Datenschutz first: kostengünstige und sichere Datenerfassung in der Gastronomie

Das Thema Datenschutz ist ein Anliegen, das nicht erst seit dem März 2020 mit dem Aufkommen der Corona-Schutzverordnung angeregt diskutiert wird. Die zunehmende Digitalisierung in Bildung und Verwaltung stellt die Behörden und Politiker in Bezug auf den neu zu organisierenden und zu reglementierenden Datenschutz immer wieder vor neue, gewaltige Herausforderungen. Sars-CoV-2 und die dem Virus geschuldeten Maßnahmen liefern erneut Zündstoff für Kritiker, die jüngst offenlegten, dass die digitale Organisation der Registrierungspflicht in Lokalen aus datenschutzrechtlicher Perspektive höchst problematisch ist.

Datenschutzkonformität garantiert keinen umfassenden Datenschutz

Wer die Bezeichnung datenschutzkonform liest, fühlt sich sicher. Die wenigstens Bürgerinnen und Bürger und auch nicht die Betreiber von Restaurants und Lokalen wissen aber überhaupt, was sich hinter dem Begriff der Datenschutzkonformität verbirgt.

Das Prädikat „datenschutzkonform“ ist weder eine zertifizierte Norm, noch ist es die Garantie, dass Daten in höchstem Maße sicher übertragen und verwaltet werden. In der heutigen Zeit sind Daten — unabhängig von der derzeitigen pandemischen Lage — für Unternehmen von exorbitantem Wert. Doch auch andere Personengruppe sind auf das wertvolle Datengut aus. Daher sollte sich jeder genau überlegen, wem er oder sie seine bzw. ihre Daten zur Verfügung stellt.

Längst geht es nicht mehr nur um den Verkauf von Daten aus unternehmensinternen, strategischen Gründen. Ein Hacker veröffentlichte unter dem Pseudonym „0rbit“ im Jahre 2018 zahlreiche Daten renommierter Persönlichkeiten aus der Politik. Von 50 Personen wurden sogar intime Daten wie zum Beispiel Anschriften und Telefonnummer der Öffentlichkeit zugänglich gemacht. Das Motiv des später gefassten und geständigen 20-Jährigen: Verärgerung über die Politiker. Gewiss wären diese Datensätze auch im Darknet, wo kriminelle Aktivitäten kaum nachvollziehbar und rückführbar sind, von großem Wert gewesen.

Würden Sie Ihre Telefonnummer, Ihren Namen und Ihre Anschrift ungeschützt im öffentlichen Raum aushängen? Wohl eher nicht. Dass nicht befugte Personen in den Besitz Ihrer persönlichen Daten gelangen, ist im Rahmen der aktuellen Registrierungspflicht in Lokalen, Cafés und Restaurants aber keinesfalls ausgeschlossen: Niemand sieht, was mit den Daten geschieht, wie diese verwaltet oder gar vernichtet werden. Auch der Hinweis, dass die Daten datenschutzkonform erfasst und abgelegt werden, ist für Datenschutzexperten nur wenig beruhigend.

Neuartige, digitale Möglichkeiten der Gästeerfassung schaffen in Bezug auf die gewünschte maximal mögliche Sicherheit der persönlichen Daten nicht die gewünschte Abhilfe: Besonders dann, wenn Daten digital erfasst und verwaltet werden, unterliegt die Sicherheit letzterer nämlich einem besonders großen Risiko, weil Zugriffe auf die Datensätze in Missbrauchsfällen im Verborgenen geschehen.

Chaos-Computer-Club hackt Gästelisten gastronomischer Betriebe

Die Meldung, dass der Chaos-Computer-Club die Gästelisten mehrerer gastronomischer Betriebe, die die Daten der Gäste digital erfassten und verwalteten, mit nur geringem Aufwand hackte, war für Experten wenig erstaunlich.

Schwachstelle des gehackten Cloudsystems für gastronomische Betriebe war die Prüfung der Zugriffsrechte durch das digitale System. Doch damit noch nicht genug: Die Mitglieder des CCC machten deutlich, dass es keiner Kenntnisse eines versierten Hackers bedarf, der sich in der Materie auskennt, um in den Besitz der sensiblen Datensätze der Gäste zu gelangen.

Das API, auf dessen Basis die Nutzer des gehackten Systems, d.h. die Restaurantbetreiber selbst, systemintern interagieren können, verhindert nicht hinreichend, dass Datensätze unternehmensübergreifend den Besitzer wechseln können. Die Passwörter sind unzureichend gesichert und können sogar rekonstruiert werden.

Mit anderen Worten: Die Betreiber der Lokale hätten ohne großen Aufwand Zugriff auf die Gästelisten anderer gastronomischer Betriebe erhalten können.

Strukturproblem in der Gastronomie: Kostenlose, digitale Möglichkeiten der Gästeerfassung werden bevorzugt

Wird ein Daten- oder Sicherheitslack bekannt, ist die erste Frage zunächst immer diejenige, wie das Problem möglichst schnell abgestellt bzw. das Datenlack geschlossen werden kann. Das grundsätzliche Problem ist jedoch vielmehr ein strukturelles:

Die wirtschaftliche Situation für gastronomische Betriebe hat sich im Laufe des Jahres 2020 erheblich verschlechtert. Durfte die Gastronomie zunächst gar nicht öffnen, ist es auch mittlerweile aufgrund von Vorgaben zu Abständen und Maximalkapazitäten in den Räumlichkeiten noch immer nicht hinreichend möglich, gastronomische Angebote kostendeckend und effizient zu betrieben.

Viele Gastronomen stehen brisanter denn je mit dem Rücken zur Wand. Da ist es letzteren wohl kaum zu verübeln, wenn sie primär auf kostenlose Angebote zurückgreifen, um die Gästeerfassung für sich selbst und die täglich ein- und ausgehenden Gäste zu entbürokratisieren und möglichst preiswert zu halten.

Für die Anbieter kostenloser, digitaler Lösungen für die Erfassung von Gäste- und Besucherdaten ist die Sicherstellung des Datenschutzes leider nur selten ein Anliegen höchster Priorität. Entwickler, oft Hobbyprogrammierer, legen ihr Hauptaugenmerk auf eine intuitive Bedienbarkeit sowie die Optik der Bedienoberfläche, um den Betroffenen möglichst schnell ein digitales Konzept zu bieten, das bestehende Probleme im Alltag löst.

Eine Überprüfung der Datenschutzsicherheit sowie die Überprüfung potentieller Schwachstellen im Programmierungscode sind eher eine Randerscheinung. Gastronomen wiegen sich vorschnell in trügerischer Sicherheit. Zu wenig oder gar nicht werden die Konsequenzen mitbedacht, die für das Unternehmen und die geschätzten Gäste entstehen, wenn ein Sicherheitslack dazu führt, dass Unbefugte Zugriff auf die sensiblen Datensätze erhalten.

Vireless: Professionelle und datenschutzrechtlich unbedenkliche Systeme müssen nicht teuer sein

Dass intuitive Bedienbarkeit und ein höchster Standard im Datenschutz nicht zwangsläufig im Widerspruch zueinander stehen müssen, zeigt Vireless auf eindrucksvolle Weise. Das den Gastronomen und sportlichen Einrichtungen gewidmete System kann von sowohl großen als auch kleineren Betrieben zu kostengünstigen Konditionen in den alltäglichen Betrieb integriert werden und bietet nicht nur aus datenschutzrechtlicher Perspektive einen unverkennbaren Mehrwert.

Die Lösung zur digitalen Gästeerfassung garantiert den Gästen einen unbürokratischen Aufenthalt in den Lokalen vor Ort. Gleichzeitig erleichtert es den Gastronomen die Verwaltung der Kontaktdaten und die Konzentration auf das alltägliche Kerngeschäft.

Das System eines Softwareunternehmens aus Vlotho hat sich auf das Angebot professioneller, aus datenschutzrechtlicher Perspektive unbedenklicher Softwarelösungen spezialisiert. Entwickelt von ausgebildeten, hauptberuflichen Softwarespezialisten bietet das System Vireless neben seinen Kernfunktionen, die der Gästeerfassung in gastronomischen Betrieben dienen, zahlreiche weitere Features mit einem Mehrwert für den gastronomischen Betreiber. Dazu gehören beispielsweise die Möglichkeit des Abrufes nützlicher Statistiken und die Option, Daten sicher und schnell im Falle eines Infektionsgeschehens für die Gesundheitsämter zu exportieren.

Jeder Besucher, der sich über das Vireless-System registriert, erhält einen individuellen QR-Code, der übrigens überall dort wiederverwendet werden kann, wo Vireless zum Einsatz kommt. In den Lokalen und Restaurants wird der Code lediglich einmalig eingescannt. Abstände, die zum Beispiel aus der vor Ort organisierten Bestuhlung des Lokals resultieren, werden hinterlegt, sodass eine Verortung des Infektionsgeschehens im Bedarfsfall mit maximaler Präzision möglich ist.

Der Datenschutz erfährt höchste Priorität: Eine mehrfache Verschlüsselung garantiert, dass Unbefugten der Zugriff auf die Daten der Gäste versagt bleibt. Ein Abgriff der Daten ist aus technischer Sicht gar nicht erst möglich.

Denn: Das zweifache Verschlüsselungsprinzip verschlüsselt die Daten zum ersten Mal just im Moment der Datenerfassung. Eine zweite systembasierte Verschlüsselungsebene, die an der Stelle ansetzt, wenn die Daten in das System eingespeist werden, sorgt dafür, dass jeder verschlüsselte Datensatz ohne den entsprechenden Schlüssel für Unbefugte unauslesbar und somit unbrauchbar wird.

Sensible Daten werden natürlich regelmäßig und sicher, d.h. unwiderruflich gelöscht. Dieser Vorgang geschieht automatisch und bedarf keiner weiteren Interaktion durch den Gastronomen.

Vireless bedeutet also nicht nur Gesundheits- und Datenschutz, sondern auch Arbeitserleichterung für sowohl Gastronomen als auch Gäste, damit wieder das in den Vordergrund rückt, wofür die Gastronomie steht: Komfort und Genuss für eine gute Zeit unter Freunden.