ULD Tätigkeitsbericht 2019
This document is part of the request ”Kontrollbericht Datenschutzkontrolle Polizei Schleswig-Holstein”.
5 DATENSCHUTZ IN DER WIRTSCHAFT Grundverordnung nochmals besonderes Ge- Orientierungshilfe „Selbstauskünfte für Mietin- wicht erhalten. Demnach läge im Bereich der teressenten“: Anmietung von Wohnraum keine freiwillige und damit unwirksame Einwilligungserklärung vor, www.datenschutzkonferenz-online.de/ wenn der Abschluss des Mietvertrags von der media/oh/20180207_oh_mietauskuenfte.pdf Einwilligung in die Erhebung nicht erforderlicher Angaben abhängig gemacht wird. Was ist zu tun? Vermieter von Wohnraum dürfen von Mietinteressenten nur erforderliche Angaben erheben. Personenbezogene Daten, für die berechtigte Vermieterinteressen bestehen, dürfen nur erhoben werden, wenn die Gesamtabwägung mit schutzwürdigen Mietinteressenten dies rechtfertigt. Im Falle der Verwendung von Vermieterfragebögen sind die Maßgaben der Orientierungshilfe einzuhalten. 5.4 Interessante Einzelfälle 5.4.1 Juristische Personen als Datenschutzbeauftragte? Vorbehaltlich einer künftigen Klärung der Frage tragten übernehmen sollen. Der zugrunde lie- durch die Rechtsprechung wird vorliegend die gende Dienstleistungsvertrag soll nicht ohne Auffassung vertreten, dass nur natürliche Per- Weiteres von einem Verantwortlichen oder sonen als Datenschutzbeauftragte benannt Auftragsverarbeiter gekündigt werden können. werden können. Etwa die Benennung einer Den natürlichen Personen, die auf Basis des GmbH selbst als Datenschutzbeauftragte ist Vertrags als Datenschutzbeauftragte eingesetzt demnach nicht statthaft. Diese GmbH könnte werden, komme eine Art arbeitsrechtlicher aber die Dienste ihrer Mitarbeiter als Daten- Kündigungsschutz zu, indem diese vor unge- schutzbeauftragte anbieten, die dann von ande- rechtfertigten Entlassungen durch deren Arbeit- ren Unternehmen entsprechend benannt wer- geber geschützt seien. den. Daher wird durch die Aufsichtsbehörden auf Die Datenschutzaufsichtsbehörden auf europäi- europäischer Ebene nicht die Aussage getrof- scher Ebene gehen in Auslegung der Daten- fen, dass juristische Personen selbst als Daten- schutz-Grundverordnung davon aus, dass u. a. schutzbeauftragte in Betracht kommen. Viel- Unternehmen mit einer anderen Stelle (natürli- mehr wird die Konstellation erörtert, wonach che oder juristische Person) einen Dienstleis- etwa eine juristische Person einen Dienstleis- tungsvertrag schließen können. Dieser Vertrag tungsvertrag mit einem Verantwortlichen oder hat aber nicht die Benennung dieser anderen Auftragsverarbeiter schließt. Diese juristische Stelle selbst als Datenschutzbeauftragte zum Person beschäftigt wiederum natürliche Perso- Gegenstand. Stattdessen soll der Vertrag vorse- nen, welche letztlich die Funktion eines Daten- hen, welche natürlichen Personen allein oder als schutzbeauftragten für den Verantwortlichen „Team“ die Funktion eines Datenschutzbeauf- oder Auftragsverarbeiter wahrnehmen sollen. 90 TÄTIGKEITSBERICHT 2019 DES ULD
5 DATENSCHUTZ IN DER WIRTSCHAFT gung im Rahmen einer Berufsausbildung bzw. Leitlinien in Bezug auf Datenschutzbe- eines Studiums erworben wurde, was nur durch auftragte natürliche Personen erfolgen kann. Hinweise der europäischen Datenschutzauf- Zwar können die Vorgaben des deutschen sichtsbehörden zur Benennung von Daten- Datenschutzrechts im Bundesdatenschutzgesetz schutzbeauftragten (WP 243) können unter nicht zur Auslegung der Datenschutz-Grund- folgendem Link aufgerufen werden: verordnung herangezogen werden. Unabhängig davon kann auch aus diesen Vorgaben abge- www.datenschutzkonferenz-online.de/ leitet werden, dass nur Menschen als Daten- media/wp/20170405_wp243_rev01.pdf schutzbeauftragte benannt werden sollen. So beziehen sich jene Vorgaben etwa auf die Anwendung arbeitsrechtlicher Kündigungsre- Datenschutzbeauftragte werden auf der Grund- geln und auf die Zubilligung eines Zeugnis- lage ihrer beruflichen Qualifikation und insbe- verweigerungsrechts, was nur bei der Benen- sondere des Fachwissens benannt, welches nung natürlicher Personen als Datenschutzbe- diese auf dem Gebiet des Datenschutzrechts auftragte von Bedeutung sein kann (36. TB, und der Datenschutzpraxis erworben haben. Tz. 5.3). Ferner kann die oder der Datenschutzbeauf- tragte Beschäftigte oder Beschäftigter des Die Kontaktdaten der Datenschutzbeauftragten Verantwortlichen oder Auftragsverarbeiters sein sind nach den Vorgaben der DSGVO an die oder die Aufgaben auf Grundlage eines Dienst- zuständige Datenschutzaufsichtsbehörde zu leistungsvertrags erfüllen. Die besseren Argu- melden. Ein Meldeformular wird unter folgen- mente sprechen dabei für die ausschließliche dem Link bereitgestellt: Benennung natürlicher Personen. Vor allem das Abstellen auf die berufliche Qualifikation legt www.datenschutzzentrum.de/formular/meldung- den Schluss nahe, dass die erforderliche Befähi- dsb.php 5.4.2 Benennung von Datenschutzbeauftragten – mindestens zehn beschäftigte Personen Ergänzend zu den Vorgaben der Datenschutz- hat sich mit der Geltung der Neuregelung seit Grundverordnung müssen nichtöffentliche Stel- dem 25.05.2018 nicht geändert, zumal der len wie Unternehmen insbesondere dann einen Gesetzgeber auch vom Wortlaut her gesehen Datenschutzbeauftragten benennen, soweit sie die Altregelung übernommen hat. in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personen- Personen, welche Zugriff auf Kundendatenban- bezogener Daten beschäftigen. Im Vergleich zur ken nehmen, etwa vertragliche Unterlagen ein- Rechtslage vor der Geltung der Datenschutz- sehen können, Personaldaten verwalten oder in Grundverordnung sind insoweit keine Änderun- automatisierter Form personenbezogene Daten gen eingetreten. verarbeiten, welche z. B. über die Lebensum- stände von Einzelpersonen Auskunft geben, Für die Vorgängervorschrift im alten Bundesda- müssen bei der Frage der Verpflichtung zur tenschutzgesetz hatte der Gesetzgeber die Benennung eines Datenschutzbeauftragten mit- Intention, eine „Beschäftigung“ von Personen gezählt werden (10-Personen-Regel nach § 38 nicht nur für Arbeitnehmer, sondern etwa auch Abs. 1 BDSG). Mitarbeiterinnen und Mitarbeiter für Auszubildende und freie Mitarbeiter anzu- an Kassen, die lediglich eine EC- oder Kunden- nehmen. Gerade freie Mitarbeiter waren daher karte einlesen, jedoch nicht auf eine Kunden- bei der Beurteilung der Frage, ob „mindestens datenbank mit Daten zugreifen oder gegebe- zehn Personen ständig mit der automatisierten nenfalls nur manuell die Kontodaten auf der Verarbeitung personenbezogener Daten be- Karte in Augenschein nehmen, jedoch nicht in schäftigt werden“, mitzuzählen. Diese Intention automatisierter Form zur Kenntnis nehmen TÄTIGKEITSBERICHT 2019 DES ULD 91
5 DATENSCHUTZ IN DER WIRTSCHAFT können, insbesondere nicht nach Abschluss des beschäftigt werden, die automatisiert mit per- Bezahlvorgangs, sind nicht mitzuzählen. sonenbezogenen Daten arbeiten, Personen hinzugezählt werden müssen, die z. B. auf Fragen zur Anwendung der 10-Personen-Regel Datenbanken mit Angaben zu Mitgliedern und wurden an das ULD häufig auch im Zusammen- Sportlerinnen und Sportlern bestimmungs- hang mit der Beauftragung von Monteuren in gemäß Zugriff nehmen. Verarbeiten Trainer Handwerksbetrieben herangetragen. Erhalten Spielerdaten wie etwa Trainings- und Wett- die Monteure lediglich die Kontaktdaten der kampfergebnisse, Kontaktdaten der Spieler, An- Kunden sowie Angaben zur Ausführung eines gaben zum Gesundheitszustand, zum Muskel- Auftrags, der vor Ort erledigt werden soll, so aufbau und zur Ernährung, so sind auch diese sind diese Personen nicht mitzuzählen. Diese hinzuzuzählen. Sportvereine müssen dabei den Einschätzung beruht auf der Annahme, dass in Überblick darüber haben, welche Mitglieder diesen Fällen nur sehr wenige personenbezo- welche personenbezogenen Daten der Sportle- gene Daten flüchtig zur Kenntnis genommen rinnen und Sportler verarbeiten und zu Daten- werden, dies oft nicht in automatisierter Form zugriffen autorisiert sind, um die Verpflichtung erfolgt und entsprechende Angaben nicht im zur Benennung eines Datenschutzbeauftragten dauerhaften Zugriff der Monteure verbleiben. prüfen zu können. Anders wäre der Sachverhalt wiederum zu beur- teilen, wenn die Monteure einen Zugriff auf eine Im Rahmen der Praxis-Reihe „Datenschutzbe- Kundendatenbank erhalten und etwa dauerhaft stimmungen praktisch umsetzen“ ist u. a. auch Auftragshistorien abrufen können. Im letzteren eine Broschüre zur Benennung von Daten- Fall wären die Monteure im Rahmen der Prü- schutzbeauftragten erschienen, die über fol- fung der 10-Personen-Regel mitzuzählen. genden Link aufgerufen werden kann: Häufig wurde im Berichtszeitraum auch von www.datenschutzzentrum.de/uploads/praxisreihe/ Sportvereinen nachgefragt, ob bei der Prüfung, Praxisreihe-2-Datenschutzbeauftragte.pdf ob tatsächlich mindestens zehn Personen 5.4.3 Erforderlichkeit der Benennung von Datenschutzbeauftragten in Kindertagesstätten Bei Kindertagesstätten (Kitas) handelt es sich Bei Kitas in kommunaler Trägerschaft ist die unabhängig von der Trägerschaft um eigen- Benennung eines Datenschutzbeauftragten schon ständige Verantwortliche im Sinne der DSGVO. nach Art. 37 Abs. 1 Buchst. a DSGVO erfor- Für die rechtmäßige und ordnungsgemäße derlich. Danach haben alle Behörden und personenbezogene Datenverarbeitung ist die öffentlichen Stellen einen Datenschutzbeauf- jeweilige Leitung der Kindertagesstätte zustän- tragten zu benennen. Eine kommunale Kita ist dig. zwar in der Regel organisatorisch verselbststän- digt. Rechtlich ist sie aber ein Teil der Kommune Welche datenschutzrechtlichen Vorschriften für und damit Teil einer öffentlichen Stelle. Nach die personenbezogene Datenverarbeitung an- Art. 37 Abs. 3 DSGVO kann für mehrere öffentli- zuwenden sind, richtet sich nach der jeweiligen che Stellen unter Berücksichtigung ihrer Organi- Trägerschaft. Für alle Kitas gilt zunächst die sationsstruktur und ihrer Größe ein gemeinsa- DSGVO. Ergänzend dazu finden für Kitas in mer Datenschutzbeauftragter benannt werden. kommunaler Trägerschaft primär die Vorschrif- Daher kann z. B. der Datenschutzbeauftragte ten des Landesdatenschutzgesetzes (LDSG), für der Kommune auch Datenschutzbeauftragter Kitas in privater Trägerschaft (Träger der freien der kommunalen Kita sein. Wenn für die Kita Jugendhilfe, Elternvereine usw.) das Bundesda- kein gesonderter Datenschutzbeauftragter tenschutzgesetz (BDSG) und für Kitas in kirchli- benannt wurde, geht das ULD davon aus, dass cher Trägerschaft die jeweiligen Datenschutzge- der kommunale DSB auch für die kommunalen setze der Kirchen Anwendung. Kitas zuständig ist. 92 TÄTIGKEITSBERICHT 2019 DES ULD
5 DATENSCHUTZ IN DER WIRTSCHAFT Bei Einrichtungen in privater Trägerschaft geht schrift war weiterhin, dass die Beobachtungs- das ULD davon aus, dass ein Fall von Art. 37 und Entwicklungsdokumentation als „umfang- Abs. 1 Buchst. b DSGVO gegeben ist. Nach reiche regelmäßige und systematische Beob- dieser Vorschrift ist ein Datenschutzbeauftrag- achtung“ im Sinne von Art. 37 Abs. 1 Buchst. b ter zu benennen, wenn die Kerntätigkeit des DSGVO zu qualifizieren ist. Mit der Dokumenta- Verantwortlichen in der Durchführung von Ver- tion in den Kindertagesstätten sollen die Ent- arbeitungsvorgängen besteht, welche aufgrund wicklungsfortschritte, Verhaltensänderungen und ihrer Art, ihres Umfangs und/oder ihrer Zwecke das Sozialverhalten der Kinder festgehalten eine umfangreiche regelmäßige und systemati- werden. Die Informationen werden den Eltern, sche Überwachung von betroffenen Personen aber auch (nach schriftlicher Einwilligung der erforderlich machen. Eltern) den Schulen zur Verfügung gestellt. Die Dokumentation zeigt den Verlauf der Entwick- Zur Kerntätigkeit eines Verantwortlichen gehö- lungsschritte der Kinder und ist somit geeignet, ren alle Vorgänge, die einen festen Bestandteil die geistige, sprachliche und motorische Ent- seiner Haupttätigkeit darstellen. In Schleswig- wicklung, die Vorlieben, Interessen und das Holstein ist das systematische Beobachten und Verhalten der Kinder zu analysieren. Damit han- Dokumentieren der kindlichen Entwicklung delt es sich nach Auffassung des ULD bei der Bestandteil der Arbeit der Erzieherinnen und Dokumentation um eine entsprechende Beob- Erzieher. Bereits im Jahr 2006 hat die Landesre- achtung, die eine Benennungspflicht nach gierung dazu die Broschüre „Systematisches Art. 37 Abs. 1 Buchst. b DSGVO auslöst. Beobachten und Dokumentieren“ herausgege- ben. Im Vorwort heißt es dort: „Im Mittelpunkt Unabhängig davon kann sich die Pflicht zur des gesetzlichen Auftrages der Kindertagesein- Benennung eines Datenschutzbeauftragten richtungen (…) steht das aktive und lernbereite auch aus § 38 Abs. 1 BDSG ergeben. Dies ist der Kind, dessen Bildungsweg in der Kindertages- Fall, wenn in der Regel mindestens zehn Perso- einrichtung durch eine individualisierte und nen ständig mit der automatisierten Verarbei- differenzierte Erziehungsarbeit unterstützt, an- tung personenbezogener Daten beschäftigt geregt und gefordert werden soll. Beobachtung sind. Bei der Personenzahl sind sämtliche Erzie- und eine darauf aufbauende Bildungsdoku- her und Erzieherinnen zu berücksichtigen, die mentation nehmen deswegen einen zentralen die Entwicklung der Kinder dokumentieren. Stellenwert ein. Sie sind notwendig, um Kinder Geschieht dies automatisiert, so liegt nach und ihre Lernprozesse zu verstehen. Beobach- unserer Einschätzung auch nach § 38 Abs. 1 tungen müssen kontinuierlich stattfinden und BDSG die Pflicht zur Benennung eines Daten- schriftlich festgehalten werden, um sie als schutzbeauftragten vor. Grundlage von Gesprächen mit dem Team, den Eltern und der Grundschule nutzen zu können.“ Die Benennung eines gemeinsamen Daten- schutzbeauftragten wäre auch für private Kita- Daraus ergibt sich, dass die Dokumentation zur träger zulässig. Denkbar wäre auch die gemein- Kerntätigkeit der Erzieher und Erzieherinnen same Benennung von Datenschutzbeauftragten gehört. Dabei ist es unerheblich, ob diese durch kommunale und private Träger. Dabei Dokumentation in elektronischer oder konven- muss in jedem Fall sichergestellt werden, dass tioneller Form geführt wird. den gemeinsam benannten Datenschutzbeauf- tragten ausreichend Zeit zur Verfügung steht, Eine weitere Voraussetzung für die Benen- um ihrer Aufgabe im Hinblick auf alle beteilig- nungspflicht nach der oben genannten Vor- ten Kitas nachkommen zu können. Was ist zu tun? Für Kindertagesstätten ist regelmäßig ein Datenschutzbeauftragter zu benennen. TÄTIGKEITSBERICHT 2019 DES ULD 93
5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.4 Steuerberater als Auftragsverarbeiter? Im Kurzpapier Nr. 13 der Datenschutzkonferenz rungsprivileg für steuerberatende Berufe. Hilfe- wird ausgeführt, dass die Einbeziehung eines leistungen in der laufenden Lohnbuchhaltung Steuerberaters bezüglich der Verarbeitung sind demnach nicht den steuerberatenden personenbezogener Daten in der Regel keine Berufen vorbehalten. Auftragsverarbeitung darstellt. DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung Würde ein Steuerberater nun im Einzelfall aus- oder die Finanzbuchhaltung durch Rechenzen- schließlich Aufgaben der laufenden Lohnbuch- tren werden hingegen als Anwendungsbeispiel haltung wahrnehmen (kein Einrichten von Lohn- für eine Auftragsverarbeitung aufgeführt. konten, keine Abschlussarbeiten bzw. keine beratende Tätigkeit), so bleiben die allgemeinen Berufspflichten nach dem Steuerberatungsge- Stellungnahme der Datenschutzkonferenz setz natürlich bestehen. Andererseits besteht Das erwähnte Kurzpapier Nr. 13 zur Einbin- bei der Ausführung des Auftrags auch kein dung von Auftragsverarbeitern kann unter nennenswerter eigener Entscheidungsspielraum. folgendem Link aufgerufen werden: Es kommt im Wesentlichen darauf an, dass routinemäßig eine korrekte Berechnung erfolgt, www.datenschutzzentrum.de/artikel/ etwa anhand von Bruttolohn und Lohnzah- 1205-.html lungszeitraum, Kürzung um Freibeträge, Berück- sichtigung von Familienstand, Kinderzahl und Steuerklasse usw. In diesem Kontext spricht Steuerberater und Steuerbevollmächtigte üben einiges dafür, eine Auftragsverarbeitung anzu- ihren Beruf nach den Vorgaben des Steuer- nehmen. Die Annahme einer weisungsgebun- beratergesetzes insbesondere unabhängig und denen Tätigkeit liegt auch nicht fern, da der eigenverantwortlich aus, sodass eine für die Mandant die Lohndaten seiner Mitarbeiter dem Auftragsverarbeitung nach Artikel 28 DSGVO Steuerberater dann für die laufende Lohnbuch- erforderliche weisungsgebundene Tätigkeit haltung zugänglich macht, um (lediglich) ein regelmäßig nicht in Betracht kommt. Werden im korrektes Berechnungsergebnis zu erhalten. Zusammenhang mit der Lohnbuchhaltung auch Entsprechende Tätigkeiten sind vergleichbar mit die Lohnkonten eingerichtet und lohnsteuer- der Wahrnehmung der laufenden Lohnbuchhal- rechtliche Abschlussarbeiten zum Jahresende tung durch Personen außerhalb der steuerbera- erbracht, sind auch besondere steuerrechtliche tenden Berufe (kaufmännische Berufe nach den Kenntnisse erforderlich, die eine Beratung durch gesetzlichen Vorschriften zur Berufsausbildung). den Steuerberater notwendig machen können. In der Praxis dürfte sich aber die Frage stellen, Näheres zur Differenzierung zwischen den ver- ob ein Steuerberater tatsächlich nur bzw. aus- schiedenen Tätigkeiten im Zusammenhang mit schließlich mit Aufgaben der laufenden Lohn- der Lohnbuchhaltung hat das Bundesverfas- buchhaltung beauftragt wird. Regelmäßig wird sungsgericht bereits in der Vergangenheit ent- hier durch den Steuerberater zusätzlich eine schieden. Für die laufende Lohnbuchhaltung Beratung durchgeführt, die mit der Einrichtung wurden dabei hingegen keine besonderen der Lohnkonten und den erwähnten Abschluss- steuerrechtlichen Kenntnisse gefordert, da nach arbeiten im Zusammenhang steht. In all diesen Auffassung des Gerichts es in diesem Bereich Fällen wird keine Auftragsverarbeitung ange- um die Erledigung von Routinearbeiten geht, nommen werden können. Steuerberatern steht die mehr ein korrektes Rechnen und den sach- im Übrigen nach § 11 des Steuerberatungsge- gemäßen Umgang z. B. mit Lohnsteuertabellen setzes eine besondere Rechtsgrundlage zur umfassen. Für die laufende Lohnbuchhaltung Erhebung und Verwendung personenbezogener besteht damit bekanntlich auch kein Buchfüh- Daten zu. 94 TÄTIGKEITSBERICHT 2019 DES ULD
5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.5 Einholung von Selbstauskünften von Mietinteressenten Wie bereits unter Tz. 5.3 (Neufassung der Orien- betroffenen Person erforderlich. Wird der tierungshilfe „Selbstauskünfte von Mietinte- Abschluss eines Mietvertrags von der Erhebung ressenten“) erläutert, erheben Vermieter bereits bestimmter Angaben bei Mietinteressenten vor der Vermietung von Wohnraum persönliche abhängig gemacht, entsteht eine Zwangslage, Angaben von Mietinteressenten, um auf deren in welcher keine freiwillige und damit wirksame Basis eine Entscheidung über den Vertrags- Einwilligungserklärung zustande kommen kann. abschluss treffen zu können. Im Sommer 2017 ging beim ULD eine anonyme Beschwerde über Vermieter haben jedoch die Möglichkeit, ein einen sogenannten Bewerberbogen ein, der von „berechtigtes Interesse“ an der Beantwortung einem Wohnungsunternehmen an potenzielle einzelner Fragen geltend zu machen, um eine Mietinteressenten ausgehändigt wurde. Basis für eine Entscheidung über einen mögli- chen Mietvertragsabschluss schaffen zu können. Im Rahmen einer Selbstauskunft sollte der Miet- In diesem Zusammenhang dürfen jedoch nur interessent bereits vor der Besichtigung einer solche Daten erhoben werden, die zur Durch- Wohnung Auskunft über seine Nationalität, führung des Mietvertrags „erforderlich“ sind. über die Kontaktdaten zu seinem bisherigen Auf Basis einer Interessenabwägung muss dabei Vermieter und seinem Arbeitgeber, seine Be- das Recht der Mietinteressenten auf informati- schäftigungsdauer, seinen Pkw und gegebe- onelle Selbstbestimmung Beachtung finden. nenfalls sein Krad inklusive Kennzeichen und KFZ-Marke und zu seiner Vermögenssituation Bezüglich der Zulässigkeit einer Datenerhebung inklusive Haus- und Grundbesitz erteilen. Dar- bei Mietinteressenten ist zwischen dem Besich- über hinaus wurde um Angabe seiner vollstän- tigungstermin, der vorvertraglichen Phase, in digen Bankdaten, um Angabe zu bestehenden welcher die Mietinteressenten dem künftigen Schulden sowie bei Auszubildenden um Angabe Vermieter mitteilen, eine konkrete Wohnung der Arbeitgeber der Eltern und Höhe der Ein- anmieten zu wollen, und der Entscheidung des kommen der Eltern gebeten. künftigen Vermieters für einen bestimmten Mietinteressenten zu unterscheiden. In der Es wurde daraufhin ein Verfahren eingeleitet, in ersten Phase des Besichtigungstermins dürfen dessen Rahmen zunächst das aufsichtsbehördli- lediglich Angaben zur Identifikation und Anga- che Auskunftsverlangen durch die Verhängung ben aus dem Wohnberechtigungsschein erho- eines Zwangsgeldes gegen das Wohnungsun- ben werden. ternehmen durchgesetzt werden musste. Im weiteren Verlauf des Verfahrens wurde klarge- In dem vorliegenden Fall konnte das verant- stellt, dass die Verwendung von Einwilligungs- wortliche Wohnungsunternehmen davon über- erklärungen gegenüber Mietinteressenten in zeugt werden, dass der bisher genutzte Bewer- Formularen zur Selbstauskunft nicht das richtige berbogen entsprechend überarbeitet werden Mittel zur Datenerhebung ist. Für eine wirksame muss und zukünftig nur solche Daten erhoben Einwilligung ist eine freie Entscheidung der werden, die zur Durchführung der jeweiligen Phase erforderlich sind. 5.4.6 Klingelbretter – Verarbeitung von Namensschildern durch die Wohnungswirtschaft Auch das ULD war mit Fragen zur Verarbeitung Aufregung gesorgt. Die Wiener Wohnungsbau- von Vor- und Nachnamen auf Klingelschildern gesellschaft hatte sich nach Zustellung einer befasst. Die Thematik hatte durch eine Untersa- behördlichen Anordnung dazu entschlossen, die gung der Verarbeitung in Österreich auch in Namensschilder an Klingelbrettern abzumontie- den Medien und bei betroffenen Personen für ren und durch Nummern zu ersetzten. Gleiches TÄTIGKEITSBERICHT 2019 DES ULD 95
5 DATENSCHUTZ IN DER WIRTSCHAFT wurde für Unternehmen der Wohnungswirt- tung auf der Grundlage des Mietvertrages schaft in Deutschland befürchtet. erforderlich sein. Üblicherweise finden sich sol- che Regelungen aber nicht im Mietvertrag. Die Verwendung von Namensschildern für Klin- Vielmehr bleibt es den Mietern überlassen, den gelanlagen in Mehrfamilienhäusern durch die Inhalt des Klingelschildes zu bestimmen. Ist dies Wohnungswirtschaft unterfällt den Regelungen der Fall, so kann die Beschriftung auf der der DSGVO, wenn es sich dabei um eine ganz Grundlage einer Einwilligung erfolgen. Für die- oder teilweise automatisierte Verarbeitung sen Fall sind die in der DSGVO vorhandenen personenbezogener Daten handelt oder eine Vorgaben zur Einwilligung aus Artikel 7 DSGVO nicht automatisierte Verarbeitung vorliegt, zu beachten. Weiterhin sind die Informations- wobei die personenbezogenen Daten in einem pflichten aus Artikel 13 DSGVO zu erfüllen. Dateisystem gespeichert sind oder gespeichert werden sollen. Nun handelt es sich bei den Eine Erforderlichkeit der Verarbeitung zur Wah- Namen von betroffenen Personen um perso- rung der berechtigten Interessen des Verant- nenbezogene Daten. wortlichen oder eines Dritten wird bei Klingel- schildern in der Regel nicht vorliegen. Denn das Im Fokus der datenschutzrechtlichen Betrach- Interesse und die Wahrnehmung des informati- tung stand in diesem Fall vielmehr die Frage, ob onellen Selbstbestimmungsrechts der betroffe- das Unterhalten der Klingelbretter einen daten- nen Person an der Bestimmung des Inhaltes des schutzrechtlichen Verarbeitungsvorgang dar- Klingelschildes werden gegenüber dem Interes- stellt. Eine automatisierte Verarbeitung liegt in se der Wohnungswirtschaft an einem einheitli- den Fällen vor, in denen die Verwaltung der chen Erscheinungsbild und der Sicherstellung Klingelschilder elektronisch erfolgt. Dies ist der Erreichbarkeit von Einzelpersonen überwie- derzeit noch in den allerwenigsten Situationen gen. der Fall. Meist wird ein Namensschild aus Papier oder einem anderen Material erstellt und auf In einem dem ULD vorliegenden Fall lag die das Klingelbrett oder hinter einem dafür vorge- Situation aber etwas anders, weil die betroffene sehenen Sichtfenster angebracht. Erfolgt die Person vom Eigentümer der Wohnanlage die Verarbeitung nicht automatisiert aus einem korrekte Beschriftung verlangte. Ist der Anwen- Mieterverzeichnis heraus, handelt es sich in der dungsbereich der DSGVO gegeben, besteht für Regel um ein Ordnungssystem, in dem die den Vermieter auch die Pflicht, die personenbe- Namen der betroffenen Personen einer be- zogenen Daten auf den Klingelschildern sach- stimmten Wohnung zugeordnet werden. Es lich richtig und erforderlichenfalls auf dem neu- handelt sich dann um eine strukturierte Samm- esten Stand zu führen. Hierzu sind gemäß Art. 5 lung personenbezogener Daten, die nach Abs. 1 Buchst. d DSGVO alle angemessenen bestimmten Kriterien zugänglich sind, und Maßnahmen zu treffen, damit personenbezo- damit um eine Datei im datenschutzrechtlichen gene Daten, die im Hinblick auf die Zwecke Sinne. ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Ist ein sachlicher Anwendungsbereich der Für die Vermieter bedeutet dies, dass die DSGVO gegeben, so darf eine Verarbeitung Beschriftung der Klingelschilder bei Auszug von durch die Wohnungswirtschaft u. a. nur dann Mietern zu entfernen und durch die Benennung erfolgen, wenn die betroffenen Personen in die der neuen Mieter zu ersetzen ist. Datenverarbeitung eingewilligt haben oder eine der anderen Rechtsgrundlagen der DSGVO Näheres zur Verwendung von Vor- und Nach- erfüllt ist. namen auf Klingelschildern können Sie dem nachfolgenden Link entnehmen: Ist die Beschriftung Teil des Mietvertrages und verpflichtet sich der Vermieter zur Unterhaltung www.datenschutzzentrum.de/artikel/1256- des Klingelschildes oder wird er von den Eigen- Klingelschild-kein-Datenschutzverstoss-von-der- tümern damit beauftragt, so kann die Verarbei- Muecke-zum-Elefanten.html 96 TÄTIGKEITSBERICHT 2019 DES ULD
5 DATENSCHUTZ IN DER WIRTSCHAFT 5.4.7 Missachtung von Rechten betroffener Personen durch werbende Unternehmen Viele Menschen fühlen sich erheblich gestört, zu erfolgen hat und selbstverständlich auch die wenn sie von Unternehmen per Brief, E-Mail Rechte betroffener Personen zu beachten sind. oder am Telefon beworben werden, obwohl sie Bei der Erhebung einer Einwilligung muss die dem Unternehmen zuvor keine ausdrückliche betroffene Person über den Zweck der Verar- Einwilligung hierzu erteilt haben. Um zunächst beitung und ihr bestehendes Widerrufsrecht in Kenntnis über die dort gespeicherten Daten zu einer verständlichen Form und klaren, einfachen erhalten und eine zukünftige Werbung zu Sprache informiert werden. unterbinden, werden die Unternehmen regel- mäßig mit Auskunfts- und Löschungsbegehren Neben den datenschutzrechtlichen Vorschriften sowie Widerrufen konfrontiert, die grundsätz- der Datenschutz-Grundverordnung haben die lich unverzüglich zu bearbeiten sind. Das ULD werbenden Unternehmen auch die Schutzvor- erhielt im Berichtszeitraum eine Vielzahl von schriften des Gesetzes gegen den unlauteren Eingaben, in denen die Missachtung der Betrof- Wettbewerb zu berücksichtigen, welches insbe- fenenrechte durch werbende Unternehmen sondere zwischen den verschiedenen Kontakt- beklagt wurde. In zahlreichen Fällen wurden die wegen unterscheidet und eine Telefonwerbung Anträge und Widerrufe nur sehr verzögert oder weiterhin nur mit einer ausdrücklichen Einwilli- zum Teil auch gar nicht bearbeitet. gung erlaubt. Mit Geltung der DSGVO sind alle detaillierten Näheres ergibt sich aus der im Rahmen der Regelungen des bisherigen Bundesdatenschutz- 96. Konferenz der Datenschutzbeauftragten des gesetzes zur Verarbeitung von personenbezo- Bundes und der Länder am 7./8. November genen Daten zum Zwecke der Werbung ent- 2018 beschlossenen Orientierungshilfe über die fallen. Neben der Erhebung einer Einwilligung Verarbeitung von personenbezogenen Daten kann die Verarbeitung von personenbezogenen für Zwecke der Direktwerbung: Daten zum Zwecke der Werbung in bestimmten Fällen nunmehr auch auf Grundlage eines www.datenschutzkonferenz- berechtigten Interesses erfolgen. Hierfür muss online.de/media/oh/20181107_oh_werbung.pdf die Verarbeitung der entsprechenden Daten jedoch erforderlich sein, und es dürfen die Die vom ULD eingeleiteten Aufsichtsverfahren schutzwürdigen Interessen der betroffenen haben in der Regel dazu geführt, dass die Person nicht überwiegen. Die Datenschutz- Unternehmen umgehend die entsprechenden Grundverordnung verlangt in diesem Zusam- Auskünfte erteilt, Daten gelöscht und Werbewi- menhang eine Interessenabwägung, in der u. a. dersprüche beachtet haben. In Einzelfällen zu berücksichtigen ist, ob die betroffene Person wurden die verantwortlichen Mitarbeiterinnen vernünftigerweise erwarten kann, beworben zu und Mitarbeiter nachgeschult und interne Bear- werden. Hierbei ist beispielsweise zwischen beitungsprozesse angepasst. Die Vielzahl der Bestandskunden und Dritten zu unterscheiden, Einzelfälle hat jedoch ebenfalls gezeigt, dass in wobei jedoch im Rahmen der Datenerhebung einzelnen Unternehmen der Durchführung von immer auch eine entsprechende vorherige Werbemaßnahmen erheblich mehr Beachtung Information der Betroffenen über die vorgese- geschenkt wird als der Einhaltung der daten- hene Verarbeitung der Daten für Werbezwecke schutzrechtlichen Vorschriften. 5.4.8 Offline-Tracking/Ortung von Mobiltelefonen in Fußgängerzone Durch Beschwerden erlangte das ULD Kenntnis halb bestimmter öffentlicher Bereiche der Städ- davon, dass in zwei Städten in Schleswig-Hol- te mittels sogenanntem Offline-Tracking durch- stein Messungen von Besucherströmen inner- geführt werden. TÄTIGKEITSBERICHT 2019 DES ULD 97
5 DATENSCHUTZ IN DER WIRTSCHAFT Bei diesen Verfahren wird sich des Umstands Stichprobenartige Tests haben ergeben, dass bedient, dass mobile Endgeräte meist voreinge- ein Unterbinden der Aussendung von „Probe stellt in regelmäßigen Abständen sogenannte Requests“ je nach eingesetztem Betriebssystem „Probe Requests“ aussenden, die technisch dazu nicht ohne Weiteres bzw. nur schwer möglich geeignet und bestimmt sind, über die WLAN- ist. Bei einigen Betriebssystemen bzw. bestimm- Schnittstelle des Endgeräts eine Verbindung zu ten Versionen hiervon konnte eine Aussendung einem Netzzugangspunkt (wie z. B. WLAN- erst unterbunden werden, als der sogenannte Hotspots) zu erleichtern. Dabei werden Daten- Flugmodus aktiviert wurde, d. h. global alle pakete ausgesendet, die u. a. die „Media Access aktiven Funkverbindungen des Endgeräts deak- Control (MAC)“-Adresse des Netzadapters des tiviert wurden. jeweiligen mobilen Endgeräts enthalten. Da sich die zur Messung der Besucherströme eingesetz- Es ist nicht davon auszugehen, dass es sich um ten Geräte gegenüber den Endgeräten wie allgemein zugängliche personenbezogene Daten WLAN-Hotspots/Netzzugangspunkte verhalten, handelt. Eine allgemeine Zugänglichkeit setzt ohne tatsächlich einen Netzzugang bereitzu- nämlich voraus, dass Daten dazu geeignet und stellen, können die von den Endgeräten bestimmt sind, von der Allgemeinheit abge- ausgesendeten Datenpakete durch die einge- rufen werden zu können. Die Bestimmung über setzten Geräte erhoben und dann zwecks die Zugänglichkeit trifft derjenige, in dessen Analyse der Kundenströme weiterverarbeitet Hoheit die Daten zu verorten sind. Sofern es werden. sich um MAC-Adressen und damit um perso- nenbezogene Daten handelt, sind als Verfü- In beiden Fällen wurde ein aufsichtsbehördli- gungsberechtigte die betroffenen Personen ches Verfahren eingeleitet und den Verantwort- anzusehen, denen die MAC-Adressen als perso- lichen (die – einmal als Verein, einmal als GmbH nenbezogene Daten zuzurechnen sind. organisiert – jeweils zu Zwecken des Stadtmar- ketings tätig sind) im Rahmen der Anhörung die Es mangelt an einer aktiven Entscheidung der Rechtsauffassung des ULD mitgeteilt, wonach betroffenen Personen, die MAC-Adressen öffent- für das Erheben von MAC-Adressen im öffentli- lich zugänglich zu machen. Darüber hinaus sind chen Raum zur Messung von Besucherströmen die „Probe Requests“ auch nicht dazu bestimmt, keine Rechtsgrundlage ersichtlich ist. das Betreten bestimmter öffentlicher Räume zu dokumentieren, sondern einzig und allein dazu, Dabei wird maßgeblich von folgenden Erwä- eine Verbindung zu Netzzugangspunkten zu gungen ausgegangen: MAC-Adressen stellen erleichtern. personenbezogene Daten dar. Für die Erhebung von MAC-Adressen bedarf es daher einer Offline-Tracking in der E-Privacy-Verord- Rechtsgrundlage. Eine Erhebung und weiter gehende Verarbeitung auf Grundlage einer nung? Interessenabwägung ist nicht möglich, da eine In Entwürfen der E-Privacy-Verordnung wird Interessenabwägung im vorliegenden Fall zu einem Überwiegen der Interessen der betroffe- auch Offline-Tracking behandelt. Sollte sich nen Personen führt. der Gesetzgeber dazu entschließen, dort Vorgaben zu machen, führt dies zu einer Dies gilt vor allem aufgrund des Umstands, dass Änderung der bis dahin geltenden Rechts- die Daten bei einem Verweilen bzw. Betreten lage. öffentlicher Räume erhoben werden und dies ohne Kenntnis der betroffenen Personen statt- findet. Aufgrund der technischen Voreinstellun- Da die Geräte im öffentlichen Raum eingesetzt gen mobiler Endgeräte haben betroffene Per- worden sind, kommt auch keine vertragliche sonen praktisch keine hinreichende Möglichkeit, oder vorvertragliche Beziehung der betroffenen die Aussendung und – damit einhergehend – Personen zur erhebenden verantwortlichen die Verarbeitung ihrer personenbezogenen Stelle in Betracht. Auch Einwilligungserklärun- Daten zu unterbinden. gen wurden von den betroffenen Personen 98 TÄTIGKEITSBERICHT 2019 DES ULD
5 DATENSCHUTZ IN DER WIRTSCHAFT nicht abgefordert, sodass keine Rechtsgrundla- Beide Verantwortlichen haben den Betrieb der ge ersichtlich ist, auf der eine Erhebung rechts- Gerätschaften noch im laufenden aufsichtsbe- konform möglich ist. hördlichen Verfahren eingestellt. Die Verfahren wurden dann eingestellt. 5.4.9 Wirksamkeit von Einwilligungen bezüglich unverschlüsselter E-Mail-Kommunikation? Durch eine Beschwerde gelangte dem ULD zur fenen Personen eine Erklärung dahin gehend Kenntnis, dass ein Verantwortlicher Einwilli- abverlangt, dass diese eine Verarbeitung ohne gungserklärungen zur Versendung unverschlüs- angemessene Maßnahmen gutheißen. selter E-Mails einholt. Der Verantwortliche ist in einem Bereich tätig, in dem personenbezogene Über die von der DSGVO explizit benannten Daten mit einem erhöhten Schutzbedarf verar- besonderen Kategorien personenbezogener beitet werden. Daten hinaus gibt es Kategorien von personen- bezogenen Daten, deren Verarbeitung aufgrund Die Nutzung von E-Mail-Kommunikation zur des ihnen anhaftenden Risikos für die Rechte Verarbeitung personenbezogener Daten ist nur und Freiheiten der betroffenen Personen einen unter den Voraussetzungen, die die DSGVO erhöhten Schutzbedarf aufweisen. Dazu gehö- aufstellt, zulässig. Das bedeutet, dass Verant- ren z. B. Daten aus dem Bereich der Bankge- wortliche unter Berücksichtigung der Art, des schäfte, sodass eine Übertragung von perso- Umfangs, der Umstände und der Zwecke der nenbezogenen Daten mit Bezug zu Bankge- Verarbeitung sowie der unterschiedlichen Ein- schäften nach Auffassung des ULD nicht über trittswahrscheinlichkeit und Schwere der Risiken einen unverschlüsselten Kommunikationskanal für die Rechte und Freiheiten natürlicher Perso- erfolgen darf, ohne Rücksicht darauf, ob die nen geeignete technische und organisatorische betroffene Person hierzu eventuell eine als Ein- Maßnahmen umzusetzen haben, um sicherzu- willigung bezeichnete Erklärung abgegeben hat. stellen und den Nachweis dafür erbringen zu Eine solche Einwilligungserklärung ist unwirk- können, dass eine Verarbeitung DSGVO-kon- sam. form erfolgt. Dabei haben Verantwortliche u. a. den Stand der Technik zu berücksichtigen. Nachdem der Verantwortliche im Rahmen eines aufsichtsbehördlichen Verfahrens auf diese Der Verpflichtung, den Stand der Technik zu Rechtsauffassung hingewiesen wurde, hat berücksichtigen und angemessene Schutzmaß- dieser erklärt, von den eingeholten Erklärungen nahmen einzurichten, kann sich ein Verantwort- keinen Gebrauch zu machen und keine weitere licher nicht dadurch entziehen, dass er betrof- Erklärung dieser Art einzuholen. Was ist zu tun? Gerade Kreditinstitute sind gehalten, bei der Kontaktaufnahme mit Kunden nicht Formulare bzw. Vertragsklauseln zu verwenden, die den Kundinnnen und Kunden die Erklärung abverlangen, hinsichtlich der Beratung zu oder der Abwicklung von Bankgeschäften auf eine verschlüsselte und damit sichere Kommunikation zu verzichten. Die Einhaltung der Regeln zur Datensicherheit ist nicht verhandelbar. TÄTIGKEITSBERICHT 2019 DES ULD 99