Kernpunkte:
- Straßenaufnahmen im Auftrag der Stadtwerke
- Prüfung von Partnervermittlungen
- Coronamaßnahmen – datenschutzkonform?
- Datenpannen in der Wirtschaft
- Videoüberwachung
5 Datenschutz in der Wirtschaft
Datenschutz im nichtöffentlichen Bereich macht einen Großteil der Beschwerden und Prüffälle aus. In diesem Kapitel zeigen wir die Bandbreite der Verfahren, mit denen wir uns beschäftigen. Dazu gehören grundsätzliche Verfahren wie die Kamerafahrten durch die Straßen im Auftrag der Stadtwerke (Tz. 5.1), Prüfungen von Partnervermittlungen (Tz. 5.2), unsere Hinweise zur Pflicht, als Coronamaßnahme Kontaktdaten zeitweise vorzuhalten (Tz. 5.3), zahlreiche Einzelfälle (Tz. 5.4), gemeldete Datenpannen (Tz. 5.5) und Videoüberwachung (Tz. 5.6).
5.1 Panoramaaufnahmen durch Befahrungen im Auftrag der Stadtwerke
Das ULD wurde darauf aufmerksam, dass mehrere Stadtwerke Vermessungsfahrten in den jeweiligen Stadt- und Gemeindegebieten geplant hatten. Ziel dieser Vermessungsfahrten war es, mittels auf dem Dach eines Autos angebrachter 3-D-Kameras und -Laserscanner Panoramaaufnahmen zu erstellen, die zur Generierung dreidimensionaler Straßenkarten verwendet werden sollten. Diese Straßenkarten sollten durch die Mitarbeiterinnen und Mitarbeiter der Stadtwerke u. a. zur Messung und Planung von Bauprojekten sowie bei anstehenden Arbeiten an den Hausanschlüssen genutzt werden. Neben den Straßen und Gehwegen sollten auch die Häuserfronten und Vorgärten aufgenommen werden. Die Vermessungsfahrten sollten durch einen Dienstleister, der sich auf diese Art von Vermessungsfahrten spezialisiert hat, durchgeführt werden. Teilweise waren die Vermessungsfahrten auch schon abgeschlossen.
Bei der Aufnahme und der Verwendung der Bilder der Häuserfronten sowie der Vorgärten handelt es sich um eine Verarbeitung personenbezogener Daten, bei der die datenschutzrechtlichen Bestimmungen einzuhalten sind.
Informationspflichten
Bei der Erhebung personenbezogener Daten bei der betroffenen Person sind die Informationspflichten aus Artikel 13 DSGVO zu erfüllen. Der Betroffene muss hier u. a. über sein Widerspruchsrecht gegen die Verarbeitung informiert werden.
Aufgrund der erlangten Erkenntnisse haben wir ein aufsichtsbehördliches Verfahren eröffnet, in dem die Stadtwerke zur Stellungnahme aufgefordert wurden. Hierbei ging es insbesondere um die Klärung der Fragen, auf welcher Rechtsgrundlage die Verarbeitung erfolgte und wie die zahlreichen Betroffenen über die Vermessungsfahrten informiert wurden.
Im Laufe des aufsichtsbehördlichen Verfahrens stellte sich heraus, dass die betroffenen Personen teilweise nur unzureichend über die Erhebung ihrer personenbezogenen Daten informiert wurden bzw. nur unzureichende Maßnahmen geplant waren.
Es erfolgten lediglich unzureichende Hinweise auf den Webauftritten der Stadtwerke und des Dienstleisters sowie vereinzelte Anzeigen in der lokalen Presse. Es fehlten z. B. teilweise
- Informationen zu den Zwecken der Verarbeitung, d. h., aus welchen Gründen die Grundstücke fotografiert werden,
- Informationen über die Rechtsgrundlagen für die Anfertigung der Aufnahmen, um den Bürgerinnen und Bürgern eine nachvollziehbare Prüfung zu ermöglichen, ob eine Befugnis der Stadtwerke besteht,
- Informationen über die Speicherfristen,
- Informationen zu den Rechten betroffener Bürgerinnen und Bürger, einer Verarbeitung von Grundstücksaufnahmen widersprechen zu können,
- verständliche Angaben zu Widerspruchsrechten, denn durch falsche Verlinkungen entstand der Eindruck, dass eine Veröffentlichung der Grundstücksaufnahmen geplant sei,
- klare Verantwortlichkeiten, denn es wurde nicht deutlich, welche Rolle die Stadtwerke und welche Verantwortung der beauftragte Dienstleister übernimmt.
Wir bemängelten zudem, dass auf den genannten digitalen Kanälen insbesondere der ältere Teil der betroffenen Personen nicht verlässlich erreicht werden würde, da nicht generell seitens des Verantwortlichen unterstellt werden könne, dass diese Personen regelmäßig das Internet nutzen und dabei auch noch den Webauftritt der Stadtwerke aufrufen. Insgesamt erschien es nicht plausibel, dass selbst Kundinnen und Kunden, die das Internet nutzen, regelmäßig die Webauftritte der Stadtwerke besuchen und dabei etwaige Hinweise zu Befahrungen und der Anfertigung von Aufnahmen zur Kenntnis nehmen würden. Es kam erschwerend hinzu, dass die Befahrungen in einigen Fällen nur mit einem kurzen zeitlichen Vorlauf angekündigt wurden.
Dies führte zu unserer Anordnung gegenüber den Stadtwerken, den Informationspflichten der DSGVO nachzukommen, da die bisher getroffenen Maßnahmen nicht ausreichend waren, um die Betroffenen zu informieren. Die Ausgestaltung der Information sollte in der Form erfolgen, dass auch diejenigen informiert würden, die keinen digitalen Zugang haben oder das Internet nur unregelmäßig nutzen. Die Erfüllung der angeordneten Maßnahmen sowie eine hinreichende Erläuterung zur Rechtsgrundlage für die Verarbeitung der Aufnahmen waren Voraussetzung für die geplante Verarbeitung der Panoramaaufnahmen durch die Stadtwerke.
Die Stadtwerke setzten die angeordneten Maßnahmen fristgerecht um. Als Maßnahmen zur Bekanntgabe der Pflichtinformation gegenüber den Bürgerinnen und Bürgern wurden mehrere Anzeigen in der lokalen Presse sowie Brief- und Postwurfsendungen gewählt, sodass diesen in geeigneter Art und Weise die Informationen gemäß Artikel 13 DSGVO zur Verfügung gestellt wurden.
5.2 Prüfung von Partnervermittlungen: Einsatz von Listbrokern für Werbung
Aufgrund zahlreicher Beschwerden wurden im Berichtszeitraum acht Unternehmen geprüft, die ihre Webseiten im Bereich der Partnervermittlung unter Verwendung von E-Mail-Newslettern bewerben. Die geprüften Unternehmen beauftragen für die Gewinnung von Neukunden häufig im Ausland ansässige Listbroker, die die gewünschte Werbung unter Nutzung eigener Adressbestände versenden. Für den Empfänger ist es dabei kaum nachvollziehbar, aus welchem Grund er die Werbung erhält und an wen er sich zur Geltendmachung seiner Betroffenenrechte wenden kann.
Auch wenn der Erwägungsgrund 47 zur Datenschutz-Grundverordnung die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung anerkennt, so sind in der nach Art. 6 Abs. 1 Buchst. f DSGVO erforderlichen Interessenabwägung insbesondere auch die „vernünftigen Erwartungen der betroffenen Person“, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in den Abwägungsprozess einzubeziehen. Da die potenziellen Neukundinnen und Neukunden bisher noch keine Beziehung zu den Unternehmen hatten, konnten die Verantwortlichen nicht davon ausgehen, dass die E-Mail-Empfängerinnen und -Empfänger eine entsprechende Werbung für die jeweiligen Partnervermittlungen erwarten. Des Weiteren überwiegen die schutzwürdigen Interessen der betroffenen Person in der Regel immer dann, wenn nach den Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) eine unzumutbare Belästigung anzunehmen ist.
Wettbewerbsrecht
Nach § 7 Abs. 2 Nr. 3 des Gesetzes über den unlauteren Wettbewerb (UWG) ist bei Werbung unter Verwendung elektronischer Post eine unzumutbare Belästigung stets anzunehmen, wenn keine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. Für Werbung an Bestandskunden gelten nach § 7 Abs. 3 UWG entsprechende Ausnahmen.
Bei der Beurteilung der Verantwortlichkeit für eine solche Werbemaßnahme ist außerdem zu berücksichtigen, dass die geprüften Unternehmen zwar selbst keinen Zugriff auf die für den Versand der Werbung genutzten personenbezogenen Daten haben, die Verwendung der Daten für die entsprechende Werbeaktion allerdings veranlassen und von dieser profitieren.
Da die Unternehmen den Zweck der Werbemaßnahme festlegen und die Zielgruppe definieren, die beauftragten Listbroker jedoch über die Mittel zur Durchführung der Werbemaßnahme in Form des Adressdatenbestands und der Möglichkeit der Selektion verfügen, werden die Zwecke und Mittel der Verarbeitung von beiden gemeinsam festgelegt. Demnach liegt eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO vor. Wir mussten die geprüften Unternehmen in den aufsichtsbehördlichen Verfahren mehrfach darauf hinweisen, dass eine solche gemeinsame Verantwortlichkeit auch vorliegen kann, wenn sie selbst keinen Zugang zu den betreffenden personenbezogenen Daten haben.
Im Falle einer gemeinsamen Verantwortlichkeit ist nach Art. 26 Abs. 1 DSGVO eine Vereinbarung abzuschließen, aus der die jeweiligen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen hervorgehen muss. Des Weiteren ist in dieser Vereinbarung transparent festzulegen, wer welche Verpflichtung gemäß der Datenschutz-Grundverordnung erfüllt. Eine solche Vereinbarung konnte von keinem der Unternehmen vorgelegt werden.
Ungeachtet einer solchen Vereinbarung kann eine betroffene Person ihre Rechte allerdings gemäß Art. 26 Abs. 3 DSGVO immer gegenüber jedem Einzelnen der Verantwortlichen geltend machen. Im Rahmen der gemeinsamen Verantwortlichkeit sind die werbetreibenden Unternehmen darüber hinaus auch dafür verantwortlich, dass die für einen rechtmäßigen Versand von Werbe-E-Mails erforderlichen Einwilligungen tatsächlich vorliegen.
Bei der Auswahl eines Listbrokers kann von den werbetreibenden Unternehmen im Rahmen der bestehenden Sorgfaltspflichten zumindest erwartet werden, dass diese sich bei der Auswahl ihres Vertragspartners über die vertragliche Zusicherung des Bestands solcher Einwilligungen hinaus auch die Verfahrensweise zur Erhebung der erforderlichen Einwilligung erläutern lassen.
Im Rahmen der durchgeführten Verfahren wurde von verschiedenen Unternehmen die bisherige Zusammenarbeit mit Listbrokern beendet, da diese die im Rahmen der Prüfungen angeforderten Einwilligungen nicht nachweisen konnten. Ansonsten waren zahlreiche Hinweise auf mutmaßliche Verstöße und in Einzelfällen auch die Festsetzung von Zwangsmaßnahmen zur Durchsetzung von Auskunftsanordnungen und Betroffenenrechten erforderlich.
5.3 Coronamaßnahme Kontaktdatensammlung – wie geht’s datenschutzkonform?
Parallel zum Tätigwerden der Landesregierung, die im Verordnungswege u. a. die Verpflichtung für bestimmte Einrichtungen geregelt hat, Kontaktdaten der Besucherinnen und Besucher zu erheben, haben wir gegenüber dem zuständigen Ministerium und der Öffentlichkeit deutlich gemacht, dass jede Coronamaßnahme datenschutzkonform sein muss und daher auch Datenschutzanforderungen in Bezug auf eine etwaige Sammlung von Kontaktdaten zu berücksichtigen sind. Zur Kontaktdatenerhebung verpflichtete Einrichtungen wurden entweder im Vorfeld beraten, wie sie den Vorgaben der Landesverordnung in datenschutzkonformer Art und Weise nachkommen können, oder – wenn notwendig – darauf hingewiesen oder angewiesen, die Erhebung von Kontaktdaten mit den datenschutzrechtlichen Vorgaben in Einklang zu bringen oder zu unterlassen.
Um von Anfang an Fehler im Umgang mit Kontaktdaten nach Möglichkeit zu vermeiden (siehe auch Tz. 5.4.1), haben wir Informationen für die Öffentlichkeit, betroffene Personen und Verantwortliche bereitgestellt (wie z. B. ein Musterformular zur Kontaktdatenerhebung) und diese Informationen an die sich stetig wandelnde Rechtslage angepasst. Die Informationen sind unter dem folgenden Link abrufbar:
https://www.datenschutzzentrum.de/corona/
Kurzlink: https://uldsh.de/tb39-5-3a
Wer nach der Verordnung zur Erhebung von Kontaktdaten verpflichtet ist, muss auch die Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen. Hierzu zählen insbesondere die Einhaltung von Informationspflichten nach Artikel 13 DSGVO, die Einhaltung von Löschregeln nach Artikel 17 DSGVO und die Erfüllung technischer und organisatorischer Anforderungen nach Artikel 32 DSGVO. Um den Informationsverpflichtungen nach Artikel 13 DSGVO nachzukommen, können sich die Verantwortlichen an unserer Veröffentlichung zu Informationspflichten in unserer Praxisreihe orientieren:
https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-4-Informationspflichten.pdf
Kurzlink: https://uldsh.de/tb39-5-3b
Ausgehend vom Erhebungsdatum sind die Daten nach der vorgesehenen Speicherdauer von aktuell vier Wochen endgültig zu löschen. Eine Pflicht zur Löschung ergibt sich nach Ablauf der Frist schon aus Artikel 17 der DSGVO.
Zu den Vorgaben, die sich aus der DSGVO ergeben, gehört es u. a., dass sicherzustellen ist, dass unbefugte Dritte keine Kenntnis von den erhobenen Daten erlangen. Hierzu müssen nach Artikel 24 und Artikel 32 DSGVO geeignete technische und organisatorische Maßnahmen ergriffen werden. Von einer Erhebung mittels offen ausgelegter Listen ist daher abzusehen.
Die erhobenen Daten dürfen nur auf Verlangen der zuständigen Behörde an diese übermittelt werden. Eine Verwendung zu anderen Zwecken ist unzulässig und wäre mangels Rechtsgrundlage ein bußgeldbewehrter Verstoß gegen die DSGVO.
Besteht eine gesetzliche Verpflichtung zur Erhebung von Kontaktdaten nach Landesrecht, darf der Besuch oder die Nutzung einer Einrichtung oder die Teilnahme an einer Veranstaltung untersagt werden, wenn erkennbar ist, dass die betroffenen Personen eine Erhebung der Kontaktdaten verweigern.
Betroffene Personen dürfen gemäß § 20 Personalausweisgesetz (PAuswG) ihren Personalausweis einsetzen, wenn sie dies möchten, um die Erhebung zu vereinfachen. Hierzu sind sie jedoch nicht verpflichtet.
§ 20 Abs. 1 PAuswG
Der Inhaber kann den Ausweis bei öffentlichen und nichtöffentlichen Stellen als Identitätsnachweis und Legitimationspapier verwenden.
Eine Erhebung und Speicherung personenbezogener Daten auf Vorrat ohne gesetzliche Verpflichtung auf Grundlage von Art. 6 Abs. 1 Buchst. f DSGVO zu Zwecken der Pandemiebekämpfung (Nachverfolgung von Infektionsketten) ist für die Einrichtungen nicht zulässig. Es überwiegen die Grundrechte und Freiheiten der betroffenen Personen, die eine Erhebung der sie betreffenden personenbezogenen Daten nicht dulden müssen, wenn eine dahin gehende Entscheidung des Gesetzgebers und der zuständigen Behörden nicht existiert. Es ist nämlich Aufgabe des Gesetzgebers festzulegen, welche Eingriffe in das Recht auf Schutz der Verarbeitung personenbezogener Daten als Coronamaßnahme geeignet, erforderlich und angemessen ist. Haben sich der Gesetzgeber und die zuständigen Behörden gegen eine solche Maßnahme zur Pandemiebekämpfung entschieden, ist es nicht privaten Stellen überlassen, die Entscheidung über eine solche Datenerhebung und deren Art und Weise zu treffen.
Denkbar wäre es allenfalls, eine Erhebung personenbezogener Daten auf Grundlage einer freiwilligen Einwilligung nach Artikel 7 DSGVO anzubieten. Würde der Besuch oder die Nutzung einer Einrichtung oder die Teilnahme an einer Veranstaltung verweigert für den Fall, dass nicht eingewilligt werden würde, ließe dies eine Einwilligung mangels Freiwilligkeit unwirksam werden.
Trotz der Hilfestellung über unsere Webseiten wurden uns immer wieder Datenschutzverstöße gemeldet, denen wir nachgegangen sind. Einige Bürgerinnen und Bürger schlugen auch verbesserte Verfahren vor, bei denen beispielsweise weniger Daten erfasst werden müssten oder die sich per technischer Kontaktdaten-App realisieren ließen.
In der Tat haben wir uns auch mit Alternativen beschäftigt und auch Meldungen zu Sicherheitsproblemen bei Datenbanken ausgewertet, bei denen Dienstleister von sehr vielen Einrichtungen zentral die Kontaktdaten speicherten – und leider nicht ausreichend gegen unberechtigte Zugriffe sicherten. In dem Fall hätte man nicht nur feststellen können, wer in welchem Restaurant essen gegangen ist, sondern man hätte auch auswerten können, wer mit wem dort war. Besonders bei Berufsgruppen wie Anwälten und Journalisten sind dies aber sehr sensible Daten, auf die nicht unbefugt zugegriffen werden darf. Von solchen technischen Lösungen haben wir abgeraten. Bessere Realisierungen arbeiten mit verschlüsselter Speicherung der Kontaktdaten auf eine Weise, dass noch nicht einmal der Betreiber der Einrichtung beim Vorzeigen den Namen erfährt und auch später nicht auf den Klartext der Daten zugreifen kann. Dennoch ist gewährleistet, dass im Infektionsfall ein Gesundheitsamt die Kontaktnachverfolgung durchführen kann. Allerdings besteht bei dieser datensparsameren Realisierung Anpassungsbedarf der rechtlichen Regelungen zur Kontaktdatensammlung.
