Am 29.5.2020 sollen Lockerungen für Veranstaltungen gelten. Ein Stufenplan wurde erarbeitet: 100 Personen, 500 Personen, 1.000 Personen in zeitlich abgestufter Form...
Veranstaltungen mit mehr als 100 Personen sollen ab 29.05.2020 wieder gestattet sein. Dies ist insbes. für Kulturveranstalter aber auch für die Besucher von Bedeutung.
Seit 15. Mai sind Museen, alle Galerien, Ausstellungen, Bibliotheken, Büchereien und Archive inklusive Lesebereiche wieder offen. Diese betrifft diese Zusammenfassung nicht. Es geht um Konzert- und Theatervorstellungen und ähnliche Veranstaltungen.
Regelung im EpidemieG - § 15 EpidemieG
Mit dem 16.-COVID-19-Gesetz (BGBl. I 43/2020) wurde eine neue Bestimmung in das EpidemieG eingefügt, die ab 14.5.2020 (dem Tag nach der Kundmachung im Bundesgesetzblatt) in Kraft trat.
Die Bestimmung – ist nicht wie andere Bestimmungen im Rahmen der COVID-19-Gesetzgebung – befristet und hat daher kein „Ablaufdatum“.
Wir versuchen die neue Bestimmung – insbes. in datenschutzrechtlicher Hinsicht – zu analysieren und den Veranstaltern die Möglichkeit zu bieten, sich auf die Neuregelungen, die nach Medienberichten durch Verordnung (uU am 25.05.2020) erfolgen, vorzubereiten.
Die neue gesetzliche Regelung als mögliche Grundlage für Veranstaltungen
§ 15. (1) EpidemieG
Sofern und solange dies im Hinblick auf Art und Umfang des Auftretens einer meldepflichtigen Erkrankung zum Schutz vor deren Weiterverbreitung unbedingt erforderlich ist, sind Veranstaltungen, die ein Zusammenströmen größerer Menschenmengen mit sich bringen,
1. |
zu untersagen, oder |
|||||||||
2. |
an die Einhaltung bestimmter Voraussetzungen oder Auflagen zu binden, oder |
|||||||||
3. |
ist deren Abhaltung auf bestimmte Personen- oder Berufsgruppen
einzuschränken. |
Die Regelung ist nicht auf die COVID-19-Pandemie beschränkt, sondern bezieht sich auf sämtliche meldepflichtigen Krankheiten. Wenn es der Schutz vor Weiterverbreitung derartiger Krankheiten erfordert, können Veranstaltungen die von größeren Menschen besucht werden zB untersagt oder an Auflagen gebunden werden.
Eine Definition, ab welcher Anzahl eine „größere Menschenmenge“ iSd Gesetzes gegeben ist, findet sich in der Bestimmung selbst nicht.
Zuständig für derartige Maßnahmen iSd § 15 Abs 1 EpidemieG ist gem. § 51 Z 3 EpidemieG der Bundesminister für Gesundheit.
§ 15 Abs 2 EpidemieG – mögliche Maßnahmen
§ 15 Abs 2 EpidemieG definierte mögliche Maßnahmen, die der Bundesminister für Gesundheit für derartige Veranstaltungen definieren kann, wobei dieser sich an epidemiologischen Erfordernissen zu orientieren hat. Die aufgezählten Maßnahmen stellen eine demonstrative, dh nicht abschließende Aufzählung (Arg: „insbesondere“) dar, und der Bundesminister kann daher auch ähnliche, gleich wirksame Maßnahmen erlassen, die dasselbe Ziel verfolgen.
Die Maßnahmen, die das Gesetz aufzählt, können sein:
1. Vorgaben zu Abstandsregeln,
2. Verpflichtungen zum Tagen einer mechanischen Mund-Nasen-Schutzvorrichtung,
3. Beschränkungen der Teilnehmerzahl
4. Anforderungen an das Vorhandensein und die Nutzung von Sanitäreinrichtungen sowie Desinfektionsmitteln.
Da die Aufzählung nicht abschließend ist, kann mE auch eine Auflage in der Form erfolgen, dass der Veranstalter die Name, Adressen und sonstige Kontaktdaten für einen begrenzten Zeitraum erhebt, um eine Kontaktverfolgung in einem Anlassfall möglich zu machen. Es ist nur ausgeschlossen, dass diese Datenerhebung über eine Contact-Tracing Technologie erfolgt.
Zu überlegen wäre, dass zB bereits beim Kartenverkauf die Daten der Teilnehmer erhoben werden, und zwar entweder bereits beim Vorverkauf (in Kartenbüros oder im Internet) oder auch an der Abendkassa, oder dass bei der Veranstaltung Besucherlisten geführt werden.
Je nach Art und Größe der Veranstaltung können die Mittel mE unterschiedlich sein, um nicht Menschenansammlungen an den Abendkassen und/oder Registrierungsstellen zu verursachen, die wiederum zur Nichteinhaltung von Abstandsregelungen führen würden.
Rechtsgrundlage iSd Art 6 DSGVO?
Die datenschutzrechtliche Zulässigkeit (Rechtsgrundlage) der Erhebung der Daten (für einen begrenzten Zeitraum) wird sich aus der jeweiligen normativen Grundlage (Art 6 Abs 1 lit c DSGVO), dh der jeweiligen Verordnung des Bundesministers für Gesundheit ergeben.
Bereits vor einer derartigen Verordnung ist es mE zulässig, diese Daten zu erheben, wenn man den Zweck auf die Kontaktverfolgung im Anlassfall beschränkt, nur die erforderlichen Daten erhoben werden (Prinzip der Datenminimierung) und die Daten nach einer angemessenen Zeit (zB 4 Wochen) gelöscht werden.
Es kann im berechtigten Interesse (Art 6 Abs 1 lit f DSGVO) des Veranstalters liegen, derartige Daten für diesen konkreten Zweck zu erheben, um der negativen Publicity als „Hot-Spot“ der Verbreitung entgegenwirken zu können, und darlegen kann, Maßnahmen getroffen zu haben, um im Anlassfall angemessen reagieren zu können.
Weiters ist der Veranstalter auch im Rahmen der gesetzlichen Fürsorgepflicht gegenüber seinen Mitarbeiter*Innen verpflichtet, Gefahren von diesen fernzuhalten, und die Kontaktdatenerhebung dient auch der Risikominimierung.
Informationspflicht iSd Art 13 DSGVO
Zu beachten ist in jedem Fall (Verordnung als Erhebungsgrundlage; berechtigtes Interesse) die betroffenen Personen (Teilnehmer an der Veranstaltung) rechtzeitig vor der Erhebung der Daten umfassend iSd Art 13 DSGVO informiert werden müssen.
Dies kann zB beim Vorverkauf im Internet durch einen Link auf eine Datenschutzinformation erfolgen, oder es kann im Kartenbüro oder an der Abendkasse eine derartige Datenschutzinformation ausgehängt oder ausgelegt werden.
In Deutschland gibt es bereits Regionen oder Städte, die Regelungen erlassen haben, die Unternehmen verpflichten, Besucherlisten zu führen, und wird dies in den Medien auch diskutiert. So hat zB die Stadt Kiel eine Allgemeinverfügung erlassen oder in Nordrhein-Westfalen die Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2.
„Die Innen- und Außengastronomie wird gemäß der aktuellen CoronaSchVO NRW in Verbindung mit der Anlage „Hygiene- und Infektionsschutzstandards“ zur CoronaSchVO NRW davon abhängig gemacht, dass die Kontaktdaten der Kundschaft in eine Liste eingetragen werden - zum Beispiel Name, Adresse und Telefonnummer.“ (Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen; abgerufen am 23.05.2020; Hervorhebungen durch den Verfasser).
Zugriffsbeschränkung als technische und organisatorische Maßnahme iSd Art 32 DSGVO
Sicherzustellen ist auch, dass die „Besucherlisten“ nicht von anderen Teilnehmer eingesehen, öffentlich aufgelegt oder gar abfotografiert werden können; dies wäre eine mangelhafte technische und organisatorische Maßnahme, die schon zu einer DSGVO-Strafe in Rumänien in Höhe von EUR 15.000,-- geführt hat.
„Kopplung“? – Zutrittsverweigerung bei Weigerung der Bekanntgabe der Daten?
Es stellt sich die Frage, ob Personen, die die Bekanntgabe der Daten verweigern, von der Teilnahme der Veranstaltung ausgeschlossen werden dürfen. Wenn es eine normative Grundlage (Verordnung) gibt, die vorschreibt, dass Kontaktdaten und Adressdaten erhoben werden, dann verletzt der Veranstalter eine gesetzliche Verpflichtung, wenn er die Daten nicht erheben kann. In diesem Fall kann der daher Personen, die die notwendigerweise zu erhebenden Daten nicht bekannt geben, von der Veranstaltung ausschließen.
Ist der Veranstalter nicht gesetzlich verpflichtet, die Daten zu erheben, dann stellt sich die Frage, ob die vertragliche Leistung (Teilnahme an der Veranstaltung) von der Datenerhebung abhängig gemacht werden darf. Es ist eine Interessensabwägung vorzunehmen, und das Interesse des Veranstalters: Vermeidung negativer Publicity, Fürsorge für die eigenen Mitarbeiter*Innen ist dem Interesse der der betroffenen Personen: Nichterhebung der Kontakt- und Adressdaten gegenüberzustellen.
Aus derzeitiger Sicht ist mE durch entsprechende technische und organisatorische Maßnahmen sicherstellbar, dass die Eingriffsintensität derart gering gehalten wird, dass die Interessen der betroffenen Personen die Interessen des Veranstalters (und auch der anderen Teilnehmender) nicht überwiegen, sodass die Erhebung aufgrund Art 6 Abs 1 lit f DSGVO zulässig ist.
Es werden bei den Kontakt- und Adressdaten keine Gesundheitsdaten erhoben, sondern ist mit diesen Daten „nur“ eine Geolokalisierung für einen bestimmten Zeitpunkt (Dauer der Veranstaltung) möglich. Insbes. ist daher sicherzustellen, dass keine Verknüpfung dieser Daten mit anderen vom Veranstalter erhobenen Daten erfolgt, und die Daten nicht für einen anderen Zweck (zB Marketing) genutzt werden.
Keine Verwendung von Contact-Tracing-Technologien!
§ 15 Abs 3 EpidemieG bezieht sich explizit auf „Contact-Tracing-Technologien“ und führt an, dass Voraussetzungen oder Auflagen, die in Zusammenhang mit derartigen Veranstaltungen definiert werden, die Verwendung von Technologien, die eine Kontaktverfolgung ermöglichen, zB die „STOPP-CORONA-APP“ nicht umfassen dürfen.
Es ist daher gesetzlich ausgeschlossen, dass die Teilnahme an einer Veranstaltung (durch Verordnung des Bundesministers für Gesundheit) davon abhängig gemacht wird, dass die Teilnehmer über eine Contact-Tracing-App verfügen und diese auch bei der Veranstaltung eingesetzt wird.
Eine automatisierte Kontaktverfolgung darf daher nicht zur Auflage gemacht werden.
Diskriminierungsverbot
Beschränkungen der Teilnahme dürfen nicht dazu führen, dass bestimmte Personengruppen nicht an der Veranstaltung teilnehmen können.
Das Gesetz nennt dazu folgende Kriterien, die nicht zur Beschränkung herangezogen werden dürfen: Geschlecht, ethnische Zugehörigkeit, Alter, Religion, Weltanschauung, sexuelle Orientierung oder die Zuordnung zur COVID-19-Risikogruppe nach § 735 Abs. 1 ASVG.
23.05.2020, Autoren
Michael Schweiger, zert DSBA
Dr. Thomas Schweiger, LLM, zert DSBA
Kommentar schreiben