11.11.2020

Tätigkeitsbericht: Datenschutz-News aus Niedersachsen

Die Landesbeauftragte für Datenschutz (LfD) Niedersachsen hat ihren Tätigkeitsbericht für 2019 vorgelegt. Videoüberwachung und Betroffenenrechte sind wichtige Schwerpunkte. Das müssen Sie dazu für die Datenschutz-Praxis wissen.

Tätigkeitsbericht Niedersachsen

Welche Themen haben die Niedersächsische Datenschutz-Aufsicht im letzten Jahr besonders beschäftigt? Welche Zahlen sind zu vermelden? Welche Empfehlungen lassen sich für die Praxis aus dem Tätigkeitsbericht (PDF-Datei) ableiten?

Neues aus der Bußgeldstelle Niedersachsen

Es ist etwas bedauerlich, dass sich die LfD zu den verhängten Bußgeldern relativ bedeckt hält. Auch etwas ausführlichere Beschreibungen der zugehörigen Sachverhalte wären wünschenswert gewesen.

Neben allgemeinen Ausführungen zu Bußgeldern nach der Datenschutz-Grundverordnung (DSGVO) erfährt der aufmerksame Leser nur ein paar konkrete Hinweise aus der „Bußgeldstelle“ der Landesbeauftragten.

So informiert der Tätigkeitsbericht zum Beispiel, dass die Aufsichtsbehörde im Jahr 2019 vorhandene Ermittlungs-Instrumente intensiver genutzt hat. Dazu gehörten insbesondere das Erwirken von Durchsuchungs- und Beschlagnahme-Anordnungen beim zuständigen Gericht. In welchen Fällen dies geschah, sagt der Bericht leider nicht.

Wichtig ist allerdings, dass die meisten Fälle der Bußgeldstelle der Videoüberwachung zuzuordnen sind:

  • Zum einen gab es einige Unternehmen, die ihre Kunden beobachteten sowie das Verhalten und die Leistung ihrer Beschäftigten überwachten.
  • Zum anderen ist eine größere Zahl von Dashcam-Fällen zu verzeichnen. Den anlasslosen Betrieb einer Dashcam mit permanenter Speicherung hat die LfD etwa in 9 Fällen mit Geldbußen um rund 500 Euro geahndet.

Kamera-Attrappe – Lügen haben kurze Beine

Ein Bußgeld-Verfahren, das zum Ende des Berichtszeitraums noch nicht abgeschlossen war, behandelte eine vermeintliche Kamera-Attrappe.

Im Rahmen eines Prüfverfahrens der LfD behauptete ein Verantwortlicher, dass es sich bei der von ihm eingesetzten Kamera um eine Attrappe handele. Diese Angabe stellte sich allerdings als falsch heraus, sodass die Aufsicht ein Ordnungswidrigkeiten-Verfahren einleitete.

Denn: Ein Verantwortlicher muss der Aufsichtsbehörde alle Informationen bereitstellen, die für die Erfüllung ihrer Aufgaben erforderlich sind (Art. 58 Abs. 1 Buchst. a in Verbindung mit Art. 31 DSGVO).  So führte die Lüge des Verantwortlichen – so die LfDI – zum Ordnungswidrigkeiten-Verfahren.

Kernaspekt: Die LfD bewertete die Erfassung des öffentlichen Verkehrsraums zum Schutz des Eigentums des Verantwortlichen als nicht erforderlich und im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO als grundsätzlich rechtswidrig.

Zudem war die Speicherdauer unverhältnismäßig lang (hier: 60 Tage), die Hinweis-Beschilderung entsprach nicht den Vorgaben von Art. 13 DSGVO, und das Unternehmen nutzte sogar die Audiofunktion (beachte § 201 Abs. 1 und Abs. 2 Strafgesetzbuch: „Verletzung der Vertraulichkeit des Wortes“).

Überwachung am Arbeitsplatz 2.0

Dass manchen Verantwortlichen auch eine (nicht förmliche) Warnung der Datenschutz-Aufsicht unbeeindruckt lässt, zeigt der Fall eines Einzelhandels-Unternehmens.

Es überwachte seine Beschäftigten und Kunden permanent per Videokameras. Und zwar auch noch, nachdem die LfD das Unternehmen aufgefordert hatte, die rechtswidrige Videoüberwachung einzustellen.

Das Unternehmen versicherte zwar gegenüber der LfD, die Mängel beseitigt zu haben. Eine Beschwerde veranlasste allerdings ein erneutes Kontrollverfahren, nun mit einer Vor-Ort-Kontrolle.

Hierbei stellte sich heraus, dass alle beanstandeten Kameras wieder in Betrieb waren und das Unternehmen die Beschäftigten lückenlos überwachte.

Die permanente Überwachung von Beschäftigten ist auch in der Beratungs-Praxis ein Thema, das leider immer noch häufig anzutreffen ist. Dazu hat der Tätigkeitsbericht aus Niedersachsen einige weitere Anregungen. In diesen Fällen ging es allerdings nicht um Geldbußen.

Einwilligung in Videoüberwachung am Arbeitsplatz?

Ein Unternehmen hatte seine kompletten Produktionshallen, einschließlich des Geländes, auf dem auch andere Unternehmen angesiedelt sind, dauerhaft mit Kameras überwacht.

Die LfD wies darauf hin, dass sich die ganztägige Überwachung – nachts wäre es wohl möglich bzw. zulässig gewesen – aufgrund fehlender Erforderlichkeit nicht auf berechtigte Interessen stützen lasse. Daraufhin holte das Unternehmen von den anderen ansässigen Betrieben Einwilligungs-Erklärungen ein.

Das waren dabei die Probleme:

  • Die Einwilligung erfüllte nicht die gesetzlichen Vorgaben (z.B. keine Angaben zur Speicherdauer und kein Hinweis auf Widerruflichkeit der Einwilligung)
  • Die Einwilligung war vorliegend, besonders für die Beschäftigten, nicht freiwillig. Das ergab sich unter anderem daraus, dass zum Zeitpunkt, zu dem die Brtroffenen die Einwilligung erklären sollten, die Kameras bereits installiert waren. Das führt bei den betroffenen Personen zu einer größeren Hürde, die Einwilligung nicht zu erteilen. Ebenso sprach der erhöhte Gruppenzwang gegen die Freiwilligkeit. Denn alle Beschäftigten sollten auf demselben Schriftstück, einer Liste, unterschreiben.
  • Das Unternehmen holte nicht von allen Betroffenen eine Einwilligung ein. Es fehlten Kunden, Besucher und Lieferanten. Das ist letztlich objektiv auch kaum zu bewerkstelligen.
Merke: Einwilligungs-Erklärungen in eine Videoüberwachung einzuholen, ist – insbesondere bei Beschäftigten – äußerst kritisch. Das Vorgehen dürfte nur in extremen Ausnahmefällen rechtlich  tragfähig sein.

Einwilligung in Foto-Veröffentlichung in AGB-Form

Ein Veranstalter von Jugend- und Schulreisen formulierte in seinen Allgemeinen Geschäftsbedingungen (AGB), dass die Veröffentlichung von Foto- und Videomaterial von Jugendlichen unter 16 Jahren auf seiner Webseite und in sozialen Medien „Voraussetzung für die Buchung und Teilnahme an einer Reise“ sei.

Auch dieser – zugegeben pfiffigen – Idee eines Reiseveranstalters erteilte die LfD eine klare Absage. Durch die AGB erteilten die betroffenen Personen keine wirksame Einwilligung. Denn sie sei weder freiwillig noch informiert, transparent und eindeutig gewesen.

Zu Recht schloss die LfD auch eine konkludente Einwilligung der Betroffenen (durch Buchung der Reise) aus. Denn die Reisenden erklären mit Abschluss eines Reisevertrags lediglich ihr Einverständnis damit, dass der Veranstalter gegen Bezahlung reisetypische Leistungen (z.B. Transport und Unterbringung) erbringt. Hieraus lässt sich nicht auf ein Einverständnis in die Veröffentlichung von Foto- und Videomaterial schließen.

Und da die Foto-Veröffentlichung wie beschrieben keine typische Leistung eines Reisevertrags ist, schied als Rechtsgrundlage auch Art. 6 Abs. 1 Buchst. b DSGVO aus. Entsprechend „urteilte“ die LfD hinsichtlich des berechtigten Interesses, auch aufgrund der besonderen Schutzbedürftigkeit von Kindern und Jugendlichen unter 16 Jahren.

Ergänzend wies die LfDI aber darauf hin, dass es nicht zwingend erforderlich sei, die Fotos und Videos vollständig zu entfernen. Das Foto- und Videomaterial zu verpixeln, sei ausreichend und im Einklang mit datenschutzrechtlichen Anforderungen.

Warum eine Verpixelung als datenschutzrechtlich ausreichend anzusehen ist, wenn bereits die Erhebung großen rechtlichen Bedenken begegnet, beantwortet der Tätigkeitsbericht nicht.

Anlasslose Prüfungen nehmen zu

Im oben genannten Fall der Videoüberwachung von Beschäftigten und Kunden ist hervorzuheben, dass die LfD im Rahmen eines anlasslosen Kontrollverfahrens auf den Sachverhalt aufmerksam wurde.

Solche einleitenden Sätze findet der Leser an mehreren Stellen des Tätigkeitsberichts. Daraus lässt sich  schließen, dass die Niedersächsische Aufsichtsbehörde auch proaktiv kontrolliert.

Weitere interessante Themen

Die LfD behandelt zahlreiche weitere Themen, auf die Datenschutzbeauftragte einen Blick werfen sollten. Hierzu zählen etwa

  • die rechtliche Behandlung von Altfällen, zu der sich auch das Bundesverwaltungsgericht geäußert hat (S. 56 ff),
  • Ausführungen zur Telearbeit und zu mobilem Arbeiten (S. 154 ff.),
  • Prüfungen der LfD zur Umsetzung der DSGVO in Krankenhäusern (S. 159 ff.),
  • die immer noch heiß diskutierte Zulässigkeit der Erhebung und Veröffentlichung von Fotos durch Vereine und öffentliche Stellen (S. 177 ff.) sowie
  • Themen des technischen Datenschutzes (S. 189 ff.). Hier greift die LfD mehrheitlich Themen auf, die bereits die Datenschutzkonferenz behandelt und diskutiert hat, wie das Prüfschema für Windows 10 (S. 193 ff.).

Und wer sich für Ausführungen zur Rechtsprechung von grundsätzlicher datenschutzrechtlicher Bedeutung interessiert, dem sei Teil F des Tätigkeitsberichts ans Herz gelegt (ab S. 48).

Was andere Datenschutz-Aufsichtsbehörden zu beanstanden hatten, lesen Sie hier: Datenschutz-Aufsicht: Darauf achtet sie besonders

Zahlen und Fakten im Tätigkeitsbericht 2019

  • 1.882 Beschwerden sind eingegangen, davon ca. 1.000 bezogen auf nicht-öffentlichen Bereich – häufigster Beschwerdegrund: Nichtbeantwortung eines Auskunftsersuchens (Art. 15 DSGVO)
  • über 1.878 schriftliche Beratungen (telefonische wurden nicht erfasst / gezählt)
  • 824 Datenpannen-Meldungen (leider ohne Angabe der Schwerpunkte)
  • 208 mal von Abhilfemaßnahmen Gebrauch gemacht, ohne Bußgeld (190 Verwarnungen, 5 Warnungen, 13 Anweisungen / Anordnungen bzgl. eines Tuns oder Unterlassens)
  • 22 Geldbußen gemäß Art. 58 Abs. 2 Buchst. i DSGVO in Höhe von ca. 480.000 Euro verhängt (zum Ende des Berichtszeitraums war aber der überwiegende Teil noch nicht rechtskräftig; weitere bereits eingeleitete Bußgeld-Verfahren standen noch aus)

Fazit: einige wichtige Praxis-Tipps

Dem Tätigkeitsbericht aus Niedersachsen lassen sich einige praxisrelevante Sachverhalte und daraus ableitbare Empfehlungen entnehmen. Er zeigt zugleich, worauf Unternehmen lieber zweimal schauen und besonderen Wert legen sollten.

Hierzu gehören aufgrund der Häufigkeit entsprechender Bußgelder vor allem die rechtskonforme Ausgestaltung von Videoüberwachung sowie die Erfüllung der Betroffenenrechte (Art. 12–21 DSGVO), unterstützt durch gelebte Prozesse und sensibilisierte Mitarbeiter.

Dem Umstand, dass die LfD nicht alle wesentlichen Bußgeldfälle näher erläutert, ist es geschuldet, dass vielleicht die ein oder andere spannende Information auch dem aufmerksamen Leser verborgen bleibt.

Autor*in: Dr. Kevin Marschall (Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz spezialisierten Unternehmensberatung mit Sitz in Kassel.)