Kernpunkte:
- Verwendung von E-Mail-Adressen nach dem Einkauf
- Unangepasste Muster-Datenschutzerklärungen
- Verantwortlichkeit bei Schulfotografie
- Screenshots bei Videobewerbungsgesprächen
- Datenpannen durch Wind und Wetter
- Immer mehr Beschwerden zur Videoüberwachung
5 Datenschutz in der Wirtschaft
In diesem Kapitel steht Datenschutz in der Wirtschaft im Vordergrund. Da geht es um die Verwendung von Personalausweisdaten, um Weitergaben von E-Mail-Adressen, um die Gestaltung von Websites, die Veröffentlichung von Fotos oder Videos und um Beschäftigtendatenschutz. Wir berichten weiterhin über einige Datenpannen. Die Bearbeitung der zahlreichen Beschwerden über eine Videoüberwachung hat sich zu einem „Massengeschäft“ entwickelt, doch nicht für alle Fallkonstellationen sind wir zuständig oder der richtige Ansprechpartner.
5.1 Offenlegung einer Personalausweiskopie eines Wohnungskäufers im Internet
Zum Beginn des Jahres 2023 wurde das ULD auf eine im Internet veröffentlichte Immobilienanzeige aufmerksam gemacht, in deren Bildergalerie eingescannte Kopien des Personalausweises eines Kaufinteressenten veröffentlicht wurden. Einige Tage später benannte der Verantwortliche einen externen Datenschutzbeauftragten, der den Vorfall anschließend auch im Rahmen einer Meldung nach Artikel 33 DSGVO anzeigte.
Auf entsprechende Nachfrage erläuterte der nunmehr neu benannte Datenschutzbeauftragte, dass der Verantwortliche eine speziell für die Immobilienvermittlungsbranche entwickelte Branchensoftware nutzen würde. Zur Gewährleistung des Schutzes vor unbefugter oder unrechtmäßiger Offenlegung von Dokumenten gegenüber Dritten habe die Software alle einem Objekt zugeordneten PDF-Dokumente immer als interne Dokumente klassifiziert, da diese regelmäßig nicht für die Veröffentlichung in Anzeigen bestimmt seien.
Personenbezogene Daten sind in einer Art und Weise zu erheben und zu verarbeiten, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Offenlegung gegenüber Dritten und vor unbeabsichtigtem Verlust.
Sämtliche einem Objekt zugeordneten Fotodateiformate konnten allerdings durch lediglich einen Klick veröffentlicht werden. Bei Einführung der Verfahrensweise sei nicht in Erwägung gezogen worden, dass auch Ausweisdokumente von Kaufinteressenten oder andere nicht für die Veröffentlichung bestimmte Dokumente in einem Fotodateiformat bereitgestellt würden.
Nach Schilderung des Datenschutzbeauftragten sei der Vorfall seit Einführung der Software vor mehreren Jahren der erste dieser Art gewesen.
Der Vorfall hat aber gezeigt, dass die bisher genutzte automatisierte Zuordnung von Dateien aufgrund des Dateiformats zu falschen – und vor allem zu unrechtmäßigen – Ergebnissen führen kann. Als Folge hat der Verantwortliche die Verfahrensweise nunmehr dahin gehend angepasst, dass die zu veröffentlichenden Dateien nicht mehr anhand des Dateiformats zugeordnet, sondern explizit selektiert werden müssen und eine Veröffentlichung nur noch durch den Geschäftsführer selbst erfolgt.
Was ist zu tun?
Zur Gewährleistung einer angemessenen Sicherheit und um den Nachweis dafür erbringen zu können, dass die Verarbeitung datenschutzkonform erfolgt, hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen. Dazu gehören auch eine entsprechende Konfiguration der eingesetzten Software und organisatorische Vorgaben.
5.2 Kopieren von Personalausweisen durch Kreditinstitute
Das ULD erhielt mehrere Beschwerden und Anfragen, die sich auf das Kopieren von Personalausweisen durch Kreditinstitute bezogen.
Art. 6 Abs. 1 Buchst. c DSGVO
Die Verarbeitung personenbezogener Daten ist gemäß Art. 6 Abs. 1 Buchst. c DSGVO rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.
Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn mindestens eine der in der genannten Norm aufgeführten Bedingungen erfüllt ist. Für das Kopieren von Personalausweisen in Banken kommt die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Buchst. c DSGVO in Betracht. Bei dieser Bestimmung handelt es sich allerdings nicht um eine für sich allein stehende Rechtsgrundlage. Vielmehr setzt die Vorschrift eine solche Rechtsgrundlage im Unionsrecht oder im nationalen Recht voraus.
Verpflichtungen für Kreditinstitute, erforderliche Angaben zur Identifikation von Kunden zu erfassen, ergeben sich aus dem Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz (GwG)). Gemäß § 2 Abs. 1 GwG sind die verpflichteten Stellen aufgelistet. Zu diesen zählen etwa:
- Kreditinstitute nach § 1 Abs. 1 des Kreditwesengesetzes, mit Ausnahme der in § 2 Abs. 1 Nr. 3 bis 8 des Kreditwesengesetzes genannten Unternehmen, und im Inland gelegene Zweigstellen und Zweigniederlassungen von Kreditinstituten mit Sitz im Ausland,
- Finanzdienstleistungsinstitute nach § 1 Abs. 1a des Kreditwesengesetzes, mit Ausnahme der in § 2 Abs. 6 Satz 1 Nr. 3 bis 10 und 12 und Abs. 10 des Kreditwesengesetzes genannten Unternehmen, im Inland gelegene Zweigstellen und Zweigniederlassungen von Finanzdienstleistungsinstituten mit Sitz im Ausland sowie Wertpapierinstitute nach § 2 Abs. 1 des Wertpapierinstitutsgesetzes und im Inland gelegene Niederlassungen vergleichbarer Unternehmen mit Sitz im Ausland und
- Zahlungsinstitute und E-Geld-Institute nach § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes und im Inland gelegene Zweigstellen und Zweigniederlassungen von vergleichbaren Instituten mit Sitz im Ausland.
Von den Verpflichtungen für diese Kreditinstitute ist auch die Identifizierung von Vertragspartnern durch die Kreditinstitute umfasst. Hierzu sind Angaben wie der Name, das Geburtsdatum oder die Staatsangehörigkeit zu erheben und zu überprüfen. Die Überprüfung der Angaben hat bei natürlichen Personen u. a. anhand eines gültigen amtlichen Ausweises zu erfolgen, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird.
Gemäß § 8 Abs. 2 GwG haben die Verpflichteten, wozu auch die Kreditinstitute zählen, das Recht
und die Pflicht, Kopien dieser Dokumente oder Unterlagen anzufertigen oder sie optisch digitalisiert zu erfassen.
Eine Rechtsgrundlage für das Anfertigen von Kopien von Personalausweisen ergibt sich somit aus Art. 6 Abs. 1 Buchst. c DSGVO in Verbindung mit dem Geldwäschegesetz.
5.3 Rechtmäßigkeit des Versands von Newslettern an Bestandskunden
Regelmäßig erreichen uns Anfragen und Beschwerden, in denen sich die Empfänger von elektronisch versandten Newslettern darüber beklagen, dass sie keine Einwilligung für die Verarbeitung ihrer E-Mail-Adressen zum Versand von Newslettern erteilt hätten.
Wie unter Tz. 5.2 des 39. TB bereits erläutert, erkennt der Erwägungsgrund 47 zur Datenschutz-Grundverordnung die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung zwar als eine einem berechtigten Interesse dienende Verarbeitung an, in der nach Art. 6 Abs. 1. Buchst. f DSGVO erforderlichen Interessenabwägung sind allerdings auch die „vernünftigen Erwartungen der betroffenen Person“, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in den Abwägungsprozess einzubeziehen.
Im Falle von potenziellen Neukunden, die bisher noch keine Beziehung zu einem Unternehmen hatten, können diese nicht davon ausgehen, dass die E-Mail-Empfänger entsprechende Newsletter erwarten. Des Weiteren überwiegen die schutzwürdigen Interessen der betroffenen Person in der Regel immer dann, wenn nach den Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) eine unzumutbare Belästigung anzunehmen ist.
In mehreren Anfragen und Beschwerden handelte es sich allerdings um Bestandskunden, die ihre E-Mail-Adresse dem werbenden Unternehmen im Rahmen einer Geschäftsbeziehung übermittelt hatten.
In einem solchen Fall sind überwiegende schutzwürdige Interessen der betroffenen Person nach Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO in der Regel dann nicht gegeben, wenn die in § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) enthaltenen Vorgaben für elektronische Werbung eingehalten werden.
Art. 21 Abs. 3 DSGVO
Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Hiernach ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn ein Unternehmer die E-Mail-Adressen im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von den Kunden erhalten hat, wenn es sich um Werbung für eigene ähnliche Waren oder Dienstleistungen handelt, die betroffenen Personen der Nutzung für Werbezwecke nicht widersprochen haben und bei der Erhebung wie auch bei jeder Werbeansprache auf ihr Widerspruchsrecht hingewiesen werden, sodass in diesen Fällen tatsächlich keine Einwilligung erforderlich ist.
Ohne vorherige Geschäftsbeziehung oder ohne Erfüllung der Voraussetzungen des § 7 Abs. 3 UWG bedarf es für die Nutzung von E-Mail-Adressen zu Werbezwecken allerdings immer einer Einwilligung.
Was ist zu tun?
Um die personenbezogenen Daten von Bestandskunden auch ohne Erhebung einer Einwilligung für den Versand von Newslettern nutzen zu können, sind die betroffenen Personen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten u. a. auch über Zweck der E-Mail-Werbung und die Rechtsgrundlage der Verarbeitung transparent zu informieren.
5.4 Weitergabe der E-Mail -Adresse an Paketdienstleister
Das ULD erreichte die Beschwerde eines Kunden, die sich auf die Übermittlung seiner E-Mail-Adresse durch einen Online-Shop an den beauftragten Paketdienstleister bezog. Seitens des Paketdienstleisters erfolgte eine Kontaktaufnahme zwecks Mitteilung des Lieferstatus. Eine Einwilligung zur Übermittlung dieses personenbezogenen Datums lag nicht vor.
Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn mindestens eine der in der genannten Norm aufgeführten Bedingungen erfüllt ist. Es bedarf also einer Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Im vorliegenden Fall wurde seitens des Kunden eine Bestellung aufgegeben. Um den geschlossenen Vertrag zu erfüllen, war es demnach also erforderlich, bestimmte Daten des Kunden zu verarbeiten. Rechtsgrundlage für die Verarbeitung der zur Vertragserfüllung erforderlichen Daten, was auch die Weitergabe der Adressdaten an den Paketdienstleister umfasst, war hier demnach Art. 6 Abs. 1 Buchst. b DSGVO. Hiervon war jedoch nicht die Weitergabe der E-Mail-Adresse umfasst. Dies wäre nur mit Einwilligung des Kunden möglich gewesen.
Die Thematik war bereits Gegenstand eines Beschlusses der Datenschutzkonferenz (DSK) vom 23.03.2018. Darin wird ausgeführt, dass die Übermittlung von E-Mail-Adressen durch Online-Versandhändler an Postdienstleister nur bei Vorliegen einer Einwilligung der Kunden in ebendiese Übermittlung rechtmäßig ist.
Die Praxis hat gezeigt, dass es vielen Online-Händlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden. Dies stellt jedenfalls eine objektiv zumutbare Alternative dar. Aus dem gleichen Grund wird auch die Erforderlichkeit im Rahmen des Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO verneint.
Der DSK-Beschluss „Übermittlung von E-Mail-Adressen durch Online-Versandhändler an Postdienstleister“ vom 23.03.2018 ist unter folgendem Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/dskb/20180323_dskb_mail_adressen.pdf
Kurzlink: https://uldsh.de/tb42-5-4a
Das verantwortliche Unternehmen gab auf Nachfrage dem ULD gegenüber an, dass im vorliegenden Fall eine technische Fehleinstellung im Buchungssystem für die Übermittlung der E‑Mail-Adresse an den Paketdienstleister ursächlich gewesen sei. Diese Einstellung sei so durch einen Mitarbeiter des Unternehmens vorgenommen worden. Standardmäßig würde eine Übermittlung nur mit Einwilligung der Kunden erfolgen.
Durch den Verantwortlichen wurde der Vorfall zum Anlass genommen, die Mitarbeitenden nochmals auf die datenschutzrechtlichen Bestimmungen im Zusammenhang mit Kundendaten aufmerksam zu machen. Das aufsichtsbehördliche Verfahren wurde mit einem Hinweis nach Art. 58 Abs. 1 Buchst. d DSGVO eingestellt.
