungnahme auf.

3. Mit Eingabe vom 27. Oktober 2020 replizierte die Beschwerdegegnerin und brachte vor, der Beschwerdeführer habe am 2. Oktober 2020 das von der Beschwerdegegnerin betriebene Restaurant in der Y***straße *, 1**0 Wien, besucht. Entsprechend den gesetzlichen Vorgaben der Wiener Contact-Tracing Verordnung biete die Beschwerdegegnerin in besagtem Restaurant für ihre Gäste die Möglichkeit einer Registrierung. Die Registrierung sei offline (Papierformular) oder online möglich. Die vom Beschwerdeführer genutzte Online-Registrierung erfolge mittels eines QR-Codes, welcher über das Mobiltelefon eingescannt werde. Man werde daraufhin auf die Registrierungs-Maske weitergeleitet. Unterhalb dieser Registrierungs-Maske finde sich die Datenschutzerklärung gemäß Artikel 13, DSGVO. Die Datenschutzerklärung werde vom User vor Absenden seiner Daten auch entsprechend bestätigt. Wie bereits in der Datenschutzerklärung selbst angeführt, seien Gäste nicht verpflichtet, ihre Kontaktdaten anzugeben. Der Vollständigkeit halber und entsprechend des allgemeinen Hausrechts werde zusätzlich klargestellt, dass bei Weigerung der Bekanntgabe der Kontaktdaten der Zutritt ins Restaurant verweigert werden kann. Wie der Auskunft der Beschwerdegegnerin vom 5. Oktober 2020 zu entnehmen sei, habe sich der Beschwerdeführer am 2. Oktober 2020 um 12:39:17 Uhr registriert und folgende Daten bekannt gegeben, nämlich Name: Uwe A*** sowie Telefon: 066**7**3*. Wie bereits in der Auskunft vom 5. Oktober 2020 angegeben, sammle die Beschwerdegegnerin die von den Gästen freiwillig bekanntgegeben Daten aufgrund der Wiener Contact-Tracing Verordnung für den vorgesehenen Zeitraum von 4 Wochen, in dem diese sicher aufbewahrt und danach gelöscht werden würden. Eine Verarbeitung der Daten zu anderen Zwecken als zur Erfüllung der gesetzlichen Pflicht gemäß der Wiener Contact-Tracing Verordnung finde ausdrücklich nicht statt.

In der den Gästen zur Verfügung gestellten Datenschutzerklärung seien die Verarbeitungszwecke „Schutz von Leben und Gesundheit unserer Mitarbeiter und unserer Gäste im Zusammenhang mit dem Auftreten des Coronavirus bzw. der COVID-19-Epidemie“ sowie „Unterstützung der Bezirksverwaltungsbehörde bei der Ermittlung von Kontaktpersonen bei Auftreten eines Infektionsfalles“ angegeben.

In der von der Beschwerdegegnerin am 5. Oktober 2020 an den Beschwerdeführer erteilten Auskunft sei angegeben worden, dass die gesammelten Gäste-Daten aufgrund der Wiener Contact-Tracing Verordnung verarbeitet werden.

Zusätzlich behaupte der Beschwerdeführer, die Beschwerdegegnerin mache den Vertragsabschluss von der Bereitstellung der personenbezogenen Daten abhängig und dass die Datenverarbeitung ohne Rechtsgrundlage gemäß Artikel 6, DSGVO und somit rechtswidrig erfolgen würde.

Die Beschwerde lasse – aus welchen Gründen auch immer – viele Fakten und Umstände unerwähnt, basiere auf einer rechtlich falschen Einschätzung und sei nicht berechtigt. Die Verarbeitung der von den Gästen freiwillig angegebenen und in weiterer Folge von der Beschwerdegegnerin als Verantwortliche verarbeiteten Daten erfolge rechtmäßig aufgrund von Artikel 6, Absatz eins, Litera c, DSGVO, nämlich zur Erfüllung ihrer rechtlichen Verpflichtungen gemäß der Wiener Contact-Tracing Verordnung. Die in der Datenschutzerklärung angegebenen Datenverarbeitungszwecke stellten offensichtlich lediglich eine Umschreibung der Zwecke der Wiener Contact-Tracing Verordnung dar. Schon in Paragraph eins, Absatz eins, Wiener Contact-Tracing Verordnung werde klargestellt, warum es nach Ansicht des Gesetzgebers einer solchen (für Gastronomen mit einem beträchtlichen Aufwand verbundenen) Regelung bedarf: „Zur Verhinderung der Verbreitung von COVID-19 sind für den Fall des Auftretens eines Verdachtsfalles von COVID-19 von folgenden Stellen nachstehende Auskünfte auf Verlangen der Bezirksverwaltungsbehörde zu übermitteln: […]“.

Hinzu komme, dass bereits in der Datenschutzerklärung unter Punkt 3 klargestellt werde, dass die Daten aufgrund der Wiener Contact-Tracing Verordnung verarbeitet werden. Weder gebe die dem Beschwerdeführer vor Übermittlung seiner Daten bekanntgegebene Datenschutzerklärung, noch die ihm erteilte Auskunft Anlass, eine Verarbeitung der personenbezogenen Daten zu anderen Zwecken als jenen zur Erfüllung der Vorgaben der Wiener Contact-Tracing Verordnung zu vermuten. Aus welcher Motivation heraus der Beschwerdeführer all dies in seiner Beschwerde außer Betracht lässt, bleibe offen.

Ebenso sei es nicht nachvollziehbar, auf welcher faktischen oder rechtlichen Grundlage der Beschwerdeführer behaupte, der Vertragsabschluss (gemeint sei wohl der Kauf von Speisen/Getränken bei der Beschwerdegegnerin) wäre von der Bereitstellung der personenbezogenen Daten abhängig: Bereits in der Datenschutzerklärung selbst werde unter Punkt 2, letzter Satz, klargestellt, dass die Bekanntgabe etwaiger Daten freiwillig erfolge. Die Beschwerdegegnerin sei weder rechtlich verpflichtet den Zutritt von der Bekanntgabe etwaiger Daten abhängig zu machen, noch hätte sie sonst ein Interesse daran. Bezeichnend sei auch, dass der Beschwerdeführer selbst nur einen Teil der im (Online-)Formular vorgesehen Daten angegeben habe, ihm aber offensichtlich weder der Zutritt noch der „Vertragsabschluss“ verwehrt worden sei. Die Beschwerde erweise sich daher als unbegründet.

3. Mit Erledigung vom 3. November 2020, GZ: 2020-0.701.142, räumte die Datenschutzbehörde dem Beschwerdeführer Parteiengehör ein.

4. Der Beschwerdeführer gab in seinem am 10. November 2020 erstatteten Parteiengehör an, dass sich seine Beschwerde, anders als von der Beschwerdegegnerin in ihrer Stellungnahme vom 27. Oktober 2020 vorgebracht, weder gegen einen Verstoß der Informationspflicht iSd Artikel 13, DSGVO richte, noch begründe der Beschwerdeführer eine Beschwer mit dem Umstand der Konditionalität von Datenerhebung und Vertragsschluss.

Wie in der Beschwerde vom 5. Oktober 2020 unmissverständlich vorgebracht, sehe sich der Beschwerdeführer in seinem Grundrecht auf Datenschutz gemäß Paragraph eins, Absatz eins, DSG dadurch verletzt, dass die Beschwerdegegnerin die Datenkategorien Vorname, Nachname und Telefon unrechtmäßig verarbeite.

Die Beschwerdegegnerin bringe in ihrer Stellungnahme mehrfach vor, dass der Beschwerdeführer die verfahrensgegenständlichen Datenkategorien freiwillig angegeben habe. Zum Nachweis habe diese ein Fotokonvolut beigelegt, aus welchem sich offenbar schließen lassen solle, dass keine Registrierung notwendig sei, um Speisen im Restaurant konsumieren zu können. Tatsächlich aber bestehe natürlich eine Zwangssituation, die verfahrensgegenständlichen Datenkategorien bereitzustellen. Dies einerseits aufgrund der grafischen Aufbereitung eines Aufstellers, der primär auf die - durch die breite öffentliche Berichterstattung - allgemeinhin als verpflichtend zu erkennende „COVID-19 Gästeregistrierung“ verweise. Weiters sei dem Vorbringen der Beschwerdegegnerin entgegenzuhalten, dass bereits durch einen Passus in der von der Beschwerdegegnerin als Beilage vorgelegten Datenschutzinformation, wo es heiße: „[…] kann die Weigerung der Zurverfügungstellung kein Zutritt ins Restaurant gewährt werden“, von einer Freiwilligkeit keine Rede sein könne.

Weiters führe die Beschwerdegegnerin in ebendiesem Punkt der Stellungnahme aus, dass diese als datenschutzrechtliche Verantwortliche die verfahrensgegenständlichen Datenkategorien rechtmäßig verarbeiten würde, weil die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Artikel 6, Absatz eins, Litera c, DSGVO), der die Beschwerdegegnerin unterliege, erforderlich sein würde. Diese rechtliche Verpflichtung würde sich (nicht näher von der Beschwerdegegnerin determiniert) aus der Wiener Contact-Tracing Verordnung ableiten.

Tatsächlich verpflichte die genannte Verordnung die Beschwerdegegnerin jedoch nicht zum systematischen Erheben der verfahrensgegenständlichen Datenkategorien. Konkret heiße es hinsichtlich Betriebsstätten der Gastronomie, dass diese – gestützt auf Paragraph 5, Absatz 3, EpiG – „für den Fall des Auftretens eines Verdachtsfalls […] auf Verlangen der Bezirksverwaltungsbehörde“ Vorname, Name, Telefonnummer, E-Mail-Adresse und Tischnummer von Kundinnen und Kunden „zu übermitteln“ haben. Schon alleine der Verweis auf Paragraph 5, Absatz 3, EpiG, der bloß eine Pflicht zur Auskunftserteilung regle, aber auch die klare Formulierung des Verordnungstextes, ließen erkennen, dass die Beschwerdegegnerin nach der Verordnung keine rechtliche Verpflichtung zur Erhebung der verfahrensgegenständlichen Datenkategorien treffe.

Ein vorauseilender Gehorsam der Beschwerdegegnerin - gleichsam einer Vorratsdatenspeicherung - wahllos personenbezogene Daten ihrer Kundinnen und Kunden zu erheben, lasse sich jedenfalls nicht auf Artikel 6, Absatz eins, Litera c, DSGVO stützen.

B. Beschwerdegegenstand

Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob ihn die Beschwerdegegnerin dadurch im Recht auf Geheimhaltung verletzt hat, indem sie die am 2. Oktober 2020 elektronisch mittels QR-Code Scanner erfassten personenbezogenen Daten des Beschwerdeführers, nämlich Vorname, Nachname, Telefonnummer, E-Mail-Adresse und Tischnummer, zumindest bis 30. Oktober 2020 für Zwecke der Kontaktnachverfolgung verarbeitet hat.

C. Sachverhaltsfeststellungen

1. Die Beschwerdegegnerin ist im Firmenbuch zu FN *35**8v beim Landesgericht G** protokolliert und betreibt ein Gastgewerbe in der Betriebsart Kaffeerestaurant.

Beweiswürdigung: Die getroffenen Feststellungen gründen auf einer Firmenbuchabfrage vom 12.  November 2020 zu FN *35**8v sowie einer GISA-Abfrage vom 12. November.2020 zur GISA-Zahl: 78***120.

2. Der Beschwerdeführer hat am 2. Oktober 2020 um 12:39 Uhr, die Betriebsstätte der Beschwerdegegnerin an der Adresse Y***straße, 1**0 Wien, aufgesucht. Beim Betreten der Betriebsstätte an genannter Adresse wurden personenbezogene Daten, nämlich Name: Uwe A*** sowie Telefonnummer: 0664*7**3*, des Beschwerdeführers mittels QR-Code-Scanner erfasst. Es kann nicht festgestellt werden, dass darüber hinaus Daten des Beschwerdeführers verarbeitet wurden.

Beweiswürdigung: Die getroffenen Feststellungen gründen auf den übereinstimmenden und glaubwürdigen Angaben der Verfahrensparteien. Die Feststellungen hinsichtlich erfasster Daten samt Zeitpunkt der Erhebung gründen insbesondere auf der vom Beschwerdeführer vorgelegten, durch die Beschwerdegegnerin erteilten Auskunft vom 5. Oktober 2020. Die Richtigkeit der Auskunft wurde nicht bestritten. Mangels Vorliegen entsprechender Indizien kann aber nicht feststellt werden, dass über diese Daten hinaus andere Daten des Beschwerdeführers, wie etwa E-Mail-Adresse oder Tischnummer, durch die Beschwerdegegnerin verarbeitet wurden.

3. Der Beschwerdeführer stellte mit Schrieben vom 2. Oktober 2020 einen Antrag auf Auskunft gemäß Artikel 15, DSGVO an die Beschwerdegegnerin, den diese mit Schreiben vom 5. Oktober 2020 wie folgt beantwortete (Formatierung nicht 1:1 wiedergegeben):

Betreff: Auskunft gem. Artikel 15, DSGVO

Sehr geehrter Herr Dr. A***,

danke für Ihren Besuch in unserem Restaurant und für Ihr Auskunftsbegehren vom 02.10.2020, 13:48, welchem wir hiermit entsprechend nachkommen:

Die aufgrund der Wiener Contact Tracing VO gesammelten Daten werden unter strengen technischen und organisatorischen Maßnahmen (z.B. im Falle der handschriftlichen Registrierung nach Tagen getrennt und versiegelt) für den lt. der VO vorgesehenen Zeitraum von 4 Wochen sicher aufbewahrt und danach gelöscht. Eine Öffnung bzw. Einsicht in diese Daten erfolgt nur unter den gesetzlich vorgesehenen Voraussetzungen und Berücksichtigung der internen Maßnahmen.

Wie Ihnen aus Ihrem Besuch in unserem Restaurant bekannt sein wird, besteht die Möglichkeit, die Registrierung nach der Wiener Contact Tracing VO entweder elektronisch (QR-Code) oder handschriftlich durch Ausfüllen eines aufliegenden Formulars zu machen.

Am 02.10.2020 um 12:39:17 haben Sie sich elektronisch in unserem Restaurant Y***straße *,

1**0 Wien mittels des QR-Codes registriert und folgende Daten bekanntgegeben:

      Name: Uwe A***

      Telefon: 0664*7**3*

Im Falle der elektronischen Registrierung erfolgt eine Übermittlung der von Ihnen angegebenen Daten an das von uns beauftragte, innerhalb der EU bzw. des EWR ansässige IT-Unternehmen (Auftragsverarbeiter im Sinne des Artikel 28, DSGVO).

Dieses ist für die technische Betreuung der von Ihnen genutzten, elektronischen Registrierungsplattform zuständig. Eine Übermittlung in Drittstaaten findet nicht statt. Ebenso finden weder eine automatisierte Entscheidungsfindung noch Profiling statt.

Nach geltendem Recht haben Sie u.a. folgende Rechte (wenn die jeweiligen Voraussetzungen des anwendbaren Rechts erfüllt sind und dem nicht unsere gesetzlichen Verpflichtungen insbesondere die Aufbewahrungspflichten der Wiener Contact Tracing VO entgegenstehen):

      Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten;

      Einschränkung der Verarbeitung Ihrer personenbezogenen Daten;

      Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten;

      Beschwerde bei der Datenschutzbehörde (www.dsb.gv.at) zu erheben.

Herzliche Grüße

Otto M*** römisch eins Geschäftsführer, Franchisepartner

X***Gaststätten GmbH römisch eins Verwaltung V*** Straße 5* 1 A-1**0 Wien

U*** römisch eins *P*** römisch eins N*** römisch eins S*** Gaststätten GmbH

Tel: +43/1/*57** 12*9-3*; Fax: +43/1/*57****-*4 Mobil: +43 66*/*39 6* *3; ATU*12**252 otto.m***@gaststaetten*betriebe.co.at römisch eins www.gaststaetten*betriebe.at Mehr über die X*** Gaststätten GmbH

3. Die Beschwerdegegnerin verarbeitet die von ihren Kunden im Rahmen eines Besuchs ihrer Betriebsstätte angegebenen Daten für zumindest vier Wochen ab deren Erhebung. Der Beschwerdeführer erhob am 5. Oktober 2020 die gegenständliche Beschwerde.

Beweiswürdigung: Wie zuletzt.

4. Die Datenschutzerklärung der Beschwerdegegnerin lautet wie folgt (Formatierung nicht 1:1 wiedergegeben):

1. Zwecke der Datenverarbeitung

Wir werden die unten beschriebenen Kategorien

personenbezogener Daten von Gästen zu folgendem

Zweck verarbeiten:

•      Schutz von Leben und Gesundheit unserer

Mitarbeiter und unserer Gäste im

Zusammenhang mit dem Auftreten des

Coronavirus bzw. der COVID-19-Epidemie.

•      Unterstützung der Bezirksverwaltungsbehörde

bei der Ermittlung von Kontaktpersonen bei

Auftreten eines Infektionsfalles.

2. Beschreibung der Datenanwendung

Wir kommen unserer rechtlichen Verpflichtung zur

Führung einer Gästeliste durch die Erhebung von

Kontaktdaten (Vor- u. Nachname, Telefonnummer, E-

Mail- Adresse) unserer Gäste vor Betreten eines

Gaststätten*betriebes nach. Der Gast scannt mit

seinem Smartphone vor Betreten des Gaststätten*betriebes

den zur Verfügung gestellten QR-Code

und füllt das Kontaktformular aus.

Bei Verlassen des Restaurants kann der Gast über sein

Smartphone ´auschecken´, ansonsten wird er

automatisch nach 45 Minuten ausgecheckt.

Gäste sind nicht verpflichtet, ihre Kontaktdaten

anzugeben, allerdings kann bei Weigerung der

Zurverfügungstellung kein Zutritt ins Restaurant

gewährt werden.

3. Rechtsgrundlagen der Datenanwendung

Die Verarbeitung Ihrer personenbezogenen Daten

stützt sich auf folgende Rechtsgrundlage der

Datenschutz- Grundverordnung (´DSGVO´):

•      Erforderlichkeit der Datenverarbeitung zur

Erfüllung einer rechtlichen Verpflichtung (Artikel 6,

Absatz eins, Litera c, DSGVO in Verbindung mit Paragraph eins, Ziffer 2, Litera e, Verordnung

des Magistrats der Stadt Wien betreffend

Auskunftserteilung für Contact-Tracing im

Zusammenhang mit Verdachtsfällen von COVID-

19).

4. Übermittlung Ihrer personenbezogenen Daten

Ihre Daten werden ausschließlich bei Auftreten eines

Infektionsfalles binnen vier Wochen ab

Zurverfügungstellung und nach entsprechender

Aufforderung an die zuständige

Bezirksverwaltungsbehörde übermittelt.

5. Speicherdauer

Ihre Daten werden für die Dauer von vier Wochen

gesichert und unter Verschluss aufbewahrt und danach

unwiederbringlich vernichtet.

6. Ihre Rechte im Zusammenhang mit

personenbezogenen Daten

Nach geltendem Recht sind die von der oben

beschriebenen Datenverarbeitung betroffenen Gäste

dazu berechtigt (wenn die jeweiligen Voraussetzungen

des anwendbaren Rechts erfüllt sind),

      Auskunft zu verlangen, einschließlich einer

Bestätigung darüber, ob und welche ihrer

personenbezogenen Daten wir verarbeiten und

Kopien dieser Daten zu erhalten,

      die Berechtigung oder Löschung ihrer

personenbezogenen Daten zu verlangen,

      von uns zu verlangen, die Verarbeitung ihrer

personenbezogenen Daten einzuschränken, und

      bei der Aufsichtsbehörde Beschwerde zu

erheben.

7. Unsere Kontaktdaten

Unsere Kontaktdaten lauten:

X***Gaststätten GmbH

A-1**0 Wien, V*** Straße 5*

otto.m***@at.com

Bei Fragen oder Anliegen zur Verarbeitung Ihrer

personenbezogenen Daten, können Sie sich gerne an

uns wenden:

otto.m***@at.com

---------------------------------------

Beweiswürdigung: Dies ergibt aus den von der Beschwerdegegnerin mit E-Mail vom 27. Oktober 2020 vorgelegten Screenshots.

D. In rechtlicher Hinsicht folgt daraus:

Zu Spruchpunkt 1:

Paragraph 5, EpiG lautet auszugsweise samt Überschrift (Hervorhebung durch Datenschutzbehörde):

Erhebungen über das Auftreten einer Krankheit.

Paragraph 5, (1) Über jede Anzeige sowie über jeden Verdacht des Auftretens einer anzeigepflichtigen Krankheit haben die zuständigen Behörden durch die ihnen zur Verfügung stehenden Ärzte unverzüglich die zur Feststellung der Krankheit und der Infektionsquelle erforderlichen Erhebungen und Untersuchungen einzuleiten. Kranke, Krankheitsverdächtige und Ansteckungsverdächtige sind verpflichtet, den zuständigen Behörden die erforderlichen Auskünfte zu erteilen und sich den notwendigen ärztlichen Untersuchungen sowie der Entnahme von Untersuchungsmaterial zu unterziehen. Zum Zwecke der Feststellung von Krankheitskeimen sind hiebei nach Möglichkeit fachliche Untersuchungsanstalten in Anspruch zu nehmen.

[…]

(3) Auf Verlangen der Bezirksverwaltungsbehörde sind alle Personen, wie insbesondere behandelnde Ärzte, Labors, Arbeitgeber, Familienangehörige und Personal von Gemeinschaftseinrichtungen, die zu den Erhebungen einen Beitrag leisten könnten, zur Auskunftserteilung verpflichtet.

[…]

Paragraph 40, EpiG lautet auszugsweise (Hervorhebung durch Datenschutzbehörde):

Sonstige Übertretungen.

Paragraph 40, Wer durch Handlungen oder Unterlassungen

a) den in den Bestimmungen der §§ 5, 8, 12, 13, 21 und 44 Absatz 2, enthaltenen Geboten und Verboten […],

zuwiderhandelt […],

macht sich, sofern die Tat nicht mit gerichtlicher Strafe bedroht ist, einer Verwaltungsübertretung schuldig und ist mit Geldstrafe bis zu 1 450 Euro, im Nichteinbringungsfall mit Freiheitsstrafe bis zu vier Wochen zu bestrafen.

Die Wiener Contact-Tracing Verordnung lautet auszugsweise:

Auf Grund des Paragraph 5, Absatz 3, Epidemiegesetz 1950, Bundesgesetzblatt Nr. 186 aus 1950, in der Fassung Bundesgesetzblatt Teil eins, Nr. 103 aus 2020,, wird verordnet:

Paragraph eins, Zur Verhinderung der Verbreitung von COVID-19 sind für den Fall des Auftretens eines Verdachtsfalles von COVID-19 von folgenden Stellen nachstehende Auskünfte auf Verlangen der Bezirksverwaltungsbehörde zu übermitteln:

[…]

2. Betriebsstätten:

[…]

e) bei Betriebsstätten der Gastronomie Kundinnen und Kunden:

aa) Vorname

bb) Name

cc) Telefonnummer

dd) E-Mail-Adresse

ee) Tischnummer

Paragraph 2, Die Daten gemäß Paragraph eins, dürfen von den in Paragraph eins, genannten Stellen ausschließlich zum Zwecke der Nachverfolgung der Kontakte bei Auftreten eines Verdachtsfalles von COVID-19 gespeichert und verarbeitet werden. Diese Daten sind 4 Wochen nach ihrer Aufnahme zu löschen.

Paragraph 3, Diese Verordnung tritt mit 28. September 2020 in Kraft und mit Ablauf des 31. Dezember 2020 außer Kraft.

1. Allgemeines zum Recht auf Geheimhaltung

Das in Paragraph eins, DSG verankerte Grundrecht auf Datenschutz, nach dessen ersten Absatz jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit daran ein schutzwürdiges Interesse besteht, beinhaltet den Schutz des Betroffenen vor der unrechtmäßigen Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten.

Die Anwendung von Paragraph eins, Absatz eins, DSG setzt u.a. voraus, dass es sich um personenbezogene Daten handelt.

Nach Paragraph eins, Absatz 2, DSG sind Beschränkungen des Geheimhaltungsanspruchs durch einen Verantwortlichen nur dann zulässig, wenn die Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, bei überwiegenden berechtigten Interessen eines anderen oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage.

Beschränkungen des Paragraph eins, Absatz eins, DSG ergeben sich aus Absatz 2, leg. cit., allerdings nicht aus Artikel 6, Absatz eins, DSGVO. Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind jedoch nach Ansicht der Datenschutzbehörde zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen und sinngemäß heranzuziehen vergleiche den Bescheid vom 31. Oktober 2018, GZ: DSB--D123.076/0003-DSB/2018).

2. In der Sache

2.1. Zur Qualifikation der personenbezogenen Daten des Beschwerdeführers und zur Rechtsgrundlage der Datenverarbeitung im vorliegenden Fall

Artikel 9, Absatz eins, DSGVO definiert abschließend besondere Kategorien personenbezogener Daten („sensible Daten“). Soweit vorliegend relevant, fallen auch Gesundheitsdaten darunter. Die Verarbeitung dieser Datenkategorien ist ausschließlich auf Basis der in Artikel 9, Absatz 2, DSGVO abschließend genannten Ausnahmegründe zulässig.

Gemäß Artikel 4, Ziffer 15, DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Bei Gesundheitsdaten handelt es sich im Lichte des Artikel 9, Absatz eins, DSGVO zweifelsohne um besonders schutzwürdige Daten, wobei der Begriff im Sinne der Rsp. des EuGH weit auszulegen ist vergleiche zu Artikel 8, Absatz eins, der Richtlinie 95/46 das Urteil des EuGH vom 6. November 2003, C-101/01, Rz 50). Erfasst sind gemäß Artikel 4, Ziffer 15, DSGVO in Zusammenschau mit ErwGr. 35 zweiter Satz DSGVO auch Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese Person für gesundheitliche Zwecke eindeutig zu identifizieren.

Die Datenschutzbehörde vertritt in ihrer ständigen Rechtsprechung, dass aus Gesundheitsdaten jedenfalls Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen müssen. Unter Berücksichtigung dieser Überlegung sind Kennziffern iSv ErwGr. 35 zweiter Satz DSGVO nicht per se als Gesundheitsdatum zu qualifizieren, sondern muss auch im Hinblick auf solche Kennziffern ein gewisser Bezug zu Informationen über den Gesundheitszustand bestehen vergleiche in Bezug auf die Sozialversicherungsnummer etwa den Bescheid vom 9. April 2019, GZ: DSB-D123.526/0001-DSB/2019).

Bei den von der Beschwerdegegnerin verarbeiteten Daten des Beschwerdeführers (Vor- und Nachname, Telefonnummer) handelt es sich zweifelsfrei um dessen personenbezogene Daten.

Fraglich ist, ob es sich bei ihnen auch – unter den Umständen des vorliegenden Falls – um Gesundheitsdaten handelt.

Nach der Rechtsprechung der Datenschutzbehörden stellen die einer Person zugeordneten Kennziffern (wie bspw. die Sozialversicherungsnummer) dann kein Gesundheitsdatum dar, wenn sie als bloßer Identifikator und unabhängig von einem gesundheitlichen Kontext verwendet werden vergleiche zuletzt den Bescheid vom 5. November 2020, GZ: 2020-0.714.215 [Anmerkung Bearbeiter: im Originaltext des Bescheids aufgrund eines Redaktionsversehens GZ: 2021-0.041.702]).

Beschwerdegegenständlich wurden die Daten des Beschwerdeführers – wie auch die Beschwerdegegnerin ausdrücklich betont – ausschließlich zum Zweck des „Schutz[es] von Leben und Gesundheit [der] Mitarbeiter und [der] Gäste [der Beschwerdegegnerin] im Zusammenhang mit dem Auftreten des Coronavirus bzw. der COVID-19-Epidemie“ sowie zum Zweck der „Unterstützung der Bezirksverwaltungsbehörde bei der Ermittlung von Kontaktpersonen bei Auftreten eines Infektionsfalles“ erhoben.

Daraus erhellt, dass die Datenermittlung in einem rein gesundheitlichen Kontext erfolgte und die erhobenen Daten auch ausschließlich in einem solchen genutzt werden sollen, nämlich einerseits, um andere zu schützen und andererseits, um diese Daten im Bedarfsfall der Bezirksverwaltungsbehörde als Gesundheitsbehörde nach dem EpiG zu übermitteln.

Folglich sind die über den Beschwerdeführer verarbeiteten Daten, nämlich dessen Vor- und Nachname sowie dessen Telefonnummer, die losgelöst vom vorliegenden Kontext keine Daten im Sinne des Artikel 9, Absatz eins, DSGVO darstellen würden, im beschwerdegegenständlichen Fall als Gesundheitsdaten und damit als besondere Kategorie personenbezogener Daten zu qualifizieren.

Die Rechtmäßigkeit der Verarbeitung richtet sich daher nach Artikel 9, Absatz 2, DSGVO.

2.2. Zur Rechtmäßigkeit der Datenverarbeitung

a)    Zur Freiwilligkeit

i) Die Beschwerdegegnerin stützt sich in ihrem Vorbringen u.a. auf die seitens des Beschwerdeführers erteilte freiwillige Einwilligung zur Datenverarbeitung.

Die Verarbeitung von Gesundheitsdaten ist gemäß Artikel 9, Absatz 2, Litera a, DSGVO dann zulässig, wenn die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten ausdrücklich eingewilligt hat.

Der Beschwerdeführer hat dem entgegengehalten, dass hinsichtlich der Zurverfügungstellung seiner Daten nicht von Freiwilligkeit gesprochen werden könne, da er sich bei der Erhebung seiner Daten in einer Zwangssituation befunden hätte. Einerseits aufgrund des am Eingangsbereich der Betriebsstätte situierten Hinweises auf die COVID-19-Gästeregistrierung sowie des in der Datenschutzerklärung der Beschwerdegegnerin enthaltenen Passus, wonach bei Weigerung der Zurverfügungstellung der Daten, der Zutritt ins Restaurant verweigert werden könne.

ii) Nach Ansicht der Datenschutzbehörde verfängt die Argumentation der Beschwerdegegnerin schon deshalb nicht, weil eine Einwilligung nach der Rechtsprechung des EuGH einer aktiven und unmissverständlichen („ohne jeden Zweifel“) Willenshandlung seitens des Betroffenen bedarf vergleiche zuletzt das Urteil vom 11.11.2020, C-61/19 mwN). Dies gilt umso mehr für die Verarbeitung von Gesundheitsdaten, weil Artikel 9, Absatz 2, Litera a, DSGVO – anders als Artikel 6, Absatz eins, Litera a, – eine ausdrückliche Einwilligung verlangt.

Gerade eine solche vermochte die Beschwerdegegnerin nicht nachzuweisen, obwohl sie die Pflicht dazu träfe vergleiche Artikel 5, Absatz eins, Litera a und Absatz 2, in Verbindung mit Artikel 7 und 9 Absatz eins, Litera a, DSGVO).

Darüber hinaus ist an eine Einwilligung ein strenger Maßstab anzulegen. Demnach hat eine Einwilligung freiwillig zu erfolgen und darf nicht an die Erfüllung eines Vertrages gekoppelt sein, obwohl die Einwilligung zur Erfüllung dieses Vertrags nicht erforderlich ist. Unfreiwillig ist eine Einwilligung dann, wenn bei Nichtabgabe der Einwilligung ein Nachteil zu erwarten ist vergleiche dazu den Bescheid vom 16.04.2019, GZ: DSB-D213.679/0003-DSB/2018, sowie nochmals das Urteil des EuGH vom 11.11.2020).

Nachdem bei Verweigerung der Zurverfügungstellung, wie von der Beschwerdegegnerin selbst vorgebracht, der Zutritt in die Betriebstätte – unter Berufung auf das Hausrecht – verweigert werden kann und in der Datenschutzerklärung auf diesen Umstand hingewiesen wird, ist aus Sicht eines objektiven Durchschnittskunden bei Nichtabgabe der Einwilligung klar ein Nachteil zu erwarten gewesen.

