Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

 

5          Datenschutz in der Wirtschaft

5.1         Gebrauchte Festplatte mit Daten zum Verkauf

Ein Petent informierte uns, dass ihm ein Elektronikfachmarkt zwei Festplatten als vermeintliche Neuware verkauft hatte, die jedoch offenkundig bereits verwendet worden waren. Beim Versuch, ein Betriebssystem auf einer der Festplatten zu installieren, bemerkte der Petent, dass diese bereits partitioniert war. Beim schreibgeschützten Einbinden in ein bestehendes IT-System stellte der Petent schließlich fest, dass eine der beiden Festplatten bereits zuvor rege benutzt worden war. Da auch personenbezogene Daten enthalten waren, brach der Petent die weiteren Nachforschungen sofort ab und meldete uns den Vorfall.

Auf Basis dieser Informationen leiteten wir ein aufsichtsbehördliches Verfahren ein. Im Rahmen der Anhörung teilte uns das Unternehmen mit, dass die Umstände, die zu dieser Datenschutzverletzung geführt hatten, nicht mehr vollständig reproduzierbar waren. Es erhärtete sich der Verdacht, dass wegen eines Flüchtigkeitsfehlers die betroffene Festplatte in der Eile des Weihnachtsgeschäfts aufgrund geringer Bestände auf der Verkaufsfläche aus der Werkstatt des Ladens in den Verkauf genommen worden war und nicht erkannt wurde, dass diese zuvor von einem anderen Mitarbeiter als Back-up-Medium verwendet worden war. So wurde die benutzte Festplatte in der Annahme, sie sei neu, an den Petenten verkauft.

Wir konzentrierten uns gemeinsam mit dem Unternehmen auf die zu treffenden Maßnahmen, um ähnlich gelagerte Fälle in Zukunft verhindern zu können. Das Unternehmen erarbeitete einen verbesserten Löschprozess, der neben dem Einsatz nachhaltiger und professioneller Datenlöschsoftware auch auf eine klarere Strukturierung organisatorischer Abläufe setzte. So werden die einzelnen Schritte des Löschprozesses vollständig protokolliert. Um Fehlern aufgrund von unzureichenden Abstimmungen unter mehreren Mitarbeitenden entgegenzuwirken, wurde mit dem Prozess des Löschens von Festplatten lediglich ein Mitarbeiter betreut, der den Löschprozess von Beginn bis Abschluss allein durchführt. Festplatten, die als Back-up-Medium verwendet werden oder anderweitig bereits in Benutzung waren, werden eindeutig markiert, sodass ein unerwünschter Verkauf verhindert werden kann. Die professionell gelöschten Festplatten werden schließlich nach Absprache mit den Kundinnen und Kunden entweder zurückgegeben oder dem Recycling zugeführt.

Mit den verbesserten Prozessen und damit verbundenen umgesetzten technischen und organisatorischen Maßnahmen konnten wir das Verfahren abschließen. Der Petent wurde nach Abschluss des Verfahrens aufgefordert, die auf der Festplatte befindlichen Daten zu löschen.

Was ist zu tun?
Insbesondere bei gebrauchten Festplatten oder anderen Speichermedien ist aus datenschutzrechtlicher Sicht besondere Vorsicht geboten. Nur mit einer durch sichere Verfahren durchgeführten Löschung oder fachgerechter Vernichtung lassen sich die zuvor gespeicherten Daten sicher entfernen. Festgelegte Prozesse und dokumentierte Verarbeitungsschritte machen die Löschung dabei auch vor dem Hintergrund der Rechenschaftspflicht klar nachvollziehbar.

5.2         Hardwarereparatur und Preisgabe von Passwörtern

Das ULD erreichte eine Beschwerde hinsichtlich der Übermittlung von Passwörtern bei der Hardwarereparatur. Ein Hersteller von Elektronikartikeln verlangte im Rahmen der Einsendung des Geräts in einem Begleitschreiben das Gerätepasswort. Dieses Vorgehen ist zwar nicht unüblich, weniger üblich war hier jedoch, dass dieses Schreiben, auf dem das Passwort angegeben war, gemeinsam mit dem Gerät versendet werden sollte. Im Falle eines Abhandenkommens des Paketes durch Verlust oder Diebstahl hätten Dritte so vollen Zugriff auf das Gerät gehabt.

§ 5 Abs. 1 Buchst. f DSGVO
(1) Personenbezogene Daten müssen
[…]
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); […]

Art. 5 Abs. 1 Buchst. f DSGVO verlangt von den Verantwortlichen eine angemessene Sicherheit der personenbezogenen Daten. Weiterhin muss nach Art. 24 Abs. 1 DSGVO der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen implementieren, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Die verantwortliche Stelle wurde durch das ULD im Rahmen eines aufsichtsbehördlichen Verfahrens zum Sachverhalt angehört. Diese zeigte sich einsichtig und räumte ein, dass die Übermittlung der Passwörter in der gewählten Form kein ausreichendes Maß an Sicherheit bieten würde. Es wurde jedoch auch mitgeteilt, dass die direkte Übermittlung von Passwörtern nur noch einen sehr geringen Anteil ausmachen würde, da eine Einsendung der Hardware größtenteils über die Fachhändler erfolgt und hier eine Übermittlung von Passwörtern nicht erforderlich wäre.

Das Begleitschreiben wurde dahin gehend geändert, dass in diesem keine Passwörter mehr angefordert werden. Sollte eine Übermittlung eines Passworts im Einzelfall erforderlich sein, wird zukünftig eine Kontaktaufnahme mit den Kundinnen und Kunden erfolgen, um das Passwort abzufragen. Ein gemeinsames Versenden der Hardware mit dem Passwort soll demnach nicht mehr erfolgen.

Das aufsichtsbehördliche Verfahren wurde mit Erteilen eines Hinweises nach Art. 58 Abs. 1 Buchst. d DSGVO eingestellt.

5.3          Anfertigen von Personalausweiskopien durch Elektronikhändler

Beim ULD gingen mehrere Beschwerden hinsichtlich des Anfertigens von Personalausweiskopien durch private Unternehmen ein. In einem Fall wurde eine Kopie des Ausweises beim Ankauf eines Laptops durch einen Elektronikhändler angefertigt.

Hinsichtlich des Anfertigens von Personalausweiskopien gelten die Vorschriften des Personalausweisgesetzes (PAuswG). Demnach dürfen Ausweise nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers so abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist (§ 20 Abs. 2 PAuswG). Es bedarf hier demnach einer Einwilligung nach Art. 6 Abs. 1 Buchst. a in Verbindung mit Artikel 7 DSGVO.

§ 20 Abs. 2 PAuswG
(2) Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Ausweisinhaber dürfen die Kopie nicht an Dritte weitergeben. [...]

Ausnahmen können sich z. B. aus dem Geldwäschegesetz (GWG) ergeben, sofern es sich um Verpflichtete im Sinne des § 2 Abs. 1 GWG handelt. In diesem Fall ist die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Die Verarbeitung der personenbezogenen Daten erfolgt demnach auf Grundlage des Art. 6 Abs. 1 Buchst. c DSGVO. In dem vorliegenden Fall wurde seitens des ULD eine solche Verpflichtung zur Anfertigung einer Personalausweiskopie jedoch nicht gesehen.

Der Verantwortliche wurde daher im Rahmen eines aufsichtsbehördlichen Verfahrens zum Sachverhalt angehört. Dieser gab in seiner Stellungnahme an, dass er sich mit der Kopie gegen einen möglichen späteren Vorwurf der Hehlerei absichern wollte, da der Verkäufer des Laptops keinen Kaufbeleg für das Gerät vorweisen konnte. Er berief sich hier auf sein berechtigtes Interesse nach Art. 6 Abs.1 Buchst. f DSGVO.

Dieses berechtigte Interesse konnte seitens des ULD nicht nachvollzogen werden. Das Anfertigen der Kopie war für den angestrebten Zweck, nämlich gegenüber den Strafverfolgungsbehörden einen möglichen Verdacht der Hehlerei zu entkräften, weder geeignet noch erforderlich, da durch die bloße Vorlage einer Ausweiskopie gegenüber den Strafverfolgungsbehörden keine Aussagen hinsichtlich des Umstands getroffen werden können, ob es sich bei der angekauften Ware um Diebesgut handelt.

Der Verantwortliche sagte dem ULD zu, zukünftig auf das Kopieren von Personalausweisen zu verzichten und die angefertigten Kopien umgehend zu vernichten. Als Alternative wurde ein Kaufvertrag etabliert, in dem die erforderlichen Daten des Verkäufers sowie die Zusicherung, dass es sich nicht um Diebesgut handelt, eingetragen werden können.

Dem Verantwortlichen wurde abschließend ein Hinweis nach Art. 58 Abs. 1 Buchst. d DSGVO erteilt.

5.4          Abfrage von Halterdaten durch Dienstleister bei Parkverstößen

Beim ULD gingen mehrere Beschwerden und Anfragen ein, die sich auf die Verarbeitung von Halterdaten durch private Dienstleister bei Parkverstößen bezogen. In den vorliegenden Fällen wurden die beschwerdeführenden Personen von den Dienstleistern kontaktiert und zur Zahlung aufgefordert. Ursächlich hierfür war zum einen die Begleichung der entstandenen Kosten bei Abschleppvorgängen, ausgelöst durch unerlaubtes Parken auf Privatflächen oder Blockieren von Ein- und Ausfahrten. Weiterhin erfolgte eine Bezugnahme auf Parkverstöße, z. B. auf einem Supermarktparkplatz. In den dem ULD vorliegenden Beschwerden wurde die Rechtmäßigkeit der Abfrage der Halterdaten durch die Dienstleister angezweifelt.

Zu § 33 Straßenverkehrsgesetz
Der Gesetzgeber unterscheidet zwischen dem örtlichen und dem Zentralen Fahrzeugregister. Diese Register beinhalten z. B. Kontaktdaten zum Halter und Fahrzeugdaten, einschließlich Angaben zur Haftpflichtversicherung, die Kraftfahrzeugbesteuerung des Fahrzeugs und die Verwertung oder Nichtentsorgung des Fahrzeugs als Abfall im Inland.

Nach § 39 Straßenverkehrsgesetz sind bestimmte im Fahrzeugregister gespeicherte Angaben zu Fahrzeug und Halter, u. a. Name und Anschrift des Halters, durch die Zulassungsbehörde oder durch das Kraftfahrt-Bundesamt (KBA) zu übermitteln, wenn der Empfänger unter Angabe des betreffenden Kennzeichens oder der betreffenden Fahrzeug-Identifizierungsnummer darlegt, dass er die Daten zur Geltendmachung, Sicherung oder Vollstreckung oder zur Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Teilnahme am Straßenverkehr oder zur Erhebung einer Privatklage wegen im Straßenverkehr begangener Verstöße benötigt. Hierbei handelt es sich um die sogenannte einfache Registerauskunft. Eine Überprüfung, ob eine solche Abfrage berechtigt ist, erfolgt durch die Stelle, die die einfache Registerauskunft erteilt.

In den vorliegenden Fällen sollten seitens der Parkplatzbetreiber oder durch die betroffenen Personen, etwa durch die beauftragten Dienstleister, Ansprüche hinsichtlich begangener Parkverstöße geltend gemacht werden. Hierfür war es erforderlich, die jeweiligen Halter anzuschreiben. Die Voraussetzungen für die Übermittlung der Halterdaten waren somit erfüllt.

Ein häufiger Einwand in den Beschwerden war, dass die Abfrage durch „private“ Unternehmen und nicht durch das Ordnungsamt erfolgte. Das StVG differenziert hier jedoch nicht nach der Rechtsform der abfragenden Stelle, sondern verweist lediglich auf den „Empfänger“, sodass die Abfrage auch durch Privatpersonen oder beauftragte Dienstleister erfolgen kann.

5.5          Kennzeichenerfassung als Zutrittskontrolle auf einem Campingplatz

Das ULD erreichte eine Beschwerde in Bezug auf die Kennzeichenerfassung bei der Einfahrt auf einen Campingplatz. Der Beschwerdeführer monierte, dass neben den Kennzeichen auch öffentlicher Grund aufgenommen werden würde. Zusätzlich wurde beanstandet, dass der Verantwortliche seinen Informationspflichten nicht nachkommen würde.

Artikel 13 DSGVO
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten die in Artikel 13 DSGVO genannten Informationen mit.

Die verantwortliche Stelle wurde im Rahmen eines aufsichtsbehördlichen Verfahrens zum Sachverhalt angehört. Hierdurch sollten insbesondere Informationen zum Zweck und Umfang der Erfassung sowie der Umsetzung der Informationspflichten erlangt werden.

Seitens des Verantwortlichen wurde dem ULD eine umfangreiche Stellungnahme übermittelt. Als Rechtsgrundlage für die Erfassung wurde Art. 6 Abs. 1 Buchst. f DSGVO angegeben. Das berechtigte Interesse wurde mit dem Schutz des Eigentums und der Sicherheit auf dem Campingplatz sowie der Gewährleistung eines ordnungsgemäßen Campingbetriebs begründet. Durch die Erfassung soll gewährleistet werden, dass nur berechtigte Personen, im Einzelnen Betreiber und Gäste, auf den Campingplatz fahren dürfen. Weiterhin soll durch die automatische Steuerung der Verkehrsfluss an An- und Abreisetagen gelenkt und so eine geordnete Zu- und Abfahrt gewährleistet werden.

Dem ULD wurde zudem mitgeteilt, dass das verwendete System datenschutzfreundlich ausgestaltet sei. Die Kamera sei gezielt so ausgerichtet und konfiguriert, dass ausschließlich Kennzeichen im Nahbereich (Short Range) erfasst werden. Eine Aufnahme bzw. Erfassung von Personen, die sich in den Fahrzeugen oder in dem Bereich dahinter befinden, würde nicht erfolgen.

Hinsichtlich der Transparenz und Informationspflichten wurde angegeben, dass diesen umfassend nachgekommen werde. Die Information erfolge durch Symbole und Schilder, die sowohl im Vorfeld als auch direkt an der Schrankenanlage angebracht wurden. Ergänzend hierzu werde durch einen Aushang an der Rezeption informiert.

Seitens des ULD konnten die vorgebrachten Argumente und Informationen nachvollzogen werden. Die Kennzeichenerfassung wurde als rechtmäßig angesehen, sodass das aufsichtsbehördliche Verfahren eingestellt werden konnte.

5.6          Bildveröffentlichung durch nicht sorgeberechtigten Elternteil

Gegenstand der Prüfung war die Beschwerde einer Mutter, die sich auf die Verwendung von Bildern ihres Sohnes auf Facebook bezog. Ihr Ex-Mann hatte regelmäßig Fotos von Aktivitäten mit dem gemeinsamen Sohn auf Facebook hochgeladen. Da das Facebook-Profil des Ex-Mannes auf „öffentlich“ eingestellt war, konnten auch Personen ohne Facebook-Account die Fotos des Sohnes sehen.

Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn mindestens eine der in der genannten Norm aufgeführten Bedingungen erfüllt ist. Es bedarf also einer Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da diese sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Die DSGVO sieht vor, dass für Kinder, die das 16. Lebensjahr noch nicht vollendet haben, in Bezug auf Dienste der Informationsgesellschaft eine Einwilligung des gesetzlichen Vertreters zur Verarbeitung der personenbezogenen Daten des Kindes vorliegen muss. Eine Einwilligung des Kindes allein ist nicht ausreichend. Das Alter des Sohnes betrug zum Zeitpunkt der Beschwerde fünf Jahre. Demnach war zur Verarbeitung seiner personenbezogenen Daten die Einwilligung des gesetzlichen Vertreters notwendig. Da das alleinige Sorgerecht der Mutter zugesprochen wurde, war hier für die Veröffentlichung der Bilder auf dem Facebook-Profil des Vaters ihre Einwilligung erforderlich. Diese lag jedoch nicht vor.

Der Vater wurde seitens des ULD angeschrieben und zur Löschung aller Bilder, auf denen der Sohn zu sehen war, aufgefordert. Dieser zeigte sich jedoch nicht sehr kooperativ und reagierte nicht auf das Schreiben des ULD. Als nach wiederholter Aufforderung keine Löschung der Bilder von dem Facebook-Profil erfolgte, wurde die Löschung der Bilder unter Androhung eines Zwangsgelds angeordnet.

Die Bilder wurden daraufhin umgehend von dem Facebook-Profil gelöscht. Das aufsichtsbehördliche Verfahren wurde mit einer Warnung an den Vater abgeschlossen, zukünftig ohne vorhandene Rechtsgrundlage (Einwilligung der Sorgeberechtigten) Bilder des Sohnes zu veröffentlichen.

5.7          Überwachung von Müllbehältern

Der Mieter einer Wohnung in einem Mehrfamilienhaus berichtete davon, dass die Zugangstüren zum Haus und den Müllbehältern mit Transpondern ausgestattet wurden, die einerseits den Bewohnerinnen und Bewohnern namentlich zugeordnet wurden und andererseits geeignet seien, Zutrittsereignisse zu protokollieren.

Nach Schilderung verschiedener Mieterinnen und Mieter sei das System nach ihrer Kenntnis verbaut worden, um sehen zu können, wer wann bei den Müllbehältern gewesen sei, da in der Vergangenheit offenbar Müll nicht ordnungsgemäß entsorgt wurde.

Die Hausverwaltung erläuterte hierzu, dass der gegenüber den Mieterinnen und Mietern erfolgte Hinweis zur Überwachungsmöglichkeit der Müllanlage erfolgt sei, um zusätzliche Entsorgungskosten und höhere Betriebskosten zu vermeiden. Tatsächlich würde die vom System zur Verfügung stehende Protokollierungsmöglichkeit jedoch nicht genutzt, sodass keine aktive Überwachung stattfinde. Der Hinweis hätte lediglich einen erzieherischen Hintergrund gehabt.

Anhand der vorliegenden Beschwerde war erkennbar, dass der erfolgte Hinweis und die bestehende Möglichkeit einer Protokollierung zu einem Überwachungsdruck bei den betroffenen Mieterinnen und Mietern führten. Darüber hinaus darf bezweifelt werden, dass eine Zugangsprotokollierung das geeignete Mittel für eine ordnungsgemäße Müllentsorgung ist, da hierdurch weiterhin nicht nachvollzogen werden kann, wer tatsächlich was wie entsorgt hat.

Was ist zu tun?
Für natürliche Personen sollte zunächst Transparenz dahin gehend bestehen, ob personenbezogene Daten von ihnen erhoben und in welchem Umfang sie verarbeitet werden. Im Rahmen der Informations- und Transparenzpflichten sind betroffene Personen darüber zu informieren, welche Daten zu welchem Zweck und auf welcher rechtlichen Grundlage verarbeitet werden.

5.8          Bestandskundin oder nicht?

Auch in diesem Jahr erreichten uns wieder zahlreiche Beschwerden über den Erhalt von E-Mails zum Zweck der Direktwerbung.

Wie in verschiedenen Beiträgen bereits erläutert, erkennt der Erwägungsgrund 47 zur Datenschutz-Grundverordnung die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung zwar als eine einem berechtigten Interesse dienende Verarbeitung an. In der nach Art. 6 Abs. 1. Buchst. f DSGVO erforderlichen Interessenabwägung sind allerdings auch die „vernünftigen Erwartungen der betroffenen Person“, die auf ihre Beziehung zu dem Verantwortlichen beruhen, in den Abwägungsprozess einzubeziehen.

Im Fall von Bestandskunden sind überwiegende schutzwürdige Interessen der betroffenen Person nach Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO in der Regel dann nicht gegeben, wenn die im § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hiernach ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn ein Unternehmer die E-Mail-Adressen im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von den Kunden erhalten hat, wenn es sich um Werbung für eigene ähnliche Waren oder Dienstleistungen handelt, die Betroffenen der Nutzung für Werbezwecke nicht widersprochen haben und bei der Erhebung wie auch bei jeder Werbeansprache auf ihr Widerspruchsrecht hingewiesen werden, sodass in diesen Fällen keine Einwilligung der betroffenen Person erforderlich ist.

Im Rahmen eines in diesem Berichtszeitraum geführten Verfahrens teilte das verantwortliche Unternehmen zunächst mit, dass die vorliegenden Kundendaten aus einer Reihe von vergangenen Bestellungen stammen würden.

Rechenschaftspflicht
Der Verantwortliche ist für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss dessen Einhaltung nachweisen können.

Nachdem die Beschwerdeführerin dies jedoch bestritt, verwies die Rechtsnachfolgerin des ursprünglichen Unternehmens auf die bestehende Verpflichtung zur Löschung von personenbezogenen Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen und räumte ein, dass sämtliche ursprünglichen Bestellvorgänge inzwischen gelöscht wurden, sodass nicht mehr belegt werden konnte, dass es sich bei der betroffenen Person tatsächlich um eine Bestandskundin handelte und sich die Werbung auf ähnliche Waren bezog.

Da die gesetzlichen Aufbewahrungsfristen für steuerrechtlich relevante Bestellvorgänge zehn Jahre beträgt und die vom Unternehmen erwähnten Bestellvorgänge demnach offenbar vor über zehn Jahren erfolgten, kann auch nicht mehr davon ausgegangen werden, dass die vernünftigen Erwartungen der betroffenen Person dahin gehen, dass sie jetzt entsprechende Werbung von der Rechtsnachfolgerin des ursprünglichen Unternehmens erhält.

Was ist zu tun?
Nach Ablauf der gesetzlichen Aufbewahrungsfristen sind sämtliche Kundendaten zu löschen, wenn keine aktuelle Einwilligung zur Weiterverarbeitung von personenbezogenen Daten beispielsweise zum Zweck der Direktwerbung vorliegt.

5.9          Neues Gewerbe – alte Kundendaten

Im Rahmen einer weiteren Beschwerde berichtete der Eigentümer einer Ferienwohnung, dass er von seinem früheren Verwalter der Wohnungseigentümergemeinschaft ein postalisches Werbeschreiben für die Vermietung seiner Ferienimmobilie erhielt.

Nach seiner Schilderung würde der Absender die Tätigkeit als Hausverwalter seit über drei Jahren nicht mehr ausüben. Da dieser in dem Anschreiben unter einem neuen Firmennamen auftrat, sei davon auszugehen, dass er seine alten Kundendaten nutze, um für seine neue Firma zu werben.

Zweckbindung
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Nachdem sich der Verantwortliche im Rahmen einer Stellungnahme für seinen Fehler entschuldigt und eingeräumt hatte, bedauerlicherweise alte Kundendaten verwendet zu haben, die sich noch in seinem Bestand befanden, wurde er gemäß Art. 58 Abs. 2 Buchst. a DSGVO davor gewarnt, dass er bei einer fortdauernden Nutzung alter Kundendaten für Zwecke seines neuen Gewerbes gegen datenschutzrechtliche Vorschriften verstoße.

Darüber hinaus wurde ihm ein Hinweis dahin gehend erteilt, dass personenbezogene Daten zu löschen sind, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Sollte eine Löschung wegen gesetzlicher Aufbewahrungsfristen derzeit noch nicht möglich sein, sind die Daten beispielsweise durch eine Archivierung in einem nicht direkt zugänglichen System zu sperren.

5.10        Satellitenortung I: Erreichbarkeit von Beschäftigten und Leistungskontrolle

Immer häufiger erreichen uns Beschwerden von Beschäftigten zu GPS-Trackern, die vom Arbeitgeber in den Firmenfahrzeugen verbaut werden. Oft werden die Beschäftigten nicht ausreichend über das Tracking informiert, da einige Arbeitgeber davon ausgehen, dass die mittels der GPS-Geräte erhobenen Standortdaten keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen, da ja nur der Standort des Fahrzeugs geortet werde. Regelmäßig ist es dem Arbeitgeber jedoch möglich nachzuvollziehen, welcher Beschäftigte an welchem Datum ein bestimmtes Firmenfahrzeug gefahren ist, sodass die Standortinformationen personenbezogen sind. Grundsätzlich kann sich eine GPS-Ortung auf die berechtigten Interessen des Arbeitgebers nach Art. 6 Abs. 1 Buchst. f DSGVO oder auf Art. 6 Abs. 1 Buchst. b DSGVO stützen, wenn diese zur Erfüllung des Arbeitsvertrags erforderlich ist. Dabei sind jedoch auch die Interessen und Rechte der Beschäftigten zu berücksichtigen.

Globales Satellitennavigationssystem
Bei GPS (Global Positioning System) handelt es sich um ein satellitengestütztes Navigationssystem. Neben GPS gibt es auch noch weitere solche Systeme, die allerdings eine untergeordnete Rolle spielen, z. B. GLONASS (Russland) oder Beidou (China).

Aufgrund einer Beschwerde prüften wir das GPS-Tracking in den Fahrzeugen eines Unternehmens, das Hausmeister- und Reinigungsarbeiten durchführt. Das Unternehmen gab an, dass das in den Fahrzeugen verbaute GPS-System den aktuellen Standort, die Fahrstrecke sowie Geschwindigkeit und Uhrzeit erfasse. Die Daten würden für 365 Tage gespeichert werden.

Das Unternehmen legte mehrere Zwecke dar, zu denen die GPS-Ortung gebraucht werde. Zum einen benötige man die GPS-Ortung, um kurzfristige Aufträge und Noteinsätze zu disponieren, wobei es zu kurzfristigen Umdisponierungen maximal zwei bis dreimal im Monat, wenn nicht noch seltener komme. Die Beschäftigten seien angehalten, während der Arbeit nicht das Handy zu benutzen, da bei den Kundinnen und Kunden nicht der Eindruck entstehen solle, die Beschäftigten würden während der Arbeitszeit am Handy spielen. Die Erforderlichkeit konnte jedoch nicht ausreichend nachgewiesen werden. Zum einen konnten die beschriebenen „Noteinsätze“ keine derartige Dringlichkeit erkennen lassen, die eine Ortung des aktuellen Standorts erforderlich machen. Auch die eher geringe Anzahl an Beschäftigten und ein geografisch nicht weitläufiger Einsatzbereich sprachen dafür, dass es nicht auf den aktuellen Standort der Beschäftigten für Umdisponierungen ankam. Vielmehr ergab der Sachverhalt, dass es insbesondere darum ging, Kapazitäten umzudisponieren. Sollte es in seltenen Ausnahmefällen doch darauf ankommen, den aktuellen Standort eines Beschäftigten zu erhalten, ist es zumutbar, dass eine telefonische Erreichbarkeit der Beschäftigten sichergestellt wird.

Ferner sollten die GPS-Daten nach den Angaben des Unternehmens zur anlassbezogenen repressiven Mitarbeiterkontrolle dienen, da es in der Vergangenheit zu mehreren Fällen von umfangreichem Arbeitszeitbetrug kam. In der Interessenabwägung ist aber zu berücksichtigen, dass personenbezogene Daten von Beschäftigten zur Aufdeckung von Straftaten nur dann verarbeitet werden dürfen, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Wichtig ist, dass der begründete Verdacht eines Arbeitszeitbetrugs bereits vorliegen muss und dann zu prüfen ist, ob der Einsatz eines GPS-Trackings tatsächlich geeignet, erforderlich und verhältnismäßig ist, um den Verdacht aufzuklären. Unzulässig ist es, Standortdaten auf Vorrat zu speichern, um diese nachträglich auswerten zu können, falls sich irgendwann mal der Verdacht eines Arbeitszeitbetrugs ergibt. Wichtig ist zudem, dass der Verdacht dokumentiert wird und sich auf einen konkreten Beschäftigten oder zumindest eng abgrenzbaren Personenkreis von Beschäftigten beschränkt. Es dürfen nicht alle Beschäftigten unter einen Generalverdacht gestellt werden. Dieser Zweck rechtfertigt daher keine dauerhafte Ortung und Speicherung der Standortdaten. Dies ist, wenn überhaupt, nur im begründeten Einzelfall zulässig und muss zeitlich begrenzt sein.

Des Weiteren diene die GPS-Ortung dem Diebstahlschutz außerhalb der Arbeitszeit. Hier ist zu beachten, dass ein GPS-Tracker keinen Diebstahl verhindern kann. Vielmehr ermöglicht es eine GPS-Ortung lediglich, im Falle eines Diebstahls das entwendete Fahrzeug wieder aufzufinden. Daher rechtfertigt dieser Zweck keine Speicherung der Standortdaten, sondern nur die anlassbezogene Ortung.

Das Unternehmen deaktivierte letztendlich die Speicherung und löschte alle historischen Tracker-Daten aus der Software. Das Unternehmen gab an, dass eine Ortung mittels der GPS-Tracker nur noch vorgenommen werde, wenn es zu einem Diebstahl eines Fahrzeugs komme. Sofern es zukünftig zu Verdachtsfällen bezüglich eines Arbeitszeitbetrugs kommen sollte, werde man vorab eine entsprechende Verhältnismäßigkeitsprüfung vornehmen und dies entsprechend schriftlich dokumentieren. Zudem seien die Beschäftigten über die Änderungen bei dem Einsatz der GPS-Tracker transparent informiert und die entsprechenden Datenschutzerklärungen angepasst worden. Das Verfahren konnte damit abgeschlossen werden.

Was ist zu tun?
GPS-Tracker für Firmenfahrzeuge sind heutzutage schnell und kostengünstig zu bekommen. Leider werden die datenschutzrechtlichen Aspekte von vielen Verantwortlichen dabei vernachlässigt. Verantwortliche sollten sorgfältig prüfen, ob eine GPS-Ortung zu den verfolgten Zwecken tatsächlich erforderlich ist und dabei auch die Interessen und Rechte der Beschäftigten berücksichtigen.

5.11        Satellitenortung II: Sicherheit auf Autobahnen

Aufgrund einer Beschwerde wurde ein Prüfverfahren gegen ein Unternehmen eingeleitet, welches insbesondere Arbeiten auf Autobahnen in Schleswig-Holstein ausführt. Zu diesem Zweck sei in den Einsatzfahrzeugen (z. B. Lkws, Transporter oder Räumfahrzeuge) ein System verbaut, welches zur Steuerung aller fachlichen und organisatorischen Abläufe im Straßenbetriebsdienst diene, hier im Speziellen im Autobahnbetriebsdienst. Die Fahrzeuge seien keinen einzelnen Beschäftigten zugeordnet, sondern würden in der Regel von Teams genutzt werden.

Das System erhebe Telemetriedaten im Zusammenhang mit dem Einsatz des Fahrzeugs, die zunächst nicht personenbezogen sind. Bei den erfassten Telemetriedaten handle es sich u. a. um die aktuelle Position, Geschwindigkeit, gefahrene Kilometer sowie gegebenenfalls Zusatzinformationen wie Fahrbahntemperatur oder andere Sensordaten. Diese Daten werden nur erfasst, wenn das Fahrzeug in Bewegung ist. Sobald ein in dem Fahrzeug sitzendes Mitglied des Teams eine vordefinierte Leistung aktiviere (z. B. Mähen Grünstreifen oder Fahrbahn streuen), werden die Telemetriedaten der aktivierten Leistung zugeordnet. Dabei wird ein sogenannter Arbeitsbericht erstellt, aus dem auch der Name des bedienenden Beschäftigten hervorgeht, sodass hier eine Verarbeitung personenbezogener Daten vorliegt.

Das Unternehmen legte dar, dass die Telemetriedaten in Verbindung mit den erstellten Arbeitsberichten zum einen gemäß Art. 6 Abs. 1 Buchst. b DSGVO zur Erfüllung des Vertrags mit dem Auftraggeber erforderlich seien. Im Laufe des Verfahrens setzte sich das Unternehmen erneut mit dem Auftraggeber zusammen, um den Vertrag zu prüfen. Dabei kam man zu dem Ergebnis, dass eine personenbezogene Dokumentation nicht erforderlich ist, um den Vertrag zu erfüllen.

Es verbleibe jedoch ein berechtigtes Interesse des Unternehmens im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO, da man die personenbezogenen Arbeitsberichte in Verknüpfung mit den Telemetriedaten insbesondere zur Nachvollziehbarkeit von Vorgängen und zur Fehleranalyse benötige. Dies diene lediglich der Qualitätssicherung und nie der Überwachung von Beschäftigten. Hierbei sei zu berücksichtigen, dass an den Autobahnbetriebsdienst besonders hohe Qualitätsanforderungen zu stellen sind, da es letztendlich um die Sicherheit und den Schutz von Gesundheit und Leben der Beschäftigten sowie der Teilnehmenden am Straßenverkehr gehe.

Die GPS-Ortung ist im vorliegenden Fall daher nur ein Teil von einem relativ komplexen Verarbeitungsvorgang. Aufgrund der besonderen Anforderungen an die Abläufe im Straßenbetriebsdienst und die damit einhergehenden Sicherheitsaspekte haben wir im vorliegenden Fall die Erforderlichkeit der GPS-Ortung bejaht und keine überwiegenden Interessen der Beschäftigten gesehen, die der Verarbeitung entgegenstehen.

Das Verfahren ist jedoch noch nicht ganz abgeschlossen, da die Speicherdauer der personenbezogenen Daten ursprünglich auf 30 Jahre ausgelegt war. Dies wurde mit der Laufzeit des Vertrags mit dem Auftraggeber begründet. Da sich aus dem Vertrag nunmehr keine Verpflichtung mehr zur Speicherung der personenbezogenen Daten ergibt, ist noch zu klären, welche Speicherdauer nunmehr als erforderlich angesehen werden kann.

5.12        Informationsverknüpfung führt zu Identifizierbarkeit

Das ULD erreichte eine Beschwerde über eine für die Datenverarbeitung verantwortliche Person, die sich zwar um Anonymisierung bemühte, dies jedoch nicht ausreichend gelang.

Im Rahmen einer Beerdigung war die Verantwortliche als Trauerrednerin engagiert worden. Im Anschluss an die Feierlichkeiten veröffentlichte sie diverse Informationen bei Social Media zum Zweck der Eigenwerbung. Zu diesen Informationen gehörte ein Bild, auf dem der Sarg mit dem Vornamen und dem ersten Buchstaben des Nachnamens der verstorbenen Person zu sehen war. Daneben wurde ein Text einer Angehörigen veröffentlicht, in dem diese sich bei der Verantwortlichen bedankte. Auch hier wurden nur der Vorname und der erste Buchstabe des Nachnamens abgedruckt. Zudem ergänzte die Verantwortliche noch den Standort der Feierlichkeiten – eine kleinere Stadt in Schleswig-Holstein.

Ein Angehöriger der verstorbenen Person wurde auf den Social-Media-Kanal der Verantwortlichen aufmerksam und forderte sie auf, die Bilder und den Text zu löschen. Dem kam die Trauerrednerin jedoch nicht nach, was zur Einreichung einer Beschwerde führte.

Zwar hat die Verantwortliche versucht, nur weitestgehend anonymisierte Informationen zu veröffentlichen. Jedoch ließen sich die einzelnen Daten hier so kombinieren, dass Personen plötzlich identifizierbar wurden. Es lagen damit keine anonymisierten Daten vor. Es mag zwar der Grundsatz gelten, dass die Anwendung der DSGVO nur für lebende natürliche Personen in Betracht kommt. Allerdings sind die entsprechenden Vorschriften maßgeblich, wenn die veröffentlichten Angaben Bezug zu lebenden Angehörigen haben. Folglich ist dann Zurückhaltung bei der Datenverarbeitung geboten, wenn auch ein Vorname und der erste Buchstabe des Nachnamens für die Leserschaft eine Identifizierung ermöglicht.

Da ein Personenbezug vorlag, weil eine Identifizierbarkeit der angehörigen Person möglich war, bedurfte die Veröffentlichung der Informationen einer Rechtsgrundlage nach der DSGVO. Mangels einer Einwilligung des Angehörigen beschränkte sich die Prüfung auf Art. 6 Abs. 1 Buchst. f DSGVO. Demnach ist die Verarbeitung nur rechtmäßig, wenn diese zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Bei der Interessenabwägung fiel ins Gewicht, dass die Veröffentlichung von Angaben zu einem Trauerfall bereits eine sensible Thematik betraf. Dabei sollten trauernde Angehörige nach Möglichkeit auch bestimmen können, ob Dankesschreiben für Mitwirkende an einer Beerdigung der Öffentlichkeit zugänglich sind. Letztlich galt es auch zu berücksichtigen, dass selbst bei einer Rechtfertigung der Veröffentlichung nach Art. 6 Abs. 1 Buchst. f DSGVO ein Widerspruch des Angehörigen gegen die Verarbeitung nach Artikel 21 DSGVO in Betracht kam.

Nachdem die Verantwortliche auf die Rechtslage hingewiesen wurde, zeigte sie sich kooperativ und entfernte den Eintrag von ihrem Social-Media-Kanal. Das Prüfverfahren konnte daher abgeschlossen werden.

 

5.13        Sportwetten im Internet – Auskunftsanspruch

Das ULD erreichten 2025 diverse Beschwerden gegen Wettanbieter mit Sitz in Malta. Hintergrund der Beschwerden waren gar nicht oder nur unvollständig beantwortete Auskunftsersuchen gemäß Artikel 15 DSGVO. Den Betroffenen ging es insbesondere darum, eine detaillierte Aufschlüsselung ihrer Gewinne und Verluste zu erhalten.

Maßgebend war ein Vorlagebeschluss des Bundesgerichtshofs (BGH) an den Gerichtshof der Europäischen Union (EuGH) zur Vorabentscheidung aus dem Jahr 2024. Der BGH führt darin aus, dass die Veranstaltung öffentlicher Sportwetten in Deutschland ohne die erforderliche Lizenz verboten sei. Demnach seien alle Sportwettenverträge, die vor Erteilung einer Lizenz durch die Glücksspielbehörde geschlossen wurden, nichtig und der Sportwettenanbieter sei grundsätzlich zum Ersatz der Verluste der Spielerinnen und Spieler verpflichtet. Zur genauen Bezifferung des Schadensersatzes benötigten die Betroffenen nun die detaillierte Aufschlüsselung ihrer Gewinne und Verluste, da die Verluste nur in der Höhe erstattet werden, soweit sie die Gewinne übersteigen. Der einfachste Weg, an diese Aufstellung zu gelangen, bestand in der Geltendmachung eines Auskunftsersuchens gemäß Artikel 15 DSGVO, da es sich bei der Aufschlüsselung um personenbezogene Daten handelt.

Gemäß Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Soweit dies der Fall ist, hat die betroffene Person ein Recht auf Auskunft über diese personenbezogenen Daten und auf diverse Informationen – beispielsweise etwa die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die verarbeitet werden, und die Dauer der Speicherung.

Die gegen die Sportwettenanbieter geltend gemachten Auskunftsersuchen wurden häufig gar nicht beantwortet. In den Fällen, wo eine Auskunft erteilt wurde, erfolgte in der Regel lediglich eine sehr oberflächliche und unvollständige Beantwortung. Die Verantwortlichen begründeten dies mit der angeblichen Komplexität und dem Aufwand der Anfrage oder der Behauptung, die Daten würden nur zur Vorbereitung einer Klage benötigt, und bezogen sich dabei nicht selten auf maltesisches Recht, wonach die Auskunft für derlei Fälle eingeschränkt werden könne.

Eine Einschränkung des Auskunftsrechts ist zwar nicht von vornherein ausgeschlossen. So sind in Art. 15 Abs. 4 DSGVO und in Artikel 23 DSGVO Beschränkungsmöglichkeiten vorgesehen, beispielsweise wenn die Auskunft Rechte und Freiheiten anderer Personen beeinträchtigen würde. Es ist jedoch höchst fraglich, ob dies vorliegend einschlägig wäre.

Die beim ULD eingegangenen Beschwerden wurden zuständigkeitshalber an die maltesische Aufsichtsbehörde, den Information and Data Protection Commissioner (IDPC), weitergeleitet. Von den maltesischen Kollegen bekamen wir zwischenzeitlich eine Mitteilung, dass ein Verantwortlicher gegen die Entscheidung des IDPC gerichtlich vorgegangen sei. Die maltesische Aufsichtsbehörde hat daher beschlossen, die Ermittlungen gegen diesen Verantwortlichen bis zum Abschluss der Entscheidung des Datenschutzgerichts auszusetzen. Zum gegenwärtigen Zeitpunkt ist nicht absehbar, wann und wie die Entscheidung ausfallen wird. Bis zum Ergehen der Entscheidung werden Auskunftsersuchen wahrscheinlich weiterhin im bisherigen Umfang beantwortet.

Das ULD informierte die betroffenen Beschwerdeführer über den geschilderten Verfahrensstand und bezüglich der Zuständigkeit des IDPC.

5.14        Weitergabe von Beschäftigtendaten an das Ordnungsamt

Ein ehemaliger Beschäftigter wandte sich an uns, da er ein Schreiben vom Ordnungsamt bekommen hatte, in dem ihm vorgeworfen wurde, die zulässige Höchstgeschwindigkeit überschritten zu haben. Der Beschwerdeführer vermutete, dass seine privaten Kontaktdaten von seinem ehemaligen Arbeitgeber bzw. dem Unternehmen, welches für die Verwaltung der Dienstwagen zuständig war, an das Ordnungsamt weitergegeben wurden. Der Beschwerdeführer gab jedoch an, dass er das Fahrzeug mit dem angegebenen KFZ-Kennzeichen nie selbst gefahren sei und er an dem Datum, an dem die Ordnungswidrigkeit begangen wurde, schon seit mehreren Monaten nicht mehr für das Unternehmen gearbeitet habe. Es stellte sich daher die Frage, aus welchem Grund seine Daten an das Ordnungsamt weitergegeben wurden, obwohl er als Fahrer des Fahrzeugs nicht in Betracht kam.

Grundsätze für die Verarbeitung personenbezogener Daten
Der Verantwortliche hat gemäß Art. 5 Abs. 1 Buchst. d DSGVO sicherzustellen, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).

Im Rahmen des eingeleiteten Verwaltungsverfahrens stellte sich heraus, dass es durch eine Verkettung von mehreren Versäumnissen zu der unberechtigten Weitergabe der Daten gekommen ist. Das besagte Unternehmen teilte mit, dass es sich bei dem fraglichen Fahrzeug um ein Poolfahrzeug handle. Dieses sei dem Beschwerdeführer als Verwalter zugeordnet gewesen, da das von ihm geführte Team das Fahrzeug nutzen konnte. Beim Ausscheiden des Beschwerdeführers aus dem Unternehmen sei zunächst vergessen worden, ihn aus der entsprechenden Datenbank als Verwalter zu löschen. Als dann das Schreiben vom Ordnungsamt kam, sei von der Sachbearbeitung übersehen worden, dass es sich um ein Poolfahrzeug handle. Es wurde daher einfach der in der Datenbank (fälschlicherweise) als Verwalter geführte Beschwerdeführer als Fahrer benannt, anstatt anhand des Fahrtenbuchs den tatsächlichen Fahrer des Poolfahrzeugs zu ermitteln.

Um diese Fehler zukünftig zu verhindern, ergänzte das Unternehmen die bestehende Arbeitsanweisung für die Rückgabe von Dienstfahrzeugen um den Punkt, dass auch weitere Dienstfahrzeuge im Verantwortungsbereich des jeweiligen Nutzers geprüft werden müssen. Zudem sei die geführte Datenbank übersichtlicher gestaltet worden, um leichter erkennen zu können, dass es sich um ein Poolfahrzeug handle. Die fälschlicherweise noch gespeicherten Daten des Beschwerdeführers wurden selbstverständlich unverzüglich gelöscht.

5.15        Bewerbungsgespräch mit unerwarteten Folgen

Im Laufe des Jahres meldete sich ein Betroffener und schilderte folgenden Sachverhalt:

PostIdent-Verfahren
Beim PostIdent-Verfahren handelt es sich um eine sichere Methode zur Identitätsprüfung für Onlineverträge (z. B. Handyvertrag, Kontoeröffnung), bei dem Mitarbeitende der Deutschen Post die Echtheit einer Person bestätigen – entweder persönlich in einer Postfiliale (mit Coupon und Ausweis), direkt bei der Person zu Hause durch einen Postboten (Übergabe von Dokumenten) oder modern über einen Videochat. Die Person legt ein gültiges Lichtbilddokument (Personalausweis, Reisepass) vor, die Daten werden abgeglichen und die Bestätigung wird digital an den Vertragspartner übermittelt.

Er habe sich bei einem Unternehmen auf einen Remote-Arbeitsplatz beworben. Er recherchierte zu dem Unternehmen und da ein Handelsregistereintrag und eine relativ seriöse Website existierte, sei er davon ausgegangen, dass es sich um ein vertrauenswürdiges Jobangebot handelte. Er habe zügig online ein Bewerbungsgespräch mit dem neuen Arbeitgeber geführt, wobei der Eindruck von Seriosität und Vertrauenswürdigkeit bestehen geblieben sei. Kurze Zeit später erhielt er eine Zusage, dass er die Stelle antreten könne. Der Petent sei für das Aufsetzen des Arbeitsvertrages darum gebeten worden, einige persönliche Unterlagen und Daten zu übersenden. Er sei dem nachgekommen und habe alle notwendigen Informationen zur Verfügung gestellt. Er bekam sodann einen Arbeitsvertrag und einen QR-Code. Mit dem QR-Code habe er auf Bitte des neuen Arbeitgebers zu einer Filiale der Deutschen Post Kontakt aufgenommen, um ein PostIdent-Verfahren durchzuführen.

Auch dies habe er gemacht, da ihm ein Laptop und Diensthandy in Aussicht gestellt worden sei. Er wartete sodann auf weitere Nachricht seines neuen Arbeitgebers, hörte jedoch nie wieder etwas von ihm. Nach einigen Tagen Funkstille sei er skeptisch geworden und habe sich im Internet informiert. Dort fand sich inzwischen eine Meldung der BaFin darüber, dass das Unternehmen, bei dem sich der Petent vermeintlich beworben habe, Opfer eines Identitätsdiebstahls geworden sei. Betrüger hätten sich die Identität des Unternehmens zu eigen gemacht und Tätigkeiten angeboten, die darin bestanden, auf den eigenen Namen ein Zahlungskonto zu eröffnen und dieses für Geldtransaktionen an Dritte zur Verfügung zu stellen.

Der Petent habe sich sodann umgehend an die Bank gewandt, die aus dem PostIdent-Coupon hervorging, und erfahren, dass er tatsächlich ein Konto eröffnet hätte, welches nun leider für Geldwäsche verwendet würde. Er ließ daraufhin umgehend das Konto sperren und wandte sich an die Strafverfolgungsbehörden. Zudem erhob er Beschwerde beim ULD, da die Verarbeitung seiner personenbezogenen Daten eine Verletzung der Artikel 5 und 6 DSGVO darstelle. Zudem bestehe die Befürchtung, dass die personenbezogenen Daten in betrügerischer Weise weiterverwendet werden könnten.

Das ULD konnte dem Petenten hier leider im Wesentlichen nicht behilflich sein, da sich die Betrüger nicht ausfindig machen ließen bzw. nicht ausreichend Anknüpfungspunkte für ein erfolgreiches datenschutzaufsichtsbehördliches Handeln vorlagen. Es gibt für Unternehmen auch kaum Möglichkeiten, sich vor Identitätsdiebstahl zu schützen. Es stellte sich beispielsweise heraus, dass die Website des Unternehmens gar nicht von dem Unternehmen selbst betrieben wurde, sondern von den Betrügern. Es sollte der Anschein von Seriosität und Vertrauen erweckt werden. Der Betrieb eines eigenen Webauftritts kann den parallelen Betrieb betrügerischer Webauftritte gegebenenfalls etwas erschweren, jedoch nicht gänzlich ausschließen.

Was ist zu tun?
Es ist immer höchste Vorsicht geboten, sobald Sie aufgefordert werden, im Rahmen von Arbeitsverhältnissen ein PostIdent-Verfahren durchzuführen. Aus dem PostIdent-Coupon ergibt sich stets der Vertragspartner, für welchen Sie sich legitimieren. Stimmt der Vertragspartner mit dem Namen des Arbeitgebers nicht überein, handelt es sich höchstwahrscheinlich um Betrug.

 

5.16        Gezielte Videoüberwachung mit Tonaufzeichnung von Beschäftigten

Aufgrund einer Beschwerde wurde die Videoüberwachung im Lager eines Unternehmens geprüft. Das Unternehmen gab an, dass im Lager neun Videokameras in Betrieb seien und auch die Tonaufnahmefunktion der Kameras aktiviert sei. Die Videoüberwachung solle zum einen der Prävention und der Aufklärung von Diebstählen sowie der Einhaltung von Brandschutzvorschriften dienen. Es habe seit einiger Zeit Verluste am Inventar und an Warenbeständen in Höhe von ca. 25.000 Euro gegeben, die man auf mögliche Diebstahlereignisse zurückführe. Ferner lege der Vermieter des Lagerhauses einen hohen Wert auf Einhaltung des Brandschutzes. Einzelne Mitarbeitende hätten jedoch gegen das absolute Rauchverbot mehrfach verstoßen. Aus diesen Gründen seien die Videokameras installiert worden, die 24 Stunden in Betrieb seien und die Aufnahmen für 14 Tage speichern. Zudem gebe es auch eine Echtzeitübertragung, auf die die Geschäftsführung Zugriff habe. Aus den übersandten Screenshots ging hervor, dass teilweise auch dauerhafte Arbeitsplätze der Beschäftigten erfasst waren. Die Mitarbeitenden hätten Einverständniserklärungen unterschrieben.

Die Videoüberwachung gestaltet sich gleich aus mehreren Gesichtspunkten problematisch. Zum einen kommt eine Einwilligung der Beschäftigten im Sinne von Art. 6 Abs. 1 Buchst. a DSGVO regelmäßig nicht als Rechtsgrundlage für eine Videoüberwachung in Betracht. Eine Einwilligung muss freiwillig abgegeben werden, d. h., die Betroffenen müssen eine echte und freie Wahl haben und die Einwilligung auch verweigern oder zurückziehen können, ohne Nachteile zu erleiden. Insbesondere aufgrund des besonderen Abhängigkeitsverhältnisses zwischen Arbeitgebern und Beschäftigten ist die Freiwilligkeit oft nicht gegeben. Hinzu kommt, dass die Einwilligung für eine Videoüberwachung nicht praktikabel ist, da eine Weigerung oder ein Widerruf dazu führen würde, dass der Verantwortliche die Videoüberwachung faktisch nicht mehr weiterbetreiben könnte. Vorliegend wurden die Beschäftigten jedoch nicht einmal über das Bestehen eines Widerrufsrechts informiert. Eine wirksame Einwilligung lag daher bereits aus diesem Grund nicht vor.

Fraglich blieb, ob der Verweis auf eine Diebstahlsprävention ausreichte, um einen Kameraeinsatz zu rechtfertigen. Danach dürfen personenbezogene Daten von Beschäftigten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind, was in der Interessenabwägung zu berücksichtigen ist. Das Unternehmen hat jedoch keine dokumentierten tatsächlichen Anhaltspunkte für den Verdacht von Diebstählen durch einen Beschäftigten oder einen eng eingrenzbaren Personenkreis von Beschäftigten vorgelegt. Auch fehlte es an einem Nachweis darüber, dass der behauptete Schaden in Höhe von 25.000 Euro tatsächlich entstanden ist. Gerechtfertigt wäre selbst bei entsprechenden Nachweisen häufig keine auf Dauer angelegte, sondern nur eine zeitlich begrenzte Videoüberwachung.

Zu prüfen war letztlich Art. 6 Abs. 1 Buchst. f DSGVO. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Die Verhinderung und Aufklärung von Diebstählen kann zwar ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO darstellen, jedoch fehlte es – wie oben bereits erwähnt – an Nachweisen dafür, dass tatsächlich ein Schaden in Höhe von 25.000 Euro entstanden ist. Ferner wurden außer der vermehrten Kontrolle durch Fachvorgesetzte keine milderen gleich geeigneten Maßnahmen ergriffen oder zumindest geprüft, um die vermuteten Diebstähle aufzuklären. So sind hier beispielhaft die Einsichtnahme in Personaleinsatzpläne, der Abgleich von Abwesenheits- und Anwesenheitslisten mit Warenverlusten oder stichprobenartige Tor- und Taschenkontrollen zu nennen. Nicht ausgeschlossen werden konnte vorliegend auch, dass für die Warenverluste gar keine Diebstähle, sondern eventuell Fehlbuchungen oder Ähnliches der Grund waren. Es fehlte daher bereits an der Erforderlichkeit der Videoüberwachung.

Selbst wenn die Erforderlichkeit gegeben wäre, überwiegten die Interessen der Beschäftigten im vorliegenden Fall. Eine Videoüberwachung stellt den denkbar intensivsten Eingriff in das Recht der Beschäftigten auf informationelle Selbstbestimmung dar. Eine Videoüberwachung ermöglicht es, das Gesamtverhalten der Beschäftigten zu beobachten (Monitoring) und reproduzierbar festzuhalten (Aufzeichnung). Das Unternehmen überwachte im Lager nicht nur die Regale mit der Ware, sondern auch Packtische, an denen die Beschäftigten dauerhaft arbeiteten und sich der Überwachung dadurch auch nicht entziehen konnten. Besonders erschwerend kam hinzu, dass die Tonaufnahmefunktion aktiviert war. Dies ging jedoch nicht aus den übersandten Einverständniserklärungen hervor, sodass davon auszugehen war, dass die Beschäftigten hierüber nicht transparent informiert wurden. Die Videoüberwachung war daher unverhältnismäßig und damit unzulässig. Daran konnte auch der zweite angegebene Zweck des Brandschutzes nichts ändern. Effektivere und wirksamere Mittel wären hier die vermehrte Installation von Rauchmeldern oder einer automatischen Feuerlöschanlage.

Tonaufzeichnung
Sofern eine Videoüberwachungskamera über eine Audiofunktion verfügt, ist diese zu deaktivieren. Andernfalls macht sich der Verantwortliche unter Umständen sogar nach § 201 Abs. 1 und Abs. 2 Strafgesetzbuch strafbar. Unter diesen Straftatbestand fällt das unbefugt heimliche Abhören oder Aufzeichnen des nichtöffentlich gesprochenen Wortes.

Das Unternehmen deaktivierte im Laufe des Verfahrens nach und nach einzelne Kameras, die insbesondere die dauerhaften Arbeitsplätze der Beschäftigten erfassten, und schaltete die Tonaufnahmefunktion ab.

Nachdem das Unternehmen darauf hingewiesen wurde, dass auch für die restlichen Kameras derzeit keine Rechtsgrundlage ersichtlich ist, da insbesondere kein Nachweis für den behaupteten Schaden erbracht wurde, deaktivierte das Unternehmen letztendlich auch die restlichen Kameras. Allerdings wurde dies nicht aus dem Grund getan, dass man die fehlende rechtliche Grundlage anerkannte. Vielmehr wurde als Begründung angeführt, dass es derzeit keine ausreichenden WLAN-Kapazitäten für die Kameras gebe und sie deshalb deaktiviert wurden. Das Unternehmen zeigte damit und auch in den vorherigen Stellungnahmen nur wenig Unrechtsbewusstsein.

Die gezielte Überwachung von den Beschäftigten an deren dauerhaften Arbeitsplätzen sowie die Tonaufzeichnung ohne eine rechtliche Grundlage stellten einen schweren datenschutzrechtlichen Verstoß dar, sodass das Verfahren an das zuständige Referat zur Prüfung der Einleitung eines Bußgeldverfahrens abgegeben wurde.

5.17        Datenpannen in der Wirtschaft – Meldungen nach Artikel 33 DSGVO

5.17.1    Zugang zu Räumen mit Generalschlüsseln

Mit großer Macht kommt große Verantwortung – das gilt auch für Inhaberinnen und Inhaber von Generalschlüsseln in Unternehmensgebäuden. Diesbezüglich erreichte uns im Frühjahr die Datenpannenmeldung eines Unternehmens. Inhalt der Meldung war ein Vorfall in den Räumlichkeiten der Personalabteilung, bei dem es zu einem unberechtigten Zutritt eines Technikers gekommen war.

Dieser Haustechniker erschien zu einem vereinbarten Termin in der Personalabteilung, wobei er das Büro der Sachbearbeiterin verschlossen vorfand. Da er zur Abholung von Unterlagen in der Personalabteilung erschienen war, nutzte er seinen Generalschlüssel, um sich selbst in den Räumlichkeiten nach den Unterlagen umzusehen. Dabei versicherte er im Nachhinein aber, nicht in die Schränke der Personalsachbearbeiterin, sondern lediglich auf die direkt einsehbaren Oberflächen geschaut zu haben.

Zwar war der Großteil der Unterlagen in verschlossenen Schränken sicher verstaut, dennoch lagen auch vereinzelt Unterlagen mit personenbezogenen Daten auf dem Schreibtisch der Mitarbeiterin, welche folglich theoretisch von dem Haustechniker hätten eingesehen werden können.

Trotz der Zurückhaltung des Technikers konnte eine unberechtigte Einsichtnahme in personenbezogene Daten nicht ausgeschlossen werden, welche aufgrund des hier betroffenen Fachbereichs auch teilweise von hoher Sensibilität gekennzeichnet waren. Im Rahmen der Aufarbeitung versicherte der Techniker an Eides statt, keine personenbezogenen Daten eingesehen zu haben.

Dennoch nahm das Unternehmen diesen Vorfall zum Anlass, um die eigenen organisatorischen Prozesse nachzubessern. Hierbei wurde u. a. das Schlüsselkonzept angepasst, um ein ähnlich gelagertes missbräuchliches Verwenden des Generalschlüssels zukünftig zu vermeiden.

Mit den von dem Unternehmen getroffenen Maßnahmen konnten wir das Verfahren abschließen.

Was ist zu tun?
Mit der Macht von Generalschlüsseln öffnen sich wortwörtlich Tür und Tor – leider auch für mögliche Datenschutzverletzungen. Mit klar definierten Zugriffsregelungen, Schlüsselkonzepten und flächendeckenden Schulungen der Mitarbeitenden kann aber auch diese Gefahr nachhaltig gebannt werden.

5.17.2    Besucherfotos aus Fotobox gespeichert

Fotografische Andenken an einen erlebnisreichen Ausflugstag können eine Bereicherung für die Besucherinnen und Besucher sein – solange sie auch nur für die jeweiligen Gäste persönlich zugänglich sind. Mit dieser Thematik beschäftigte sich ein Museum, das uns im vergangenen Jahr eine Datenpannenmeldung zukommen ließ.

Im Rahmen einer Veranstaltung wurde über zwei Tage für die Besucherinnen und Besucher eine Fotobox aufgestellt, in welcher diese Bilder von sich in Verkleidungen selbstauslösend erstellen und direkt ausdrucken konnten. Soweit alles im Rahmen datenschutzrechtlicher Grenzen. Allerdings wurden die Bilder im Nachgang durch den externen Anbieter der Fotobox gespeichert und dem Museum über einen Link zur Verfügung gestellt, um auf Wunsch Bilder von dessen Systemen herunterzuladen. Dieser Link wurde an die Mitarbeitenden des Museums versandt, da sich auch einige Mitarbeitenden selbst haben fotografieren lassen und ein Interesse an der digitalen Version der Bilder bestand. Allerdings wurden damit auch alle Bilder der Besucherinnen und Besucher zur Verfügung gestellt.

Da sich die Gäste der Veranstaltung die Bilder direkt nach Anfertigung ausdrucken und mitnehmen konnten, sahen wir keinen begründbaren Zweck in der weiteren Speicherung der Aufnahmen.

Im Rahmen des Verfahrens wurden alle Mitarbeitenden, die den Link zu den Aufnahmen bekommen hatten, aufgefordert, diesen Link und alle Downloads der Bildmaterialien zu löschen. Des Weiteren wurde der Link gesperrt, sodass kein Zugriff mehr möglich war. Ergänzend hierzu wurden die Mitarbeitenden diesbezüglich erneut sensibilisiert.

Unter der Voraussetzung, dass bei künftigen Nutzungen derartiger Fotoboxen eine Speicherung von Bildaufnahmen von Beginn an deaktiviert wird, konnten wir den Vorgang abschließen.

Was ist zu tun?
Der Grundsatz der Datenminimierung zieht seine Kreise auch im Bereich vermeintlich harmloser Freizeitangebote. Ein kritisches Hinterfragen von Speicheroptionen bei Besucherangeboten wie Fotoboxen ist daher ein zu beachtender Schritt in der Veranstaltungsplanung. So garantieren Sie eine Veranstaltung, die zwar den Besucherinnen und Besuchern, aber nicht Ihrem Datenschutzbeauftragten in Erinnerung bleibt.

 

5.18        Videoüberwachung

5.18.1    Allgemeine Entwicklungen

Immer mehr Personen fühlen sich im Alltag durch Videoüberwachungskameras beeinträchtigt. Im Vergleich zum Vorjahr ist die Anzahl von Beschwerden über Videoüberwachungsanlagen um rund 25 Prozent gestiegen. Seit mehreren Jahren nehmen diese Zahlen ständig zu. Ein aktueller Austausch der Aufsichtsbehörden im Arbeitskreis Videoüberwachung der Datenschutzkonferenz ergab, dass auch die Aufsichtsbehörden der anderen Länder und des Bundes stetig steigende Fallzahlen im Bereich der Videoüberwachung zu verzeichnen haben.

Der Großteil der bei uns eingegangenen Beschwerden richtet sich gegen nichtöffentliche Stellen. Dies umfasst insbesondere Beschwerden gegen die Videoüberwachung durch Unternehmen sowie durch Privatpersonen in ihrem häuslichen Umfeld. Rund zwei Drittel der Beschwerden richten sich gegen Videoüberwachungsanlagen im nachbarschaftlichen Kontext. Nach unserer Beobachtung liegt der hauptsächliche Grund für den Anstieg der Beschwerden in der zunehmenden Verbreitung von Videoüberwachungsanlagen auf Privatgrundstücken durch ein immer größer werdendes Angebot an günstigen und einfach handhabbaren Kameras.

Die Beschwerdeführenden sind zumeist Nachbarn aus dem direkten Umfeld, die in der Regel eine Überwachung von Nachbargrundstücken und/oder des öffentlichen Raumes vermuten und sich durch die Installation in ihren Rechten verletzt fühlen. Für Außenstehende ist der exakte Erfassungsbereich einer Kamera selten klar wahrnehmbar. Man kann nicht erkennen, ob benachbarte Flächen oder der öffentliche Raum erfasst werden, sodass ein Überwachungsdruck entstehen kann. Von Bedeutung ist in diesem Zusammenhang, dass allein das Vorhandensein und die Ausrichtung einer Videoüberwachungskamera noch keinen datenschutzrechtlichen Verstoß begründet. Durch das Ergreifen technischer Maßnahmen, beispielsweise mit einer Schwärzungs- oder Verpixelungsfunktion, können benachbarte Flächen von der Erfassung ausgenommen und eine Videoüberwachung im häuslichen Umfeld datenschutzkonform betrieben werden.

Im Rahmen unserer Befugnisse können wir Videoüberwachungsanlagen nur auf Grundlage des Datenschutzrechts, in erster Linie nach der DSGVO, bewerten. Die von der Videoüberwachung beeinträchtigten Persönlichkeitsrechte der betroffenen Personen – z. B. im Fall eines gefühlten Überwachungsdrucks – sind parallel durch das Zivilrecht geschützt. Unabhängig von der datenschutzrechtlichen Bewertung einer Videoüberwachung können zivilrechtliche Abwehr- und Unterlassungsansprüche bestehen. Zur Überprüfung etwa bestehender derartiger Ansprüche müssen die Beschwerdeführenden Klage einreichen; dies liegt in der Verantwortung der Zivilgerichte und nicht beim ULD.

Neben den Beschwerden über Videoüberwachung im nachbarschaftlichen Kontext hat meine Dienststelle eine Vielzahl an Beschwerden erhalten, die sich u. a. auf die Videoüberwachung in Sportvereinen, Reitanlagen und Kleingärten, in Taxis, in Restaurants und in Schwimmbädern beziehen. Auch bei diesen Beschwerden zeigt sich insbesondere die Problematik der fehlenden Transparenz: Für die Beschwerdeführenden sind die überwachten Bereiche nicht klar erkennbar, sodass Unsicherheiten entstehen. Häufiger Beschwerdegegenstand ist in diesem Zusammenhang eine nicht vorhandene oder nicht ausreichende Hinweisbeschilderung. Im Rahmen der Verfahren erwirken wir sodann u. a. die Installation einer rechtskonformen Hinweisbeschilderung.

Neben der Bearbeitung von Beschwerden haben wir in diesem Jahr im Bereich der Videoüberwachung auch diverse Beratungen vorgenommen. Hierzu gehörte im öffentlichen Bereich u. a. die Beratung von Kommunen, beispielsweise zu einer geplanten Videoüberwachung von Schulen oder anderen öffentlichen Einrichtungen. Im nichtöffentlichen Bereich erstreckten sich die Beratungen zu einem Großteil auf die Videoüberwachung im häuslichen Umfeld.

5.18.2    Zwischen Tomaten und Technik – Videoüberwachung in Kleingärten

Dieses Jahr haben uns mehrere Beschwerden erreicht, die sich auf Videoüberwachungskameras in Parzellen von Kleingärten beziehen. Betreiber der in Rede stehenden Videoüberwachungskameras sind die jeweiligen Pächterinnen und Pächter der Parzellen. Beschwerdeführende sind regelmäßig die direkt angrenzenden Pächterinnen und Pächter („Nachbarn“), die den genauen Erfassungsbereich der Kameras nicht erkennen können und sich durch die Installation in ihren Rechten verletzt sehen.

Die Gründe für die Installation von Videoüberwachungskameras in Kleingartenparzellen liegen häufig darin, den eigenen Besitz, insbesondere in Zeiten der Abwesenheit, zu sichern.

Wie die Videoüberwachung des selbst bewohnten privaten Grundstücks unterfällt die Videoüberwachung einer gepachteten Kleingartenparzelle in der Regel nicht der Datenschutz-Grundverordnung. Dies liegt daran, dass die DSGVO nicht für die Datenverarbeitung für persönliche oder familiäre Tätigkeiten gilt. Bei der Überwachung der allein oder mit der Familie genutzten Parzelle handelt es sich um eine solche persönliche oder familiäre Tätigkeit, sodass die Anforderungen der DSGVO nicht berücksichtigt werden müssen. Insofern sollte bei der Installation einer Kamera dafür Sorge getragen werden, dass nur die eigene Parzelle erfasst wird. Darüber hinausgehende Bereiche wie angrenzende Parzellen oder gemeinschaftlich genutzte Flächen müssen beispielsweise durch Schwärzung von der Erfassung ausgenommen werden. Die Überwachung von angrenzenden Parzellen oder gemeinschaftlich genutzten Flächen durch Pächterinnen und Pächter ist grundsätzlich unzulässig.

In den von uns überprüften Fällen haben wir keine Verstöße gegen das Datenschutzrecht festgestellt. Auch wenn teilweise Kameras auf benachbarte Parzellen oder Gemeinschaftsflächen ausgerichtet zu sein schienen, konnte stets nachgewiesen werden, dass nur die eigene Parzelle mit Bude, Pool oder Beeten erfasst war. In diesen Fällen, in denen das Datenschutzrecht eingehalten wird, machen wir zusätzlich darauf aufmerksam, dass die Pächterinnen und Pächter schon durch die sichtbare Ausrichtung einer Kamera Sorge dafür tragen sollten, dass sich angrenzende „Nachbarn“ und Nutzerinnen und Nutzer von Gemeinschaftsflächen und des angrenzenden öffentlichen Raums nicht durch die Kamera beeinträchtigt fühlen.

5.18.3    Kamera an Bord – Videoüberwachung in Taxis

Nach einer Feier schnell und sicher nach Hause? In dieser Situation nehmen sich wohl viele Personen ein Taxi – das ist ja meist eine schnelle und sichere Beförderungsmöglichkeit. Aber gehört hierzu auch, dass man als Gast im Fahrgastraum von einer Videoüberwachungskamera beobachtet wird?

Das ULD hat in diesem Jahr mehrere Hinweise und Beschwerden zu Videoüberwachungskameras in Taxis erhalten. In all diesen Eingaben wurde beschrieben, dass mindestens eine Videoüberwachungskamera auf den Fahrgastraum gerichtet war und so zumindest der Eindruck einer Überwachung entstanden ist.

In einem Fall erreichte uns eine Beschwerde eines Fahrgastes, der nach dem Besuch einer Feier gemeinsam mit Freunden die Heimfahrt in einem Großraumtaxi angetreten hatte. Er teilte uns mit, dass im Fahrgastraum eine Kamera installiert gewesen sei, ohne dass es dazu eine Information per Hinweisschild gegeben hätte.

Im Rahmen des aufsichtsbehördlichen Verfahrens hat sich gezeigt, dass die in Rede stehende Kamera in dem Großraumfahrzeug vom Fahrzeughersteller serienmäßig verbaut ist und dem Fahrer die Möglichkeit bietet, den hinteren Fahrgastraum über ein Display einzusehen. Im Verfahren wurde von dem Verantwortlichen vorgetragen, dass die Kamera dauerhaft deaktiviert sei und daher nicht zum Einsatz komme. Zudem wies er seine Bemühungen nach, die Kamera deinstallieren zu lassen.

In diesem aufsichtsbehördlichen Verfahren wurde die in Rede stehende Kamera daher mit einer Attrappe gleichgesetzt, da durch die dauerhafte Deaktivierung keine Datenverarbeitung stattfand. Dies hat zur Einstellung des Verfahrens geführt. Damit verbunden haben wir empfohlen, im Fahrgastraum auf die Deaktivierung der Kamera hinzuweisen. Unabhängig von der konkreten Konfiguration kann von einer solchen Videokamera ein Überwachungsdruck ausgehen, durch den die Rechte und Freiheiten der betroffenen Personen eingeschränkt werden können.

Art. 6 Abs. 1 Buchst. f DSGVO
Die Verarbeitung personenbezogener Daten ist gemäß Art. 6 Abs. 1 Buchst. f DSGVO rechtmäßig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Generell zeigte sich auch bei weiteren Hinweisen betreffend Kameras in Taxis, die uns erreicht haben, die folgende Lage: Auf der einen Seite stehen betroffene Fahrgäste, die sich während der Fahrt von der Kamera überwacht fühlen und in deren Rechte eingegriffen wird. Auf der anderen Seite stehen Taxi-Unternehmer und das Fahrpersonal, welche die Kamera zur Abschreckung von Gewalt, Diebstahl und Vandalismus sowie zum Schutz vor Übergriffen und das gewonnene Videomaterial zur Aufklärung etwaiger Vorfälle nutzen möchten.

Eine Videoüberwachung in einem Taxi kann auf der Grundlage des Art. 6 Abs. 1 Buchst. f DSGVO rechtmäßig betrieben werden. Eine anlasslose, permanente Überwachung des Fahrgastraumes wird jedoch regelmäßig als unzulässig bewertet. Insofern haben wir in den vorliegenden Fällen darauf hingewirkt, dass die dauerhafte Überwachung unterbleibt. Zulässig hingegen ist eine anlassbezogene, zeitlich begrenzte Überwachung, die manuell von der Taxifahrerin oder dem Taxifahrer in einer mutmaßlichen Gefahrensituation ausgelöst werden kann.

Auch bei der Videoüberwachung in Taxis müssen die Informationspflichten nach Artikel 13 DSGVO beachtet werden. Auf die Videoüberwachung muss in geeigneter Weise hingewiesen werden. In der Praxis erfolgt dies über eine Hinweisbeschilderung im Fahrgastraum.

5.18.4    Privatsphäre auf dem Teller – Videoüberwachung in Restaurants

Immer wieder erhalten wir Anfragen und Beschwerden zu Videoüberwachungskameras in Restaurants. In aller Regel richten sich die Beschwerden gegen Videoüberwachungskameras, die im Gastraum installiert sind. So erreichte uns auch in diesem Jahr eine Beschwerde, die sich gegen eine Videoüberwachung im Innen- und Außenbereich eines Restaurants richtete. Ein Gast des Restaurants fühlte sich von den Kameras beobachtet, insbesondere während des Bezahlprozesses bei der Eingabe seiner PIN.

Aufgrund der Schilderungen des Beschwerdeführers wurde ein aufsichtsbehördliches Verfahren eingeleitet, um zu prüfen, ob die in Rede stehende Videoüberwachung rechtmäßig war. Im Laufe des Verfahrens zeigte sich, dass der Verantwortliche aufgrund verschiedener Vorkommnisse – wie z. B. Einbrüchen, Diebstählen und Vandalismus – neben einer Alarmanlage und Glasbruchmeldern eine Vielzahl an Kameras auf seinem weitläufigen Gelände installiert hat. Aus diesem Grund entschieden wir uns in diesem konkreten Fall für eine Datenschutzprüfung vor Ort, insbesondere um alle relevanten Informationen direkt bei dem Verantwortlichen erheben zu können.

Die Prüfung vor Ort ergab, dass die in Rede stehende Videoüberwachung grundsätzlich rechtmäßig betrieben wurde. Jedoch bedurfte es zur Herstellung eines vollumfänglichen datenschutzkonformen Zustandes einzelner Anpassungen. Hierzu gehörte u. a., dass Tische, die zum längerfristigen Verweilen einladen, mindestens während der Betriebszeiten von der Erfassung ausgenommen werden. Der Verantwortliche setzte dies sogleich um, sodass eine konstruktive Zusammenarbeit zur Herstellung eines datenschutzkonformen Zustandes führte.

Generell gilt, dass eine Videoüberwachung einen starken Eingriff in das allgemeine Persönlichkeitsrecht der betroffenen Personen darstellt. Gäste eines Restaurants haben grundsätzlich ein Interesse daran, dass ihr Verhalten nicht von einer Videokamera erfasst und aufgezeichnet wird. Dies gilt besonders in öffentlich zugänglichen Räumen, in denen sich Personen typischerweise länger aufhalten und/oder miteinander kommunizieren.

Dies führt dazu, dass die Videoüberwachung von Sitzgelegenheiten während der Betriebszeiten in der Regel unzulässig ist. Ebenso ist die Videoüberwachung von Bereichen, die für das Personal zum Verrichten dauerhafter Arbeiten geeignet sind, regelmäßig unzulässig. Gegen eine Videoüberwachung dieser Bereiche außerhalb der Betriebszeiten, beispielsweise zum Einbruchschutz, bestehen üblicherweise keine Bedenken.

Die Erfassung von Eingangs- und Durchgangsbereichen stellt sich mit entsprechender Begründung der Erforderlichkeit hingegen oft als unproblematisch dar. Hierbei handelt es sich um Bereiche, in denen sich Gäste und auch das Personal in der Regel nur kurzfristig aufhalten, sodass von einer geringeren Eingriffsintensität auszugehen ist und die Persönlichkeitsrechte weniger stark beeinträchtigt werden.

5.19        Geldbußen für Datenschutzverstöße

5.19.1    Analyse von Kundendaten zu Werbezwecken mit Smart-Data-Verfahren

Im Berichtszeitraum wurde je eine Geldbuße gegen drei schleswig-holsteinische Kreditinstitute verhängt. Diese hatten unbefugt personenbezogene Daten von Kundinnen und Kunden zum Zweck der Profilbildung für zielgerichtete Werbemaßnahmen verarbeitet. In diesem Zusammenhang hatten die Kreditinstitute einem externen Dienstleister für die Entwicklung von Analyse- und Prognosemodellen mehrere Tausend Datensätze ihrer Kundinnen und Kunden zur Verfügung gestellt. Durch den Dienstleister wurden u. a. Zahlungsdaten, Stammdaten sowie Daten zum Wohnumfeld der Kundinnen und Kunden analysiert. Die Analyse zielte darauf ab zu ermitteln, welche Kundinnen und Kunden besonders affin für spezifische Produkte des jeweiligen Kreditinstituts sein könnten. Die Ergebnisse der Analysen wurden den drei Kreditinstituten zur Verfügung gestellt. Auf der Grundlage dieser Berechnungsergebnisse sollte im nächsten Schritt eine gezielte werbliche Ansprache der Kundinnen und Kunden erfolgen.

Zu einer Nutzung der Daten und zu Werbemaßnahmen war es nicht mehr gekommen, weil die Kreditinstitute das Verfahren aufgrund der Warnung einer Datenschutzaufsichtsbehörde eines anderen Landes beendet hatten.

Gleichwohl gab es für die bereits erfolgte Analyse der Kundendaten keine rechtliche Grundlage – insbesondere lagen keine wirksamen Einwilligungen vor. Damit haben die drei Kreditinstitute gegen die Datenschutz-Grundverordnung verstoßen. Aufgrund der Verstöße wurden Geldbußen gegen die drei Kreditinstitute in einer Gesamthöhe von mehr als 250.000 Euro verhängt.

5.19.2    Veröffentlichung von Patientendaten durch einen Arzt in einer Antwort auf eine Internetrezension

Ein Arzt erhielt eine negative Bewertung im Internet. Die Bewertung wurde von der Lebensgefährtin eines seiner Patienten unter einem Pseudonym erstellt. Der Arzt verfasste hierauf eine ausführliche Antwort und ging darin auf die einzelnen Kritikpunkte ein. Die Antwort wurde unter der Rezension ebenfalls im Internet veröffentlicht. In der Antwort sprach er die Verfasserin der Rezension mit ihrem vollen Vor- und Nachnamen an und nannte außerdem den Nachnamen und die Initiale des Vornamens des Patienten. Damit konnten alle Informationen zur Erkrankung und Behandlung des Patienten, die der Arzt in seiner Antwort schilderte, dem Patienten zugeordnet werden. Dies gilt genauso für die Informationen aus der ursprünglichen Rezension. Es lag also eine Veröffentlichung personenbezogener Daten vor, und da Informationen über eine Erkrankung und deren Behandlung enthalten waren, handelte es sich dabei um Gesundheitsdaten.

Die Veröffentlichung war rechtswidrig, da hierfür keine Rechtsgrundlage bestand. Zwar hatte der Arzt grundsätzlich ein berechtigtes Interesse, auf eine negative Bewertung zu antworten und seine Sichtweise darzustellen. Hierfür war aber die Offenlegung der Personendaten des Patienten nicht notwendig und damit nach der Datenschutz-Grundverordnung nicht erlaubt.

Wegen des Verstoßes haben wir gegen den Arzt eine Geldbuße verhängt. Parallel zu unserem Bußgeldverfahren hat der Patient auf dem Zivilrechtsweg eine Entschädigung durch den Arzt erstritten. Dies haben wir in unserem Bußgeldverfahren berücksichtigt. Die Schadensersatzzahlung hat sich mindernd auf die Höhe der von uns verhängten Geldbuße ausgewirkt.

Was ist zu tun?
Stellungnahmen zu Bewertungen im Internet sind grundsätzlich legitim. Sie dürfen grundsätzlich aber keine personenbezogenen Daten zu der Verfasserin oder dem Verfasser der Rezension oder zu Dritten enthalten. Ist die Person, die die Rezension erstellt hat, unbekannt, darf auch die Antwort auf die Bewertung keine Rückschlüsse auf ihre Identität ermöglichen. Auch wenn die Verfasserin oder der Verfasser der Rezension ihre oder seine Identität selbst offengelegt hat, ist Vorsicht geboten. Es muss darauf geachtet werden, dass durch die Antwort nicht weitere Informationen zu ihr oder ihm oder zu anderen identifizierbaren Personen offenbart werden.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel