2020/09/25 Lässt sich das Corona-Virus mit Formularen erschlagen?
Stadt Wien startet neuen (verzweifelten) Versuch zur Corona-Bekämpfung - Gastwirt-Formulare benötigen Rechtsgrundlage - Personenlisten zur Kontaktaufnahme widersprechen DSGVO - Pseudonymisierte Lösungen der einzig korrekte Weg
Stadt Wien startet neuen (verzweifelten) Versuch zur Corona-Bekämpfung
In den nächsten Tagen sollen Wiener Wirte zwangsweise die Daten Ihrer Gäste durch Formulare erheben. Vier Wochen sollen diese Formulare aufbewahrt werden.
Noch ist unklar welche Daten tatsächlich erhoben werden, zumindest jedoch Name + Telefonnummer und/oder eMail-Adresse.
Grund für diese Aktion ist offenbar vom Versagen abzulenken, ein funktionierendes Corona-Management aufzubauen.
Aus den Erfahrungen nicht klug geworden ist die Stadtverwaltung. Die letzten Wochen zeigten, dass derartige Formulare nicht oder fehlerhaft ausgefüllt werden (in Deutschland 70% falsch), die Daten mutwillig verstreut werden (Beispiel Graz, die ARGE DATEN berichtete) oder die Zettel schlicht nicht verwendbar sind (zuletzt bei den Einreiseformularen aus Kroatien).
Gastwirt-Formulare benötigen Rechtsgrundlage
Grundsätzlich benötigt jede Erfassung persönlicher Daten einen berechtigten Zweck und es muss eine geeignete Rechtsgrundlage für die Verarbeitung bestehen.
Hans G. Zeger, Obmann ARGE DATEN: "Der Wunsch Personen zu kontaktieren und zu informieren, die mit einer infizierten Person Kontakt hatten, ist sicher ein legitimer Zweck. Trotzdem muss auch dieser Zweck rechtskonform umgesetzt werden."
Es ist auch ein legitimer Zweck nach der Arbeit rasch zu Hause zu sein, trotzdem müssen Geschwindigkeitsbeschränkungen eingehalten werden.
Legitime Rechtsgrundlagen zur Verwertung von Corona-Daten sind:
[1] bei der Erhebung: Freiwilligkeit oder eine gesetzliche Vorschrift oder ein vertragliches Erfordernis
[2] beim Umfang der Daten muss auf Minimalität geachtet werden
[3] bei der Erhebung und Aufbewahrung sind Sicherheitsbestimmungen zu beachten, etwa das kein Dritter die Angaben lesen kann
geplante Personenlisten widersprechen DSGVO
In allen drei Punkten bestehen bei der unausgegorenen Wien-Idee erhebliche Rechtsverstöße.
Es gibt derzeit KEINE gesetzliche Vorschrift zur Führung derartiger Listen, ein Wirt darf auch die Ausgabe von Getränken/Speisen nicht mit einer derartigen Liste koppeln. Es besteht durch die DSGVO ein striktes Koppelungsverbot. Wirte, die den Ausschank mit einer derartigen Liste zwangsweise verknüpfen machen sich strafbar. Einzig eine freiwillige Mitwirkung der Gäste wäre zulässig.
Wer zu einem Zweck mehr Daten erhebt, als unbedingt erforderlich, macht sich gemäß DSGVO ebenfalls strafbar. Zur Kontaktherstellung sind nur Telefonnummer und/oder eMail-Adresse erforderlich. Dies wurde besonders bei der Corona-App von Regierungsseite betont.
Wer Listen auflegt, in die andere Gäste/Personen Einschau nehmen können, macht sich ebenfalls nach DSGVO strafbar. Es ist offenkundig, dass hier Missbrauch Tür und Tor geöffnet sind.
Das kann von der plumpen Anmache reichen, weil man sich die Telefonnummer der netten Nachbarin / des netten Nachbarn notiert hat. Auch die systematische Verängstigung von Personen, die unter den Vorwand der Coronainformation angerufen werden, wird möglich. Weiters sind Telefonnummer und eMail-Adresse die idealen Einstiegsmöglichkeiten zu Phishing und Identitätssdiebstahl. Für alle Schäden daraus haftet der Wirt.
Alle Strafen zusammen können bis 20 Mio Euro betragen, zusätzlich könnten Gäste auch Schadenersatz einfordern.
Pseudonymisierte Lösungen der einzig korrekte Weg
Wie können zwei berechtigte Anliegen (Information im Corona-Fall und Schutz der Grundrechte) in Einklang gebracht werden?
Für derartige Zwecke sieht die DSGVO das Mittel der Pseudonymisierung vor. Um zuverlässig einen Kontakt herzustellen, genügt die korrekte Telefonnummer oder eMail-Adresse, als Bezeichnung der Person ist ein Rufname oder Pseudonym ausreichend. Bis zu einer gesetzlichen Regelung ist die Ermittlung nur auf freiwilliger Basis möglich.
Die ARGE DATEN empfiehlt, sich eine "Corona"-eMail-Adresse zuzulegen, die ausschließlich für derartige Kontaktfälle verwendet wird. Auf diese Weise hat jeder Betroffene optimalen Schutz und kann gleichzeitig rasch erkennen, wenn mit dieser Adresse Unfug betrieben wurde.
mehr --> Jetzt schlägt's Corona!
|
