05

Kernpunkte:


  • Datenschutz für Mieterinnen und Mieter
  • Datenschutz beim Sport
  • Beschäftigtendatenschutz
  • Meldepflichtige Datenpannen
  • Neues zur Videoüberwachung

 

5    Datenschutz in der Wirtschaft

5.1          Keine Weitergabe von Mieterdaten an Wohnungslosenhilfe ohne Einwilligung

Vom Zentralverband der Deutschen Haus-, Wohnungs- und Grundeigentümer e. V. (Haus und Grund Deutschland) wurde das ULD gebeten, eine Einschätzung dazu abzugeben, ob Vermieter von Wohnraum personenbezogene Mieterdaten für Beratungszwecke und zur Stabilisierung der Mietverhältnisse an die Träger der Wohnungslosenhilfe übermitteln dürfen. Weiterhin wollte die anfragende Stelle wissen, welche konkreten Daten von einem solchen Datentransfer zulässigerweise erfasst würden und inwieweit diese Datenverarbeitung als Gegenstand einer notwendigen Leistung zur Erfüllung des Mietvertrags angesehen werden kann.

Eine Übermittlung personenbezogener Daten von Mietern an die Wohnungslosenhilfe bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Dabei wäre eine Verarbeitung der Mieterdaten etwa dann rechtmäßig, wenn diese für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.

Zu prüfen ist in diesem Zusammenhang der bestehende Mietvertrag über die Nutzung von Wohnraum. Die Pflichten der Vermieter für Wohnraum ergeben sich bekanntlich aus den §§ 535 BGB. Insbesondere hat der Vermieter den Gebrauch der Mietsache während der Mietzeit zu gewähren. Hinzu kommen z. B. Reparatur- und Verkehrssicherungspflichten und verschiedene Verpflichtungen aufgrund anderer gesetzlicher Vorgaben, wie etwa die Mitwirkung bei einer Wohnungsgeberbestätigung nach den melderechtlichen Bestimmungen. Entsprechende Verpflichtungen aus dem Mietvertrag kann der Vermieter erfüllen. Eine Übermittlung von personenbezogenen Mieterdaten an die Wohnungslosenhilfe wäre hierfür nicht erforderlich. Dabei scheidet der Mietvertrag als Grundlage einer Datenweitergabe an die Wohnungslosenhilfe aus.

Zu prüfen war noch, inwieweit eine Übermittlung von personenbezogenen Mieterdaten an die Wohnungslosenhilfe zur Wahrung berechtigter Interessen des Vermieters oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des betroffenen Mieters, die den Schutz personenbezogener Daten erfordern, überwiegen. Das berechtigte Interesse des Vermieters liegt insbesondere darin, dass der Mieter vereinbarungsgemäß seine Miete entrichtet und die Mietsache vertragsgemäß genutzt wird. Treten Unregelmäßigkeiten bei der Zahlung auf, so hat der Vermieter u. a. die Möglichkeit, mit dem Mieter Kontakt aufzunehmen und etwa darauf hinzuwirken, dass bei entsprechenden Anhaltspunkten aus Gesprächen mit dem Mieter auf Angebote einer Schuldnerberatung hingewiesen wird oder dass gemeinsam mit dem Mieter Anträge auf Direktzahlung der Miete an den Vermieter vorbereitet werden (§ 22 Abs. 7 Satz 1 SGB II).

Dem Vermieter kann der Umstand des Leistungsbezugs von der Wohnungslosenhilfe gegebenenfalls über die Vorlage eines Wohnberechtigungsscheins durch den Mietinteressenten bei Anmietung der Wohnung bekannt sein. Allerdings wird diese Kenntnis nicht in jedem Fall bestehen, und die Wohnungslosenhilfe wäre nach der Rechtsprechung des Bundessozialgerichts auch nicht ohne Einwilligung des Mieters befugt, den Umstand des Leistungsbezugs dem Vermieter mitzuteilen. Letzterer Umstand zeigt aber auch, dass die Interessen des Mieters Beachtung finden müssen, dass im Grundsatz gerade kein Datenaustausch zwischen Vermieter und der Wohnungslosenhilfe stattfindet. Der Mieter wäre nicht verpflichtet, eine entsprechende allgemeine Beratung wahrzunehmen, soweit hierfür keine gesetzliche Verpflichtung besteht.

Der Gesetzgeber hat die Entscheidung der Wohnungslosenhilfe über eine Direktzahlung an andere Empfangsberechtigte sehr restriktiv in § 22 Abs. 7 SGB II normiert. Demnach soll eine Direktzahlung vorgenommen werden, wenn vor allem Mietrückstände bestehen, die zu einer außerordentlichen Kündigung des Mietverhältnisses berechtigen. Bei diesem Beispiel erscheint es denkbar, dass bei Erfüllung der Voraussetzungen einer außerordentlichen Kündigung ein Hinweis des Vermieters an die Wohnungslosenhilfe zum Namen des Mieters, der Höhe der Mietrückstände und eine bevorstehende Kündigung ergeht – vorausgesetzt, der Vermieter hat zuvor überhaupt zulässigerweise davon Kenntnis, dass der Mieter Leistungen von der Wohnungslosenhilfe für die Unterkunft erhält. Der Mieter müsste aber vom Vermieter noch vor einer Datenweitergabe an die Wohnungslosenhilfe darüber belehrt werden, dass er dieser widersprechen kann (Art. 21 Abs. 1 DSGVO). Die Verpflichtung zur Unterrichtung über ein Widerspruchsrecht ergibt sich für den Vermieter aus Art. 21 Abs. 4 DSGVO. Der Mieter muss die Möglichkeit haben, sein Widerspruchsrecht noch vor einer Datenweitergabe ausüben zu können.

Die Angabe weiterer Daten wäre auf Basis von Art. 6 Abs. 1 Buchst. f DSGVO nicht zulässig. Die restriktive Handhabung einer Datenübermittlung wird auch dadurch untermauert, dass der Gesetzgeber nach § 22 Abs. 9 SGB II speziell für den Fall der Erhebung einer Räumungsklage auf Basis einer Kündigung des Mietverhältnisses wegen Mietrückständen eine Mitteilung des Gerichts zu bestimmten Angaben an die örtlichen Träger der Wohnungslosenhilfe legitimiert.

Im Übrigen wäre nur auf Grundlage einer Einwilligung eine Übermittlung bestimmter Mieterdaten an die Wohnungslosenhilfe zulässig, wobei diese Erklärung für den Mieter insbesondere freiwillig und frei widerrufbar sein muss. Gegen eine Freiwilligkeit würde bereits sprechen, wenn die Erklärung mit dem Abschluss des Mietvertrags verbunden wird, indem also nur bei Abgabe der Erklärung der Mietvertrag zustande kommt.

 

5.2          Einzelfälle

5.2.1       Missverständliche Werbeschreiben einer Tageszeitung

Den Zeitpunkt des Inkrafttretens der Datenschutz-Grundverordnung im Mai 2018 nahm ein schleswig-holsteinischer Zeitungsverlag zum Anlass, um seine Bestandskundinnen und -kunden postalisch zu kontaktieren. Dazu wurde den Bestandskundinnen und -kunden ein Anschreiben beigefügt, in dem der Werbecharakter nicht hinreichend zum Ausdruck kam. Neben dem Anschreiben war ein weiteres Schreiben als Anlage beigefügt, in dem diverse Werbeeinwilligungen für die telefonische Kontaktaufnahme und die Kontaktaufnahme per E-Mail zu Werbezwecken enthalten waren. Darüber hinaus wurden die Bestandskundinnen und -kunden dazu aufgefordert, ihre Kontaktdaten zu überprüfen oder zu ergänzen. Insbesondere sollte das Geburtsdatum angegeben werden. Die Datenerhebung wurde auch damit begründet, man wollte den Kundinnen und -kunden weiterhin gute Betreuung zukommen lassen.

In der beigefügten Anlage wurden neben der postalischen Anschrift weitere Daten abgefragt (E-Mail-Adresse, Telefonnummer und Geburtsdatum), wobei die Aufforderung, diese zu ergänzen, durch eine fett gedruckte Schrift hervorgehoben wurde. Dass per Ankreuzen eine Einwilligung zur Nutzung von Daten zu Werbezwecken gegeben werden sollte, wurde durch die Darstellung „HÄKCHEN SETZEN, dass wir Sie weiterhin informieren dürfen“ nahegelegt. Auf die Möglichkeit, die Einwilligung zu widerrufen, wurde hingewiesen.

Die Erhebung der Adressdaten begründete der Zeitungsverlag gegenüber dem ULD u. a. damit, man wolle die Richtigkeit der Daten prüfen. Die DSGVO sieht allerdings nicht vor, von Bestandskundinnen und -kunden Erklärungen hinsichtlich der Richtigkeit ihrer Adressdaten einzuholen. Eine Prüfung durch die Verantwortlichen mit dem Ziel, den betroffenen Personen auf diese Weise die Wahrnehmung ihres Rechts auf Berichtigung zu ermöglichen, ist ebenfalls nicht vorgesehen.

Die Erhebung von Adress- und Geburtsdaten der Bestandskundinnen und -kunden erschloss sich dem ULD auch deshalb nicht, weil diese Angaben dem Zeitungsverlag bereits vorliegen mussten. Eine nachträgliche Erhebung von Geburtsdaten zu dem etwaigen Zweck, die Volljährigkeit der Bestandskundinnen und -kunden sicherzustellen, hätte hingegen das Versäumnis offenbart, bei Vertragsschluss zu prüfen, ob ein zivilrechtlich wirksamer Bezug einer Tageszeitung zustande kommt.

Die Erhebung von personenbezogenen Daten ist nur rechtmäßig, wenn hierzu eine Rechtsgrundlage gegeben ist. Eine solche Rechtsgrundlage kann eine Einwilligung darstellen. Zu deren Wirksamkeit bedarf es der Freiwilligkeit der Erklärung. Neben der zu Werbezwecken im Wege der Einwilligung anzugebenden Daten zu E-Mail-Adresse und Telefonnummer wurde auch die Abfrage des Geburtsdatums durch den Verantwortlichen als freiwillig bezeichnet – soweit bereits vorhanden unter dem Gesichtspunkt einer möglichen Berichtigung der Daten. Der Zweck der freiwilligen Erhebung bei Abschluss des Vertrags liege darin, Bestellungen von minderjährigen Kundinnen und -kunden nicht anzunehmen.

Hinweis zur Einwilligung
Eine Einwilligung ist jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung. Der Grundsatz einer Verarbeitung nach Treu und Glauben bedingt hier eine faire und transparente Darstellung der Zwecksetzung des Anschreibens und der Erhebung der Daten.

Dass die im vorliegenden Fall nachträgliche Erhebung freiwillig erfolgt, war jedoch weder durch das Anschreiben an die Kundinnen und ‑kunden noch durch die beigefügte Anlage deutlich geworden. Es war zudem nicht erkennbar, dass eine solche Datenerhebung erforderlich wäre, um bei sämtlichen Bestandskundinnen und -kunden nachträglich die Volljährigkeit als Nachweis für die Abgabe einer wirksamen Willenserklärung zum Abschluss eines Vertrags zu prüfen. Die vom Verlag vorgetragene Begründung legte daher nicht ausreichend dar, auf welcher Rechtsgrundlage eine Erhebung des Geburtsdatums erfolgt.

Zur besseren Gewährleistung der Transparenzanforderungen muss bei Werbeschreiben darauf geachtet werden, dass

  • bereits im Anschreiben explizit auf die Datenerhebung für Werbezwecke hingewiesen wird,
  • die Kundinnen und Kunden darüber aufgeklärt werden, dass eine Verweigerung der Datenpreisgabe keinen Einfluss auf die bestehende Kundenbeziehung hat, und
  • eine vordergründige Zwecksetzung, nämlich die Nutzung der E-Mail-Adresse und der Telefonnummer für Werbezwecke, nicht erst am Ende der Anlage zum Anschreiben beiläufig aufgeführt wird.

Nach alledem wurde gegenüber dem Verantwortlichen eine Verwarnung aufgrund des Verstoßes gegen den Grundsatz der transparenten Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 Buchst. a DSGVO sowie aufgrund des Verstoßes gegen die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO ausgesprochen und die Löschung der im Wege des Anschreibens erhobenen Geburtsdaten angeordnet.

Bereits im Verlauf des Verfahrens hatte der Verantwortliche sich dahin gehend geäußert, die Grundsätze der Rechtmäßigkeit der Verarbeitung insbesondere durch die Gestaltung und Formulierung eines möglichen zukünftigen ähnlichen Anschreibens sicherstellen zu wollen. Nach Angabe des Verantwortlichen wurden die Geburtsdaten mittlerweile gelöscht.

 

Was ist zu tun?
Werden personenbezogene Daten für Zwecke der werblichen Ansprache erhoben, muss die Verarbeitung auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen. Dies ist nur dann der Fall, wenn es klar ist, dass es um Daten für Werbezwecke geht.

 

5.2.2       Informationen über eine frühere Behandlung bei Ausbildung in derselben Klinik

Nachdem eine Auszubildende für den Beruf einer Gesundheits- und Krankenpflegerin auf ihrer neu angetretenen Ausbildungsstation damit konfrontiert worden war, dass sie sieben Jahre zuvor einmal Patientin auf der Station gewesen sei und aufgrund dieser Tatsache nunmehr dort nicht mehr weiter beschäftigt werden könne, reichte der daraufhin von ihr bevollmächtigte Anwalt eine Beschwerde über ihren Arbeitgeber beim ULD ein.

Im Rahmen des Beschäftigungsverhältnisses dürfen lediglich die für die betrieblichen Zwecke erforderlichen Daten über Beschäftigte verarbeitet werden. Dabei ist vom Arbeitgeber zu begründen, warum welche Daten wofür erforderlich sind. Diese Daten sind dabei grundsätzlich unmittelbar bei dem Beschäftigten zu erheben.

Beschäftigte
Eine Definition, welche Personen als Beschäftigte im Sinne des Bundesdatenschutzgesetzes gelten, finden sich in § 26 Abs. 8 BDSG.

Bei der Verarbeitung von Patientendaten sind neben den allgemeinen datenschutzrechtlichen Vorschriften u. a. auch besondere berufsrechtliche Vorschriften zur ärztlichen Schweigepflicht zu beachten. Des Weiteren hat der Verantwortliche im Rahmen seiner zu treffenden technisch-organisatorischen Maßnahmen eine Trennung der von ihm verarbeiteten Patienten- und Mitarbeiterdaten sicherzustellen.

Die Verarbeitung der Patientendaten der Betroffenen erfolgte damals lediglich für den Zweck, die Behandlung durchzuführen, abzurechnen und zu dokumentieren. Die Verwendung von Patientendaten der Betroffenen für Zwecke des Beschäftigungsverhältnisses stellt eine Zweckänderung dar, für die eine entsprechende Rechtsgrundlage erforderlich ist.

Im Rahmen des eingeleiteten Verfahrens wurde vom Klinikgeschäftsführer mitgeteilt, dass die Beschwerdeführerin von verschiedenen Mitarbeitenden auf der Station als frühere Patientin lediglich erkannt wurde und kein Zugriff auf die Patientenakte erfolgt sei.

Aufgrund von verschiedenen Erfahrungen in ähnlich gelagerten Fällen sähen sich die dortigen Mitarbeitenden nicht mehr in der Lage, mit ihr zusammenzuarbeiten, und es sei zur Sicherstellung des ordnungsgemäßen Betriebsablaufes ein Stationswechsel erforderlich gewesen.

Gerade im Hinblick darauf, dass die Betroffene nach eigener Aussage ihre damalige Behandlung abgeschlossen habe, vollständig geheilt sei und darüber hinaus auch die Eignungsuntersuchung zur Aufnahme des Ausbildungsverhältnisses ohne Beanstandungen bestanden habe, ergaben sich aus Sicht des ULD zumindest weiterhin Zweifel an der Erforderlichkeit der Verwendung der Information über die damalige Behandlung für eine Entscheidung über den weiteren Verlauf der Ausbildung.

Selbst im Falle einer solchen Erforderlichkeit ist eine Verwendung nur zulässig, wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Gerade bei der Verwendung von Daten, die den besonderen berufsrechtlichen Vorschriften zur ärztlichen Schweigepflicht unterliegen, ist dieses schutzwürdige Interesse der betroffenen Person im besonderen Maße zu berücksichtigen.

Da weder die Erforderlichkeit noch die ausreichende Beachtung der schutzwürdigen Interessen der Betroffenen nachgewiesen werden konnte, wurde der Klinik gegenüber eine Warnung erteilt.

 

5.2.3       Einführung von digitalen Spielerpässen – Begrenzung der Datensammlung

Im Rahmen der voranschreitenden Digitalisierung wurde von einem Sportverband entschieden, mit Beginn der Saison 2019/2020 digitale Spielerpässe zu nutzen. In diesem Zusammenhang erhielt das ULD verschiedene Beschwerden darüber, dass im Rahmen der Beantragung der Spielberechtigung die Erteilung einer Einverständniserklärung zur Verarbeitung verschiedener personenbezogener Daten und eines digital bereitzustellenden Fotos über das Internet Pflicht sei und ansonsten keine Spielerlaubnis erteilt werden würde. Darüber hinaus müsse auch ein Einverständnis für die Nutzung des Fotos auf Webseiten des Vereins, des Verbands und auf einer bundesweiten Online-Plattform sowie zu Marketingzwecken erteilt werden.

Eine in diesem Zusammenhang durchgeführte Überprüfung ergab, dass der Sportverband die einschlägige Satzung für die Saison 2019/2020 neu gefasst hatte und in dieser tatsächlich die Vorlage einer Erlaubnis zur Veröffentlichung eines zur Verfügung zu stellenden Passfotos verlangt wurde. Sollte diese entsprechende Erlaubnis nicht vorliegen, würde der Antragssteller keine Spielberechtigung erhalten.

Satzungen
Vereins- und Verbandssatzungen dürfen nicht im Widerspruch zu geltenden datenschutzrechtlichen Vorschriften stehen.

Grundsätzlich dienen digitale Spielerpässe der elektronischen Spielrechtsprüfung durch den Schiedsrichter. Hierfür ist bei diesem Sportverband lediglich eine Verarbeitung von verschiedenen Antragsdaten im Passbearbeitungssystem sowie in der vom Bundesverband zur Verfügung gestellten nicht öffentlich zugänglichen onlinebasierten Software erforderlich. Eine Veröffentlichung der Daten auf Webseiten des Verbands, etwaiger Mitgliedsvereine und auf einer Online-Plattform oder die Nutzung der Daten für Marketingzwecke sind hingegen weder zur Durchführung der Aufgaben des Sportverbands noch zur Sicherstellung des Ligabetriebes erforderlich, sodass hierfür jeweils eine zuvor erhobene Einwilligung erforderlich ist.

Eine solche Einwilligung ist jedoch nur wirksam, wenn sie freiwillig, d. h. ohne jeden Druck oder Zwang, abgegeben werden kann. Hierbei wird eine echte Wahlfreiheit der betroffenen Person verlangt, die in der Lage sein soll, die Einwilligung zu verweigern, ohne dadurch Nachteile zu erleiden. Da im Falle einer Verweigerung der Erlaubnis jedoch keine Spielberechtigung erteilt wurde, mangelte es an der erforderlichen Wahlfreiheit.

Nachdem der Sportverband im Rahmen des eingeleiteten Verfahrens auf die geltende Rechtslage hingewiesen worden war, beschloss dieser eine entsprechende Änderung der Satzung und die Überarbeitung der entsprechenden Formulare. In diesem Zusammenhang wurde u. a. auch die Zugriffsberechtigung auf die digitalen Spielerpässe reduziert.

Seit der erfolgten Anpassung werden lediglich die für den Spielbetrieb erforderlichen Daten erhoben und zunächst ausschließlich nicht öffentlich verarbeitet. Für alle darüber hinausgehenden möglichen Verarbeitungen werden nunmehr jeweils einzelne Einwilligungen getrennt vom eigentlichen Antrag erhoben. Da der Spielerpass auch ausgestellt wird, wenn diese möglichen Einwilligungen für zusätzliche Zwecke nicht erteilt werden, kann nunmehr selbst entschieden werden, ob beispielsweise Spielerdaten für die Spielberichtserstattung genutzt werden dürfen oder ein Foto veröffentlicht werden darf.

 

5.2.4       Anmeldungen zu Sportveranstaltungen gekoppelt an die Veröffentlichung von Sportlerdaten

Immer wieder erreichen das ULD Eingaben darüber, dass im Zusammenhang mit der Anmeldung zu Sportveranstaltungen weitreichende Einwilligungen erhoben werden und ohne entsprechende Erteilung keine Teilnahme möglich sei.

Wie bereits unter Tz. 5.2.3 erläutert, ist eine solche Einwilligung jedoch nur wirksam, wenn sie freiwillig, d. h. ohne jeden Druck oder Zwang, abgegeben werden kann. Hierbei wird eine echte Wahlfreiheit der betroffenen Person verlangt, die in der Lage sein soll, die Einwilligung zu verweigern, ohne dadurch Nachteile zu erleiden. Da im Falle einer Verweigerung jedoch keine Teilnahme an der jeweiligen Sportveranstaltung möglich war, fehlt es auch hier wiederum an der erforderlichen Wahlfreiheit.

Im Rahmen der entsprechenden Prüfungen fiel allerdings auf, dass in vielen Fällen auch Einwilligungen für die Verarbeitung von Daten erhoben wurden, ohne die eine Teilnahme an der Veranstaltung überhaupt gar nicht möglich gewesen wäre (beispielsweise Name, Anschrift, oder Geschlecht). Eine solche Verarbeitung kann jedoch auch auf Grundlage der Erforderlichkeit zur Erfüllung eines Vertrags oder der Erforderlichkeit zur Wahrung eines berechtigten Interesses des Verantwortlichen erfolgen, sodass hierfür gar keine Einwilligung erhoben werden musste. Sollte der Veranstalter allerdings beabsichtigen, zusätzliche Daten zu erheben oder für eine weiter gehende Verarbeitung zu nutzen, wäre hierfür eine entsprechende Einwilligung des Betroffenen notwendig.

Das berechtigte Interesse eines Veranstalters beinhaltet häufig auch eine Berichterstattung über das sportliche Geschehen, sodass einzelne Informationen wie Ergebnislisten vorübergehend auch auf dieser Grundlage ohne vorherige Einwilligung veröffentlicht werden können. Ob im Einzelfall jedoch dieses berechtigte Interesse des Veranstalters gegenüber den schutzwürdigen Interessen der Betroffenen tatsächlich überwiegt, hängt im Wesentlichen von der Bedeutung des Ereignisses und dem daraus abzuleitenden Informationsinteresse der Öffentlichkeit ab.

Eine solche Veröffentlichung ohne vorherige Einwilligung ist allerdings auf die Nachnamen, Vornamen, Vereinszugehörigkeit und in begründeten Ausnahmefällen den Geburtsjahrgang zu beschränken. Darüber hinaus sind die Betroffenen im Vorwege entsprechend zu informieren, und es ist zu prüfen, ob im Einzelfall die Beachtung der schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten einer Veröffentlichung entgegenstehen. Ein gegebenenfalls eingereichter Widerspruch ist selbstverständlich ebenfalls zu beachten und darf nicht zu einem rückwirkenden Entzug einer Teilnahmeberechtigung führen.

Im Rahmen einer solchen Berichterstattung kann gegebenenfalls auch eine Veröffentlichung von einzelnen Fotos erfolgen. Hierbei muss allerdings ein Bezug zum Spielgeschehen bzw. dem Charakter der Sportveranstaltung klar zu erkennen sein. Sollte dabei gegebenenfalls eine Person im Mittelpunkt stehen oder gezielt nur ein einzelner Teilnehmer fotografiert werden, wäre hierfür jedoch die Einwilligung des Betroffenen erforderlich, da in einem solchen Fall seine Interessen oder Grundrechte und Grundfreiheiten gegenüber den berechtigten Interessen des Veranstalters überwiegen. Eine Veröffentlichung von Fotos minderjähriger Teilnehmer ist ebenfalls immer nur mit einer ausdrücklichen Einwilligung zulässig, da bei diesen die schutzwürdigen Interessen generell überwiegen.

In den durchgeführten Verfahren haben sich die Veranstalter meist kooperativ gezeigt und die Anmeldeverfahren entsprechend angepasst. So werden bei diesen nunmehr zunächst lediglich die zur Durchführung der Veranstaltung erforderlichen Daten erhoben und die betroffenen Personen umfassend über die Verarbeitung, eine gegebenenfalls geplante Berichterstattung und das bestehende Widerspruchsrecht informiert.

Im Falle von weiter gehenden Verarbeitungen einschließlich etwaiger zusätzlicher Veröffentlichungen wurden die hierfür erforderlichen Einwilligungen vom eigentlichen Anmeldeverfahren getrennt und um entsprechende Hinweise zur Freiwilligkeit und zum bestehenden Widerrufsrecht ergänzt.

 

Was ist zu tun?
Bei der Auswahl der Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten ist im Wesentlichen zu unterscheiden zwischen den Verarbeitungen, die zur Erfüllung eines Vertrags oder zur Wahrung eines berechtigten Interesses erforderlich sind, und allen darüber hinausgehenden Verarbeitungen, für die eine Einwilligung notwendig ist.

 

5.2.5       Keine konkludente Einwilligung zur Veröffentlichung von Fotos bei Facebook beim Besuch einer Veranstaltung

Durch eine Beschwerde erhielt das ULD Kenntnis davon, dass anlässlich von kulturellen Veranstaltungen einer Verantwortlichen Fotografien von Besuchern angefertigt und von der Verantwortlichen in hoher Auflösung veröffentlicht worden sind. Dazu fand sich lediglich auf der Webseite des Veranstalters (sinngemäß) folgende Textpassage:

Mit dem Besuch einer unserer Veranstaltungen erklärst Du Dich bereit, dass Fotos und Filme Deiner Person im Rahmen der Veranstaltung angefertigt werden und auf unserer Website und unseren Social-Media-Kanälen bereitgestellt werden. Gerne löschen wir die Fotos nachträglich, wenn Du uns kontaktierst.

Sofern die Anfertigung und spätere Veröffentlichung von Bildaufnahmen auf eine Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO zu stützen ist, ist ein solches Vorgehen nicht mit den Vorgaben an eine wirksame Einwilligung im Sinne des Artikels 7 DSGVO vereinbar. Den Besuchern wurde auch nicht hinreichend deutlich, dass eine Veröffentlichung in den entsprechenden Medien erfolgen soll.

Die Verantwortliche hat die Erhebungs- und Veröffentlichungspraxis auf Hinweis des ULD hin angepasst.

 

5.2.6       Tätigkeit als Verantwortlicher im Inkassobereich

Für Unternehmen, die im Inkassobereich tätig sind, stellt sich häufig die Frage nach dem Umfang einer datenschutzrechtlichen Verantwortung. Davon abzugrenzen sind in der Praxis streng weisungsgebundene Datenverarbeitungen, die einer Auftragsverarbeitung zuzuordnen wären. Die Beurteilung ist mitunter schwierig, hat aber erhebliche Bedeutung, insbesondere für die Frage nach der Einhaltung vertraglicher sowie technisch-organisatorischer Anforderungen, die ein Auftraggeber beachten muss.

Begriff des Verantwortlichen
Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Maßgebend ist die Entscheidung über die Zwecke und Mittel der personenbezogenen Datenverarbeitung nach Art. 4 Nr. 7 DSGVO. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) haben in ihrem Kurzpapier Nr. 13 zur Auftragsverarbeitung Stellung genommen und lediglich eine Inkassotätigkeit „mit Forderungsübertragung“ als verantwortliche Datenverarbeitung beurteilt. Für die Prüfung eines Inkassovertrags zwischen einem Auftraggeber und einem Inkassounternehmen sind hieraus oft nur bedingt Schlussfolgerungen möglich. Von Bedeutung ist die Prüfung im Einzelfall:

https://www.datenschutzzentrum.de/artikel/1205-Kurzpapier-Nr.-13-Auftragsverarbeitung.html
Kurzlink: https://uldsh.de/tb38-526

Eine Auftragsverarbeitung zeichnet sich insbesondere durch ein weisungsgebundenes Verarbeiten personenbezogener Daten durch einen Auftragnehmer aus, bei dem die Zwecksetzung vom Auftraggeber ausgeht und für den Auftragnehmer nahezu kein eigener Entscheidungsspielraum zur Herstellung eines Verarbeitungsergebnisses verbleibt. Dies kann etwa bei der Entsorgung personenbezogener Daten, der Bereitstellung von Speicherplatz oder im Falle der Verarbeitung personenbezogener Daten nach fest vorgegebenen Rechenwegen gegeben sein.

Im Rahmen einer Beratung war das ULD mit einem Sachverhalt befasst, in welchem das Inkassounternehmen eine Schlüssigkeitsprüfung übernahm, um den rechtlichen Bestand einer Forderung zu verifizieren. Weiterhin wurde die Wirtschaftlichkeit der Durchführung eines Inkassos untersucht, wobei auch Bonitätsprüfungen unter Nutzung eigener Datenbestände erfolgten. Schließlich führte das Inkassounternehmen Adressprüfungen durch und holte Melderegisterauskünfte im eigenen Namen ein. Auch den Forderungseinzug führte das Inkassounternehmen durch, wobei das Recht bestand, dem Schuldner Teilzahlungen zu gestatten. Nur für Vergleiche im Mahnverfahren bedurfte es der Genehmigung durch den Auftraggeber. Das Inkassounternehmen entschied ferner eigenverantwortlich über Stundungsabreden mit dem Schuldner, sofern Nachweise zur derzeitigen Zahlungsunfähigkeit vorlagen. Notwendige Maßnahmen im Zusammenhang mit dem Forderungseinzug standen im Ermessen des Inkassounternehmens.

Die vertraglichen Vorgaben zur Durchführung des Inkassos billigten dem Inkassounternehmen damit einen eigenen Entscheidungsspielraum beim Umgang mit den personenbezogenen Daten der Schuldner zu, der auch Raum für eigene Zwecksetzungen ließ. So fehlten insbesondere nähere Vorgaben dazu, nach welchen Kriterien Schlüssig- und Wirtschaftlichkeitsprüfungen erfolgen sollen, wie die Kommunikation mit dem Schuldner erfolgen soll und welche Maßnahmen zum Forderungseinzug im Einzelfall getroffen werden sollen. Weiterhin wurden auch eigene Datenbestände – bei der Bonitätsprüfung – für die Erledigung des Inkassovertrags herangezogen.

Im Ergebnis konnte festgestellt werden, dass das Inkassounternehmen nicht als weisungsgebundener Auftragsverarbeiter, sondern vielmehr selbst als datenschutzrechtlich Verantwortlicher tätig wird.

 

Was ist zu tun?
Um herauszufinden, ob eine Auftragsverarbeitung oder eine datenschutzrechtliche Verantwortlichkeit vorliegt, sind u. a. die vertraglichen Vereinbarungen zwischen den Beteiligten zu prüfen. Außerdem ist maßgebend, welche Verarbeitungen vom Dienstleister, losgelöst vom Vertrag, tatsächlich wahrgenommen werden.

 

5.2.7       Displayanzeigen bei Lottoannahmestellen

Im Frühjahr 2019 ging beim ULD eine Beschwerde ein, in der beklagt wurde, dass beim Spiel mit der LOTTO-Card in einer Lottoannahmestelle anwesende Dritte über die Displayanzeige sehen könnten, wie der jeweilige Kunde heiße, was er mit welchem Einsatz spiele und wie viel er gewonnen habe.

Die LOTTO-Card wird einerseits als Servicekarte für eine direkte Gewinnausschüttung auf das Konto des Inhabers und andererseits auch zur Identifizierung des Karteninhabers genutzt. Unabhängig von der Karte können Kundinnen und Kunden anonym über einen Tippschein an allen Spielen teilnehmen, für die keine Identifizierung erforderlich ist. Darüber hinaus haben Spielende auch die Möglichkeit, an den Spielen via Internet vom eigenen Computer von zu Hause aus teilzunehmen.

Bei Spielen wie Sportwetten und der täglichen Lottoziehung KENO müssen dem Spielenden als Schutzmechanismus vor Spielsucht der Stand des Spielkontos und die Spielhistorie dargestellt werden. Aufgrund der Pflicht zur Darstellung ist zunächst eine vorherige Identifizierung des Spielenden erforderlich, der seine Kenntnisnahme anschließend aktiv bestätigen muss, sodass auch keine Abschaltung des Displays erfolgen kann.

Entgegen der Beschreibung des Beschwerdeführers wird seit einiger Zeit jedoch nicht mehr der Name des Karteninhabers, sondern ausschließlich seine Kundennummer auf dem Display angezeigt. Darüber hinaus enthält die aktuelle LOTTO-Card im Gegensatz zu einer früheren auch keinen Aufdruck des Lichtbilds mehr.

Im Rahmen einer Überprüfung von Displayanzeigen konnte festgestellt werden, dass eine Einsichtnahme auf das Display durch andere Kundinnen und Kunden kaum möglich war, da das Display direkt oberhalb der Kundenservicefläche des Tresens installiert war, die Eingabe der PIN durch einen immer wieder neu gemischten Zahlenkreis erfolgte, auf dem Display nur ein schwacher Kontrast eingestellt war und die Kundennummer und der Spielverlauf auf weniger als einem Drittel der Bildschirmfläche dargestellt wurde.

Die entsprechende Installation der Displays wurde in einer für die Lottoannahmestellen verbindlichen Geschäftsanweisung geregelt, deren Einhaltung regelmäßig durch Mitarbeiter der Geschäftsstelle geprüft wird. Des Weiteren werden die Mitarbeiter der Annahmestellen in der Geschäftsstelle entsprechend geschult.

 

Was ist zu tun?
Verantwortliche haben dafür Sorge zu tragen, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor Offenlegung durch Übermittlung oder unbefugte Verbreitung. Dazu sind geeignete technische und organisatorische Maßnahmen einzusetzen, um sicherzustellen, dass eine Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt.

 

5.2.8       Aushang von Aufstellungen zu Betriebsratsstunden

Über die erforderliche Anzahl und die Dauer von Betriebsratssitzungen kann es naturgemäß unterschiedliche Auffassungen zwischen der Geschäftsführung eines Unternehmens und seinen Betriebsratsmitgliedern geben. Dieses führte in einem Unternehmen dazu, dass nach einer Zunahme der Anzahl der Betriebsratssitzungen der Senior-Geschäftsführer die Platzierung von Aushängen an verschiedenen Stellen des Betriebes veranlasste, aus denen das jeweilige Mitglied und die Anzahl seiner täglichen Betriebsratsstunden hervorging. Er begründete dies damit, dass die Belegschaft über die Zunahme der Anzahl der Betriebsratsstunden informiert werden müsse, da die Betriebsratsmitglieder in dieser Zeit ja nicht in ihren Teams mitarbeiten würden und nur so die Belegschaft gegenüber ihrem Betriebsrat entsprechend reagieren könne.

Nachdem sich ein Gewerkschaftsvertreter bei der Geschäftsführung über den Aushang beschwert hatte, die sofortige Entfernung gefordert und mitgeteilt hatte, den Vorgang beim ULD anzuzeigen, wurden diese umgehend entfernt.

Im weiteren Verlauf entschuldigte sich die Geschäftsführung zunächst schriftlich und im Rahmen eines regelmäßigen Monatsgespräches auch persönlich bei den Betriebsratsmitgliedern für die Veröffentlichung. Hierbei wurde eingeräumt, dass der Aushang der Betriebsratsstunden keine geeignete Maßnahme sei, um die unterschiedlichen Auffassungen zur erforderlichen Anzahl und Dauer von Betriebsratssitzungen zu lösen.

Gegenüber dem ULD teilte die Geschäftsführung mit, dass sich alle Mitglieder darüber einig sind und ihnen bewusst sei, dass ein solcher Vorfall nicht wieder vorkommen dürfe, sodass von weiteren Maßnahmen abgesehen werden konnte.

 

5.2.9       Kenntnis von Gehaltsdaten durch unbefugte Mitarbeiter

In einem anderen Fall reichte ein Betriebsrat selbst eine Beschwerde beim ULD über das Verhalten einer Führungskraft ein. Diese hatte im Rahmen einer Gesprächsrunde mit Schichtleitern, Teamleitern und Disponenten eine Excel-Liste über alle Beschäftigten einschließlich der Dauer ihrer Betriebszugehörigkeit und ihrer jeweiligen Gehaltsdaten präsentiert, um gemeinsam zu prüfen, ob einzelnen Beschäftigten ein Angebot zur Aufhebung des Arbeitsverhältnisses unterbreitet werden könne.

Wie bereits im 37. Tätigkeitsbericht unter Tz. 5.4.14 erläutert, hat der verantwortliche Arbeitgeber bei der Verarbeitung von Gehaltsdaten sicherzustellen, dass die Sicherheit der Verarbeitung und insbesondere die Vertraulichkeit der Informationen gewährleistet sind. Hierzu zählt u. a. auch ein entsprechendes Berechtigungskonzept, das den Zugriff auf vertrauliche Personaldaten einschränkt. Des Weiteren sind Maßnahmen zu treffen, die einen unbefugten Zugriff oder eine Offenlegung von personenbezogenen Daten der Beschäftigten gegenüber Unberechtigten verhindern.

Im Rahmen der erfolgten Prüfung wurde vom Geschäftsführer zwar eingeräumt, dass die erfolgte Offenlegung der Gehaltsdaten für das Gespräch mit Schichtleitern, Teamleitern und Disponenten nicht erforderlich war und somit einen datenschutzrechtlichen Verstoß darstellt, diese Offenlegung allerdings so auch nicht geplant gewesen sei und es sich um ein Versehen handele.

Aufgrund der im Unternehmen geltenden Datenschutzrichtlinie und des dort enthaltenen Need-to-know-Prinzips wurde in der Vorbereitung der Gesprächsrunde von der verantwortlichen Führungskraft eine zweite Datei erstellt, in der das Gehalt explizit entfernt war. In der Sitzung wurde dann jedoch die falsche Datei geöffnet, was die Vortragende erst nach einigen Minuten merkte, da sie während der Präsentation mit dem Rücken zur Projektion stand.

Need-to-know-Prinzip
Jede(r) Beschäftigte darf nur auf solche Daten zugreifen können, die er zur Erfüllung seiner Aufgaben tatsächlich benötigt (Kenntnis nur bei Bedarf).

Nach Mitteilung des Geschäftsführers waren alle Gesprächsteilnehmer auf Vertraulichkeit verpflichtet, und es sei ansonsten im Unternehmen über entsprechende Nutzer-Accounts sichergestellt, dass jede(r) Beschäftigte personenbezogene Daten nur im Rahmen des eigenen Aufgabengebiets verarbeiten könne.

Der Vorfall wurde im Unternehmen als Anlass genommen, den Verursacher noch einmal zu sensibilisieren und im Falle von sensiblen Daten zukünftig für Präsentationen u. Ä. separate Ordner anzulegen, in denen sich entsprechend überarbeitete Dateien befinden. Darüber hinaus entschuldigte sich der Verursacher beim Betriebsrat und zahlreichen betroffenen Beschäftigten für die Offenlegung.

 

5.2.10    Kopplung der Einwilligung zum E-Mail-Newsletter mit erweiterter Garantie

Sofern eine Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist, kann eine Verarbeitung auf die Rechtsgrundlage Art. 6 Abs. 1 Buchst. b DSGVO gestützt werden. Bietet der Hersteller eines Produkts, unabhängig davon, über welchen Vertriebsweg seine Produkte erworben wurden, eine Garantie für seine Produkte an und müssen sich Käufer hierzu über ein Online-Formular registrieren, ist genau zu prüfen, welche personenbezogenen Daten hierfür erforderlich sind. So kann es erforderlich sein, den Vor- und Nachnamen sowie die Bestellnummer und das Kaufdatum zu erheben und für die Laufzeit der Garantie zu speichern, u. a. um im Garantiefall die von den Garantieberechtigten angeführten Daten abzugleichen. Ob die Erhebung einer E-Mail-Adresse zur Erfüllung des Garantievertrags erforderlich ist, bedürfte weiterer Prüfung. Sofern die E-Mail-Adresse nicht bereits im Rahmen der Kaufvertragsabwicklung erhoben wird, ist dieses Datum zum Abgleich untauglich. Dennoch kann eine Kontaktmöglichkeit zu den Kundinnen und Kunden zum Zweck der Garantievertragsdurchführung dienlich und die diesbezügliche Erhebung und Verarbeitung zu diesem Zweck von Art. 6 Abs. 1 Buchst. b DSGVO umfasst sein.

Wenn Verantwortliche die erhobene E-Mail-Adresse verwenden möchten, um Direktwerbung zu versenden, bedarf es für diesen Zweck jedoch einer gesonderten Rechtsgrundlage. In Betracht käme, die Verarbeitung der E-Mail-Adressen der Kundinnen und Kunden, die sich für eine erweiterte Garantie registrieren, zu Zwecken der Direktwerbung auf Art. 6 Abs. 1 Buchst. f DSGVO in Verbindung mit § 7 Abs. 3 UWG oder aber auf eine Einwilligung gemäß Art. 6 Abs. 1 Buchst. a DSGVO in Verbindung mit § 7 Abs. 2 UWG zu stützen. Voraussetzung der zuletzt genannten Variante ist, dass die jeweils betroffenen Personen eine wirksame Einwilligung abgegeben haben. Wirksamkeitsvoraussetzung einer Einwilligung ist u. a., dass eine Einwilligung freiwillig erteilt wird.

Der Europäische Datenschutzausschuss schreibt hierzu in den „Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679“:

„Wenn die Einwilligung ein nicht verhandelbarer Teil von Geschäftsbedingungen ist, wird angenommen, dass die Einwilligung nicht freiwillig erteilt wurde. Entsprechend wird eine Einwilligung nicht als freiwillig angesehen, wenn die betroffene Person die Einwilligung nicht verweigern oder zurückziehen kann, ohne Nachteile zu erleiden.” (Seite 6)

„Art. 7 Abs. 4 der DSGVO weist u. a. darauf hin, dass eine Situation, in der die Einwilligung mit der Annahme von Vertragsbedingungen „gebündelt“ wird oder die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung mit dem Ersuchen um Einwilligung in eine Verarbeitung von personenbezogenen Daten „verknüpft“ wird, die für die Erfüllung des Vertrags nicht erforderlich sind, als in höchstem Maße unerwünscht angesehen wird. Wird die Einwilligung in einer solchen Situation erteilt, gilt sie als nicht freiwillig erteilt (Erwägungsgrund 43). Mit Art. 7 Abs. 4 soll sichergestellt werden, dass der Zweck der Verarbeitung personenbezogener Daten nicht getarnt oder mit der Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung gebündelt wird, für die diese personenbezogenen Daten nicht erforderlich sind. Dadurch stellt die DSGVO sicher, dass die Verarbeitung personenbezogener Daten, um deren Einwilligung ersucht wird, nicht direkt oder indirekt zur Gegenleistung für einen Vertrag werden kann. Die beiden Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten, d. h. Einwilligung und Vertrag, können nicht zusammengeführt werden und ihre Grenzen dürfen nicht verschwimmen.” (Seite 9)

„Der Verantwortliche muss nachweisen, dass es möglich ist, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden (Erwägungsgrund 42). […]

Wenn ein Verantwortlicher nachweisen kann, dass eine Dienstleistung die Möglichkeit umfasst, die Einwilligung ohne negative Folgen zu widerrufen, z. B. ohne dass die Erbringung der Dienstleistung zum Nachteil des Nutzers herabgestuft wird, kann das helfen zu zeigen, dass die Einwilligung freiwillig erteilt wurde. Die DSGVO schließt nicht alle Anreize aus, aber die Beweislast für den Nachweis, dass die Einwilligung unter allen Umständen freiwillig erteilt wurde, würde beim Verantwortlichen liegen.” (Seite 12)

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 [Extern]
Kurzlink: https://uldsh.de/tb38-5210

Sofern dieser Nachweis gelingt, kann eine solche Einwilligung auch mit der Erbringung einer Dienstleistung verbunden werden.

 

5.2.11    Veröffentlichung einer Liste mit Namen von Privatpersonen mit Zuordnung zu einer politischen Haltung

Im Rahmen einer Kontrollanregung wurde mitgeteilt, dass auf einer Webseite eine Excel-Datei mit ca. 24.000 Adressdatensätzen zum Abruf bereitgestellt wurde. Die Bezeichnung der Excel-Datei ließ den Schluss zu, dass es sich bei den Datensätzen um Personen handeln solle, die einem anderen politischen Lager zugehörig sind.

Die Betreiberin der Webseite machte hingegen deutlich, in Abgrenzung zu den veröffentlichten Namen nebst den Adressangaben eine gänzlich abweichende politische Meinung zu vertreten.

Nach Ermittlung der Domain-Inhaberin wurde unter Androhung eines Zwangsgeldes die sofortige Löschung der Datei angeordnet.

 

Was ist zu tun?
Bei Angaben zur politischen Haltung von Personen handelt es sich nach den Vorgaben des europäischen Datenschutzrechts um besonders sensible Daten. Deren Verarbeitung bedarf immer einer spezifischen Rechtsgrundlage. Für die zusätzliche Veröffentlichung von privaten Adressdaten bestand ebenfalls keine Rechtsgrundlage. Entsprechende Daten dürfen grundsätzlich nicht veröffentlicht werden.

 

5.2.12    Faxversand durch Berufsgeheimnisträger – der Absender muss auf die Sicherheit achten!

Im Berichtszeitraum hat das ULD zahlreiche Beschwerden über Faxsendungen erhalten, die von Rechtsanwälten an den Arbeitgeber geschickt und an eine allgemeine Faxnummer adressiert werden. Beim Arbeitgeber kommen diese Faxe dann auf einem Faxgerät an, das gegen den Zugang durch Unbefugte nicht ausreichend gesichert und auch nicht für die Zusendung anwaltlicher Schreiben gedacht ist. Diese Faxe enthalten meist heikle Informationen über den betroffenen Beschäftigten; oft handelt es sich um Pfändungs- und Überweisungsbeschlüsse, die an den Arbeitgeber geschickt werden. Auf diese Weise haben z. B. Beschäftigte Kenntnis über Gehaltspfändungen ihrer Kollegen erhalten, obwohl diese Information nicht für sie bestimmt war. Die betroffenen Personen bringt dies in eine äußerst unangenehme Situation an ihrem Arbeitsplatz.

In der Regel erkennen die Verantwortlichen, die diese Faxe versenden, im Rahmen der Anhörung ihre Sorgfaltspflichtverletzung beim Versand des Faxes an und versichern, dass sie Maßnahmen ergreifen, um solche Fehler künftig zu verhindern.

Um die Vertraulichkeit eingehender Faxe zu gewährleisten, müssen sowohl Absender als auch Empfänger Vorkehrungen ergreifen. Der Empfänger muss Faxgeräte so aufstellen, dass Unbefugte keinen ungehinderten Zugriff auf eingehende Faxe haben, die nicht für sie bestimmt und für ihre Tätigkeit nicht erforderlich sind. Gerade bei größeren Stellen ist es empfehlenswert, für die Personalabteilung eigene Faxgeräte vorzusehen.

Der Absender muss sich vor dem Versand vergewissern, dass das Fax tatsächlich den bestimmungsgemäßen Empfänger erreicht und vertrauliche Inhalte nicht in die Hände von Unbefugten geraten. Wenn ihm die Zuordnung der Faxnummer z. B. zur Personalabteilung nicht bekannt ist, empfiehlt sich eine vorherige telefonische Kontaktaufnahme zur Abklärung der richtigen Faxnummer oder zur Absprache, wie der bestimmungsgemäße Empfänger das Fax doch direkt über die allgemeine Faxnummer erhalten kann, z. B. indem er sich beim Empfang neben das Faxgerät stellt.

In einem Fall hat der verantwortliche Absender eines Faxes in einer Personalsache die Auffassung vertreten, dass solche Maßnahmen von ihm als Absender nicht verlangt werden könnten. Er müsse sich vielmehr darauf verlassen können, dass der Empfänger für die Sicherheit und Vertraulichkeit eingehender Faxe Sorge trage. Dies wird jedoch der Verantwortlichkeit des Absenders nicht gerecht, insbesondere dann nicht, wenn es sich beim Absender, wie in diesem Fall, um einen Berufsgeheimnisträger handelt. Wir haben daher in diesem Fall eine Verwarnung ausgesprochen. Der Verantwortliche hat hiergegen Klage erhoben. Das Gerichtsverfahren läuft noch.

 

Was ist zu tun?
Für vertrauliche Mitteilungen sollte ein Fax nur im Ausnahmefall gewählt werden. Sowohl bei der Übertragung als auch beim Eingang beim Empfänger bestehen erhebliche Risiken für die Vertraulichkeit der Inhalte. Sofern auf den Versand per Fax im Einzelfall nicht verzichtet werden kann, muss der Absender einer vertraulichen Mitteilung sich vergewissern, dass das Fax ausschließlich den bestimmungsgemäßen Empfänger erreicht.

 

5.2.13    Weitergabe von Kontaktdaten und Einhaltung von Informationspflichten

Das ULD erreichten mehrere Eingaben, in denen Personen berichteten, dass ihre Kontaktdaten wie etwa private Telefonnummern oder E-Mail-Adressen ohne ihr Wissen von Unternehmen weitergegeben wurden. Teilweise war dies ohne rechtliche Grundlage erfolgt und somit rechtswidrig, teilweise war zwar die Weitergabe zulässig, die betroffene Person wurde jedoch hierüber nicht informiert.

So bat die Kundin eines Architekturbüros um die Vorlage eines Kostenvoranschlages für ein Bauvorhaben. Letztendlich wurde man sich nicht handelseinig, und die Kundin erteilte dem Architekturbüro eine Absage. Mehrere Wochen später wurde sie von einem Anruf auf ihrem privaten Telefon überrascht: Der ihr unbekannte Anrufer bezog sich auf das Architekturbüro, stellte Fragen zu das Bauvorhaben betreffenden Details und gab an, dass er Firmen mit der Ausführung beauftragen wolle.

Auf den Anruf angesprochen, erklärte das Architekturbüro, man habe mit dem Anrufer lediglich unverbindlich über die Baumaßnahmen gesprochen und könne ihm nicht verbieten, telefonisch Kontakt zu der Kundin aufzunehmen; das müsse diese ihm schon selbst klarmachen. Nach dem Hinweis der Kundin, dass die betreffende Telefonnummer nicht öffentlich verfügbar und anscheinend von dort herausgegeben worden sei, forderte das Architekturbüro den Anrufer auf, die Kontaktversuche einzustellen, und teilte dies der Kundin mit.

Im Rahmen der Prüfung der zu diesem Vorgang eingereichten Beschwerde verwies das Architekturbüro darauf, dass die Kundin darüber informiert worden sei, dass mit verschiedenen Firmen zusammengearbeitet werde und diese in die Planung und Erstellung des Angebots mit eingebunden werden müssten. Hierzu würden selbstverständlich Kontaktdaten der Ansprechpartner weitergeleitet, um ein vernünftiges, wirtschaftlich tragfähiges Angebot abgeben zu können.

Wenn auch der Hinweis darauf, dass mit verschiedenen Firmen zusammengearbeitet werde, aus Sicht des Architekturbüros dies eine klare Information darüber beinhaltet, dass in diesem Zuge auch personenbezogene Daten zur Kontaktaufnahme weitergegeben werden, so war dies für die Kundin nicht erkennbar.

Bei Nachfragen wäre es möglich gewesen – und entspricht in vielen Branchen auch der üblichen Praxis –, jegliche Kommunikation über dasjenige Unternehmen zu führen, welches das Angebot erstellt. Es steht jedoch dem Grundsatz einer transparenten Verarbeitung bereits eindeutig entgegen, der betroffenen Person aufzuerlegen, aus den ihr zur Verfügung gestellten unternehmerischen Informationen herauszulesen, dass eine weitere Verarbeitung (hier: Weitergabe) ihrer personenbezogenen Daten stattfinden könnte.

Dem Architekturbüro wurde daher der Hinweis erteilt, dass bei der Erhebung personenbezogener Daten die Informationspflichten der Datenschutz-Grundverordnung eingehalten werden müssen. Hierzu zählt auch die Mitteilung der Empfänger personenbezogener Daten.

 

Was ist zu tun?
Ist eine Weitergabe der personenbezogenen Kontaktdaten durch das Unternehmen an feststehende Subunternehmen oder andere Geschäftspartner zur Ausführung des Auftrags beabsichtigt, muss der Verantwortliche der betroffenen Person im Zeitpunkt der Erhebung dieser Daten die konkreten Empfänger mitteilen.

 

5.3          Datenpannen in der Wirtschaft

5.3.1       Allgemeines zu Datenschutzpannen

Die Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde ist durch den Verantwortlichen vorzunehmen. Dennoch erreichten das ULD mehrere Meldungen, in denen nicht der Verantwortliche, sondern ein Auftragsverarbeiter mit einer entsprechenden Meldung an die Aufsichtsbehörde herantrat.

Art. 33 Abs. 1 Satz 1 DSGVO
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die eigentlichen Verantwortlichen wurden hierbei teilweise als „betroffene Personen“ oder „Kunden“ bezeichnet, sodass sich erst im Verlauf der Prüfung des vorgetragenen Sachverhalts Hinweise darauf ergaben, dass es sich bei den meldenden Unternehmen um Auftragsverarbeiter handelte. Die Verantwortlichen waren jeweils über die Vorfälle informiert worden, jedoch ihrer Verpflichtung, die Verletzung des Schutzes personenbezogener Daten selbst zu melden, nicht in jedem Fall nachgekommen.

Zur Überwachung und Durchsetzung der DSGVO haben wir jeweils die Verantwortlichen ermittelt und in eigener Zuständigkeit hierzu angehört oder die örtlich und sachlich zuständigen Aufsichtsbehörden über das Vorliegen einer Meldung durch den Auftragsverarbeiter informiert.

Die Verantwortlichkeit für die Einhaltung der Vorgaben der DSGVO verbleibt bei dem Verantwortlichen, auch wenn die Verletzung des Schutzes personenbezogener Daten in der Sphäre des Auftragsverarbeiters geschieht. Der Auftragsverarbeiter hat die Verpflichtung, den Verantwortlichen bei der Einhaltung seiner Pflichten zu unterstützen. Jedoch obliegt dem Verantwortlichen die Bewertung der ihm zur Verfügung gestellten Informationen.

So enthielt ein an sämtliche Verantwortliche versandter Abschlussbericht eines Auftragsverarbeiters, dessen IT-System durch Schadsoftware verschlüsselt wurde, neben der Darstellung des Vorfalls sowie der ergriffenen Maßnahmen den Hinweis, es habe „keine Datenschutzpanne vorgelegen“, da man sämtliche Daten habe wiederherstellen können. Bereits die mit der Verschlüsselung eines IT-Systems verbundene zeitweise Nichtverfügbarkeit der Daten kann jedoch für verschiedene Verantwortliche sehr unterschiedliche Auswirkungen haben, je nachdem welche Daten verarbeitet und welche Dienstleistungen durch den Auftragsverarbeiter wahrgenommen werden. Der Verantwortliche kann sich somit nicht auf die Einschätzung des Auftragsverarbeiters berufen, sondern muss den Vorfall individuell prüfen und bewerten.

Die dargestellten Unklarheiten in Bezug auf die Verantwortlichkeit führten zudem zu Erschwernissen und Verzögerungen in der Prüfung, ob eine Benachrichtigung der betroffenen Personen über die Verletzung des Schutzes ihrer personenbezogenen Daten erforderlich war.

Werden die gesetzlichen Vorgaben hinsichtlich der Meldepflicht durch den Verantwortlichen nicht eingehalten, stellt dies einen Verstoß gegen die DSGVO dar.

 

Was ist zu tun?
Nicht der Auftragsverarbeiter, sondern der Verantwortliche wird nach der DSGVO zur Einhaltung der Meldepflicht verpflichtet. Der Auftragsverarbeiter könnte zwar vom Verantwortlichen zur Vornahme der unverzüglichen Meldung autorisiert werden. Eine solche Autorisierung muss für die Aufsichtsbehörde aus den übersandten Meldeunterlagen aber klar und beweisbar hervorgehen.

 

5.3.2       Fehlzusendung von Kontoanträgen und Mitteilungen zu Zinsen und Umsätzen

Bei der Versendung von Informationen an Kundinnen und Kunden durch Kreditinstitute ist zu berücksichtigen, dass es sich häufig um Informationen handelt, die – auch wenn es sich nicht zwangsläufig um personenbezogene Daten besonderer Kategorien handelt – eine erhöhte Sensibilität aufweisen.

Benachrichtigung betroffener Personen
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung (Art. 34 Abs. 1 DSGVO).

Die Übermittlung speziell von Eröffnungsanträgen, Zinsmitteilungen und Girokontoumsätzen darf daher nur stattfinden, wenn hinreichende technische und organisatorische Maßnahmen von dem jeweiligen Kreditinstitut getroffen werden, wie z. B. eine Verschlüsselung der E‑Mails bzw. der Inhalte der E-Mails.

Im Falle einer Fehlzustellung kann gegebenenfalls davon ausgegangen werden, dass kein hohes Risiko besteht und damit keine Benachrichtigungspflicht nach Artikel 34 DSGVO ausgelöst wird, da dem falschen Empfänger dann eine Entschlüsselung des Inhalts nicht möglich ist.

 

Was ist zu tun?
Kreditinstitute sind dazu aufgerufen, im Falle einer Versendung von personenbezogenen Bankunterlagen an Kundinnen und Kunden mittels E-Mail für eine angemessene Transport- und Inhaltsverschlüsselung zu sorgen.

 

5.3.3       Unverschlüsselte mobile Datenträger mit Kundendaten

Werden personenbezogene Informationen mittels mobiler Datenträger versendet, sind diese ausreichend vor unbefugtem Zugriff zu sichern.

Sicherheit der Verarbeitung
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind geeignete technische und organisatorische Maßnahmen zu treffen, was auch eine Verschlüsselung der Daten einschließen kann (Art. 32 Abs. 1 Buchst. a DSGVO).

Bei der Versendung von USB-Sticks oder CDs kommt es immer wieder zu Verlusten der Datenträger auf dem Postweg, weshalb hier stets eine Verschlüsselung der digitalen Daten zu prüfen ist (siehe auch Tz. 4.5.10 für Fälle, in denen Patientendaten betroffen waren).

Nicht selten enthalten entsprechende digitale Unterlagen Kontoverbindungsdaten, personenbezogene Fotos oder auch sensible Datenkategorien wie etwa Gesundheitsdaten und biometrische Daten. Zum Schutz der Kundschaft und Geschäftspartner muss das jeweilige Unternehmen dem Schutzbedarf angemessene Sicherungsmaßnahmen treffen, um eine Kenntnisnahme der Daten durch unbefugte Personen auszuschließen.

 

5.3.4       Kundendaten in offenen Umschlägen versendet

Schreiben eines Inkassodienstleisters enthalten neben allgemeinen Adressinformationen weitere Angaben, die in einem Mahnschreiben typisch bzw. erforderlich sind: z. B. Informationen über den Gläubiger, die dortige Kundennummer der Schuldner, die Rechnungsnummer, Rechnungsdatum, Rechnungsbetrag, Verzugszinsen, bereits geleistete Zahlungen und darüber hinaus das Aktenzeichen des Vorgangs zusammen mit einer Persönlichen Identifikationsnummer (PIN), mittels derer sich die Schuldner bei einem Portal anmelden/einloggen und weitere Informationen abrufen und eingeben können. Daher ist bei einer Fehlzustellung in der Regel von einem hohen Risiko im Sinne des Artikels 34 DSGVO auszugehen. Dies hat zur Folge, dass die betroffenen Personen im Falle der Fehlzustellung zu benachrichtigen sind.

Aus solchen Schreiben können sich zudem weitere Einschätzungen ergeben, z. B. über die mutmaßliche finanzielle Situation, die über die bloße Information, dass die betreffende Person ein säumiger Schuldner ist, hinausgehen. Das ist beispielsweise dann der Fall, wenn aus den Schreiben ersichtlich ist, dass eine Forderung schon lange besteht oder ein Forderungsverzicht angeboten wurde.

Auch können durch die jeweiligen Waren bzw. Dienstleistungen möglicherweise Rückschlüsse auf Verhaltensweisen, Lebensumstände (Familien mit Kleinkind) und das Konsumverhalten (Alkoholbestellungen) gezogen werden, sodass in solchen Fällen regelmäßig ein hohes Risiko für den Verlust der Kontrolle über ihre personenbezogenen Daten (Zugangscode und PIN), Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffenen natürlichen Personen gegeben ist.

In einem Verfahren verwendete ein Unternehmen eine defekte Kuvertiermaschine. Hierdurch war nicht gewährleistet, dass die Post in verschlossenem Zustand bei den Empfängern ankam. Eine Einsichtnahme durch unbefugte Personen blieb damit möglich. Das Unternehmen hat nach Entdeckung des Fehlers umgehend organisatorische Maßnahmen getroffen, um eine Versendung offener Post in Zukunft zu vermeiden.

 

5.3.5       Diebstahl einer Kamera mit Speicherkarte

Viele Unternehmen, Vereine und auch öffentliche Stellen verfügen über eigene Fotokameras, um für unterschiedliche Zwecke Aufnahmen anfertigen zu können. Dabei kann es sich etwa um Fotografien zur Pflege der internen Firmenkultur, zu Werbezwecken oder für die Ausgestaltung einer Vereinszeitschrift handeln.

Werden auf den Fotografien Personen abgebildet, so sind die rechtlichen Vorgaben der Datenschutz-Grundverordnung und des Kunsturhebergesetzes zu beachten (37. TB, Tz. 5.5.2). Neben der Anfertigung der Fotografien gilt dies – wie für sämtliche personenbezogenen Daten – auch für deren Speicherung; hier sind durch den Verantwortlichen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau vor unbefugter oder unrechtmäßiger Verarbeitung zu gewährleisten.

In einem dem ULD als Verletzung des Schutzes personenbezogener Daten gemeldeten Fall konnten auch eine verschlossene Bürotür und die Verwahrung der betriebseigenen Digitalkamera in einem Möbeltresor diese Sicherheit nicht bieten: Einbrecher verschafften sich gewaltsam Zutritt durch das Fenster des Büros, öffneten den durch Schlüssel bzw. Zahlencode geschützten Tresor und stahlen die Kamera mitsamt der enthaltenen Speicherkarte.

Auch die bereits durchgeführte Sicherheitsmaßnahme, die Fotografien nach der Aufnahme auf einen Server zu übertragen und auf der Speicherkarte der Kamera zu löschen, musste im Nachhinein im Hinblick auf den Schutz der personenbezogenen Daten als wirkungslos betrachtet werden, da sich die Fotografien auf dem Speichermedium wiederherstellen lassen. Der Verantwortliche meldete den Diebstahl daher als Verletzung des Schutzes personenbezogener Daten.

Um eine Wiederherstellung der Fotografien auszuschließen, wäre es notwendig gewesen, die auf der Speicherkarte hinterlegten Daten mithilfe einer besonderen Software unwiederbringlich zu löschen.

Neben dieser technischen Möglichkeit kann auch eine organisatorische Maßnahme Schutz bieten: Wird nach der Nutzung einer Digitalkamera die Speicherkarte entnommen und an einem anderen gesicherten Ort aufbewahrt, bleiben die Fotografien vor unbefugtem Zugriff geschützt, auch wenn die Kamera entwendet wird.

Im dargestellten Fall beurteilte der Verantwortliche das durch die Verletzung des Schutzes personenbezogener Daten entstandene voraussichtliche Risiko für die persönlichen Rechte und Freiheiten der abgebildeten Personen als hoch und benachrichtigte sie unverzüglich über den Diebstahl der Kamera sowie der Speicherkarte mit ihren Fotografien. Die beim Umgang mit dem Vorfall ergriffenen Maßnahmen wurden vom ULD als ausreichend betrachtet.

Dem Verantwortlichen wurde unter Darstellung der vorgenannten Verfahren zum künftigen Schutz der Daten der Hinweis erteilt, dass hinsichtlich der personenbezogenen Daten die Grundsätze der Sicherheit der Verarbeitung nach Maßgabe der Datenschutz-Grundverordnung eingehalten werden müssen.

 

5.3.6       Veröffentlichung von Teilnehmerdaten zu einem Kindersportprojekt

Initiieren Unternehmen abseits ihres Kerngeschäfts regionale soziale Projekte und unterstützen diese als Sponsoren, steht die erfolgreiche Durchführung des Projekts zum Wohle derjenigen, die davon profitieren sollen, im Vordergrund. Werden im Rahmen dieses Engagements personenbezogene Daten verarbeitet, ist zu betrachten, wer über die Zwecke und Mittel der Verarbeitung dieser Daten entscheidet und somit als Verantwortlicher im Sinne der Datenschutz-Grundverordnung anzusehen ist. Dies kann eine Stelle allein oder es können mehrere zusammen als gemeinsam Verantwortliche sein.

Eine dem ULD gemeldete Verletzung des Schutzes personenbezogener Daten betraf eine Sicherheitslücke im Internetauftritt der Projektpartner, die Kindern die Teilnahme an einem sportlichen Event ermöglichen wollten. Das Unternehmen, das die Internetseite erstellt hatte, sah sich selbst in der Verantwortung und teilte mit, dass durch die Sicherheitslücke ein Zugriff auf personenbezogene Daten von Kindern möglich war, die sich für eine Teilnahme an dem Projekt angemeldet hatten. Neben Adressdaten waren auch sensible Daten wie gesundheitliche Einschränkungen betroffen. Ein Zugriff war möglich, da ein Tool durch einen Beschäftigten versehentlich nicht vom Webserver gelöscht wurde. Das entsprechende Unterverzeichnis war allerdings auf der Webseite nicht verlinkt und auch nicht im Quelltext der Internetseite zu finden.

Die Internetseite war im Auftrag dreier Hauptsponsoren des Projekts erstellt worden, die untereinander einen Kooperationsvertrag geschlossen hatten. Aus der weiteren Prüfung ergab sich, dass der meldende technische Dienstleister nicht als Verantwortlicher, sondern als Auftragsverarbeiter tätig geworden war (Tz. 5.3.1). Die Hauptsponsoren waren in einer kurz nach Bekanntwerden der Sicherheitslücke stattfindenden Besprechung von dem meldepflichtigen Vorfall informiert worden, erkannten jedoch keine datenschutzrechtliche Relevanz für sich als Projektpartner. Die Projektpartner wiesen auch ihren Dienstleister nicht an, die ihnen selbst obliegende Meldung der Sicherheitslücke an das ULD vorzunehmen.

Da die Meldepflicht einer Verletzung des Schutzes personenbezogener Daten jedoch nicht den Auftragsverarbeiter, sondern den Verantwortlichen trifft, wurden die Hauptsponsoren zur Aufklärung des Sachverhalts angehört. Die Anhörung ergab, dass die Sponsoren die Zwecke und Mittel zur Verarbeitung der personenbezogenen Daten festlegten und somit bezüglich des Projekts als Verantwortliche in Betracht kamen.

Die drei Hauptsponsoren reichten infolgedessen jeweils eigenständige Meldungen der Verletzung des Schutzes personenbezogener Daten nach. Die bisherige Meldung des technischen Dienstleisters bzw. des Auftragsverarbeiters war weder gesetzlich gefordert noch ausreichend, um eine fristgemäße Meldung der auftraggebenden Hauptsponsoren zu ersetzen.

Da die Sicherheitslücke innerhalb weniger Minuten nach Bekanntwerden geschlossen und die Internetseite zudem wenige Tage später nach Rücksprache mit den Hauptsponsoren vollständig gelöscht wurde, waren keine weiteren Maßnahmen erforderlich.

Die Verantwortlichen wurden durch die Landesbeauftragte für Datenschutz verwarnt, da sie ihrer Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nicht unverzüglich nachgekommen waren.

 

5.4          Videoüberwachung

Das Thema Videoüberwachung ist ein Dauerbrenner im ULD. Auch im Jahr 2019 erreichte uns eine Vielzahl an Beschwerden über die Videoüberwachung durch private oder öffentliche Stellen. Größtenteils handelt es sich um Fälle, die sich aufgrund ihrer Unterschiedlichkeit nicht zusammenfassen lassen. Oft beschwerten sich Personen über die Videoüberwachung ihres Nachbarn, die augenscheinlich auch auf ihr eigenes Grundstück gerichtet war. In den Sommermonaten häuften sich die Beschwerden über Webcams. Ebenso war ein fehlendes oder unvollständiges Hinweisschild mehrfach Anlass für eine Beschwerde beim ULD.

Beratungen zum Thema Videoüberwachung sind der Ausnahmefall: Das liegt daran, dass die Beratung nicht (mehr) zu den Kernaufgaben der Landesbeauftragten für Datenschutz gehört, sondern nur in bestimmten Fällen gesetzlich vorgesehen ist. So wird zum Thema Videoüberwachung zwar allgemein, beispielsweise telefonisch oder durch Veröffentlichung von Orientierungshilfen, beraten; eine einzelfallbezogene und abschließende Beratung oder gar die Genehmigung von geplanten Überwachungsmaßnahmen ist hingegen nicht vorgesehen.

 

5.4.1       Videoüberwachung im Fitnessstudio – Update

Nachdem im letzten Tätigkeitsbericht zum Verfahrensstand bei einer Videoüberwachung in einer Fitnessstudiokette nicht viel Neues berichtet werden konnte, lohnt sich in diesem Jahr ein Update. Zur Erinnerung:

  • Gefilmt wurden in mehreren Fitnessstudios dieser Kette in Umkleidebereichen, Trainingsflächen und Aufenthaltsbereichen.
  • Darin sieht das ULD eine schwerwiegende Beeinträchtigung der Grundrechte und Grundfreiheiten der betroffenen Personen.
  • Im Jahr 2017 wurde der Fitnessstudiokette die Videoüberwachung bestimmter Bereiche in vier Fitnessstudios untersagt.
  • Nach erfolglosem Widerspruchsverfahren wurden gegen die Anordnungen des ULD Klagen vor dem Verwaltungsgericht in Schleswig erhoben.

Im Berichtszeitraum hat das Verwaltungsgericht nun nach mündlicher Verhandlung über die Klagen entschieden. Es hat alle vier Klagen gegen die aufsichtsbehördlichen Anordnungen abgewiesen. Die Entscheidungen sind noch nicht rechtskräftig.

 

Was ist zu tun?
In Umkleidebereichen muss eine Videoüberwachung stets unterbleiben. Auch dort, wo Personen über längere Zeit beobachtet werden und ihr Verhalten aufgezeichnet wird, wie etwa im Trainingsbereich, ist eine Überwachung grundsätzlich unzulässig.

 

5.4.2       Videoüberwachung in Toilettenräumen

Bereits in der Vergangenheit wurden ab und zu Beschwerden über Videokameras, die angeblich in Toilettenräumen filmen, an das ULD herangetragen. In der Regel stellt sich heraus, dass es sich z. B. nur um einen Bewegungsmelder handelt oder ein sonstiges Missverständnis vorliegt. Nicht so dieses Mal: Auf einem Campingplatz in Schleswig-Holstein wurde tatsächlich eine Videoüberwachung innerhalb von Toilettenräumen vorgenommen. Die Kameras waren so angebracht, dass mit ihnen die Pissoirs, der Bereich vor den Waschbecken, der Bereich vor den einzelnen Toilettenkabinen und teilweise von oben ein Teil des Inneren der Toilettenkabinen eingesehen werden konnte. Als Begründung für die Installation der Anlage gab der Betreiber an, in den Räumlichkeiten seien vermehrt Fälle von Vandalismus aufgetreten. Außerdem fänden häufig Verunreinigungen oder eine unsachgemäße Benutzung der Toilettenräume statt, auf die die Verursacher dann angesprochen werden sollten.

Im Juli 2019 war unser Prüfteam vor Ort und führte eine Kontrolle durch. Aufgrund der dort festgestellten Erkenntnisse wurde dem Betreiber der Videoüberwachung gegenüber angeordnet, in den Toilettenräumen nicht länger eine Videoüberwachung durchzuführen, die Kameras aus den Räumlichkeiten zu entfernen und sämtliche bis dahin gespeicherten Videoaufnahmen irreversibel zu löschen. Der Betreiber der Videoüberwachung zeigte sich kooperativ und kam der Anordnung des ULD in sämtlichen Punkten nach. Er merkte aber auch an, dass der von ihm beauftragte Elektronikdienstleister versichert hatte, dass Videoüberwachung in diesem Bereich datenschutzrechtlich zulässig sei, da die Toilettenkabinen nicht überwacht würden.

Verantwortlichkeit
Trotz mangelnder rechtlicher Kenntnis bleibt der Betreiber der Videoüberwachungsanlage datenschutzrechtlich verantwortlich. Bereits bei einer kurzen Recherche im Internet zum Thema Videoüberwachung hätte der Betreiber darauf stoßen müssen, dass eine Überwachung in Toilettenräumen unzulässig ist. Die Verantwortlichkeit, die beabsichtigte Datenverarbeitung auf ihre Zulässigkeit hin zu überprüfen, kann auch nicht vollständig einem Dienstleister übertragen werden. Der Betreiber muss dafür Sorge tragen, dass alle datenschutzrechtlichen Vorschriften eingehalten werden, wenn er sich für die Installation einer Videoüberwachungsanlage entscheidet.

Dieses Verfahren hat gezeigt, dass Verantwortliche sich in jedem Fall intensiv mit dem Thema Datenschutz beschäftigen müssen, wenn sie sich dazu entscheiden, eine Videoüberwachungsanlage zu installieren oder installieren zu lassen. Sie dürfen nicht darauf vertrauen, dass das mit der Installation und Einrichtung beauftragte (Kleinst-)Unternehmen die datenschutzrechtliche Zulässigkeit der Videoüberwachung beurteilen kann und im Zweifel von einer Installation absehen würde. Offenbar besteht nach wie vor bei einigen Verantwortlichen und auch bei Elektronikdienstleistern eine datenschutzrechtliche Wissenslücke. Gerade weil beim Betrieb einer Videoüberwachungsanlage die Situation je nach Standort der Kamera, Zweck, Ausrichtung und dem Ergreifen technischer Maßnahmen anders zu bewerten ist, darf man sich nicht leichtfertig für den Einbau von Überwachungskameras entscheiden. Man muss sich vielmehr vorher damit vertraut machen, was erlaubt und was unzulässig ist. Keinesfalls darf in Toilettenräumen oder ähnlich intimen Bereichen eine Videoüberwachung stattfinden.

Wer Rat benötigt, findet Antworten in der Broschüre „Videoüberwachung“ unserer Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-5-Videoueberwachung.pdf
Kurzlink: https://uldsh.de/tb38-542

 

Was ist zu tun?
Jeder, der den Einbau einer Videoüberwachungsanlage plant, muss sich über die rechtliche Zulässigkeit informieren. Wenn Unsicherheiten bestehen oder Fragen offenbleiben, sollte einzelfallbezogen rechtlicher Rat eingeholt werden.

 

5.4.3       Die Gruß-Webcam – ein Sonderfall unter den Webcams

Webcams bilden nahezu jeden Sommer den Schwerpunkt der Beschwerden im Bereich der Videoüberwachung, die das ULD erreichen. Dieses Jahr sah sich das ULD mit einer Webcam der besonderen Art konfrontiert – einer sogenannten Gruß-Webcam. Die Webcam befand sich innerhalb einer Art Einkaufszentrum eines Urlaubsorts. In diesem Gebäude war die Kamera so angebracht, dass sie auf einen Durchgangsbereich ausgerichtet war. Auf dem Boden war ein Hinweis aufgedruckt: „Bitte lächeln“ hieß es dort, und auf einem Aufsteller in der Nähe der Webcam wurde die Funktionsweise der Kamera erläutert. Man solle sich auf die auf dem Boden markierte Fläche stellen und in die Kamera schauen. Dann werde ein Bild erstellt und man könne auf diesem Wege seine Familie zu Hause grüßen. Das Bild war dann für einige Zeit im Internet abrufbar, wie auch bei einer herkömmlichen Webcam.

Problematisch hierbei war, dass die Kamera nicht nur auslöste, wenn Personen die Anweisungen auf dem Aufsteller befolgten. Zum einen war der Erfassungsbereich der Kamera viel weitgehender und nicht nur auf die markierte Fläche auf dem Boden beschränkt. Zum anderen erstellte die Kamera auch Aufnahmen, wenn eine Person lediglich den Erfassungsbereich durchquerte. Daher wurden viele Personen unfreiwillig von der Gruß-Webcam erfasst, und ein Bild von ihnen wurde für einige Zeit im Internet veröffentlicht. Zu einem großen Teil dürfte dies ohne das Wissen der betroffenen Personen geschehen sein. Da es sich um einen Durchgangsbereich handelte, ist davon auszugehen, dass nicht jede und jeder auf die Kamera oder die Bodenmarkierung aufmerksam geworden ist, besonders wenn man sich dem Erfassungsbereich der Kamera aus der „falschen“ Richtung näherte. Auch dürften Personen, die lediglich die Bodenmarkierung und die Kamera sahen, nicht immer verstanden haben, dass es sich um eine Webcam handelt, die ab diesem Moment Aufnahmen von ihnen im Internet veröffentlicht.

Das ULD hielt den Betrieb dieser Gruß-Webcam für datenschutzrechtlich unzulässig, da seit Inbetriebnahme der Webcam Bildaufnahmen von einer nicht mehr nachvollziehbar großen Anzahl von Personen, vermutlich überwiegend ohne deren Kenntnis, erstellt und veröffentlicht wurden, ohne dass es dafür eine Rechtsgrundlage gab. Das ULD sprach daher gegenüber dem Verantwortlichen eine Verwarnung aus. Außerdem wurde der Betreiber davor gewarnt, die Kamera in Zukunft erneut und unverändert in Betrieb zu nehmen.

Die Idee einer Gruß-Webcam an sich muss aber gar nicht zwingend datenschutzrechtlich unzulässig sein. Wenn der Betreiber etwa die Kamera in einem Bereich zur Verfügung stellt, der kein Durchgangsbereich ist, der Erfassungsbereich der Kamera deutlich und vollständig am Boden markiert ist und derjenige, der diese Art von Urlaubsgrüßen versenden möchte, z. B. einen Knopf betätigen muss, um die Kamera zum Auslösen zu bringen, kann die Umsetzung im Ergebnis datenschutzkonform sein. In jedem Fall müssten aber die betroffenen Personen, bevor sie sich für das „Grüßen per Webcam“ entscheiden, über die Datenverarbeitung informiert werden, wie dies Artikel 13 DSGVO vorsieht.

Datenschutzfragen bei Webcams werden in der Broschüre „Fotos und Webcams“ unserer Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“ behandelt:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-6-Fotos-und-Webcams.pdf
Kurzlink: https://uldsh.de/tb38-543

 

5.4.4       Aktualisierte Orientierungshilfen der Datenschutzkonferenz: Bodycams, Dashcams, Drohnen, Kameras in Schwimmbädern

Die bereits vorhandenen Orientierungshilfen der Datenschutzaufsichtsbehörden des Bundes und der Länder zum Thema Videoüberwachung mussten an die neue Rechtslage angepasst werden. Bereits veröffentlicht wurden

  • die Orientierungshilfe der Datenschutzaufsichtsbehörden zum Einsatz von Bodycams durch private Sicherheitsunternehmen,
  • das Positionspapier zur Unzulässigkeit von Videoüberwachung aus Fahrzeugen (sogenannte Dashcams),
  • das Positionspapier zur Nutzung von Kameradrohnen durch nichtöffentliche Stellen und
  • die Orientierungshilfe zur Videoüberwachung in Schwimmbädern.

Eine Veröffentlichung der neu gefassten allgemeinen Orientierungshilfe „Videoüberwachung durch nichtöffentliche Stellen“ steht noch aus, da diese sehr umfangreich ist und sich daher noch in der Überarbeitung befindet.

Hinweise zu Bodycams

Die Orientierungshilfe zum Thema Bodycams wurde erstellt, weil private Sicherheitsunternehmen vermehrt Bodycams einsetzen, z. B. um ihre Beschäftigten vor Übergriffen zu schützen. Dies kann unter bestimmten Voraussetzungen auch zulässig sein, darf aber nicht dazu führen, dass Veranstaltungen permanent und anlassunabhängig durch die Bodycams des beauftragten Sicherheitsunternehmens gefilmt werden. Die Orientierungshilfe beinhaltet Hinweise zum datenschutzgerechten Einsatz von Bodycams und gibt Schutzmaßnahmen vor, die beim Einsatz beachtet werden müssen. Beispielsweise darf die Bodycam nur aktiviert werden, wenn ein entsprechender Vorfall zu erwarten ist. Die Tatsache, dass gefilmt wird, ist den betroffenen Personen durch optische (z. B. rote Lampe) und akustische (z. B. Piepton, mündlicher Hinweis) Signale mitzuteilen. Die Funktionsweise der Bodycams muss vor der Implementierung in einem Konzept festgehalten werden. Tonaufnahmen sind grundsätzlich unzulässig.

Die Orientierungshilfe zum Thema Bodycams ist abrufbar unter:

https://www.datenschutzkonferenz-online.de/media/oh/20190222_oh_bodycams.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-544a

Hinweise zu Dashcams

Das Positionspapier zum Thema Dashcams bezieht sich auf die aktuelle Rechtsprechung des Bundesgerichtshofs (BGH). In seinem Urteil vom 15. Mai 2018 (VI ZR 233/17) ließ das Gericht Videoaufnahmen einer Dashcam als Beweis zu. Daraus schlussfolgerten viele Personen fälschlicherweise, dass Dashcams nunmehr datenschutzkonform seien und der Einsatz von Dashcams im Straßenverkehr zulässig wäre. Der BGH stellte aber im selben Urteil auch fest, dass der anlasslose Einsatz von dauerhaft aufzeichnenden Dashcams datenschutzrechtlich unzulässig ist. Eine Ausnahme kann nur in Betracht kommen, wenn (technische) Möglichkeiten zum Einsatz kommen, die sicherstellen, dass eine Kamera lediglich kurzzeitig und anlassbezogen aufzeichnet. Das heißt, dass rechtswidrig erlangte Dashcam-Aufnahmen unter Umständen zwar im Gerichtsprozess als Beweis verwertet werden dürfen, die Datenschutzaufsichtsbehörden können aber dennoch aufgrund solcher rechtswidrig erlangter Aufnahmen – unabhängig von der Verwertbarkeit im Zivilprozess – gegebenenfalls Verbote aussprechen oder Bußgelder verhängen.

Das Positionspapier zum Thema Dashcams ist abrufbar unter:

https://www.datenschutzkonferenz-online.de/media/oh/20190128_oh_positionspapier_dashcam.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-544b

Hinweise zu Kameradrohnen

Das Positionspapier zur Nutzung von Kameradrohnen durch Private zeigt, was beim Fliegen mit einer Videodrohne aus datenschutzrechtlicher Sicht beachtet werden muss. Verständlicherweise begeistert das Fliegen mit der Drohne immer mehr Hobbypiloten, die Luftperspektive ermöglicht ungewöhnliche Bildaufnahmen. Dennoch gibt es auch beim Fliegen Grenzen, um den Schutz der Privatsphäre der Menschen am Boden zu gewährleisten. Es ist nämlich möglich, mit der Drohne unbeobachtet Blicke in den Garten seines Nachbarn zu werfen oder gar in die Fenster von fremden Wohnungen oder Häusern zu schauen. Das ist selbstverständlich unzulässig.

Für Betroffene solcher Aktionen ergibt sich häufig das Problem, dass sie zwar die Drohne bemerken, diese aber nicht einer Person zuordnen können. Vom Boden aus kann man oft nicht einmal erkennen, ob es sich um eine Drohne mit Kamera handelt, geschweige denn ob die verbaute Kamera gerade bestimmte Bereiche erfasst oder heranzoomt. Im Ergebnis wird durch Kameradrohnen eine heimliche Beobachtung aus der Ferne ermöglicht, die nicht zulässig ist. Wenn höchstpersönliche Lebensbereiche verletzt werden, kann dies sogar eine Straftat sein.

Beim Einsatz von Drohnen ist die Luftverkehrsverordnung zu beachten, die im April 2017 um Regelungen zum Betrieb von unbemannten Fluggeräten erweitert wurde. Es gibt Bereiche, wie z. B. Wohnbereiche, Bereiche von Justizvollzugsanstalten, Unfallorte oder Menschenansammlungen, in denen Drohnen überhaupt nicht aufsteigen dürfen.

In den Bereichen, in denen das Fliegen erlaubt ist, sollten Drohnenpiloten darauf achten, dass niemand, der dies nicht möchte, mit einer Drohne gefilmt wird. Es sollte bedacht werden, ob sich jemand im näheren Umkreis durch die Drohne gestört fühlen könnte. Es empfiehlt sich immer, diese Personen über den geplanten Drohnenflug und den Zweck des Drohnenflugs zu informieren.

Das Positionspapier zum Thema Drohnen ist abrufbar unter:

https://www.datenschutzkonferenz-online.de/media/oh/20190116_oh_positionspapier_kameradrohnen.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-544c

Hinweise zur Videoüberwachung in Schwimmbädern

In der Orientierungshilfe zum Thema „Videoüberwachung in Schwimmbädern“ werden Hinweise gegeben, wie eine Videoüberwachung in Schwimmbädern im Einklang mit den Vorschriften der Datenschutz-Grundverordnung eingesetzt werden kann. Eine Kernaussage der Orientierungshilfe ist, dass Videoüberwachung den Einsatz von Aufsichtspersonal weder ersetzen kann noch darf. Auch ist Videoüberwachung grundsätzlich nicht erforderlich zur Verhinderung des unberechtigten Zutritts zu Bereichen, für die ein zusätzliches Entgelt (z. B. zum Saunabereich) zu entrichten ist. Dies kann in der Regel durch andere geeignete Maßnahmen, wie etwa ausreichend hohe Drehkreuze oder Schranken, ohne unverhältnismäßigen Aufwand verhindert werden. Zur Abwehr von den mit dem Baden verbundenen Gefahren ist eine Speicherung der Aufnahmen nicht geeignet und erforderlich. Im Ausnahmefall kann eine reine Beobachtung („verlängertes Auge“) zulässig sein, wenn sie der Unterstützung der Badeaufsicht an besonders gefährlichen oder unübersichtlichen Orten dient. Die allgemein erhöhte Unfallgefahr wegen des Aufenthalts im Wasser ist allerdings kein Grund für eine Videoüberwachung. Vielmehr muss sich die Gefährlichkeit besonderer Bereiche aufgrund objektiver Anhaltspunkte ergeben.

Die Orientierungshilfe zum Thema „Videoüberwachung in Schwimmbädern“ ist abrufbar unter:

https://www.datenschutzkonferenz-online.de/media/oh/20190108_oh_zusatz_videoueberwachung_schwimmbad.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-544d

 

Was ist zu tun?
Verantwortliche, die Bodycams, Dashcams, Drohnen oder Kameras in Schwimmbädern einsetzen wollen, sollten sich die aktualisierten Orientierungshilfen ansehen und die darin enthaltenen Vorgaben berücksichtigen. Auch betroffene Personen, die z. B. unfreiwillig von einer Drohne gefilmt wurden oder sich fragen, was es mit den vielen Kameras im örtlichen Schwimmbad auf sich hat, können durch die Orientierungshilfen einen ersten Eindruck über die Zulässigkeit solcher Datenverarbeitungen erhalten.

 

5.4.5       Orientierungshilfe der Datenschutzkonferenz: biometrische Analyse

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat den Arbeitskreis „Technische und organisatorische Datenschutzfragen“ damit beauftragt, sich gemeinsam mit dem Arbeitskreis „Videoüberwachung“ mit dem Thema „Verarbeitung von Daten durch Sensorik und Videotechnik“ und deren datenschutzrechtlicher Einordnung zu befassen. Das Ergebnis der Arbeitsgruppe ist das „Positionspapier zur biometrischen Analyse“, das im April 2019 veröffentlicht wurde. Das Positionspapier beinhaltet neben Begriffsdefinitionen im Wesentlichen technische Beschreibungen der Funktionsweisen einzelner ausgewählter biometrischer Verfahren, mögliche Einsatzszenarien („Use Cases“) sowie eine rechtliche Einordnung der Verarbeitung biometrischer Daten. Diese juristische Bewertung wurde einerseits generell und abstrakt vorgenommen, es finden sich aber auch ausgewählte Anwendungsfälle in dem Positionspapier wieder. Abschließend wird skizziert, wie das Standard-Datenschutzmodell (Tz. 6.2.3) dazu genutzt werden kann, die rechtlichen Anforderungen der Datenschutz-Grundverordnung bei der Verarbeitung biometrischer Daten in konkrete technische und organisatorische Maßnahmen zu überführen.

Als Anwendungsbeispiel wird in der Orientierungshilfe u. a. behandelt, ob

  • die Bezahlung des Schulessens mithilfe des Fingerabdrucks zulässig ist,
  • ein biometrischer Lichtbildabgleich durch einen Skiliftbetreiber durchgeführt werden darf,
  • die zielgerichtete Außenwerbung durch biometrische Gesichtsanalyse erlaubt sein kann und
  • bereits eine herkömmliche Videoüberwachung im Juweliergeschäft eine Verarbeitung biometrischer Daten darstellt.

Aus rechtlicher Sicht besonders spannend – und damit auch besonders umstritten – war bei der Erarbeitung des Positionspapiers die Frage, ob und ab welchem Zeitpunkt Bildaufnahmen von Gesichtern „biometrische Daten“ sind und welche Voraussetzungen erfüllt sein müssen, damit sie als „besondere Kategorien personenbezogener Daten“ gelten, deren Verarbeitung grundsätzlich untersagt und nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig ist.

Biometrische Daten
Bei biometrischen Daten handelt es sich gemäß Art. 4 Nr. 14 DSGVO um mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

Das Positionspapier betrachtet das Gesichtsbild als ein biometrisches Datum im Sinne des Art. 4 Nr. 14 DSGVO. Im Gegensatz dazu sind Videoaufnahmen von Personen nicht per se biometrische Daten gemäß Art. 4 Nr. 14 DSGVO. Auf Lichtbildern oder Videoaufnahmen können aber biometrische Daten enthalten sein, wenn das Gesicht einer Person in entsprechender Auflösung, Ausrichtung und Größe auf dem Lichtbild oder der Videoaufnahme abgebildet wird.

Biometrische Daten zählen aufgrund ihrer Vielfältigkeit aber nur dann zu den sogenannten „besonderen Kategorien personenbezogener Daten“, wenn sie mit besonderer Zweckbestimmung, nämlich zur eindeutigen Identifizierung, und damit in besonders risikobehafteter Weise verarbeitet werden. Dieses erhöhte Risiko besteht nur dann, wenn automatisierte biometrische Erkennungsverfahren eingesetzt werden. Eine herkömmliche Videoüberwachung kann also zwar biometrische Daten enthalten, verarbeitet nur deshalb aber nicht zwingend „besondere Kategorien personenbezogener Daten“.

Das Positionspapier zur biometrischen Analyse ist auf der Webseite der Datenschutzkonferenz als Orientierungshilfe veröffentlicht worden und abrufbar unter:

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_positionspapier_biometrie.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-545

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel