Datenschutz am Urlaubsort: der Restaurantbesuch

Der Sommerlaub steht bald bevor! Und das führt uns wieder mal zu einem – leicht humorvollen – Beitrag zum Thema „Mitbringsel“ aus dem Urlaub oder genauer: Datenschutz am Urlaubsort.

Wie bereits in der Vergangenheit, möchten wir uns mit datenschutzrechtlichen Fragen rund um den Auslandsaufenthalt im Urlaub befassen, also den privaten Momenten, in denen der Datenschutz gedanklich eigentlich ganz fern ist.

Bestellung nur per QR-Code

Wer sich in weiten Teilen der Welt, z. B. in den Metropolen an asiatischen oder skandinavischen Orten, aufhält, wird es sicherlich längst kennen: An vielen Tischen in den Restaurants oder in den Imbissbuden befinden sich QR-Codes zum Aufruf des Menüs bzw. der Getränkekarte und auch für die Bestellung direkt am Tisch. Kellner*innen kommen erst gar nicht mehr. Was gut für die Umwelt ist, denn die Karten müssen bei Änderungen nicht immer wieder neu gedruckt werden, ist aber nicht immer gut für den Datenschutz.

Denn die verlinkten Webseiten/Anwendungen benötigen eine Internetverbindung. Vor allem im EU-Ausland wird dann wohl von den meisten Urlauber*innen die Verbindung via WLAN gewünscht, sofern kein Roaming genutzt werden kann oder soll. Und dafür landet man häufig auf Webseiten der Gastrobetreiber oder Einkaufszentren, die das kostenlose WLAN teilweise nur gegen Anmeldung zum eigenen Newsletter anbieten oder sogar eine Registrierung auf einem umfangreichen Portal mit diversen Pflichtfeldern voraussetzen, die vom Namen bis hin zum Wohnort reichen. Wer wünscht sich nicht einen regelmäßigen Newsletter mit Werbung für das Lokal oder andere gastronomische Angebote in dieser Stadt?

Doch nicht jeder QR-Code ist auch korrekt: Neuerdings verbreitet sich eine Betrugsmasche, das sog. „Quishing“ (zusammengesetzt aus QR und Phishing), also betrügerische Links in QR-Codes auf Flyern oder Speisekarten, die dann auf täuschend echt aussehende Seiten verweisen und darüber die Daten abgreifen und später missbrauchen. Daher sollte lieber geprüft werden, ob der aufgeklebte QR-Code auch der echte ist. Nebenbei bemerkt lauert die Gefahr betrügerischer QR-Codes natürlich nicht nur im Ausland (vgl. Warnhinweis der Verbraucherzentrale).

Apropos öffentliche WLAN-Verbindung: Wer sich mit einem öffentlichen, möglicherweise auch unsicheren WLAN verbindet, hat dabei einiges zu beachten. Mittlerweile besteht hier auch die Gefahr des (verdeckten) Trackings des Geräts, das metergenaue Bewegungsprofile und eine Wiedererkennung und Überwachung ermöglicht. Klappt es dann endlich mit der Internetverbindung, führt einen der QR-Code am Tisch oder Tresen häufig direkt zu einer Website, die unter Umständen noch Trackingdienste vorsieht oder Cookies setzt, z. B. für den „nächsten Besuch“ oder als Hilfe beim Abbruch der Bestellung. Und ein falsches Häkchen in der Eile gesetzt, werden noch viel mehr Daten im Hintergrund erfasst und an Drittdienste übermittelt. Den etwaigen Sprachbarrieren auf der Website des lokalen Restaurants kann durch eine automatische Übersetzung begegnet werden, die dann durch einschlägige Drittanbieter angeboten wird und natürlich weitere Daten über den*die Inhaber*in des Geräts sammeln.

Irgendwann findet sich dann vielleicht auch die Speisekarte und der Shop für die Aufgabe der Bestellung mit diversen Funktionen, Pop-ups und Fotos. Der Magen knurrt, nun aber endlich das Essen und die Getränke auswählen und bestellen! Aber was ist mit der Datenverarbeitung? Die Bestellung wird i. d. R. – sofern im Anwendungsbereich der DSGVO – einen Vertragsschluss begründen gemäß Art. 6 Abs. 1 lit. b DSGVO, was so vermutlich auch recht verständlich in der Datenschutzerklärung (in der fremden Landessprache?) nachgelesen werden kann, falls diese überhaupt vorhanden ist. Und nun wird es ganz skurril: Sollten bei der Bestellung – durch die Wahl der Speisen und Getränke – auch mittelbare Informationen zu Gesundheitsdaten (z. B. laktosefrei) oder sonstigen besonderen Kategorien personenbezogener Daten (religiöse oder weltanschauliche Überzeugungen) verarbeitet werden, könnte es an einer Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO fehlen – dann bliebe wohl nur die Einwilligung für die Verarbeitung dieser Daten zur Bestellung. Was wäre wohl bei übermäßigen Bestellungen von stark alkoholischen Getränken? Bestellt nun eine Person eine Runde für den ganzen Tisch, wie lässt sich hier die Einwilligung aller einzelner Personen beweisen? Und wie ist es erst mit der Altersverifikation bei der Bestellung von alkoholischen Getränken via Smartphone? Nun ja, der*die Kellner*in fragt ja auch sonst eher selten nach dem Alter.

Komplexer wird dann der Zahlungsvorgang, denn hier wird regelmäßig auf lokale oder bekannte Zahlungsdienstleister verlinkt, um den Zahlungsverkehr bei der Bestellung abzuschließen. Was ist, wenn das Restaurant keine Zahlung via PayPal oder den europäischen Lösungen vorsieht, sondern nur mittels Kreditkarte? Und welche Daten werden dabei über diese – hoffentlich sichere Website des asiatischen Imbisslokals – übermittelt? Den Bedenken lässt sich entgegnen: Natürlich kann auch direkt am Handy per Wallet und dort hinterlegter Kreditkarte „sicher“ und datenschutzkonform bezahlt werden, sofern das alles so auch eingerichtet ist und funktioniert.

Auch die Barrierefreiheit, wenn mangels Alternativen die Bestellung und direkte Bezahlung vorab nur am (eigenen) Smartphone möglich ist, kann kritisch hinterfragt werden, insbesondere wenn die Website des Restaurants nur in der Landessprache angeboten wird (und die Übersetzung nicht funktioniert) oder man einfach völlig überfordert ist mit diesen neumodischen Dingen. So oder so scheint die Digitalisierung eine gewisse Beschränkung der Freiheit zu sein, wie auch eine Diskriminierung von Personen, die eben keine Zahlung via Handy kennen oder möchten.

Fazit

Eines ist gewiss: Das Bargeld als (anonymes) Zahlungsmittel wird bald abgeschafft – oder doch nicht? Übrigens wird in Deutschland derzeit auch über den „Digitalzwang“ debattiert: Denn was ist, wenn man in naher Zukunft im Restaurant nur noch via Smartphone bestellen und bezahlen kann?