05

Kernpunkte:

  • Falschüberweisungen
  • Muttizettel
  • Videoüberwachung
  • Bußgelder für Datenschutzverstöße

 

5    Datenschutz in der Wirtschaft

5.1          Interessenkonflikte von Datenschutzbeauftragten

Beim ULD gingen Beschwerden bezüglich zweier Unternehmen ein, die sich auf mögliche Interessenkonflikte der betrieblichen Datenschutzbeauftragten bezogen. In beiden Fällen war der Datenschutzbeauftragte in Führungspositionen (Leiter der IT-Abteilung und Leiter der Konzernsicherheit) tätig.

Gemäß Art. 37 Abs. 6 DSGVO kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Ein solcher Interessenkonflikt liegt in der Regel vor, wenn der Datenschutzbeauftragte sich selbst kontrollieren müsste oder in der Lage ist, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Art. 37 Abs. 6 DSGVO
Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

In beiden beim ULD eingegangenen Fällen lag ein solcher Interessenkonflikt vor. Sowohl als Leiter der IT-Abteilung als auch als Leiter der Konzernsicherheit waren die Datenschutzbeauftragten in der Lage, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen. Zudem erfolgte in der vorliegenden Konstellation eine Kontrolle der eigenen Person, eben nur in einer anderen Funktion.

Die Unternehmen wurden durch das ULD im Rahmen eines aufsichtsbehördlichen Verfahrens zum Sachverhalt angehört. Es wurden zudem die datenschutzrechtlichen Vorgaben in Bezug auf den Interessenkonflikt eines Datenschutzbeauftragten sowie die Rechtsauffassung des ULD umfassend erläutert.

Beide Unternehmen argumentierten in ihren Stellungnahmen damit, dass durch umfassende organisatorische Regelungen Interessenkonflikte der Datenschutzbeauftragten ausgeschlossen werden konnten. In einem Fall kam jedoch noch erschwerend hinzu, dass der Datenschutzbeauftragte in seiner Funktion als Leiter der Konzernsicherheit die Abteilung Datenschutz fachlich sowie disziplinarisch führte. Die Aufgabe dieser Abteilung war es u. a., den Datenschutzbeauftragten in der Erfüllung seiner Aufgaben zu unterstützen. Auch hier war keine unabhängige Überwachung möglich. Weiterhin erfolgte eine Aufteilung der Aufgaben nach Artikel 39 DSGVO auf den Datenschutzbeauftragten und die Abteilung Datenschutz. Somit wurden seitens des Verantwortlichen Aufgaben des Datenschutzbeauftragten übernommen, und es kam somit zu einer unzulässigen Vermengung des Verantwortungsbereichs des Verantwortlichen und der Aufgaben des Datenschutzbeauftragten.

Die angeführten organisatorischen Regelungen waren daher aus Sicht des ULD nicht geeignet, um einen Interessenkonflikt auszuschließen. In beiden Fällen zeigten sich die Unternehmen einsichtig, und es wurden neue Datenschutzbeauftragte benannt.

Aufgrund der Benennung neuer Datenschutzbeauftragter wurden die aufsichtsbehördlichen Verfahren eingestellt. Es wurde abschließend nochmals darauf hingewiesen, dass auch in der jetzt vorliegenden Konstellation gewährleistet bleiben muss, dass es zu keinem Interessenkonflikt der Datenschutzbeauftragten kommen kann.

 

5.2          Stolperfallen beim Führen einer digitalen Akte

Die digitale Akte findet in immer mehr Bereichen Einzug, was aber bei einigen betroffenen Personen durchaus noch zu Irritationen führen kann.

Im Rahmen eine Beschwerde beklagte sich ein Mann darüber, dass er seine persönlichen Unterlagen im Rahmen einer Terminvereinbarung einer Sekretariatskraft zum Scannen übergeben sollte. Dies verweigerte er. Im Rahmen eines einige Tage später geführten Beratungsgesprächs beklagte er sich dann darüber, dass der zuständigen Sachbearbeiterin nicht alle Unterlagen vorlagen. Nach seiner Auffassung seien diese dort zwischenzeitlich verschwunden.

Im Rahmen des Verfahrens erläuterte die verantwortliche Stelle, dass sie keine Papierakten mehr führe und alle eingehenden Schriftstücke ausnahmslos durch Scannen digitalisiere, in ihr elektronisches Aktensystem überführe und der jeweiligen Vorgangsakte zuordne. Wenn sich betroffene Personen der Erstellung eines elektronischen Doppels für das dort genutzte elektronische Aktensystem verweigern würden, führe dies allerdings dazu, dass die entsprechenden Unterlagen nicht vorliegen und auch nicht bearbeitet werden können.

Da der Betroffene in dem streitgegenständlichen Fall seine Unterlagen zu dem Beratungstermin nicht dabeihatte, seien diese in den darauffolgenden Tagen durch die Ehefrau persönlich eingereicht, dort in die elektronische Akte überführt und anschließend wieder zurückgegeben worden.

Da die verantwortliche Stelle abschließend nochmals betonte, dass keine Unterlagen verschwunden oder verloren gegangen seien, die übergebenen Schriftstücke ausschließlich elektronisch in der dort geführten Verfahrensakte vorhanden seien und sich die Originale im Besitz des Betroffenen befinden, konnte das Verfahren eingestellt werden.

Was ist zu tun?
Auch für das Abfordern von Unterlagen zum Scannen ist ausreichende Transparenz nötig, warum dies geschehen soll: Der Verantwortliche hat die betroffene Person in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache u. a. auch über den Zweck der Verarbeitung zu informieren.

 

5.3          Versehentliche Falschüberweisung

Das ULD erreichte eine Beratungsanfrage eines Bürgers. Er nutze Onlinebanking, und dabei sei ihm ein Fehler unterlaufen. Er habe eine Überweisung, die er regelmäßig tätige, an eine veraltete Bankverbindung geschickt. Die Bankverbindung sei derweil neu vergeben worden. Nachdem ihm der Fehler aufgefallen sei, habe er sich umgehend mit seiner Bank und der Bank des Falschempfängers in Verbindung gesetzt. Er habe den Falschempfänger ausfindig und zur Erstattung auffordern wollen. Bei der Bank des Empfängers wurde ihm jedoch mitgeteilt, dass aus Gründen des Datenschutzes keine Angaben gemacht werden dürften.

Die Aufgabe des ULD war daher, unter Zugrundelegung der zur Verfügung stehenden Informationen zu prüfen, ob eine Weitergabe der Daten des Falschempfängers durch die Bank in diesem Fall tatsächlich gegen die Vorgaben der DSGVO verstoßen hätte.

Bei den Kontaktinformationen (Name und Adresse) des Kontoinhabers handelt es sich zweifellos um personenbezogene Daten. Die Weitergabe dieser Daten stellt eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO dar.

Art. 4 Nr. 2 DSGVO
„Verarbeitung“ beschreibt jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Eine Verarbeitung bedarf für ihre Rechtmäßigkeit einer Rechtsgrundlage gemäß Artikel 6 DSGVO. Im konkreten Fall kam eine Verarbeitung aufgrund eines berechtigten Interesses gemäß Art. 6 Abs. 1 Buchst. f DSGVO in Betracht.

Verantwortliche war hier die Bank, der Ratsuchende war der Dritte und der Falschempfänger die betroffene Person. Das Interesse des Ratsuchenden war legitim und damit berechtigt. Das berechtigte Interesse bestand in der Geltendmachung des Herausgabeanspruchs gemäß § 812 Abs. 1 des Bürgerlichen Gesetzbuches (BGB) gegen den Geldempfänger. Dieser Herausgabeanspruch ergibt sich aus geltendem Recht und steht somit in Einklang mit der Rechtsordnung. Das Kriterium der Erforderlichkeit lag ebenfalls vor, da der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden konnte.

Letztlich überwogen die Interessen oder Grundrechte und Grundfreiheiten des Falschempfängers nicht. Aufseiten der betroffenen Person war insbesondere das Grundrecht aus Artikel 8 der Grundrechtecharta (GRCh) zu beachten, wonach jede Person das Recht auf den Schutz ihrer personenbezogenen Daten hat. Allerdings ergibt sich aus Artikel 8 GRCh, dass Eingriffe grundsätzlich möglich sind. Diese Interessen waren jedoch im Ergebnis nicht höher zu werten als das Interesse an der Geltendmachung des Erstattungsanspruchs, denn der Verfolgung eigener Rechtsansprüche gegen die betroffene Person (also dem Geldempfänger) kommt ein besonders hohes Gewicht zu. Immerhin war der Geldempfänger ungerechtfertigt bereichert.

Art. 6 Abs. 1 Buchst. f DSGVO
Demnach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Zudem hätte eine Weitergabe der Kontaktdaten auch keine unverhältnismäßigen Folgen für den Kontoinhaber bzw. Geldempfänger gehabt. Dieser hätte lediglich den Geldbetrag erstatten müssen, der ihm ohnehin nie zustand. Von besonderer Bedeutung war letztlich im konkreten Sachverhalt noch, dass die Bank des Falschempfängers in ihren Allgemeinen Geschäftsbedingungen (AGB) auch keine gegenteilige Regelung traf. Demnach stand lediglich die Erteilung von Bankauskünften unter einem Einwilligungsvorbehalt. Bankauskünfte waren in den AGB als allgemein gehaltene Feststellungen und Bemerkungen über die wirtschaftlichen Verhältnisse von Kunden, der Kreditwürdigkeit und Zahlungsfähigkeit definiert. Die Kontaktdaten der betroffenen Person waren damit nicht umfasst, und deren Weitergabe stand daher nicht unter dem Einwilligungsvorbehalt.

Zwar bestand im Ergebnis keine Verpflichtung der Bank, die Kontaktdaten der betroffenen Person dem Dritten mitzuteilen. Allerdings hatte diese die Befugnis hierfür. „Gründe des Datenschutzes“ standen dem jedenfalls nicht entgegen.

Im nächsten Schritt empfahlen wir dem Ratsuchenden, dass er sich mit unserer Einschätzung an den Datenschutzbeauftragten der Bank wenden solle, um über diesen eine weitere Klärung der Angelegenheit zu erzielen.

Einige Zeit später erhielten wir einen Anruf von einem sehr erleichterten Ratsuchenden. Er habe sich an den Datenschutzbeauftragten der Bank gewendet. Einige Tage später habe er auf seinem Konto eine Erstattung in Höhe des fälschlich überwiesenen Betrages verzeichnen können. Die Bank sei offenbar auf ihren Kunden zugegangen und habe die Angelegenheit mit diesem regeln können. Letztlich habe sich damit die Sache sogar ohne Weitergabe der Kontaktinformationen aus der Welt schaffen lassen.

 

5.4          Eintreibung der Schuld um jeden Preis – auch beim Falschen

Ende des Jahres 2023 erreichte uns die „Datenpannenmeldung“ eines Inkassounternehmens. Hierin wurde die Zustellung mehrerer Schreiben an einen falschen Schuldner gemeldet. Dieser Fehlversand erfolgte nach Angaben der verantwortlichen Stelle aufgrund einer Unachtsamkeit der Sachbearbeitung sowie der falschen Zuordnung der Fallnummer im System. Auf Basis des dargelegten Ablaufs wurde der Sachverhalt detailliert geprüft und von uns als deutlich weitreichender eingestuft als von der verantwortlichen Stelle angenommen.

Dem von einem Elektrohandel beauftragten Einzugsverfahren lag eine entsprechende Rechnung zugrunde, welche auf ein Gewerbe sowie eine explizite Person (Schuldner A) ausgestellt war. Nach der systemseitigen Anlage des Inkassoverfahrens wurde der Schuldner allerdings entgegen der Rechnungsadresse auf den Inhaber des benannten Gewerbes und nicht auf den vom Elektrohandel explizit benannten Schuldner A geführt. Eine Rücksprache mit dem beauftragenden Elektrohandel bezüglich der Änderung der Schuldnerdaten auf den neuen Schuldner B erfolgte nicht.

In den darauffolgenden Monaten wurden zum Einzug der Schuld mehrere Mahnbescheide an den Schuldner B versendet, wobei es aufgrund von Unzustellbarkeiten immer wieder zu Anpassungen der Adressdaten kam. Durch eine Anfrage beim Einwohnermeldeamt konnte schließlich die aktuelle Anschrift des Schuldners B ermittelt und das Mahnverfahren mit der Zustellung des Vollstreckungsbescheids abgeschlossen werden.

Durch die darauffolgende eingeleitete Zwangsvollstreckung erlangte der Elektrohandel Kenntnis von den abgeänderten Schuldnerdaten. Daraufhin bat der Elektrohandel das Inkassounternehmen um entsprechende Korrektur, damit das Verfahren wieder gegen den ursprünglichen Schuldner A geführt werden könne. Obwohl hiermit auf einen eindeutigen Fehler der Schuldnerdaten hingewiesen und um Berichtigung gebeten wurde, entschied sich das Inkassounternehmen eigenmächtig dazu, das Verfahren weiterhin gegen Schuldner B laufen zu lassen.

Auf Basis dieser vorsätzlichen Entscheidung folgte nun wissentlich der Versand von zwei weiteren Schreiben sowie eines Mahnbescheids an den falschen Empfänger – den Schuldner B. Dies wurde seitens des Inkassounternehmens damit begründet, dass von einer bevollmächtigten Vertretung ausgegangen wurde, ohne dies allerdings geprüft zu haben. Zudem wurde aufgrund des fehlenden Einspruchs des Schuldners B gegen den Vollstreckungsbescheid vermutlich davon ausgegangen, dass das Verfahren auf diesem Wege effektiver umgesetzt werden könne.

Erst als auf den falsch zugestellten Mahnbescheid ein Widerspruch seitens Schuldner B eingereicht wurde, der nochmals darauf verwies, dass Schuldner A der richtige Adressat des Verfahrens sei, wurde der Auftrag gegen Schuldner B zurückgenommen.

Zwar lag in diesem Fall tatsächlich im Grunde genommen ein Fehlversand von Schreiben und Mahnbescheiden vor, allerdings war unsererseits das grundsätzliche Vorgehen und die damit verbundenen vorsätzlichen Datenschutzverstöße zu beanstanden. Im Rahmen des durchgeführten aufsichtsbehördlichen Verfahrens wurde auf die Missstände hingewiesen.

Im weiteren Verlauf der Anhörungen widersprach das Inkassounternehmen seiner eigenen Ursprungsmeldung und teilte uns mit, dass das Verfahren fälschlicherweise und nicht vorsätzlich gegen Schuldner B weitergeführt wurde und dabei die Annahme eines korrekten Empfängers bestand. Dies erschien bei den hier ursprünglich getroffenen Äußerungen der „Datenpannenmeldung“ allerdings nicht glaubhaft. Das Unternehmen wurde aufgrund der hier vorliegenden vorsätzlichen Datenschutzverstöße verwarnt. Das Inkassounternehmen hat aufgrund des Vorfalls die Mitarbeiterinnen und Mitarbeiter auf die relevanten Merkmale der Schuldnerzuordnung aus datenschutzrechtlicher Sicht erneut hingewiesen und sensibilisiert.

Was ist zu tun?
Der (mögliche) Erfolg eines unternehmerischen Vorgehens darf nicht über die Einhaltung datenschutzrechtlicher Vorgaben gestellt werden.

 

5.5          Einführung eines neuen Kontomodells – Anforderungen an eine Einwilligung

Beim ULD gingen mehrere Beschwerden ein, die sich auf die Einführung eines neuen Kontomodells bei einem in Schleswig-Holstein ansässigen Kreditinstitut bezogen. Neben den üblichen Leistungen eines Girokontos wurden weitere Mehrwertleistungen wie Cashback, Reisebuchungsservice sowie Versicherungen angeboten. Hierzu bediente sich das Kreditinstitut eines externen Dienstleisters, der die Abwicklung der nicht bankspezifischen Leistungen übernehmen sollte. Zur Durchführung dieser Leistungen sollten Kunden dem Kreditinstitut gegenüber eine Einwilligung zur Übermittlung ihrer personenbezogenen Daten an den Dienstleister geben – einschließlich der Erklärung, dass dieser die Kunden zu Angeboten direkt kontaktieren durfte.

Art. 4 Nr. 11 DSGVO
Der Ausdruck „Einwilligung“ bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die dem ULD vorliegenden Beschwerden bezogen sich auf den Umstand, dass in der neuen Rahmenvereinbarung für das Girokonto die Einwilligung zur Kontaktaufnahme durch den Dienstleister bereits angekreuzt war und es somit keine Möglichkeit gäbe, dies abzulehnen. Weiterhin wäre den Kunden suggeriert worden, dass eine mögliche Kündigung ihres Girokontos drohe, wenn diese nicht auf das neue Kontomodell umstiegen und somit der Weitergabe ihrer Daten an den Dienstleister und der Kontaktaufnahme zu Werbezwecken zustimmten. Die Anforderungen an eine Einwilligung sind in der DSGVO umfassend geregelt.

Die betroffene Person muss zudem eine echte und freie Wahl haben. Sie muss die Einwilligung zudem jederzeit ohne Nachteile verweigern und zurückziehen können. Zudem gibt der Erwägungsgrund 32 der DSGVO vor, dass bereits angekreuzte Kästchen keine Einwilligung der betroffenen Person darstellen sollten. Gemäß Art. 7 Abs. 2 DSGVO sind Teile der Erklärung zudem dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

Erwägungsgrund 32 Satz 3 DSGVO
 Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten keine Einwilligung darstellen.

Das Kreditinstitut wurde durch das ULD im Rahmen eines aufsichtsbehördlichen Verfahrens zum Sachverhalt angehört. Es wurden zudem die datenschutzrechtlichen Vorgaben in Bezug auf die Anforderungen an eine wirksame Einwilligung umfassend erläutert.

Seitens des Kreditinstituts folgten daraufhin weitreichende Anpassungen. Es wurde festgelegt, dass keine werbliche Nutzung der Kundendaten durch den Dienstleister erfolgen darf. Die Rahmenvereinbarung wurde dahin gehend geändert, sodass zukünftig auch keine vorher angekreuzten Kästchen mehr verwendet werden. Die bisher eingeholten unwirksamen Einwilligungen wurden fortan nicht mehr als aktive Einwilligung dokumentiert und werden nicht als Rechtsgrundlage für werbliche Maßnahmen genutzt.

Weiterhin wurde angeführt, dass es alternative Kontomodelle ohne Mehrwertleistungen und der damit verbundenen Weitergabe der Daten an den Dienstleister geben würde, sodass Kunden keine Nachteile im Falle einer nicht erteilten Einwilligung entstehen. Zusätzlich wurden die Mitarbeitenden hinsichtlich der Kommunikation mit den Kunden sensibilisiert, da eine Kündigung der Konten, wie teilweise kommuniziert, nicht vorgesehen war.

Aufgrund der umfangreichen Anpassungen wurde das aufsichtsbehördliche Verfahren mit Erteilung eines Hinweises nach Art. 58 Abs. 1 Buchst. d DSGVO eingestellt.

 

5.6          Erziehungsbeauftragung mittels des Muttizettels

Uns erreichte eine Beschwerde in Bezug auf das Verfahren zur Alterskontrolle einer Diskothek. Diese hatte im Rahmen dieser Alterskontrolle Kopien des Personalausweises der Erziehungsberechtigten eingesammelt, deren jugendliche Kinder die Abendveranstaltung mittels des sogenannten Muttizettels besuchen wollten. Es konnte seitens der Beschwerdeführerin nicht nachvollzogen werden, aus welchem genauen Grund ein Einsammeln der Kopien erforderlich gewesen war.

Gemäß § 4 Abs. 1 Jugendschutzgesetz (JuSchG) darf Jugendlichen ab 16 Jahren der Aufenthalt in Gaststätten ohne Begleitung einer personensorgeberechtigten oder erziehungs-beauftragten Person in der Zeit von 24 Uhr und 5 Uhr morgens nicht gestattet werden.

§ 4 Abs. 1 Jugendschutzgesetz
 Jugendlichen ab 16 Jahren darf der Aufenthalt in Gaststätten ohne Begleitung einer personensorgeberechtigten oder erziehungsbeauftragten Person in der Zeit von 24 Uhr und 5 Uhr morgens nicht gestattet werden.

§ 1 Nr. 4 Jugendschutzgesetz
Eine erziehungsbeauftragte Person ist jede Person über 18 Jahre, soweit sie auf Dauer oder zeitweise aufgrund einer Vereinbarung mit der personensorgeberechtigten Person Erziehungsaufgaben wahrnimmt.

Eine Möglichkeit zur Teilnahme an solchen Veranstaltungen besteht in einer Erziehungsbeauftragung nach § 1 Nr. 4 JuSchG. In diesem Fall kann der Erziehungsauftrag an eine volljährige Person übertragen werden. Diese Erziehungsbeauftragung wird umgangssprachlich Muttizettel genannt und soll als Nachweis im Rahmen einer Alterskontrolle zusammen mit der Kopie des Personalausweises eines Erziehungsberechtigten vorgezeigt werden. Ein Einsammeln der Personalausweiskopie ist hierbei jedoch nicht erforderlich.

Der Verantwortliche wurde im Rahmen eines aufsichtsbehördlichen Verfahrens zum Sachverhalt angehört. Dieser gab an, dass die Kopien zum Nachweis der vollzogenen Einlass- und Alterskontrolle gegenüber dem Ordnungsamt eingesammelt worden wären. Man habe jedoch bereits direkt nach der Veranstaltung Zweifel an dem Einsammeln gehabt und die Ausweiskopien datenschutzkonform vernichten lassen. Es wurde jedoch darauf hingewiesen, dass eine Einsichtnahme in die Personalausweiskopien zwecks eines Abgleichs der Daten auf dem Muttizettel erforderlich sei.

Seitens des ULD konnte nachvollzogen werden, dass eine Einsichtnahme in die Personalausweiskopien sowie der Abgleich mit dem Muttizettel erforderlich ist, um zu prüfen, ob tatsächlich eine Erziehungsbeauftragung im Sinne des Jugendschutzgesetzes erfolgt ist. Es wurden verfahrensabschließend noch folgende Vorgaben an den Verantwortlichen übermittelt:

  • Es darf kein Einsammeln der Personalausweiskopien erfolgen.
  • Es wird auch keine Erforderlichkeit dafür gesehen, den Muttizettel einzusammeln.
  • Der Abgleich ist auf die erforderlichen Daten, die sich auf dem Muttizettel befinden, zu beschränken.
  • Es kann eine Schwärzung der Personalausweiskopien hinsichtlich der nicht relevanten Daten erfolgen.

 

5.7          Verkauf von Mitgliederdaten durch Verein zum Zweck der Direktwerbung

Nachdem eine betroffene Person überraschend Werbung von einer fremden Stiftung erhielt, bat sie diese zunächst um Auskunft über die Herkunft ihrer Daten. Hierzu wurde ihr mitgeteilt, dass diese von einem Verein stammen, in dem sie Mitglied sei. Ein Vorstandsmitglied des Vereins sei zugleich auch Vorsitzende der Stiftung und hätte in dieser Funktion eine Vereinbarung zur Nutzung von Mitgliederdaten zur einmaligen Verwendung für einen postalischen Versand von Unterlagen der Stiftung abgeschlossen. Hierfür habe der Verein von der Stiftung ein im Bereich des Adresshandels marktübliches Entgelt erhoben.

Nach Angabe der betroffenen Person hätten die Vereinsmitglieder weder einer entsprechenden Verwendung ihrer Mitgliederdaten zum Zweck der Werbung für einen Dritten zugestimmt noch seien sie durch den Verein über eine solche Nutzung und die bestehenden Betroffenenrechte informiert worden.

Im Rahmen des aufsichtsbehördlichen Verfahrens erläuterte der Verein zunächst ein aus seiner Sicht bestehendes berechtigtes Interesse an der Veräußerung der Daten und die hierdurch bestehende Möglichkeit einer Einnahmeerzielung sowie den Art. 6 Abs. 1 Buchst. f DSGVO als mögliche Rechtsgrundlage.

Grundsatz der Zweckbindung
Nach Art. 5 Abs. 1 Buchst. b DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Das ULD wies darauf hin, dass die Nutzung von Daten für eigene Werbezwecke und der Handel mit Daten zwei unterschiedliche Verarbeitungszwecke darstellen, die keinesfalls in dem jeweils anderen enthalten sind. Des Weiteren enthalte der hierbei zu berücksichtigende Erwägungsgrund 47 lediglich eine Aussage zur Direktwerbung als ein mögliches berechtigtes Interesse. Da er darüber hinaus auch keine Vorwegnahme der durchzuführenden Interessenabwägung enthalte, sind auch hierbei die vernünftigen Erwartungen der betroffenen Person und die Beziehung zwischen der betroffenen Person und dem Verantwortlichen maßgeblich. Es entspricht nicht den allgemeinen Erwartungen eines Vereinsmitglieds, dass seine Daten gegen Entgelt zum Zwecke von Spendenaufrufen für einen Dritten genutzt werden und er entsprechende Werbung hierfür erhält.

Unter Bezugnahme auf die vom Verein ebenfalls erwähnte alte Fassung des bis 2018 geltenden § 28 Bundesdatenschutzgesetz (BDSG a. F.) und die dort enthaltene gesetzliche Privilegierung wurde der Verein des Weiteren darauf hingewiesen, dass diese vom Gesetzgeber ersatzlos gestrichen wurde, sodass sich die Zulässigkeit allein nach Art. 6 Abs. 1 DSGVO und dem dazugehörigen Erwägungsgrund 47 der DSGVO richtet. Die Konstellationen nach dem BDSG a. F. sind nach diesen geltenden Maßstäben weder als sozialadäquat anzusehen noch entsprechen sie den vernünftigen Erwartungen betroffener Personen.

Darüber hinaus haben betroffene Personen auch unter dem Gesichtspunkt der Transparenz nach Art. 5 Abs. 1 Buchst. a DSGVO ein überwiegendes und schützenswertes Interesse daran, die Kontrolle über ihre Daten zu behalten. Zudem stellt die Erklärung des Widerspruchs bei Werbung fremder Organisationen einen nicht unerheblichen Aufwand für die betroffenen Personen dar, ohne dass diese den Anlass für die Datenverarbeitung selbst gesetzt haben. Dies muss im Rahmen der Interessenabwägung ebenfalls berücksichtigt werden, sodass diese im Falle des Handelns mit Daten regelmäßig zugunsten der betroffenen Personen ausfällt.

Da der Verein abschließend mitteilte, dass zukünftige Datenverarbeitungsvorgänge dieser Art – wenn überhaupt – nur noch nach vorheriger Einwilligung der Mitglieder erfolgen, konnte das Verfahren eingestellt werden.

 

5.8          Telefonische Mitgliederbetreuung ohne Einwilligung

Im Rahmen einer weiteren Beschwerde berichtete das Mitglied eines Fitnessanbieters, dass der Anbieter bei Vertragsabschluss seine Rufnummer mit der Begründung erhob, dass er diese „für den Notfall, wenn Sie etwas vergessen haben oder Ähnliches“ benötige.

Umso überraschter war der Kunde, dass der Fitnessanbieter ihn anschließend wiederholt auf seinem Handy anrief, um ihm Angebote für Personal Trainings oder mögliche Vertragsanpassungen zu unterbreiten, woraufhin er in jedem Telefonat mitteilte, dass er kein Interesse habe und keine weitere Werbung mehr erhalten möchte. Auf die Aussage „Wir kümmern uns darum“ geschah dann allerdings nichts, außer dass er nunmehr zusätzlich Werbung via SMS bekam.

Da das Unternehmen im Rahmen des daraufhin eingeleiteten Verfahrens mitteilte, dass es sich hierbei lediglich um eine Mitgliederbetreuung handele, wurde dieses darauf hingewiesen, dass „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“ als Werbung definiert wird. So sind auch Zufriedenheitsnachfragen bei Kunden nach einem Geschäftsabschluss oder Geburtstags- und Weihnachtsmailings als Werbung anzusehen, wofür der Verantwortliche eine entsprechende Rechtsgrundlage benötigt.

Damit der Fitnessanbieter die bestehenden Verträge mit seinen Mitgliedern erfüllen kann, ist keine Verarbeitung personenbezogener Daten zum Zweck der fernmündlichen Unterbreitung von Angeboten für Personal Trainings oder eine beitragsfreie Mitgliedschaft erforderlich. Das vom Anbieter in diesem Zusammenhang verfolgte Bestreben kann beispielsweise auch durch Aushänge und persönliche Ansprachen im Studio erreicht werden. Ferner besteht bei Erfüllung der Vorgaben nach § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) auch die Befugnis, gegebenenfalls E-Mail-Adressen von Bestandskunden entsprechend zu nutzen. Die Nutzung der Telefonnummer für Werbezwecke bedarf allerdings auch im Hinblick auf die ebenfalls zu beachtenden Regelungen des § 7 Abs. 2 Nr. 2 UWG einer Einwilligung.

Darüber hinaus haben betroffene Personen gemäß Art. 21 Abs. 2 DSGVO auch das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke der Werbung einzulegen. Nach erfolgtem Widerspruch ist eine Weiterverarbeitung von personenbezogenen Daten für Werbung unzulässig.

Nach Schilderung des Verantwortlichen hätte dieser die Telefonnummern im guten Glauben einer rechtmäßigen Verarbeitung genutzt und diese Nutzung auch in den allgemeinen Geschäftsbedingungen so aufgeführt. Die vom Beschwerdeführer erteilte Rückmeldung, dass er keine weiteren Anrufe durch das Studio mehr wünsche, sei aus nicht geklärten Umständen in dem Mitgliederverwaltungssystem übersehen worden.

Nach entsprechender Aufklärung des Verantwortlichen über die Rechtslage bestätigte dieser, zukünftig auf eine fernmündliche Mitgliederbetreuung und somit auch auf die Verarbeitung von Telefonnummern im Rahmen der Mitgliederbetreuung zu verzichten. Hierzu wurden dann auch die Beschäftigten durch einen externen Dienstleister zur DSGVO, zum Gesetz gegen den unlauteren Wettbewerb und zu weiteren einschlägigen Bestimmungen wie dem TDDDG und dem BDSG geschult. Des Weiteren wurden die internen Abläufe entsprechend angepasst, um sicherzustellen, dass keine unzulässigen Kontaktaufnahmen mehr erfolgen. Sofern überhaupt noch eine Kontaktaufnahme erforderlich sei (z. B. Fundsachenmeldung), erfolgt nunmehr auch diese in Zukunft persönlich oder postalisch, sodass auch dadurch sichergestellt ist, dass es zu keiner unerlaubten Kontaktaufnahme per Telefon mehr kommt. Nach Umsetzung der Maßnahmen konnte das Verfahren eingestellt werden.

 

5.9          Lebenshilfe – Teilnehmendenliste zur Raumnutzung

Das ULD erreichte die Beschwerde der Bewohnerin einer Wohneinrichtung für lebensältere Personen. Sie gab an, dass die Bewohnenden einen Gemeinschaftsraum zur regelmäßigen Nutzung an den Wochenenden angemietet hatten. Der Raum sollte für kleinere Feiern und Zusammenkünfte genutzt werden. Seitens des Verantwortlichen wurde vorgegeben, dass sich sämtliche Teilnehmenden in eine Liste eintragen sollten, die den Namen und die Unterschrift beinhalteten. Eine Aufklärung hinsichtlich des Zwecks dieser Liste erfolgte hierbei nicht.

Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn mindestens eine der in der genannten Norm aufgeführten Bedingungen erfüllt ist. Es bedarf also einer Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Im vorliegenden Sachverhalt lag keine Einwilligung der Teilnehmenden vor, und es war fraglich, zu welchem Zweck und aufgrund welcher Rechtsgrundlage die Erhebung der Daten mittels der Liste erfolgte.

Der Verantwortliche wurde durch das ULD im Rahmen eines aufsichtsbehördlichen Verfahrens zum Sachverhalt angehört. Er argumentierte dahin gehend, dass die Liste dem Zweck diene, das Hausrecht auszuüben sowie mögliche Rechtsansprüche bei Beschädigungen oder Diebstahl geltend machen zu können. Weiterhin wurde auf die rechtliche Verpflichtung nach Art. 6 Abs. 1 Buchst. c DSGVO hingewiesen, eine solche Liste zur Kontrolle und Sicherstellung der Nutzbarkeit von Fluchtwegen sowie zur Kenntnis über anwesende Personen im Rettungsfall zu führen.

Dieser rechtlichen Argumentation konnte das ULD nicht folgen, da eine Teilnehmendenliste kein geeignetes Mittel darstellt, um die vom Verantwortlichen genannten Zwecke zu erreichen, und es sich bei den Nutzenden des Gemeinschaftsraums um eine geschlossene Gruppe handelt. So bleibt beispielsweise unklar, gegenüber wem genau im konkreten Schadensfall Rechtsansprüche geltend gemacht werden können, wenn dem Verantwortlichen zwar die Liste der Teilnehmenden vorliegt, er aber nicht konkret benennen kann, durch wen der Schaden verursacht wurde. Weiterhin gibt es keine verbindliche rechtliche Verpflichtung, Teilnehmendenlisten zur Sicherstellung der Nutzbarkeit von Fluchtwegen sowie zur Kenntnis über anwesende Personen im Rettungsfall zu führen.

Diese rechtliche Einschätzung des ULD wurde dem Verantwortlichen mitgeteilt. Er sagte daraufhin zu, zukünftig auf das Erstellen einer Teilnehmendenliste zu verzichten, und gab zudem an, dass alle bisher erhobenen Daten gelöscht worden seien.

Dem Verantwortlichen wurde abschließend ein Hinweis nach Art. 58 Abs. 1 Buchst. d DSGVO erteilt und zudem davor gewarnt, zukünftig personenbezogene Daten ohne Vorliegen einer Rechtsgrundlage zu verarbeiten.

 

5.10        Abfrage von Gesundheitsdaten im Leistungssport – weniger ist mehr

Über die Beschwerde eines Vereinsmitglieds erreichte uns ein Formular zur Abfrage von Gesundheitsdaten der Vereinsmitglieder. Da es sich bei dem betroffenen Verein um einen Sportverein im Bereich des Leistungssports handelte, erschien eine Abfrage der Sportgesundheit grundsätzlich gerechtfertigt. Das hier vorgelegte Formular erfragte allerdings Angaben, die über eine bloße gesundheitliche Eignung zum Leistungssport weit hinausging. Folgende Daten wurden u. a. von den Sportlern abgefragt:

  • Information über bestehende Krankheiten, z. B. Asthma, angeborene Herzerkrankungen, Diabetes,
  • Information über weitere Einschränkungen, z. B. bekannte Epilepsie,
  • Erklärung, ob das teilnehmende Kind gesundheitliche Einschränkungen hat, gegebenenfalls auch unter Vorlage eines ärztlichen Attests,
  • Angabe von grundsätzlichen Vorerkrankungen,
  • Angabe von Medikamenten, die eingenommen werden.

Eine Teilnahme am Training wurde bis zur Vorlage des Formulars ausgeschlossen. Des Weiteren musste das Formular jährlich aktualisiert von den Vereinsmitgliedern abgegeben werden.

Da dem Beschwerdeführer die anzugebenden Daten zu umfangreich erschienen, reichte er das Formular nicht ein – bei Eingabe der Beschwerde drohte ihm daher der Ausschluss aus dem Training.

Im Rahmen der Stellungnahme teilte uns der Verein mit, dass er Mitglied in entsprechenden Landessport- und auch Bundesverbänden sei und somit den Satzungen und Ordnungen dieser Verbände unterliege. Die in der Stellungnahme benannten Wettkampfbestimmungen wurden seitens des Vereins auch als Maßstab für das im Verein durchgeführte Training herangezogen, da es ihrer Auffassung nach der Wettkampfvorbereitung diene. Unsere Prüfung der von dem Verein benannten Vorgaben der Verbände ergab, dass grundsätzlich nur Angaben zur Sportgesundheit von denjenigen gefordert wurde, die an einem Wettkampf teilnehmen. Lediglich ein Bundesverband forderte neben der Angabe zur Sportgesundheit auch einen ärztlichen Nachweis, wobei keine näheren Vorgaben zu Art und Umfang der Untersuchung getroffen wurden. Ob das Vorgehen des Bundesverbandes aus datenschutzrechtlicher Sicht tragfähig war, oblag dabei nicht unserer Beurteilung, da dieser seinen Sitz nicht in Schleswig-Holstein hat.

Bezüglich des örtlichen Sportvereins musste nach unserer Auffassung allerdings zwischen einer Wettkampfteilnahme und dem Training im jeweiligen Verein differenziert werden. Diesbezüglich war der Verein nach den Vorgaben der übergeordneten Verbände nicht verpflichtet, sich für das bloße Training ärztliche Nachweise vorlegen zu lassen. Zudem obliegt die Beurteilung der konkreten Sportfähigkeit den Sportlern selbst – hier kann der Verein den Sportlern nicht die Eigenverantwortung abnehmen.

In Absprache mit dem Verein wurde das Formular entsprechend angepasst und mit uns final abgestimmt. In dem neuen Formular wird nun lediglich die Bestätigung der Sportgesundheit vom Vereinsmitglied abgefragt.

Was ist zu tun?
Insbesondere bei Gesundheitsdaten ist zu prüfen, welche Daten zur Zweckerfüllung erhoben werden müssen. Es gilt: So viel wie nötig, so wenig wie möglich!

 

5.11        Übermittlung von Lohnabrechnungen per E-Mail

Eine ehemalige Beschäftigte zeigte im Rahmen einer Beschwerde mehrere mögliche datenschutzrechtliche Verstöße ihres früheren Arbeitgebers an. Unter anderem habe sie ihre Lohnabrechnungen unverschlüsselt per E-Mail zugesandt bekommen.

Gemäß Art. 5 Abs. 1 Buchst. f DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Da Lohnabrechnungen teilweise sensible personenbezogene Daten enthalten können (z. B. Religionszugehörigkeit), hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass nur der berechtigte Empfänger davon Kenntnis erhält.

Das Unternehmen gab an, dass es grundsätzlich ein verschlüsseltes Lohnportal gebe, worüber die Beschäftigten normalerweise ihre Lohnabrechnungen abrufen würden. Im vorliegenden Fall habe die Beschwerdeführerin vor einiger Zeit ihren Vorgesetzten darum gebeten, ihre Lohnabrechnung per E-Mail zugesandt zu bekommen, da sie sich in dem Portal nicht anmelden könne und sie die Lohnabrechnung dringend benötige. In der Folgezeit habe die Beschwerdeführerin dann wiederholt um eine Zusendung per E-Mail gebeten, die dann auch erfolgte. Es könne im Lohnportal aufgrund von technischen Schwierigkeiten, mitunter wegen zu vieler gleichzeitiger Nutzender oder wegen Wartungsarbeiten, zeitweise zu Einschränkungen beim Log-in kommen. Das Lohnportal sei jedoch nicht dauerhaft „out of order“ gewesen.

Laut dem ehemaligen Arbeitgeber habe die Beschwerdeführerin freiwillig die Kommunikation und den Versand von Lohnabrechnungen per E-Mail gestattet. Ohnehin sei der Versand einer Lohnabrechnung per E-Mail legitim, da nach § 108 Abs. 1 Satz 1 Gewerbeordnung (GewO) dem Arbeitnehmer bei Zahlung des Arbeitsentgelts eine Abrechnung in Textform zu erteilen sei. Die Lohnabrechnung per E-Mail erfülle das Textformerfordernis.

Auch wenn es richtig ist, dass § 108 Abs. 1 Satz 1 GewO der Erteilung einer Lohnabrechnung per E-Mail nicht entgegensteht, ist zu beachten, dass der Verantwortliche dabei ein angemessenes Schutzniveau für die von ihm verarbeiteten personenbezogenen Daten zu gewährleisten hat. Die Übermittlung von Lohnabrechnungen per E‑Mail hat daher grundsätzlich verschlüsselt zu erfolgen (z. B. passwortgeschütztes Dokument). In Ausnahmefällen kann es zwar möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet. Grundsätzlich beruhen die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen aber auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.

Der Beschluss der DSK zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Artikel 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen ist unter dem folgenden Link abrufbar:

https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf
Kurzlink: https://uldsh.de/tb43-5-11a

Allein die Bitte an den Arbeitgeber, die Lohnabrechnung per E-Mail zugesandt zu bekommen, kann noch keinen ausdrücklichen Verzicht auf die vorzuhaltenden technischen Maßnahmen darstellen.

Da das Unternehmen grundsätzlich ein verschlüsseltes Lohnportal bereitstellt, wurde bezüglich der unverschlüsselten Übermittlung der Lohnabrechnungen per E-Mail eine Warnung gemäß Art. 58 Abs. 2 Buchst a DSGVO ausgesprochen.

 

5.12        Videoüberwachung von Beschäftigten ohne Gefährdungslage

Aufgrund einer Beschwerde wurde die von einem Unternehmen betriebene Videoüberwachung geprüft. Das Unternehmen legte dar, dass elf Kameras im Betrieb seien, die rund um die Uhr aufzeichnen und die Aufnahmen für 72 Stunden speichern. Die Videoüberwachung wurde auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt.

Art. 6 Abs. 1 Buchst. f DSGVO
 Aus der Norm ergibt sich, dass eine Videoüberwachung zulässig sein kann, wenn sie zur Wahrnehmung berechtigter Interessen des Verantwortlichen für konkret festgelegte Zwecke erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen.

Das Unternehmen gab an, dass die Videoüberwachung zur Wahrung des Hausrechts, zum Überfall- und Personenschutz für Beschäftigte, Vermeidung von Warendiebstahl und der Beweissicherung bei Vandalismus und Einbruchsversuchen diene. Grundsätzlich sind dies legitime berechtigte Interessen.

Für eine Videoüberwachung bedarf es jedoch eines Grundes, etwa einer Gefährdungslage, die hinreichend durch Tatsachen oder die allgemeine Lebenserfahrung belegt ist. Eine Gefährdungslage muss über das allgemeine Lebensrisiko hinausgehen, sodass sich eine solche nur aus tatsächlichen Erkenntnissen ergeben kann. Subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. BVerwG, Urteil vom 27. März 2019 – 6 CC 2.18, Rn. 26).

Es wurden zwar zwei Vorfälle geschildert, die unter Umständen zu der Annahme einer aktuellen Gefährdungslage hätten führen können. Allerdings wurde keine zeitliche Angabe zu den Vorfällen gemacht. Es hieß lediglich, dass diese vor der Installation der Videoüberwachung passiert seien und es seit der Inbetriebnahme der Kameras keine weiteren Vorfälle gegeben habe.

Aus dem beigefügten Verzeichnis von Verarbeitungstätigkeiten ergab sich, dass das Videokamerasystem im Jahr 2019 installiert wurde. Wenn es seitdem keine weiteren Vorfälle gab, kann man im Jahr 2024 nicht ohne Weiteres noch von einer aktuellen Gefährdungslage ausgehen. Auch hat das Unternehmen nicht dargelegt, ob vor der Einführung der Videoüberwachung andere Sicherheitsmaßnahmen geprüft oder eingesetzt wurden, die weniger stark in die Rechte der betroffenen Personen eingreifen. Bereits an der Erforderlichkeit der Videoüberwachung bestanden daher erhebliche Zweifel.

Erschwerend kam hinzu, dass von der Videoüberwachung überwiegend die Beschäftigten betroffen waren. So erfassten einige Kameras Teile des Büros und Lagers, also dauerhafte Arbeitsplätze der Beschäftigten. Die Videoüberwachung stellte daher einen erheblichen Eingriff in das Recht der Beschäftigten auf informationelle Selbstbestimmung dar. Die Videokameras ermöglichten dem Verantwortlichen, das Gesamtverhalten der Beschäftigten reproduzierbar festzuhalten, sodass ein ständiger Überwachungs- und Anpassungsdruck entstehen konnte. Die Videoüberwachung während der Arbeitszeit stellte daher einen unverhältnismäßigen Eingriff in die Grundrechte und Grundfreiheiten der Beschäftigten dar.

Das Unternehmen schaltete daraufhin die Aufnahmezeiten aller Kameras während der Arbeitszeit ab und informierte die Beschäftigten darüber. Aufgrund der bisher erfolgten unrechtmäßigen Videoüberwachung wurde eine Verwarnung ausgesprochen.

 

5.13        Zusendung von Zugangsdaten an die private E-Mail-Adresse

Ein Beschäftigter beschwerte sich darüber, dass ihm an seine private E-Mail-Adresse die Zugangsdaten (Benutzername und Passwort) für ein neues im Unternehmen eingesetztes System zugesandt worden waren. Dies sei ohne Rücksprache mit den Beschäftigten erfolgt. Er habe der Nutzung seiner privaten E-Mail-Adresse zudem nie zugestimmt.

Im Rahmen des durchgeführten Verfahrens teilte das verantwortliche Unternehmen mit, dass die Einführung des neuen Systems notwendig gewesen sei, um bestimmte Abläufe zu gewährleisten. Dafür mussten für jeden Beschäftigten Nutzungszugänge angelegt werden. Die Übersendung der Zugänge von 59 Beschäftigten an deren private E-Mail-Adressen sei im Rahmen des Beschäftigungsverhältnisses zur ordnungsgemäßen Durchführung der beruflichen Tätigkeit erforderlich gewesen. Die Bereitstellung einer dienstlichen E-Mail-Adresse für alle Beschäftigten sei aufgrund des organisatorischen Aufwands gegenwärtig nicht möglich gewesen. Man sei bestrebt, allen Beschäftigten eine dienstliche E-Mail-Adresse zur Verfügung zu stellen. Alternativ würden vorübergehend andere Wege der Übermittlung von Informationen, beispielsweise in Papierform mit Ablage im jeweiligen persönlichen Fach der Beschäftigten, umgesetzt.

Ob die Verarbeitung und Verwendung von Beschäftigtendaten rechtmäßig sind, bemisst sich in erster Linie am Maßstab der Erforderlichkeit. Eine Verarbeitung ist erforderlich, wenn es keine anderen, gleich geeigneten Mittel gibt, die weniger stark in die Rechte der betroffenen Personen eingreifen. Das Unternehmen hat zwar dargelegt, dass es zur Durchführung des Beschäftigungsverhältnisses erforderlich war, dass Nutzungszugänge angelegt werden. Für die Zusendung der Zugangsdaten unter Verwendung der privaten E-Mail-Adresse hat das Unternehmen jedoch in seiner Stellungnahme bereits selbst ein milderes, gleich geeignetes Mittel aufgezeigt: Die Beschäftigten hätten die Zugangsdaten auch in Papierform durch Ablage in das persönliche Fach erhalten können. Die Verwendung der privaten E-Mail-Adressen war somit schon allein deshalb nicht erforderlich und erfolgte ohne rechtliche Grundlage.

Vor diesem Hintergrund haben wir gegenüber dem Unternehmen eine Verwarnung ausgesprochen.

 

5.14        Datenpannen in der Wirtschaft – Meldungen nach Artikel 33 DSGVO

5.14.1    „Ich hab doch schon bezahlt“ – manipulierte Rechnungen nach Phishing-Angriff

Eine Datenpannenmeldung Ende des Jahres 2023 war der Anfang vieler ähnlich gelagerter Fälle von Angriffen auf E-Mail-Konten, welche teilweise mit der Manipulation von Rechnungen fortgeführt wurden. Das hier betroffene Unternehmen meldete uns eine erfolgreiche Cyberattacke auf die von ihm genutzte Software Lexoffice. Dieser Angriff wurde allerdings nicht direkt erkannt, sondern erst aufgrund offener Rechnungsposten aufgedeckt.

Denn das Unternehmen stellte zum Ende des Jahres mehrere offene Rechnungen mit höheren Beträgen fest, woraufhin sie die Kundinnen und Kunden telefonisch zur Klärung der offenen Posten kontaktierten. Im Rahmen dieser Telefonate wurde dem Unternehmen vom ersten betroffenen Kunden mitgeteilt, dass die Rechnung bereits beglichen wurde. Diese Aussage konnte allerdings aufgrund eines fehlenden Zahlungseingangs nicht bestätigt werden. Erst auf Basis weiterer Gespräche wurde festgestellt, dass die Überweisungen auf ein polnisches und ein deutsches Konto erfolgten, welche beide nicht dem Unternehmen zugeordnet waren. Weitere Recherchen zeigten schließlich, dass der Kunde anhand gefälschter Mails über das gehackte E‑Mail-Konto neue Rechnungsdaten erhielt. Hierfür wurde seitens der Angreifer mit den in Lexoffice hinterlegten Rechnungsvorlagen gearbeitet, sodass die E-Mail der Angreifer für den Kunden zunächst nicht als Fälschung erkennbar war.

In dem hier vorliegenden Fall bestand zudem die Problematik, dass nicht nur die Seite des meldenden Unternehmens, sondern auch teilweise die der Kunden kompromittiert wurde. Dies führte dazu, dass Rückfragen der Kunden, die die neue Bankverbindung hinterfragten, abgefangen wurden und folglich nicht beim betroffenen Unternehmen eingingen. Als gefälschte Antwort erhielt der Kunde allerdings eine nochmalige Bestätigung der scheinbar neuen Bankverbindung sowie regelmäßige Zahlungserinnerungen. Das Unternehmen hat infolge dieser Erkenntnisse alle Kundinnen und Kunden, bei denen offene Angebote oder Rechnungen in Bearbeitung vorlagen, benachrichtigt.

Leider konnten auch die darauffolgenden Ermittlungen der vom Unternehmen hinzugezogenen Kriminalpolizei keine weiteren hilfreichen Erkenntnisse liefern, da die genutzten IP-Adressen letztendlich nach Nigeria führten und sich die Spur dort verlor. Mithilfe eines neu aufgesetzten Systems, erweiterter technischer Schutzmechanismen und der Sensibilisierung aller Beschäftigten zur Erkennung von Phishing-Mails konnte das Unternehmen den Vorfall abschließen. Der entstandene finanzielle Schaden aufgrund bereits durchgeführter Überweisungen belief sich für das Unternehmen dennoch auf einen mittleren fünfstelligen Bereich.

Im Laufe des Jahres 2024 meldeten im Vergleich der vergangenen Jahre überdurchschnittlich viele Unternehmen erfolgreiche Phishing-Angriffe auf die E-Mail-Konten mit anschließender Manipulation des E-Mail-Verkehrs. Durch hinterlegte Regeln im kompromittierten Mailpostfach konnten so Angriffe über längere Zeiträume verschleiert werden, indem z. B. eingehende E-Mails bestimmter Absender direkt gelöscht oder in Unterordner verschoben wurden. In manchen Fällen wurde ein ähnliches Vorgehen mit dem Abfangen und Abändern von Rechnungen umgesetzt.

Was ist zu tun?
Phishing-Angriffe auf Unternehmen gehören mittlerweile leider schon fast zum Tagesgeschäft. Die effektivste Maßnahme zur Verhinderung derartiger Vorfälle sind gut geschulte Beschäftigte, die derartige Angriffs-E-Mails erkennen. Bei Unstimmigkeiten im Rechnungsverkehr ist eine besondere Vorsicht geboten.

 

5.14.2    Hacking-Horror im Weihnachtsgeschäft

Die weihnachtliche Stimmung ist in vielen Unternehmen durch eine Zunahme an Bestellungen geprägt. Dieses saisonal erhöhte Aufkommen an Bestellungen führte leider dazu, dass die
Vorkommnisse der Meldung, die uns drei Tage vor Weihnachten zuging, seitens des Unternehmens zunächst nicht als ungewöhnlich eingestuft wurden.

Bei dem betroffenen Onlinehändler waren mithilfe eines Brute-Force-Angriffs mehrere Kundenkonten kompromittiert worden. Die Angreifer hatten hierfür pro Benutzername nur ein Passwort als Log-in-Versuch eingegeben, wobei bei 40 Accounts die Kombinationen richtig waren. Unsere weiteren Untersuchungen ließen vermuten, dass die Angreifer hierfür eine Liste mit Hunderten oder gar Tausenden von E‑Mail/Passwort-Kombinationen verwendet haben, um sich erfolgreich in die Kundenkonten einzuloggen. Dabei war der Angriff nach unserer Einschätzung nicht auf die Erbeutung der Kundendaten innerhalb der Konten gerichtet, sondern diente lediglich der Umsetzung der darauffolgenden Käufe.

Denn infolge des Angriffs wurden über die kompromittierten Konten Bestellungen auf Rechnung an abweichende Lieferadressen getätigt. Bei den 40 betroffenen Kunden entstanden somit offene Rechnungsbeträge, obwohl die Ware an die hinterlegten Adressen der Angreifer geschickt wurde.

Das Unternehmen benachrichtigte die betroffenen Kunden über den Vorfall und ließ die offenen Forderungen gegen sie fallen. Zur Verhinderung ähnlich gelagerter Vorfälle haben wir dem Unternehmen empfohlen, spezielle Sicherheitssoftware zur Erkennung und Abwehr solcher Angriffe zu installieren („Intrusion Detection & Prevention“-Systeme). Dafür kommt beispielsweise die Open-Source-Software Fail2Ban infrage.

Das Fazit: Für das Unternehmen hat sich das auf den ersten Blick gut laufende Weihnachtsgeschäft leider als böse Weihnachtsüberraschung herausgestellt.

Was ist zu tun?
Seitens der Unternehmen kann mithilfe einer Einrichtung von Sicherheitssystemen ein Brute-Force-Angriff effektiv abgewehrt werden. Seitens der Kunden ist es ratsam, für unterschiedliche Onlineshops oder Kundenkonten abweichende Anmeldedaten zu verwenden.

 

5.15        Videoüberwachung

5.15.1    Allgemeine Entwicklungen

Die Beobachtung, dass sich immer mehr Personen durch Videoüberwachungskameras beeinträchtigt fühlen, wurde auch in diesem Jahr dadurch bestätigt, dass die Anzahl der diesbezüglich eingegangenen Beschwerden weiter gestiegen ist. Die Anzahl von Beschwerden über

Videoüberwachungsanlagen stieg im Vergleich zum Vorjahreszeitraum insgesamt um rund 38 Prozent. Im Vergleich zum Jahr 2022 hat sich die Anzahl der Beschwerden nahezu verdoppelt (Tz. 1.3).

Ein Großteil der Beschwerden richtet sich gegen Videoüberwachungsanlagen, die durch Privatpersonen in ihrem privaten häuslichen Umfeld installiert werden. Die Gründe für derartige Installationen liegen häufig darin, das Eigentum zu sichern. Über solche Videoüberwachungsanlagen beschweren sich zumeist die direkten Nachbarn, die sich durch die Installation in ihren Rechten verletzt fühlen (Tz. 1.3). Zumeist ist für Außenstehende nicht klar erkennbar, ob von einer Videoüberwachung auch benachbarte Grundstücke oder öffentliche Flächen mit erfasst werden.

Nicht selten geht derartigen Beschwerden ein festgefahrener Nachbarschaftsstreit voraus, sodass sich die Betroffenen direkt an die Landesbeauftragte für Datenschutz wenden, ohne zuvor das Gespräch mit den vermeintlich überwachenden Nachbarn gesucht zu haben. Insbesondere bei bereits verhärteten Fronten ist ein Verweis auf den Zivilrechtsweg hilfreich: Neben den datenschutzrechtlichen Aspekten sind hinsichtlich einer Videoüberwachung auch zivilrechtliche Ansprüche nicht zu verkennen. Auch wenn eine Kamera nach datenschutzrechtlicher Bewertung rechtmäßig betrieben wird, kann ein zivilrechtlicher Unterlassungsanspruch bestehen.

Darüber hinaus hat meine Dienststelle eine Vielzahl an Beschwerden erhalten, die sich u. a. auf die Videoüberwachung in Ladengeschäften, Restaurants, Hotels, auf Campingplätzen, in einem Kleingartenverein und in Fitnessstudios beziehen. Auch bei diesen Beschwerden zeigt sich die Problematik der fehlenden Transparenz. Für die Beschwerdeführer sind die überwachten Bereiche nicht klar ersichtlich, sodass Unsicherheiten entstehen. Hinzu kommt in vielen Fällen eine nicht ausreichende Hinweisbeschilderung. Grundsätzlich wird hier immer auf eine Erhöhung der Transparenz, z. B. durch eine korrekte Hinweisbeschilderung, aus der sich alle nach Artikel 13 DSGVO geforderten Angaben (z. B. Kontaktdaten des Verantwortlichen und Rechtsgrundlagen der Datenverarbeitung) ergeben, hingewirkt. In manchen Fällen reicht die Erhöhung der Transparenz nicht aus, da die Videoüberwachung selbst bereits nicht den Vorgaben entspricht. In solchen Fällen müssen weitere Anpassungen erfolgen, z. B. eine räumliche oder zeitliche Beschränkung der Videoüberwachung.

Erfreulich ist, dass die Vielzahl der Verantwortlichen sich kooperativ zeigt, die im aufsichtsbehördlichen Verfahren benötigten Informationen und Unterlagen zur Verfügung stellt und auch angeregte bzw. geforderte Änderungsbedarfe bereitwillig umsetzt. Ein Teil der Verantwortlichen zeigt sich jedoch weniger kooperativ, sodass im Berichtszeitraum entsprechende Anordnungen zur Auskunft erlassen werden mussten, die zum Teil mit der Verhängung von Zwangsgeldern durchgesetzt werden müssen.

 

5.15.2    Der Kampf gegen die Vermüllung – Videoüberwachung von Müllsammelplätzen

Bereits im vorherigen Berichtszeitraum hat meine Dienststelle eine Beschwerde betreffend eine Videoüberwachung eines Müllsammelplatzes in einer Gemeinde in Schleswig-Holstein erreicht. Diese Gemeinde setzt seit dem Jahr 2022 eine Videoüberwachung zur Beobachtung eines Müllsammelplatzes ein, um (illegaler) Vermüllung den Kampf anzusagen. Die Videoüberwachung soll die Gemeinde u. a. davor schützen, hohe Kosten aufwenden zu müssen, um den illegal entsorgten Sperrmüll, Elektrogeräte und Farbeimer fachgerecht zu trennen und zu entsorgen. Der Beschwerdeführer bezweifelte die Rechtmäßigkeit der Videoüberwachung unter datenschutzrechtlichen Aspekten.

Bei einer Videoüberwachung von Müllsammel-plätzen werden nicht nur die Personen gefilmt, bei denen es zu einem Fehlverhalten kommt. Vielmehr werden lückenlos alle Personen erfasst, die ihren Müll an dem überwachten Müllsammelplatz entsorgen, unabhängig davon, ob der Müll legal oder möglicherweise illegal entsorgt wird. Dieser Umstand greift in die Persönlichkeitsrechte der betreffenden Personen ein.

Für einen derartigen Grundrechtseingriff und die Verarbeitung der personenbezogenen Daten bedarf es einer rechtlichen Grundlage. Für die Videoüberwachung von Müllsammelplätzen durch Städte und Gemeinden kommt die Generalklausel des § 14 Abs. 1 Nr. 1 LDSG (Landesdatenschutzgesetz) als Rechtsgrundlage in Betracht. Danach ist die Beobachtung öffentlich zugänglicher Raume mit optisch-elektronischen Einrichtungen (Videoüberwachung) zulässig, soweit dies zur Aufgabenerfüllung der öffentlichen Stelle erforderlich ist.

In dem vorliegenden Fall sind wir bei unserer Prüfung zu dem Ergebnis gekommen, dass die in Rede stehende Videoüberwachung der Gemeinde auf der Grundlage des § 14 Abs. 1 Nr. 1 LDSG rechtmäßig betrieben wird. Dabei ist von besonderer Bedeutung, dass der Eingriff für die von der Videoüberwachung betroffenen Personen durch technische Maßnahmen auf das Nötigste beschränkt wurde.

Abschließend ist darauf hinzuweisen, dass eine Videoüberwachung von Müllsammelplätzen nicht pauschal auf der Grundlage des § 14 Abs. 1 Nr. 1 LDSG als rechtmäßig bewertet werden kann, sondern stets die Umstände des jeweiligen Einzelfalls zu bewerten sind.

 

5.15.3    Haben Sie noch Plätze frei? Livebilder eines Campingplatzes im Internet

Uns haben in diesem Jahr mehrere Beschwerden betreffend Webcams erreicht. Webcams erweisen sich für die Verantwortlichen als nützlich, um z. B. Touristen einen Eindruck über das Urlaubsziel zu verschaffen. Darüber hinaus sind sie praktisch, wenn man sich in Echtzeit über die aktuellen Wetterbedingungen vor Ort informieren möchte.

Die Vorteile einer Webcam hat sich auch die Eigentümerin eines autark betriebenen Wohnmobilstellplatzes in Schleswig-Holstein zunutze gemacht. Aufgrund des autarken Betriebes des Stellplatzes sind keine Reservierungen möglich. Um potenziellen Gästen einen Eindruck über die Auslastung des Platzes zu verschaffen, bedient sich die Eigentümerin einer Webcam. Es wird ein Livestream des Stellplatzes auf der Homepage der Betreiberin übertragen. Die Vorteile der Liveübertragung der Übersichtsaufnahme für die Betreiberin und potenzielle Gäste sind nicht zu verkennen. Es ist jedoch zweifelhaft, ob die Gäste während ihres Aufenthalts live im Internet gezeigt werden möchten, wie sie beispielsweise noch im Schlafanzug den ersten Kaffee am Morgen vor dem Wohnmobil trinken.

Diesbezüglich hat das ULD im Berichtszeitraum eine Beschwerde erreicht. Hauptgegenstand der Beschwerde war, dass im vorderen Bereich der im Internet übertragenen Übersichtsaufnahme Personen identifizierbar abgebildet werden.

Die Abgebildeten haben ein berechtigtes Interesse an der Wahrung ihrer Persönlichkeitsrechte. Dazu gehört ihr Recht, sich im öffentlichen Raum zu bewegen, ohne dass diese Tatsache einem weltweiten Publikum übermittelt wird. Insoweit war vorliegend darauf hinzuwirken, dass die von der Webcam erfassten Personen nicht identifizierbar sind.

Betreiber von Webcams können mit einer geeigneten Konfiguration der Kameras dafür sorgen, dass tiefe Eingriffe in die Privat- oder Intimsphäre vermieden werden. In der Regel genügt es oft schon, den Blickwinkel der Webcam zu verändern oder den Vordergrund, in dem Personen identifizierbar sein könnten, z. B. durch Schwärzung oder Verpixelung von der Erfassung auszunehmen.

Bei der in Rede stehenden Webcam auf dem Wohnmobilstellplatz wurden die vorderen Bereiche durch unser Einwirken von der Erfassung ausgenommen. Somit können sich potenzielle Gäste weiterhin einen Überblick über die aktuelle Auslastung des Platzes verschaffen, und gleichzeitig können die anwesenden Gäste in den vorderen Reihen einen Aufenthalt verbringen, ohne dabei weltweit beobachtet werden zu können.

Was ist zu tun?
Der Betrieb von Webcams muss auf eine Rechtsgrundlage gestützt werden, wenn damit identifizierbare Personen aufgenommen werden. Da für den Zweck der Webcam die Aufnahme von Personen in aller Regel nicht erforderlich ist, sollte der Betreiber durch (technische) Maßnahmen dafür sorgen, dass erfasste Personen nicht identifizierbar sind. Zoomfunktionen, die die Erkennbarkeit von Personen oder Gegenständen, die Personen zugeordnet werden könnten (z. B. Kraftfahrzeuge oder Boote), ermöglichen, sollten generell nicht zur Verfügung gestellt werden.

 

5.16        Bußgelder für Datenschutzverstöße

5.16.1    Datenschutzbußgelder – europaweiter Gleichklang

Im Jahr 2023 hatte der Europäische Datenschutzausschuss die Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO veröffentlicht:

https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_de
Kurzlink: https://uldsh.de/tb43-5-16-1a

Dabei handelt es sich um ein Papier, das die Methode zur Berechnung von Geldbußen gegen Unternehmen europaweit harmonisieren soll. Für Geldbußen gegen natürliche Personen gelten die Leitlinien nicht. Die Anwendung dieser Leitlinien konnte im Berichtszeitraum weiter erprobt werden.

Nach den Leitlinien erfolgt die Bemessung der Geldbuße in einem mehrstufigen Verfahren. Der Ausgangspunkt für die Berechnung ist die Schwere der jeweiligen Tat. Das Bußgeldkonzept sieht hierfür drei Schweregrade vor. Der Schweregrad bestimmt den Bußgeldrahmen. So wird z. B. bei einem geringen Schweregrad der Ausgangswert bei bis zu 10 Prozent des gesetzlichen Höchstmaßes angesetzt. In einem zweiten Schritt kann der Ausgangsbetrag an die wirtschaftlichen Verhältnisse des Unternehmens angepasst werden. Maßgeblich ist hierfür der Jahresumsatz des Unternehmens. Anschließend werden in einem dritten Schritt erschwerende und mildernde Umstände im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Unternehmens betrachtet. Der vierte Schritt besteht darin, das einschlägige gesetzliche Höchstmaß für den jeweiligen Verstoß zu ermitteln. In vorhergehenden oder folgenden Schritten vorgenommene Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten. Abschließend wird geprüft, ob der berechnete Betrag den Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit entspricht. Ist dies nicht der Fall, kann die Geldbuße dann entsprechend angepasst werden.

Es hat sich herausgestellt, dass die Leitlinien ein handhabbares Werkzeug zur Berechnung von Geldbußen darstellen. Sie bilden einen Rahmen, an dem sich sowohl Datenschutzaufsichtsbehörden als auch Verantwortliche orientieren können. Sie schaffen Transparenz bei der Auslegung der zentralen Bußgeldvorschriften der Datenschutz-Grundverordnung. Eine rein mathematische Berechnung von Geldbußen ist indes nicht vorgesehen – dies würde dem Einzelfall nicht immer gerecht. Dementsprechend lassen die Leitlinien Spielraum für die Besonderheiten des Einzelfalls. Die Leitlinien bieten einen großen Mehrwert für die Vereinheitlichung der Geldbußen für Datenschutzverstöße in Deutschland und Europa.

 

5.16.2    Dashcams im Straßenverkehr – auf die Einstellung kommt es an

Auch in diesem Jahr haben wir mehrere Fälle bearbeitet, bei denen es um den Einsatz sogenannter Dashcams im Straßenverkehr ging. In zwei Fällen wurden die nachträglich im Fahrzeug installierten Dashcams auf eine Art und Weise eingesetzt, die eindeutig nicht mit dem Datenschutzrecht vereinbar war.

Dashcam
 Dashcams sind werkseitig oder nachträglich im oder am Fahrzeug installierte Kameras, die den Bereich rund um das Fahrzeug im ruhenden und fließenden Verkehr aufnehmen.

In einem Fall filmte die im Fahrzeug hinter der Windschutzscheibe verbaute Dashcam über einen Zeitraum von 40 Minuten ununterbrochen den Parkplatz eines Supermarktes. In dem anderen Fall waren auf der Speicherkarte der Dashcam über 500 einzelne Videosequenzen des fließenden Straßenverkehrs gespeichert. In beiden Fällen waren Personen identifizierbar und Kfz-Kennzeichen lesbar. Die betroffenen Personen hatten keine Kenntnis darüber, dass ihr Verhalten im öffentlichen Verkehrsraum aufgezeichnet wurde. Dadurch entstand ein erheblicher Eingriff in die Grundrechte und Grundfreiheiten der betroffenen Personen.

Ein solcher Eingriff hätte durch technische Maßnahmen verringert werden können. Für Dashcams, die ein Unfallgeschehen nachvollziehbar machen sollen, kommen kurzzeitige, anlassbezogene Aufzeichnungen infrage, die erst bei Kollision oder starker Verzögerung des Fahrzeugs durch einen Bewegungssensor ausgelöst werden. Weitere Maßnahmen sind eine Verpixelung von Personen oder ein automatisiertes und dem Eingriff des Verwenders entzogenes Löschen. Nur wenn eine Dashcam solche (Daten-)Schutzmechanismen aufwiese, käme überhaupt in Betracht, dass die vorzunehmende Güterabwägung zugunsten des Dashcam-Betreibers ausfallen könnte (BGH, Urteil vom 15.05.2018 – VI ZR 233/17, Rn. 26). Solche Mechanismen zur Abmilderung des Eingriffs in die Grundrechte und Grundfreiheiten der datenschutzrechtlich betroffenen Personen wurden in beiden Fällen nicht ergriffen. Daher haben wir in beiden Fällen Geldbußen verhängt.

Häufig werden wir mit der Argumentation konfrontiert, die durch die Dashcam erstellten Aufzeichnungen seien rein privater Natur. Doch die Aufzeichnung des ruhenden oder fließenden Straßenverkehrs mittels Dashcam erfolgt gerade nicht im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten nach Art. 2 Abs. 2 Buchst. c DSGVO. Durch Dashcams werden Personen im öffentlichen Raum gefilmt, womit der persönlich-familiäre Bereich verlassen und die Datenschutz-Grundverordnung auch für Privatpersonen als Verantwortliche vollumfänglich anwendbar ist. Diese Einschätzung basiert auf der Rechtsprechung im Bereich der Videoüberwachung: Soweit sich eine Videoüberwachung mindestens teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, kann sie nicht als eine ausschließlich „persönliche oder familiäre“ Tätigkeit angesehen werden (EuGH, Urteil vom 11.12.2014 – C-212/13). Zudem werden Dashcam-Aufnahmen gerade zu dem Zweck erstellt, sich für den Schadensfall abzusichern und die Aufnahmen gegebenenfalls weiterzugeben, beispielsweise an Sachverständige einer Versicherung oder die Polizei. Wer eine Dashcam nutzt, muss die Vorgaben der Datenschutz-Grundverordnung einhalten und kann sich nicht darauf berufen, dass die erstellten Aufnahmen rein privater Natur sind.

 

5.16.3    Bußgeld für diffamierende Internetveröffentlichungen über Auszubildende

Durch mehrere Hinweise von Bürgerinnen und Bürgern wurden wir darauf aufmerksam gemacht, dass sich eine Apothekerin in einem sozialen Netzwerk über die Verhaltensweisen, den Ausbildungsbeginn und die Ausbildungsdauer, die Arbeitszeiten, die geplanten Urlaube sowie die Krankheitsbilder einer Auszubildenden geäußert hatte. Die Äußerungen waren in einer Art und Weise formuliert, die geeignet war, die Auszubildende bloßzustellen und zu diffamieren. Der Name der Auszubildenden wurde zwar nicht explizit genannt, jedoch war sie aufgrund von wenigen Zusatzinformationen, die sehr leicht über die Website der Apothekerin zu erlangen waren, identifizierbar. Die Apothekerin hat durch die Veröffentlichungen im Internet personenbezogene Daten verarbeitet, ohne dass diese Verarbeitung auf eine gesetzliche Grundlage hätte gestützt werden können. Da die Datenverarbeitung im Rahmen eines Ausbildungsverhältnisses stattfand und zudem auch Gesundheitsdaten der betroffenen Person betraf, war der Eingriff in die Grundrechte und Grundfreiheiten der betroffenen Person besonders intensiv. Dieser Verstoß wurde daher mit einer Geldbuße geahndet.

Was ist zu tun?
 Vorsicht bei Veröffentlichungen: Äußert man sich im Internet, insbesondere in den sozialen Netzwerken, zu einer bestimmten Person, sollte man immer die möglichen Auswirkungen für diese Person im Blick behalten. Gerade Arbeitgeber trifft hinsichtlich ihrer Auszubildenden eine besondere Schutz- und Sorgfaltspflicht. Keinesfalls sind Arbeitgeber befugt, sich öffentlich zu den Krankheitsbildern und Gewohnheiten ihrer Mitarbeitenden zu äußern.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel