5.6 Vorsicht vor der Weitergabe von Zugangsdaten zum Online-Banking! dann die im Online-Banking-Account vorhandenen Kontobewegungen und identifiziert die Mietzahlungen. Wenn diese ordnungsgemäß erfolgt sind, stellt das Unternehmen eine sog. Mietzahlungsbestätigung aus, die der Betroffene z. B. einem potentiellen Vermieter vorlegen kann, wenn er sich um eine neue Wohnung bewirbt. Solche Verfahren mögen für den Kunden bequem sein, bergen aber auch ein hohes Sicherheitsrisiko, da es sich bei den Online-Zugangsdaten um besonders missbrauchsanfällige Daten handelt. Auch aus den einzelnen Kontobewegungs- daten können Informationen gewonnen werden, die u. U. viel von den persön- lichen Lebensumständen des Betroffenen offenbaren und sensitiv sein können (z. B. Zahlungen von Arzt- und Medikamentenrechnungen, Mitgliedsbeiträge zu Partei und Gewerkschaft). Neben datenschutzrechtlichen Aspekten besteht außerdem die Gefahr, dass Betroffene durch die Weitergabe ihrer Daten gegen die Allgemeinen Geschäftsbedingungen ihrer jeweiligen Bank verstoßen,104 was ebenfalls Nachteile für den Kunden nach sich ziehen kann. Zu einem anderen Verfahren, in dem es um eine bestimmte Zahlungsmethode ging, wurde bereits gerichtlich festgestellt, dass es Verbrauchern nicht ohne Weiteres zugemutet werden kann, das Online-Banking-Passwort und die TAN an Dritte herauszu- geben. Zur Begründung stellte das Gericht fest, das Verfahren berge erhebliche Risiken für die Datensicherheit und eröffne gravierende Missbrauchsmöglich- keiten. Dem Verbraucher mussten daher andere zumutbare Zahlungsmetho- 105 den eröffnet werden. Auch in dem eingangs beschriebenen Beispiel ist zu raten, andere Möglichkei- ten zu nutzen. Falls sich der ehemalige Vermieter weigert, eine Mietzahlungsbe- stätigung auszustellen, kann der Nachweis auch durch andere Mittel, z. B. durch die Vorlage ansonsten geschwärzter Kontoauszüge, erfolgen.Vermieter müssen dies akzeptieren und dürfen einen Nachweis über Mietzahlungen ohnehin erst verlangen, wenn der Abschluss des Mietvertrags unmittelbar bevorsteht.  106 Online-Banking-Zugangsdaten und die TAN sollten nicht leichtfertig an Dritte herausgegeben werden, da damit erhebliche Risiken für die Datensicherheit verbunden sind und zudem Missbrauchsrisiken eröffnet werden. 104 Diese Frage ist derzeit noch Gegenstand kartellrechtlicher Verfahren. 105 LG Frankfurt a. M., Urteil vom 24. Juni 2015, 2-06 O 458/14 106 JB 2014, 7.1 Jahresbericht BlnBDI 2015                                                 79

Kapitel 5    Stadtentwicklung, Verkehr und Tourismus 5.7 Jagd auf Ferienwohnungen – heiligt der Zweck die Mittel? Das Bezirksamt Mitte hat einen privaten Dienstleister damit beauftragt, Aus der Praxis Daten von allen Ferienwohnungen zu beschaffen, die im Bezirk Mitte auf beliebten Vermittlungsplattformen im Internet angeboten wurden. Damit wollte das Bezirksamt illegal genutzten Wohnraum aufspüren. Der Dienst- leister setzte dazu ein Computer-Programm ein, welches Daten durch ein sog. „Crawling“ von den jeweiligen Vermittlungsplattformen abgriff – unab- hängig davon, ob die entsprechende Wohnung im Verdacht einer rechtswid- rigen Nutzung stand oder nicht. Dabei wurden nicht nur Name und Adresse des Anbieters erhoben, sondern auch eine Beschreibung von dessen Privat- wohnung, in welcher z. B. ein Ferienzimmer angeboten wurde. Diese Datenverarbeitung war rechtswidrig. Die Erhebung personenbezogener Daten zur Ermittlung von Ordnungswidrigkeiten und Straftaten ist nach unse- rer Rechtsordnung nur dann zulässig, wenn ein sog. Anfangsverdacht vorliegt. Eine anlasslose verdachtsunabhängige Speicherung ist nur im Ausnahmefall unter engen Voraussetzungen zulässig. Dies haben das Bundesverfassungsge- richt107 und der Europäische Gerichtshof 108 in ihren Urteilen zur Vorratsda- tenspeicherung deutlich gemacht, wo es um Datenspeicherungen zum Zwe- cke der Terrorismusabwehr ging.109 Diese rechtstaatlichen Grundsätze müssen erst recht gelten, wo es – wie hier – „nur“ darum geht, zweckentfremdeten Wohnraum aufzuspüren und noch nicht einmal eine Straftat im Raume steht. Zwar ist die Schaffung und Erhaltung bezahlbaren Wohnraums in den Innen- stadtbereichen ebenfalls ein hohes Gut. Allerdings rechtfertigt dies nicht eine anlasslose Datenspeicherung. Damit werden alle Anbieter von Ferienwohnun- gen unter Generalverdacht gestellt, obwohl nicht jede im Internet zu findende Ferienwohnung per se rechtswidrig angeboten ist. 107 BVerfG, Urteil vom 2. März 2010, 1 BvR 256/08 108 EuGH, Urteil vom 8. April 2014, C-293/12 und C-594/12 109 Siehe 4.1 80                                                        Jahresbericht BlnBDI 2015

5.7 Jagd auf Ferienwohnungen – heiligt der Zweck die Mittel? Unbeschadet dessen ist völlig unklar, ob die Maßnahmen überhaupt erfolg- versprechend sind, da die Standorte von Ferienwohnungen in der Regel nicht für jedermann abrufbar sind. Wer schon einmal eine Ferienwohnung über ein solches Portal angemietet hat, weiß, dass die genaue Adresse der Wohnung erst dann angezeigt wird, wenn man sich auf dem Portal einloggt oder seine Zah- lungsdaten angibt. Dass auch ein anderer Weg möglich ist, zeigt z. B. der Bezirk Charlottenburg Wilmersdorf, wo Presseberichten zufolge bis Mitte 2014 bereits über 600 Ver- fahren wegen unerlaubter Ferienwohnungen eingeleitet wurden, ohne dass in vergleichbarer Weise unzulässig Daten erhoben wurden. Wir haben dem Bezirksamt Mitte angeboten, es bei einer datenschutzkonfor- men Ausgestaltung der Internetrecherche zu beraten. Es hat dieses Angebot allerdings nicht angenommen und die Datenerhebung trotz unseres Votums wie geplant durchgeführt. Stattdessen wurde ein privates Rechtsgutachten in Auftrag gegeben, welches – wie zu erwarten – zu dem vom Bezirksamt Mitte gewünschten, allerdings unzutreffenden Ergebnis gekommen ist, dass die Date- nerhebung unbedenklich sei. Unsere Behörde hat in einem solchen Fall bis- her nicht die rechtliche Möglichkeit, eine rechtswidrige Datenverarbeitung zu untersagen, sodass wir lediglich eine Beanstandung110 aussprechen konnten. Dieses Vollzugsdefizit wird sich mit Inkrafttreten der EU-Datenschutz-Grund- verordnung ändern, da dort den Datenschutzaufsichtsbehörden die Möglich- keit eingeräumt wird, eine rechtswidrige Datenverarbeitung zu untersagen.  111 Die anlasslose Erfassung und Speicherung personenbezogener Daten ist zur Verfolgung bloßer Ordnungswidrigkeiten unzulässig. Sie verstößt gegen das Grundrecht auf informationelle Selbstbestimmung und die Unschuldsvermu- tung. Das gilt auch bei der Fahndung nach illegalen Ferienwohnungen. 110 § 26 BlnDSG 111 Siehe 2.1.1 Jahresbericht BlnBDI 2015                                               81

Kapitel 5    Stadtentwicklung, Verkehr und Tourismus 5.8 Probleme für Hotelgäste 5.8.1 Ausweiskopien zur Befreiung von der City Tax Uns erreichen immer wieder Beschwerden, dass insbesondere beim Aus der Praxis Check-In im Hotel Personalausweiskopien der Gäste angefertigt werden. Wir haben bereits mehrfach darüber berichtet, dass das Kopieren des Per- sonalausweises nicht rechtmäßig ist. Was aber ist mit der Kopie eines 112 Dienstausweises? Personalausweise werden an Rezeptionen in Hotels trotz breiter Aufklärung noch immer kopiert. Dabei ist die Hinterlegung aller darin enthaltenen Daten weder melderechtlich noch für die Durchführung des Beherbergungsvertrages notwendig. Dem Personalausweis sind viele Daten zu entnehmen, die hierfür überflüssig sind und demnach ohnehin auf einer Kopie zu schwärzen wären, z. B. Foto, Augenfarbe und Körpergröße. Für den neuen Personalausweis mit eID-Funktion gibt es sogar ein Kopierverbot.113 Ein Bürger beschwerte sich, weil in einem Hotel anlässlich seiner Über- nachtung während einer Dienstreise sein Dienstausweis kopiert wurde. Ein Dienstausweis enthält je nach Ausgestaltung personenbezogene Daten wie Geburtsdatum und Foto. Das Hotel trug vor, die Kopie sei als Nachweis bei der Abwicklung der sog. City Tax notwendig. Von der Besteuerung sind Übernachtungen aus beruf- lichen Gründen ausgeschlossen, wenn der Übernachtungsgast diesen Grund gegenüber dem Beherbergungsbetrieb, dem Hotel, glaubhaft macht.114 Als Rechtsgrundlage zur Datenerhebung in Form einer Dienstausweiskopie ist diese Klausel zu unbestimmt. Sie dient aber der Ausfüllung des Merkmals der Erforderlichkeit der Datenerhebung und -verarbeitung zur Durchführung eines Vertragsverhältnisses.115 Das Hotel kann für diesen Nachweis gegenüber dem Finanzamt z. B. eine Kopie des Dienstausweises beifügen. Allerdings dürfen aus 112 Siehe auch JB 2014, 15 (S. 181); JB 2013, 8.7 113 § 14 PAuswG; Begründung zu § 14 PAuswG in BR-Drs. 550/08 vom 8. August 2008; VG Hannover, Urteil vom 28. November 2013, 10 A 5342/11 114 § 1 Abs. 3 Satz 1 und 2 Übernachtungsteuergesetz (ÜnStG) 115 § 28 Abs. 1 Satz 1 Nr. 1 BDSG 82                                                           Jahresbericht BlnBDI 2015

5.8 Probleme für Hotelgäste dieser Kopie nicht mehr personenbezogene Daten hervorgehen, als für diesen Zweck notwendig sind. Die Anfertigung einer Dienstausweiskopie ist möglich, damit ein Hotel gegenüber dem Finanzamt nachweisen kann, dass die Übernachtungsteuer wegen einer beruflich veranlassten Übernachtung nicht erhoben wurde. Für den Nachweis sind nicht erforderliche Daten wie Fotos zu schwärzen. 5.8.2 „Schwarze Listen“ In dem Hotel einer großen Kette wurden potenzielle Hotelgäste am Aus der Praxis Empfang abgewiesen, weil sie nach Auskunft des Empfangspersonals in einer sog. „Schwarzen Liste“ geführt würden. Auf Nachfrage wurden zu dieser Liste keine weiteren Auskünfte erteilt. Erst uns gegenüber machte man nähere Angaben. Tatsächlich würde eine solche Liste hotelintern geführt. Darin seien die Betroffenen ausschließlich mit dem Vermerk „Raucher“ bzw. „Schwarzschläfer“ aufgeführt. Eine Auskunft den Betrof- fenen gegenüber gebe es nicht, da die Liste nur innerhalb des Hotels ver- wendet würde und nicht öffentlich sei. Im Rahmen der Vertragsfreiheit kann ein Hotel entscheiden, mit welchen Gäs- ten es einen Beherbergungsvertrag schließen möchte. Als eine mögliche Basis für diese Entscheidung und um einen geordneten und sicheren Hotelbetrieb zu gewährleisten, ist es nachvollziehbar, dass ein Hotel eine Liste in Bezug auf Personen führt, die den Hausfrieden bereits gestört haben. Wenn beispielsweise trotz Rauchverbots in den Zimmern geraucht und dadurch ein hotelweiter Rauchalarm ausgelöst wird, kann dies dazu führen, dass das gesamte Hotel geräumt werden muss. Es kann auch sein, dass Gäste weitere, nicht angemeldete Gäste in ihren Zimmern schlafen lassen, um Kosten zu sparen. Beides ist eine vertragswidrige Nutzung. Sollte ein solches Verhalten bestimmten Personen nachgewiesen werden, ist es gerechtfertigt, diese unter konkreter Benennung von Name, Zeitpunkt und Kontext in einer Liste zu speichern.Von dieser Spei- cherung sind die Betroffenen zu unterrichten. Eine Unterscheidung zwischen intern und extern geführten Listen kennt das BDSG nicht, sofern personenbe- zogene Daten erfasst werden. Die in der Hotelliste geführten Daten sind daher auch zu beauskunften. Den Betroffenen stehen nämlich weitere Rechte z. B. Jahresbericht BlnBDI 2015                                                 83

Kapitel 5     Stadtentwicklung, Verkehr und Tourismus zur Berichtigung, Löschung und Sperrung116 zu, die sie nur geltend machen können, wenn sie die Eintragung kennen. Das Hotel hat die Hausverbotsliste nun bei der Zentrale der Hotelkette unter Verwaltung des betrieblichen Datenschutzbeauftragten angelegt. Um Personen in diese Liste aufzunehmen, muss ein substantiiert vorgetragener Grund aufge- führt sein. Die Betroffenen werden über die Speicherung informiert und kön- nen dann ihre weiteren Rechte geltend machen. Hotelverbotslisten sind zulässig. Die datenschutzrechtlichen Vorgaben müs- sen aber beachtet werden. 5.9 GeoBusiness Code of Conduct – Verhaltensregel zur Geodatennutzung durch Wirtschaftsunternehmen Im Juli haben wir zum zweiten Mal nach 2012 einem Branchenverband 117 beschieden, dass sein Verhaltenskodex mit dem geltenden Datenschutzrecht vereinbar ist. Die entsprechende Anerkennung hatte der Verein Selbstregulie- rung in der Informationswirtschaft (SRIW e. V.) beantragt, damit die wirt- schaftliche Nutzung von Geodaten öffentlicher Stellen durch Unternehmen nach einer anerkannten Selbstverpflichtungserklärung für den Umgang mit den Geodaten erfolgen kann. Das ist deshalb erforderlich, weil es häufig hoch- auflösende und genaue Geodaten gibt, die einen Personenbezug zulassen. Als Beispiel seien Eigentümerinformationen in Grundstücksdaten genannt, die von der Rohstoffwirtschaft genutzt werden können, um ihre Betriebspla- nung weiter zu verbessern; auch Angaben zu denkmalgeschützten Gebäuden, die für die Versicherungswirtschaft relevant sind, gehören dazu. Unternehmen haben die Möglichkeit, der Selbstverpflichtungserklärung beizutreten. Sie     118 müssen nachweisen, dass Geschäftsprozesse den datenschutzrechtlichen Vorga- ben genügen. Dazu werden u. a. bestimmte technische und organisatorische Regelungen des Unternehmens in Bezug auf den Datenschutz abgefragt. Den 116 § 35 BDSG 117 JB 2012, 15.1 118 www.geodatenschutz.org 84                                                        Jahresbericht BlnBDI 2015

5.9 GeoBusiness Code of Conduct Aufsichtsbehörden wurde der elektronische Zugang zu den Akkreditierungen der Unternehmen ermöglicht. Bislang sind deutschlandweit fünf Unternehmen dem Verhaltenskodex beigetreten.119 Die Nutzung von Geodaten öffentlicher Stellen wird durch den jetzt aner- kannten GeoBusiness Code of Conduct erleichtert. Nach der EU-Daten- schutz-Grundverordnung120 wird die praktische Bedeutung solcher Verhal- tenskodizes noch zunehmen. 119 Stand: 10. Dezember 2015 120 Siehe 2.1.1 Jahresbericht BlnBDI 2015                                            85

Kapitel 6   Jugend 6 Jugend 6.1 Ergänzendes Hilfesystem für Betroffene sexueller Gewalt Der Runde Tisch „Sexueller Kindesmissbrauch in Abhängigkeits- und Aus der Praxis Machtverhältnissen in privaten und öffentlichen Einrichtungen und im familiären Bereich“ hat in seinem Abschlussbericht empfohlen, ein ergän- zendes Hilfesystem (EHS) für diejenigen einzurichten, die in ihrer Kindheit bzw. Jugend sexuellen Missbrauch erlitten haben und noch heute an dessen Folgewirkungen leiden. Dazu sollte über den für den Missbrauch im fami- liären Bereich eingerichteten Fonds hinaus eine Erweiterung auf den insti- tutionellen Bereich erfolgen. Diejenigen Opfer, die aus den Regelsystemen des Gesundheits- und Sozialwesens keine Leistungen mehr erhalten, können durch das EHS unterstützt werden. Im institutionellen Bereich haben die einzelnen Bundesländer die Arbeitgeber- verantwortung für Missbrauchsfälle, für die Beschäftigte des jeweiligen Landes einstehen müssen, zu übernehmen. Die beim Bund eingerichtete Geschäfts- stelle „Fonds sexueller Missbrauch“ nimmt die das EHS betreffenden Anträge entgegen und leitet sie zur Prüfung der Arbeitgeberverantwortung an das zuständige Land weiter. Bei der Umsetzung des EHS in den Bundesländern trat die Frage auf, inwie- weit sich im Rahmen der Prüfung der Arbeitgeberverantwortung durch das jeweilige Bundesland die Notwendigkeit ergeben kann, Informationen über die Täter zu kennen. Insbesondere in Fallkonstellationen, in denen mögli- che Täter noch aktiv im Dienst sein könnten, kann es notwendig werden, dienstrechtliche Maßnahmen zu ergreifen. Da eine Erhebung und Weiter- leitung von Täternamen durch die beim Bund eingerichtete Stelle nicht erfolgen, oblag es den einzelnen Bundesländern, ein Verfahren zur Prüfung ihrer Arbeitgeberverantwortung zu entwickeln. Hierbei war zu klären, ob die Kenntnis von Daten über den Täter als Voraussetzung für eine Hilfege- währung für erforderlich gehalten wird, um diese dann ggf. direkt bei den Opfern zu erheben. 86                                                      Jahresbericht BlnBDI 2015

6.2 Ausführungsvorschriften für Maßnahmen zum Kinderschutz Die in Berlin für das EHS zuständige Senatsverwaltung für Bildung, Jugend und Wissenschaft hat uns frühzeitig um Beratung im Hinblick auf ein datenschutz- gerechtes Verfahren gebeten. Hierbei haben wir die Problematik der Erhebung von Täternamen und die sich daraus ergebenden möglichen Folgen und Kon- sequenzen für die Opfer intensiv erörtert. In den einzelnen Bundesländern entstand eine uneinheitliche Praxis, da einige Bundesländer die Erhebung der Täternamen verlangen, andere offenbar darauf verzichten. In Berlin hat sich die Senatsverwaltung entschieden, lediglich in denjenigen Fallkonstellationen, in denen in Betracht kommt, dass sich die Täter noch aktiv im Dienst befin- den, eine Abfrage des Täternamens mit dem ausdrücklichen Einverständnis der Betroffenen und unter Erläuterung der möglichen Folgen vorzunehmen. Zwischenzeitlich wurde eine Koordinierungsstelle bei der Senatsverwaltung eingerichtet. Zusätzlich hat im Oktober die Beratungsstelle zum Ergänzen- den Hilfesystem in Kooperation mit zwei erfahrenen Trägern in der Arbeit mit Betroffenen sexualisierter Gewalt ihre Arbeit aufgenommen. Sie informiert über Antragsvoraussetzungen und bietet Unterstützung bei der Antragstellung. Wir gehen davon aus, dass mit dem von der Senatsverwaltung für Bildung, Jugend und Wissenschaft gewählten Verfahren den Datenschutzbelangen der oftmals traumatisierten Opfer sexueller Gewalt Rechnung getragen werden kann und ihnen Hilfe durch das ergänzende Hilfesystem zuteilwird. 6.2 Gemeinsame Ausführungsvorschriften für Maßnah- men zum Kinderschutz Die Senatsverwaltung für Bildung, Jugend und Wissenschaft hat uns den Aus der Praxis gemeinsam mit der Senatsverwaltung für Gesundheit und Soziales erar- beiteten Entwurf der „Gemeinsamen Ausführungsvorschriften über die Durchführung von Maßnahmen zum Kinderschutz in den Jugend-, Gesundheits- und Sozialämtern des Landes Berlin“ zur Prüfung vor- 121 gelegt. Die Vorschriften regeln die Zusammenarbeit dieser Ämter bei Kindeswohlgefährdung. 121 AV Kinderschutz JugGesSoz Jahresbericht BlnBDI 2015                                               87

Kapitel 6     Jugend Eine Neufassung der Ausführungsvorschriften von 2008122 ist u. a. durch die mit dem Bundeskinderschutzgesetz 2012 geschaffenen Neuregelungen im Bereich des Kinderschutzes notwendig geworden. Allerdings sind wir erst in einem späten Stadium des in einem mehrjährigen Prozess unter Federführung der Senatsverwaltung für Gesundheit und Soziales gemeinsam mit der Senats- verwaltung für Bildung, Jugend und Wissenschaft erarbeiteten Entwurfs der Ausführungsvorschriften beteiligt worden. Wir haben insbesondere die nicht ausreichende Differenzierung zwischen den im Hinblick auf den Umgang mit Fällen von Kindeswohlgefährdung unter- schiedlichen gesetzlichen Aufgabenzuweisungen der Jugend- und der Gesund- heitsämter kritisiert. Während der Gesetzgeber den Schutzauftrag bei Kindes- wohlgefährdung123 und damit die Verpflichtung, diese mit den Instrumenten des Kinder- und Jugendhilferechts abzuwenden, den Jugendämtern zuweist, haben die Gesundheitsämter in erster Linie die Aufgaben der Prävention, Gesundheitsförderung, Gesundheitshilfe und die Sicherstellung des Schutzes der Gesundheit für Kinder und Jugendliche wahrzunehmen. Die uns vorge- legten Ausführungsvorschriften nahmen diese Differenzierung der gesetzlichen Aufgaben sowie Verpflichtungen und der daraus folgenden unterschiedlichen datenschutzrechtlichen Befugnisse zur Datenverarbeitung nicht ausreichend vor. Gerade für die einzelfallbezogene Zusammenarbeit zwischen den Jugend- und Gesundheitsämtern ist es jedoch wichtig, die datenschutzrechtlichen Möglich- keiten, aber auch Grenzen der Kooperation aufzuzeigen, um den handelnden Fachkräften in diesem sensiblen Bereich Rechtssicherheit im Umgang mit den datenschutzrechtlichen Vorschriften zu geben. In konstruktiver Zusammenarbeit mit der Senatsverwaltung für Bildung, Jugend und Wissenschaft ist es uns gelungen, einen gemeinsamen Entwurf der Ausführungsvorschriften abzustimmen. Die notwendige Abstimmung mit der Senatsverwaltung für Gesundheit und Soziales steht noch aus. 122 Gemeinsame Ausführungsvorschriften über die Durchführung von Maßnahmen zum Kin- derschutz in den Jugend- und Gesundheitsämtern der Bezirksämter des Landes Berlin (AV Kinderschutz JugGes) vom 8. April 2008 123 § 8a Sozialgesetzbuch – Achtes Buch (SGB VIII) 88                                                                 Jahresbericht BlnBDI 2015