Kundendaten dank Corona – Ein wertvoller Schatz für viele Gastronome!
In unserem Beitrag Registrierungspflicht in der Gastronomie – Datenchaos oder sinnvolle Maßnahme? haben wir vor kurzem bereits darüber berichtet, wie Gastronome die Kundendaten datenschutzrechtlich korrekt erheben sollen und welche Konsequenzen bei falschen Angaben der Gäste drohen. Jetzt, einige Wochen später, zeigen sich erste Auswirkungen dieser Maßnahme. Restaurantbesucher sind immer genervter und lassen ihren Missmut an den Kellnerinnen und Kellnern aus. Teilweise verständlich, da viel zu viele Daten abgefragt werden, was aber eigentlich gar nicht notwendig wäre. Auf der anderen Seite herrscht Unklarheit darüber, was mit den erhobenen Daten passieren soll, wozu man sie verwenden darf und wann und wie sie gelöscht werden müssen.
Frei zugänglichen Kundendaten für jedermann!
Wer kennt es nicht, das Machen von Angaben auf Listen oder Zetteln im Restaurant über die eigenen Kontaktdaten. Doch bei der Frage des „wie“ erlebt man die unterschiedlichsten Szenarien. Manche Restaurants geben einzelne Dokumente aus, auf welchen lediglich die Kontaktdaten der einzelnen Person abgefragt werden. Andere erheben die Kontaktdaten eines Tisches innerhalb eines Blatt Papiers. Wiederrum andere Gastronome setzen auf Kundenlisten, auf welche sich alle Gäste untereinander eintragen können. Es dürfte wohl kaum verwunderlich sein, dass letzere Variante gegen datenschutzrechtliche Vorschriften verstößt. Doch leider handelt es sich hierbei um keinen Einzelfall!
Der Spiegel berichtete in einem Beitrag, dass Johannes Caspar, der oberste Datenschützer der Stadt Hamburg, von seinen Mitarbeitern eine Stichprobe durchführen lies. Hierbei wurden 100 Lokalitäten darauf getestet, ob diese die Kundendaten datenschutzkonform erheben oder ob die Daten offen herumliegen bzw. durch Kundenlisten für jedermann zugänglich sind.
Für den einen vielleicht überasschend, für den anderen berechnend. Fast jeder Dritte untersuche Laden verstieß gegen die Auflagen der Stadt Hamburg. 33 der geprüften Unternehmen hatten für die Erhebung der Kontaktdaten Kundenlisten verwendet, die offen auf dem Tresen, auf den Tischen oder im Eingangsbereich auslagen. Alle anderen Betriebe verhielten sich gesetzeskonform, was durchaus als erfreulich anzusehen ist.
Es ist daher nicht verwunderlich, das viele Gäste sich über die Abgabepflicht ihrer Daten aufregen. In knapp 1/3 der getesteten Betriebe wurden ihre Daten definitiv nicht mir der Sorgfalt behandelt, wie man es erwarten dürfte. Jeder andere Gast könnte die Daten einsehen und sich gegebenenfalls auch aneigenen, für welche Zwecke auch immer. Leider sind die Angstellten der Restaurantbetriebe oftmals diejenigen, die den Ärger zu spüren bekommen, allerdings am wenigsten dafür können.
Zu viele Kundendaten werden sinnlos erhoben
Neben der Tatsache, dass Kundenlisten für jedermann frei zugänglich herumliegen, spielt auch die Menge der abgefragten Daten eine wichtige Rolle. Oftmals wird auf den Dokumenten nach dem Vor- und Nachnamen, nach der Adresse, der E-Mailadresse und der Telefonnummer gefragt. Dass nicht auch noch Kreditkartendaten erhoben werden, ist schon bemerkenswert.
Wichtig zu wissen ist, dass es völlig ausreichend ist, EINE Möglichkeit der Kontaktaufnahme zu hinterlassen. Die Gastronome sind eigentlich dazu verpflichtet, die Gäste auf diese Tatsache hinzuweisen, vielen fehlt hierzu aber schlichtweg das Wissen, die Motivation oder die Zeit. Der Gast kann also entscheiden, ob er seine E-Mailadresse ODER die Telefonnummer ODER die Adresse hinterlegen möchte.
Die Sache mit dem Löschen
In den meisten Orten und Bundesländern gilt eine Löschfrist von vier Wochen. Das bedeutet, dass die von den Gästen erhobenen Daten spätestens vier Wochen nach Erhebung unwiderruflich gelöscht werden müssen. Das bloße Wegschmeißen in den Papierkorb ist dafür aber alles andere als ausreichend. Die Daten müssen datenschutzkonform in einen Aktenvernichter gegeben werden, welcher im Idealfall die Sicherheitsstufe 3 oder 4 nachweisen kann.
Darüber hinaus bedarf es bei einer Löschung nach spätestens vier Wochen auch einer Art Löschkonzepts. Die an einem Tag erhobenen Daten, müssen genau vier Wochen später wieder hervorgeholt und vernichtet werden. Somit müssen sich die Restaurantbetriebe ein Wiedervorlagesystem einfallen lassen, was einen deutlichen Mehraufwand an Arbeit bedeutet.
Was darf man mit den Kundendaten jetzt eigentlich machen?
So viele Daten von Kunden – ein Schatz für jeden Gastronom! Endlich hätte man von potentiellen Empfängern von Werbung und Events die Adress- bzw. die Kontaktdaten! Endlich weis man, aus welchem Umkreis die Leute kommen, welche das eigene Restaurant besuchen!
Doch aus diesem Traum vom Schatz wird leider nichts. Die aufgrund der aktuellen Corona-Situation erhobenen Daten dürfen auch wirklich ausschließlich nur für diesen einen Zweck verwendet werden. Sollte es zu keinem Ausbruch kommen, sind die Daten „ungesehen“ wieder zu vernichten. Der Versand von Werbung, das Abtelefonieren von Gästen oder das Erstellen von Statstiken auf Grundlage dieser Daten ist strengestens untersagt und kann zu sehr hohen Bußgeldern führen.
Konsequenzen für Gastronome in Sichtweite
Egal ob die Daten falsch erhoben, zu spät oder nicht gelöscht oder anderweitig verwendet werden, in jedem Fall drohen den jeweiligen Unternehmen hohe Bußgelder. In der Stichprobe von Hamburg hat Herr Caspar nochmals Gnade walten lassen und die Gastronome lediglich ermahnt. Er stellte aber auch klar, dass im Falle einer Wiederholung, strenge Sanktionen drohen werden. Das kann im Zweifelsfall eine Summe von 4 % des Jahresumsatzes ausmachen, je nach Art und Schwere des Verstoßes.
Neben dem finanziellen Aspekt sollten die Restaurant- und Ladenbesitzer aber auch an ihre Kundschaft denken und diese nicht unnötig verärgern.