5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.10 Löschung aller Daten einer Kategorie in Datenbank mangels Erforderlichkeit Aufgrund einer Beschwerde wurde das ULD                  Nach den Vorgaben der DSGVO müssen perso- darauf aufmerksam, dass ein Kreditinstitut bei           nenbezogene Daten dem Zweck angemessen der Erhebung personenbezogener Daten in                  und erheblich sowie auf das für die Zwecke der einer laufenden Geschäftsbeziehung eine Daten-           Verarbeitung notwendige Maß beschränkt sein. kategorie abgefragt hat, ohne zu überprüfen,             Der Verordnungsgeber hat hierbei den Daten- ob diese Kategorie für die Geschäftsbeziehung            minimierungsgrundsatz normiert. Damit im erforderlich ist oder nicht.                             Zusammenhang steht, dass nur die zur Zweck- erfüllung erforderlichen personenbezogenen Im konkreten Fall führte das Kreditinstitut für          Daten erhoben werden dürfen. Bezüglich der einen einzelnen Kunden ein Konto. Hinsichtlich           Angabe des Familienstandes konnte nicht fest- der Kontoführung konnten vonseiten des Kun-              gestellt werden, dass deren Verarbeitung für die den keine besonderen Wünsche festgestellt                weitere Kontoführung erforderlich ist. werden. Insbesondere bat der Kunde nicht um die Gewährung eines Darlehens. Die Konditio-             Im Verlauf der Ermittlungen hat sich gezeigt, nen für die Kontoführung sollten nicht verän-            dass diese Erhebungspraxis nicht auf einen dert werden.                                             Einzelfall beschränkt war, sondern entsprechen- de Prozesse global implementiert waren. Das Gleichwohl bat das Kreditinstitut den Kunden             Kreditinstitut hat nach Mitteilung der Rechts- um Übermittlung seines Familienstandes. Im               auffassung des ULD ihre Prozesse angepasst Rahmen der Prüfung des Sachverhalts stellte              und verzichtet nun auf die Abfrage, Erhebung das ULD fest, dass der Kunde kein Gemein-                und Speicherung der Angabe in den Fällen, in schaftskonto mit seiner Ehefrau führt, infolge-          denen die Erforderlichkeit dieser Angabe nicht dessen auch nicht die Stellung gemeinsamer               festgestellt wurde. Freistellungsaufträge von Bedeutung war, der Kunde keine minderjährige Person ist und auch kein Kreditrahmen ausgeschöpft oder erweitert werden sollte. Was ist zu tun? Kreditinstitute müssen stets prüfen, ob die Erhebung personenbezogener Daten von Kunden und auch von Interessenten erforderlich ist, um etwa eine gesetzliche Vorgabe zu erfüllen oder um eine laufende Kundenbeziehung weiter zu betreuen, indem z. B. ein Kontoführungsvertrag erfüllt wird. 5.4.11 Umgang mit Bewerbungsdaten Immer wieder erreichen das ULD Eingaben zum              lung der Fälle für die Entscheidung der Begrün- Thema „Aufbewahrung von eingeschickten oder              dung von Beschäftigungsverhältnissen auf die ausgedruckten Bewerbungsdaten“. Im Bereich               vertrauten Anwendungsfälle zurückgegriffen der Beschäftigtendaten hat der Bundesgesetz-             werden. Die Bewerbung fällt daher als Teil der geber mit § 26 Abs. 1 BDSG-neu eine dem § 32             Begründung eines Beschäftigungsverhältnisses Abs. 1 BDSG-alt vergleichbaren Erlaubnistatbe-           in den Anwendungsbereich der oben genann- stand geschaffen. Insoweit kann bei der Beurtei-         ten Normen. 100        TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT sind dann nicht hinreichend geschützt, wenn Beschäftigtendatenschutz für Bewerbende nicht nur das zugriffsberechtigte Personal, son- dern auch andere Beschäftigte oder gar Dritte Für Bewerberinnen und Bewerber gelten die darauf Zugriff nehmen können. datenschutzrechtlichen Bestimmungen des Beschäftigtendatenschutzes. Arbeitgeber sind    Generell darf der potenzielle Arbeitgeber die gehalten, die Zulässigkeit der Aufbewah-        Unterlagen eines abgelehnten Bewerbers fünf rung von Bewerbungsunterlagen zu prüfen.        Monate lang aufbewahren (§ 61 Abs. 1 Arbeits- gerichtsgesetz in Verbindung mit § 21 Abs. 4 Allgemeines Gleichbehandlungsgesetz). Die Er- Bewerbungsunterlagen, wie z. B. Bewerbungs-        forderlichkeit der Speicherung nach Abschluss mappen, enthalten die personenbezogenen            eines Bewerbungsverfahrens endet daher in der Daten der sich bewerbenden Person. Bewerber        Regel spätestens nach fünf Monaten. Bewerber für ein Beschäftigungsverhältnis gelten nach       können die Rückgabe ihrer Unterlagen und den gesetzlichen Vorgaben als Beschäftigte. Bei    Löschung elektronischer Daten gemäß Art. 17 Bewerberdaten handelt es sich um personenbe-       Abs. 1 DSGVO verlangen, wenn die personen- zogene Daten von Beschäftigten, die nur für        bezogenen Daten für die Zwecke, für die sie Zwecke des Beschäftigungsverhältnisses verar-      erhoben oder auf sonstige Weise verarbeitet beitet werden dürfen, wenn dies für die Ent-       wurden, nicht mehr notwendig sind. Nach scheidung über die Begründung eines Beschäf-       Beendigung der Bewerbung wird dies in der tigungsverhältnisses oder nach Begründung des      Regel der Fall sein. Beschäftigungsverhältnisses für dessen Durch- führung oder Beendigung oder zur Ausübung          Bewerber haben aber unabhängig davon die oder Erfüllung der sich aus einem Gesetz oder      Möglichkeit, dem potenziellen Arbeitgeber eine einem Tarifvertrag, einer Betriebs- oder Dienst-   Einwilligung zur weiteren Aufbewahrung der vereinbarung (Kollektivvereinbarung) ergeben-      Bewerbungsunterlagen zu erteilen, indem etwa den Rechte und Pflichten der Interessenver-        eine Berücksichtigung der Bewerbung für ein tretung der Beschäftigten erforderlich ist.        zukünftiges Bewerbungsverfahren gewünscht wird. Soweit Bewerber dem Unternehmen eine Für die Aufbewahrung der Unterlagen gelten         Einwilligung zur Verarbeitung gemäß Art. 6 die allgemeinen Anforderungen der Sicherheit       Abs. 1 Buchst. a DSGVO erteilt haben, können der Verarbeitung gemäß Artikel 32 DSGVO. Der       sie diese gemäß Art. 17 Abs. 1 Buchst. a DSGVO Arbeitgeber oder die Vermittlungsagentur hat       auch widerrufen oder, soweit das Unternehmen daher angemessene technische und organisato-       ein berechtigtes Interesse (Art. 6 Abs. 1 Buchst. f rische Maßnahmen zu treffen, die die Bewer-        DSGVO) an der Speicherung geltend macht, bungsunterlagen angemessen schützen. In            dem widersprechen. einem Büro offen herumliegende Unterlagen 5.4.12 Erhebung von Lichtbildern im Rahmen der Zeiterfassung Im Rahmen der umfassenden Digitalisierung          jeweils ein Lichtbild seiner Beschäftigten erhebt der Arbeitswelt stellt sich vermehrt die Frage,    und diese weder über den Zweck der Verarbei- ob die vom Arbeitgeber immer zahlreicheren         tung noch über die Speicherdauer und die Nut- Datenerhebungen tatsächlich für die Zwecke         zung der Lichtbilder informiert habe. des Beschäftigungsverhältnisses erforderlich sind. Arbeitgeber dürfen lediglich die für die betrieb- Ende 2017 ging beim ULD eine Beschwerde ein,       lichen Zwecke erforderlichen Daten über ihre in der von einer Arbeitnehmerin beklagt wurde,     Beschäftigten verarbeiten. Da die geleistete dass ihr Arbeitgeber im Rahmen der Zeiterfas-      Arbeitszeit Grundlage für die Bemessung des sung zu Beginn und am Ende des Arbeitstages        Entgeltanspruches ist, haben Arbeitgeber grund- TÄTIGKEITSBERICHT 2019 DES ULD           101

5 DATENSCHUTZ IN DER WIRTSCHAFT sätzlich die Befugnis, die Arbeitszeit der Arbeit-       fassung eingeführt wurde. Einer solchen Be- nehmer zu erfassen. Dies erfolgt in der Regel            gründung kann aber lediglich in Einzelfällen für mit Stech- oder Magnetkarten.                            befristete Zeiträume gefolgt werden, wenn es bereits einen Missbrauch gegeben hat oder es Im Rahmen der Abwägung einer Erforderlichkeit            zumindest konkrete Verdachtsfälle für einen einer weiter gehenden Erhebung eines Lichtbil-           Missbrauch gibt und alle gegebenenfalls beste- des im Rahmen der Zeiterfassung sind das                 henden milderen Mittel bereits ausgeschöpft Recht auf informationelle Selbstbestimmung               wurden. des Beschäftigten und der Grundsatz der Daten- minimierung zu beachten.                                 Der Arbeitgeber hat bei der Verarbeitung von personenbezogenen Daten seine Informations- und Transparenzpflichten auch gegenüber Grundsatz der Datenminimierung seinen Beschäftigten zu beachten und diese insbesondere über den jeweiligen Zweck, die Der Umfang der erhobenen personenbezo- Speicherdauer und die bestehenden Rechte genen Daten muss dem Zweck angemessen betroffener Personen zu informieren. sowie auf das für den Zweck der Verarbei- tung notwendige Maß beschränkt sein.                  Das betroffene Unternehmen hat in dem vorlie- genden Fall die Erhebung der Lichtbilder im Rahmen der Zeiterfassung bereits im Anhö- Das Unternehmen teilte im Rahmen der Anhö- rungsverfahren umgehend abgeschaltet und rung mit, dass das Verfahren zur generellen mitgeteilt, auch zukünftig von einer Erhebung Vermeidung von Missbräuchen an der Zeiter- von Lichtbildern abzusehen. Was ist zu tun? Der Arbeitgeber hat zu prüfen, ob die Verarbeitung der entsprechenden Daten für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die bestehenden Informations- und Transparenzpflichten sind gegenüber den betroffenen Beschäftigten einzuhal- ten. Auch der Abschluss von Kollektivvereinbarungen kann ein adäquates Mittel zur Schaffung einer Grundlage für eine rechtmäßige Verarbeitung darstellen. 5.4.13 GPS-Überwachung von Außendienstmitarbeitern Ein weiterer Fall, der sich im Rahmen der Digita-        Auch beim Betrieb von GPS-Ortungssystemen lisierung der Arbeitswelt und der Auswirkung             ist wiederum der Grundsatz der Datensparsam- auf die Beschäftigten ereignete, bezog sich auf          keit zu beachten. Es dürfen auch hier lediglich den Einsatz von GPS-Ortungssystemen in Mon-              die für die betrieblichen Zwecke erforderlichen tagefahrzeugen.                                          Daten erhoben werden. Eine Erhebung von überflüssigen Daten, die beispielsweise bei Ein Beschwerdeführer beklagte, dass das ein-             einer erlaubten Privatnutzung von Fahrzeugen gesetzte System neben den Standortübertra-               anfallen können, ist unzulässig. gungen u. a. auch zahlreiche weitere Fahrzeug- daten, wie beispielsweise den Stand der Zün-             Der Arbeitgeber teilte im Anhörungsverfahren dung, an den Arbeitgeber übermittelte und eine           mit, dass er die Daten für die Disposition und Vielzahl von Kollegen auf diese Daten zugreifen          zur Erstellung von Serviceberichten für seine konnten.                                                 Kunden benötigen würde, konnte in diesem 102        TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT Zusammenhang aber nicht erläutern, warum          gungserklärung des Beschäftigten gestützt hierfür eine permanente GPS-Ortung, die           werden, da nicht von der für eine wirksame genaue Route und die Erhebung der Fahrge-         Einwilligung erforderlichen Freiwilligkeit ausge- schwindigkeit sowie des Zündungsstandes           gangen werden kann. erforderlich sei. In den erwähnten Servicebe- richten wurden lediglich die Fahr-, Arbeits- und  Im Rahmen der bestehenden Informations- und Pausenzeiten sowie eine Gesamtkilometeranga-      Transparenzpflichten hat der Arbeitgeber im be aufgeführt, die von den betroffenen Mitar-     Falle des Einsatzes eines entsprechenden Sys- beitern auch problemlos ohne ein GPS-             tems seine Beschäftigten u. a. über den Erhe- Ortungssystem erhoben werden können.              bungszweck und -umfang sowie über die bestehenden Betroffenenrechte und die Spei- cherdauer in transparenter Weise zu informie- Achtung: Datenschutz-Folgenabschätzung ren und in diesem Zusammenhang auch mitzu- teilen, aufgrund welcher Anlässe durch wen ein Für eine rechtmäßige Fahrzeugdatenverar- Zugriff auf die erhobenen Daten erfolgt. Auch beitung und Geolokalisierung von Beschäf-      der Abschluss einer Betriebsvereinbarung kann tigten kann eine Datenschutz-Folgenab-         in diesem Zusammenhang hilfreich und gebo- schätzung erforderlich sein.                   ten sein. Nachdem um Vorlage des entsprechenden Beim Einsatz entsprechender Systeme ist darauf    Verarbeitungsverzeichnisses und um Mitteilung zu achten, dass Beschäftigte keinem permanen-     gebeten wurde, inwieweit der betriebliche ten Kontrolldruck ausgesetzt sein dürfen und      Datenschutzbeauftragte überhaupt an der Ein- daher GPS-Ortungssysteme, mit denen das           führung des Verfahrens beteiligt wurde, stellte Arbeitsverhalten von Beschäftigten permanent      das Unternehmen den Betrieb des GPS- kontrolliert wird, datenschutzrechtlich unzuläs-  Ortungssystems ein und kündigte an, nunmehr sig sind. Ein entsprechender Einsatz eines sol-   eine datenschutzkonforme Lösung erarbeiten chen Systems kann auch nicht auf eine Einwilli-   zu wollen. 5.4.14 Versendung von Gehaltsnachweisen per E-Mail Immer wieder wenden sich betroffene Personen      rechtlichen Bedenken. Erfolgt die Versendung an das ULD und fragen nach der Rechtmäßig-        wie in den vorgelegten Fällen jedoch an die keit der Versendung von Gehaltsnachweisen per     privaten E-Mail-Accounts bei Fremdprovidern E-Mail durch die Arbeitgeber.                     außerhalb des Verantwortungsbereichs des Arbeitgebers, sind besondere Schutzmaßnah- Bei Gehaltsnachweisen handelt es sich um per-     men zu treffen. sonenbezogene Daten von Beschäftigten, deren Verarbeitung für den Nachweis der Gehaltsbe-      Der für die Verarbeitung verantwortliche Arbeit- rechnung und Auszahlung dienen und damit          geber hat gemäß § 32 DSGVO sicherzustellen, zur Durchführung des Beschäftigungsverhältnis-    dass die Sicherheit der Verarbeitung und ins- ses erforderlich sind. Zunehmend werden           besondere die Vertraulichkeit der Informationen solche Gehaltsnachweise nicht mehr analog         gewährleistet sind. Als Maßnahme kommt dafür oder per Brief an die Beschäftigten verteilt oder eine hinreichende Verschlüsselung bei der Ver- versendet, sondern elektronisch zugestellt.       sendung in Betracht. Keinesfalls kann aber der Erfolgt die Versendung im firmeneigenen Netz      Arbeitgeber von dem Beschäftigten die Zurver- und haben nur die Berechtigten, z. B. über per-   fügungstellung einer E-Mail-Adresse zu Zwe- sönliche dienstliche E-Mail-Adressen, darauf      cken der Zusendung einer Gehaltsabrechnung Zugriff, bestehen in der Regel gegen die          verlangen. elektronische Versendung keine datenschutz- TÄTIGKEITSBERICHT 2019 DES ULD            103

5 DATENSCHUTZ IN DER WIRTSCHAFT Die Zusendung an einen privaten E-Mail-               der Arbeitgeber eine elektronische Zustellung, Account ist nicht erforderlich, da regelmäßig         obliegt es ihm, eine hinreichend sichere Zustell- eine analoge Zustellung möglich ist. Wünscht          möglichkeit zu schaffen. 5.4.15 Führung einer Negativliste über „vereinsschädigende Personen“ Das ULD erreichte eine Beschwerde über eine           kreten Fällen Personen in die Liste aufgenom- von einem Verein geführte „Negativliste“. In          men werden, wie lange diese Daten dort dieser Liste führte der Verein Personen auf, die      gespeichert und wann diese gelöscht werden. sich in der Vergangenheit vereinsschädigend           Darüber hinaus sind betroffene Personen u. a. verhalten hätten, um zu erreichen, dass diese         auch über die Gründe für eine solche Speiche- Personen auch zukünftig nicht wieder im Verein        rung und ihre bestehenden Datenschutzrechte aktiv werden können. Das Führen einer solchen         transparent zu informieren. Liste wurde in der dortigen Mitgliederversamm- lung beschlossen.                                     Für die vorgenannten Erfordernisse ist es dabei unerheblich, ob die verantwortliche Stelle im Im eingeleiteten Verfahren konnte der Verein          Vereinsregister eingetragen ist oder ob es sich keine Angaben darüber machen, auf welche              um einen nicht rechtsfähigen Verein handelt. Rechtsgrundlage das Verfahren gestützt werde und welche konkreten Sachverhalte dazu füh- Im Rahmen der Praxis-Reihe „Datenschutz- ren, dass eine Person als vereinsschädigend eingestuft und in die Liste aufgenommen wird,            bestimmungen praktisch umsetzen“ ist u. a. oder ob es auch Möglichkeiten gäbe, aus dieser           auch eine Broschüre zum Datenschutz im Liste wieder entfernt zu werden.                         Verein erschienen: Personenbezogene Daten dürfen auch von                   http://uldsh.de/vereine Vereinen nur verarbeitet werden, wenn es hier- für eine Rechtsgrundlage gibt. Vereinsbeschlüs- Nachdem während des laufenden Verfahrens se oder -satzungen dürfen dabei nicht im der Verein einen neuen Vorstand gewählt hat, Widerspruch zu geltenden datenschutzrechtli- teilte dieser anschließend umgehend mit, dass chen Vorschriften stehen. sich für den neuen Vorstand keine Grundlage zum Führen einer solchen Liste ergäbe, die Im Falle einer entsprechenden Verarbeitung hat „Negativliste“ gelöscht wurde und auch zukünf- der Verein auch zu dokumentieren, welchen tig vom Führen einer „Negativliste“ abgesehen konkreten Zweck eine solche Liste hat, welche werde. Daten wofür erforderlich sind, in welchen kon- Was ist zu tun? Personenbezogene Daten dürfen auch von Vereinen nur verarbeitet werden, wenn es hierfür eine Rechtsgrundlage gibt. Vereinssatzungen dürfen dabei nicht im Widerspruch zu geltenden daten- schutzrechtlichen Vorschriften stehen. Die bestehenden Informations- und Transparenzpflichten sind gegenüber den Mitgliedern und gegebenenfalls anderen betroffenen Personen zu beachten. 104       TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.16 Veröffentlichung von Schriftverkehr im Vereinsschaukasten Zahlreiche Bürgerinnen und Bürger engagieren             In dem vorliegenden Fall kann eine unter Um- sich in unterschiedlichen Formen ehrenamtlich            ständen erforderliche Information von weiteren in Vereinen. Da kann es auch immer mal wieder            Vorstandsmitgliedern beispielsweise auch pos- zum Streit kommen. So erhielt das ULD im ver-            talisch erfolgen, sodass zumindest eine Kennt- gangenen Jahr eine Beschwerde darüber, dass              nisnahme von Nichtvereinsmitgliedern ausge- ein Vereinsvorsitzender ein Schreiben eines              schlossen werden kann. Vereinsmitgliedes an die anwaltliche Vertretung des Vereinsvorstandes in öffentlich zugängli-            Für einen Aushang des Schriftverkehrs inklusive chen Schaukästen ausgehängt habe. In dem                 der in dem Schreiben enthaltenen personenbe- betreffenden Schreiben waren u. a. auch ver-             zogenen Daten in einem öffentlich zugängli- schiedene personenbezogene Daten des Ver-                chen Schaukasten bestand vor diesem Hinter- einsmitgliedes enthalten.                                grund keine Erforderlichkeit, sodass dies unzu- lässig war. Auch eine solche Offenlegung von personenbe- zogenen Daten stellt eine Verarbeitung dar und           Sollte im Rahmen der Prüfung des berechtigten bedarf daher wiederum einer Rechtsgrundlage.             Interesses festgestellt werden, dass der verfolg- te Zweck einzig mit dem Mittel einer Veröffent- Sollte in diesem Zusammenhang angeführt                  lichung wirksam erreicht werden kann, wäre werden, dass die Verarbeitung zur Wahrung der            darüber hinaus als letzter Schritt abzuwägen, ob berechtigten Interessen des Vereins erforderlich         schutzwürdige Interessen der betroffenen Per- war, ist zunächst diese „Erforderlichkeit“ zu            sonen die berechtigten Interessen des Verant- begründen. Sollten tatsächlich gewichtige Grün-          wortlichen überwiegen oder nicht. de angeführt werden können, ist zu prüfen, ob es anstelle der Veröffentlichung alternative             Da nach einem erfolgten Hinweis auf den Ver- Maßnahmen gibt, die nicht oder weniger tief in           stoß der Vereinsvorsitzende das Schreiben aus das Recht der betroffenen Person eingreifen              dem Schaukasten entfernt hat, konnte von der und es dem Verein dennoch erlauben, seine                Einleitung eines formellen Verfahrens gegen Interessen wirksam durchzusetzen.                        den Verein abgesehen werden. Was ist zu tun? Eine Veröffentlichung von personenbezogenen Daten ist regelmäßig nur nach vorheriger Einwilli- gung der betroffenen Person zulässig. Dabei ist zu beachten, dass diese in informierter Weise und freiwillig zu erfolgen hat. Das bedeutet u. a. auch, dass eine Vereinsmitgliedschaft nicht von der Abgabe einer Einwilligung abhängig gemacht werden darf. 5.4.17 Branchenprüfung von Sportverbänden zum Umgang mit Sportlerdaten In der Vergangenheit erhielt das ULD wieder-             nunmehr als Anlass genommen, bei zehn sehr holt Eingaben zum Umgang mit Sportlerdaten               unterschiedlichen Sportverbänden eine Bran- in Sportvereinen und -verbänden. Dies wurde              chenprüfung durchzuführen. TÄTIGKEITSBERICHT 2019 DES ULD          105

5 DATENSCHUTZ IN DER WIRTSCHAFT Um eine Vergleichbarkeit der verschiedenen       ganze Bilddatenbanken gelöscht werden, da die Sportverbände zu ermöglichen, wurden diese       Betroffenen weder entsprechende Einwilligun- trotz der sehr unterschiedlichen Strukturen      gen erteilt hatten noch über die Erhebung des zunächst mit zwölf identischen Fragen konfron-   jeweiligen Fotos und deren Verwendungszwe- tiert. Hierbei wurden insbesondere nach den      cke informiert wurden. Datenkategorien, den jeweiligen Zwecken und deren Speicherdauer sowie eventueller Über-      Da zahlreiche Landesverbände Turnierplaner, mittlungen an Dritte wie beispielsweise Bundes-  Punktspielergebnisdienste oder auch Spieler- verbänden gefragt. Darüber hinaus wurden         passverwaltungen von Drittanbietern nutzen, Satzungsbestandteile und Einwilligungserklä-     sind in diesen Fällen entsprechende Auftragsda- rungen auf deren Rechtmäßigkeit geprüft und      tenverarbeitungsverträge erforderlich. In einem um Erläuterung der technischen Infrastruktur     Fall wurde ein solcher Vertrag leider erst auf inklusive Berechtigungs- und Löschkonzept        mehrfache Nachfragen hin abgeschlossen und sowie um Übersendung etwaiger Auftragsda-        nachgereicht. tenverarbeitungsverträge gebeten. Abschlie- ßend war darzustellen, wie die Sportverbände     Da im Bereich der Spielerpässe neben den Lan- die Wahrung der Rechte betroffener Personen      desverbänden häufig auch die Bundesverbände sicherstellen und ob gegebenenfalls eine Daten-  und die Sportvereine vor Ort beteiligt sind, schutzbeauftragte oder ein Datenschutzbeauf-     stellten sich in diesem Zusammenhang zahlrei- tragter benannt wurde.                           che Fragen zur Abgrenzung der Verantwortlich- keiten sowie zur rechtmäßigen Übermittlung Insgesamt wurden die Fragen sehr kooperativ      der Daten und den Informationspflichten zur beantwortet und Hinweise meist zügig umge-       Sicherstellung einer für die betroffenen Perso- setzt. In einem Einzelfall konnte eine Beantwor- nen transparenten Verfahrensweise. tung der vorgenannten Fragestellungen jedoch leider erst unter Androhung eines Zwangsgel-     In einzelnen Fällen ergaben sich datenschutz- des durchgesetzt werden.                         rechtlich bedenkliche Verfahrensweisen aus den Satzungen der übergeordneten Verbände. Auf Während der laufenden Prüfungsverfahren be-      Initiative eines Landesverbandes wurde eine nannten zahlreiche Sportverbände erstmalig       Bundesspielordnung angepasst, in zwei anderen Datenschutzbeauftragte, die anschließend an      Fällen bemühten sich die Landesverbände auf der Erstellung von Verfahrensverzeichnissen,     Bundesebene leider vergeblich um eine Begren- Satzungsänderungen, der Anpassung von Daten-     zung der bisher dort enthaltenen dauerhaften verarbeitungsverträgen, Formularen und den       Speicherung der Sportlerdaten, sodass die für jeweiligen Webauftritten mitwirkten.             die Bundesverbände zuständigen Aufsichtsbe- hörden entsprechend vom ULD unterrichtet Bei zwei Sportverbänden mussten jedoch be-       wurden. reits diese Benennungen nachgebessert wer- den: Beispielsweise lag in einem Fall ein Inte-  Die jeweiligen Landesverbände verhielten sich ressenkonflikt vor, da der Verbandsvorsitzende   diesbezüglich deutlich kooperativer und pass- selbst als Datenschutzbeauftragter benannt       ten ihre Satzungen nach entsprechenden Hin- wurde.                                           weisen an. So enthielten einzelne Satzungen bisher zum Teil zu weitreichende Grundlagen zu Ein Schwerpunkt der Prüfungen bestand insbe-     Datenhebungen zum Erhalt von Spielberech- sondere im Umgang mit Sportlerfotos und          tigungen oder auch Passagen, dass mit Teilnah- deren Veröffentlichungen. In diesem Zusam-       me am Spielbetrieb der Nutzung der Sportler- menhang mussten zahlreiche Fotos insbeson-       daten für kommerzielle und für Werbezwecke dere von den Webauftritten und zum Teil auch     automatisch zugestimmt wurde. 106        TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT 5.5      Videoüberwachung Das Thema Videoüberwachung bleibt vielfältig      auch im Zusammenhang mit Videoüberwa- und facettenreich. Sowohl die Anzahl an           chung das Thema Datenschutz verstärkt in der Beschwerden als auch die Anzahl von Bera-         Öffentlichkeit wahrgenommen und hinterfragt. tungsanfragen, die das ULD erreichen, steigt      Neben der klassischen Videoüberwachung ge- stetig. Unternehmen und Privatpersonen ent-       winnen u. a. mit Kameras bestückte Drohnen scheiden sich meist aus Sicherheitsgründen für    und sogenannte Dashcams an Beliebtheit. Bei eine Videoüberwachung. Dass diese Entschei-       solchen mobilen Geräten bedeutet es in der dung weitreichende Konsequenzen nach sich         Regel für die Betreiber einen noch größeren zieht, ist vielen dabei oftmals nicht bewusst.    Aufwand, die Vorgaben aus der Datenschutz- Durch die Datenschutz-Grundverordnung, die        Grundverordnung zu erfüllen. seit dem 25. Mai 2018 verbindlich gilt, wird 5.5.1    Videoüberwachung nach der DSGVO Besonders spürbar ist die Datenschutz-Grund-      schutzaufsichtsbehörden die Vorgaben der verordnung für die Betreiber von Videoüber-       Datenschutz-Grundverordnung        erfüllt.  Das wachungsanlagen durch die gestiegenen Anfor-      Muster ist in der Broschüre zum Thema Video- derungen hinsichtlich der Informations- und       überwachung enthalten, die unter folgendem Transparenzpflichten. Während nach dem alten      Link abrufbar ist: Bundesdatenschutzgesetz der „Umstand der Beobachtung und die verantwortliche Stelle […]    https://www.datenschutzzentrum.de/uploads/ durch geeignete Maßnahmen erkennbar zu            praxisreihe/Praxisreihe-5-Videoueberwachung.pdf machen“ waren, schreibt die Datenschutz- Grundverordnung in mehreren Artikeln konkret      Dabei handelt es sich zwar nicht um ein ver- vor, wie und worüber die betroffenen Personen     bindlich vorgeschriebenes oder genormtes informiert werden müssen. Auch bei einer          Muster. Wenn jemand von der vorgeschlagenen Videoüberwachungsanlage handelt es sich um        Gliederung oder Gestaltung abweicht, bei- Datenverarbeitung, die für die betroffenen Per-   spielsweise weil andere Farben oder erweitern- sonen nachvollziehbar sein muss. Daher müssen     de Symbole genutzt werden oder derjenige z. B. sie zum Zeitpunkt der Datenerhebung u. a. über    die Betroffenenrechte stärker hervorheben den Umstand der Beobachtung, die Identität        möchte, kann das auch zulässig sein. Allerdings der verantwortlichen Stelle, die Kontaktdaten     müssen die verpflichtenden Angaben zwingend des Datenschutzbeauftragten, die Zwecke und       enthalten sein, weshalb es durchaus empfeh- die Rechtsgrundlage der Verarbeitung sowie die    lenswert ist, das vorgeschlagene Muster zu Speicherdauer informiert werden (keine ab-        nutzen oder als Orientierung heranzuziehen. schließende Aufzählung). Häufig erhält das ULD    Angaben wegzulassen oder pauschale allge- Hinweise von Bürgerinnen und Bürgern, dass        meine Aussagen zu treffen, entspricht nicht der jemand eine Videoüberwachungsanlage be-           Zielsetzung der Datenschutz-Grundverordnung, treibt, ohne auf diese hinzuweisen.               nämlich die Datenverarbeitung für betroffene Personen verständlicher zu gestalten und ihre Die Aufsichtsbehörden des Bundes und der          Rechte zu stärken. Länder sind sich darüber einig, dass aufgrund der Menge an Informationen ein abgestuftes        Auch auf EU-Ebene wird eine mehrstufige Verfahren der Informationserteilung sinnvoll ist. Informationserteilung befürwortet. Die Einzel- Daher wurde speziell für Videoüberwachung ein     heiten dazu, welche Informationen zu welchem Muster für eine Hinweisbeschilderung erarbei-     Zeitpunkt bzw. in welcher Abstufung zu erteilen tet, die nach Auffassung der deutschen Daten-     sind, befinden sich zurzeit noch in der Abstim- TÄTIGKEITSBERICHT 2019 DES ULD            107

5 DATENSCHUTZ IN DER WIRTSCHAFT mung zwischen den Datenschutzaufsichtsbe-              Um zu bewerten, ob eine Videoüberwachung hörden der EU-Mitgliedstaaten. Die deutschen           rechtmäßig betrieben wird, kommt es immer Vertreter in den europäischen Gremien setzen           auf den Einzelfall an. Für die Überwachung sich in diesem Prozess aktiv für einheitliche          müssen gute Gründe vorliegen. Nach der alten Standards nach deutschem Vorbild ein. Verant-          Rechtslage durften Betreiber von Videoüberwa- wortliche in Deutschland sind auf der sicheren         chungsanlagen lediglich ihre eigenen Interessen Seite, wenn die von den Aufsichtsbehörden              mit dieser Maßnahme verfolgen. Neu ist, dass vorgeschlagenen Hinweisschilder genutzt wer-           nunmehr auch Interessen Dritter als Gründe für den. Da sich die rechtliche Anwendung der              die Installation einer Videoüberwachung ange- Datenschutz-Grundverordnung noch in einem              führt werden können und von der Aufsichtsbe- frühen Stadium befindet, stehen die gegenwär-          hörde bei einer Prüfung zu berücksichtigen tigen Interpretationen und Handlungsvorschlä-          sind. Dabei muss es sich aber um einen näher ge aber immer unter dem Vorbehalt eines mög-           bestimmten Kreis Dritter handeln, die spezifi- licherweise notwendigen Anpassungsbedarfs.             sche Interessen an der Videoüberwachung vor- Es lohnt sich daher, die aktuellen Entwicklungen       bringen können. Unzulässig wäre es, beispiels- in diesem Bereich im Blick zu behalten.                weise neben dem eigenen Grundstück auch einen großen Teil der Nachbarschaft mit der Begründung zu überwachen, dass die Video- Hinweisbeschilderung überwachung so auch die Nachbarn vor Einbrü- chen schützen könnte und damit auch in deren Eine korrekte Hinweisbeschilderung führt Interesse betrieben werde. nicht allein dazu, dass der Betrieb der Videoüberwachung rechtmäßig ist. Die Zu-            Nach wie vor muss vor der Installation einer lässigkeit der Videoüberwachung ist viel-           Videoüberwachungsanlage eine Interessenab- mehr, wie auch nach dem alten Recht,                wägung durchgeführt werden. Hierbei gelten anhand der Datenschutz-Grundverordnung              nicht mehr – wie zuvor – ausschließlich streng objektive Maßstäbe. Es müssen nun auch die sowie des Bundes- oder Landesdaten- sogenannten „vernünftigen Erwartungen“ der schutzgesetzes zu prüfen. Wenn der Ver- betroffenen Personen berücksichtigt werden. In antwortliche aufgrund dieser Prüfung zu             Schalterhallen einer Bank ist beispielsweise eher dem Ergebnis kommt, dass eine Video-                mit einer Videoüberwachung zu rechnen als in überwachung betrieben werden darf, sind             öffentlichen Parks, im Treppenhaus von Mehr- die Transparenzpflichten der Datenschutz-           familienhäusern oder gar in sanitären Einrich- Grundverordnung durch eine entsprechen-             tungen. de Hinweisbeschilderung zu erfüllen. Was ist zu tun? Besonders die Informations- und Transparenzpflichten sind deutlich umfangreicher geworden. Die Betreiber von Videoüberwachungsanlagen müssen daher ihre bisherigen Informationskonzepte kontrollieren und, sofern noch nicht geschehen, an die DSGVO anpassen. Das ist wichtig, damit betroffene Personen ihre Rechte gegenüber den Verantwortlichen auch wirksam wahrnehmen können. Besonders in Bezug auf die Hinweisbeschilderung für Videoüberwachungsanlagen sollten die Betreiber genau prüfen, an welcher Stelle sinnvollerweise welche Angaben gemacht werden können. 108        TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT 5.5.2    Fotos nach der DSGVO Seit Mai des Jahres 2018 erreicht das ULD eine        der anderen anwesenden Kinder könnten sich Vielzahl von mehr oder weniger umfangreichen          jedoch notfalls auf dem Zivilrechtsweg gegen Beratungsanfragen von Berufs- und Hobbyfo-            das Erstellen der Aufnahmen wehren. tografen. Diese Personengruppe wird durch die Datenschutz-Grundverordnung im Hinblick auf           Datenschutz-Grundverordnung oder Kunst- deren Auswirkung auf das tägliche Geschäft der        urhebergesetz? Fotografie stark verunsichert. Insbesondere befürchten viele Fotografen, dass sie entweder        Wenn aber der private Bereich verlassen wird, für das Erstellen und Veröffentlichen eines           etwa weil die Fotos im Internet einem unbe- jeden Fotos eine separate Einwilligung der ab-        schränkten Personenkreis zugänglich gemacht gebildeten Personen benötigen oder zumindest          werden, müssen auch natürliche Personen für jede abgebildete Person umfassend über die            „private“ Fotos die Datenschutz-Grundverord- Ausgestaltung der Datenverarbeitung informie-         nung von Beginn an beachten. Das hat zur ren müssen, selbst wenn diese nur zufällig und        Folge, dass bereits das Erstellen eines Fotos auf am Rande auf der Aufnahme erscheint. Für              eine gesetzliche Grundlage gestützt werden Beunruhigung sorgt auch die Vielzahl der              können muss. Rechtsgebiete, die beim Thema Fotografie nebeneinander betrachtet werden müssen: Die           Der Anwendungsbereich der Datenschutz- Datenschutz-Grundverordnung, das Kunsturhe-           Grundverordnung ist außerdem grundsätzlich bergesetz, zivilrechtliche Vorschriften und auch      immer eröffnet, wenn Fotos für berufliche, strafrechtliche Vorschriften spielen eine Rolle. Je   gewerbliche, oder sonstige nicht ausschließlich nachdem wer die Bildaufnahme für welchen              persönliche Zwecke erstellt und verarbeitet Verwendungszweck erstellt, gelten unterschied-        werden. Wenn das der Fall ist, muss bereits das liche Vorschriften. So ist für einen Teil der foto-   Erstellen eines Fotos anhand der Datenschutz- grafierenden Personen die Datenschutz-Grund-          Grundverordnung beurteilt werden, da das verordnung nicht anwendbar; andere, scheinbar         Kunsturhebergesetz nur die Veröffentlichung vergleichbare Personengruppen müssen sich –           von Bildnissen regelt. Das bedeutet, dass sich in aus ihnen oftmals nicht nachvollziehbaren             diesem Fall die Beurteilung der Rechtmäßigkeit Gründen – an die Vorschriften der Datenschutz-        des Anfertigens von Aufnahmen nach Art. 6 Grundverordnung halten.                               Abs. 1 DSGVO richtet. Die Haushaltsausnahme Art. 6 Abs. 1 Buchst. f DSGVO Das Anfertigen und Speichern von Fotos durch Die Verarbeitung ist nur rechtmäßig, wenn natürliche Personen unterliegt – jedenfalls soweit mindestens eine der nachstehenden Bedin- die Fotos im persönlichen Bereich verbleiben – von vornherein nicht den Beschränkungen der             gungen erfüllt ist: Datenschutz-Grundverordnung, da es sich hier- bei um eine sogenannte persönliche oder famili-         […] äre Tätigkeit handelt. Das führt aber nicht dazu, f) die Verarbeitung ist zur Wahrung der dass der private Bereich zu einem rechtsfreien Raum wird. Vielmehr können in diesem Bereich            berechtigten Interessen des Verantwortli- die allgemeinen zivil- und strafrechtlichen Vor-        chen oder eines Dritten erforderlich, sofern schriften einschlägig sein. Erstellt also ein Eltern-   nicht die Interessen oder Grundrechte und teil auf dem Kindergeburtstag seines Sohnes             Grundfreiheiten der betroffenen Person, die Aufnahmen von ihm und den Gästen, würden die            den Schutz personenbezogener Daten er- Vorschriften der Datenschutz-Grundverordnung fordern, überwiegen, insbesondere dann, zwar nicht anwendbar sein. Die Landesbeauftrag- te für Datenschutz hätte in diesem Fall keine           wenn es sich bei der betroffenen Person um Untersuchungs- und Abhilfebefugnisse. Die Eltern        ein Kind handelt. TÄTIGKEITSBERICHT 2019 DES ULD           109