Kundendaten dank Corona – Ein wertvoller Schatz für viele Gastronome!

Kundendaten dank Corona – Ein wertvoller Schatz für viele Gastronome!

In unserem Beitrag Registrierungspflicht in der Gastronomie – Datenchaos oder sinnvolle Maßnahme? haben wir vor kurzem bereits darüber berichtet, wie Gastronome die Kundendaten datenschutzrechtlich korrekt erheben sollen und welche Konsequenzen bei falschen Angaben der Gäste drohen. Jetzt, einige Wochen später, zeigen sich erste Auswirkungen dieser Maßnahme. Restaurantbesucher sind immer genervter und lassen ihren Missmut an den Kellnerinnen und Kellnern aus. Teilweise verständlich, da viel zu viele Daten abgefragt werden, was aber eigentlich gar nicht notwendig wäre. Auf der anderen Seite herrscht Unklarheit darüber, was mit den erhobenen Daten passieren soll, wozu man sie verwenden darf und wann und wie sie gelöscht werden müssen.

Frei zugänglichen Kundendaten für jedermann!

Wer kennt es nicht, das Machen von Angaben auf Listen oder Zetteln im Restaurant über die eigenen Kontaktdaten. Doch bei der Frage des „wie“ erlebt man die unterschiedlichsten Szenarien. Manche Restaurants geben einzelne Dokumente aus, auf welchen lediglich die Kontaktdaten der einzelnen Person abgefragt werden. Andere erheben die Kontaktdaten eines Tisches innerhalb eines Blatt Papiers. Wiederrum andere Gastronome setzen auf Kundenlisten, auf welche sich alle Gäste untereinander eintragen können. Es dürfte wohl kaum verwunderlich sein, dass letzere Variante gegen datenschutzrechtliche Vorschriften verstößt. Doch leider handelt es sich hierbei um keinen Einzelfall!

Der Spiegel berichtete in einem Beitrag, dass Johannes Caspar, der oberste Datenschützer der Stadt Hamburg, von seinen Mitarbeitern eine Stichprobe durchführen lies. Hierbei wurden 100 Lokalitäten darauf getestet, ob diese die Kundendaten datenschutzkonform erheben oder ob die Daten offen herumliegen bzw. durch Kundenlisten für jedermann zugänglich sind.
Für den einen vielleicht überasschend, für den anderen berechnend. Fast jeder Dritte untersuche Laden verstieß gegen die Auflagen der Stadt Hamburg. 33 der geprüften Unternehmen hatten für die Erhebung der Kontaktdaten Kundenlisten verwendet, die offen auf dem Tresen, auf den Tischen oder im Eingangsbereich auslagen. Alle anderen Betriebe verhielten sich gesetzeskonform, was durchaus als erfreulich anzusehen ist.

Es ist daher nicht verwunderlich, das viele Gäste sich über die Abgabepflicht ihrer Daten aufregen. In knapp 1/3 der getesteten Betriebe wurden ihre Daten definitiv nicht mir der Sorgfalt behandelt, wie man es erwarten dürfte. Jeder andere Gast könnte die Daten einsehen und sich gegebenenfalls auch aneigenen, für welche Zwecke auch immer. Leider sind die Angstellten der Restaurantbetriebe oftmals diejenigen, die den Ärger zu spüren bekommen, allerdings am wenigsten dafür können.

Zu viele Kundendaten werden sinnlos erhoben

Neben der Tatsache, dass Kundenlisten für jedermann frei zugänglich herumliegen, spielt auch die Menge der abgefragten Daten eine wichtige Rolle. Oftmals wird auf den Dokumenten nach dem Vor- und Nachnamen, nach der Adresse, der E-Mailadresse und der Telefonnummer gefragt. Dass nicht auch noch Kreditkartendaten erhoben werden, ist schon bemerkenswert.

Wichtig zu wissen ist, dass es völlig ausreichend ist, EINE Möglichkeit der Kontaktaufnahme zu hinterlassen. Die Gastronome sind eigentlich dazu verpflichtet, die Gäste auf diese Tatsache hinzuweisen, vielen fehlt hierzu aber schlichtweg das Wissen, die Motivation oder die Zeit. Der Gast kann also entscheiden, ob er seine E-Mailadresse ODER die Telefonnummer ODER die Adresse hinterlegen möchte.

Die Sache mit dem Löschen

In den meisten Orten und Bundesländern gilt eine Löschfrist von vier Wochen. Das bedeutet, dass die von den Gästen erhobenen Daten spätestens vier Wochen nach Erhebung unwiderruflich gelöscht werden müssen. Das bloße Wegschmeißen in den Papierkorb ist dafür aber alles andere als ausreichend. Die Daten müssen datenschutzkonform in einen Aktenvernichter gegeben werden, welcher im Idealfall die Sicherheitsstufe 3 oder 4 nachweisen kann.

Darüber hinaus bedarf es bei einer Löschung nach spätestens vier Wochen auch einer Art Löschkonzepts. Die an einem Tag erhobenen Daten, müssen genau vier Wochen später wieder hervorgeholt und vernichtet werden. Somit müssen sich die Restaurantbetriebe ein Wiedervorlagesystem einfallen lassen, was einen deutlichen Mehraufwand an Arbeit bedeutet.

Was darf man mit den Kundendaten jetzt eigentlich machen?

So viele Daten von Kunden – ein Schatz für jeden Gastronom! Endlich hätte man von potentiellen Empfängern von Werbung und Events die Adress- bzw. die Kontaktdaten! Endlich weis man, aus welchem Umkreis die Leute kommen, welche das eigene Restaurant besuchen!

Doch aus diesem Traum vom Schatz wird leider nichts. Die aufgrund der aktuellen Corona-Situation erhobenen Daten dürfen auch wirklich ausschließlich nur für diesen einen Zweck verwendet werden. Sollte es zu keinem Ausbruch kommen, sind die Daten „ungesehen“ wieder zu vernichten. Der Versand von Werbung, das Abtelefonieren von Gästen oder das Erstellen von Statstiken auf Grundlage dieser Daten ist strengestens untersagt und kann zu sehr hohen Bußgeldern führen.

Konsequenzen für Gastronome in Sichtweite

Egal ob die Daten falsch erhoben, zu spät oder nicht gelöscht oder anderweitig verwendet werden, in jedem Fall drohen den jeweiligen Unternehmen hohe Bußgelder. In der Stichprobe von Hamburg hat Herr Caspar nochmals Gnade walten lassen und die Gastronome lediglich ermahnt. Er stellte aber auch klar, dass im Falle einer Wiederholung, strenge Sanktionen drohen werden. Das kann im Zweifelsfall eine Summe von 4 % des Jahresumsatzes ausmachen, je nach Art und Schwere des Verstoßes.

Neben dem finanziellen Aspekt sollten die Restaurant- und Ladenbesitzer aber auch an ihre Kundschaft denken und diese nicht unnötig verärgern.

Gerne erstellen wir Ihnen ein passendes Angebot oder beantworten Ihre Fragen.
Sie können uns auch jederzeit telefonisch unter +49 (0) 7733 360 35 40 erreichen
  

Tarifübersicht Datenschutzpakete

 Bronze
Silber
Gold
Individuell
ab 500 Mitarbeiter
 
Basisleistungen der DSGVO
Bennung eines Datenschutzbeauftragten
Bestellurkunde für den externen DSB
Meldung des externen DSB bei der Aufsichtsbehörde
Initiales Datenschutzaudit / Bestandsaufnahme
Maßnahmenkatalog mit Handlungsempfehlungen
Jährlicher Tätigkeitsbericht
Dokumentation / Management
TOMs
Erstellung eines Verarbeitungsverzeichnisses√ (Mustervorlage)
Bereitstellung von Mustervertägen in der Auftragsverarbeitung
Prüfung von Auftragsverarbeitungsverträgen-
Datenschutzhandbuch IT-
Datenschutzhandbuch für Mitarbeiter-
Druck und Zusendung eines Datenschutz-Ordners mit relevanten Informationen und Vorlagen
Website und Social Media
Datenschutzerklärung für Websites111N/A
Datenschutzerklärung für Social Media-
Mitarbeiterschulung
Online-Schulung für Mitarbeiter via machCon Academie 1 bis 251 bis 501 bis 100N/A
Präsenz-Schulung vor Ort(√) *auf Wunsch(√) *auf Wunsch(√) *auf Wunsch
Zertifikate für die Teilnahme
Datenschutznews
regelmäßige Datenschutznews
Videoüberwachung
Eingehende Prüfung des Videoüberwachungskonzepts-
Vorlage für Videoüberwachungsschilder-
Auskunftspflicht
Hilfestellung bei Betroffenenanfragen-
Beschäftigtendatenschutz
Reguläre Prüfung
Prüfung Bewerberplattform--
Datenschutzrechtliche Einbindung eines Betriebsrats--
IT-Sicherheit
IT-Sicherheits-Check (jährlich)--
Kosten monatlich250 €350 €500 €individuell

Gerne erstellen wir ein individuelles Angebot für Sie