Was ist zu tun?
Bei künftigen Anpassungen der Regelungen zu Coronamaßnahmen sollten die Formulierungen zumindest Raum für datensparsamere und risikoärmere Lösungen lassen. Außerdem wäre es wünschenswert, wenn die Regierung verstärkt datenschutzkonforme Praxishilfen gäbe, denn offensichtlich hat nicht jeder Verantwortliche den Weg zu unseren Informationen gefunden.
5.4 Interessante Einzelfälle
5.4.1 Coronamaßnahme Kontaktdatensammlung: Schludrigkeiten und Missbrauch
Die Verpflichtung zur Kontaktdatenerhebung ergibt sich aus der jeweils aktuellen Fassung der Landesverordnung zur Bekämpfung des Coronavirus SARS-CoV-2 des Landes-Schleswig-Holstein (SARS-CoV-2-BekämpfV) (siehe Tz. 5.3). Diese Verpflichtung gilt insbesondere für Gaststätten.
Diese Art der Erhebung personenbezogener Daten stellte ein Novum dar. Es zeigte sich anhand der zahlreichen Anfragen beim ULD, dass sowohl seitens der Verantwortlichen als auch bei den Gästen bzw. den Kundinnen und Kunden Unklarheiten hinsichtlich der Umsetzung der datenschutzrechtlichen Bestimmungen bei der Kontaktdatenerhebung vorlagen. Das ULD informierte daher ausführlich zum Datenschutz bei der Kontaktdatenerhebung:
https://www.datenschutzzentrum.de/artikel/1332-.html
Kurzlink: https://uldsh.de/tb39-5-41
Hinsichtlich der Kontaktdatenerhebung bei Betrieben, die zur Erhebung verpflichtet waren, erreichte das ULD eine Vielzahl von Beschwerden.
1. Verstoß: Offen einsehbare Listen
Als häufigster Verstoß wurde die Kontaktdatenerhebung mittels einer offen einsehbaren Liste angezeigt. In diesen Fällen erfolgte die Erhebung in der Form, dass den Gästen eine Liste ausgehändigt wurde, in die die Kontaktdaten eingetragen werden sollten. Hierbei konnten die Gäste sämtliche zuvor eingetragenen Daten anderer Gäste einsehen. Diese Art der Erhebung stellt einen Verstoß gegen Artikel 24 und Artikel 32 DSGVO dar, wonach der Verantwortliche mittels geeigneter Maßnahmen gewährleisten muss, dass unbefugte Dritte von den erhobenen Daten keine Kenntnis erlangen.
2. Verstoß: Übermäßige Kontaktdatenerhebung
Weiterhin wurde beim ULD angezeigt, dass seitens der Verantwortlichen unzulässig Daten erhoben wurden. Hierbei handelte es sich insbesondere um das Geburtsdatum. In der SARS-CoV-2-BekämpfV wird klar festgelegt, welche Daten zu erheben sind. Dies sind Vor- und Nachname und Anschrift sowie, soweit vorhanden, Telefonnummer oder E-Mail-Adresse. Darüber hinaus dürfen keine weiteren Daten erhoben werden, da für diese Erhebung keine Rechtsgrundlage vorliegt und hierdurch ein Verstoß gegen den Grundsatz der Datenminimierung vorliegt.
3. Verstoß: Nutzung der Daten zu anderen Zwecken
Eine weitere missbräuchliche Verwendung der erhobenen Kontaktdaten stellte die Nutzung der Daten zu anderen Zwecken dar. Die Kontaktdaten sollen erhoben werden, um sie im Bedarfsfall an die zuständige Behörde zu übermitteln, sofern dies zum Zwecke der Nachverfolgung von möglichen Infektionswegen erforderlich ist. Eine anderweitige Verwendung ist unzulässig. Dem ULD wurde etwa angezeigt, dass die erhobenen Daten seitens des Verantwortlichen verwendet werden sollten, um diese in die Kundendatenbank einzupflegen oder um diese zur Zustellung von Werbung zu nutzen. Auch für diese Art der Verarbeitung lag keine Rechtsgrundlage vor.
Aufgrund der Vielzahl der gemeldeten Verstöße und der Neuartigkeit der Kontaktdatenerhebung haben wir zumeist Hinweise an die Verantwortlichen erteilt, um so eine schnelle Verhaltensänderung zu erwirken. Bei herausragenden Verstößen wurden aufsichtsbehördliche Verfahren eröffnet. Hierzu gehörte das Verwenden der erhobenen Telefonnummern, um eine WhatsApp-Gruppe zu erstellen, in der Marketingaktionen des eigenen Restaurants beworben werden sollten, sowie die Weitergabe einer erhobenen Handynummer an eine Mitarbeiterin, damit diese ein klärendes Telefonat mit einem Gast hinsichtlich einer erfolgten Kritik an ihrer Person führen konnte.
5.4.2 Informationen über eine frühere Behandlung bei Ausbildung in derselben Klinik
Im Zuge der Maßnahmen zur Bekämpfung des Coronavirus wurde für bestimmte Betriebe eine verpflichtende Erhebung der Kontaktdaten der Kunden bzw. der Gäste zur Nachverfolgung von Infektionsketten im Zusammenhang mit COVID-19 eingeführt (siehe Tz. 5.3 sowie Tz. 5.4.1).
Uns erreichte eine Vielzahl an Beschwerden hinsichtlich der Kontaktdatenerhebung durch Friseurbetriebe. Dies war Anlass für eine Prüfung der Rechtmäßigkeit der Kontaktdatenerhebung durch Friseurbetriebe.
Art. 6 Abs. 1 Buchst. c DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist:
[…]
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn hierfür eine Rechtsgrundlage vorliegt. Im Fall der Kontaktdatenerhebung ergibt sich diese allein aus Art. 6 Abs. 1 Buchst. c DSGVO. Die Pflicht zur Erhebung der Kontaktdaten ergibt sich aus der jeweils gültigen Landesverordnung zur Bekämpfung des Coronavirus SARS-CoV-2 des Landes-Schleswig-Holstein (SARS-CoV-2-BekämpfV). In der Landesverordnung wird festgelegt, welche Betriebe verpflichtend Kontaktdaten zu erheben haben. In dieser Regelung fanden sich bis 29.11.2020 zwar allgemeine Regelungen für Friseurbetriebe; diese sahen jedoch keine verpflichtende Kontaktdatenerhebung für Friseurbetriebe vor.
Im Ergebnis lag für die Kontaktdatenerhebung durch Friseurbetriebe zur Nachverfolgung von Infektionsketten im Zusammenhang mit COVID-19 keine Rechtsgrundlage vor. Eine Erhebung der Kontaktdaten war demnach nicht rechtmäßig, sodass die Kontaktdatenerhebung im Zusammenhang mit COVID-19 durch Friseurbetriebe zu unterlassen war und in diesem Zusammenhang erhobene Daten zu löschen waren.
Um das Ergebnis der Prüfung auf schnellstem Weg den Friseurbetrieben mitzuteilen und künftige Verstöße zu vermeiden, haben wir ein Informationsschreiben erstellt und den Friseurbetrieben über die zuständige Kreishandwerkerschaft Nordfriesland-Süd verteilt. Erst danach entschloss sich der Gesetzgeber, mit der Neufassung der SARS-CoV-2-BekämpfV, die am 30.11.2020 in Kraft trat, nunmehr doch eine Kontaktdatenerhebung für „Dienstleistungen mit Körperkontakt“ und damit auch für Friseurbetriebe einzuführen.
Überraschende Kehrtwende: Nun gab es plötzlich eine Rechtsgrundlage, und zum 30.11.2020 – nachdem in den zahlreichen vorherigen Fassungen seit dem 05.06.2020 davon nicht die Rede gewesen war – hatte sich die Rechtslage von einem Verbot einer Kontaktdatenerhebung zu einer Verpflichtung gewandelt. Als Aufsichtsbehörde können wir nur die uns bekannte, veröffentlichte Rechtslage heranziehen – über eine geplante Änderung hatte man uns im Übrigen auch nicht informiert.
Die Informationen zur Kontaktdatenerhebung bei Friseurbetrieben sind hier verfügbar:
https://www.datenschutzzentrum.de/artikel/1346-.html
Kurzlink: https://uldsh.de/tb39-5-42
Was ist zu tun?
Wünschenswert wäre es, wenn wir als zuständige Datenschutzaufsichtsbehörde schneller Informationen über den Datenschutz betreffende geplante Änderungen der Rechtslage in Bezug auf Coronamaßnahmen erhielten.
5.4.3 Erhebung von Gesundheitsdaten von Vereinsmitgliedern als Coronamaßnahme
Nachdem die Anzahl der Infektionen mit dem Coronavirus im Sommer sank, boten die Vereine ihren Mitgliedern die Wiederaufnahme ihrer Aktivitäten an. In einzelnen hierzu eingereichten Anfragen berichteten Betroffene von Wiedereinstiegsbögen ihrer Vereine, auf denen sie mit Fragen zu ihrem Gesundheitszustand konfrontiert wurden.
Die von den in den Bereichen Sport und Kultur tätigen Vereinen gestellten Fragen bezogen sich beispielsweise auf die mögliche Zugehörigkeit zu einer Risikogruppe aufgrund von Vorerkrankungen wie Diabetes, Krebs oder einer chronischen Leber- oder Lungenerkrankung. In einem anderen Verein wurden die Mitglieder um Angaben zur aktuellen Symptomatik wie beispielsweise Durchfall, Halsschmerzen oder Fieber gebeten. Die Vereine stellten ihren Mitgliedern in diesem Zusammenhang in Aussicht, dass diese im Falle einer Verweigerung der Auskunft an Aktivitäten des Vereins nicht mehr teilnehmen dürften.
Da sich die zum Zeitpunkt der Anfragen geltende Landesverordnung zur Bekämpfung des Coronavirus SARS-CoV-2 lediglich auf die Erhebung von Kontaktdaten beschränkte und eine solche weiter gehende Erhebung nicht vorsah, bestand keine rechtliche Verpflichtung zur Erhebung dieser Gesundheitsdaten, und die Erhebung konnte auch nicht auf Art. 6 Abs. 1 Buchst. c DSGVO gestützt werden. Die erbetenen Gesundheitsdaten unterliegen darüber hinaus einem besonderen Schutz und dürften nur unter den Voraussetzungen des Art. 9 Abs. 2 DSGVO verarbeitet werden.
Des Weiteren konnte die Erhebung auch nicht auf Grundlage einer Einwilligung erfolgen, da die Vereine den betroffenen Mitgliedern im Falle einer Verweigerung der Auskunft den Ausschluss von Vereinsaktivitäten in Aussicht stellten und somit nicht von der für eine wirksame Einwilligung erforderlichen Freiwilligkeit ausgegangen werden konnte.
Die erläuterte Problematik beschränkte sich auf Einzelanfragen betroffener Mitglieder, die lediglich um eine rechtliche Bewertung baten und die Beendigung der Erhebungspraxis jeweils vereinsintern besprechen wollten. Die datenschutzrechtlichen Bedenken gegen die Verwendung der Wiedereinstiegsbögen wurde ihnen jeweils entsprechend mitgeteilt, von weiteren Maßnahmen gegenüber den Vereinen wurde auf Bitte der betroffenen Mitglieder zunächst abgesehen.
5.4.4 Weitergabe von Daten aus einem Kundenbindungssystem
Viele Einzelhandelsunternehmen nutzen zur Kundenbindung ein Kundenkartensystem. Im Rahmen des Antrags auf Ausgabe einer Kundenkarte werden hier zunächst personenbezogene Daten wie Name, Adressdaten, Geburtsdatum und bei gleichzeitiger Nutzung als Zahlungsmittel auch Zahlungsdaten erhoben; diese werden im Verlauf der Nutzung der Karte mit den hieraus erworbenen Daten zum Einkaufsverhalten angereichert. Als Vorteile für die Kunden zur Teilnahme am Kundenkartensystem werden zumeist Rabatte auf Einkäufe, die Teilnahme an Sonderaktionen und weitere Vergünstigungen angeboten.
Die Inhaber von Kundenkarten eines derartigen Systems wurden im Laufe des Jahres über die bevorstehende Schließung des ausgebenden Unternehmens informiert. Zugleich wurden sie darüber informiert, dass mit ihrer stillschweigenden Zustimmung ihre Daten an nicht näher bezeichnete Nachfolgefirmen, die die Räumlichkeiten zukünftig nutzen würden, weitergegeben würden; die Einwilligung erfolge auf freiwilliger Basis. Sollten die Kunden mit der Weitergabe ihrer Daten nicht einverstanden sein, wurden sie gebeten, einen entsprechend ausgedruckten Widerruf schnellstmöglich an das Unternehmen zurückzusenden. Als gesetzliche Grundlage verwies der Verantwortliche darauf, dass „die persönlichen Daten Ihrer Person unter Beachtung des Landesdatenschutzgesetzes (LDSG) erhoben, verarbeitet und genutzt werden“.
Die geplante Weitergabe der personenbezogenen Daten wurde dem ULD durch mehrere Beschwerden bekannt.
Der Verantwortliche wurde im Rahmen eines aufsichtsbehördlichen Verfahrens zunächst darauf hingewiesen, dass die gesetzliche Grundlage für die Verarbeitung der personenbezogenen Daten im vorliegenden Fall die Datenschutz-Grundverordnung ist. Da das Landesdatenschutzgesetz lediglich für die Verarbeitung personenbezogener Daten bei öffentlichen Stellen des Landes Schleswig-Holstein gilt, war es im vorliegenden Fall nicht anzuwenden.
Die Weitergabe der personenbezogenen Daten sollte laut dem Kundenanschreiben auf Grundlage einer Einwilligung erfolgen, sodass in einer rechtlichen Würdigung ausgeführt wurde, dass eine Einwilligung einer betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung ist, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Das Anschreiben erfüllte die Voraussetzungen für eine wirksame Einwilligung bereits aus dem Grunde nicht, weil diese nicht durch eine bestätigende Handlung, sondern stillschweigend erfolgen sollte und nur durch einen Widerspruch abgewendet werden konnte. Die im Anschreiben enthaltenen Ausführungen zur Weitergabe der personenbezogenen Daten reichten zudem nicht aus, um den Anforderungen an eine informierte Einwilligung zu genügen.
Ergänzend ist anzumerken, dass der Verantwortliche, wenn die Verarbeitung auf einer Einwilligung beruht, nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Auch dies wäre durch das geplante Vorgehen nicht gegeben gewesen.
Nach Darlegung der Rechtsgrundlagen teilte der Verantwortliche mit, auf die Weitergabe der Kundendaten zu verzichten, diese unmittelbar nach der Schließung zu löschen und die betroffenen Personen hierüber zu informieren.
5.4.5 Geodaten bei Starkregenereignissen
Immer häufiger kommt es auch in Deutschland zu Überschwemmungen durch Starkregenereignisse, die zu erheblichen Sachschäden führen und bereits auch Menschenleben gefordert haben. Von Starkregen wird gesprochen, wenn innerhalb kurzer Zeit außergewöhnlich große Mengen an Niederschlag auftreten. Für die Entwicklung eines Starkregen-Risikomanagements ist die Gefährdungseinschätzung besonders für Orte in der Stadt eine wichtige Grundlage. Das Forschungsverbundprojekt „I2-Optimierung“ der Fachgruppe Städtebau und Stadtentwicklung Technische Hochschule Lübeck beschäftigt sich mit diesem Thema.
In dem Projekt soll eine nutzungsspezifische Kategorisierung von Geodaten erfolgen, die das ULD zur Beurteilung der datenschutzrechtlichen Relevanz begleitet. Geodaten sind digitale Informationen, denen auf der Erdoberfläche eine bestimmte räumliche Lage, also ein Ort, zugewiesen werden kann.
Zur Beurteilung der datenschutzrechtlichen Relevanz von Geodaten wird ein Ampelverfahren genutzt. Geodaten werden als „grüne“, „gelbe“ und „rote“ Daten auf der Grundlage eines standardisierten Fragenkatalogs von den geodatenhaltenden Stellen erfasst. Dabei ermöglicht der Fragenkatalog die Zuordnung der Geodaten zu einer Kategorie.
Anders als bei der „grünen“ Kategorie sind die „gelben“ und „roten“ Geodaten aus Datenschutzsicht mit mehr Vorsicht zu behandeln. In dem Projekt sollen den geodatenhaltenden Stellen Möglichkeiten zur Verwendung oder Offenlegung aufgezeigt werden, indem beispielsweise Maßstabsbeschränkungen zur Reduzierung des Datenschutzrisikos vorgenommen werden.
Was ist zu tun?
Auch Geodaten „verraten“ oft personenbezogene Daten. Werden Geodaten, die einen Personenbezug aufweisen, verarbeitet und z. B. veröffentlicht, ist die DSGVO anwendbar. Die Möglichkeit, dass damit Rechte und Freiheiten von natürlichen Personen betroffen sind, nimmt zu, je mehr diese und andere Daten öffentlich verfügbar werden und miteinander verknüpft werden können. Darum ist im Einzelfall genau zu prüfen, unter welchen Bedingungen Geodaten der Öffentlichkeit zugänglich gemacht werden können.
5.4.6 Nutzung von „dienstlichen“ Messengergruppen des Arbeitgebers über private Endgeräte
Zahlreiche Beschäftigte werden von ihren Kolleginnen und Kollegen oder ihren Vorgesetzten mit der Frage konfrontiert, wie ihre private Handynummer laute und ob sie nicht in die häufig bereits vorhandene Messengergruppe aufgenommen werden möchten. Diese würde genutzt werden, um sich privat oder – falls erforderlich – auch mal kurzfristig dienstlich austauschen zu können. Was von den Betroffenen anfangs zunächst als hilfreich und unproblematisch empfunden wird, kann sich allerdings schnell zu einem Problem entwickeln.
In verschiedenen hierzu eingereichten Beschwerden berichteten Betroffene, dass entsprechende Gruppen regelmäßig genutzt werden, um sich kurzfristig krankzumelden und eine Vertretung zu organisieren. Zum Teil würden hierbei allerdings auch Nachfragen zum Grund der Erkrankung erfolgen und Dienstpläne erstellt sowie übermittelt werden. Bei der Erstellung von Dienstplänen könnten hierbei leider nur Wünsche von Mitarbeiterinnen und Mitarbeitern berücksichtigt werden, die auch Mitglieder in der Messengergruppe seien, sodass eine Ablehnung der Teilnahme an der Gruppe negative Folgen habe. Darüber hinaus wurde die permanente Erreichbarkeit von den Betroffenen als Belastung empfunden und führte in einem Fall zum Wechsel der privaten Handyrufnummer. In einer anderen Beschwerde beklagte sich eine ehemalige Beschäftigte darüber, dass ihre bisherige Vorgesetzte die Messengergruppe genutzt habe, um den übrigen Kolleginnen und Kollegen den Hintergrund der erfolgten Beendigung ihres Arbeitsverhältnisses zu erläutern.
In den hierzu durchgeführten Verfahren wurden die Unternehmen zunächst darauf hingewiesen, dass es grundsätzlich Aufgabe des Arbeitgebers sei, den Beschäftigten die erforderlichen Arbeitsmittel zur Verfügung zu stellen. Eine Auslagerung der Datenverarbeitung auf private Endgeräte, die zusätzlich dazu führe, dass private Rufnummern und Accounts der Beschäftigten mitverarbeitet werden, sei grundsätzlich nicht erforderlich und statthaft.
Bei der Nutzung entsprechender Gruppen zur Übermittlung oder Offenlegung personenbezogener Daten zu dienstlichen Zwecken ist das betroffene Unternehmen für die Gewährleistung eines angemessenen Schutzniveaus verantwortlich. Hierbei sind vom verantwortlichen Unternehmen u. a. geeignete Maßnahmen zu treffen, um zu gewährleisten, dass Daten bei der elektronischen Übertragung oder während des Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Diese erforderlichen Maßnahmen können Verantwortliche auf den betroffenen privaten Endgeräten in der Regel nicht gewährleisten, da auf diesen auch technische Schwachstellen durch veraltete Systeme oder inaktuelle Sicherheitsupdates vorliegen können und für die Gewährleistung eines angemessenen Schutzniveaus die Kontrolle der privaten Endgeräte der Beschäftigten erforderlich wäre.
In den durchgeführten Verfahren berichteten Geschäftsführer und Datenschutzbeauftragte zum Teil von eigenmächtigem Handeln der unteren Führungsebenen, die hier gegen entsprechende Unternehmensrichtlinien verstoßen würden. Die betroffenen Unternehmen haben die betreffenden Mitarbeiterinnen und Mitarbeiter in Führungsverantwortung teilweise gerügt, alle Beschäftigten auf das Verbot der Nutzung privater Endgeräte für dienstliche Zwecke hingewiesen und die Löschung der vorhandenen Messengergruppen veranlasst. Darüber hinaus wurden in einem Unternehmen die Arbeitsverträge um eine entsprechend klarstellende Formulierung ergänzt.
Unabhängig von der Nutzung der Messengergruppen wurde die beschriebene Mitteilung der Hintergründe einer erfolgten Beendigung eines Arbeitsverhältnisses gegenüber den übrigen Kolleginnen und Kollegen zum Anlass genommen, das betreffende Unternehmen hierzu zu verwarnen.
Was ist zu tun?
Eine dienstliche Nutzung von privaten Endgeräten sollte grundsätzlich unterbunden und gegenüber den Beschäftigten transparent kommuniziert werden. Hierbei hat der Arbeitgeber seine Beschäftigten mit den erforderlichen Endgeräten auszustatten, sodass diese nicht mangels Ausstattung gezwungen sind, auf private Endgeräte auszuweichen. Die Einhaltung von getroffenen Regelungen ist regelmäßig zu überprüfen.
5.4.7 Weitergabe von Informationen über Erkrankungen eines Beschäftigten
an den neuen Arbeitgeber
Im Frühjahr 2020 ging beim ULD eine Beschwerde ein, in der ein Beschäftigter beklagte, sein zukünftiger neuer Arbeitgeber sei von seinem bisherigen Arbeitgeber über eine dort abgegebene Arbeitsunfähigkeitsbescheinigung verbunden mit dem Kommentar informiert worden, dass er ein Krankmacher sei.
Nach § 26 Abs. 1 BDSG dürfen personenbezogene Daten von Beschäftigten nur für den Zweck des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist. Die Verpflichtung zur Vorlage einer Arbeitsunfähigkeitsbescheinigung ergibt sich aus § 5 Entgeltfortzahlungsgesetz, dient dem Nachweis der Arbeitsunfähigkeit und zum Zweck der Prüfung der Entgeltfortzahlung.
Die auf einer Arbeitsunfähigkeitsbescheinigung enthaltenen Daten sind im Sinne des Artikels 9 DSGVO besonders sensibel, da aus diesen u. a. auch erkennbar ist, welche Ärztin oder welcher Arzt die oder den Beschäftigten behandelt und über welche Qualifikation diese Ärztin bzw. dieser Arzt verfügt, sodass der Arbeitgeber anhand dieser Informationen mögliche Krankheitsbilder grob eingrenzen kann.
BAG-Urteil vom 12.09.2006 – 9 AZR 271/06
Soweit Gesundheitsdaten in die Personalakte aufgenommen werden dürfen, ist der Arbeitgeber verpflichtet, die Daten in besonderer Weise aufzubewahren. Die zur Personalakte genommenen Gesundheitsdaten sind vor unbefugter zufälliger Kenntnisnahme durch Einschränkung des Kreises der Informationsberechtigten zu schützen. Jeder Mitarbeiter darf nur auf solche Daten zugreifen können, die er zur Erfüllung seiner Aufgaben tatsächlich benötigt.
Der verantwortliche Arbeitgeber hat bei der Verarbeitung von Personal- und Gesundheitsdaten seiner Beschäftigten sicherzustellen, dass die Sicherheit der Verarbeitung und die Vertraulichkeit der Informationen gewährleistet sind. Hierzu zählt u. a. ein entsprechendes Berechtigungskonzept, das den Zugriff auf vertrauliche Personal- und Gesundheitsdaten einschränkt. Des Weiteren sind Maßnahmen zu treffen, die einen unbefugten Zugriff oder eine Offenlegung von personenbezogenen Daten der Mitarbeiter gegenüber Unberechtigten verhindern.
Die vorgenommene Übermittlung von Informationen über eine Arbeitsunfähigkeitsbescheinigung an den neuen Arbeitgeber war weder für die Durchführung noch für die Beendigung des Beschäftigtenverhältnisses erforderlich, beinhaltete eine unzulässige Zweckänderung und war somit datenschutzrechtlich unzulässig.
Da der Betroffene auf Nachfrage allerdings mitteilte, dass er von seinem neuen Arbeitgeber über den Sachverhalt nur mündlich informiert worden sei und dieser ihm auch auf Nachfrage keine Belege hierfür zur Verfügung stelle, wurde dem bisherigen Arbeitgeber gegenüber lediglich ein Hinweis auf einen vermeintlichen Verstoß erteilt.
5.5 Datenpannen in der Wirtschaft
5.5.1 Besondere Zeiten: Datenpannen im Lockdown
Als Coronamaßnahme mussten in diesem Jahr einige Branchen aufgrund der ergangenen Landesverordnung ihren aktiven Geschäfts- oder Vereinsbetrieb vorübergehend einstellen oder einschränken, Auswirkungen der Pandemie ergaben sich in unterschiedlichem Maße für nahezu alle Verantwortlichen.
Um ihre Kundinnen und Kunden oder Mitglieder über Schließungen, Wiedereröffnungen, geänderte Öffnungszeiten oder weitere Maßnahmen zu benachrichtigen, wählten viele Verantwortliche eine Zusendung von Informationen per E-Mail. Hier kam es zu einer Vielzahl von Versendungen mit offenem E-Mail-Verteiler und somit zur unrechtmäßigen Offenlegung von personenbezogenen Daten, denn die Empfänger erfuhren auf diese Weise unbefugt Namen und E-Mail-Adressen anderer Personen.
In einem weiteren Fall erfolgte zwar der Versand eines Informationsschreibens per E-Mail korrekt, allerdings war der E-Mail anstatt eines nicht personalisierten Schreibens ein zuvor erstellter Serienbrief angehängt, aus dem sich sämtliche Namen und Anschriften derjenigen Personen ergaben, denen das Schreiben auf dem Postweg zugestellt wurde. Eine Kontrolle durch Aufrufen und Prüfen der angehängten Datei vor dem Absenden hätte als organisatorische Maßnahme mit wenig Aufwand die unbefugte Offenlegung der personenbezogenen Daten abwenden können.
Bei vielen Verantwortlichen wurde die Anzahl der im Unternehmen vor Ort tätigen Beschäftigten reduziert und die Tätigkeiten, soweit möglich, von zu Hause aus im sogenannten Homeoffice (siehe auch Tz. 6.3.3) ausgeübt. Da die bisherigen Infrastrukturen nicht umfassend zur Verfügung standen, waren die üblichen Arbeitsabläufe teilweise gestört. Wege, sich diesbezüglich zu behelfen, standen nicht immer im Einklang mit der Datenschutz-Grundverordnung und führten somit zu weiteren Verletzungen des Schutzes personenbezogener Daten.
So stellte ein Verantwortlicher bei der Prüfung von Unregelmäßigkeiten im Bereich der E-Mail-Verarbeitung fest, dass mittels eines unrechtmäßig installierten Programms zur Fernnutzung von Computern von einem externen Computer Zugriff auf den Dienstcomputer einer Filiale genommen wurde. Die weiteren Ermittlungen ergaben, dass sich ein Beschäftigter die Freiheit genommen hatte, ohne Wissen seines Arbeitgebers sich selbst unerlaubt ins Homeoffice zu „versetzen“. Um von zu Hause aus Kunden-E-Mails beantworten zu können, hatte er in diesem Zusammenhang eine Weiterleitung der auf den dienstlichen E-Mail-Account eingehenden Nachrichten an seine eigene private E-Mail-Adresse veranlasst.
Zu einer besonders umfangreichen Offenlegung von personenbezogenen Daten, die wohl auch in der geänderten Arbeitssituation in Zusammenhang mit den durch den Arbeitgeber getroffenen Maßnahmen zum Schutz der Beschäftigten begründet lag, kam es durch eine fehlerhafte Nutzung eines Transferlaufwerks. Um einem derzeit aus dem Homeoffice arbeitenden Beschäftigten zur Lösung von technischen Problemen Zugriff auf eine Mitarbeiterstatistik zu gewähren, wurde ihm diese auf einem Transferlaufwerk zur Verfügung gestellt – jedoch hatten außer ihm darauf auch sämtliche zu dieser Zeit im System angemeldeten Beschäftigten Zugriff. Der Verantwortliche stellte dar, dass dem Personalbereich zum sicheren Datentransfer von vertraulichen Daten entsprechende IT-Lösungen zur Verfügung stünden; durch einen Arbeitsfehler sei es dennoch zu der beschriebenen Verletzung des Schutzes personenbezogener Daten gekommen.
Was ist zu tun?
Besondere Zeiten bedürfen besonderer Lösungen, diese müssen jedoch dennoch den Vorgaben der Datenschutz-Grundverordnung entsprechen.
5.5.2 Gemeldete Datenpannen: Offenlegung personenbezogener Daten
durch falsche Berechtigungen
Dem Erstellen eines Berechtigungskonzepts sowie dessen Pflege und korrekter Verwaltung kommt als technischer und organisatorischer Maßnahme zum Schutz personenbezogener Daten eine große Bedeutung zu. Je nach Komplexität und Dynamik sind teilweise häufige Anpassungen notwendig, bei denen es immer wieder zu Fehlern kommt.
Bei den diesbezüglich gemeldeten Verletzungen des Schutzes personenbezogener Daten handelte es sich zumeist um die Erteilung fehlerhafter Berechtigungen für Beschäftigte, die auf diese Weise Zugriff auf die personenbezogenen Daten ihrer Kolleginnen und Kollegen erhielten; in einem Fall konnte Zugriff auf Ordner des Betriebsrats genommen werden.
Als Grund für die Einrichtung der fehlerhaften Berechtigung wurde in allen Fällen ein menschlicher Fehler der mit der Aufgabe betrauten Beschäftigten genannt. Einige Verantwortliche zeigten sich überrascht davon, dass diese Begründung für eine abschließende Bewertung des Vorfalls nicht als ausreichend betrachtet wurde. Da jedoch durch den Verantwortlichen geeignete technische und organisatorische Maßnahmen zu treffen sind, die den Schutz der personenbezogenen Daten gewährleisten, ist eine genauere Betrachtung erforderlich: Wie kam es zu dem menschlichen Fehler? Hier wurde den Verantwortlichen im Rahmen des aufsichtsbehördlichen Verfahrens die Gelegenheit gegeben, zu den zum Zeitpunkt des Vorfalles ergriffenen Maßnahmen (z. B. Prozesse, Arbeitsanweisungen, Ressourcen) Stellung zu nehmen. In verschiedenen Fällen wurde auf die Möglichkeit zur Stellungnahme verzichtet, jedoch angekündigt, das Rechtemanagement anlässlich der Verletzung des Schutzes personenbezogener Daten einer Revision zu unterziehen, teilweise unter Hinzuziehung von externen Fachkräften.
Eine Berechtigungsproblematik aus technischer Sicht ergab sich für einen Verantwortlichen bei der Nutzung eines Lohnportals. Der Personalbereich selbst lud hier die Steuerbescheinigungen der Beschäftigten auf das Portal hoch, die so Zugriff auf ihre Daten erhielten. In dem gemeldeten Sachverhalt wurde eine Bescheinigung unbemerkt irrtümlich in einem Format erstellt, das dazu führte, dass das Portal keine automatische Zuordnung der hochgeladenen Daten zu der passenden Person ausführen konnte. In der Folge wurde jedoch keine Fehlermeldung generiert, sondern die Steuerbescheinigung für sämtliche am Portal teilnehmenden Personen zur Einsichtnahme bereitgestellt. Als organisatorische Maßnahme zur Gewährleistung der Sicherheit der personenbezogenen Daten bestand für die mit der Verarbeitung betraute Beschäftigte die Anweisung, die korrekte Ausführung zu kontrollieren, was jedoch nicht erfolgte. Allerdings könnte hier auch in der technischen Funktionalität des Portals nachgebessert werden, denn eine Bereitstellung eines Dokuments für alle Beschäftigten sollte nicht der Standardfall sein.
Ebenfalls in Zusammenhang mit der Nutzung von Portalen standen Verletzungen des Schutzes personenbezogener Daten, die sich aus der fehlerhaften Vergabe von Zugangscodes ergaben. So beauftragte eine Baugenossenschaft einen Dienstleister, die Kontaktdaten der Mieterinnen und Mieter über ein Portal abzufragen. Beim Druck der Anschreiben mit jeweils einem persönlichen Zugangscode wurden jedoch die Codes nicht korrekt übernommen. In der Folge erhielten alle Empfängerinnen und Empfänger denselben Zugangscode und konnten nach dem Einloggen die Daten derjenigen Mieterinnen und Mieter sehen, die bereits Änderungen vorgenommen hatten. Trotz einer stichprobenartigen manuellen Kontrolle vor dem Absenden war der Fehler nicht entdeckt worden.
Was ist zu tun?
In Zusammenhang mit getroffenen technischen Maßnahmen ist jeweils zu beachten, welche flankierenden organisatorischen Maßnahmen erforderlich sind, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten.
5.5.3 Gemeldete Datenpannen: Diebstahl und Verlust von Hardware
Im Jahr 2020 gingen dem ULD mehrere Meldungen der Verletzung des Schutzes personenbezogener Daten zu, die den Diebstahl oder den Verlust von Hardware betrafen.
Die Art und Schwere der Vorfälle sowie der Grad der Fahrlässigkeit im Hinblick auf die zur Gewährleistung der Sicherheit der personenbezogenen Daten getroffenen Maßnahmen unterschieden sich hierbei stark. Aus technischer Sicht von Bedeutung war insbesondere, dass teilweise Datenträger mit personenbezogenen Daten nicht verschlüsselt wurden, obwohl diese den in der Regel hinreichend geschützten Bereich der Unternehmen verließen: So erfolgte in zwei Fällen der Versand von unverschlüsselten Datenträgern in einfachen Briefen. Der Verbleib eines USB-Sticks mit sensiblen Beschäftigtendaten blieb ungeklärt, da der Briefumschlag den Empfänger beschädigt und ohne den Datenträger erreichte (siehe auch Tz. 4.5.5), eine verloren geglaubte CD wurde zu einem späteren Zeitpunkt wieder aufgefunden.
In einem weiteren Fall wurde dem ULD der Diebstahl einer unverschlüsselten Festplatte mit umfangreichen personenbezogenen Kunden- und Beschäftigtendaten aus einem Back-up gemeldet. Die Festplatte war in einem Raum aufbewahrt worden, zu dem zwar nur ein begrenzter Personenkreis Zugang hatte, weitere physische Maßnahmen (z. B. Lagerung in einem abschließbaren Sicherheitsschrank) wurden jedoch nicht getroffen. Die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten reichten nicht aus.
Die Relevanz der organisatorischen Maßnahmen sowie die Notwendigkeit, diese konsequent anzuwenden, zeigte sich auch bei Meldungen, die in Zusammenhang mit der Bereitstellung von Hardware an Beschäftigte standen.
So wurde im Zuge der Prüfung eines Diebstahls eines unverschlüsselten Tablets durch eine Befragung des Beschäftigten festgestellt, dass hierauf entgegen der Annahme des Verantwortlichen personenbezogene Daten gespeichert worden waren, obwohl das Tablet hierfür nicht vorgesehen war. Der Umfang der Nutzung der zur Verfügung gestellten Hardware ist als organisatorische Maßnahme konkret festzulegen, entsprechend zu kommunizieren und auch in datenschutzrechtlichen Schulungen zu thematisieren.
Dass sich jedoch auch bei umfassenden organisatorischen Maßnahmen durch den Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten nicht vollständig ausschließen lässt, zeigte ein Vorfall, der sich auf ein bewusstes Fehlverhalten eines Beschäftigten zurückführen ließ. Entgegen der ihm erteilten detaillierten Anweisungen führte dieser neben seinem verschlüsselten Notebook auch einen unverschlüsselten USB-Stick mit darauf gespeicherten personenbezogenen Daten im Urlaub mit sich; beides wurde aus einem Pkw entwendet. Das Unternehmen nahm den Vorfall zum Anlass, die Sicherheit durch die technische Maßnahme zu erhöhen, das Speichern von Daten auf externen Datenträgern grundsätzlich zu deaktivieren. Das Reaktivieren dieser Funktion im berechtigten Einzelfall erfordert nun das Durchlaufen eines Genehmigungsprozesses, in dem die Ausnahme nachvollziehbar begründet werden muss.
Unter Abwägung insbesondere der Art, Schwere und Dauer des jeweiligen Verstoßes, dem Grad der Fahrlässigkeit und unter Berücksichtigung der ergriffenen Maßnahmen zur Minderung des eventuell entstandenen Schadens wurden gegenüber den Verantwortlichen Hinweise, Verwarnungen sowie auf die Zukunft gerichtete Warnungen ausgesprochen.
5.6 Videoüberwachung
Schon seit vielen Jahren ist Videoüberwachung ein Dauerbrenner unter den Beschwerden. Im Berichtszeitraum stiegen die Fallzahlen weiter an. Im Vergleich zu 2018 haben sich die Beschwerden im Jahr 2020 nahezu verdoppelt. Der Schwerpunkt lag dabei eindeutig auf Prüfungen von Videoüberwachungsanlagen von nichtöffentlichen Stellen, die durch Beschwerden bekannt geworden sind.
Nach wie vor gibt es zahlreiche Beschwerden über Videoüberwachung im Nachbarschaftskontext. Die Videoüberwachung hat aber bereits sämtliche Lebensbereiche durchdrungen – sie ist immer häufiger in Restaurants, Kliniken, Vereinen, Bürogebäuden von Unternehmen, Mehrfamilienhäusern, Schulen, in der Heilpraktikerpraxis oder in der Bäckerei um die Ecke zu finden. Die vermeintliche Kamera des bösen Nachbarn entpuppt sich zwar manchmal als Infrarot-Tiervertreiber oder als harmloses Vogelhäuschen. In einigen wenigen Fällen ist aber schon zu Beginn des Verfahrens klar, dass ein erheblicher Verstoß gegen die Datenschutz-Grundverordnung vorliegt und manchmal sogar eine Straftat im Raum steht. Das ist regelmäßig bei verdeckten Videoüberwachungen der Fall.
Üblicherweise werden die Verantwortlichen im Rahmen ihrer Kooperationsbereitschaft gebeten, auf freiwilliger Basis zu der betriebenen Videoüberwachung Stellung zu nehmen. Sofern sich die Verantwortlichen nicht freiwillig zum Sachverhalt äußern, können sie nach Art. 58 Abs. 1 Buchst. a DSGVO zu einer Auskunft verpflichtet werden. Das ist oftmals notwendig, da wir für eine vollständige Bewertung, ob die Videoüberwachung zulässig ist oder nicht, auf bestimmte Angaben angewiesen sind. Allein im Bereich der Videoüberwachung wurden im Berichtszeitraum daher 23 Auskunftsanordnungen erlassen. Dies geschieht immer dann, wenn die Verantwortlichen nicht freiwillig zum Vorwurf Stellung beziehen. Die Zahl zeigt aber auch, dass ein Großteil der Verantwortlichen durchaus kooperationsbereit ist und auf freiwilliger Basis eine Stellungnahme zur Videoüberwachung abgibt.
Im Berichtszeitraum wurde die Videoüberwachung zudem in elf Fällen ganz oder teilweise untersagt. Bei einer Kooperationsbereitschaft der Verantwortlichen erreichen wir oftmals bereits durch konstruktive Hinweise eine Veränderung der Videoüberwachung, sodass Verstöße gegen die Datenschutz-Grundverordnung beseitigt werden.
Insgesamt ist festzustellen, dass im Vergleich zu der Vergangenheit häufiger formelle Verfahren eingeleitet werden und auch die Anzahl der erlassenen Verwaltungsakte in diesem Bereich zugenommen hat. In einigen Fällen befinden wir uns bereits im Vollzug dieser Verwaltungsakte durch die Androhung und Festsetzung von Zwangsgeldern.
Verdeckte Videoüberwachung kann eine Straftat sein!
Wer eine Videoüberwachungskamera versteckt, um heimlich Aufnahmen z. B. von Mitarbeiterinnen und Mitarbeitern, Kundinnen und Kunden oder sogar Patientinnen und Patienten zu erstellen, macht sich nach § 201a Strafgesetzbuch (StGB) unter Umständen strafbar. Wir raten daher ausdrücklich von solchen Überlegungen ab. Betroffene Personen können sich gern mit Hinweisen an uns wenden oder – da diese Tat nur auf Antrag verfolgt wird – direkt eine Strafanzeige bei der zuständigen Staatsanwaltschaft stellen.
5.6.1 Private Videoüberwachung zu Hause – wer schaut mit?
In den vergangenen Jahren gab es immer wieder Hinweise aus der Bevölkerung auf Webseiten, die Aufnahmen von ungesicherten Videoüberwachungskameras veröffentlichen. Derartige Webseiten haben häufig kein Impressum und werden in der Regel außerhalb der EU betrieben, wodurch sie weitgehend der Kontrolle von Datenschutzaufsichtsbehörden entzogen sind.
Die Kameras, deren Bilder auf solchen Webseiten veröffentlicht werden, weisen eine große Bandbreite auf. Zum Teil handelt es sich um Webcams, die z. B. eine Strandpromenade oder ein Hafenbecken zeigen. Hier scheint eine Veröffentlichung durchaus gewollt zu sein. Genauso sind aber private Überwachungskameras zu finden, die z. B. den Eingangsbereich vor einem Wohnhaus, eine Lagerhalle, einen privaten Parkplatz oder gar ein schlafendes Kind im Babybett überwachen. In diesen Fällen kann kaum davon ausgegangen werden, dass die Betreiber von solchen privaten Kameras eine Veröffentlichung der Aufnahmen oder des Livestreams beabsichtigen. Im Regelfall möchte man nicht, dass alle Welt sehen kann, wann man selbst oder die Familie das Haus verlässt. Für diese Kameras ist durchaus fraglich, ob der Betreiber weiß, dass diese Informationen frei zugänglich im Netz verfügbar sind.
Immer wieder kommt es vor, dass solche Webseitenbetreiber das Internet gezielt nach Kameras durchsuchen, die von den Anwendern ungeschützt und ohne Passwortsicherung mit dem offenen heimischen WLAN und darüber auch mit dem Internet verbunden werden.
Auf den Webseiten werden teilweise Angaben zu angeblichen Standorten der einzelnen Kameras veröffentlicht. Unsere Recherche hat ergeben, dass diese nicht immer mit dem wahren Standort übereinstimmen. Bei einigen Kameras besteht die Möglichkeit, über die Homepage die Kontrolle über die Kamera zu übernehmen. Dies ermöglicht zum Teil ein Heranzoomen oder Schwenken der Kamera. Bei einigen Kameras war es in unseren technischen Tests zudem möglich, die Konfiguration zu ändern.
Was ist zu tun?
Personen, die eine Videoüberwachung betreiben und keine Veröffentlichung der Aufnahmen wünschen, sollten unbedingt geeignete technische Maßnahmen ergreifen, um nicht ungewollt zum nächsten Realitystar des Internets zu werden. Verlassen Sie sich nicht auf die voreingestellte Konfiguration (Voreinstellungen) und ändern Sie in jedem Fall das Standardpasswort. Vermeiden Sie Angaben, die auf den genauen Standort der Kamera schließen lassen, z. B. GPS-Daten oder textliche Beschreibungen. Wenn möglich ändern Sie den Erkennungstext (Herstellertext) der Kamera, damit die Erfassung durch Gerätesuchmaschinen erschwert wird. Achten Sie darauf, dass Sichtwinkeländerungen und Zoomfunktionen sowie Aufnahmen und Wiedergabe von Aufnahmen nur von berechtigten Personen durchgeführt werden können.
5.6.2 Kfz-Kennzeichenerfassung beim Parken
Eine Vielzahl von Beschwerden gab es im Berichtszeitraum zu Kfz-Kennzeichenerfassungssystemen zum Zweck der Parkraumbewirtschaftung. Die Systeme funktionieren oftmals so, dass bei der Einfahrt zur Parkfläche das Kfz-Kennzeichen des Fahrzeugs erfasst und zusammen mit der Uhrzeit der Einfahrt gespeichert wird. Wenn der Parkvorgang beendet werden soll, gibt man an einem Automaten sein Kfz-Kennzeichen ein und bezahlt den für die Parkdauer berechneten Betrag. An der Ausfahrt des Parkbereichs befindet sich eine weitere Kamera, die das Kfz-Kennzeichen des ausfahrenden Fahrzeuges erfasst und abgleicht, ob für dieses Kennzeichen die Parkkosten bezahlt wurden. In dem Fall öffnet sich die Schranke und das Fahrzeug kann den Parkbereich verlassen.
Andere Systeme verzichten auf die Schranken an der Ein- und Ausfahrt. Das kann schnell dazu führen, dass die betroffenen Personen gar nicht bemerken, dass sie einen kostenpflichtigen Parkbereich befahren. Das Gleiche gilt für die Ausfahrt, da ein Verlassen des Parkplatzes möglich ist, auch wenn für das Parken nicht bezahlt wurde. Fehlt die Zahlung, ermittelt der Parkflächenbetreiber über das vorhandene Kfz-Kennzeichen die Daten des Fahrzeughalters und fordert diesen auf, das Parkentgelt sowie eine Vertragsstrafe zu zahlen. Diese ist häufig mehr als doppelt so hoch wie der eigentlich zu entrichtende Betrag.
Die Parkflächenbetreiber geben für die Verarbeitung der Kfz-Kennzeichen zwei Rechtsgrundlagen an. Zum einen ist die Erfassung der Kfz-Kennzeichen nach ihrer Ansicht zur Erfüllung des Vertrags zwischen der betroffenen Person und dem Parkflächenbetreiber erforderlich. Zum anderen führen die Betreiber ein berechtigtes Interesse an, um sich gegen möglichen Parkzeitenbetrug zu schützen. Es komme häufig vor, dass Tickets verloren gingen und dann die Tageshöchstparkdauer gezahlt werden müsse. Dies sei weder für die Kunden noch für die Parkflächenbetreiber von Vorteil. Kunden müssten dann oft ein vielfach höheres Entgelt entrichten, als eigentlich notwendig gewesen wäre. Fälle, in denen Kunden ihr Fahrzeug tagelang auf einer Parkfläche abstellen und anschließend behaupten, das Parkticket verloren zu haben, bedeuteten einen wirtschaftlichen Verlust für den Parkflächenbetreiber. Durch eine Kfz-Kennzeichenerfassung könnten beide Fälle verhindert werden, da sich die exakte Parkdauer feststellen lasse.
Ob derartige Systeme aus datenschutzrechtlicher Sicht zulässig sind, lässt sich nicht pauschal beantworten. Wie so oft kommt es auf den Einzelfall an. Damit der Betreiber einer solchen Kfz-Kennzeichenerfassung die schutzwürdigen Interessen der betroffenen Personen ausreichend wahrt, muss deutlich und transparent auf die Datenverarbeitung hingewiesen werden. Den Fahrzeugführern muss bewusst gemacht werden, dass sie einen kostenpflichtigen Parkplatz befahren und das Kfz-Kennzeichen zu diesem Zweck erfasst wird. Zudem ist das Kennzeichen nur für den erforderlichen Zeitraum zu speichern und muss gelöscht werden, sobald der Parkvorgang und die Bezahlung abgeschlossen sind. Das System darf auch nicht zur Erstellung von Bewegungsprofilen oder zur Erfassung von Arbeitszeiten zweckentfremdet werden.
Es gibt auch Konstellationen, in denen die Kfz-Kennzeichenerfassung nicht zulässig ist. Wenn beispielsweise in einer privaten Tiefgarage eines Mehrfamilienhauses ein Kfz-Kennzeichenerfassungssystem genutzt würde, um dafür zu sorgen, dass nur berechtigte Personen Zugang zu der Tiefgarage erhalten, dürfte dieses Vorhaben höchstens aufgrund der Einwilligung der jeweiligen Betroffenen zulässig sein. Eine Interessenabwägung würde in diesem Fall zugunsten der betroffenen Personen ausschlagen, da diese kaum verpflichtet werden dürften, ihr Kennzeichen anzugeben. Wirtschaftliche Verluste, die durch das Verlieren von Parktickets entstehen, können hier auch nicht entstehen, da in solchen Tiefgaragen oder Parkhäusern die Parkfläche in der Regel nicht in Minuten oder Stunden abgerechnet wird. Entschließen sich Parkflächenbetreiber oder auch z. B. Wohnungseigentümergemeinschaften dazu, das Befahren eines privaten Parkhauses durch eine Kfz-Kennzeichenerfassung zu ermöglichen, sollte dies auf freiwilliger Basis erfolgen. Das bedeutet auch, dass für diejenigen, die damit nicht einverstanden sind, zusätzlich alternative Optionen angeboten werden, beispielsweise die Ausgabe von Parkkarten.
5.6.3 Videoüberwachung im Schwimmbad
Im vergangenen Jahr fand eine umfangreiche Prüfung einer Videoüberwachung in einem Schwimmbad statt. Im Bereich des Solebeckens des Bades waren zwei Videoüberwachungskameras installiert. Eine Kamera war auf die Wasseroberfläche, die andere auf das Drehkreuz am Zugang zum Solebecken und den dahinter gelegenen Umkleidebereich gerichtet. Ab einer bestimmten Uhrzeit ist dieses Becken ohne Badebekleidung zu nutzen.
Die Videoüberwachung der Wasseroberfläche wurde mit dem Schutz lebenswichtiger Interessen begründet. Das Becken ist im Außenbereich der Therme nahe an einer Hausfassade gelegen und umzäunt, sodass es durch die Badaufsicht nicht durch einfache Sichtkontrollen eingesehen werden kann. Eine Übertragung der Videobilder findet auf einen Monitor statt, der sich im Raum der Badaufsicht befindet. Dieser Raum ist nur der diensthabenden Badaufsicht zugänglich, die wiederum per Diensthandy die weiteren Mitarbeiterinnen und Mitarbeiter der Badaufsicht zu den potenziellen Einsatzorten schickt, wenn auf dem Monitor eine Situation wahrgenommen wird, die ein Eingreifen erfordert. Die Videobilder werden nicht gespeichert. Die Videobeobachtung der Wasseroberfläche des Solebeckens soll dazu beitragen, Leib, Leben und körperliche Unversehrtheit der betroffenen Personen zu schützen. Der Verantwortliche konnte darlegen, dass diese Schutzgüter im Solebecken durch die tatsächlichen Umstände, wie u. a. den hohen Salzgehalt und die Wärme, besonders gefährdet sind. Da es sich vorliegend um eine Videoüberwachung zum Schutz von sehr hochrangigen Rechtsgütern handelt und zumindest keine Speicherung der Aufnahmen erfolgt, haben wir – außer der Verbesserung der Informationen für die betroffenen Personen – keine Maßnahmen gegen den Betrieb der Kamera ergriffen.
Die Videoüberwachung des Zugangs zum Solebecken und des dahinter gelegenen Umkleidebereiches stützte die verantwortliche Stelle auf ihr berechtigtes Interesse: Durch die Videoüberwachung solle verhindert werden, dass sich Badegäste Zutritt zum Solebecken verschaffen, ohne hierfür das Entgelt von wenigen Euro entrichtet zu haben. Diesem Interesse standen jedoch überwiegende schutzwürdige Interessen der betroffenen Personen entgegen. Denn im Bereich des Drehkreuzes zum Solebecken legen betroffene Personen ihr Handtuch oder ihren Bademantel ab, um in das Becken zu gelangen. In den Zeiten des textilfreien Badens im Solebecken konnten sie somit gänzlich unbekleidet von der Kamera erfasst werden. Die Videoüberwachung in diesem Bereich haben wir aufgrund des unverhältnismäßigen Eingriffs in die Rechte und Freiheiten der betroffenen Personen untersagt. In diesem Bereich ging es nicht mehr um lebenswichtige Interessen und hochrangige Schutzgüter der Badegäste, sondern um die Wahrung rein wirtschaftlicher Interessen des Verantwortlichen. Die schutzwürdigen Interessen der betroffenen Personen waren an dieser Stelle schwerer zu gewichten. Wir haben diese Videoüberwachung daher per Anordnung untersagt. Die Anordnung wurde von der verantwortlichen Stelle auch akzeptiert, die Kamera wurde abgebaut.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |