Es gibt Dinge, die man erst seit Corona wieder wirklich zu schätzen weiß. Besuche in Restaurants oder Cafés zählen für viele Menschen dazu. Diese Freiheit hat nun einen zusätzlichen Preis: Name, Anschrift, E-Mail-Adresse, Telefonnummer und Uhrzeit muss man fast überall eintragen, wenn man sich irgendwo zu Pizza oder Feierabendbier niederlässt.

Die Daten vermitteln Sicherheit: Die Gesundheitsämter sollen so im Fall der Fälle Infektionsketten nachvollziehen und gezielt Betroffene kontaktieren können. Doch nicht selten werden von den Gästen falsche oder unleserliche Angaben hinterlassen, was etwa den Behörden nach Ausbrüchen in zwei Kieler Imbissen zuletzt Probleme bereitete: Da hatte sich jemand unter anderem als "Micky Maus" eingetragen. Insgesamt, so eine Stadtsprecherin, seien etwa zehn Prozent der Angaben der Gäste falsch gewesen. Auch das Gesundheitsamt Berlin-Neukölln suchte diese Woche Dutzende , die sich in einem Brauhaus angesteckt haben könnten.

Vielleicht hängt so manche unrichtige oder unleserlich hingeschmierte Angabe auch mit der Sorge zusammen, dass sich auch andere die Freiheit nehmen könnten, diese Daten zu nutzen. Hinweise darauf, dass die Kontaktinformationen mitunter zweckentfremdet werden, gibt es inzwischen deutschlandweit:

Allein in Schleswig-Holstein ist eine dreistellige Anzahl an Beschwerden über die Verwendung von Corona-Daten aufgelaufen. Die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen hatte Mitte Juli etwa 60 Beschwerden im Zusammenhang mit der dortigen Corona-Schutzverordnung gemeldet - und überprüft deshalb die Datenverarbeitung von Friseuren und Gastronomen . Dem Bayerischen Landesamt für Datenschutzaufsicht wiederum liegen bislang mehr als 50 Beschwerden im Zusammenhang mit der Erfassung von Kontaktdaten bei der Corona-Bekämpfung vor.

Die Arten der Verstöße sind vielfältig. Meist geht es um unzureichend abgeschirmte Listen, sodass nachfolgende Gäste die Daten der Vorgänger sehen können. Manchmal wurden gar Ringbücher verwendet, in denen andere Kunden wochenlang zurückblättern und theoretisch auch noch Fotos von den Angaben machen konnten. Teilweise sollen vorhandene Daten auch zweckfremd verwendet worden sein: Etwa durch Unternehmer, die mit den Daten unzulässig Kundendatenbanken aufgebaut und Newsletter verschickt haben sollen. Auch hierüber haben sich Bürger beschwert.

Handynummer von Anwältin für Flirtversuch abgegriffen

Es gab auch mindestens einen Unternehmer, der das Formular zu den Corona-Angaben mit der Einwilligung zur Aufnahme in eine Kundendatenbank kombiniert haben soll. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen kritisiert: "Da vermischen sich die Zwecke Marketing und Aufbewahrungspflicht. Das ist unzulässig - für den Kunden ist nicht nachvollziehbar, was mit den Daten passiert." Bei Hansen melden sich auch sehr viele Touristen, die sich über die Datenerfassung in Urlaubsorten an Nord- und Ostsee beschweren. Zum einen, weil sie dort anders als daheim nicht Stammkunde sind. Zum anderen, weil sie auch im Urlaub ihre Heimatadresse eintragen müssen - und somit für potenzielle Einbrecher leicht erkennbar sei, wo gerade niemand zu Hause ist.

Wie groß das Problem mit dem Missbrauch der Corona-Daten genau ist, lässt sich trotz der zahlreichen Beschwerden schwer fassen. Die Regeln zur dezentralen Datenhaltung sind bereits von Bundesland zu Bundesland verschieden, das fängt bei den mehrere Wochen langen Speicherfristen an. Im Föderalismus gilt: Jeder macht sein eigenes Ding. Und den Datenschützern wird längst nicht alles gemeldet. "Wir kriegen nur Fälle mit, in denen die betroffene Person das nicht gut fand", sagt Hansen. "Außerdem ist oft schwer nachzuweisen, woher der- oder diejenige die Daten hat." Da es auch Fälle gab, in denen eigens eingerichtete E-Mail-Adressen genutzt wurden, konnte zumindest teilweise aber auch die Quelle der Daten identifiziert werden. Die Datenschützerin verspricht: "Die, die das missbräuchlich machen, mit denen werden wir uns anlegen." Ihnen droht ein Bußgeld.

Zu denjenigen, die sich nicht um Datenschutz scherten, zählte ein Mitarbeiter an der Pforte eines Gerichts an der schleswig-holsteinischen Westküste. Er kontaktierte via WhatsApp eine Anwältin, die er attraktiv fand - und räumte dabei auch ein, woher er ihre Handynummer hatte: aus der Besucherliste am Eingang des Gerichtsgebäudes. Die Juristin allerdings fand die Anmache ganz und gar nicht gelungen und beschwerte sich bei der Landesdatenschützerin. Das Verhalten des Mannes sei "in jeder Hinsicht nicht in Ordnung", sagt Hansen - zumal die Betroffene beruflich immer wieder in das Gebäude müsse.

In Bayern wiederum berichtet der Bereichsleiter im Landesamt von vereinzelten Beschwerden über den Datenmissbrauch durch Servicepersonal in der Gastronomie - ebenfalls zu Flirtversuchen. "Ob in einem solchen Fall eine Geldbuße oder sonstige Maßnahmen zu verhängen sein werden, bleibt in den noch laufenden, sehr spezifischen Einzelfällen zu klären", heißt es.

Großes Interesse an den Corona-Daten, die den Verordnungen zufolge eigentlich nur dem Infektionsschutz dienen sollen, haben auch Polizei und Staatsanwaltschaft. In Hessen griffen die Ermittler laut dem Sender FFH  in einem Verfahren wegen versuchten Mordes darauf zu. Auch in Bayern wurden laut dem Landesbeauftragten für Datenschutz, Thomas Petri, bereits entsprechende Daten eingesammelt. Gastwirte könnten allerdings auf eine Zeugen- oder Beschlagnahmeanordnung bestehen und müssten nicht gleich Listen an die Ermittler übergeben, selbst wenn die Polizei danach frage.

Polizei ermittelt mit Gastro-Listen Zeugen

In Hamburg erhielten die Ermittler in mindestens einem Fall trotzdem Zugang zu den Gästedaten. Nachdem ein Mann auf der Straße vor einem Restaurant Passanten mit einem Messer bedrohte, schickten die Polizisten an die Staatsanwaltschaft auch gleich zwei - wenn auch unvollständige - Gästelisten mit. Daraufhin erhielt die Polizei von der Staatsanwaltschaft den Auftrag, den Menschen für Zeugenaussagen hinterherzutelefonieren. Die Staatsanwaltschaft räumt ein, sie habe darin durchaus ein Problem gesehen. Angesichts der Eilbedürftigkeit und der erheblichen Gefährlichkeit des Täters jedoch hätten "die datenschutzrechtlichen Bedenken in diesem Ausnahmefall hinter dem Aufklärungs- und Schutzinteresse der Allgemeinheit zurückstehen" müssen.

Verbreitet ist wegen des Zugriffs der Polizei auf die Listen bereits politische Kritik laut geworden. "Nicht jeder Zweck heiligt die Mittel", sagte die hessische SPD-Rechtspolitikerin Heike Hofmann der "Frankfurter Rundschau ". Sie verlangte "eine bestimmte Eingriffsintensität", damit dies erfolgen dürfe. Auch Vertreter des Deutschen Hotel- und Gaststättenverbands hatten die Sorge geäußert, dass ein zu weitreichender Zugriff das Vertrauen stören könnte. Bayerns Innenminister Joachim Herrmann verteidigte dagegen die Nutzung durch Polizei. Doch das könnte Folgen haben. Die Kieler Datenschützerin Hansen sagt: "Wer den Eindruck hat, dass mit den Daten nicht gut umgegangen wird, bei dem ist die Bereitschaft, etwas Falsches anzugeben, größer. Und das macht es den Gesundheitsämtern bei einem Infektionsfall schwieriger."

Längst haben die Datenschützer Ideen parat, wie sich Gesundheitsschutz und Datensicherheit unter einen Hut bringen lassen: von einer technischen Lösung, bei der die Gäste sich per Handy auf einer speziell gesicherten Website registrieren, bis hin zu Einzelformularen auf Abreißblöcken, die jeder selbst in verschlossene Urnen steckt und die nur geöffnet würden, falls das Gesundheitsamt anklopft.

Aufwand der Nachverfolgung für Ämter immens

Doch selbst wenn alle korrekte Angaben machen sollten, bleibt ein Problem: Der Aufwand ist im Fall der Fälle riesig. Bereits nach den beiden relativ kleinen Ausbrüchen in Kiel mussten durch das Gesundheitsamt insgesamt rund 500 Menschen kontaktiert werden. "Wir haben extra Kräfte mobilisiert", sagte die Stadtsprecherin. "Die Menschen hatten erst einmal Angst und mussten umfassend aufgeklärt werden." So ein Gespräch dauerte ihr zufolge im Schnitt zehn bis 15 Minuten - sprich: Allein für die Telefonate fielen also etwa hundert Arbeitsstunden an.

Dabei wurden unter den Angerufenen im Fall des ersten Imbisses mit rund 400 Eintragungen am Hauptbahnhof laut Sprecherin gerade mal fünf Menschen identifiziert, die nach den Richtlinien des Robert Koch-Instituts  so engen Kontakt zu dem Infizierten hatten, dass sie für einen Corona-Test zum Arzt geschickt wurden. Nur zwei hätten sich in Quarantäne begeben müssen. Aber: Wie viele aus dem Imbiss womöglich tatsächlich positiv getestet wurden, ist offen. Denn die Stadt erhält nur Testergebnisse von Menschen, die auch in Kiel gemeldet sind: Sollte es sich bei einem womöglich infizierten Imbisskunden um einen Pendler aus einem anderen Kreis gehandelt haben - und ginge er dort zum Arzt, würde er bei der Stadt durchs Raster fallen.