Wo die Corona-Daten landen

Eigentlich sollen Gaststätten die Kontaktdaten ihrer Gäste sammeln, um Corona-Infektionen nachverfolgbar zu machen. Tatsächlich locken offene Listen Unbefugte und die Polizei an. Datenschützer sind besorgt, können aber wenig dagegen tun

Sind unter Auflagen wieder geöffnet: Gaststätten Foto: foto2press/imago

Von Philipp Steffens

Es muss eine tumultartige Szene gewesen sein, die sich gegen 20 Uhr vor dem Restaurant „Loving Hut“ in der Markusstraße in der Neustadt abspielte. Ein Mann bedrohte angeblich Passanten und Gäste mit einem Teppichmesser, mehrere Streifenwagen fuhren daraufhin zu dem asiatischen Restaurant. Der Verdächtige wurde dank der Hilfe von Zeugen eine Viertelstunde später im Planten un Blomen festgenommen, wo er weitere Menschen bedrohte, und sitzt seitdem in Untersuchungshaft. Verletzt wurde niemand.

Was diesen Vorfall so besonders macht, ist die Art, wie die Polizei im Nachgang mögliche Zeugen ermittelte. Da nicht klar war, welche Gäste vom „Loving Hut“ als Augenzeugen infrage kamen, nutzte die Polizei die Corona-Kontaktliste, die im Restaurant auslag und kontaktierte im Auftrag der Staatsanwaltschaft die dort aufgeführten Personen.

Als „gesunder Menschenverstand“ bezeichnet die Hamburger Polizei das Vorgehen, schließlich sei sie verpflichtet, Straftaten zu verfolgen und dafür Zeugen zu suchen. Auch die Staatsanwaltschaft sah es als „zwingend notwendig“ an, die Liste zu verwenden, um den Vorfall vom 26. Juni aufzuklären. Als rechtliche Grundlage dient die Strafprozessordnung, laut der die Polizei solche Informationen bei Unternehmen erfragen darf.

Ganz so unbedenklich, wie die Strafverfolgungsbehörden diese Ermittlungstaktik darstellen, ist sie aber nicht. Die Behörde um den Beauftragten für Datenschutz und Informationsfreiheit bezweifelt zwar nicht die Rechtmäßigkeit der polizeilichen Verwendung der Coronaliste, warnt jedoch vor Normalität: „Dort, wo Daten zulässigerweise erhoben werden, ergeben sich immer wieder weitergehende Begehrlichkeiten.“

Die Erhebung von Kundendaten sollte sich daher immer am Grundsatz der Erforderlichkeit messen und es sei fraglich, ob es wirklich postalische Adresse, Mailadresse und Telefonnummer benötigt, um eine Corona-Infektionskette zu überprüfen. „Ferner muss klar sein, dass die erhobenen Daten tatsächlich auch zum Zweck der Verfolgung von Infektionsketten benötigt werden.“

Offen ausliegende Listen stellen ein Risiko für die Gäste dar, die sich mit ihren richtigen Daten eintragen. Die Hamburger Datenschützer überprüften stichprobenartig 97 Restaurants, zwei Bäckereien und einen Friseursalon in mehreren Stadtteilen und stellten fest, dass ein Drittel der überprüften Läden offene Listen benutzen, die nicht datenschutzkonform waren. In Altona und Ottensen waren es sogar 43 Prozent.

Der Behörde liegt zudem ein Fall vor, bei dem eine Kundin nach einem Restaurantbesuch über ihre angegebene Telefonnummer ungefragt zu privaten Zwecken kontaktiert wurde. Im Einzelfall können die Datenschützer wenig dagegen tun.

„Die Erfahrung unserer Prüfung hat gezeigt, dass oft schon ein Hinweis des Gastes auf die datenschutzrechtlichen Defizite ausreicht, um bei Gaststättenbetreibern vor Ort eine Änderung der Praxis herbeizuführen“, kommentiert Johannes Caspar, der Beauftragte für Datenschutz und Informationsfreiheit, das Ergebnis der Stichprobe. Die Behörde sei nicht ausgelegt für eine flächendeckende Überprüfung. In Hamburg scheint der Datenschutz also in der Hand der Bürgerinnen und Bürger zu liegen. Sollte das zum Anlass genommen werden, sich aus Selbstschutz nicht mit korrekten Angaben in die Kontaktlisten einzutragen, gefährdet das die Bemühungen aller Hamburger, das Coronavirus einzudämmen.