Datenschutz mit Oliver Huq

Datenschutz in der Gastronomie

Dipl. Jur. RA Oliver Huq ist selbstständiger Rechtsanwalt und berät neben dem IT-/IP- und Vertrags-Recht auch in den Bereichen gewerblicher Rechtsschutz, Compliance (inkl. Kartell- und Wettbewerbsrecht) und Datenschutz.


Oliver, du bist Anwalt, Datenschutz-Experte und auch Gastautor in unserem Buch Restaurant 2.0 – da nehmen wir gerne die Chance wahr, etwas vertiefter über die Themen Datenschutz in der Gastronomie zu sprechen.

Mal zum Einstieg die Frage: Warum bist du Anwalt geworden? Warum gerade für solche ja eher trockenen Themen?

(lacht) Nun, ich finde diese Themen überhaupt nicht trocken. Ich bin gerne Anwalt. Das Thema Recht ist schon immer meine Passion gewesen und Datenschutz bzw. generell die Themen, die ich abdecke, aus dem Bereich Wirtschaftsrecht, Vertragsgestaltung usw. finde ich sehr spannend, weil man da sehr viel machen und gestalten kann.

Und ich arbeite ja in der Praxis. Viele Leute stellen sich das immer so trocken vor, mit Paragrafen zu hantieren. Oft werde ich mit der Frage konfrontiert, ob ich immer alles auswendig können muss. (lacht) Muss ich nicht. Als Anwalt muss man ungefähr wissen, wo was steht, denn sobald eine Gesetzesänderung durchgeführt wird, ändern sich natürlich auch oft ganz viele Paragrafen. Das heißt, wenn man Sachen auswendig kann, dann ist das ganz schnell obsolet. Wie auch schon der berühmte Rechtswissenschaftler Kirchenbann sagte: Drei berichtigende Worte des Gesetzgebers, und ganze Bibliotheken werden zu Makulatur.

Und wie kam dann der Bezug zur Gastro? Hast du in der Gastro gearbeitet oder einfach reines Interesse?

Sowohl als auch! Mein erster studentischer Nebenjob war tatsächlich im Hotel als Kellner und als Springer, also in der Küche helfen, abräumen, aufdecken, eindecken und solche Geschichten, je nachdem was angefallen ist. Später war ich dann auch viel auf Messen unterwegs, war Barkeeper in Cafés oder eben auch in der Küche. Ansonsten bin ich natürlich auch als Kunde sehr stark mit der Gastronomie verbunden, weil ich gerne gut essen gehe und auch gerne schöne Hotels und Veranstaltungsorte besuche.

Für die Neulinge im Bereich Datenschutz & Co – kannst du uns mal erklären, was denn die DSGVO tatsächlich ist?

Gern! Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der EU, die die Verarbeitung von personenbezogenen Daten in der EU regelt – sowohl für Behörden, als auch für Private und Unternehmen. Damit gilt sie natürlich auch für alle Gastronomen.

Wie muss denn ein Gastronom damit umgehen? Hat sich da irgendwas geändert in der letzten Zeit? Wie betrifft es die Gastronomie? Gibt es Gefahren?

Den Datenschutz gibt es ja schon länger, Bundesdatenschutzgesetz und so weiter…. Die DSGVO ist aber erst im Mai 2018 in Kraft getreten, also “scharf geschaltet” worden. Das meiste, was vor allem im Bundesdatenschutzgesetz geregelt war, ist auch in der DSGVO übernommen worden. Was sich aber tatsächlich stark verändert hat, sind die Bußgelder – es kann Existenz bedrohend sein, wenn man Datenschutz-Bußgelder auferlegt bekommt. Hier gab es vorher keine Verwaltungsverfahren, keine Abmahnungen. Bei jedem Verstoß ist die Behörde jetzt angehalten, Bußgelder zu verhängen, die auch wirklich wehtun.

Sobald der Gastronom personenbezogene Daten einer natürlichen Person, die eine Person identifizierbar machen (wie z.B. den Namen), verarbeitet, dann ist man in der Datenschutzgrundverordnung drin und muss sich an die Vorschriften halten.

Was ist denn hier zu beachten?

Da sind verschiedene Regeln relevant. Man darf nur dann Daten verarbeiten, wenn es dazu eine Erlaubnis gibt, per Gesetz oder eben durch den jeweiligen Betroffenen. Die Person, dessen Daten verarbeitet werden, kann das genehmigen. Das muss vor der Verarbeitung passieren. Und man hat verschiedene Grundregeln, wie Daten-Sparsamkeit bzw. Daten-Vermeidung. Man sollte also nur die Sachen speichern, die man für einen gewissen Zweck braucht, der auch vorher feststehen muss.
Wenn man zum Beispiel Marketing betreiben möchte, dann muss man in der Regel eine Genehmigung des Gastes einholen. Wenn es ein langjähriger Kunde ist, kann man eventuell davon ausgehen, dass er konkludent einwilligt, bis er sagt: Ich möchte keine Werbung mehr erhalten. Das ist natürlich auch immer der Nachteil bei der Einwilligung: sie kann jederzeit widerrufen werden.

Wie sieht es dann für Gastronomen in der Praxis aus?

Das ist ganz unterschiedlich. Der Gastronom hat ja unterschiedliche Aspekte, wo er personenbezogene Daten verarbeitet. Einmal in der Kundenbeziehung. Wenn er Newsletter beispielsweise versenden möchte, wenn er E-Mails sammelt von seinen Kunden, dann hat er Listen mit verschiedenen Informationen. Wenn er diese Informationen das erste Mal verarbeitet, also quasi aufnimmt, dann muss er den jeweiligen Betroffenen vorher informieren, welche Daten er aufnimmt und was er damit macht. Name, Anschrift, Telefonnummer, Kontaktdaten usw. Selbst Vorlieben, zum Beispiel im Restaurant, kann man ja auch abspeichern als Vegetarier und Veganer oder was auch immer.

Da gibt es auch noch besondere Kategorien personenbezogener Daten, wie Gesundheitsinformationen (Allergien) oder Informationen zur religiösen Zugehörigkeit (wenn jemand z.B. aus religiösen Gründen etwas nicht isst). Hier gelten noch mal besonders schwere Regelungen, wo man aufpassen muss.
Grundsätzlich gilt: Man muss einen Grund haben. Man muss z.B. auch den Kunden vorher informieren,

  • was und welche Daten erhoben werden
  • wie lange sie gespeichert werden
  • … und zu welchen Zwecken
  • was passiert, wenn sie gelöscht werden.

Was vielen nicht bewusst ist: Grundsätzlich gibt es auch, sobald der Zweck wegfällt, eine Lösch-Pflicht.

Hast du ein Beispiel?

Nehmen wir mal Corona und die Kontakt-Nachverfolgungen. Aufgrund der Pandemie-Bekämpfung mussten Gastwirte personenbezogene Daten dahingehend speichern und vorhalten. Das war ein bisschen unterschiedlich je nach Bundesland, aber meistens musste man die Daten, wie Name und Kontaktdaten, Telefonnummer oder E-Mail oder Anschrift für einen Monat speichern. Der Zweck ist ganz eindeutig geregelt. Da kann man natürlich nicht hingehen und sagen “Wie praktisch! Jetzt habe ich ganz viele Kundendaten, die packe ich bei mir in den Newsletter rein und macht damit auch mein Marketing”. Das geht nicht. Das wäre dann ein Verstoß, weil das zweckwidrige Verwendung wäre.

Ein hochinteressantes Thema! Doch nicht so trocken, wie wir dachten (beide lachen). Weil du gerade Corona angesprochen hast: auf welcher Rechtsgrundlage durfte man denn da die ganzen Daten erheben?

Die Rechtsgrundlage sind die Corona-Verordnungen der Länder. So werden Gastronomen verpflichtet, diese Daten vorzuhalten. Die unterscheiden sich von Bundesland zu Bundesland und teilweise auch von Kommune zu Kommune. Ein bisschen, je nachdem wie dort die Behörden aufgestellt waren und wie die Nachverfolgung im Einzelnen geregelt wurde. Stellenweise wurde mit der Luca App gearbeitet. Da gibt es dann wieder Besonderheiten – da ist der Gastronom raus.

Ok, klingt aber nicht so schwierig – wo lagen die Probleme?

Am Anfang lagen die Listen oft sogar offen aus! Ein großer Fehler, da dann jeder Kunde quasi auch sehen konnte, wer vor ihm da war. Wenn man solche Daten erhebt, muss man natürlich dafür sorgen, dass die auch zu einem gewissen Grad geschützt werden und nicht jeder darauf Zugriff hat. Da müssen die Mitarbeiter entsprechend geschult werden, denn der Gastronom muss im Zweifelsfall geradestehen, wenn dann ein entsprechendes Datenleck entsteht.

Stellen wir uns vor, jemand kommt in mein Restaurant und fotografiert meine Gästeliste mit den ganzen personenbezogenen Daten, und sie erscheint am nächsten Tag irgendwo online. Was passiert dann?

Es gibt noch nicht so viele Entscheidungen dazu, aber die ersten sind tatsächlich schon da, wo Bußgelder ausgesprochen sind. Das sind einzelne Verstöße und das Bußgeld lag zwischen 200 und 250 Euro. Das klingt jetzt erst mal nicht so viel. Aber man darf nicht vergessen, dass jeder Betroffene so was entsprechend einklagen oder einfordern kann… und bei beispielsweise 200-300 Gästen läppert sich das!
Also je nachdem, wie groß und wie schwerwiegend der Datenschutz-Vorfall ist und wie wenig Vorkehrungen man getroffen hat, desto höher kann die Behörde auch ein Bußgeld verhängen, das weh tut. Faktisch können die Bußgelder bis in Millionenhöhe gehen.

Und je mehr Verstöße es werden, desto stärker kann das werden. Jeder einzelne kann ein Schmerzensgeld verlangen. Das liegt dann eben bei 200 bis 250 Euro. Und die Bußgeldbehörde kann zusätzlich ein Bußgeld aussprechen, weil Datenschutz Vorschriften verletzt worden sind. Und die liegen dann vielleicht beim ersten Verstoß auch in dem Bereich, vielleicht aber auch schon bei 500 oder 1.000 Euro, je nachdem.

Ich denke, in 5 bis 6 Jahren werden die Datenschutz-Hüter so stark sein wie die Finanzbehörden. Und man weiß, den Fiskus möchte man auch nicht an der Tür haben. Wenn die Steuerprüfung einmal einen am Hacken hat, dann ist es schwierig, wieder wegzukommen. Und beim Datenschutz dürfte das ähnlich werden. Momentan ist es sicherlich noch so, dass da die Behörden stark überfordert sind, weil sehr viele Verfahren da sind und sie sich nur um die Spitze des Eisbergs kümmern können.

Worauf muss man denn im Betrieb achten?

Die Mitarbeiter müssen entsprechend instruiert werden, Abläufe entsprechend verändert werden. Nehmen wir mal eine handschriftliche Liste mit Daten. Datenverarbeitung bedeutet ja nicht automatisch digitale Verarbeitung. Es reicht schon aus, wenn man das auf Papier macht und ein Register anlegt. Wobei natürlich die digitale Verarbeitung hier den Vorteil bringt, dass man es besser schützen kann und besser handhaben kann. Wenn die Daten handschriftlich aufgenommen werden, dann muss dafür gesorgt werden, dass die Mitarbeiter die Daten an einem “sicheren Ort” sammeln.
Und dann gibt es ja auch personenbezogene Daten, die man automatisch als Gastronom verarbeitet, wie die der Mitarbeiter, also Daten, die man für die Abwicklung der Arbeitsverhältnisse braucht. Da braucht man keine Einwilligung.

In der Gastronomie sind in der Regel auch Gesundheitszeugnisse dabei, z.B. für die Mitarbeiter, die in der Küche arbeiten oder in anderen Bereichen, die eben relevant sind. Diese muss man vorhalten – sie müssen entsprechend höher geschützt werden, da diese besondere Kategorien personenbezogener Daten sind.

Und als weiteren Bereich gibt es auch Daten von Mitarbeitern, die man zu Marketing-Zwecken verwenden möchte. Ein Foto oder Ähnliches. Ist das notwendig für die Abwicklung des entsprechenden Dienstverhältnisses und Arbeitsverhältnisses? Nein? Dann muss man vorher den Mitarbeiter um Erlaubnis fragen.

Wie organisiert man das am besten?

Wichtig ist, dass man ein Verarbeitungs-Verzeichnis hat. Das ist quasi die Basis. Wie das aussieht? Es kann über eine Software oder über eine Excel-Tabelle passieren. Da werden alle relevanten personenbezogenen Daten, die verarbeitet werden, im Betrieb aufgenommen und da steht dann drin: Datum, Zweck, von wem, wer hat Zugriff, Rechtsgrundlage, wann Löschung usw. Das sind ganz simple Sachen, die in so einem Verzeichnis drinstehen.

Aber das ist der Kern der DSGVO: die Verpflichtung, ein Verarbeitungs-Verzeichnis zu führen. Und wenn irgendeine Behörde nachfragt: “Wie sieht es aus mit dem Datenschutz?” Dann legt man einfach sein Verzeichnis vor.

Kann man sich auch Hilfe holen? Gibt es da eine offizielle Stelle, vielleicht sogar für Gastronomen?

Es gibt natürlich die Datenschutzbeauftragten in jedem Bundesland mit Webseiten, wo sehr viele Hilfsmittel, Übersichten, Links und auch Beschlüsse zur Information angeboten werden. Für Gastronomen gibt es auch Fachverbände, wie zum Beispiel DEHOGA. Ansonsten muss man einfach im Internet schauen.
Es gibt ja auch verschiedene gastronomische Verbände zu den unterschiedlichen Bereichen. Zudem sind die IHKs eine gute Quelle für Infos und Vorlagen. Nicht zuletzt: Suchen Sie auch mal bei den Anwaltskammern oder bei den Anwaltsvereinen nach Infos. Manchmal ist es durchaus sinnvoll, vorher zum Anwalt zu gehen, bevor das Kind in den Brunnen fällt – und günstiger, als wenn das Bußgeld schon ausgesprochen ist. Da können ja durchaus mal Existenzen auf dem Spiel stehen.

Vielen Gastronomen sind Ihnen an dieser Stelle sicher sehr dankbar für die Tipps und Tricks!

Mir ist wichtig, dass das Thema nicht auf die leichte Schulter genommen wird, aber es sollte auch nicht überkandidelt werden. Ich sag mal so, gerade im Hinblick auf die Digitalisierung:
Wenn man den Datenschutz gleich mitdenkt und nicht nur die ganzen Geschäftsprozesse digitalisiert, sondern eben auch die Datenschutz-relevanten Prozesse mit digitalisiert, dann kann man sich da eine ganze Menge an Arbeit sparen.

Wie sieht es denn so in der Praxis aus, sind Ihnen schon fatale Fehler oder vielleicht auch sogar lustige Irrtümer begegnet, wie “mich betrifft die DSGVO nicht, weil…”?

Oh ja, es kommt oft vor, dass Gastronomen sagen “Ich bin ja so klein. Also für mich geht das ja nicht, das gilt nur bei mehr als zehn Mitarbeitern”. Da herrscht gefährliches Halbwissen. Und nein, es gibt da keine Grenze. Die DSGVO gilt für jedermann, auch im privaten Bereich, zumindest, wenn eine Verarbeitung z.B. in sozialen Netzwerken wie Facebook und Co erfolgt und damit ja quasi öffentlich wird.

Ein Gastronom muss viel am Schirm haben. Es würde mich noch interessieren: Durch Corona ist es immer noch eine sehr schwierige Zeit für uns alle. Sind es beim Datenschutz jetzt mehr Fälle von Verstößen in der Gastronomie, oder ist es wie immer oder sogar weniger?

Sowohl für die Behörden, als auch für die Gastronomen war das ja alles eine neue Situation. Und die Behörden sind zudem oft relativ dünn besetzt. So haben wenig Mitarbeiter kontrolliert, und vermehrt dort, wo viele Beschwerden aufgetaucht sind.


Bei Gastronomen, die sich hartnäckig geweigert haben, entsprechende Datenschutzbestimmungen einzuhalten, wurden auch schon Bußgelder verhängt. Am Anfang war es so, dass sie durchaus ein bisschen nachsichtiger waren, da haben Behörden auch einen gewissen Grad an Entscheidungsspielraum. Es war ja auch nicht der Sinn der Sache, die Gastronomie zu schließen. Ich sag mal, die Leute, die sich an Spielregeln halten und alles versuchen, wurden in der Regel auch glimpflich behandelt.


Aber man muss in Zukunft damit rechnen, dass, je länger die Datenschutzgrundverordnung gilt und je länger man Zeit hatte, sich Datenschutz-konform zu verhalten, desto weniger Kulanz ist bei den Behörden zu erwarten. Diese bauen gerade einen größeren Mitarbeiterstab auf, und man merkt auch, dass die Bußgeldverfahren anziehen.

Wir finden es enorm wichtig, dass es Experten wie dich gibt, die aufklären – das hilft den Gastronomen enorm weiter. Wir bedanken uns recht herzlich für das Interview und freuen uns schon auf ein weiteres Gespräch!

Immer wieder gerne.