Nach einem Bericht der taz hat die Hamburger Polizei am 6. Juli 2020 nach einer Messerstecherei von einem Gastwirt die Herausgabe der Listen verlangt, mit denen dieser Kontaktdaten von Gästen erfasst hatte. Den Beamten ging es darum, die Daten von potentiellen Zeugen zu erfassen. Das Problem: Die Kontakdatenerfassung dient nach der Hamburger Corona-Schutzverordnung eigentlich ausschließlich dem Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten. Die Verwendung der Kontaktdaten zu anderen als den in der Verordnung genannten Zwecken ist nach § 7 Abs. 1 der Verordnung aus gutem Grund ausdrücklich verboten. In anderen Bundesländern verhält es sich nicht anders. Durften die Daten also herausverlangt werden?

In allen Bundesländern ist in Corona-Zeiten für bestimmte Dienstleistungsbetriebe, insbesondere für Gaststätten, die Erfassung der Kunden- und Gästedaten  Pflicht. Die Erfassung dient dem dem Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten. Neuerdings tummeln sich immer mehr Anbieter digitaler Lösungen, die ihren Kunden eine besonders datenschutzkonforme digitale Erfassung der Daten mit Apps anbietet. Wir haben untersucht, ob und unter welchen Umständen das überhaupt zulässig ist.

Nach Art. 15 DSGVO kann jedermann auch völlig anlasslos anfragen, welche ob und gegebenenfalls welche Daten zu seiner Person im Unternehmen verarbeitet werden und gespeichert sind. Die Auskunft ist dann in der Regel innerhalb eines Monats und auf Kosten des Verantwortlichen zu erteilen. Im Internet kursiert bereits ein »DSGVO-Albtraum-Brief«.

Gerade Webdesigner werben häufig mit »Referenzkunden«. Nicht immer werden die ehemaligen Kunden vorher gefragt und nicht immer sind sie damit einverstanden, ungefragt als Testimonials herhalten zu müssen. Es stellt sich damit die Frage, ob und unter welchen Umständen der Werbende seine Kunden auch ohne deren ausdrückliche Einwilligung nennen darf.

Anfang 2008 entschied das Bundesverfassungsgericht, dass die Regelungen zur Online-Durchsuchung in Nordrhein-Westfalen verfassungswidrig und Online-Durchsuchungen prinzipiell nur unter strengen Auflagen zulässig sind. § 5 Abs. 2 Ziff. 11 VSG NW wurde für nichtig erklärt.

§§ 4 BDSG, 3 Abs. 1 TDDSG, 12 Abs. 2 MDStV erlauben die Verarbeitung und Nutzung personenbezogener Daten nur dann, wenn das Bundesdatenschutzgesetz selbst oder eine andere Rechtsvorschrift sie erlaubt oder der Betroffene eingewilligt hat. Dieses grundsätzliche Verbot wird aber (natürlich) durch eine Vielzahl von Erlaubnistatbeständen relativiert. Eine Verarbeitung, und das ist wichtig zu wissen, ist aber eben nur dann zulässig, wenn es einen solchen Erlaubnistatbestand gibt. Der Jurist nennt das ein »Verbot mit Erlaubnisvorbehalt.