Datenübermittlung von Hotelgastdaten
Aufgrund des Umstands, dass von staatlicher Seite insbesondere die Nachverfolgung potentieller Infektionskontakte (Infektionsketten) als wesentlicher Bestandteil einer erfolgreichen Bekämpfung des Infektionsgeschehens angesehen wurde und nach wie vor wird-, mussten insbesondere in der Anfangszeit der Pandemie von staatlicher und privater Seite unter hohem Zeitdruck Lösungen zur Kontaktnachverfolgung gefunden werden, von denen manche sich letztlich als nicht mit den datenschutzrechtlichen Bestimmungen vereinbar erwiesen.
In diesem Zusammenhang wurde unsere Behörde Ende März 2020 auf die Datenerhebung einer Kommunalverwaltung im Zuge der Beherbergung von Hotelgästen aufmerksam gemacht, für welche keine Rechtsgrundlage (Verarbeitungsgrundlage) existierte und die daraufhin einzustellen war.
Zum besseren Verständnis sind die pandemiebezogenen landesrechtlichen Regelungen im Hotelgewerbe in Bezug zu nehmen, die zum damaligen Beurteilungszeitraum Ende März 2020 in Kraft waren. Gemäß Nr. 1 der damaligen Allgemeinverfügung zum Vollzug des Infektionsschutzgesetzes (Anpassung der Allgemeinverfügungen vom 16.3.2020 und vom 20.03.2020) des Ministeriums für Soziales, Gesundheit, Frauen und Familie vom 25.03.20201, wurde der Betrieb von Hotels, Beherbergungsbetrieben und Campingplätzen sowie die Zurverfügungstellung jeglicher Unterkünfte zu privaten touristischen Zwecken untersagt. Als Ausnahme zulässig war der Betrieb “zu beruflich veranlassten erforderlichen Reisen“ oder “bei Vorliegen unabweisbarer persönlicher Gründe der Reisenden“.
Zum Nachweis der jeweiligen Gründe genügte deren Glaubhaftmachung, etwa in Form einer schriftlichen Versicherung oder mittels Bescheinigung des Arbeitgebers. Zur Überprüfung der Vorgaben waren die Ortspolizeibehörden sodann u. a. befugt, Vor-Ort-Kontrollen durchzuführen, bei welchen auch die betreffenden Dokumente eingesehen werden konnten.
Eine saarländische Kommune sah es in Auslegung vorgenannter Verordnung zudem als erforderlich an, sich von den Hotel- und Beherbergungsbetreibern die Buchungen und Belegungen von Unterkünften schriftlich anzeigen zu lassen. Die Datenerhebung sollte hierbei vermutlich zu Zwecken einer antizipierten Kontrollmöglichkeit bereits im Vorfeld der eigentlichen Beherbergung stattfinden. In diesem Zusammenhang sollten die Personalien der Gäste (Name, Geburtsdatum und -ort, private Anschrift), der Zeitraum der Buchung sowie deren Anlass von dem Hotelier mittels vorgegebenen Formblättern der Kommunalverwaltung übermittelt werden.
Ungeachtet des Umstands, dass eine derartig weitgehende Datenübermittlung die Kontrolle der Einhaltung der pandemiebedingten Schutzvorschriften im Hotelgewerbe vielleicht erleichtern und zu effektivieren vermag, ist festzustellen, dass sie weder zum damaligen noch zum heutigen Zeitpunkt eine Grundlage im Gesetz fand bzw. findet. § 29 des Bundesmeldegesetzes (BMG) enthält bereichsspezifische besondere Meldepflichten in Beherbergungsstätten, welche allesamt den Zeitpunkt der Ankunft bzw. Aufnahme einer Person in einer Beherbergungsstätte in Bezug nehmen. Insbesondere der nach § 29 Abs. 2 BMG von den Gästen auszufüllende Meldeschein kann den zuständigen Behörden im Bedarfsfall Auskunft über Identität und Herkunft der Gäste geben.
Eine Datenerhebung, welche eine allgemeine Übermittlung von Hotelgastdaten bereits zum Zeitpunkt der Buchung zum Gegenstand hat, greift dagegen tief in persönlichkeits- und datenschutzrechtliche Positionen der betroffenen Personen ein. Insbesondere in Verbindung mit dem Beherbergungsanlass würde sie weitreichende Einblicke in die persönlichen Lebensverhältnisse von Personen, bis hin zur Erstellung von Bewegungsprofilen, ermöglichen.
Auch in Zeiten einer Pandemie oder eines vergleichbaren Krisenfalls kann eine solch weitgehende Datenverarbeitung nach hiesiger Rechtsauffassung nicht auf untergesetzlicher Ebene geregelt werden, sondern bedürfte einer bereichsspezifischen normativen Grundlage in Form eines Parlamentsgesetzes.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks