05

Kernpunkte:


  • Vorabübermittlung von Impf- und Genesenennachweisen
  • Übermittlung des Impfstatus ans Gesundheitsamt
  • Datenpannen in der Wirtschaft
  • Videoüberwachung im Fitnessstudio

 

5    Datenschutz in der Wirtschaft

5.1          Datenverarbeitung in Corona-Testzentren

Mehrere Beschwerden, die beim ULD eingingen, bezogen sich auf die Datenverarbeitung in Corona-Testzentren. So wurde u. a. moniert, dass betroffene Personen nicht ausreichend über die Verarbeitung ihrer Daten informiert worden seien. Weiterhin wurde dem ULD mitgeteilt, dass ein Testergebnis ohne zuvor erfolgten Test übermittelt wurde.

Art. 5 Abs. 1 Buchst. f DSGVO
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung.

Einer der Grundsätze für die Verarbeitung personenbezogener Daten sieht vor, dass diese in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung (Integrität und Vertraulichkeit). Hierzu setzt der Verantwortliche gemäß Artikel 24 DSGVO geeignete technische und organisatorische Maßnahmen um. Weiterhin müssen bei der Verarbeitung personenbezogener Daten auch die Informationspflichten aus Artikel 13 DSGVO beachtet werden. Demnach teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung die in Art. 13 Abs. 1 und 2 DSGVO genannten Informationen mit. Diese beinhalten u. a. Angaben zum Zweck der Verarbeitung und der Speicherdauer sowie zu den bestehenden Betroffenenrechten.

In den vorliegenden Fällen wurden nach erfolgter Anhörung durch das ULD seitens der Verantwortlichen konkrete Maßnahmen umgesetzt, um die monierten Missstände zu beseitigen und eine datenschutzkonforme Verarbeitung der Daten zu gewährleisten. Es wurden hierzu u. a. die Informationsschreiben für die betroffenen Personen angepasst. Die Übermittlung eines Testergebnisses ohne zuvor erfolgten Test erfolgte in einem Einzelfall aufgrund des Bedienfehlers des Mitarbeiters eines Testzentrums. Hierbei bekam der Kunde seine eigenen Daten übermittelt, ohne dass es zur Offenlegung der Daten gegenüber unberechtigten Dritten kam. In diesem Fall wurde durch den Verantwortlichen eine zusätzliche Checkbox in der verwendeten Software zur Verarbeitung der Daten implementiert. Weiterhin erfolgte eine erneute Sensibilisierung der Mitarbeiter hinsichtlich der datenschutzrechtlichen Bestimmungen im Umgang mit den Kundendaten.

Das ULD erteilte in den Fällen, in denen datenschutzrechtliche Verstöße festgestellt wurden, gegenüber den Verantwortlichen Hinweise zur datenschutzkonformen Anpassung der Verarbeitungsvorgänge gemäß Art. 58 Abs. 1 Buchst. d DSGVO.

 

5.2          Zweckentfremdung von Kundendaten für politische Zwecke

Mehrere Beschwerden, die beim ULD eingingen, bezogen sich auf die Zweckentfremdung von Kundendaten, die seitens eines Verantwortlichen für Kundenkarten verarbeitet wurden. Die hierzu erhobenen Adressdaten nutzte das Unternehmen zweckwidrig dazu, um Werbung für ein Bürgerbegehren zu machen. Hierdurch sollten die Adressaten dazu bewegt werden, das Bürgerbegehren zu unterschreiben.

Art. 5 Abs. 1 Buchst. b DSGVO
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Einer der Grundsätze für die Verarbeitung personenbezogener Daten sieht vor, dass diese für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Die betroffenen Personen hatten im vorliegenden Fall ihre Adressdaten im Zusammenhang mit der Nutzung der Kundenkarte an den Verantwortlichen übermittelt. Darin erschöpfte sich der Zweck der Datenverarbeitung.

Die Nutzung der Adressdaten zur Werbung für ein Bürgerbegehren stellt einen anderen Zweck dar, welcher zudem mit dem Zweck der Verwendung einer Kundenkarte in keinem inneren Zusammenhang stand. Für die Verwendung der Adressdaten zur Übermittlung der Schreiben hinsichtlich des Bürgerbegehrens hätte es demnach einer gesonderten Rechtsgrundlage bedurft. Der Verantwortliche gab dem ULD gegenüber an, dass er die Schreiben aufgrund seines berechtigten Interesses nach Art. 6 Abs. 1 Buchst. f DSGVO an die Nutzerinnen und Nutzer der Kundenkarte versandt hätte.

Er sei davon ausgegangen, dass für den angeschriebenen Personenkreis ein Interesse an dem Bürgerbegehren bestehe, da der Inhalt des Begehrens sich auf diesen auswirke.

Art. 6 Abs. 1 Buchst. f DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Dieser Wertung folgte das ULD nicht. Es liegt nicht im Erwartungshorizont der Nutzerinnen und Nutzer von Kundenkarten, dass diese unter den angegebenen Adressdaten wegen eines Bürgerbegehrens angeschrieben werden. Ferner geht es bei der Prüfung von Art. 6 Abs. 1 Buchst. f DSGVO zunächst um die Prüfung eines berechtigten Interesses des Verantwortlichen. Hinsichtlich des betroffenen Personenkreises ist hingegen zu untersuchen, ob und welche Interessen einer Verarbeitung entgegenstehen können. Daher konnte nicht pauschal darauf verwiesen werden, man nehme an, das Bürgerbegehren könnte für den angeschriebenen Personenkreis interessant sein.

Das ULD stellte folglich einen datenschutzrechtlichen Verstoß fest und erteilte dem Unternehmen Maßgaben, in welchem Rahmen personenbezogene Daten der Kundinnen und Kunden verarbeitet werden dürfen und dass der Grundsatz der Zweckbindung der Datenverarbeitung einzuhalten ist.

 

5.3          Tauchsport und Gesundheitsdaten zum Coronavirus

Das ULD wurde darauf aufmerksam gemacht, dass ein Verein im Rahmen des Trainings einer Tauchsportgruppe Corona-Daten der Mitglieder abfragte. Hierzu wurde den Mitgliedern vorab ein Fragebogen übermittelt, der verschiedene Fragen zum Gesundheitszustand enthielt. So wurden neben der Frage nach dem Auftreten von Corona-Symptomen auch Informationen hinsichtlich erfolgter Kontakte zu Corona-Erkrankten und kürzlich erfolgter Reisen in ein Risikogebiet gestellt. Die Beantwortung der Fragen sollte vor jedem Training erfolgen. Die Mitglieder wurden darauf hingewiesen, dass ohne die Beantwortung der Fragen eine Teilnahme am Training nicht möglich sei. Die Fragebögen wurden für vier Wochen durch den Verein gespeichert.

Bei den abgefragten Informationen handelt es sich um Gesundheitsdaten, die einem höheren Schutzbedarf unterliegen. Eine Verarbeitung dieser Daten wäre hier nur rechtmäßig gewesen, wenn eine Einwilligung der betroffenen Kunden vorgelegen hätte. Im vorliegenden Fall wurde jedoch die Teilnahme am Tauchtraining an die Angaben der Mitglieder zum aktuellen Gesundheitszustand gekoppelt, was keine freie Willensbekundung darstellt. Es lag demnach keine Rechtsgrundlage zur Verarbeitung der Gesundheitsdaten vor.

Anzuzweifeln waren auch die Erforderlichkeit und Eignung der Gesundheitsfragen. So bestand das Risiko, dass keine wahrheitsgemäße Beantwortung der Fragen erfolgt, wenn seitens der Mitglieder ein starkes Interesse an der Teilnahme am Tauchtraining vorliegt. Die Abfrage der Gesundheitsdaten stellte demnach kein geeignetes Mittel dar, um die anderen Teilnehmer vor einer möglichen Corona-Infektion zu schützen.

Das ULD verfügte neben der Löschung der erhobenen Gesundheitsdaten, dass eine Abfrage der Gesundheitsdaten seitens des Vereins nicht mehr durchgeführt wird. Abschließend wurde ein Hinweis nach Art. 58 Abs. 1 Buchst. d DSGVO erteilt und darauf hingewiesen, dass es zur Verarbeitung von Gesundheitsdaten einer Rechtsgrundlage bedarf, die sich nur aus Art. 9 Abs. 2 DSGVO ergeben kann.

 

5.4          Vorabübermittlung von Impf- und Genesenennachweisen bei Buchung einer Ferienwohnung

Gegenstand einer Beschwerde war die Vorabübermittlung von Impf- und Genesenennachweisen bei der Buchung einer Ferienwohnung. Der Gast wurde hierbei dazu aufgefordert, diese Nachweise vorab per E-Mail an den Vermieter zu übermitteln. Zudem wurde dem Gast mitgeteilt, dass ohne ein vorheriges Übersenden der Nachweise der Antritt der Reise nicht möglich wäre.

Bei Informationen hinsichtlich des Impf- und Genesenenstatus einer Person handelt es sich um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO). Diese Daten unterliegen einem erhöhten Schutzbedarf.

Vorgaben hinsichtlich des Test-, Genesenen- und Impfstatus von Personen fanden sich in der jeweils gültigen Corona-Bekämpfungsverordnung des Landes Schleswig-Holstein (Corona-BekämpfVO). Demnach galt für bestimmte Einrichtungen, dass eine Beherbergung von Personen nur zulässig war, wenn diese geimpft oder genesen waren. Demnach musste durch den Verantwortlichen gewährleistet werden, dass diese Vorgaben eingehalten werden. Die Corona-BekämpfVO sah vor, dass im Rahmen der Kontrolle der entsprechenden Nachweise auch eine Überprüfung der Identität mittels eines gültigen amtlichen Lichtbildausweises erfolgen muss, sofern die Person nicht persönlich bekannt ist.

Aus der Corona-BekämpfVO ergab sich jedoch keine Verpflichtung, sich diese Nachweise in irgendeiner Form vorab übermitteln zu lassen. Zur Erfüllung der Vorgaben aus der Corona-BekämpfVO reichte die kurze Einsichtnahme in die entsprechenden Nachweise aus. Zudem konnte der Umstand vermerkt werden, dass kontrolliert wurde. Eine Rechtsgrundlage zur Verarbeitung dieser Daten konnte sich nur aus Art. 6 Abs. 1 in Verbindung mit Art. 9 DSGVO (und gegebenenfalls weiteren landesrechtlichen Regelungen) ergeben.

Wie auch schon im vergangenen Jahr zeigte sich in solchen Fällen, dass die Aufforderung zur Vorabübermittlung der Nachweise aus Unwissenheit und fehlenden Vorgaben zur praktischen Umsetzung der Corona-BekämpfVO erfolgte.

Schließlich änderten sich während der Bearbeitung der Beschwerde die Vorgaben der Corona-BekämpfVO dahin gehend, dass selbst die Kontrolle der Impf- und Genesenennachweise nicht mehr erforderlich war.

Der Verantwortliche wurde vom ULD auf die Unrechtmäßigkeit der Vorabübermittlung der Nachweise hingewiesen. Der Vermieter der Ferienwohnung wurde angehalten, von der Praxis einer Vorabübersendung von Unterlagen zum Test-, Genesenen- und Impfstatus künftig abzusehen. Für eine entsprechende Anforderung fehlte eine Rechtsgrundlage. Ferner bestand nun auch keine Kontrollverpflichtung mehr.

Weiterhin wurde mitgeteilt, dass bei einem gegebenenfalls erneuten Inkrafttreten von Kontrollpflichten die datenschutzrechtlichen Bestimmungen sowie die Vorgaben der jeweils gültigen Corona-Bekämpfungsverordnung des Landes Schleswig-Holstein eingehalten werden müssen.

 

5.5          Einsichtnahme in Impfnachweise bei Kinobesuch

Ende des Jahres 2021 erreichten uns mehrere Beschwerden, die sich auf die Einsichtnahme sowie das Fotografieren von Impfnachweisen beim Besuch eines Kinos bezogen.

Vorgaben hinsichtlich des Test-, Genesenen- und Impfstatus von Personen fanden sich in der jeweils gültigen Corona-Bekämpfungsverordnung des Landes Schleswig-Holstein (Corona-BekämpfVO). Demnach galt für Freizeit- und Kultureinrichtungen, dass nur Besucherinnen und Besucher in die Einrichtung eingelassen werden dürfen, wenn diese im Sinne von § 2 Nummer 2, 4 oder 6 COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) geimpft, genesen oder getestet waren. Demnach mussten die Einrichtungen gewährleisten, dass diese Vorgaben eingehalten wurden. Aus der Corona-BekämpfVO ergab sich jedoch keine Verpflichtung, diese Nachweise in irgendeiner Form zu speichern.

Eine Gewährleistung, dass nur Personen mit den entsprechenden Nachweisen die Räumlichkeiten betreten, war datensparsam durch eine bloße Sichtkontrolle in die mitgeführten Unterlagen möglich. Das Abfotografieren und Speichern der Unterlagen war zur Einhaltung der Kontrollverpflichtung nicht erforderlich.

In den vorliegenden Sachverhalten wurden seitens des ULD Hinweise nach Art. 58 Abs. 1 Buchst. d DSGVO erteilt und Erläuterungen gegeben, dass für Freizeit- und Kultureinrichtungen keine Verpflichtung bestand, die Nachweise zu speichern. Zudem wurde die Löschung der bisher erhobenen Daten verfügt.

Aus den Rückmeldungen der Verantwortlichen ergab sich im Übrigen, dass in einigen Fällen die Nachweise nicht abfotografiert worden sind, sondern lediglich eine Überprüfung des Impfstatus mittels der CovPassCheck-App erfolgte.

 

5.6          Verwendung von Bildern der Töchter auf Webseite

Das ULD erreichte die Beschwerde einer Mutter, die sich auf die Verwendung von Bildern ihrer Töchter auf einer Webseite bezog. Die Webseite wurde von dem Vater der Kinder betrieben, der mittels dieser Webseite seine Sicht der Dinge auf die vorangegangene Trennung und den darauf folgenden Sorgerechtsstreit darstellen wollte. Das alleinige Sorgerecht wurde hier zuvor der Mutter zugesprochen.

Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn mindestens eine der in der genannten Norm aufgeführten Bedingungen erfüllt ist. Es bedarf also einer Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Kinder verdienen hinsichtlich ihrer personenbezogenen Daten besonderen Schutz, da diese sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.

Für bestimmte Dienste der Informationsgesellschaft sieht die DSGVO vor, dass für Kinder, die das 16. Lebensjahr noch nicht vollendet haben, eine Einwilligung des gesetzlichen Vertreters zur Verarbeitung der personen-

bezogenen Daten des Kindes
vorliegen muss. Eine Einwilligung des Kindes alleine ist nicht ausreichend. Diese Bestimmung zur Altersgrenze kann eine Richtschnur auch für Sachverhalte bieten, in denen nicht ein spezifischer Dienst im Fokus steht. Bei Kindern unter 16 Jahren ist daher grundsätzlich zu prüfen, ob für die Abgabe von Einwilligungserklärungen die nötige Einsichtsfähigkeit gegeben ist.

Das Alter der Töchter betrug zum Zeitpunkt der Beschwerde vier und sechs Jahre. Demnach war zur Verarbeitung ihrer personenbezogenen Daten die Einwilligung des gesetzlichen Vertreters notwendig. Da das alleinige Sorgerecht der Mutter zugesprochen wurde, war hier für die Veröffentlichung der Bilder auf der Webseite deren Einwilligung erforderlich. Diese lag jedoch nicht vor.

Der Vater wurde seitens des ULD angeschrieben und zur Löschung aller Bilder, auf denen die Töchter auf der Webseite zu sehen waren, aufgefordert. Dieser zeigte sich jedoch nicht sehr kooperativ und bestritt, der Betreiber der Webseite zu sein, wollte diesen gegenüber dem ULD aber auch nicht nennen. Es lagen jedoch ausreichend Anhaltspunkte dafür vor, dass der Vater auch der Betreiber der Webseite war. Als nach wiederholter Aufforderung keine Löschung der Bilder von der Webseite erfolgte, wurde die Löschung der Bilder unter Androhung eines Zwangsgelds angeordnet.

Daraufhin deaktivierte der Vater den Webauftritt. Das aufsichtsbehördliche Verfahren wurde mit einer Warnung an den Vater abgeschlossen, zukünftig ohne vorhandene Rechtsgrundlage (Einwilligung der Sorgeberechtigten) Bilder der Töchter zu veröffentlichen.

 

5.7          Übermittlung des Impfstatus von Beschäftigten an das Gesundheitsamt

Für Beschäftigte in Medizin und Pflege und weitere Personen, die in entsprechenden Einrichtungen tätig sind, gilt seit dem 16. März 2022 eine einrichtungsbezogene Impfpflicht. Das Gesetz zur einrichtungsbezogenen Impfung sieht nach dem § 20a Infektionsschutzgesetz (IfSG) vor, dass Personen, die in medizinischen und pflegerischen Einrichtungen tätig sind, über einen gültigen Nachweis einer Impfung oder Genesung verfügen und diesen bei der Einrichtungsleitung vorlegen müssen.

Wenn der Nachweis nicht bis zum Ablauf des 15. März 2022 vorgelegt wurde oder wenn Zweifel an der Echtheit oder inhaltlichen Richtigkeit des vorgelegten Nachweises bestehen, hat die Leitung der jeweiligen Einrichtung unverzüglich das zuständige Gesundheitsamt darüber zu benachrichtigen.

In einer Ende März eingereichten Beschwerde beklagte eine Beschäftigte einer entsprechenden Einrichtung, dass sie an das Gesundheitsamt gemeldet wurde. Es sei zwar richtig, dass sie keinen entsprechenden Nachweis vorgelegt habe, aufgrund einer längerfristigen Erkrankung sei derzeit jedoch nicht absehbar, wann sie ihre Arbeitsfähigkeit zurückerlange und wieder einer Beschäftigung in der Einrichtung nachgehen könne.

Nach den Regelungen des IfSG hat zwar die Leitung der jeweiligen Einrichtung unverzüglich das Gesundheitsamt darüber zu benachrichtigen, dass der erforderliche Nachweis nicht vorgelegt wurde, dieses bezieht sich allerdings lediglich auf die Personen, die in der entsprechenden Einrichtung „tätig“ sind. Dabei ist es erforderlich, dass die Person regelmäßig und nicht nur zeitlich vorübergehend in der Einrichtung tätig ist, sodass beispielsweise auch regelmäßig dort tätige Handwerker, Auszubildende oder freie Mitarbeiter der Nachweispflicht unterfallen.

Da die Tätigkeit allerdings nicht gleichbedeutend mit einem Beschäftigungsverhältnis im sozialversicherungsrechtlichen Sinne ist und es nach dem Sinn und Zweck des § 20a IfSG auf die Ausübung der Tätigkeit und nicht auf das bloße Bestehen eines Beschäftigungsverhältnisses ankommt, sind Personen, die sich bei Ablauf der Frist im Mutterschutz, in Elternzeit, in vollständiger Freistellung wegen Pflegezeit befinden oder einem Beschäftigungsverbot unterliegen, erst bei ihrer Rückkehr vorlagepflichtig. Das Gleiche gilt für Sonderurlaub, Krankschreibung oder Ruhen des Arbeitsverhältnisses wegen befristeter Erwerbsminderung.

Im Rahmen des durchgeführten Verfahrens räumte die Einrichtungsleitung die Übermittlung an das Gesundheitsamt ein. Nach ihrer Schilderung sei die Meldung nach bestem Wissen und Gewissen und sorgfältigem Studium des § 20a IfSG als auch sämtlicher damals veröffentlichter Leitlinien und Handreichungen des Gesundheitsministeriums zur Umsetzung der einrichtungsbezogenen Impfpflicht erfolgt.

Die hierzu erschienene Handreichung des Bundesministeriums für Gesundheit zur Impfprävention in Bezug auf einrichtungsbezogene Tätigkeiten, die auf die zu beachtende Unterscheidung zwischen „tätig“ und „beschäftigt sein“ hinweist, sei jedoch erst am 22. März 2022 erschienen, sodass sie zum Zeitpunkt des Inkrafttretens der einrichtungsbezogenen Impfpflicht und somit auch zum Zeitpunkt der Übermittlung der Daten an das Gesundheitsamt noch nicht vorlag.

Durch diese am 22. März 2022 erfolgte Klarstellung des Bundesministeriums hätte auch nach Auffassung der Einrichtungsleitung die Übermittlung der Daten der erkrankten Beschäftigten nicht stattfinden dürfen. Da die Einrichtungsleitung das Gesundheitsamt darüber hinaus bat, die fälschlicherweise übermittelten Daten umgehend zu löschen, konnte von weiteren Maßnahmen abgesehen werden.

 

5.8          Dokumentation der Übergabe einer fristlosen Kündigung

Fristlose Kündigungen sind für Beschäftigte wie für Arbeitgeber eine heikle Angelegenheit. Ein Beschäftigter beklagte sich beim ULD, dass ihm die fristlose Kündigung durch einen ihm bekannten Beschäftigten des Arbeitgebers persönlich überbracht worden sei und sowohl der Inhalt der Kündigung als auch die Übergabe von diesem fotografiert worden sei. Der Beschäftigte fühlte sich dadurch in seinem Recht auf Datenschutz verletzt.

Die Kenntnisnahme des Inhalts eines Kündigungsschreibens zu Zwecken des Nachweises der Übergabe war als erforderlich zur Beendigung des Beschäftigungsverhältnisses im Sinne des § 26 BDSG anzusehen. Bei anderen Übergabeformen, wie beispielsweise bei einem Einschreiben, könnte sowohl die Zustellung scheitern, wenn der Empfänger beim Zustellversuch nicht anwesend ist, oder der Inhalt des zugestellten Briefes kann nicht rechtssicher nachgewiesen werden.

Zu prüfen war in diesem Fall zudem, ob das Fotografieren des Inhalts und der Übergabe der fristlosen Kündigung als (noch) erforderlich erachtet werden konnte oder ob es sich dabei um eine nicht gerechtfertigte Verarbeitung personenbezogener Daten handelte, weil die Übergabe durch den Boten persönlich bezeugt werden könnte. Erforderlich ist eine Verarbeitung dann, wenn sie zur Erreichung des legitimen Zweckes der Verarbeitung notwendig ist und kein anderes gleich geeignetes milderes Mittel zur Verfügung steht. Der Nachweis durch eine Fotografie, dass gerade ein Schreiben mit dem Inhalt einer fristlosen Kündigung vom Boten übergeben wird, konnte als erforderlich beurteilt werden, weil sie die Übergabe gerade dieses Schreibens dokumentierte.

Darüber hinaus hatte der Arbeitgeber nachzuweisen, dass es sich bei dem Boten um einen Beschäftigten des Unternehmens, der mit Personalangelegenheiten betraut war, handelte und die Dokumentation der Übergabe des Kündigungsschreibens durch ein Diensttelefon erfolgt war.

Was ist zu tun?
Arbeitgeber müssen sicherstellen, dass nicht nur bei Begründung und Durchführung eines Beschäftigungsverhältnisses, sondern auch bei dessen Beendigung nur solche Daten verarbeitet werden, die zu diesen Zwecken erforderlich sind.

 

5.9          Auslesen von Impressumsangaben zum Zweck der Direktwerbung

Durch eine Beschwerde erlangte das ULD Kenntnis von einer Auskunft, in der ein Unternehmen der betroffenen Person mitteilte, dass die zum Zweck der Direktwerbung genutzten personenbezogenen Daten aus dem Impressum seiner Webseite entnommen wurden.

Impressum

Impressums- oder auch Anbieterkennzeichnungspflicht bedeutet, dass der Anbieter eines Online-Angebots, das nicht ausschließlich privaten oder familiären Zwecken dient, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar seinen vollständigen Namen und seine vollständige Anschrift im Angebot vorzuhalten hat. Für in Hamburg und Schleswig-Holstein betriebene Internetseiten kontrolliert die Medienanstalt Hamburg/Schleswig-Holstein die Einhaltung dieser Anforderungen.

Die Daten in einem Impressum werden nicht freiwillig, sondern aufgrund der gesetzlichen Verpflichtung zur Anbieterkennzeichnung gemäß § 5 Telemediengesetz (TMG) bzw. § 55 Abs. 2 Rundfunkstaatsvertrag (RStV) veröffentlicht. Eine Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO führt daher mangels Freiwilligkeit der Veröffentlichung regelmäßig dazu, dass eine werbliche Nutzung der so erhobenen Daten unzulässig ist.

Der Verantwortliche teilte hierzu mit, dass irrtümlich ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO angenommen wurde, und bestätigte nach erfolgter eigener rechtlicher Prüfung unter Hinzuziehung eines eigenen Anwaltes, dass die Voraussetzungen für eine werbliche Nutzung der Daten ohne vorherige Einwilligung der betroffenen Person mangels bestehender Kundenbeziehung nicht vorlagen.

Nach seiner Angabe habe es sich bei der im Falle des Beschwerdeführers erfolgten Erhebung personenbezogener Daten aus dem Impressum jedoch um einen Ausnahmefall gehandelt. Der Verantwortliche bestätigte ausdrücklich, dass es keine weiteren Fälle dieser Art gegeben habe, und versicherte, dass sich ein solcher Vorgang nicht wiederholen werde.

Unter Berücksichtigung der erfolgten Zusicherung eines Einzelfalls, der ursprünglich innerhalb weniger Tage erfolgten Auskunft an den Beschwerdeführer und der inzwischen erfolgten Löschung der streitgegenständlichen Daten wurde dem Verantwortlichen unter Abwägung insbesondere der Art, Schwere und Dauer des Verstoßes, dem Grad der Fahrlässigkeit und den ergriffenen Maßnahmen zur Minderung des eventuell entstandenen Schadens eine Warnung dahin gehend erteilt, dass er im Falle einer werblichen Nutzung von personenbezogenen Daten aus einem Impressum gegen die Datenschutz-Grundverordnung verstößt.

 

5.10          Rückabwicklung bei EC-Kartenzahlung

Während der Coronapandemie kam es zu vielen Absagen von Veranstaltungen und Konzerttickets konnten zurückgegeben werden. Die Rückabwicklung der Ticketverkäufe führte dann zur Erstattung der Kaufpreise.

In einem Beschwerdefall hatte die Vorverkaufsstelle nach Absage einer Veranstaltung den per EC-Karte gezahlten Ticketpreis nur gegen Angabe des Namens, der Kontonummer, Anschrift, Telefonnummer und E-Mail-Adresse des Kunden erstatten wollen. Auch in diesem Fall war die Datenverarbeitung im Hinblick auf ihre Vereinbarkeit mit der Datenschutz-Grundverordnung zu prüfen.

Es wurde ein aufsichtsbehördliches Verfahren nach § 74 LVwG eingeleitet und das verantwortliche Unternehmen um eine Stellungnahme gebeten. Die Prüfung des Sachverhalts ergab, dass die Erhebung der Kontaktdaten für die Rückerstattung eines Tickets, das mit EC-Karte bezahlt wurde, nicht erforderlich ist. Bei diesen Informationen handelt es sich um personenbezogene Daten des Kontoinhabers, die nur dann verarbeitet werden dürfen, wenn diese Verarbeitung auf eine der in Artikel 6 DSGVO genannten Rechtsgrundlagen gestützt werden kann und dafür erforderlich ist. Eine solche Erforderlichkeit war für die Rückzahlung des Kaufpreises nicht gegeben. Die Rückzahlung kann dabei auf dem gleichen Zahlungsweg erfolgen wie die Kaufpreiszahlung.

Was ist zu tun?
Veranstalter haben bei Ticketverkäufen stets zu prüfen, welche personenbezogenen Daten im Falle einer Rückabwicklung erforderlich sind.

 

5.11          Veröffentlichung von Wohnungsfotos und Durchführung von Besichtigungen

Im Frühjahr des Jahres 2022 ging beim ULD eine Beschwerde eines Mieters ein, in der er beklagte, dass sein Vermieter ohne seine Zustimmung Wohnungsfotos zur Neuvermietung im Internet veröffentlichte und Wohnungsbesichtigungen in seiner Abwesenheit durchführte.

Er schilderte, dass der Vermieter nach der erfolgten Mietvertragskündigung eine Wohnungsvorabnahme durchgeführt habe. Da der Mieter zu diesem Zeitpunkt ortsabwesend war, habe er auf seine Nachbarin verwiesen, die einen Zweitschlüssel hatte und dem Vermieter die Wohnung zur Durchführung der Vorabnahme aufschließen durfte. Im Rahmen der Durchführung der Wohnungsvorabnahme wurden allerdings Fotos von der Wohnung angefertigt und ohne Zustimmung des derzeitigen Mieters im Internet hochgeladen.

Darüber hinaus habe der Vermieter die Nachbarin in acht Fällen gebeten, im Namen des Vermieters Wohnungsbesichtigungen mit Mietinteressenten durchzuführen, ohne dass der Mieter hiervon in Kenntnis gesetzt oder an einer Terminabstimmung beteiligt wurde.

Obwohl die Veröffentlichung von Wohnungsfotos eine schnellere Wiedervermietung fördern kann, rechtfertigt dies nicht, Aufnahmen von den privaten Lebensbedingungen ohne Wissen und Einverständnis des Mieters zu erstellen. Das Persönlichkeitsrecht überwiegt gegenüber dem Interesse des Vermieters, die Wohnung möglichst schnell und attraktiv im Internet zu präsentieren, sodass dieser ohne vorherige Einwilligung des Mieters keine Wohnungsfotos zum Zweck der Vermarktung erstellen darf.

Auch wenn ein Mieter grundsätzlich verpflichtet ist, möglichen Nachmietern die Besichtigung der Wohnung zu ermöglichen, so ist es dem Vermieter jedoch nicht gestattet, die Besichtigungen ohne Einverständnis des Mieters durchzuführen.

Art. 13 Abs. 1 Grundgesetz
Die Wohnung ist unverletzlich.

Im Rahmen des gegen den Vermieter eingeleiteten aufsichtsbehördlichen Verfahrens räumte dieser zunächst ein, dass ihm keine Einwilligung des Mieters zur Erstellung und Veröffentlichung von Wohnungsfotos oder zur Durchführung von Wohnungsbesichtigungen vorlag. Aufgrund des erfolgten Verweises auf die Nachbarin sei er jedoch davon ausgegangen, dass diese umfassend bevollmächtigt gewesen sei. Fragen, ob Fotos erstellt und sie zur Durchführung von Wohnungsbesichtigungen bereit sei, habe sie jeweils bejaht.

Zur Verhinderung vergleichbarer Fälle wies der Vermieter seine Beschäftigten an, zukünftig in jedem Fall vor dem Erstellen von Fotos oder der Weitergabe von Kontaktdaten an potenzielle Nachmieter von dem jeweiligen Mieter selbst eine schriftliche Einwilligung einzuholen. Darüber hinaus würden Wohnungsvorabnahmen und Wohnungsbesichtigungen nur noch im Beisein des Mieters selbst oder im Beisein einer Bevollmächtigten durchgeführt, sofern die Bevollmächtigte eine schriftliche Vollmacht vorlegen könne.

Was ist zu tun?
Vor der Erstellung von Wohnungsfotos zum Zweck der Vermarktung müssen stets die mietenden Personen um Einwilligung gebeten werden. Ohne eine Einwilligung dürfen Fotos grundsätzlich erst nach Auszug der Mietpartei erstellt und veröffentlicht werden.

 

5.12         Schnupperstunde im Vereinsvorstand

Eine Vielzahl der Schleswig-Holsteinerinnen und Schleswig-Holsteiner engagieren sich ehrenamtlich in Vereinen, was für den Zusammenhalt unserer Gesellschaft von sehr großer Bedeutung ist. Immer weniger sind allerdings bereit, einen Vorstandsposten zu übernehmen. Es reicht jedoch nicht, wenn alle nur mitmachen wollen, es braucht Menschen, bei denen die Fäden zusammenlaufen und die bereit sind, sich im Vorstand zu engagieren.

In einer beim ULD eingereichten Beschwerde berichtete ein Vereinsmitglied, dass ein anderes Mitglied vom bisherigen Vorstand als mögliche Nachfolgerin vorausgewählt und in die Tätigkeiten der Vorstandsarbeit eingeführt wurde. Eine ordentliche Wahl, wie es die Satzung vorschreibe, habe bisher jedoch noch nicht stattgefunden.

Es wurde beklagt, dass die Betreffende im Rahmen ihrer „Einarbeitung“ bereits jetzt die Möglichkeit hätte, auf diverse Vereinsunterlagen zuzugreifen, durch die sie Einblick in personenbezogene Daten einzelner Mitglieder hätte. Darüber hinaus würde sie an Besprechungen und Verhandlungen teilnehmen, in denen über persönliche Angelegenheiten einzelner Mitglieder verhandelt werde.

Verantwortliche sind im Rahmen der Beachtung der Grundsätze der Integrität und Vertraulichkeit verpflichtet, personenbezogene Daten in einer Art und Weise zu verarbeiten, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Offenlegung gegenüber Dritten und vor unbeabsichtigtem Verlust.

Zur Gewährleistung einer angemessenen Sicherheit haben Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen. Ein Verein sollte die jeweiligen Aufgaben bestimmten Vorstandsmitgliedern durch die Satzung oder die Geschäftsordnung zugewiesen haben. Die Vorstandsmitglieder dürfen hierbei nur einen Zugriff auf die für die Erfüllung der ihnen übertragenen Aufgaben erforderlichen Daten erhalten.

Der Vorstand des Vereins teilte zu dem vorgetragenen Vorwurf mit, dass die Aufgabe der Betreffenden darin bestand, die Vorstandsarbeit vor ihrer möglichen Wahl als neue Vorsitzende kennenzulernen. Dies sei erforderlich, da neu gewählte Vorstandsmitglieder in der Vergangenheit die Vorstandsarbeit falsch eingeschätzt hätten und nach kurzer Zeit wieder vom Amt zurückgetreten seien.

Die rechtliche Grundlage für ihre Mitarbeit im Vorstand ergebe sich aus einer entsprechenden Regelung der Vereinssatzung, nach der der Vorstand berechtigt sei, Personen für bestimmte Angelegenheiten eine Vollmacht zu erteilen und ihnen Aufgaben zu übertragen. Im Rahmen der erfolgten Aufgabenübertragung habe die Vorstandsanwärterin u. a. auch eine Verschwiegenheitserklärung unterzeichnet.

Da der Vorstandsanwärterin nach Mitteilung des Vereinsvorstandes nur die zur Erfüllung der ihr übertragenen Aufgaben erforderlichen Daten zur Verfügung gestellt wurden und sie darüber hinaus zu keinem Zeitpunkt eine eigene Zugriffsmöglichkeit auf den vom Verein verwalteten Datenbestand erhalten habe, konnte von etwaigen Maßnahmen gegen den Verein abgesehen werden.

 

5.13         Datenpannen in der Wirtschaft (Meldungen nach Artikel 33 DSGVO)

5.13.1       Erfolglose Fehlersuche – Fehlversand von Rechnungen

Ende des Jahres 2021 erreichten uns mehrere Beschwerden von Kundinnen und Kunden eines Unternehmens, bei dem diese Online-Geschenkgutscheine für Kinobesuche erworben hatten. Gemeinsam mit ihrer eigenen Rechnung waren ihnen die Kaufbelege von jeweils bis zu 45 weiteren Personen zugesandt worden, sodass die Sorge bestand, dass auch ihre personenbezogenen Daten anderen Kundinnen und Kunden gegenüber offengelegt worden waren. Bei den in den Rechnungen enthaltenen personenbezogenen Daten handelte es sich um den Namen, die Anschrift und die Kundennummer der Kundinnen und Kunden sowie deren Telefonnummer. Ebenfalls in den Rechnungen abgedruckt waren an die beschenkten Personen gerichtete Grußtexte, aus denen sich teilweise weitere personenbezogene Daten wie die Namen oder Spitznamen weiterer Familienmitglieder oder der beschenkten Personen und Informationen über den Anlass der Schenkung ergaben: In den bekannten Grußtexten waren dies beispielsweise ein Dank für die Hilfe bei einem Umzug, ein Geburtstag oder eine Eheschließung.

Aus dem übermittelten Schriftwechsel ergab sich, dass das Unternehmen über die Verletzung des Schutzes personenbezogener Daten benachrichtigt worden war, eine entsprechende Meldung des Verantwortlichen an die Landesbeauftragte für Datenschutz war jedoch nicht erfolgt.

Der Verantwortliche wurde zu dem geschilderten Sachverhalt angehört und teilte in einer Stellungnahme mit, dass es bei dem Versand der Rechnungen zu einem technischen Fehler gekommen sei, auf den das Unternehmen durch einen Kunden aufmerksam gemacht worden sei. Diesen Hinweis habe man zum Anlass genommen, die Fehlersuche zu beginnen. Da der technische Fehler trotz detaillierter Suche nicht verlässlich habe ausfindig gemacht werden können, sei der Rechnungsversand inzwischen eingestellt worden.

Aufgrund des langen Zeitraums von mindestens 21 Tagen, in dem ein fehlerhafter Versand immer wieder aufgetreten war, erfolgte eine genauere Nachfrage. Es stellte sich heraus, dass der zuständige Dienstleister nach dem ersten Bekanntwerden des Fehlversands zunächst einen vermeintlichen Fehler auf dem Liveserver korrigiert hatte und damit der Überzeugung war, das Problem erfolgreich behoben zu haben. Der Fehlversand korrelierte zeitlich mit einer kurz zuvor durchgeführten Änderung am E-Mail-Versand, die zurückgenommen worden sei.

Zehn Tage später wurden weitere gleichartige Fälle bekannt, woraufhin durch eine erneute genauere Prüfung festgestellt wurde, dass der angenommene Fehler nicht ursächlich für den Fehlversand war. Die Prüfung ergab, dass das Problem grundsätzlich schon vorher existierte, jedoch aufgrund des geringen Bestellaufkommens zuvor nie zum Tragen kam. Der Fehler trat nur genau dann auf, wenn innerhalb einer Minute mehr als eine erfolgreich abgeschlossene Bestellung durchgeführt wurde. Dieser Umstand führte nach Angaben des Verantwortlichen auch dazu, dass der Fehler bei routinemäßigen Tests und auch im Produktivbetrieb des Shops bisher nicht aufgetreten war. Der Code des E-Mail-Rechnungsversands wurde verändert und der Rechnungsversand wieder aktiviert. Etwa zweieinhalb Stunden nach der Änderung wurden nach Angaben des Verantwortlichen vier weitere Rechnungsmails versendet, die jeweils nur eine korrekte Rechnung als Dateianhang hatten.

Wiederum neun Tage später wurden jedoch weitere Fälle des Fehlversands bekannt. In der Folge wurden die E-Mail-Anhänge komplett deaktiviert.

Eine Verletzung des Schutzes personenbezogener Daten lag nach Auffassung des Verantwortlichen nicht vor, da es sich bei den durch die Rechnungen offengelegten Daten um Daten eines normalen Schutzbedarfs handele, die typischerweise auch dem Telefonbuch und im Einzelnen auch anderen öffentlichen Medien zu entnehmen seien. Voraussichtlich führe die Verletzung des Schutzes personenbezogener Daten somit nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen; eine Meldepflicht habe daher nicht bestanden.

Dieser Einschätzung wurde nicht gefolgt, da weder mobile Telefonnummern noch vollständige Namen unter Angabe der Anschrift üblicherweise in Telefonbüchern vermerkt werden, sondern zumeist – wenn überhaupt ein Eintrag vorliegt – lediglich der Hausanschluss unter Anfügung eines Anfangsbuchstabens oder des Vornamens eines Familienmitgliedes, in der Regel eines Elternteils, sollte es sich um einen Familienanschluss handeln. Im Hinblick auf ein mögliches Risiko ist insbesondere zu beachten, dass tatsächlich einzelne Informationen den öffentlichen Medien zu entnehmen sind, die durch den vorliegenden Sachverhalt um Informationen ergänzt werden können. So wäre es möglich, anhand des Namens einer betroffenen Person deren Profil in den sozialen Medien aufzufinden oder durch Einspeichern der mobilen Telefonnummer ein möglicherweise bei einem Messengerdienst hinterlegtes Profilbild zu erlangen. Eine Kontaktaufnahme wäre problemlos möglich, da die Telefonnummer sowie die Anschrift durch die erfolgte Übermittlung bekannt waren. Bei Zusatzinformationen könnten diese ebenfalls genutzt werden, um etwa eine Bekanntschaft mit den in den Grußworten genannten Personen vorzugeben.

Neben der Verletzung des Schutzes personenbezogener Daten wurde die Rechtmäßigkeit der Erhebung der Telefonnummer geprüft. Hierzu teilte der Verantwortliche mit, dass diese zur Erfüllung des Vertrags erforderlich sei, da in seltenen Einzelfällen physische Gutscheine nicht aktiviert werden könnten, weil deren Barcodes nur teilweise, unvollständig oder gar nicht übermittelt wurden. Um in solchen Fällen eine schnelle Klärung herbeizuführen, könne der betroffene Kunde direkt kontaktiert und um Übermittlung des Barcodes gebeten werden, sodass eine manuelle Nachaktivierung erfolgen könne.

Diese Darstellung war als nicht schlüssig zu betrachten, da es sich bei den physischen Gutscheinen um Geschenkkarten oder -boxen handelt, die sich zu dem Zeitpunkt, zu dem ein Defekt oder das Fehlen des Barcodes bemerkt wird, üblicherweise nicht mehr im Besitz des Schenkenden befinden. Eine telefonische Kontaktaufnahme zu diesem würde eine Klärung somit nicht oder nur in seltenen Fällen ermöglichen. Zudem war nicht ersichtlich, wie dem Verantwortlichen ohne eine vorherige Kommunikation durch die Person, die den Gutschein einlösen möchte, oder das Kinopersonal, das den Gutschein nicht einlösen kann, der Defekt oder das Fehlen des Barcodes zur Kenntnis gelangen könnte. Nach alldem war nicht ersichtlich, wie es zu einer ersten Kontaktaufnahme vonseiten des Unternehmens zur Lösung der beschriebenen Problematik kommen könnte.

Der Fehlversand der Anlagen zeigte auf, dass durch den Verantwortlichen keine geeigneten technischen und organisatorischen Maßnahmen getroffen worden waren, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Hierbei war insbesondere zu beanstanden, dass Korrekturen aufgrund von lediglich vermuteten Fehlerquellen erfolgten und ein geeignetes Testverfahren nicht vorhanden war, um die Wirksamkeit der ergriffenen Maßnahmen zu prüfen. Der Verantwortliche wurde diesbezüglich sowie aufgrund der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage und der nicht erfolgten Meldung der Verletzung des Schutzes personenbezogener Daten verwarnt. Die Erhebung der Telefonnummern im Online-Shop wurde durch den Verantwortlichen eingestellt.

Was ist zu tun?
Getroffene technische und organisatorische Maßnahmen sind auf ihre Wirksamkeit hin zu prüfen.

 

5.13.2       Nichts passiert – oder doch?

Es ist der Albtraum für jedes Unternehmen: Das IT-System wird angegriffen und verschlüsselt, zumeist unmittelbar mit der Anforderung einer Lösegeldzahlung verbunden, die auf dem Bildschirm erscheint oder in Papierform den Drucker verlässt. Instruktionen dazu, wie das Unternehmen durch Zahlung einer bestimmten Summe eine Entschlüsselung erwirken kann, sind beigefügt, für Fragen steht in einigen Fällen sogar ein Chat-Support zur Verfügung. Da sich die Angreifer jedoch in der Regel nicht darauf verlassen wollen, dass sich das Unternehmen alleine aufgrund der Verschlüsselung auf eine Zahlung einlässt, wird mit der Veröffentlichung von erbeuteten Daten gedroht. Schließlich kann es sein, dass das Unternehmen so gut mit Back-ups aufgestellt ist, dass es die Forderung ignoriert – und dann wäre der betriebene Aufwand für die Erpresser umsonst, die die Angriffe schließlich als Geschäftsmodell betreiben.

Ob und in welchem Umfang tatsächlich ein Datenabfluss stattgefunden hat, ist oft nicht sicher festzustellen, da die entsprechenden Vorgänge technisch verschleiert werden. Dass auch eine intensive Untersuchung unter Hinzuziehung

des Landeskriminalamtes und trotz Sichtung der von den Erpressern angegebenen Adresse, unter denen eine Veröffentlichung der erbeuteten Daten im Darknet erfolgen sollte, keine zuverlässige Aussage hierzu ermöglicht, zeigte sich im Fall eines im August 2021 erfolgreich angegriffenen Unternehmens. Hier war insbesondere aufgrund einer festgestellten verhältnismäßigen kurzen Zugriffsdauer davon ausgegangen worden, dass die Daten des Unternehmens nur lokal verschlüsselt wurden.

Als im Februar 2022 für ein anderes aufsichtsbehördliches Verfahren Einsicht in die Veröffentlichungsseite der Erpressergruppe im Darknet genommen wurde, stellte sich diese Einschätzung als falsch heraus. Hier wurden umfangreiche personenbezogene Daten von Beschäftigten des Unternehmens vorgefunden, darunter eine Geburtstagsliste, Kommunikation mit dem Jobcenter, Verdienstabrechnungen und eine Aufstellung der Krankheitstage. Das Auffinden der Daten erforderte dabei keine besonderen Kenntnisse oder eine gezielte Recherche; die agierende Erpressergruppe stellt die Namen der angegriffenen Unternehmen in übersichtlicher

Anordnung unter Nennung des Standorts sowie einer kurzen Beschreibung des jeweiligen Unternehmenszwecks dar, die erbeuteten Dateien sind unmittelbar über einen Link abrufbar. Der Verantwortliche wurde von der Veröffentlichung der Daten benachrichtigt und informierte seinerseits seine Beschäftigten über die neuen Erkenntnisse.

Der beschriebene Fall zeigt, dass ein Sicherheitsvorfall ernst zu nehmen ist. Auch wenn in der Folge eines erfolgreichen Angriffs keine veröffentlichten Daten vorgefunden werden, bedeutet dies nicht, dass keine Daten abgeflossen sind und keine Veröffentlichung zu einem späteren Zeitpunkt erfolgt oder die Daten für andere Zwecke genutzt werden (40. TB, Tz. 5.11.1). Insoweit war von einem hohen Risiko für die persönlichen Rechte und Freiheiten der Beschäftigten auszugehen. Dies erforderte eine ordnungsgemäße Benachrichtigung der Beschäftigten, die durch das Unternehmen nunmehr nachgeholt wurde.

Im Übrigen wird auch die Zahlung des geforderten Lösegeldes für die Entschlüsselung der Dateien keine Garantie dafür darstellen, dass erbeutete Daten vernichtet werden. Angesichts der kriminellen Energie, die durch das Vorgehen der Erpresser deutlich wird, dürfte dies nicht überraschen.

Was ist zu tun?
Eine nicht erfolgte Veröffentlichung von personenbezogenen Daten im Darknet im Zuge eines erfolgreichen Angriffs mit Verschlüsselungssoftware kann nicht dahin gehend bewertet werden, dass kein Abfluss erfolgt ist.

 

5.13.3       Datenpannen von nicht in der EU niedergelassenen Verantwortlichen

Auch Verantwortliche, die über keine Niederlassung in der Europäischen Union verfügen, können gemäß der Datenschutz-Grundverordnung verpflichtet sein, den EU-Aufsichtsbehörden Verletzungen des Schutzes personenbezogener Daten zu melden. Dies ist u. a. dann der Fall, wenn sie personenbezogene Daten von betroffenen Personen verarbeiten, die sich in der Europäischen Union befinden, oder wenn die Verarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist.

Entsprechende Meldungen erfolgen jedoch nur in geringer Zahl und insbesondere aus Großbritannien – sicher zurückzuführen auf die örtliche Nähe sowie den Umstand, dass die Datenschutz-Grundverordnung dort bis zum Austritt aus der Europäischen Union Anwendung fand – und den Vereinigten Staaten von Amerika, wobei es sich hier überwiegend um größere Unternehmen handelt, die offenbar bereits zuvor über eine rechtliche Vertretung in Deutschland verfügten.

Aber auch Verantwortliche aus Asien kamen den gesetzlichen Vorgaben der Datenschutz-Grundverordnung nach: Im Jahr 2022 meldete ein Hotel aus Hongkong einen unrechtmäßigen Zugang zu personenbezogenen Daten von Gästen aus Deutschland durch einen IT-Vorfall, außerdem wurde eine Verletzung des Schutzes personenbezogener Daten in Form einer Offenlegung auf der Pinnwand eines Anbieters einer Spielplattform aus Shanghai gemeldet.

Unter den gemeldeten Sachverhalten befanden sich auch Verletzungen des Schutzes personenbezogener Daten, die ein hohes Risiko für die betroffenen Personen darstellten. So flossen bei einem Unternehmen aus Großbritannien, von dem auch 17 Kundinnen und Kunden aus Schleswig-Holstein über den Online-Shop Waren erworben hatten, durch einen Angriff auf das Zahlungssystem Kreditkartendaten ab; die betroffenen Personen wurden über den Vorfall benachrichtigt.

Einen aktuellen politischen Hintergrund hatte ein unrechtmäßiger Zugriff auf eine Spendenplattform in den Vereinigten Staaten von Amerika: Hier beabsichtigten die Angreifer in Zusammenhang mit der Verschärfung des Abtreibungsrechts Spenderlisten von Abtreibungsgegnern zu erlangen, um diese im Internet zu veröffentlichen. Als ehrenamtlicher Helfer einer Entwicklungshilfeorganisation, die die Plattform für die Verwaltung ihrer Helfer nutzte, war eine Person in Schleswig-Holstein zwar nicht Ziel des Angriffs, jedoch war davon auszugehen, dass ihre personenbezogenen Daten dennoch an die Angreifer abgeflossen waren. Auch hier erfolgte eine Benachrichtigung der betroffenen Person.

Die Möglichkeiten der Landesbeauftragten für Datenschutz als Aufsichtsbehörde, ihre Aufgaben und Befugnisse außerhalb der Europäischen Union wahrzunehmen und auszuüben, sind beschränkt. Die Verantwortlichen, die Verletzungen des Schutzes personenbezogener Daten meldeten, kamen den gesetzlichen Vorgaben nach den vorliegenden Erkenntnissen jedoch bisher umfassend nach.

 

 

5.14         5.14        Videoüberwachung

5.14.1       Allgemeine Entwicklungen

Im Berichtszeitraum nahm die Anzahl von Beschwerden über Videoüberwachungsanlagen im Vergleich zum Vorjahr weiter zu. Häufig sehen die betroffenen Personen eine Kamera im öffentlichen Raum, eine Hinweisbeschilderung hingegen fehlt. Daraus resultiert für die betroffenen Personen eine gewisse Unsicherheit, da sie lediglich die Kamera wahrnehmen, nicht aber, wer diese zu welchem Zweck betreibt, ob Aufnahmen gespeichert werden und an wen sie sich mit weiteren Fragen wenden können. Die nicht vorhandene Hinweisbeschilderung ist daher Gegenstand vieler Beschwerden.

Ein Großteil der Beschwerden bezieht sich auf die Videoüberwachung durch Privatpersonen, oftmals im nachbarschaftlichen Kontext. Insbesondere wenn für Außenstehende nicht klar erkennbar ist, ob auch benachbarte Grundstücke oder öffentliche Flächen mit erfasst werden, wenden sich Betroffene häufig an uns. In solchen Konstellationen sind die Fronten zum Teil häufig schon so verhärtet, dass die Videoüberwachung nur einen Teilaspekt der nachbarschaftlichen Streitigkeit darstellt und ein Verweis auf den Zivilrechtsweg hilfreich sein kann.

Erfreulich ist der zu verzeichnende Anstieg an Beratungsanfragen im Vergleich zum Vorjahr. Daraus lässt sich schließen, dass Verantwortliche immer sensibler mit dem Thema Videoüberwachung umgehen und sich verstärkt über die rechtlichen Möglichkeiten informieren, bevor eine Videoüberwachungsanlage installiert wird. Dies ist dringend anzuraten, um nachträgliche Beschwerden, aber auch etwaig erforderliche kostenträchtige Änderungen an der Anlage zu vermeiden. Erste Ansprechpartnerinnen und Ansprechpartner sind hierfür die betrieblichen oder behördlichen Datenschutzbeauftragten. Als Datenschutzaufsichtsbehörde kann das ULD eine Beratung von Verantwortlichen nur eingeschränkt erbringen.

Leider zeigte sich auch im Berichtszeitraum ein Teil der Verantwortlichen wenig bis gar nicht kooperativ, selbst wenn bereits ein aufsichtsbehördliches Verfahren eingeleitet worden ist. Dies führte dazu, dass wir mehrere Verantwortliche zur Beantwortung von Fragen verpflichtet haben, die von uns im Rahmen der Sachverhaltsaufklärung gestellt wurden.

 

5.14.2       Videoüberwachung im Fitnessstudio – endlich abgebaut

Bei einer größeren Fitnessstudiokette konnten wir im Berichtszeitraum erreichen, dass alle Videokameras in Umkleiden, in Aufenthaltsbereichen und auf Trainingsflächen abgebaut wurden. Dieser Fall hat uns zuvor mehrere Jahre beschäftigt (u. a. 38. TB, Tz. 5.4.1, 37. TB, Tz. 5.5.6). Wir hatten die Unterlassung der Videoüberwachung in den Umkleide- und Aufenthaltsbereichen sowie auf den Trainingsflächen angeordnet. Der Verantwortliche hat gegen unsere Anordnung Klage vor dem Verwaltungsgericht in Schleswig erhoben. Als Begründung für die Videoüberwachung wurde u. a. angegeben, dass die Videoüberwachung in sämtlichen Bereichen für die Verhinderung und Verfolgung von Straftaten erforderlich sei. In der Vergangenheit sei es wiederholt zu Sachbeschädigungen und Diebstählen gekommen. Auf den Trainingsflächen und in den Aufenthaltsbereichen habe es Auseinandersetzungen mit dem Personal und unter den Kunden gegeben. Zudem sei auch in den Umkleidebereichen keine unzumutbare Beeinträchtigung der Kunden erkennbar, da einige Bereiche von der Videoüberwachung ausgenommen seien, insbesondere Duschen und WCs, und die Aufnahmen nur anlassbezogen, z. B. nach einem Aufbruch eines Spindes, eingesehen und ausgewertet werden würden. Einige der vorgetragenen Begründungen waren eher vage, andere wiederum waren konkreter. So legte der Verantwortliche auch eine Auflistung von Vorfällen vor, die sich in der Vergangenheit bereits ereignet hatten. Dazu gehörten u. a. auch Aufbrüche von Spinden sowie Auseinandersetzungen auf der Trainingsfläche.

Schleswig-Holsteinisches Verwaltungsgericht, Urteil vom 19. November 2019 – 8 A 835/17

Das Verwaltungsgericht Schleswig hat unsere Auffassung vollumfänglich bestätigt, nach der die Videoüberwachung insbesondere in den Umkleidebereichen, aber auch auf den Trainingsflächen und in den Aufenthaltsbereichen unverhältnismäßig ist. Die Videoüberwachung in den Umkleidebereichen berühre nach den Ausführungen des Gerichts die Intimsphäre der betroffenen Personen und sei geeignet, das Schamgefühl der Betroffenen zu verletzen. Ein solcher Eingriff könne nicht durch Sachbeschädigungen, wie z. B. Spindaufbrüche, gerechtfertigt werden. Im Bereich der Trainingsflächen sei der Eingriff zwar grundsätzlich weniger intensiv als in Umkleidebereichen, da die Sozialsphäre, nicht aber die Intimsphäre betroffen sei. Da sich die betroffenen Personen aber für einen langen Zeitraum im überwachten Bereich aufhalten und sich dem auch nicht entziehen können, entstünde ein permanenter Überwachungsdruck, sodass auch hier die schutzwürdigen Interessen der betroffenen Personen schwerer zu gewichten waren. Das Argument, dass die Aufnahmen nur im Bedarfsfall eingesehen werden, sei für die betroffenen Personen nicht ersichtlich und daher nicht geeignet, die Eingriffsintensität zu verringern. Für die Videoüberwachung des Aufenthaltsbereiches mit Sitzgelegenheiten sah das Verwaltungsgericht Schleswig ebenfalls kein berechtigtes Interesse. Hier führte es aus, dass nicht jeder Ort, an dem es einmal eine Auseinandersetzung gegeben haben mag, in der Folge überwachungsbedürftig sei.

Schleswig-Holsteinisches Oberverwaltungsgericht, Beschluss vom 13. Juli 2022 – 4 LA 11/20

Der Verantwortliche war mit dem Urteil nicht einverstanden und hat beim Oberverwaltungsgericht Antrag auf Zulassung der Berufung gestellt. Dieser wurde nunmehr im Berichtszeitraum abgelehnt. Daraufhin hat der Betreiber in allen seinen Studios in Deutschland vorhandene Kameras in Umkleiden, auf Trainingsflächen und in Aufenthaltsbereichen abgebaut.

Was ist zu tun?
Für die Betreiber von Fitnessstudios sollte die gerichtliche Bestätigung, dass die Videoüberwachung insbesondere in Umkleidebereichen, aber auch auf der Trainingsfläche und in Aufenthaltsbereichen als unzulässig angesehen wurde, ein Signal sein, genau zu prüfen, ob und in welchen Bereichen eine Videoüberwachung überhaupt rechtmäßig eingesetzt werden kann.

 

5.14.3       Videoüberwachung aus Fahrzeugen

Immer häufiger erreichen uns Hinweise auf fest in und an Fahrzeugen verbaute Videoüberwachungstechnik. Insbesondere (Elektro-)Fahrzeuge neueren Modells ermöglichen die Videoüberwachung sowohl im fließenden als auch im ruhenden Verkehr. Neben der grundlegenden Frage nach der Zulässigkeit einer solchen Datenverarbeitung ist aus datenschutzrechtlicher Sicht bei beiden Varianten besonders problematisch, dass die betroffenen Personen eine solche Videoüberwachung oftmals kaum erkennen können. Wenn die betroffenen Personen keine Kenntnis über eine Datenverarbeitung haben, können sie die Rechte, die ihnen nach der Datenschutz-Grundverordnung zustehen, nicht ausüben.

Die Videoüberwachung im fließenden Verkehr durch sogenannte Dashcams (im Dashboard eines Fahrzeugs verbaute Kamera) wirft einige datenschutzrechtliche Fragestellungen auf. Unzulässig ist in jedem Fall eine permanente und anlasslose Videoüberwachung des gesamten Verkehrsgeschehens. Diese Auffassung wurde auch durch den Bundesgerichtshof (BGH) bestätigt. Dieser hielt zwar die Verwertung von Aufnahmen einer Dashcam im Zivilprozess im Einzelfall für zulässig, betonte aber gleichzeitig, dass die anlasslose Anfertigung der Aufnahmen aus datenschutzrechtlicher Sicht in der Regel unzulässig sei. Die Frage der datenschutzrechtlichen Zulässigkeit und die Frage der prozessualen Verwertbarkeit sind unabhängig voneinander zu betrachten. Es liegt im Ermessen des jeweiligen Gerichts, ob unzulässig angefertigte Beweismittel in der Verhandlung zugelassen werden oder nicht.

Der BGH äußerte sich auch zu der Frage, ob und nach welchen Erwägungen der Betrieb von Dashcams im fließenden Straßenverkehr aus datenschutzrechtlicher Sicht denkbar sein könnte. Das Interesse an dem Betrieb der Dashcam könne laut BGH allenfalls dann überwiegen, wenn die Kamera bestimmte (technische) Datenschutzmechanismen aufweist, die geeignet sind, die Intensität des Eingriffs in die Grundrechte und Grundfreiheiten der betroffenen Personen auf ein vertretbares Maß zu reduzieren. Insbesondere sollte die Aufnahme nur anlassbezogen auslösen. Das bedeutet, dass eine entsprechende Sensorik vorhanden sein muss, die erst z. B. bei einer Kollision, starker Erschütterung oder starker Bremsung die Aufnahmefunktion der Kamera aktiviert. Sofern hierfür ein Pre-Recording erforderlich ist, sollte dieses in kurzen Zeitintervallen (wenige Sekunden) überschrieben werden und dem Zugriff des Verantwortlichen entzogen sein. Denkbar ist auch die effektive und nicht reversible Verpixelung von Personen sowie ein automatisiertes und dem Eingriff des Verwenders entzogenes Löschen.

Bundesgerichtshof, Urteil vom 15.05.2018 – VI ZR 233/17

Der Verantwortliche ist bei der Verarbeitung personenbezogener Daten zudem verpflichtet, die betroffenen Personen gemäß Artikel 12 ff. über die Datenverarbeitung zu informieren.

Weitere Fragestellungen wirft die Videoüberwachung aus parkenden Fahrzeugen heraus auf.

Aus den Beschwerden und Hinweisen, die uns zu diesem Thema erreichen, geht hervor, dass Fahrzeuge häufig auf öffentlichen Straßen, Parkflächen oder in Parkhäusern abgestellt werden und entweder permanent oder bei der Erkennung von Bewegung in einer bestimmen Entfernung zum Fahrzeug eine Videoaufnahme gestartet wird. Für das Auslösen der Aufnahmefunktion genügt es teilweise bereits, am Fahrzeug vorbeizugehen. Manche Hersteller ermöglichen es zudem, die Kameras in Echtzeit über das eigene Smartphone anzusteuern und die Umgebung des Fahrzeuges zu beobachten. Somit fehlt es oft schon an einem konkreten Anlass für die Verarbeitung personenbezogener Daten. Darüber hinaus wird die Umgebung ab Aktivierung der Kameras für einen zum Teil mehrere Minuten langen Zeitraum mitsamt unbeteiligter Passanten und gegebenenfalls weiterer personenbezogener Daten (wie z. B. Kfz-Kennzeichen) gefilmt und die Aufzeichnungen gespeichert.

Durch eine anlasslose, dauerhafte Aktivierung einer solchen Funktion werden die Grundrechte und Grundfreiheiten der betroffenen Personen in einem unverhältnismäßigen Umfang beeinträchtigt, sodass die Nutzung solcher Systeme in der beschriebenen Ausgestaltung nicht mit den Vorgaben der Datenschutz-Grundverordnung vereinbar ist.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel