4 DATENSCHUTZ IN DER VERWALTUNG so verstößt dies gegen den Grundsatz der                Grundsatz zur Datensparsamkeit gemäß Art. 5 Rechtmäßigkeit der Datenverarbeitung gemäß              Abs. 1 Buchst. c DSGVO. Art. 5 Abs. 1 Buchst. a DSGVO und gegen den Was ist zu tun? Bei der Erhebung örtlicher Aufwandssteuern müssen die Gemeinden prüfen, ob die personenbezo- genen Daten, die sie im Rahmen von Steuererklärungen, Formularen und Fragebögen von den Steuerpflichtigen einfordern, verhältnismäßig zur anvisierten Aufgabenerfüllung sind. Die verwen- deten Formulare müssen so gestaltet sein, dass freiwillige Angaben als solche erkennbar sind. Weiterhin muss dort, wo eine Teilschwärzung möglich ist oder verschiedene Unterlagen als Nach- weis erbracht werden können, auf die Auswahlmöglichkeiten hingewiesen werden. Zudem sind die Informationspflichten des Artikels 13 DSGVO durch die Gemeinden umzusetzen. 4.8.4    Einsatz von Software und Dienstleistung bei der Verwaltung von Kurabgaben Das ULD erhielt im Rahmen einer Beschwerde              rechnung an die Agentur übermitteln. Die ana- Kenntnis davon, dass eine Gemeinde die örtli-           logen Meldescheine ließ die Tourismusagentur che Kurabgabe von den Gästen durch die Gast-            durch einen weiteren Dienstleister händisch geber bzw. Beherbergungsbetriebe mittels Mel-           über einen eigenen Zugang zur Software ein- descheinen und Online-Meldescheinen berech-             pflegen. nen und einziehen ließ. Die Prüfung und Verwaltung der Kurabgaben erfolgte durch eine           Die Überprüfung der Tourismusagentur durch von der Gemeinde beliehene Tourismusagentur,            das ULD ergab, dass keine hinreichenden Ver- welche die Formulare zur Verfügung stellte.             träge über diese Auftragsdatenverarbeitungen im Sinne von § 17 LDSG-alt (entspricht nun der Auftragsverarbeitung gemäß Artikel 28 DSGVO) Beliehenes Unternehmen geschlossen wurden. Einem beliehenen Unternehmen hat eine Dass ein Vertrag mit dem Softwareanbieter öffentliche Stelle Aufgaben der öffentlichen          kurzerhand rückdatiert wurde, hat das ULD Verwaltung übertragen.                                gemäß § 42 Abs. 2 LDSG-alt beanstandet. Für die händische Übertragung der analogen Mel- descheine in die Software lag zwar ein Auf- Die Tourismusagentur beauftragte hierzu einen tragsdatenverarbeitungsvertrag mit dem Dienst- Dienstleister, der die Software für den Online- leister vor. Dieser entsprach jedoch nicht den Meldeschein bereitstellte. Die Gastgeber bzw. Anforderungen des § 17 LDSG-alt, was gemäß Beherbergungsbetriebe konnten so über eine § 42 Abs. 1 LDSG-alt bemängelt wurde. Webseite die Daten ihrer Gäste und die Ab- 84      TÄTIGKEITSBERICHT 2019 DES ULD

4 DATENSCHUTZ IN DER VERWALTUNG Was ist zu tun? Verantwortliche müssen überprüfen, ob sie Dienstleister oder Software von Drittanbietern zur Ver- waltung ihrer örtlichen Kurabgaben einsetzen und ob in diesen Fällen die Vorgaben des Artikels 28 DSGVO korrekt umgesetzt werden. Altverträge sind zu überprüfen und gegebenenfalls an die neue Rechtslage anzupassen. Sofern noch nicht geschehen, sind auch die Informationspflichten der Arti- kel 12 ff. DSGVO umzusetzen. Das bedeutet: Analoge Meldescheine und Online-Formulare sind so zu gestalten, dass die betroffenen Personen nachvollziehen können, was mit ihren personenbezo- genen Daten passiert. TÄTIGKEITSBERICHT 2019 DES ULD          85

05 KERNPUNKTE Datenschutz für Mieterinnen und Mieter Datenschutz im Verein Beschäftigtendatenschutz Meldepflichtige Datenpannen 86     TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT 5 Datenschutz in der Wirtschaft 5.1      Entschließung der DSK zur (Nicht-)Anwendbarkeit des TMG neben der DSGVO Mitgliedstaatliche datenschutzrechtliche Rege-     und sie somit der Kollisionsregel der DSGVO lungen werden aufgrund des Anwendungsvor-          unterfallen. rangs der DSGVO grundsätzlich durch diese verdrängt, wenn es keine spezifischen Regelun-     Das TMG ist nach wie vor in all seinen Bestand- gen gibt, die ein Fortbestehen bereits existie-    teilen in Kraft. Eine Anpassung der datenschutz- render Regelungen anordnen oder Öffnungs-          rechtlichen Vorschriften des TMG an die DSGVO klauseln Spielräume zur mitgliedstaatlichen        wurde nicht vorgenommen. Es stellte sich daher Ausgestaltung offenlassen bzw. vorgeben. Die       die Frage nach der Anwendbarkeit der daten- DSGVO enthält eine Kollisionsregel zum Ver-        schutzrechtlichen Vorschriften seit der Geltungs- hältnis der DSGVO zur E-Privacy-Richtlinie.        erlangung der DSGVO. Danach werden natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in          Die Konferenz der unabhängigen Datenschutz- Verbindung mit der Bereitstellung öffentlich       aufsichtsbehörden des Bundes und der Länder zugänglicher elektronischer Kommunikations-        (DSK) vertritt hierzu – nach Vorlage eines dienste in öffentlichen Kommunikationsnetzen       Beschlussentwurfs der Unterarbeitsgruppe E-Pri- in der Union durch die DSGVO keine zusätzli-       vacy des Arbeitskreises Medien der DSK – chen Pflichten auferlegt, soweit sie besonderen,   folgende Position: in der E-Privacy-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.          Im Verhältnis zum nationalen Recht kommt seit dem 25.05.2018 die DSGVO für sämtliche auto- Richtlinien bedürfen im Unterschied zu Verord-     matisierte Verarbeitungen personenbezogener nungen der Umsetzung durch die Mitgliedstaa-       Daten vorrangig zur Anwendung. Die Vorschrift ten. Grundsätzlich entfaltet erst das in Umset-    des Artikels 95 DSGVO findet keine Anwendung zung der Richtlinie geschaffene mitgliedstaatli-   auf die Regelungen im 4. Abschnitt des TMG. che Recht Rechtswirkung gegenüber Einzelnen.       Denn diese Vorschriften stellen vorrangig eine Eine Richtlinie selbst kann keine Verpflichtun-    Umsetzung der durch die DSGVO aufge- gen für Einzelne begründen. Die Kollisionsregel    hobenen Datenschutzrichtlinie dar und unter- in der DSGVO umfasst daher die in Umsetzung        fallen, da sie auch nicht auf der Grundlage von der E-Privacy-Richtlinie erlassenen mitglied-      Öffnungsklauseln in der DSGVO beibehalten staatlichen Vorschriften. Dies betrifft vor allem  werden dürfen, demgemäß dem Anwendungs- die Regelungen des TKG, die als Umsetzung der      vorrang der DSGVO. Hiervon betroffen sind E-Privacy-Richtlinie 2002/58/EG anzusehen sind.    damit auch etwaige unvollständige Umset- Durch die Richtlinie 2009/136/EG wurde der         zungen der E-Privacy-Richtlinie in diesem Ab- Anwendungsbereich der E-Privacy-Richtlinie         schnitt, welche jedenfalls isoliert nicht mehr ausgeweitet. Danach werden nicht lediglich         bestehen bleiben können. Anbieter von öffentlichen Telekommunikations- diensten, sondern auch Anbieter von „Diensten      Da auch eine unmittelbare Anwendung der der Informationsgesellschaft“ angesprochen.        E-Privacy-Richtlinie in diesen Fällen nicht in Diese entsprechen den Diensten, die in Deutsch-    Betracht kommt, kann sich die Rechtsgrundlage land als Telemediendienste bezeichnet und          für die Verarbeitung personenbezogener Daten durch das Telemediengesetz (TMG) reguliert         durch Diensteanbieter von Telemedien folglich werden. Spezielle datenschutzrechtliche Vorga-     nur aus Art. 6 Abs. 1 DSGVO ergeben. Darüber ben finden sich im 4. Abschnitt des TMG. Diese     hinaus sind die allgemeinen Grundsätze zur können jedoch nur dann neben der DSGVO zur         Verarbeitung personenbezogener Daten aus Anwendung kommen, wenn es sich dabei um            Art. 5 Abs. 1 DSGVO sowie die besonderen Umsetzungen der E-Privacy-Richtlinie handelt TÄTIGKEITSBERICHT 2019 DES ULD          87

5 DATENSCHUTZ IN DER WIRTSCHAFT Vorgaben z. B. aus Art. 25 Abs. 2 DSGVO (Daten-    Nachdem diese stattgefunden hat, wird nun zur schutz „by Default“) einzuhalten.                  Erläuterung und Konkretisierung der Positions- bestimmung eine Ergänzung formuliert. Die Konferenz der unabhängigen Datenschutz- behörden des Bundes und der Länder ver-            Die Stellungnahme ist unter dem folgenden öffentlichte diese Positionsbestimmung am          Link abrufbar: 26.04.2018. Gleichzeitig wurde beschlossen, eine Konsultation von betroffenen Wirtschafts-     https://www.datenschutzkonferenz-online.de/ verbänden und Unternehmen durchzuführen.           media/ah/201804_ah_positionsbestimmung_tmg.pdf 5.2       Neufassung des „Code of Conduct“ der Versicherungswirtschaft Im Jahre 2012 war die Versicherungswirtschaft      erörtert. Die für die förmliche Anerkennung der in Deutschland die erste Branche, die zur Förde-   Verhaltensregeln zuständige Berliner Beauf- rung der Beachtung datenschutzrechtlicher          tragte für den Datenschutz und die Informati- Regelungen förmlich anerkannte Verhaltensre-       onsfreiheit kam mit Abschluss der Erörterungen geln erlassen hat (34. TB, Tz. 5.1.3). Verhaltens- zu dem Ergebnis, dass die Vorgaben der Daten- regeln haben den Zweck, abstrakte Bestimmun-       schutz-Grundverordnung für die Versicherungs- gen der Datenschutzgesetze mit Blick auf Ab-       wirtschaft branchenspezifisch konkretisiert wur- läufe in der Versicherungsbranche zu konkreti-     den. Diese Einschätzung wird auch vom ULD sieren und zu ergänzen. Die förmliche Anerken-     geteilt. nung der Verhaltensregeln erfolgte damals durch den Berliner Beauftragten für den Daten- „Code of Conduct“ der Versicherungs- schutz und die Informationsfreiheit. wirtschaft Auf Grundlage einer in den Verhaltensregeln enthaltenen Klausel sollte bei jeder den Rege-       Das Regelungswerk ist unter folgendem lungsinhalt betreffenden Rechtsänderung und          Link abrufbar: spätestens fünf Jahre nach Abschluss der Über- prüfung der Verhaltensregeln durch die zustän-       www.gdv.de/resource/blob/23938/4aa2847 dige Datenschutzaufsichtsbehörde eine Evaluie-       df2940874559e51958a0bb350/download- rung stattfinden. Infolge des Stichtags für die      code-of-conduct-data.pdf Geltung der Datenschutz-Grundverordnung, dem 25.05 2018, und dem Ablauf der Evaluie- rungsfrist im Jahre 2017 bestanden gleich zwei     Die förmliche Anerkennung der neuen Verhal- Gründe, eine Überarbeitung der Verhaltensre-       tensregeln durch die Berliner Beauftragte für geln vorzunehmen.                                  den Datenschutz und die Informationsfreiheit wurde bisher noch nicht vorgenommen, da Die Versicherungswirtschaft unterbreitete den      restliche Fragen zur Einsetzung einer zusätzli- Datenschutzaufsichtsbehörden frühzeitig Ent-       chen Kontrollstelle nach den Vorgaben der würfe zur Änderung der bestehenden Verhal-         Datenschutz-Grundverordnung noch geklärt tensregeln. Näheres zur beabsichtigten neuen       werden müssen. Demnach kann die Überwa- Ausgestaltung der Verhaltensregeln wurde           chung der Einhaltung der Verhaltensregeln durch das ULD in der Funktion als Vorsitz des      unbeschadet der Aufgaben und Befugnisse der Arbeitskreises der unabhängigen Datenschutz-       Aufsichtsbehörden von einer Stelle durchge- behörden des Bundes und der Länder für die         führt werden, die über das geeignete Fachwis- Versicherungsbranche mit den deutschen Daten-      sen hinsichtlich des Gegenstandes der Verhal- schutzaufsichtsbehörden und der Versiche-          tensregeln verfügt und die von der zuständigen rungswirtschaft in mehreren Sitzungsterminen       Aufsichtsbehörde zu diesem Zweck akkreditiert 88       TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT wurde. Verhaltensregeln sehen wiederum Ver-         kategorien wie Gesundheitsdaten, zu den Infor- fahren vor, welche es jener Kontrollstelle          mationspflichten gegenüber betroffenen Perso- ermöglichen, die obligatorische Überwachung         nen, zur gemeinsamen Verantwortung von zwei der Einhaltung der Verhaltensregeln vorzuneh-       oder mehreren Unternehmen, zu den Rechten men. Bis zur Klärung der damit im Zusammen-         betroffener Personen wie z. B. Auskunft, hang stehenden Fragen verwendet die Ver-            Berichtigung, Einschränkung der Verarbeitung sicherungswirtschaft die Verhaltensregeln als       und Datenübertragbarkeit, zur Datenschutz- interne Bestimmungen.                               Folgenabschätzung, zur Benennung von Daten- schutzbeauftragten und zur Meldung von Angepasst wurden etwa Regelungen zur Einwil-        Datenschutzverstößen. ligung und zum Umgang mit besonderen Daten- 5.3       Neufassung der Orientierungshilfe „Selbstauskünfte für Mietinteressenten“ Infolge der Geltung der Datenschutz-Grund-          diese Aufschluss über die Zahlungsfähigkeit der verordnung und der Berücksichtigung neuerer         Mietinteressenten geben. Solche Angaben Rechtsprechung wurde eine Überarbeitung der         können sich etwa auf die Zahlung der verein- Orientierungshilfe „Selbstauskünfte für Miet-       barten Miete und der Nebenkosten beziehen. interessenten“ erforderlich. Die unabhängigen       Auch Fragen nach Pflichtverletzungen aus dem Datenschutzaufsichtsbehörden des Bundes und         bisherigen Mietverhältnis über Wohnraum kön- der Länder haben die entsprechende Neufas-          nen zulässig sein, allerdings unter der Bedin- sung gemeinsam erörtert und beschlossen.            gung, dass die Pflichtverletzung eine Kündigung rechtfertigt und solche Pflichtverletzungen für Vor der Vermietung von Wohnraum werden              die Zukunft zu erwarten sind. Die Kündigung von den Mietinteressenten verschiedene perso-       muss u. a. rechtskräftig oder in tatsächlicher nenbezogene Angaben erhoben, wobei nur              Hinsicht unbestritten sein. solche Daten verarbeitet werden dürfen, für die der Vermieter berechtigte Interessen vorweisen      Bezüglich der Anforderung einer Selbstauskunft kann oder sich eine Erforderlichkeit der Daten-     der Mietinteressenten ist zu berücksichtigen, erhebung für die Durchführung des Mietver-          dass diese nach der Rechtsprechung nicht ver- trags ableiten lässt. Es kann zwischen drei Zeit-   pflichtet sind, eine Mietschuldenfreiheitsbe- punkten differenziert werden, nämlich dem           scheinigung zu erstellen. Daher kann eine sol- Besichtigungstermin, der vorvertraglichen Pha-      che Bescheinigung vom Mietinteressenten bei se, in welcher der Mietinteressent dem künfti-      der beabsichtigten Neuanmietung von Wohn- gen Vermieter mitteilt, eine bestimmte Woh-         raum nicht verlangt werden. Zulässig wäre es nung anmieten zu wollen, und dem Stadium, in        hingegen, vom Mietinteressenten wahlweise welchem die Entscheidung über den auszuwäh-         entweder von Vorvermietern geschuldete Quit- lenden Mietinteressenten fallen soll. Im Rahmen     tungen über empfangene Zahlungen oder dieser drei Zeitpunkte kann die Erhebung            geschwärzte Kontoauszüge und Mietverträge bestimmter Angaben zulässig sein (35. TB, Tz. 5.4). als Beleg zu geleisteten Mietzahlungen an Vor- vermieter sowie zur Höhe des Mietzinses und Wesentliche Ergänzungen wurden in der Orien-        damit zum Nachweis einer bestehenden Bonität tierungshilfe insbesondere im Rahmen des            zu erbitten. Stadiums vorgenommen, in welchem der Ver- mieter sich für einen Mietinteressenten ent-        Bereits in der Erstfassung der Orientierungshilfe scheidet. Fragen zu Kontaktinformationen aktu-      wurde erläutert, dass die Einholung von Einwil- eller oder früherer Vermieter der Mietinteres-      ligungen der Mietinteressenten zur Erhebung senten sind zunächst mangels einer Erforder-        von Angaben nicht das richtige Mittel für den lichkeit zur Durchführung des Mietverhältnisses     Vermieter darstellt. Die Freiwilligkeit von Einwil- unzulässig. Erfragt werden dürfen aber Angaben      ligungserklärungen als zentrales Wirksam- zur Erfüllung mietvertraglicher Pflichten, sofern   keitskriterium hat mit Geltung der Datenschutz- TÄTIGKEITSBERICHT 2019 DES ULD            89

5 DATENSCHUTZ IN DER WIRTSCHAFT Grundverordnung nochmals besonderes Ge-             Orientierungshilfe „Selbstauskünfte für Mietin- wicht erhalten. Demnach läge im Bereich der         teressenten“: Anmietung von Wohnraum keine freiwillige und damit unwirksame Einwilligungserklärung vor,        www.datenschutzkonferenz-online.de/ wenn der Abschluss des Mietvertrags von der         media/oh/20180207_oh_mietauskuenfte.pdf Einwilligung in die Erhebung nicht erforderlicher Angaben abhängig gemacht wird. Was ist zu tun? Vermieter von Wohnraum dürfen von Mietinteressenten nur erforderliche Angaben erheben. Personenbezogene Daten, für die berechtigte Vermieterinteressen bestehen, dürfen nur erhoben werden, wenn die Gesamtabwägung mit schutzwürdigen Mietinteressenten dies rechtfertigt. Im Falle der Verwendung von Vermieterfragebögen sind die Maßgaben der Orientierungshilfe einzuhalten. 5.4       Interessante Einzelfälle 5.4.1     Juristische Personen als Datenschutzbeauftragte? Vorbehaltlich einer künftigen Klärung der Frage     tragten übernehmen sollen. Der zugrunde lie- durch die Rechtsprechung wird vorliegend die        gende Dienstleistungsvertrag soll nicht ohne Auffassung vertreten, dass nur natürliche Per-      Weiteres von einem Verantwortlichen oder sonen als Datenschutzbeauftragte benannt            Auftragsverarbeiter gekündigt werden können. werden können. Etwa die Benennung einer             Den natürlichen Personen, die auf Basis des GmbH selbst als Datenschutzbeauftragte ist          Vertrags als Datenschutzbeauftragte eingesetzt demnach nicht statthaft. Diese GmbH könnte          werden, komme eine Art arbeitsrechtlicher aber die Dienste ihrer Mitarbeiter als Daten-       Kündigungsschutz zu, indem diese vor unge- schutzbeauftragte anbieten, die dann von ande-      rechtfertigten Entlassungen durch deren Arbeit- ren Unternehmen entsprechend benannt wer-           geber geschützt seien. den. Daher wird durch die Aufsichtsbehörden auf Die Datenschutzaufsichtsbehörden auf europäi-       europäischer Ebene nicht die Aussage getrof- scher Ebene gehen in Auslegung der Daten-           fen, dass juristische Personen selbst als Daten- schutz-Grundverordnung davon aus, dass u. a.        schutzbeauftragte in Betracht kommen. Viel- Unternehmen mit einer anderen Stelle (natürli-      mehr wird die Konstellation erörtert, wonach che oder juristische Person) einen Dienstleis-      etwa eine juristische Person einen Dienstleis- tungsvertrag schließen können. Dieser Vertrag       tungsvertrag mit einem Verantwortlichen oder hat aber nicht die Benennung dieser anderen         Auftragsverarbeiter schließt. Diese juristische Stelle selbst als Datenschutzbeauftragte zum        Person beschäftigt wiederum natürliche Perso- Gegenstand. Stattdessen soll der Vertrag vorse-     nen, welche letztlich die Funktion eines Daten- hen, welche natürlichen Personen allein oder als    schutzbeauftragten für den Verantwortlichen „Team“ die Funktion eines Datenschutzbeauf-         oder Auftragsverarbeiter wahrnehmen sollen. 90       TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT gung im Rahmen einer Berufsausbildung bzw. Leitlinien in Bezug auf Datenschutzbe- eines Studiums erworben wurde, was nur durch auftragte                                     natürliche Personen erfolgen kann. Hinweise der europäischen Datenschutzauf-     Zwar können die Vorgaben des deutschen sichtsbehörden zur Benennung von Daten-       Datenschutzrechts im Bundesdatenschutzgesetz schutzbeauftragten (WP 243) können unter      nicht zur Auslegung der Datenschutz-Grund- folgendem Link aufgerufen werden:             verordnung herangezogen werden. Unabhängig davon kann auch aus diesen Vorgaben abge- www.datenschutzkonferenz-online.de/           leitet werden, dass nur Menschen als Daten- media/wp/20170405_wp243_rev01.pdf             schutzbeauftragte benannt werden sollen. So beziehen sich jene Vorgaben etwa auf die Anwendung arbeitsrechtlicher Kündigungsre- Datenschutzbeauftragte werden auf der Grund-     geln und auf die Zubilligung eines Zeugnis- lage ihrer beruflichen Qualifikation und insbe-  verweigerungsrechts, was nur bei der Benen- sondere des Fachwissens benannt, welches         nung natürlicher Personen als Datenschutzbe- diese auf dem Gebiet des Datenschutzrechts       auftragte von Bedeutung sein kann (36. TB, und der Datenschutzpraxis erworben haben.        Tz. 5.3). Ferner kann die oder der Datenschutzbeauf- tragte Beschäftigte oder Beschäftigter des       Die Kontaktdaten der Datenschutzbeauftragten Verantwortlichen oder Auftragsverarbeiters sein  sind nach den Vorgaben der DSGVO an die oder die Aufgaben auf Grundlage eines Dienst-    zuständige Datenschutzaufsichtsbehörde zu leistungsvertrags erfüllen. Die besseren Argu-   melden. Ein Meldeformular wird unter folgen- mente sprechen dabei für die ausschließliche     dem Link bereitgestellt: Benennung natürlicher Personen. Vor allem das Abstellen auf die berufliche Qualifikation legt  www.datenschutzzentrum.de/formular/meldung- den Schluss nahe, dass die erforderliche Befähi- dsb.php 5.4.2     Benennung von Datenschutzbeauftragten – mindestens zehn beschäftigte Personen Ergänzend zu den Vorgaben der Datenschutz-       hat sich mit der Geltung der Neuregelung seit Grundverordnung müssen nichtöffentliche Stel-    dem 25.05.2018 nicht geändert, zumal der len wie Unternehmen insbesondere dann einen      Gesetzgeber auch vom Wortlaut her gesehen Datenschutzbeauftragten benennen, soweit sie     die Altregelung übernommen hat. in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personen-   Personen, welche Zugriff auf Kundendatenban- bezogener Daten beschäftigen. Im Vergleich zur   ken nehmen, etwa vertragliche Unterlagen ein- Rechtslage vor der Geltung der Datenschutz-      sehen können, Personaldaten verwalten oder in Grundverordnung sind insoweit keine Änderun-     automatisierter Form personenbezogene Daten gen eingetreten.                                 verarbeiten, welche z. B. über die Lebensum- stände von Einzelpersonen Auskunft geben, Für die Vorgängervorschrift im alten Bundesda-   müssen bei der Frage der Verpflichtung zur tenschutzgesetz hatte der Gesetzgeber die        Benennung eines Datenschutzbeauftragten mit- Intention, eine „Beschäftigung“ von Personen     gezählt werden (10-Personen-Regel nach § 38 nicht nur für Arbeitnehmer, sondern etwa auch    Abs. 1 BDSG). Mitarbeiterinnen und Mitarbeiter für Auszubildende und freie Mitarbeiter anzu-    an Kassen, die lediglich eine EC- oder Kunden- nehmen. Gerade freie Mitarbeiter waren daher     karte einlesen, jedoch nicht auf eine Kunden- bei der Beurteilung der Frage, ob „mindestens    datenbank mit Daten zugreifen oder gegebe- zehn Personen ständig mit der automatisierten    nenfalls nur manuell die Kontodaten auf der Verarbeitung personenbezogener Daten be-         Karte in Augenschein nehmen, jedoch nicht in schäftigt werden“, mitzuzählen. Diese Intention  automatisierter Form zur Kenntnis nehmen TÄTIGKEITSBERICHT 2019 DES ULD       91

5 DATENSCHUTZ IN DER WIRTSCHAFT können, insbesondere nicht nach Abschluss des      beschäftigt werden, die automatisiert mit per- Bezahlvorgangs, sind nicht mitzuzählen.            sonenbezogenen Daten arbeiten, Personen hinzugezählt werden müssen, die z. B. auf Fragen zur Anwendung der 10-Personen-Regel         Datenbanken mit Angaben zu Mitgliedern und wurden an das ULD häufig auch im Zusammen-         Sportlerinnen und Sportlern bestimmungs- hang mit der Beauftragung von Monteuren in         gemäß Zugriff nehmen. Verarbeiten Trainer Handwerksbetrieben herangetragen. Erhalten         Spielerdaten wie etwa Trainings- und Wett- die Monteure lediglich die Kontaktdaten der        kampfergebnisse, Kontaktdaten der Spieler, An- Kunden sowie Angaben zur Ausführung eines          gaben zum Gesundheitszustand, zum Muskel- Auftrags, der vor Ort erledigt werden soll, so     aufbau und zur Ernährung, so sind auch diese sind diese Personen nicht mitzuzählen. Diese       hinzuzuzählen. Sportvereine müssen dabei den Einschätzung beruht auf der Annahme, dass in       Überblick darüber haben, welche Mitglieder diesen Fällen nur sehr wenige personenbezo-        welche personenbezogenen Daten der Sportle- gene Daten flüchtig zur Kenntnis genommen          rinnen und Sportler verarbeiten und zu Daten- werden, dies oft nicht in automatisierter Form     zugriffen autorisiert sind, um die Verpflichtung erfolgt und entsprechende Angaben nicht im         zur Benennung eines Datenschutzbeauftragten dauerhaften Zugriff der Monteure verbleiben.       prüfen zu können. Anders wäre der Sachverhalt wiederum zu beur- teilen, wenn die Monteure einen Zugriff auf eine   Im Rahmen der Praxis-Reihe „Datenschutzbe- Kundendatenbank erhalten und etwa dauerhaft        stimmungen praktisch umsetzen“ ist u. a. auch Auftragshistorien abrufen können. Im letzteren     eine Broschüre zur Benennung von Daten- Fall wären die Monteure im Rahmen der Prü-         schutzbeauftragten erschienen, die über fol- fung der 10-Personen-Regel mitzuzählen.            genden Link aufgerufen werden kann: Häufig wurde im Berichtszeitraum auch von          www.datenschutzzentrum.de/uploads/praxisreihe/ Sportvereinen nachgefragt, ob bei der Prüfung,     Praxisreihe-2-Datenschutzbeauftragte.pdf ob tatsächlich mindestens zehn Personen 5.4.3     Erforderlichkeit der Benennung von Datenschutzbeauftragten in Kindertagesstätten Bei Kindertagesstätten (Kitas) handelt es sich     Bei Kitas in kommunaler Trägerschaft ist die unabhängig von der Trägerschaft um eigen-          Benennung eines Datenschutzbeauftragten schon ständige Verantwortliche im Sinne der DSGVO.       nach Art. 37 Abs. 1 Buchst. a DSGVO erfor- Für die rechtmäßige und ordnungsgemäße             derlich. Danach haben alle Behörden und personenbezogene Datenverarbeitung ist die         öffentlichen Stellen einen Datenschutzbeauf- jeweilige Leitung der Kindertagesstätte zustän-    tragten zu benennen. Eine kommunale Kita ist dig.                                               zwar in der Regel organisatorisch verselbststän- digt. Rechtlich ist sie aber ein Teil der Kommune Welche datenschutzrechtlichen Vorschriften für     und damit Teil einer öffentlichen Stelle. Nach die personenbezogene Datenverarbeitung an-         Art. 37 Abs. 3 DSGVO kann für mehrere öffentli- zuwenden sind, richtet sich nach der jeweiligen    che Stellen unter Berücksichtigung ihrer Organi- Trägerschaft. Für alle Kitas gilt zunächst die     sationsstruktur und ihrer Größe ein gemeinsa- DSGVO. Ergänzend dazu finden für Kitas in          mer Datenschutzbeauftragter benannt werden. kommunaler Trägerschaft primär die Vorschrif-      Daher kann z. B. der Datenschutzbeauftragte ten des Landesdatenschutzgesetzes (LDSG), für      der Kommune auch Datenschutzbeauftragter Kitas in privater Trägerschaft (Träger der freien  der kommunalen Kita sein. Wenn für die Kita Jugendhilfe, Elternvereine usw.) das Bundesda-     kein     gesonderter      Datenschutzbeauftragter tenschutzgesetz (BDSG) und für Kitas in kirchli-   benannt wurde, geht das ULD davon aus, dass cher Trägerschaft die jeweiligen Datenschutzge-    der kommunale DSB auch für die kommunalen setze der Kirchen Anwendung.                       Kitas zuständig ist. 92       TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT Bei Einrichtungen in privater Trägerschaft geht         schrift war weiterhin, dass die Beobachtungs- das ULD davon aus, dass ein Fall von Art. 37            und Entwicklungsdokumentation als „umfang- Abs. 1 Buchst. b DSGVO gegeben ist. Nach                reiche regelmäßige und systematische Beob- dieser Vorschrift ist ein Datenschutzbeauftrag-         achtung“ im Sinne von Art. 37 Abs. 1 Buchst. b ter zu benennen, wenn die Kerntätigkeit des             DSGVO zu qualifizieren ist. Mit der Dokumenta- Verantwortlichen in der Durchführung von Ver-           tion in den Kindertagesstätten sollen die Ent- arbeitungsvorgängen besteht, welche aufgrund            wicklungsfortschritte, Verhaltensänderungen und ihrer Art, ihres Umfangs und/oder ihrer Zwecke          das Sozialverhalten der Kinder festgehalten eine umfangreiche regelmäßige und systemati-            werden. Die Informationen werden den Eltern, sche Überwachung von betroffenen Personen               aber auch (nach schriftlicher Einwilligung der erforderlich machen.                                    Eltern) den Schulen zur Verfügung gestellt. Die Dokumentation zeigt den Verlauf der Entwick- Zur Kerntätigkeit eines Verantwortlichen gehö-          lungsschritte der Kinder und ist somit geeignet, ren alle Vorgänge, die einen festen Bestandteil         die geistige, sprachliche und motorische Ent- seiner Haupttätigkeit darstellen. In Schleswig-         wicklung, die Vorlieben, Interessen und das Holstein ist das systematische Beobachten und           Verhalten der Kinder zu analysieren. Damit han- Dokumentieren der kindlichen Entwicklung                delt es sich nach Auffassung des ULD bei der Bestandteil der Arbeit der Erzieherinnen und            Dokumentation um eine entsprechende Beob- Erzieher. Bereits im Jahr 2006 hat die Landesre-        achtung, die eine Benennungspflicht nach gierung dazu die Broschüre „Systematisches              Art. 37 Abs. 1 Buchst. b DSGVO auslöst. Beobachten und Dokumentieren“ herausgege- ben. Im Vorwort heißt es dort: „Im Mittelpunkt          Unabhängig davon kann sich die Pflicht zur des gesetzlichen Auftrages der Kindertagesein-          Benennung eines Datenschutzbeauftragten richtungen (…) steht das aktive und lernbereite         auch aus § 38 Abs. 1 BDSG ergeben. Dies ist der Kind, dessen Bildungsweg in der Kindertages-            Fall, wenn in der Regel mindestens zehn Perso- einrichtung durch eine individualisierte und            nen ständig mit der automatisierten Verarbei- differenzierte Erziehungsarbeit unterstützt, an-        tung personenbezogener Daten beschäftigt geregt und gefordert werden soll. Beobachtung           sind. Bei der Personenzahl sind sämtliche Erzie- und eine darauf aufbauende Bildungsdoku-                her und Erzieherinnen zu berücksichtigen, die mentation nehmen deswegen einen zentralen               die Entwicklung der Kinder dokumentieren. Stellenwert ein. Sie sind notwendig, um Kinder          Geschieht dies automatisiert, so liegt nach und ihre Lernprozesse zu verstehen. Beobach-            unserer Einschätzung auch nach § 38 Abs. 1 tungen müssen kontinuierlich stattfinden und            BDSG die Pflicht zur Benennung eines Daten- schriftlich festgehalten werden, um sie als             schutzbeauftragten vor. Grundlage von Gesprächen mit dem Team, den Eltern und der Grundschule nutzen zu können.“           Die Benennung eines gemeinsamen Daten- schutzbeauftragten wäre auch für private Kita- Daraus ergibt sich, dass die Dokumentation zur          träger zulässig. Denkbar wäre auch die gemein- Kerntätigkeit der Erzieher und Erzieherinnen            same Benennung von Datenschutzbeauftragten gehört. Dabei ist es unerheblich, ob diese              durch kommunale und private Träger. Dabei Dokumentation in elektronischer oder konven-            muss in jedem Fall sichergestellt werden, dass tioneller Form geführt wird.                            den gemeinsam benannten Datenschutzbeauf- tragten ausreichend Zeit zur Verfügung steht, Eine weitere Voraussetzung für die Benen-               um ihrer Aufgabe im Hinblick auf alle beteilig- nungspflicht nach der oben genannten Vor-               ten Kitas nachkommen zu können. Was ist zu tun? Für Kindertagesstätten ist regelmäßig ein Datenschutzbeauftragter zu benennen. TÄTIGKEITSBERICHT 2019 DES ULD         93