5.5 Unangepasste Muster-Datenschutzerklärungen auf Websites
Das ULD erreichen immer wieder Hinweise und Beschwerden zu fehlerhaften Datenschutzerklärungen auf Websites. So gab es einen anonymen Hinweis auf eine Website, die in der Datenschutzerklärung lediglich Platzhalter „à la Max Mustermann“ bei den Angaben zum Verantwortlichen enthielt.
Viele Website-Betreiber verwenden für ihre Datenschutzerklärungen im Internet bereitgestellte Muster. Dabei fällt jedoch oft auf, dass diese nicht an die individuellen Datenverarbeitungen angepasst werden. Teilweise wird auf Verarbeitungen hingewiesen, die tatsächlich gar nicht stattfinden. Oder es werden wie im vorliegenden Fall keine zutreffenden Angaben zum Verantwortlichen und zu den Kontaktdaten gemacht.
Auf einer Website kann u. a. die Einbettung von Kontakt- und Feedback-Formularen sowie von Plugin-Funktionen, etwa zum Abruf von Videos, oder der Einsatz von Cookies zur Erhebung und Verarbeitung von personenbezogenen Daten führen. Zu jedem Punkt sind die Informationspflichten einzuhalten, die sich aus Art. 13 Abs. 1 und 2 DSGVO ergeben. Auszugsweise gehören dazu beispielsweise Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung und Angaben der konkreten Rechtsgrundlagen, Angaben zu Empfängern/Empfängerkategorien personenbezogener Daten, Speicherdauer für die personenbezogenen Daten und Angaben zu den Rechten der betroffenen Personen.
Nähere Ausführungen zu den Inhalten der Informationspflichten finden Sie in unserer Informationsbroschüre (dort insbesondere unter Punkt Nr. 6):
www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-4-Informationspflichten.pdf
Kurzlink: https://uldsh.de/tb42-5-5a
Im vorliegenden Fall wurde der Website-Betreiber auf die fehlerhafte Datenschutzerklärung hingewiesen. Dieser reagierte umgehend und passte diese an. Weitere aufsichtsbehördliche Maßnahmen waren daher nicht erforderlich.
Was ist zu tun?
Gar nicht musterhaft ist es, auf der Website Muster-Datenschutzerklärungen bereitzustellen, die mit der Realität gar nichts zu tun haben. Muster und Vorlagen im Datenschutzbereich können gute Hilfestellungen geben und die Erfüllung der Datenschutzpflichten erleichtern – doch ohne Anpassung durch Verantwortliche auf die realen (!) Verarbeitungen personenbezogener Daten und anderen Gegebenheiten ist dies nichts wert und führt möglicherweise sogar in die Irre.
5.6 Veröffentlichung eines Videos über einen Auftritt von Schulkindern im Internet
Im Frühjahr erhielt das ULD von einer Polizeistation einen Bericht, in dem sich eine Mutter darüber beschwerte, dass Videoaufnahmen einer Musikveranstaltung im Internet veröffentlicht wurden, an der u. a. die Schulklasse ihres Sohnes teilgenommen hätte. Eine Einwilligung für die Veröffentlichung von Aufnahmen, auf denen auch ihr Sohn erkennbar sei, habe sie nicht erteilt.
Da die Teilnahme an der Veranstaltung im Rahmen einer schulischen Veranstaltung erfolgte, habe sie sich zunächst an die begleitende Musiklehrerin gewandt, die ihr auf Nachfrage mitteilte, dass auch sie einer solchen Aufnahme ebenfalls nicht zugestimmt hätte.
Im daraufhin eingeleiteten Verfahren war zunächst zu klären, wer für die Erstellung und Veröffentlichung von Aufnahmen und die Erhebung von Einwilligungen der sorgeberechtigten Eltern verantwortlich war. Die Aufnahmen wurden von einem medienschaffenden Dritten erstellt, der aus diesem Grund zu der Veranstaltung eingeladen war.
Auf Nachfrage teilte dieser mit, dass ihm vom Veranstalter mitgeteilt wurde, dass die Erstellung von Aufnahmen der Auftritte „in Ordnung“ sei. Daraufhin habe er anschließend zahlreiche Aufnahmen zur Förderung von Musik, Kunst und Kultur ehrenamtlich erstellt, in den folgenden Tagen nachbearbeitet, den Teilnehmenden zur Verfügung gestellt und veröffentlicht.
Nach seiner Schilderung hätte ihn die Beschwerdeführerin auch direkt kontaktiert und sich darüber beklagt, dass er u. a. Aufnahmen ihres Sohnes veröffentlicht habe, woraufhin er sie zunächst auf die erfolgte Genehmigung durch den Veranstalter verwiesen hätte. Nachdem sie ihm mitteilte, damit nicht einverstanden zu sein, sei der Beitrag umgehend gelöscht worden.
Einwilligung
Art. 4 Nr. 11 DSGVO definiert eine „Einwilligung“ als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Zur Verhinderung vergleichbarer Fälle wurde gemäß Art. 58 Abs. 1 Buchst. d DSGVO darauf hingewiesen, dass Aufnahmen Minderjähriger nur mit Einwilligung der Erziehungsberechtigten veröffentlicht werden dürfen, da die schutzwürdigen Interessen eines betroffenen Kindes grundsätzlich gegenüber dem Interesse eines Veranstalters an der Berichterstattung überwiegen.
Ferner wurde darauf hingewiesen, dass die betroffenen Personen bzw. deren Erziehungsberechtigte zum Zeitpunkt der Erhebung nach den Artikeln 13 und 14 DSGVO insbesondere über den Verantwortlichen, den konkreten Zweck der Erhebung, die Rechtsgrundlage, etwaige Empfänger und die bestehenden Betroffenenrechte zu informieren sind. Dies könnte gegebenenfalls über entsprechende Informationsblätter für die Schulen und Aushänge am Veranstaltungsort erfolgen.
Was ist zu tun?
Bei mehreren Beteiligten ist vor einer entsprechenden Veranstaltung zu klären, wer Verantwortlicher im Sinne der DSGVO ist und ob gegebenenfalls auch eine gemeinsame Verantwortlichkeit vorliegt. Hierbei ist insbesondere festzulegen, wer welchen Informationspflichten nachkommt, wer die erforderlichen Einwilligungen der betroffenen Personen bzw. ihrer Sorgeberechtigten erhebt und wer die Rechte der betroffenen Personen erfüllt.
57 Datenverarbeitung durch Schulfotografinnen und -fotografen
Im Rahmen einer beim ULD eingegangenen Beschwerde erfolgte eine Überprüfung der Verantwortlichkeit für die Verarbeitung von Fotografien durch Schulfotografinnen und -fotografen. Im vorliegenden Sachverhalt wurden Klassenfotos angefertigt, welche die Eltern über den Online-Shop des Schulfotografen erwerben konnten. Hierzu wurde zwischen dem Dienstleister und der Schule ein Vertrag geschlossen, der als Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO bezeichnet war. Die datenschutzrechtliche Verantwortlichkeit für die Aufnahme der Fotos durch den Dienstleister hätte demnach bei der Schule gelegen. Lag aber überhaupt die Konstellation einer Auftragsverarbeitung vor?
Art. 4 Nr. 8 DSGVO
Der Begriff „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Bei der Auftragsverarbeitung handelt es sich demnach um eine Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten. In der Regel lagert der Verantwortliche hierbei Teilprozesse an einen externen Dienstleister, den Auftragsverarbeiter, aus.
Beispiele für eine Auftragsverarbeitung nach Artikel 28 DSGVO sind die Entsorgung (Vernichtung und Löschung) von Datenträgern mit personenbezogenen Daten durch einen Dienstleister oder die Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Ermessensspielräume.
Im vorliegenden Sachverhalt handelte es sich jedoch nicht um eine Auftragsverarbeitung nach Artikel 28 DSGVO, da der Schulfotograf die Fotos nicht im Auftrag der Schule anfertigte.
Art. 4 Nr. 7 DSGVO
Der Begriff „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Grundsätzlich sind Schulfotografen daher als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO anzusehen, da der Schwerpunkt der Datenverarbeitung in ihrer Tätigkeit, dem Erstellen und Verarbeiten der Fotos, liegt und sie zudem über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Ein weiterer Zweck ist der Verkauf der erstellten Fotos über den Online-Shop der Schulfotografen. Auch hier entscheidet der Schulfotograf alleinig über diesen sowie die Mittel der Verarbeitung. Die Schule hat hinsichtlich der Verarbeitung der personenbezogenen Daten keine Weisungsbefugnis gegenüber den Schulfotografen.
Es ist zwar möglich, dass die Schule für die Schulfotografen die Einwilligung der Eltern für die Anfertigung der Bilder sowie die Übermittlung der Schülerdaten an den Schulfotografen einholt und an diese übermittelt. Dies entbindet die Schulfotografen jedoch nicht von den datenschutzrechtlichen Pflichten eines Verantwortlichen.
Der mit der Schule abgeschlossene Vertrag über die Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO spiegelte nicht die tatsächliche Verantwortlichkeit im vorliegenden Sachverhalt wider. Seitens des ULD wurden dem Schulfotografen daher die datenschutzrechtlichen Bestimmungen umfassend erläutert. Zudem wurde ein Hinweis nach Art. 58 Abs. 1 Buchst. d DSGVO ausgesprochen.
Weiterhin nahmen wir zum zentralen Datenschutzbeauftragten des Bildungsministeriums für die öffentlichen Schulen Kontakt auf, um auch die Schulen hinsichtlich der datenschutzrechtlichen Bestimmungen in Bezug auf die Verantwortlichkeit erneut zu sensibilisieren.
5.8 Erstellen von Screenshots bei Bewerbungsgesprächen per Videokonferenz
§ 26 BDSG
Arbeitgeber dürfen lediglich personenbezogene Daten über ihre Bewerber verarbeiten, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.
In einer Beschwerde berichtete ein Bewerber von einem 30-minütigen Videointerview, das er wegen einer zu besetzenden Stelle mit einer Interviewerin aus Indien gehabt hätte. Nach dem Gespräch habe er die Ergebnisse des Vorstellungsgesprächs inklusive eines Screenshots von ihr per E-Mail erhalten. Der Bewerber beklagte, dass er keine Einwilligung zur Anfertigung des Screenshots erteilt hätte.
Im daraufhin gegen das u. a. in Schleswig-Holstein ansässige Unternehmen eingeleitete Verfahren wurde von diesem zunächst eingeräumt, dass in dem vorliegenden Fall Screenshots während des per Videokonferenz geführten Bewerbungsgesprächs angefertigt wurden. Diese Praxis sei allerdings unternehmensseitig nicht gestattet, was sich bereits aus den geltenden internen Vorgaben ergebe, auf die die an den Bewerbungsgesprächen beteiligten Beschäftigten regelmäßig hingewiesen würden.
Des Weiteren würden die beteiligten Beschäftigten auch in der Einladung zur Teilnahme an Bewerbungsgesprächen durch Einblendung eines entsprechenden Hinweistextes nochmals explizit darauf aufmerksam gemacht, dass keine Aufnahmen erstellt werden dürfen.
Unternehmensseitig wurde ausdrücklich bedauert, dass in dem geführten Bewerbungsgespräch entgegen den geltenden internen Vorgaben Bildschirmfotos erstellt wurden. Eine interne Untersuchung des Vorfalls hätte ergeben, dass diese Handlung auf ein individuelles Fehlverhalten einer noch neuen Beschäftigten zurückzuführen war.
Um sicherzustellen, dass dieser Vorfall ein Einzelfall bleibt, seien gegenüber der den Vorfall verursachenden Beschäftigten arbeitsrechtliche Maßnahmen ergriffen worden. In diesem Zusammenhang sei sie nochmals eindringlich auf das Verbot des Anfertigens von Aufnahmen während des Bewerbungsgesprächs hingewiesen und dahin gehend sensibilisiert worden.
Nachdem der Betroffene der Interviewerin und der deutschen Personalverantwortlichen mitteilte, dass er keine Zustimmung zur Anfertigung des Screenshots erteilt habe, wurden die Aufnahmen unverzüglich gelöscht und dem Betroffenen gegenüber die Löschung bestätigt, sodass von etwaigen Maßnahmen gegen das Unternehmen abgesehen werden konnte.
5.9 Unternehmensinterne Bekanntgabe einer Kündigung
Ein Beschäftigter beschwerte sich beim ULD darüber, dass sein Arbeitgeber intern bekannt gab, dass er das Unternehmen zu einem bestimmten Zeitpunkt „auf eigenen Wunsch“ verlasse.
Auch bei den Angaben hinsichtlich der Beendigung einer Tätigkeit bei einem Arbeitgeber handelt es sich um personenbezogene Daten, wenn die beschäftigte Person identifizierbar ist. Folglich war der Arbeitgeber verpflichtet, die datenschutzrechtlichen Vorgaben einzuhalten. So dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Wenn ein Beschäftigter das Unternehmen verlässt, kann es zur Aufrechterhaltung der internen Prozesse und Abläufe erforderlich sein, den genauen Termin des Ausscheidens im Unternehmen bekannt zu geben. Je nach Größe des Unternehmens ist jedoch darauf zu achten, dass nur die Bereiche Kenntnis erlangen, für die diese Information tatsächlich erforderlich ist. Unter Beachtung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sollten zudem nur die für den angestrebten Zweck erforderlichen Daten verarbeitet werden. Die Information, dass der Beschäftigte das Unternehmen „auf eigenen Wunsch verlasse“, dürfte dabei regelmäßig nicht erforderlich sein.
Das Verfahren wurde mit einem Hinweis und einer Warnung gegenüber dem Verantwortlichen beendet.
5.10 Übermittlung von Beschäftigtendaten ohne Einwilligung
In einer anonymen Beschwerde wurde uns mitgeteilt, dass ein Arbeitgeber seine Beschäftigten bei einer privaten Krankenversicherung angemeldet habe. Dabei seien mindestens der Name sowie die Anschrift der Beschäftigten übermittelt worden. Als die Beschäftigten von der Krankenversicherung angeschrieben wurden, konnten sie diesen Brief nicht einordnen, da diese keine Kenntnis von der Übermittlung hatten. Die Beschäftigten hätten keine Einwilligung in die Übermittlung der Daten gegeben.
Als wir den Arbeitgeber mit dem Inhalt der Beschwerde konfrontierten, war der Sachverhalt dort bereits bekannt. Der Arbeitgeber habe eine betriebliche Krankenversicherung einführen wollen. Um den Versicherungsschutz zum Beginn des neuen Monats sicherzustellen, wurde der Arbeitgeber zwei Tage vorher darum gebeten, die Daten an die Versicherung zu übermitteln. Es sei eigentlich geplant gewesen, Einwilligungserklärungen der Beschäftigten im Rahmen von Einführungsveranstaltungen einzuholen. Aufgrund der Dringlichkeit und in dem Glauben, dass „alle“ mitmachen würden, sei dann vorschnell gehandelt und die Daten seien ohne eine vorherige Einwilligung übermittelt worden.
Die Beschäftigten erhielten von ihrem Arbeitgeber zu dem Vorfall umgehend eine Information, und das Vorgehen wurde bedauert. Der Arbeitgeber bat schließlich alle Beschäftigten, die nicht an der Zusatzkrankenversicherung teilnehmen wollen, sich zu melden, sodass diese von der Versicherung wieder abgemeldet und die Daten gelöscht werden. Im Übrigen seien die betroffenen Beschäftigten aufgefordert worden, ihre Zustimmung nachzureichen.
Gegenüber dem Verantwortlichen wurde deutlich gemacht, dass die Datenübermittlung nicht durch eine nachträgliche Zustimmung oder Ähnliches rückwirkend rechtmäßig werden kann. Zudem verdeutlichten wir die Besonderheiten, die bei einer Einwilligung im Rahmen des Beschäftigtenverhältnisses zu beachten sind:
Eine Einwilligung muss freiwillig erteilt werden. Für die Beurteilung der Freiwilligkeit sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Personen sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleich gelagerte Interessen verfolgen.
Da eine betriebliche Krankenversicherung regelmäßig vom Arbeitgeber finanziert wird und jene für die Beschäftigten einen wirtschaftlichen Vorteil bietet, kann in diesem Fall die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten herangezogen werden. Maßgeblich für diese Einschätzung ist auch der Umstand, dass der Arbeitgeber die Erbringung der Arbeitsleistung nicht an die Erklärung einer Einwilligung zum Abschluss einer Krankenversicherung knüpfte.
Grundsätzlich sollte die Einwilligung im Beschäftigungsverhältnis jedoch nur in Ausnahmefällen als Rechtsgrundlage verwendet werden, da der Aspekt der Freiwilligkeit aufgrund des Abhängigkeitsverhältnisses oft nicht gegeben ist.
Da der Arbeitgeber den Vorfall bereits vor unserem Tätigwerden umfassend aufgearbeitet und entsprechende Maßnahmen ergriffen hatte, waren abgesehen von den oben genannten Hinweisen keine weiteren aufsichtsbehördlichen Maßnahmen erforderlich.
5.11 Datenpannen in der Wirtschaft
5.11.1 Meldungen von Datenpannen bei Kreditinstituten
Auch im vergangenen Jahr gingen beim ULD Meldungen von Datenpannen bei Kreditinstituten ein. Gemäß Artikel 33 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Den größten Teil der Meldungen machte der Fehlversand von Unterlagen, die personenbezogene Daten und insbesondere Finanzinformationen enthielten, aus. Der Fehlversand erfolgte auf postalischem oder elektronischem Wege und stellt eine unrechtmäßige Offenlegung gegenüber Dritten dar.
Seitens des ULD erfolgte in den vorliegenden Fällen eine Überprüfung, ob sowohl die Vorgaben in Bezug auf die Frist sowie den Inhalt der Meldung als auch die datenschutz-rechtlichen Vorschriften in Bezug auf die Sicherheit der Verarbeitung eingehalten wurden.
Art. 24 Abs. 1 DSGVO
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.
Einer der Grundsätze für die Verarbeitung personenbezogener Daten sieht vor, dass diese in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung („Integrität und Vertraulichkeit“). Hierzu setzt der Verantwortliche gemäß Artikel 24 DSGVO geeignete technische und organisatorische Maßnahmen um.
In den vorliegenden Fällen handelte es sich zumeist um individuelle Fehler von Mitarbeitenden, die sich teilweise nicht an die bestehenden Vorgaben der Kreditinstitute hielten oder durch Unaufmerksamkeit einen Fehlversand der Unterlagen verursachten. Der Verantwortliche nahm die Vorfälle zum Anlass, die Mitarbeitenden hinsichtlich der datenschutzrechtlichen Bestimmungen zu sensibilisieren und auch – soweit erforderlich – technische Veränderungen vorzunehmen, um eine ungewollte Offenlegung der Daten zukünftig zu vermeiden. Hierbei wurde z. B. eine zusätzliche Plausibilitätsprüfung im Kundensystem implementiert, die den Versand der Unterlagen an den richtigen Empfänger sicherstellen soll.
Seitens des ULD wurden abschließend Hinweise nach Art. 58 Abs. 1 Buchst. d DSGVO ausgesprochen.
5.11.2 Vom Winde verweht
Eine Meldung bezog sich auf den Verlust von Papierdokumenten und digitalen Datenträgern, die auf einem Transportwagen gelagert und von einer Sturmbö verweht wurden. Dabei handelte es sich um Unterlagen zu einem Planfeststellungsverfahren. Die darin enthaltenen personenbezogenen Angaben umfassten die Daten zu vier Eigentümern betroffener Grundstücke. Überwiegend waren bei den über 300 Papierseiten und den drei Datenträgern Angaben zu juristischen Personen enthalten, welche keinen Personenbezug aufwiesen.
Die Meldung durch das verantwortliche Unternehmen erfolgte gegenüber der Landesbeauftragten für Datenschutz fristgerecht innerhalb des maßgeblichen Zeitraums von 72 Stunden. Die vier betroffenen Grundstückseigentümer wurden zudem über den Datenverlust benachrichtigt.
Nach der Rekonstruktion der Vorgänge, die zum Verlust einiger Unterlagen führten, konnte das Unternehmen nähere Erläuterungen geben. Demnach war ein Austausch von Dokumenten beabsichtigt. Auf dem Hinweg zum Austauschort erfolgte ein fachgerechter Transport der Unterlagen in geschlossenen Kartons und in Aktenordnern. Zum Austausch der Dokumente mussten die Kartons geöffnet werden, wobei maßgebliche ausgetauschte Unterlagen dann nicht wieder in Aktenordner geheftet, sondern lose in die Kartons eingeordnet wurden. Weiterhin legte der mit dem Austausch beauftragte Beschäftigte ausgetauschte Datenträger in einen der Kartons.
Noch am Austauschort erfasste eine Windbö einen der zwischenzeitlich wieder verschlossenen Kartons und verteilte die Datenträger auf dem Erdboden. Als der Mitarbeiter diesen Karton nebst Inhalt sichern wollte, erfasste die Windbö weitere der mit Kartondeckeln verschlossenen Kartons und verwehte einen Teil der Papierunterlagen. Vor Ort gelang es schließlich, die Papierunterlagen zu sichern. Einer der Datenträger konnte jedoch nicht mehr aufgefunden werden.
Verfügbarkeit
Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen bedeutet, dass diese von den Anwendern stets wie vorgesehen genutzt werden können. Maßnahmen zur Unterstützung der Verfügbarkeit sind z. B. die redundante Auslegung von Systemen, eine unterbrechungsfreie Stromversorgung, Vertretungsregelungen, Speicherungen in RAID-Systemen oder in (mehreren) Clouds sowie Datensicherungen.
Bezüglich der Angaben auf dem abhandengekommenen Datenträger existierte eine Kopie, sodass die Verfügbarkeit über die Daten weiterhin gewährleistet blieb. Auch dieser Umstand war bedeutend hinsichtlich der Einschätzung bestehender Risiken für die Persönlichkeitsrechte betroffener Personen.
Das Unternehmen hat darüber hinaus veranlasst, dass bei künftigen Transporten vergleichbarer Unterlagen immer zwei Beschäftigte die Dokumentenlieferung durchführen werden, um eine zusätzliche Sicherung zu gewährleisten. Ferner erfolgte eine Anweisung an alle Beschäftigten, Dokumente, digitale Datenträger und sonstige Datenträger mit personenbezogenen Daten stets in geschlossenen und gesicherten Behältnissen zu transportieren, um auch einen Schutz vor Sturmböen zu bieten.
Die von dem Unternehmen vorgeschlagenen und umgesetzten Maßnahmen zur künftigen Sicherung entsprechender Transporte erachteten wir als hinreichend, sodass das eingeleitete Prüfverfahren beendet werden konnte.
Was ist zu tun?
Wind und Wetter gehören zu Schleswig-Holstein. Der Transport von personenbezogenen Unterlagen bedarf einer angemessenen Sicherung vor äußeren Einflüssen. Wetterbedingungen wie Niederschlag oder Wind können die Verfügbarkeit von Daten beeinträchtigen und zu Verletzungen der Datensicherheit führen. Die verantwortlichen Unternehmen müssen angemessene Maßnahmen ergreifen, die neben der ordnungsgemäßen Sicherung der Ladung auch die Vorhaltung von Sicherungskopien und die Verschlüsselung von Datenträgern umfassen kann.
5.12 Videoüberwachung
5.12.1 Allgemeine Entwicklungen
Die Entwicklung, dass sich immer mehr Menschen durch Videoüberwachungskameras beeinträchtigt fühlen und daher beim ULD eine Beschwerde einreichen, setzt sich auch in diesem Berichtszeitraum fort. Die Anzahl von Beschwerden über Videoüberwachungsanlagen stieg im Vergleich zum Vorjahreszeitraum insgesamt um rund 34 Prozent an.
Einen Großteil der Beschwerden machen dabei Videoüberwachungsanlagen aus, die durch Privatpersonen in ihrem privaten Umfeld installiert werden. Über solche Videoüberwachungsanlagen beschweren sich meistens die direkten Nachbarn. Oftmals geht solchen Beschwerden ein festgefahrener Nachbarschaftsstreit voraus, sodass sich die Betroffenen direkt an das ULD wenden, ohne das direkte Gespräch mit den vermeintlich überwachenden Nachbarn zu suchen. Im Vergleich zum Vorjahr ist der Anteil derartiger Beschwerden deutlich – um rund 65 Prozent – gestiegen. Knapp die Hälfte aller im Berichtszeitraum eingegangenen Beschwerden zum Thema Videoüberwachung bezogen sich auf Videoüberwachungsanlagen in der Nachbarschaft.
Videoüberwachung in der Nachbarschaft
Wenn sich die Videoüberwachung ausschließlich auf das eigene, private Grundstück richtet, ohne dass öffentliche Flächen oder benachbarte Grundstücke erfasst werden, handelt es sich um eine Datenverarbeitung, die einer persönlichen oder familiären Tätigkeit gleichkommt. Auf diese Videoüberwachungsanlagen findet die Datenschutz-Grundverordnung daher gemäß Art. 2 Abs. 2 Buchst. c DSGVO keine Anwendung. Erfasst die Videoüberwachung jedoch Bereiche außerhalb des privaten Grundstücks, ist die Datenschutz-Grundverordnung vollumfänglich zu berücksichtigen.
Die andere Hälfte der Beschwerden im Bereich der Videoüberwachung, die an uns herangetragen wurden, bezog sich u. a. auf Videoüberwachungsanlagen, die in Restaurants, auf Campingplätzen, an und in Fahrzeugen (Dashcams) oder auch im Umfeld von Pferdehöfen installiert sind. In den zu prüfenden Fällen war oftmals die Hinweisbeschilderung nicht korrekt, einige Betreiber konnten auch die Erforderlichkeit für die Videoüberwachung nicht nachvollziehbar begründen. Auch über Videoüberwachungsanlagen in Fitnessstudios, Schwimmbädern oder Spa-Einrichtungen wurde sich im Laufe des Jahres mehrfach beschwert.
In solchen Fällen wird regelmäßig eine Prüfung der Rechtmäßigkeit dieser Videoüberwachungsanlagen eingeleitet. In einigen Fällen wurde sehr deutlich, dass die Videoüberwachung die Grundrechte und Grundfreiheiten der betroffenen Personen in einem unverhältnismäßigen Umfang beeinträchtigt hat. In solchen Fällen wurde darauf hingewirkt, den Eingriff in die Rechte der Betroffenen abzumildern, indem beispielsweise Veränderungen der Erfassungsbereiche oder eine Erhöhung der Transparenz gefordert wurden.
Schriftliches Auftreten der Landesbeauftragten für Datenschutz
Die Landesbeauftragte für Datenschutz kommuniziert ausschließlich direkt mit einem Verantwortlichen. Aushänge in der Öffentlichkeit erfolgen durch unsere Dienststelle nicht. Zudem sind Schriftstücke, die unsere Dienststelle verlassen, immer von der jeweiligen Sachbearbeiterin oder dem Sachbearbeiter unterschrieben. Im Falle der Kommunikation per E-Mail geht aus der Absenderadresse oder der Signatur eindeutig hervor, ob die Mitteilung aus unserer Dienststelle stammt. Bei Zweifeln empfiehlt sich eine Nachfrage.
Außerdem stach im Berichtszeitraum ein Fall hervor, in dem jemand, der sich von einer Wildkamera beeinträchtigt fühlte, kurzerhand ein Schreiben unterhalb der Kamera aufhängte. In diesem Schreiben wurde darauf hingewiesen, dass der Einsatz von Wildkameras nach der Datenschutz-Grundverordnung grundsätzlich unzulässig sei. Das Schreiben enthielt die Aufforderung, die Wildkamera zu entfernen, und die Androhung der Sicherstellung der Kamera, falls der Aufforderung nicht Folge geleistet würde. Unterhalb des Textes wurde die Anschrift der Dienststelle der Landesbeauftragten für Datenschutz angegeben. Durch diesen Aushang erhielt unsere Dienststelle berechtigterweise eine irritierte Nachfrage des zuständigen Jagdausübungsberechtigten, ob ein solches Schriftstück im Auftrag der Landesbeauftragten unterhalb seiner Kamera angebracht worden sei. Dies war selbstverständlich nicht der Fall. Das Schreiben stammte nicht aus dem ULD.
5.12.2 Heimlich ein Gespräch belauschen? Audio - und Videoüberwachung im Eingang eines Hostels
Bereits seit dem Jahr 2021 beschäftigt uns eine Beschwerde über Video- und Tonüberwachung in einem Hostel, die wir im Berichtszeitraum zum Abschluss gebracht haben. Gäste hatten sich über eine Audio- und Videoüberwachung im Eingangsbereich eines Hostels im Zentrum einer touristisch viel besuchten Stadt beschwert. Danach sollte eine Videobeobachtung im Eingangsbereich erfolgen. Dies war ihnen bekannt. Nicht gerechnet hatten sie allerdings damit, dass der Inhaber des Hostels darüber auch ihre Gespräche im Eingangsbereich mithören könne.
Der Verantwortliche bestätigte die Vermutung der Beschwerdeführer: Wenn Gäste sich zum Einchecken im Vorraum des Hostels befinden, erhält der Inhaber über eine App eine Mitteilung auf seinem Smartphone und kann so die Gäste sehen und auch hören. Bei Bedarf könne er so die Gäste ansprechen und beim Einchecken behilflich sein. Dieses Verfahren sei wegen der unterschiedlichen Nationalitäten/Sprachen der Gäste erforderlich. Die Überwachung diene außerdem zum Einbruchschutz. Auf die Überwachung werde im Eingangsbereich hingewiesen.
Wir haben den Verantwortlichen darauf hingewiesen, dass die Überwachung der Gäste in ihrer konkreten Ausgestaltung zum Teil nicht ausreichend begründet und zum Teil nicht erforderlich und verhältnismäßig ist. Insbesondere galt dies für die Tonüberwachung. Diese greift erheblich in die Rechte der betroffenen Personen ein und kann unter Umständen sogar eine Straftat darstellen.
Als mildere Alternative haben wir vorgeschlagen, eine Gegensprechanlage zu installieren, welche die Gäste bei Bedarf beim Einchecken betätigen. Für die optische Überwachung zum Schutz vor Einbrüchen haben wir eine substanziierte Gefährdungseinschätzung gefordert. Diese hat der Verantwortliche nicht vorgelegt. Er war nicht bereit, Änderungen vorzunehmen, um die Video- und Tonüberwachung in Einklang mit den datenschutzrechtlichen Anforderungen zu bringen. Die Installation einer Gegensprechanlage wurde als nicht praktikabel und zu teuer abgelehnt.
Was haben wir dann getan? Es folgten diverse Schritte im Rahmen eines Verwaltungsverfahrens, die schließlich darin mündeten, dass wir den Verantwortlichen angewiesen haben, die Video- und Audioüberwachung entweder zu unterlassen oder in der Weise auszugestalten, dass sie erst durch bewusste und gewollte Auslösung der betroffenen Person aktiviert wird. Daraufhin entfernte der Verantwortliche die Kamera mit Tonüberwachung, und das Verfahren konnte eingestellt werden.
Was ist zu tun?
Unbemerktes Abhören von Gesprächen von Gästen im Hotel oder an ähnlichen Orten ist nach dem Datenschutzrecht unzulässig und hat zu unterbleiben. Das ULD wird erforderlichenfalls Untersagungsverfügungen erlassen, wenn Verantwortliche nach einer Datenschutzprüfung an solchen Maßnahmen festhalten.
5.12.3 Der Kampf gegen die Vermüllung – Videoüberwachung von Müllsammelplätzen
Mehrere Millionen Tonnen an illegal entsorgtem Müll landen jährlich auf Deutschlands Straßen oder in den Wäldern. Die Gründe dafür sind verschiedene, die Folgen für Städte und Gemeinden überall gleich: hohe Kosten, um illegal entsorgten Sperrmüll, Elektrogeräte und Farbeimer fachgerecht zu trennen und zu entsorgen. Städte und Gemeinden sehen sich vermehrt gezwungen, der Vermüllung auch mit technischen Mitteln entgegenzutreten. Dies spiegeln Beratungsanfragen wider, die das ULD vermehrt erreichen. Städte und Gemeinden wollen sich der Videoüberwachung bedienen, um Müllsammelplätze vor unberechtigter Müllentsorgung zu schützen und die Vermüllung präventiv zu vermeiden.
§ 14 LDSG
Videoüberwachung öffentlich zugänglicher Räume
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit dies
1. zur Aufgabenerfüllung öffentlicher Stellen oder
2. zur Wahrnehmung des Hausrechts erforderlich ist
und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.
[...]
Eine Gemeinde in Schleswig-Holstein setzt seit dem Jahr 2022 eine Videoüberwachung zur Beobachtung eines Müllsammelplatzes ein – nach eigener Aussage mit Erfolg. Bezüglich dieser Videoüberwachung hat das ULD Anfang 2023 eine Beschwerde erreicht. Die Rechtmäßigkeit der Videoüberwachung wird von dem Beschwerdeführer unter datenschutzrechtlichen Aspekten bezweifelt.
Bei einer Videoüberwachung von Müllsammel-plätzen werden nicht nur die Personen gefilmt, bei denen es zu einem Fehlverhalten kommt. Es werden im öffentlichen Raum lückenlos alle Personen erfasst, die ihren Müll an dem überwachten Müllsammelplatz entsorgen, unabhängig davon, ob der Müll legal oder möglicherweise illegal entsorgt wird. Dieser Umstand greift in die Persönlichkeitsrechte der betreffenden Personen ein.
Für diesen Grundrechtseingriff und die Verarbeitung der personenbezogenen Daten bedarf es einer gesetzlichen Grundlage. Die betreffende Gemeinde stützt die Rechtmäßigkeit der Videoüberwachung auf die Generalklausel des § 14 Abs. 1 Nr. 1 LDSG (Landesdatenschutzgesetz). Nach ihrer Stellungnahme sei die Videoüberwachung für die Erfüllung ihrer Aufgaben erforderlich.
Die abschließende datenschutzrechtliche Bewertung und der folgende Abschluss des Verfahrens stehen derzeit noch aus.
5.12.4 Webcams im Hafengebiet
Im Berichtszeitraum waren mehrere Webcams Gegenstand von Prüfungen durch das ULD. Besonders in den Sommermonaten gehen Jahr für Jahr Beschwerden über Webcams ein. Webcams werden häufig an Orten wie Strandpromenaden oder Häfen betrieben, um touristische Zwecke zu verfolgen. Auch öffentliche Stellen haben den Nutzen von Webcams längst erkannt. Die Möglichkeit, einen Einblick in den Ortskern, das Geschehen an der Strandpromenade oder die tagesaktuelle Wetterlage zu erhalten, nehmen laut den Verantwortlichen auch viele Menschen gern wahr.
Gegenstand einer Prüfung des ULD waren u. a. Webcams an einer Seeuferpromenade und in einem Hafengebiet. In beiden Fällen war es zunächst möglich, einzelne Personen zu identifizieren. Dass öffentliche Stellen Webcams nutzen möchten, um ihre Attraktivität für den Tourismus zu erhöhen, ist durchaus nachvollziehbar. Wenn Personen identifizierbar von Webcams erfasst werden, stellt dies aber in der Regel einen erheblichen Eingriff in ihre Grundrechte und Grundfreiheiten dar. Vor allem vor dem Hintergrund, dass die Aufnahmen von Webcams für jeden frei im Internet zugänglich sind, wiegt dieser Eingriff besonders schwer. Das touristische oder wirtschaftliche Interesse eines Webcam-Betreibers kann es nicht rechtfertigen, dass Personen auf öffentlichen Flächen von Kameras erfasst und in Echtzeit aus der Ferne beobachtet werden können. Der Betrieb einer Webcam kann daher aus datenschutzrechtlicher Sicht nur dann zulässig sein, wenn Personen nicht identifiziert werden können.
Merkmale, die für eine Identifizierung von Personen bei Bildübertragungen in Betracht kommen, sind z. B.:
• Gesicht
• Körperbild, Körperhaltung, Gangbild
• Ort und Zeitpunkt der Aufnahme
• Kleidung, mitgeführte Gegenstände oder Tiere
• zur Person gehörige Häuser, Boote, Fahrzeuge, Wohnwagen
Insbesondere im Hafengebiet war die Identifizierung von Personen auch anhand der dort liegenden Boote möglich. Bei der Frage, ob eine Person auf einer Videoaufnahme identifiziert werden kann, kommt es nicht nur darauf an, ob das Gesicht erkennbar ist oder ob eine Person tatsächlich von jemandem identifiziert wurde. Vielmehr können auch der Ort, die Zeit und Gegenstände – wie in diesem Fall Boote – Rückschlüsse auf eine bestimmte Person zulassen. Zu berücksichtigen ist dabei auch immer das etwaige Zusatzwissen eines Nutzenden der Webcam. Wenn eine Identifizierung von Personen dadurch möglich ist, handelt es sich um personenbezogene Daten, deren Verarbeitung mittels Webcam aus den eingangs genannten Gründen unzulässig wäre.
Der Betreiber der Webcams wurde auf diesen Umstand hingewiesen und zeigte sich kooperativ. Es wurden Maßnahmen ergriffen, die dazu beitrugen, eine Identifizierung von Personen zu verhindern.
Was ist zu tun?
Bevor eine Webcam in Betrieb genommen wird, sollten die Betreiber genau prüfen, mit welcher Einstellung die jeweilige Webcam betrieben werden kann. In diesem Zusammenhang ist zu beachten, dass Einstellungen gewählt werden, die das eindeutige Identifizieren von Personen verhindern. Geeignet sind in der Regel Übersichtsaufnahmen aus großer Entfernung mit einer eher geringen Auflösung. Jemand, der den Videostream aufruft, sollte darüber hinaus nicht die Möglichkeit haben, eigenständig zu zoomen oder vor- und zurückzuspulen. Eine weitere Möglichkeit, die Webcam weniger eingriffsintensiv für die betroffenen Personen zu gestalten, kann auch das Erstellen von Standbildern sein. Dadurch können Bewegungsmuster nicht exakt nachvollzogen werden. Es kommt jedoch stets auf den Einzelfall und den jeweiligen Zweck der Webcam an.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
