© 2020 Deutscher Bundestag PE 6 - 3000 - 084/20 Zur Frage der unionsrechtlichen Zulässigkeit der Verpflichtung von Gaststättenbetreibern und anderen zur Datenverarbeitung im Zusammenhang mit der Corona-Pandemie Ausarbeitung Unterabteilung Europa Fachbereich Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 2 Die Arbeiten des Fachbereichs Europa geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten des Fachbereichs Europa geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegen, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab der Fachbereichsleitung anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Zur Frage der unionsrechtlichen Zulässigkeit der Verpflichtung von Gaststättenbetreibern und anderen zur Datenverarbeitung im Zusammenhang mit der Corona-Pandemie Aktenzeichen: PE 6 - 3000 - 084/20 Abschluss der Arbeit: 14. Oktober 2020 Fachbereich: PE 6: Fachbereich Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 3 Inhaltsverzeichnis 1. Einleitung 4 2. Regelung der SARS-CoV-2-Infektionsschutzverordnung des Berliner Senats als Beispiel 4 3. Unionsrechtlicher Prüfungsmaßstab 6 4. Zusammenfassung 9 Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 4 1. Einleitung Der Fachbereich Europa wurde um Prüfung gebeten, ob die Regelungen der Corona-Schutzverordnungen der Länder mit dem Unionsrecht vereinbar sind, soweit sie eine Verpflichtung von Gaststättenbetreibern und anderen zur Datenerhebung, -speicherung und ggf. -übermittlung an Behörden sowie ein Bußgeld für Personen vorsehen, die falsche Kontaktdaten angeben. 2. Regelung der SARS-CoV-2-Infektionsschutzverordnung des Berliner Senats als Beispiel In allen Ländern mit Ausnahme von Sachsen und Sachsen-Anhalt12 sehen Verordnungen für Gaststättenbetreiber und andere die Pflicht vor, personenbezogene Daten zu erheben, aufzubewahren und diese ggf. an die zuständigen Behörden herauszugeben. Zudem ist teilweise ausdrücklich die Verpflichtung der anwesenden Personen vorgesehen, wahrheitsgemäße personenbezogene Angaben zu machen, deren Verletzung bußgeldbewehrt ist. Beispielhaft soll die SARS- CoV-2-Infektionsschutzverordnung des Berliner Senats vom 6. Oktober 2020 herangezogen werden . Dort heißt es: „§ 3 Anwesenheitsdokumentation (1) Über § 2 hinaus haben die Verantwortlichen für 1. Veranstaltungen und Zusammenkünfte 2. Gaststätten, 3. Hotels, 4. Spielhallen, Spielbanken, Wettvermittlungsstellen und ähnliche Betriebe, 5. Kinos, Theater, Konzert- und Opernhäuser, 6. Dienstleistungsgewerbe im Bereich der körpernahen Dienstleistungen, 7. den Sportbetrieb in gedeckten Sportanlagen einschließlich Hallenbädern, in Fitness- und Tanzstudios und ähnlichen der Sportausübung dienenden Räumen und für sportbezogene und ähnliche Freizeitangebote sowie für den Sportbetrieb im Freien nach § 5 Absatz 7 Satz 1 Buchstabe b) bis g) und 8. staatliche, private und konfessionelle Hochschulen für Veranstaltungsräume, in denen der Präsenzbetrieb durchgeführt wird, eine Anwesenheitsdokumentation zu führen, soweit geschlossene Räume betroffen sind und es sich im Falle der Nummer 2 nicht ausschließlich um die Abholung von Speisen oder Getränken 1 In Sachsen-Anhalt entfiel die bis dahin geltende Anwesenheitsdokumentationspflicht zum 17. September 2020. Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 5 handelt. Für Veranstaltungen und Zusammenkünfte im privaten Bereich gilt die Pflicht zum Führen einer Anwesenheitsdokumentation bei mehr als zehn zeitgleich anwesenden Personen, die nicht in einem Haushalt leben. Die Verantwortlichen für Veranstaltungen haben eine Anwesenheitsdokumentation auch zu führen, soweit die Veranstaltung ganz oder teilweise im Freien stattfindet . Die Verantwortlichen für Gaststätten haben eine Anwesenheitsdokumentation auch zu führen, soweit Speisen oder Getränke im Freien serviert oder im Wege der Selbstbedienung zum Verzehr im Bereich der genehmigten Außengastronomie abgegeben werden. (2) Die Anwesenheitsdokumentation darf ausschließlich zum Vollzug infektionsschutzrechtlicher Vorschriften, insbesondere zur Kontaktnachverfolgung genutzt werden und muss die folgenden Angaben enthalten: 1. Vor- und Familienname, 2. Telefonnummer, 3. Bezirk oder Gemeinde des Wohnortes oder des Ortes des ständigen Aufenthaltes 4. vollständige Anschrift oder E-Mail-Adresse, 5. Anwesenheitszeit und 6. Platz- oder Tischnummer, sofern vorhanden. Die Anwesenheitsdokumentation nach Satz 1 ist für die Dauer von vier Wochen nach Ende der Veranstaltung oder Inanspruchnahme einer Dienstleistung geschützt vor Einsichtnahme durch Dritte aufzubewahren oder zu speichern. Die Anwesenheitsdokumentation ist den zuständigen Behörden zur Kontrolle der Verpflichtungen nach Absatz 1, 3 und 4 auf Verlangen zugänglich zu machen. Darüber hinaus ist den zuständigen Behörden auf Verlangen die Anwesenheitsdokumentation auszuhändigen oder ihnen auf sonstige geeignete Weise der Zugriff zu ermöglichen, wenn festgestellt wird, dass eine Person zum Zeitpunkt der Veranstaltung, des Besuchs oder der Inanspruchnahme der Dienstleistung krank, krankheitsverdächtig, ansteckungsverdächtig oder Ausscheiderin oder Ausscheider im Sinne des Infektionsschutzgesetzes war. Nach Ablauf der Aufbewahrungsfrist ist die Anwesenheitsdokumentation zu löschen oder zu vernichten. (3) Anwesende Personen wie Teilnehmerinnen und Teilnehmer, Gäste, Besucherinnen und Besucher , Kundinnen und Kunden oder Nutzerinnen und Nutzer sind verpflichtet, die Angaben nach Absatz 2 Satz 1 vollständig und wahrheitsgemäß zu machen. […]“ „§ 12 Ordnungswidrigkeiten (1) Die Verfolgung von Ordnungswidrigkeiten richtet sich nach § 73 Absatz 1a Nummer 24 und Absatz 2 des Infektionsschutzgesetzes und dem Gesetz über Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 185 der Verordnung vom 19. Juni 2020 (BGBl. S. 1328) geändert worden ist, in der jeweils geltenden Fassung. Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 6 (2) Ordnungswidrigkeiten können nach § 73 Absatz 2 zweiter Halbsatz des Infektionsschutzgesetzes mit einer Geldbuße von bis zu 25 000 Euro geahndet werden. (3) Ordnungswidrig im Sinne des § 73 Absatz 1a Nummer 24 des Infektionsschutzgesetzes handelt , wer vorsätzlich oder fahrlässig 5. entgegen § 3 Absatz 3 Angaben nach § 3 Absatz 2 Satz 1 nicht vollständig oder nicht wahrheitsgemäß macht, soweit keine Ausnahme nach § 3 Absatz 5 vorliegt […]“ (Hervorhebungen durch die Verfasserin) 3. Unionsrechtlicher Prüfungsmaßstab Als unionsrechtlicher Prüfungsmaßstab kommen vorliegend die Vorschriften der DS-GVO3 in Betracht . Diese ist als Verordnung in den Mitgliedstaaten der Union unmittelbar anwendbar, Art. 288 Abs. 2 AEUV. Gemäß Art. 2 Abs. 1 DS-GVO gilt die DS-GVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Sofern die Gaststättenbetreiber und andere die Kontaktdaten lediglich handschriftlich einholen und unsortiert aufbewahren, findet die DS-GVO keine Anwendung. Bei naheliegender (späterer) Speicherung der Daten in einem Dateisystem, worunter bereits die geordnete Abheftung fällt, gelten die Vorschriften der DS-GVO.4 Fraglich ist, ob es sich bei den durch die Gaststättenbetreiber zu erhebenden personenbezogenen Daten um Gesundheitsdaten i.S.d. Art. 4 Nr. 15 der DS-GVO handelt. Gesundheitsdaten werden dort definiert als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Nach dem Erwägungsgrund 35 der DS-GVO kann sich dies auf den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person beziehen. Auch Informationen über Krankheitsrisiken sollen dazu zählen. Es ist eine weite Auslegung angezeigt.5 Auch 3 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG. 4 Vgl. Bäcker, in: BeckOK, Datenschutzrecht, Wolff/Brink, 33. Edition, Stand: 1.08.2020, Art. 2 DS-GVO, Rn. 4. 5 Vgl. Weichert, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 4 Nr. 15 DS-GVO, Rn. 1. Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 7 solche Daten, aus denen mittelbar auf den Gesundheitszustand Rückschlüsse möglich sind, sind Gesundheitsdaten i.d.S.6 Die Kontaktdaten selbst weisen zum Zeitpunkt der Angabe zunächst keinerlei Bezug zum Gesundheitszustand der jeweiligen Personen auf. Sie dienen aber allein dem Zweck, Kontaktpersonen von Corona-Infizierten identifizieren und ggf. weitere Maßnahmen wie Corona-Tests, Quarantäne etc. anordnen zu können. Die Artikel-29-Datenschutzgruppe/EDSA7 erklärte in diesem Zusammenhang zu der der DS-GVO vorangegangenen Datenschutz-Richtlinie8, die in ihrem Art. 8 Abs. 1 auch die grundsätzliche Unzulässigkeit der Verarbeitung von Gesundheitsdaten vorsah: „The term ‘disease risk‘ […] refers to data concerning the potential future health status of a data subject. […] healthdata therefore include […] any other information where there is a scientifically proven or commonly perceived risk of disease in the future. In addition this may also include cases where a controller uses any personal data (health data or not) with the purpose of identifying disease risks. […] relatively low privacy impact personal data can quickly change into health data when the dataset can be used to determine the health status of a person. To assess this, it does not suffice to look at the character of the data as is. Their intended use must also be taken into account, by itself, or in combination with other information.“9 Die Identifikation als Kontaktperson mit einem Corona-Infizierten qualifiziert letzteren als potentiell infiziert. Im Hinblick auf diesen späteren Verwendungszweck lässt sich vertreten, die durch die Gaststättenbetreiber zu erhebenden Kontaktdaten als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DS-GVO einzuordnen.10 Ohne nähere Begründung geht dagegen das OVG Münster11 davon aus, dass es sich bei den Kontaktdaten , die zum Zweck der Kontaktnachverfolgung bei Feststellung einer Neuinfektion genutzt werden sollen, nicht um Gesundheitsdaten handelt. Der VGH Mannheim12 diskutiert die Qualifikation der Kontaktdaten als Gesundheitsdaten nicht, sondern misst sie an Art. 6 DS-GVO. 6 Vgl. Weichert, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 4 Nr. 15 DS-GVO, Rn. 6. 7 Es handelt sich um eine nach Art. 29 der Datenschutz-Richtlinie eingerichtete unabhängige und beratende Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten. 8 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 9 Artikel-29-Datenschutzgruppe/EDSA, Annex – health data in apps and devices. Die Erwägungen beziehen sich zwar in erster Linie auf Gesundheitsdaten in Apps u.ä., sind aber allgemein gehalten und dürften daher auch auf anderweitige Datenverarbeitungen übertragbar sein. 10 Für die Qualifikation der Infektionswarnung der Corona-App als Gesundheitsdaten: Haschert, in: Schmidt, CO- VID-19, Rechtsfragen zur Corona-Krise, 2. Auflage 2020, § 20 Datenschutz, Rn. 114. 11 OVG Münster, Beschluss vom 23.06.2020 – 13 B 695/20.NE. 12 VGH Mannheim, Beschluss vom 25.06.2020 – 1 S 1739/20. Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 8 Je nachdem, ob man die Kontaktdaten der Gäste als „normale“ personenbezogene Daten oder als Gesundheitsdaten qualifiziert, richtet sich die Zulässigkeit der Datenverarbeitung nach Art. 6 Abs. 1 lit. c DS-GVO oder nach Art. 9 Abs. 1 lit. i DS-GVO. Art. 6 Abs. 1 lit. c DS-GVO erlaubt eine Datenverarbeitung, wenn diese „zur Erfüllung einer rechtlichen Verpflichtung erforderlich [ist], der der Verantwortliche unterliegt“. Die entsprechende Rechtsgrundlage muss durch Unionsrecht oder im Recht des Mitgliedstaates, dem der Verantwortliche unterliegt, festgelegt sein, die auch den Zweck der Datenverarbeitung regeln muss. Dabei müssen das Unionsrecht oder das Recht des Mitgliedstaates ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen, vgl. Art. 6 Abs. 3 DS-GVO. Vorliegend regeln die Corona-Schutzverordnungen der Länder ähnlich dem § 3 Abs. 1, 2 SARS- CoV-2-Infektionsschutzverordnung des Berliner Senats die Verpflichtung der Gaststättenbetreiber zu der Datenverarbeitung. Als Zweck wird die infektionsschutzrechtliche Kontaktnachverfolgung benannt. Es wird das im öffentlichen Interesse liegende Ziel des Gesundheitsschutzes der Bevölkerung verfolgt. Nach dem Erwägungsgrund 41 der DS-GVO stellen untergesetzliche Rechtsverordnungen eine taugliche Rechtsgrundlage i.S.d. Art. 6 Abs. 1 lit. c DS-GVO dar.13 Die Datenverarbeitung erscheint auch angemessen. Es gäbe keine andere Möglichkeit Kontaktpersonen von Infizierten identifizieren, das Infektionsgeschehen damit eindämmen und so einen Beitrag zum Schutz des Lebens und der Gesundheit aller leisten zu können. Die Verarbeitung von Gesundheitsdaten als „besondere Kategorie personenbezogener Daten“ ist dagegen nach Art. 9 Abs. 1 DS-GVO grundsätzlich untersagt. Die Ausnahmetatbestände des Art. 9 Abs. 2 DS-GVO sind entsprechend ihrem Ausnahmecharakter tatbestandlich und mit Blick auf die Erforderlichkeit der Verarbeitung restriktiv auszulegen.14 In Betracht kommt der Ausnahmetatbestand des Art. 9 Abs. 2 lit. i DS-GVO. Dieser erfasst den Fall, dass „die Verarbeitung […] aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht erforderlich [ist].“ (Hervorhebungen durch die Verfasserin) Taugliche Rechtsgrundlagen stellen die Corona-Schutzverordnungen der Länder auf der Grundlage des § 32 Abs. 1 IfSG dar. In Art. 9 Abs. 2 lit. i DS-GVO wird beispielhaft der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren genannt. Als wichtiger Grund des öffentlichen Interesses wird im Erwägungsgrund 46 zur DS-GVO zudem die „Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung“ 13 Vgl. auch VGH Mannheim, Beschluss vom 25.06.2020 – 1 S 1739/20. 14 Albers/Veit, in: BeckOK, Datenschutzrecht, Wolff/Brink, 33. Edition, Stand: 1.05.2020, Art. 9 DS-GVO, Rn. 48. Fachbereich Europa Ausarbeitung PE 6 - 3000 - 084/20 Seite 9 aufgezählt. Die hier in Rede stehende Verarbeitung personenbezogener Daten erfolgt ausschließlich zu dem Zweck Infektionsketten nachvollziehen und unterbrechen zu können und so eine weitere (auch grenzüberschreitende) Ausbreitung des Corona-Virus einzudämmen. Es erscheint zweifelhaft, ob die Corona-Schutzverordnungen „angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten“ der betroffenen Personen vorsehen. Was konkret unter solchen Maßnahmen zu verstehen ist, wird von der DS-GVO selbst nicht näher definiert .15 Beispielhaft werden das Berufsgeheimnis in Art. 9 Abs. 2 lit. i DS-GVO oder die Verschlüsselung bzw. Pseudonymisierung in Art. 6 Abs. 4 lit. e DS-GVO genannt. Die nach Art. 9 Abs. 2 lit. i DS-GVO geforderten Maßnahmen müssen jedenfalls über die allgemeinen Anforderungen der DS-GVO hinausgehen.16 Dies ist bei den Corona-Schutzverordnungen nicht der Fall. So regelt z.B. § 3 Abs. 2 SARS-CoV-2-Infektionsschutzverordnung des Berliner Senats selbst lediglich , dass die Daten für vier Wochen geschützt vor Einsichtnahme durch Dritte aufzubewahren und nur in bestimmten Fällen an die zuständige Behörde herauszugeben und nach Ablauf der Aufbewahrungsfrist zu löschen sind. Diese Anforderungen ergeben sich bereits allgemein aus Art. 5 DS-GVO. Bei der Qualifikation der Verletzung der Pflicht zur Angabe wahrheitsgemäßer Daten als Ordnungswidrigkeit , handelt sich um einen rein innerstaatlichen Vorgang. Eine Betroffenheit unionsrechtlicher Vorschriften ist insoweit nicht ersichtlich. 4. Zusammenfassung Die Vorschriften der DS-GVO findet auf die in Frage stehende Datenverarbeitung dann Anwendung , wenn eine Speicherung der Kontaktdaten in einem Dateisystem erfolgt. Sofern man die Kontaktdaten als „normale“ personenbezogene Daten einordnet, ist die Verpflichtung der Gaststättenbetreiber zur Datenverarbeitung unionsrechtlich nicht zu beanstanden. Sofern man diese im Hinblick auf ihre spätere Verwendung als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DS-GVO qualifiziert, können Zweifel dahingehend aufkommen, ob die Corona-Schutzverordnungen der Länder angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Personen i.S.d. Art. 9 Abs. 2 lit. i DS-GVO vorsehen. Die Qualifikation einer Rechtsverletzung als Ordnungswidrigkeit stellt einen rein innerstaatlichen Vorgang dar und betrifft – soweit ersichtlich – keine unionsrechtlichen Vorschriften. Fachbereich Europa 15 Albers/Veit, in: BeckOK, Datenschutzrecht, Wolff/Brink, 33. Edition, Stand: 1.05.2020, Art. 9 DS-GVO, Rn. 93, 96. 16 Albers/Veit, in: BeckOK, Datenschutzrecht, Wolff/Brink, 33. Edition, Stand: 1.05.2020, Art. 9 DS-GVO, Rn. 95.