5 DATENSCHUTZ IN DER WIRTSCHAFT Grundverordnung nochmals besonderes Ge-             Orientierungshilfe „Selbstauskünfte für Mietin- wicht erhalten. Demnach läge im Bereich der         teressenten“: Anmietung von Wohnraum keine freiwillige und damit unwirksame Einwilligungserklärung vor,        www.datenschutzkonferenz-online.de/ wenn der Abschluss des Mietvertrags von der         media/oh/20180207_oh_mietauskuenfte.pdf Einwilligung in die Erhebung nicht erforderlicher Angaben abhängig gemacht wird. Was ist zu tun? Vermieter von Wohnraum dürfen von Mietinteressenten nur erforderliche Angaben erheben. Personenbezogene Daten, für die berechtigte Vermieterinteressen bestehen, dürfen nur erhoben werden, wenn die Gesamtabwägung mit schutzwürdigen Mietinteressenten dies rechtfertigt. Im Falle der Verwendung von Vermieterfragebögen sind die Maßgaben der Orientierungshilfe einzuhalten. 5.4       Interessante Einzelfälle 5.4.1     Juristische Personen als Datenschutzbeauftragte? Vorbehaltlich einer künftigen Klärung der Frage     tragten übernehmen sollen. Der zugrunde lie- durch die Rechtsprechung wird vorliegend die        gende Dienstleistungsvertrag soll nicht ohne Auffassung vertreten, dass nur natürliche Per-      Weiteres von einem Verantwortlichen oder sonen als Datenschutzbeauftragte benannt            Auftragsverarbeiter gekündigt werden können. werden können. Etwa die Benennung einer             Den natürlichen Personen, die auf Basis des GmbH selbst als Datenschutzbeauftragte ist          Vertrags als Datenschutzbeauftragte eingesetzt demnach nicht statthaft. Diese GmbH könnte          werden, komme eine Art arbeitsrechtlicher aber die Dienste ihrer Mitarbeiter als Daten-       Kündigungsschutz zu, indem diese vor unge- schutzbeauftragte anbieten, die dann von ande-      rechtfertigten Entlassungen durch deren Arbeit- ren Unternehmen entsprechend benannt wer-           geber geschützt seien. den. Daher wird durch die Aufsichtsbehörden auf Die Datenschutzaufsichtsbehörden auf europäi-       europäischer Ebene nicht die Aussage getrof- scher Ebene gehen in Auslegung der Daten-           fen, dass juristische Personen selbst als Daten- schutz-Grundverordnung davon aus, dass u. a.        schutzbeauftragte in Betracht kommen. Viel- Unternehmen mit einer anderen Stelle (natürli-      mehr wird die Konstellation erörtert, wonach che oder juristische Person) einen Dienstleis-      etwa eine juristische Person einen Dienstleis- tungsvertrag schließen können. Dieser Vertrag       tungsvertrag mit einem Verantwortlichen oder hat aber nicht die Benennung dieser anderen         Auftragsverarbeiter schließt. Diese juristische Stelle selbst als Datenschutzbeauftragte zum        Person beschäftigt wiederum natürliche Perso- Gegenstand. Stattdessen soll der Vertrag vorse-     nen, welche letztlich die Funktion eines Daten- hen, welche natürlichen Personen allein oder als    schutzbeauftragten für den Verantwortlichen „Team“ die Funktion eines Datenschutzbeauf-         oder Auftragsverarbeiter wahrnehmen sollen. 90       TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT gung im Rahmen einer Berufsausbildung bzw. Leitlinien in Bezug auf Datenschutzbe- eines Studiums erworben wurde, was nur durch auftragte                                     natürliche Personen erfolgen kann. Hinweise der europäischen Datenschutzauf-     Zwar können die Vorgaben des deutschen sichtsbehörden zur Benennung von Daten-       Datenschutzrechts im Bundesdatenschutzgesetz schutzbeauftragten (WP 243) können unter      nicht zur Auslegung der Datenschutz-Grund- folgendem Link aufgerufen werden:             verordnung herangezogen werden. Unabhängig davon kann auch aus diesen Vorgaben abge- www.datenschutzkonferenz-online.de/           leitet werden, dass nur Menschen als Daten- media/wp/20170405_wp243_rev01.pdf             schutzbeauftragte benannt werden sollen. So beziehen sich jene Vorgaben etwa auf die Anwendung arbeitsrechtlicher Kündigungsre- Datenschutzbeauftragte werden auf der Grund-     geln und auf die Zubilligung eines Zeugnis- lage ihrer beruflichen Qualifikation und insbe-  verweigerungsrechts, was nur bei der Benen- sondere des Fachwissens benannt, welches         nung natürlicher Personen als Datenschutzbe- diese auf dem Gebiet des Datenschutzrechts       auftragte von Bedeutung sein kann (36. TB, und der Datenschutzpraxis erworben haben.        Tz. 5.3). Ferner kann die oder der Datenschutzbeauf- tragte Beschäftigte oder Beschäftigter des       Die Kontaktdaten der Datenschutzbeauftragten Verantwortlichen oder Auftragsverarbeiters sein  sind nach den Vorgaben der DSGVO an die oder die Aufgaben auf Grundlage eines Dienst-    zuständige Datenschutzaufsichtsbehörde zu leistungsvertrags erfüllen. Die besseren Argu-   melden. Ein Meldeformular wird unter folgen- mente sprechen dabei für die ausschließliche     dem Link bereitgestellt: Benennung natürlicher Personen. Vor allem das Abstellen auf die berufliche Qualifikation legt  www.datenschutzzentrum.de/formular/meldung- den Schluss nahe, dass die erforderliche Befähi- dsb.php 5.4.2     Benennung von Datenschutzbeauftragten – mindestens zehn beschäftigte Personen Ergänzend zu den Vorgaben der Datenschutz-       hat sich mit der Geltung der Neuregelung seit Grundverordnung müssen nichtöffentliche Stel-    dem 25.05.2018 nicht geändert, zumal der len wie Unternehmen insbesondere dann einen      Gesetzgeber auch vom Wortlaut her gesehen Datenschutzbeauftragten benennen, soweit sie     die Altregelung übernommen hat. in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personen-   Personen, welche Zugriff auf Kundendatenban- bezogener Daten beschäftigen. Im Vergleich zur   ken nehmen, etwa vertragliche Unterlagen ein- Rechtslage vor der Geltung der Datenschutz-      sehen können, Personaldaten verwalten oder in Grundverordnung sind insoweit keine Änderun-     automatisierter Form personenbezogene Daten gen eingetreten.                                 verarbeiten, welche z. B. über die Lebensum- stände von Einzelpersonen Auskunft geben, Für die Vorgängervorschrift im alten Bundesda-   müssen bei der Frage der Verpflichtung zur tenschutzgesetz hatte der Gesetzgeber die        Benennung eines Datenschutzbeauftragten mit- Intention, eine „Beschäftigung“ von Personen     gezählt werden (10-Personen-Regel nach § 38 nicht nur für Arbeitnehmer, sondern etwa auch    Abs. 1 BDSG). Mitarbeiterinnen und Mitarbeiter für Auszubildende und freie Mitarbeiter anzu-    an Kassen, die lediglich eine EC- oder Kunden- nehmen. Gerade freie Mitarbeiter waren daher     karte einlesen, jedoch nicht auf eine Kunden- bei der Beurteilung der Frage, ob „mindestens    datenbank mit Daten zugreifen oder gegebe- zehn Personen ständig mit der automatisierten    nenfalls nur manuell die Kontodaten auf der Verarbeitung personenbezogener Daten be-         Karte in Augenschein nehmen, jedoch nicht in schäftigt werden“, mitzuzählen. Diese Intention  automatisierter Form zur Kenntnis nehmen TÄTIGKEITSBERICHT 2019 DES ULD       91

5 DATENSCHUTZ IN DER WIRTSCHAFT können, insbesondere nicht nach Abschluss des      beschäftigt werden, die automatisiert mit per- Bezahlvorgangs, sind nicht mitzuzählen.            sonenbezogenen Daten arbeiten, Personen hinzugezählt werden müssen, die z. B. auf Fragen zur Anwendung der 10-Personen-Regel         Datenbanken mit Angaben zu Mitgliedern und wurden an das ULD häufig auch im Zusammen-         Sportlerinnen und Sportlern bestimmungs- hang mit der Beauftragung von Monteuren in         gemäß Zugriff nehmen. Verarbeiten Trainer Handwerksbetrieben herangetragen. Erhalten         Spielerdaten wie etwa Trainings- und Wett- die Monteure lediglich die Kontaktdaten der        kampfergebnisse, Kontaktdaten der Spieler, An- Kunden sowie Angaben zur Ausführung eines          gaben zum Gesundheitszustand, zum Muskel- Auftrags, der vor Ort erledigt werden soll, so     aufbau und zur Ernährung, so sind auch diese sind diese Personen nicht mitzuzählen. Diese       hinzuzuzählen. Sportvereine müssen dabei den Einschätzung beruht auf der Annahme, dass in       Überblick darüber haben, welche Mitglieder diesen Fällen nur sehr wenige personenbezo-        welche personenbezogenen Daten der Sportle- gene Daten flüchtig zur Kenntnis genommen          rinnen und Sportler verarbeiten und zu Daten- werden, dies oft nicht in automatisierter Form     zugriffen autorisiert sind, um die Verpflichtung erfolgt und entsprechende Angaben nicht im         zur Benennung eines Datenschutzbeauftragten dauerhaften Zugriff der Monteure verbleiben.       prüfen zu können. Anders wäre der Sachverhalt wiederum zu beur- teilen, wenn die Monteure einen Zugriff auf eine   Im Rahmen der Praxis-Reihe „Datenschutzbe- Kundendatenbank erhalten und etwa dauerhaft        stimmungen praktisch umsetzen“ ist u. a. auch Auftragshistorien abrufen können. Im letzteren     eine Broschüre zur Benennung von Daten- Fall wären die Monteure im Rahmen der Prü-         schutzbeauftragten erschienen, die über fol- fung der 10-Personen-Regel mitzuzählen.            genden Link aufgerufen werden kann: Häufig wurde im Berichtszeitraum auch von          www.datenschutzzentrum.de/uploads/praxisreihe/ Sportvereinen nachgefragt, ob bei der Prüfung,     Praxisreihe-2-Datenschutzbeauftragte.pdf ob tatsächlich mindestens zehn Personen 5.4.3     Erforderlichkeit der Benennung von Datenschutzbeauftragten in Kindertagesstätten Bei Kindertagesstätten (Kitas) handelt es sich     Bei Kitas in kommunaler Trägerschaft ist die unabhängig von der Trägerschaft um eigen-          Benennung eines Datenschutzbeauftragten schon ständige Verantwortliche im Sinne der DSGVO.       nach Art. 37 Abs. 1 Buchst. a DSGVO erfor- Für die rechtmäßige und ordnungsgemäße             derlich. Danach haben alle Behörden und personenbezogene Datenverarbeitung ist die         öffentlichen Stellen einen Datenschutzbeauf- jeweilige Leitung der Kindertagesstätte zustän-    tragten zu benennen. Eine kommunale Kita ist dig.                                               zwar in der Regel organisatorisch verselbststän- digt. Rechtlich ist sie aber ein Teil der Kommune Welche datenschutzrechtlichen Vorschriften für     und damit Teil einer öffentlichen Stelle. Nach die personenbezogene Datenverarbeitung an-         Art. 37 Abs. 3 DSGVO kann für mehrere öffentli- zuwenden sind, richtet sich nach der jeweiligen    che Stellen unter Berücksichtigung ihrer Organi- Trägerschaft. Für alle Kitas gilt zunächst die     sationsstruktur und ihrer Größe ein gemeinsa- DSGVO. Ergänzend dazu finden für Kitas in          mer Datenschutzbeauftragter benannt werden. kommunaler Trägerschaft primär die Vorschrif-      Daher kann z. B. der Datenschutzbeauftragte ten des Landesdatenschutzgesetzes (LDSG), für      der Kommune auch Datenschutzbeauftragter Kitas in privater Trägerschaft (Träger der freien  der kommunalen Kita sein. Wenn für die Kita Jugendhilfe, Elternvereine usw.) das Bundesda-     kein     gesonderter      Datenschutzbeauftragter tenschutzgesetz (BDSG) und für Kitas in kirchli-   benannt wurde, geht das ULD davon aus, dass cher Trägerschaft die jeweiligen Datenschutzge-    der kommunale DSB auch für die kommunalen setze der Kirchen Anwendung.                       Kitas zuständig ist. 92       TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT Bei Einrichtungen in privater Trägerschaft geht         schrift war weiterhin, dass die Beobachtungs- das ULD davon aus, dass ein Fall von Art. 37            und Entwicklungsdokumentation als „umfang- Abs. 1 Buchst. b DSGVO gegeben ist. Nach                reiche regelmäßige und systematische Beob- dieser Vorschrift ist ein Datenschutzbeauftrag-         achtung“ im Sinne von Art. 37 Abs. 1 Buchst. b ter zu benennen, wenn die Kerntätigkeit des             DSGVO zu qualifizieren ist. Mit der Dokumenta- Verantwortlichen in der Durchführung von Ver-           tion in den Kindertagesstätten sollen die Ent- arbeitungsvorgängen besteht, welche aufgrund            wicklungsfortschritte, Verhaltensänderungen und ihrer Art, ihres Umfangs und/oder ihrer Zwecke          das Sozialverhalten der Kinder festgehalten eine umfangreiche regelmäßige und systemati-            werden. Die Informationen werden den Eltern, sche Überwachung von betroffenen Personen               aber auch (nach schriftlicher Einwilligung der erforderlich machen.                                    Eltern) den Schulen zur Verfügung gestellt. Die Dokumentation zeigt den Verlauf der Entwick- Zur Kerntätigkeit eines Verantwortlichen gehö-          lungsschritte der Kinder und ist somit geeignet, ren alle Vorgänge, die einen festen Bestandteil         die geistige, sprachliche und motorische Ent- seiner Haupttätigkeit darstellen. In Schleswig-         wicklung, die Vorlieben, Interessen und das Holstein ist das systematische Beobachten und           Verhalten der Kinder zu analysieren. Damit han- Dokumentieren der kindlichen Entwicklung                delt es sich nach Auffassung des ULD bei der Bestandteil der Arbeit der Erzieherinnen und            Dokumentation um eine entsprechende Beob- Erzieher. Bereits im Jahr 2006 hat die Landesre-        achtung, die eine Benennungspflicht nach gierung dazu die Broschüre „Systematisches              Art. 37 Abs. 1 Buchst. b DSGVO auslöst. Beobachten und Dokumentieren“ herausgege- ben. Im Vorwort heißt es dort: „Im Mittelpunkt          Unabhängig davon kann sich die Pflicht zur des gesetzlichen Auftrages der Kindertagesein-          Benennung eines Datenschutzbeauftragten richtungen (…) steht das aktive und lernbereite         auch aus § 38 Abs. 1 BDSG ergeben. Dies ist der Kind, dessen Bildungsweg in der Kindertages-            Fall, wenn in der Regel mindestens zehn Perso- einrichtung durch eine individualisierte und            nen ständig mit der automatisierten Verarbei- differenzierte Erziehungsarbeit unterstützt, an-        tung personenbezogener Daten beschäftigt geregt und gefordert werden soll. Beobachtung           sind. Bei der Personenzahl sind sämtliche Erzie- und eine darauf aufbauende Bildungsdoku-                her und Erzieherinnen zu berücksichtigen, die mentation nehmen deswegen einen zentralen               die Entwicklung der Kinder dokumentieren. Stellenwert ein. Sie sind notwendig, um Kinder          Geschieht dies automatisiert, so liegt nach und ihre Lernprozesse zu verstehen. Beobach-            unserer Einschätzung auch nach § 38 Abs. 1 tungen müssen kontinuierlich stattfinden und            BDSG die Pflicht zur Benennung eines Daten- schriftlich festgehalten werden, um sie als             schutzbeauftragten vor. Grundlage von Gesprächen mit dem Team, den Eltern und der Grundschule nutzen zu können.“           Die Benennung eines gemeinsamen Daten- schutzbeauftragten wäre auch für private Kita- Daraus ergibt sich, dass die Dokumentation zur          träger zulässig. Denkbar wäre auch die gemein- Kerntätigkeit der Erzieher und Erzieherinnen            same Benennung von Datenschutzbeauftragten gehört. Dabei ist es unerheblich, ob diese              durch kommunale und private Träger. Dabei Dokumentation in elektronischer oder konven-            muss in jedem Fall sichergestellt werden, dass tioneller Form geführt wird.                            den gemeinsam benannten Datenschutzbeauf- tragten ausreichend Zeit zur Verfügung steht, Eine weitere Voraussetzung für die Benen-               um ihrer Aufgabe im Hinblick auf alle beteilig- nungspflicht nach der oben genannten Vor-               ten Kitas nachkommen zu können. Was ist zu tun? Für Kindertagesstätten ist regelmäßig ein Datenschutzbeauftragter zu benennen. TÄTIGKEITSBERICHT 2019 DES ULD         93

5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.4    Steuerberater als Auftragsverarbeiter? Im Kurzpapier Nr. 13 der Datenschutzkonferenz    rungsprivileg für steuerberatende Berufe. Hilfe- wird ausgeführt, dass die Einbeziehung eines     leistungen in der laufenden Lohnbuchhaltung Steuerberaters bezüglich der Verarbeitung        sind demnach nicht den steuerberatenden personenbezogener Daten in der Regel keine       Berufen vorbehalten. Auftragsverarbeitung darstellt. DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung     Würde ein Steuerberater nun im Einzelfall aus- oder die Finanzbuchhaltung durch Rechenzen-      schließlich Aufgaben der laufenden Lohnbuch- tren werden hingegen als Anwendungsbeispiel      haltung wahrnehmen (kein Einrichten von Lohn- für eine Auftragsverarbeitung aufgeführt.        konten, keine Abschlussarbeiten bzw. keine beratende Tätigkeit), so bleiben die allgemeinen Berufspflichten nach dem Steuerberatungsge- Stellungnahme der Datenschutzkonferenz setz natürlich bestehen. Andererseits besteht Das erwähnte Kurzpapier Nr. 13 zur Einbin-     bei der Ausführung des Auftrags auch kein dung von Auftragsverarbeitern kann unter       nennenswerter eigener Entscheidungsspielraum. folgendem Link aufgerufen werden:              Es kommt im Wesentlichen darauf an, dass routinemäßig eine korrekte Berechnung erfolgt, www.datenschutzzentrum.de/artikel/             etwa anhand von Bruttolohn und Lohnzah- 1205-.html                                     lungszeitraum, Kürzung um Freibeträge, Berück- sichtigung von Familienstand, Kinderzahl und Steuerklasse usw. In diesem Kontext spricht Steuerberater und Steuerbevollmächtigte üben     einiges dafür, eine Auftragsverarbeitung anzu- ihren Beruf nach den Vorgaben des Steuer-        nehmen. Die Annahme einer weisungsgebun- beratergesetzes insbesondere unabhängig und      denen Tätigkeit liegt auch nicht fern, da der eigenverantwortlich aus, sodass eine für die     Mandant die Lohndaten seiner Mitarbeiter dem Auftragsverarbeitung nach Artikel 28 DSGVO       Steuerberater dann für die laufende Lohnbuch- erforderliche weisungsgebundene Tätigkeit        haltung zugänglich macht, um (lediglich) ein regelmäßig nicht in Betracht kommt. Werden im    korrektes Berechnungsergebnis zu erhalten. Zusammenhang mit der Lohnbuchhaltung auch        Entsprechende Tätigkeiten sind vergleichbar mit die Lohnkonten eingerichtet und lohnsteuer-      der Wahrnehmung der laufenden Lohnbuchhal- rechtliche Abschlussarbeiten zum Jahresende      tung durch Personen außerhalb der steuerbera- erbracht, sind auch besondere steuerrechtliche   tenden Berufe (kaufmännische Berufe nach den Kenntnisse erforderlich, die eine Beratung durch gesetzlichen Vorschriften zur Berufsausbildung). den Steuerberater notwendig machen können. In der Praxis dürfte sich aber die Frage stellen, Näheres zur Differenzierung zwischen den ver-    ob ein Steuerberater tatsächlich nur bzw. aus- schiedenen Tätigkeiten im Zusammenhang mit       schließlich mit Aufgaben der laufenden Lohn- der Lohnbuchhaltung hat das Bundesverfas-        buchhaltung beauftragt wird. Regelmäßig wird sungsgericht bereits in der Vergangenheit ent-   hier durch den Steuerberater zusätzlich eine schieden. Für die laufende Lohnbuchhaltung       Beratung durchgeführt, die mit der Einrichtung wurden dabei hingegen keine besonderen           der Lohnkonten und den erwähnten Abschluss- steuerrechtlichen Kenntnisse gefordert, da nach  arbeiten im Zusammenhang steht. In all diesen Auffassung des Gerichts es in diesem Bereich     Fällen wird keine Auftragsverarbeitung ange- um die Erledigung von Routinearbeiten geht,      nommen werden können. Steuerberatern steht die mehr ein korrektes Rechnen und den sach-     im Übrigen nach § 11 des Steuerberatungsge- gemäßen Umgang z. B. mit Lohnsteuertabellen      setzes eine besondere Rechtsgrundlage zur umfassen. Für die laufende Lohnbuchhaltung       Erhebung und Verwendung personenbezogener besteht damit bekanntlich auch kein Buchfüh-     Daten zu. 94      TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.5     Einholung von Selbstauskünften von Mietinteressenten Wie bereits unter Tz. 5.3 (Neufassung der Orien-   betroffenen Person erforderlich. Wird der tierungshilfe „Selbstauskünfte von Mietinte-       Abschluss eines Mietvertrags von der Erhebung ressenten“) erläutert, erheben Vermieter bereits   bestimmter Angaben bei Mietinteressenten vor der Vermietung von Wohnraum persönliche        abhängig gemacht, entsteht eine Zwangslage, Angaben von Mietinteressenten, um auf deren        in welcher keine freiwillige und damit wirksame Basis eine Entscheidung über den Vertrags-         Einwilligungserklärung zustande kommen kann. abschluss treffen zu können. Im Sommer 2017 ging beim ULD eine anonyme Beschwerde über         Vermieter haben jedoch die Möglichkeit, ein einen sogenannten Bewerberbogen ein, der von       „berechtigtes Interesse“ an der Beantwortung einem Wohnungsunternehmen an potenzielle           einzelner Fragen geltend zu machen, um eine Mietinteressenten ausgehändigt wurde.              Basis für eine Entscheidung über einen mögli- chen Mietvertragsabschluss schaffen zu können. Im Rahmen einer Selbstauskunft sollte der Miet-    In diesem Zusammenhang dürfen jedoch nur interessent bereits vor der Besichtigung einer     solche Daten erhoben werden, die zur Durch- Wohnung Auskunft über seine Nationalität,          führung des Mietvertrags „erforderlich“ sind. über die Kontaktdaten zu seinem bisherigen         Auf Basis einer Interessenabwägung muss dabei Vermieter und seinem Arbeitgeber, seine Be-        das Recht der Mietinteressenten auf informati- schäftigungsdauer, seinen Pkw und gegebe-          onelle Selbstbestimmung Beachtung finden. nenfalls sein Krad inklusive Kennzeichen und KFZ-Marke und zu seiner Vermögenssituation         Bezüglich der Zulässigkeit einer Datenerhebung inklusive Haus- und Grundbesitz erteilen. Dar-     bei Mietinteressenten ist zwischen dem Besich- über hinaus wurde um Angabe seiner vollstän-       tigungstermin, der vorvertraglichen Phase, in digen Bankdaten, um Angabe zu bestehenden          welcher die Mietinteressenten dem künftigen Schulden sowie bei Auszubildenden um Angabe        Vermieter mitteilen, eine konkrete Wohnung der Arbeitgeber der Eltern und Höhe der Ein-       anmieten zu wollen, und der Entscheidung des kommen der Eltern gebeten.                         künftigen Vermieters für einen bestimmten Mietinteressenten zu unterscheiden. In der Es wurde daraufhin ein Verfahren eingeleitet, in   ersten Phase des Besichtigungstermins dürfen dessen Rahmen zunächst das aufsichtsbehördli-      lediglich Angaben zur Identifikation und Anga- che Auskunftsverlangen durch die Verhängung        ben aus dem Wohnberechtigungsschein erho- eines Zwangsgeldes gegen das Wohnungsun-           ben werden. ternehmen durchgesetzt werden musste. Im weiteren Verlauf des Verfahrens wurde klarge-      In dem vorliegenden Fall konnte das verant- stellt, dass die Verwendung von Einwilligungs-     wortliche Wohnungsunternehmen davon über- erklärungen gegenüber Mietinteressenten in         zeugt werden, dass der bisher genutzte Bewer- Formularen zur Selbstauskunft nicht das richtige   berbogen entsprechend überarbeitet werden Mittel zur Datenerhebung ist. Für eine wirksame    muss und zukünftig nur solche Daten erhoben Einwilligung ist eine freie Entscheidung der       werden, die zur Durchführung der jeweiligen Phase erforderlich sind. 5.4.6     Klingelbretter – Verarbeitung von Namensschildern durch die Wohnungswirtschaft Auch das ULD war mit Fragen zur Verarbeitung       Aufregung gesorgt. Die Wiener Wohnungsbau- von Vor- und Nachnamen auf Klingelschildern        gesellschaft hatte sich nach Zustellung einer befasst. Die Thematik hatte durch eine Untersa-    behördlichen Anordnung dazu entschlossen, die gung der Verarbeitung in Österreich auch in        Namensschilder an Klingelbrettern abzumontie- den Medien und bei betroffenen Personen für        ren und durch Nummern zu ersetzten. Gleiches TÄTIGKEITSBERICHT 2019 DES ULD          95

5 DATENSCHUTZ IN DER WIRTSCHAFT wurde für Unternehmen der Wohnungswirt-           tung auf der Grundlage des Mietvertrages schaft in Deutschland befürchtet.                 erforderlich sein. Üblicherweise finden sich sol- che Regelungen aber nicht im Mietvertrag. Die Verwendung von Namensschildern für Klin-      Vielmehr bleibt es den Mietern überlassen, den gelanlagen in Mehrfamilienhäusern durch die       Inhalt des Klingelschildes zu bestimmen. Ist dies Wohnungswirtschaft unterfällt den Regelungen      der Fall, so kann die Beschriftung auf der der DSGVO, wenn es sich dabei um eine ganz        Grundlage einer Einwilligung erfolgen. Für die- oder teilweise automatisierte Verarbeitung        sen Fall sind die in der DSGVO vorhandenen personenbezogener Daten handelt oder eine         Vorgaben zur Einwilligung aus Artikel 7 DSGVO nicht automatisierte Verarbeitung vorliegt,       zu beachten. Weiterhin sind die Informations- wobei die personenbezogenen Daten in einem        pflichten aus Artikel 13 DSGVO zu erfüllen. Dateisystem gespeichert sind oder gespeichert werden sollen. Nun handelt es sich bei den        Eine Erforderlichkeit der Verarbeitung zur Wah- Namen von betroffenen Personen um perso-          rung der berechtigten Interessen des Verant- nenbezogene Daten.                                wortlichen oder eines Dritten wird bei Klingel- schildern in der Regel nicht vorliegen. Denn das Im Fokus der datenschutzrechtlichen Betrach-      Interesse und die Wahrnehmung des informati- tung stand in diesem Fall vielmehr die Frage, ob  onellen Selbstbestimmungsrechts der betroffe- das Unterhalten der Klingelbretter einen daten-   nen Person an der Bestimmung des Inhaltes des schutzrechtlichen Verarbeitungsvorgang dar-       Klingelschildes werden gegenüber dem Interes- stellt. Eine automatisierte Verarbeitung liegt in se der Wohnungswirtschaft an einem einheitli- den Fällen vor, in denen die Verwaltung der       chen Erscheinungsbild und der Sicherstellung Klingelschilder elektronisch erfolgt. Dies ist    der Erreichbarkeit von Einzelpersonen überwie- derzeit noch in den allerwenigsten Situationen    gen. der Fall. Meist wird ein Namensschild aus Papier oder einem anderen Material erstellt und auf      In einem dem ULD vorliegenden Fall lag die das Klingelbrett oder hinter einem dafür vorge-   Situation aber etwas anders, weil die betroffene sehenen Sichtfenster angebracht. Erfolgt die      Person vom Eigentümer der Wohnanlage die Verarbeitung nicht automatisiert aus einem        korrekte Beschriftung verlangte. Ist der Anwen- Mieterverzeichnis heraus, handelt es sich in der  dungsbereich der DSGVO gegeben, besteht für Regel um ein Ordnungssystem, in dem die           den Vermieter auch die Pflicht, die personenbe- Namen der betroffenen Personen einer be-          zogenen Daten auf den Klingelschildern sach- stimmten Wohnung zugeordnet werden. Es            lich richtig und erforderlichenfalls auf dem neu- handelt sich dann um eine strukturierte Samm-     esten Stand zu führen. Hierzu sind gemäß Art. 5 lung personenbezogener Daten, die nach            Abs. 1 Buchst. d DSGVO alle angemessenen bestimmten Kriterien zugänglich sind, und         Maßnahmen zu treffen, damit personenbezo- damit um eine Datei im datenschutzrechtlichen     gene Daten, die im Hinblick auf die Zwecke Sinne.                                            ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Ist ein sachlicher Anwendungsbereich der          Für die Vermieter bedeutet dies, dass die DSGVO gegeben, so darf eine Verarbeitung          Beschriftung der Klingelschilder bei Auszug von durch die Wohnungswirtschaft u. a. nur dann       Mietern zu entfernen und durch die Benennung erfolgen, wenn die betroffenen Personen in die    der neuen Mieter zu ersetzen ist. Datenverarbeitung eingewilligt haben oder eine der anderen Rechtsgrundlagen der DSGVO            Näheres zur Verwendung von Vor- und Nach- erfüllt ist.                                      namen auf Klingelschildern können Sie dem nachfolgenden Link entnehmen: Ist die Beschriftung Teil des Mietvertrages und verpflichtet sich der Vermieter zur Unterhaltung  www.datenschutzzentrum.de/artikel/1256- des Klingelschildes oder wird er von den Eigen-   Klingelschild-kein-Datenschutzverstoss-von-der- tümern damit beauftragt, so kann die Verarbei-    Muecke-zum-Elefanten.html 96        TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.7    Missachtung von Rechten betroffener Personen durch werbende Unternehmen Viele Menschen fühlen sich erheblich gestört,    zu erfolgen hat und selbstverständlich auch die wenn sie von Unternehmen per Brief, E-Mail       Rechte betroffener Personen zu beachten sind. oder am Telefon beworben werden, obwohl sie      Bei der Erhebung einer Einwilligung muss die dem Unternehmen zuvor keine ausdrückliche        betroffene Person über den Zweck der Verar- Einwilligung hierzu erteilt haben. Um zunächst   beitung und ihr bestehendes Widerrufsrecht in Kenntnis über die dort gespeicherten Daten zu    einer verständlichen Form und klaren, einfachen erhalten und eine zukünftige Werbung zu          Sprache informiert werden. unterbinden, werden die Unternehmen regel- mäßig mit Auskunfts- und Löschungsbegehren       Neben den datenschutzrechtlichen Vorschriften sowie Widerrufen konfrontiert, die grundsätz-    der Datenschutz-Grundverordnung haben die lich unverzüglich zu bearbeiten sind. Das ULD    werbenden Unternehmen auch die Schutzvor- erhielt im Berichtszeitraum eine Vielzahl von    schriften des Gesetzes gegen den unlauteren Eingaben, in denen die Missachtung der Betrof-   Wettbewerb zu berücksichtigen, welches insbe- fenenrechte durch werbende Unternehmen           sondere zwischen den verschiedenen Kontakt- beklagt wurde. In zahlreichen Fällen wurden die  wegen unterscheidet und eine Telefonwerbung Anträge und Widerrufe nur sehr verzögert oder    weiterhin nur mit einer ausdrücklichen Einwilli- zum Teil auch gar nicht bearbeitet.              gung erlaubt. Mit Geltung der DSGVO sind alle detaillierten    Näheres ergibt sich aus der im Rahmen der Regelungen des bisherigen Bundesdatenschutz-     96. Konferenz der Datenschutzbeauftragten des gesetzes zur Verarbeitung von personenbezo-      Bundes und der Länder am 7./8. November genen Daten zum Zwecke der Werbung ent-          2018 beschlossenen Orientierungshilfe über die fallen. Neben der Erhebung einer Einwilligung    Verarbeitung von personenbezogenen Daten kann die Verarbeitung von personenbezogenen      für Zwecke der Direktwerbung: Daten zum Zwecke der Werbung in bestimmten Fällen nunmehr auch auf Grundlage eines          www.datenschutzkonferenz- berechtigten Interesses erfolgen. Hierfür muss   online.de/media/oh/20181107_oh_werbung.pdf die Verarbeitung der entsprechenden Daten jedoch erforderlich sein, und es dürfen die      Die vom ULD eingeleiteten Aufsichtsverfahren schutzwürdigen Interessen der betroffenen        haben in der Regel dazu geführt, dass die Person nicht überwiegen. Die Datenschutz-        Unternehmen umgehend die entsprechenden Grundverordnung verlangt in diesem Zusam-        Auskünfte erteilt, Daten gelöscht und Werbewi- menhang eine Interessenabwägung, in der u. a.    dersprüche beachtet haben. In Einzelfällen zu berücksichtigen ist, ob die betroffene Person wurden die verantwortlichen Mitarbeiterinnen vernünftigerweise erwarten kann, beworben zu     und Mitarbeiter nachgeschult und interne Bear- werden. Hierbei ist beispielsweise zwischen      beitungsprozesse angepasst. Die Vielzahl der Bestandskunden und Dritten zu unterscheiden,     Einzelfälle hat jedoch ebenfalls gezeigt, dass in wobei jedoch im Rahmen der Datenerhebung         einzelnen Unternehmen der Durchführung von immer auch eine entsprechende vorherige          Werbemaßnahmen erheblich mehr Beachtung Information der Betroffenen über die vorgese-    geschenkt wird als der Einhaltung der daten- hene Verarbeitung der Daten für Werbezwecke      schutzrechtlichen Vorschriften. 5.4.8    Offline-Tracking/Ortung von Mobiltelefonen in Fußgängerzone Durch Beschwerden erlangte das ULD Kenntnis      halb bestimmter öffentlicher Bereiche der Städ- davon, dass in zwei Städten in Schleswig-Hol-    te mittels sogenanntem Offline-Tracking durch- stein Messungen von Besucherströmen inner-       geführt werden. TÄTIGKEITSBERICHT 2019 DES ULD           97

5 DATENSCHUTZ IN DER WIRTSCHAFT Bei diesen Verfahren wird sich des Umstands      Stichprobenartige Tests haben ergeben, dass bedient, dass mobile Endgeräte meist voreinge-   ein Unterbinden der Aussendung von „Probe stellt in regelmäßigen Abständen sogenannte      Requests“ je nach eingesetztem Betriebssystem „Probe Requests“ aussenden, die technisch dazu   nicht ohne Weiteres bzw. nur schwer möglich geeignet und bestimmt sind, über die WLAN-       ist. Bei einigen Betriebssystemen bzw. bestimm- Schnittstelle des Endgeräts eine Verbindung zu   ten Versionen hiervon konnte eine Aussendung einem Netzzugangspunkt (wie z. B. WLAN-          erst unterbunden werden, als der sogenannte Hotspots) zu erleichtern. Dabei werden Daten-    Flugmodus aktiviert wurde, d. h. global alle pakete ausgesendet, die u. a. die „Media Access  aktiven Funkverbindungen des Endgeräts deak- Control (MAC)“-Adresse des Netzadapters des      tiviert wurden. jeweiligen mobilen Endgeräts enthalten. Da sich die zur Messung der Besucherströme eingesetz-    Es ist nicht davon auszugehen, dass es sich um ten Geräte gegenüber den Endgeräten wie          allgemein zugängliche personenbezogene Daten WLAN-Hotspots/Netzzugangspunkte verhalten,       handelt. Eine allgemeine Zugänglichkeit setzt ohne tatsächlich einen Netzzugang bereitzu-      nämlich voraus, dass Daten dazu geeignet und stellen, können die von den Endgeräten           bestimmt sind, von der Allgemeinheit abge- ausgesendeten Datenpakete durch die einge-       rufen werden zu können. Die Bestimmung über setzten Geräte erhoben und dann zwecks           die Zugänglichkeit trifft derjenige, in dessen Analyse der Kundenströme weiterverarbeitet       Hoheit die Daten zu verorten sind. Sofern es werden.                                          sich um MAC-Adressen und damit um perso- nenbezogene Daten handelt, sind als Verfü- In beiden Fällen wurde ein aufsichtsbehördli-    gungsberechtigte die betroffenen Personen ches Verfahren eingeleitet und den Verantwort-   anzusehen, denen die MAC-Adressen als perso- lichen (die – einmal als Verein, einmal als GmbH nenbezogene Daten zuzurechnen sind. organisiert – jeweils zu Zwecken des Stadtmar- ketings tätig sind) im Rahmen der Anhörung die   Es mangelt an einer aktiven Entscheidung der Rechtsauffassung des ULD mitgeteilt, wonach      betroffenen Personen, die MAC-Adressen öffent- für das Erheben von MAC-Adressen im öffentli-    lich zugänglich zu machen. Darüber hinaus sind chen Raum zur Messung von Besucherströmen        die „Probe Requests“ auch nicht dazu bestimmt, keine Rechtsgrundlage ersichtlich ist.           das Betreten bestimmter öffentlicher Räume zu dokumentieren, sondern einzig und allein dazu, Dabei wird maßgeblich von folgenden Erwä-        eine Verbindung zu Netzzugangspunkten zu gungen ausgegangen: MAC-Adressen stellen         erleichtern. personenbezogene Daten dar. Für die Erhebung von MAC-Adressen bedarf es daher einer Offline-Tracking in der E-Privacy-Verord- Rechtsgrundlage. Eine Erhebung und weiter gehende Verarbeitung auf Grundlage einer            nung? Interessenabwägung ist nicht möglich, da eine In Entwürfen der E-Privacy-Verordnung wird Interessenabwägung im vorliegenden Fall zu einem Überwiegen der Interessen der betroffe-       auch Offline-Tracking behandelt. Sollte sich nen Personen führt.                                 der Gesetzgeber dazu entschließen, dort Vorgaben zu machen, führt dies zu einer Dies gilt vor allem aufgrund des Umstands, dass     Änderung der bis dahin geltenden Rechts- die Daten bei einem Verweilen bzw. Betreten lage. öffentlicher Räume erhoben werden und dies ohne Kenntnis der betroffenen Personen statt- findet. Aufgrund der technischen Voreinstellun-  Da die Geräte im öffentlichen Raum eingesetzt gen mobiler Endgeräte haben betroffene Per-      worden sind, kommt auch keine vertragliche sonen praktisch keine hinreichende Möglichkeit,  oder vorvertragliche Beziehung der betroffenen die Aussendung und – damit einhergehend –        Personen zur erhebenden verantwortlichen die Verarbeitung ihrer personenbezogenen         Stelle in Betracht. Auch Einwilligungserklärun- Daten zu unterbinden.                            gen wurden von den betroffenen Personen 98       TÄTIGKEITSBERICHT 2019 DES ULD

5 DATENSCHUTZ IN DER WIRTSCHAFT nicht abgefordert, sodass keine Rechtsgrundla-           Beide Verantwortlichen haben den Betrieb der ge ersichtlich ist, auf der eine Erhebung rechts-        Gerätschaften noch im laufenden aufsichtsbe- konform möglich ist.                                     hördlichen Verfahren eingestellt. Die Verfahren wurden dann eingestellt. 5.4.9     Wirksamkeit von Einwilligungen bezüglich unverschlüsselter E-Mail-Kommunikation? Durch eine Beschwerde gelangte dem ULD zur               fenen Personen eine Erklärung dahin gehend Kenntnis, dass ein Verantwortlicher Einwilli-            abverlangt, dass diese eine Verarbeitung ohne gungserklärungen zur Versendung unverschlüs-             angemessene Maßnahmen gutheißen. selter E-Mails einholt. Der Verantwortliche ist in einem Bereich tätig, in dem personenbezogene             Über die von der DSGVO explizit benannten Daten mit einem erhöhten Schutzbedarf verar-             besonderen Kategorien personenbezogener beitet werden.                                           Daten hinaus gibt es Kategorien von personen- bezogenen Daten, deren Verarbeitung aufgrund Die Nutzung von E-Mail-Kommunikation zur                 des ihnen anhaftenden Risikos für die Rechte Verarbeitung personenbezogener Daten ist nur             und Freiheiten der betroffenen Personen einen unter den Voraussetzungen, die die DSGVO                 erhöhten Schutzbedarf aufweisen. Dazu gehö- aufstellt, zulässig. Das bedeutet, dass Verant-          ren z. B. Daten aus dem Bereich der Bankge- wortliche unter Berücksichtigung der Art, des            schäfte, sodass eine Übertragung von perso- Umfangs, der Umstände und der Zwecke der                 nenbezogenen Daten mit Bezug zu Bankge- Verarbeitung sowie der unterschiedlichen Ein-            schäften nach Auffassung des ULD nicht über trittswahrscheinlichkeit und Schwere der Risiken         einen unverschlüsselten Kommunikationskanal für die Rechte und Freiheiten natürlicher Perso-         erfolgen darf, ohne Rücksicht darauf, ob die nen geeignete technische und organisatorische            betroffene Person hierzu eventuell eine als Ein- Maßnahmen umzusetzen haben, um sicherzu-                 willigung bezeichnete Erklärung abgegeben hat. stellen und den Nachweis dafür erbringen zu              Eine solche Einwilligungserklärung ist unwirk- können, dass eine Verarbeitung DSGVO-kon-                sam. form erfolgt. Dabei haben Verantwortliche u. a. den Stand der Technik zu berücksichtigen.                Nachdem der Verantwortliche im Rahmen eines aufsichtsbehördlichen Verfahrens auf diese Der Verpflichtung, den Stand der Technik zu              Rechtsauffassung hingewiesen wurde, hat berücksichtigen und angemessene Schutzmaß-               dieser erklärt, von den eingeholten Erklärungen nahmen einzurichten, kann sich ein Verantwort-           keinen Gebrauch zu machen und keine weitere licher nicht dadurch entziehen, dass er betrof-          Erklärung dieser Art einzuholen. Was ist zu tun? Gerade Kreditinstitute sind gehalten, bei der Kontaktaufnahme mit Kunden nicht Formulare bzw. Vertragsklauseln zu verwenden, die den Kundinnnen und Kunden die Erklärung abverlangen, hinsichtlich der Beratung zu oder der Abwicklung von Bankgeschäften auf eine verschlüsselte und damit sichere Kommunikation zu verzichten. Die Einhaltung der Regeln zur Datensicherheit ist nicht verhandelbar. TÄTIGKEITSBERICHT 2019 DES ULD         99