Freiwilligkeit setzt darüber hinaus voraus, dass im Falle der Nichteinwilligung in die Datenverarbeitung dem Betroffenen eine zumutbare Alternative zur Verfügung steht vergleiche dazu den Bescheid vom 30.11.2018, GZ: DSB-D122.931/0003-DSB/2018).

Auch dies ist im vorliegenden Fall zu verneinen, weil andere Betriebsstätten der Gastronomie im Gemeindegebiet von Wien ebenso von der Wiener Contact-Tracing Verordnung erfasst sind und von diesen – voraussichtlich – gleichermaßen personenbezogene Daten des Beschwerdeführers erhoben würden.

Die Datenverarbeitung kann somit nicht auf Artikel 9, Absatz 2, Litera a, DSGVO gestützt werden.

b)    Zum Vorliegen einer gesetzlichen Verpflichtung zur Erhebung bzw. Verarbeitung von Kundendaten

i) Die Beschwerdegegnerin stützt sich auf den – hier allein nicht einschlägigen – Erlaubnistatbestand des Artikel 6, Absatz eins, Litera c, DSGVO und bringt vor, sie wäre gemäß Paragraph 5, Absatz 3, EpiG in Verbindung mit Paragraph eins, Absatz 2, Litera e, der Wiener Contact Tracing-Verordnung zur Verarbeitung und Speicherung der Daten des Beschwerdeführers für 4 Wochen gesetzlich verpflichtet.

Der Beschwerdeführer bestritt das Vorliegen einer rechtlichen Verpflichtung und führte aus, dass sich aus Paragraph 5, Absatz 3, EpiG und der Wiener Contact-Tracing Verordnung lediglich die Pflicht der Beschwerdegegnerin zur Auskunftserteilung gegenüber der Bezirksverwaltungsbehörde ableiten lasse, nicht jedoch zur Erhebung der Kundendaten.

ii) Die Verarbeitung besonderer Kategorien personenbezogener Daten auf Grund einer gesetzlichen Verpflichtung ist – soweit für den vorliegenden Fall relevant – gemäß Artikel 9, Absatz 2, Litera i, DSGVO u.a. dann zulässig, wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist.

Es ist daher festzuhalten, dass die (verpflichtende) Verarbeitung personenbezogener Daten zum Zweck der Kontaktnachverfolgung Deckung in der DSGVO findet, sofern eine ausreichend präzise und den Anforderungen des Artikel 9, Absatz 2, Litera i, DSGVO entsprechende Rechtsgrundlage im österreichischen Recht vorhanden ist. In diesem Zusammenhang ist auf den Ministerialentwurf für eine Novelle des EpiG (41/ME römisch XXVII. GP) hinzuweisen, wo eine (freiwillige) Datenerhebung für Zwecke der Kontaktnachverfolgung vorgesehen war (Artikel eins, Ziffer 4, des Entwurfes), vom Gesetzgeber letztlich aber nicht beschlossen wurde:

„4. Dem Paragraph 5, Absatz 5, wird folgender Absatz 6, angefügt:

(6) Betriebe, Veranstalter und Vereine sind – unbeschadet nach anderen Rechtsgrundlagen bestehender Erhebungs- und Aufbewahrungspflichten – verpflichtet, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern, in deren Verarbeitung ausdrücklich eingewilligt wurde, zum Zweck der Erfüllung der Mitwirkungspflicht im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen für die Dauer von 28 Tagen aufzubewahren. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Betriebe, Veranstalter und Vereine haben geeignete Datensicherheitsmaßnahmen zu ergreifen.“

Wie bereits ausgeführt, könnte aber auch eine verpflichtende Datenerhebung Deckung in der DSGVO finden (siehe dazu die zum genannten Ministerialentwurf ergangene Stellungnahme der Datenschutzbehörde, abrufbar unter https://www.parlament.gv.at/PAKT/VHG/XXVII/SNME/SNME_00951/imfname_816332.pdf).

Fraglich ist allerdings, ob Paragraph 5, Absatz 3, EpiG in Verbindung mit der Wiener Contact-Tracing Verordnung als Rechtsgrundlage im Sinne des Artikel 9, Absatz 2, Litera i, DSGVO herangezogen werden kann.

Aus dem Wortlaut des Paragraph 5, Absatz 3, EpiG ergibt sich zunächst, dass auf deren Verlangen alle Personen, die zu den Erhebungen über das Auftreten einer Krankheit einen Beitrag leisten könnten, zur Auskunftserteilung gegenüber der Bezirksverwaltungsbehörde verpflichtet sind.

Die auf Grund des Paragraph 5, Absatz 3, EpiG erlassene Wiener Contact-Tracing Verordnung konkretisiert diese Verpflichtung und legt in Paragraph eins, fest, dass zur Verhinderung der Verbreitung von COVID-19 […] für den Fall des Auftretens eines Verdachtsfalles von COVID-19 von folgenden Stellen nachstehende Auskünfte auf Verlangen der Bezirksverwaltungsbehörde zu übermitteln“ sind.

Der Normtext des Paragraph eins, Ziffer eins und Ziffer 2, der Wiener Contact-Tracing Verordnung enthält eine Enumeration der zur Auskunft verpflichteten Stellen und präzisiert sohin, wer unter „alle Personen, die zu den Erhebungen einen Beitrag leisten könnten“ iSd Paragraph 5, Absatz 3, EpiG zu verstehen ist. Ebenso wird in Paragraph eins, Ziffer eins und Ziffer 2, der Wiener Contact-Tracing Verordnung der zwingende Inhalt einer solchen Auskunft determiniert. Demnach sind Betriebsstätten der Gastronomie im Falle des Auftretens eines Verdachtsfalles von COVID-19 auf Verlangen der Bezirksverwaltungsbehörden verpflichtet, Auskunft über Vorname, Name, Telefonnummer, E-Mail-Adresse sowie Telefonnummer ihrer Kundinnen und Kunden zu erteilen.

Nach ständiger Rechtsprechung des VwGH ist bei der Auslegung von Gesetzen der Wortinterpretation in Verbindung mit der grammatikalischen und der systematischen Auslegung der Vorrang einzuräumen sowie äußerste Zurückhaltung gegenüber der Anwendung sogenannter „korrigierender Auslegungsmethoden“ geboten vergleiche etwa VwGH 3.10.2018, Ro 2018/12/0014; 22.3.2019, Ra 2018/04/0089).

Nach dem Wortlaut der in Rede stehenden gesetzlichen Bestimmungen (Paragraph 5, Absatz 3, EpiG in Verbindung mit Paragraph eins, Ziffer 2, Litera e, Wiener Contact-Tracing Verordnung) ist eine Verpflichtung zur Verarbeitung personenbezogener Daten von Kunden, die die Betriebsstätte eines Gastronomiebetriebs aufsuchen, jedoch nicht vorgesehen. Zwar normieren die Bestimmungen offenkundig eine Pflicht zur Auskunftserteilung gegenüber der Bezirksverwaltungsbehörde und legen diese Bestimmungen auch fest, welchen Inhalt (Daten) eine solche Auskunft zu enthalten hat, doch ist nach dem eindeutigen und klaren Wortlaut darin gerade keine Verpflichtung zur Erhebung und Verarbeitung dieser Daten zu erkennen.

Auch aus dem Wortlaut des Paragraph 2, der Wiener Contact-Tracing Verordnung, wonach Daten iSd Paragraph eins, von den in Paragraph eins, leg. cit. genannten Stellen verarbeitet und gespeichert werden dürfen, ist keine gesetzliche Verpflichtung zur Verarbeitung, sondern bloß ein rechtliches Können abzuleiten. Es ist nicht anzunehmen, dass der Verordnungsgeber unbewusst von dürfen spricht, sondern ist davon auszugehen, dass, sofern er eine gesetzliche Verpflichtung hätte normieren wollen, er dies ausdrücklich klargestellt hätte.

Gegen eine solche Auslegung könnte allerdings eingewendet werden, dass es Inhabern von Betriebsstätten der Gastronomie ohne vorherige Datenerhebung faktisch unmöglich wäre, der durch die Verordnung statuierten Auskunftspflicht zu entsprechen und ein Verstoß gegen Paragraph 5, EpiG gemäß Paragraph 40, Litera a, EpiG eine strafbewehrte Verwaltungsübertretung begründet, die mit bis zu 1.450 Euro zu ahnden ist.

Allerdings kann es keine rechtliche Verpflichtung zur Leistung des faktisch Unmöglichen geben, weshalb sich die Auskunftspflicht daher nur auf solche Daten beziehen kann, die dem Inhaber einer Betriebsstätte der Gastronomie ohne besonderen Ermittlungsaufwand zur Verfügung stehen.

Es zeigt sich daher, dass das Vorliegen einer gesetzlichen Verpflichtung zur Verarbeitung der Daten des Beschwerdeführers - wie von der Beschwerdegegnerin vorgebracht - keinesfalls eindeutig aus dem Wortlaut des Paragraph 5, Absatz 3, EpiG in Verbindung mit der Wiener Contact-Tracing VO hervorgeht. Ebenso wenig kann aus der Auskunftspflicht gegenüber der Bezirksverwaltungsbehörde ohne weiteres im Umkehrschluss auf eine gesetzliche Verpflichtung der Beschwerdegegnerin zur Erhebung und Verarbeitung bestimmter personenbezogener Daten geschlossen werden. Die Pflicht zur Auskunftserteilung kann nach dem Wortlaut der gesetzlichen Bestimmungen nur für personenbezogene Daten gelten, die dem Inhaber einer Betriebsstätte der Gastronomie bekannt sind.

iii) Bereits aus diesem Grund scheitert eine Berufung der Beschwerdegegnerin auf eine ihr gesetzlich auferlegte Verpflichtung zur Verarbeitung personenbezogener Daten des Beschwerdeführers.

iv) Aber selbst für den Fall, dass man aus Paragraph 5, Absatz 3, EpiG in Verbindung mit der Wiener Contact-Tracing Verordnung eine Verpflichtung zur Verarbeitung personenbezogener Daten iSd Artikel 9, Absatz 2, Litera i, DSGVO ableiten wollte, könnte eine Datenverarbeitung nicht darauf gestützt werden:

c)    Anforderung an Rechtsgrundlagen

i) Nach ständiger Rechtsprechung des EuGH müssen Regelungen, die in die Rechte nach Artikel 7, (Achtung des Privat und Familienlebens) oder Artikel 8, (Schutz personenbezogener Daten) EU-GRC eingreifen, klare und präzise Regeln für die Tragweite und die Anwendung dieser Maßnahme vorsehen und Mindestanforderungen aufstellen, sodass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauch sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung, ermöglichen. Das Erfordernis solcher Garantien ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht vergleiche EuGH vom 6. Oktober 2015, C-362-14, Rz. 91 mwN).

Diese Garantien sind umso wichtiger, wenn Daten automationsunterstützt verarbeitet werden und wenn es sich um sensible Daten handelt vergleiche EuGH vom 6. Oktober 2020, verb. Rs C-511/18, C-512/18 und C-520/18, Rz 132).

Bei den auf Basis von Paragraph 5, Absatz 3, EpiG in Verbindung mit der Wiener Contact-Tracing Verordnung zu verarbeitenden Daten handelt es sich – wie oben näher ausgeführt – um Gesundheitsdaten nach Artikel 4, Ziffer 15, DSGVO.

Auch der ständigen Rechtsprechung des Verfassungsgerichtshofes zur Qualität einer Eingriffsnorm im Sinne des Paragraph eins, Absatz 2, DSG ist zu entnehmen, dass diese bestimmte Anforderungen zu erfüllen hat vergleiche dazu zuletzt die Erkenntnisse vom 11. Dezember 2019, G 72/2019 u.a, und vom 12. Dezember 2019, G 164/2019 u.a.).

Die Datenschutzbehörde stellt aber ausdrücklich klar, dass es weder ihre Aufgabe ist – und auch von ihrer Kompetenz nicht erfasst ist –, abschließend festzustellen, ob die verfahrensgegenständlichen Bestimmungen im Widerspruch zu Paragraph eins, Absatz 2, DSG bzw. Artikel 8, EU-GRC stehen.

Allerdings ist die Datenschutzbehörde verpflichtet, innerstaatliche Regelungen, die in einem offenkundigen Widerspruch zum Unionsrecht stehen, im Konfliktfall unangewendet zu lassen.

Es gilt der Grundsatz des Vorrangs des Unionsrechts gegenüber nationalem Recht (Anwendungsvorrang). Besondere Bedeutung hat dieser dort, wo unmittelbar anwendbares Unionsrecht – wie bspw. die DSGVO – auf entgegenstehendes nationales Recht trifft. Der Anwendungsvorrang bedeutet, dass im Konfliktfalle der Regel des (unmittelbar anwendbaren) Unionsrechts, nicht jener des österreichischen Rechts zu folgen ist vergleiche VfSlg. 15.448/1999, 19.661/2012 mwN; Mayer/Kucsko-Stadlmayer/Stöger, Bundesverfassungsrecht11 [2015] Rz 246/9).

Dieser Grundsatz ist von allen österreichischen Behörden zu beachten, sie haben das nationale Recht in solchen Fällen daher unangewendet zu lassen. Auf den Rang des österreichischen Rechts kommt es nicht an, Unionsrecht geht im Konfliktfall auch nationalem Verfassungsrecht vor vergleiche VfSlg. 15.427/1999; 17.347/2003; Mayer/Kucsko-Stadlmayer/Stöger, Bundesverfassungsrecht11 [2015] Rz 246/9).

Die Tragweite eines Eingriffs muss sich aus dem Normtext selbst zweifelsfrei ergeben. Wenn aber zur Sinnermittlung subtile datenschutzrechtliche Kenntnisse, qualifizierte juristische Befähigung und Erfahrung und geradezu archivarischer Fleiß – v.a. durch intensives Studium von Gesetzesmaterialien und sonstigen Hilfsmitteln – von Nöten ist vergleiche dazu sinngemäß VfSlg. 12.420/1990), kann nicht gesagt werden, dass sich die Auswirkungen einer gesetzlich statuierten Datenverarbeitung einfach nachvollziehen lassen.

Die (einfache) Nachvollziehbarkeit ist aber wiederum Voraussetzung für Betroffene, sich der Tragweite eines Eingriffs bewusst zu werden und ihre Rechte in Anspruch nehmen zu können. Dies wird bereits in Artikel 5, Absatz eins, Litera a, DSGVO festgelegt (Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz).

Nach der Rechtsprechung des EuGH genügt es nicht, wenn eine Datenverarbeitung auf einen der in Artikel 6, DSGVO – oder wie hier: Artikel 9, Absatz 2, – abschließend genannten Rechtmäßigkeitstatbestände gestützt werden kann; es müssen zusätzlich alle Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5, DSGVO eingehalten werden vergleiche noch zur Rechtslage nach der RL 95/46/EG das Urteil vom 11. Dezember 2019, C-708/18, Rz 36).

ii) Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:

Die in Paragraph 5, Absatz 3, EpiG in Verbindung mit Paragraph eins, Absatz 2, Litera e, der Wiener Contact-Tracing Verordnung normierte Datenverarbeitung für Inhaber von Betriebsstätten der Gastronomie enthält – wie sich aus den obigen Ausführungen ergibt – weder klare noch präzise Regeln für die Tragweite und Anwendung dieser Maßnahme. Insbesondere sind für Betroffene die Umstände, wann es zu einem Eingriff in das in Paragraph eins, DSG bzw. Artikel 8, EU-GRC verfassungs- bzw. primärrechtlich gewährleiste Recht auf Datenschutz kommt und ob diese Daten zwingend bekannt zu geben sind (siehe dazu die obigen Ausführungen), nicht klar ersichtlich.

Im Lichte der Rechtsprechung des EuGH, der – insbesondere wenn es um die Verarbeitung sensibler Daten geht – an Regelungen, die in die Rechte nach Artikel 7, (Achtung des Privat und Familienlebens) oder Artikel 8, (Schutz personenbezogener Daten) EU-GRC eingreifen, klare und präzise Anforderungen für die Tragweite und die Anwendung dieser Maßnahme normiert, haben die Bestimmungen des Paragraph 5, Absatz 3, EpiG in Verbindung mit der Wiener Contact-Tracing Verordnung auf Grund des Vorranges des Unionsrechts gegenständlich unangewendet zu bleiben, sodass eine Verpflichtung zur Verarbeitung personenbezogener Daten darauf nicht gestützt werden kann.

Die Beschwerde erweist sich daher auch aus diesem Blickwinkel als berechtigt.

d)    Verletzung des Grundsatzes von „Treu und Glauben“

i) Die Beschwerde erweist sich jedoch auch aus weiteren folgenden Überlegungen als berechtigt:

Die Beschwerdegegnerin bringt vor, der Beschwerdeführer habe seine Daten freiwillig zur Verfügung gestellt. Wie in den Feststellungen in ihrer Datenschutzerklärung ersichtlich, verknüpft sie die Erhebung der Daten ihrer Kunden jedoch mit dem Zutritt zu ihrer Betriebsstätte bzw. führt sie darin aus, dass einem Kunden, der sich weigert seine Daten zur Verfügung zu stellen, der Zutritt verweigert werden kann. Zudem verweist sie in ihrer Datenschutzerklärung hinsichtlich der Rechtsgrundlage für die Verarbeitung auf Artikel 6, Absatz eins, Litera c, DSGVO in Verbindung mit Paragraph eins, Ziffer 2, Litera e, der Wiener Contact-Tracing Verordnung.

ii) Wie bereits ausgeführt, genügt es nicht, dass eine Datenverarbeitung auf einen Erlaubnistatbestand gestützt werden kann, sondern muss diese auch allen Grundsätzen des Artikel 5, DSGVO entsprechend erfolgen. Nach Artikel 5, Absatz eins, Litera a, DSGVO müssen Daten nach Treu und Glauben in einer für den Betroffenen nachvollziehbaren Weise verarbeitet werden.

Im Ergebnis erweist sich die Praxis der Beschwerdeführerin, sich hinsichtlich der Verarbeitung auf eine – unzureichende – gesetzliche Verpflichtung zur Verarbeitung zu berufen, die Erhebung jedoch gleichzeitig von der freiwilligen Angabe durch Ihre Kunden abhängig zu machen, als irreführend. Denn es wird beim Betroffenen auf diese Weise der Eindruck hervorgerufen, Kontrolle über die Verarbeitung ausüben zu können.

Insoweit hat die Beschwerdegegnerin gegen den Grundsatz des Artikel 5, Absatz eins, Litera a, DSGVO („Treu und Glauben“) verstoßen und den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung gemäß Paragraph eins, DSG verletzt vergleiche dazu bereits oben; Bescheid DSB vom 31. Oktober 2018, GZ: DSB-D123.076/0003-DSB/2018).

4. Ergebnis

Die Beschwerde erweist sich daher, soweit eine Verletzung im Recht auf Geheimhaltung behauptet wird, weil die Beschwerdegegnerin Vor- und Nachname sowie Telefonnummer des Beschwerdeführers ohne Rechtsgrundlage ermittelt hat, als berechtigt, weshalb spruchgemäß zu entscheiden war.

Zu Spruchunkt 2:

Soweit sich die Beschwerde gegen die Verarbeitung anderer als der in der Auskunft angeführten Daten des Beschwerdeführers richtet, erweist sie sich mangels tatsächlicher Verarbeitung als unbegründet.

Es war daher spruchgemäß zu entscheiden.

European Case Law Identifier

ECLI:AT:DSB:2020:2020.0.743.659