14.05.2020

Was gibt es Neues aus Sicht der Datenschutz-Aufsichtsbehörden?

Kürzlich hat das ULD seinen Tätigkeitsbericht für 2019 vorgelegt. Lesen Sie, welche Fälle daraus für die Datenschutz-Praxis besonders wichtig sind. Der Bericht zeigt auch, dass das ULD von Bußgeldern bisher keinen Gebrauch macht.

Tätigkeitsbericht ULD

Wichtige Datenschutz-Fälle aus der Praxis

Auch beim Unabhängigen Landesamt für Datenschutz Schleswig-Holstein (ULD) waren 2019 Videoüberwachungs-Maßnahmen und der Umgang mit sensiblen Daten der Dauerbrenner schlechthin.

Der Tätigkeitsbericht ist abrufbar unter https://www.datenschutzzentrum.de/tb/tb38/uld-38-taetigkeitsbericht-2020.pdf.

1. Videoüberwachung in Toiletten- und Waschräumen – hygienische Zwecke?

Im Berichtsjahr sah sich das ULD mit einem Fall konfrontiert, den man bestimmt schon einmal in einer humoristisch angehauchten Datenschutz-Schulung gehört hat: nämlich mit der Videoüberwachung auf der Toilette.

Der Betreiber eines Campingplatzes überwachte nicht nur Pissoirs und Waschbecken, sondern – aufgrund des Einstellwinkels der Kamera – auch den Innenraum einer Toilettenkabine.

Als Begründung gab der Betreiber neben Vandalismus  die ständige Verunreinigung (also hygienische Gründe?!) an. Denn es sollte eine „Ansprache der Schmutzfinke“ im Nachgang erfolgen.

Nach einer Vor-Ort-Kontrolle des ULD erging eine Anordnung, die Videokamera(s) zu entfernen, inklusive Löschung der bisher aufgezeichneten Videodaten.

Besonders wichtig ist jedoch, dass laut dem Verantwortlichen der Dienstleister, der die Videoüberwachung angebracht hatte, die datenschutzrechtliche Zulässigkeit eindeutig bejaht bzw. bestätigt hatte.

Der Verantwortliche vertraute darauf – ein grob fahrlässiger Fehler! Er hätte sich stattdessen fachkundigen Rat suchen müssen.

Derart abstruse Situationen sind leider kein Einzelfall. Allzu häufig äußern sich entsprechende Dienstleister allzu einfach zu komplexen datenschutzrechtlichen Fragestellungen, ohne die entsprechende Kompetenz zu besitzen.

Und wie hoch ist nun das Bußgeld für den Verantwortlichen ausgefallen? Genau 0,00 €.

Aus der Ferne nicht verständlich. Gründe dafür nennt das ULD – außer der Kooperation des Verantwortlichen – keine.

Bei diesem Sachverhalt kommmt – je nach konkreter Ausgestaltung und einem etwaigen (bedingten) Vorsatz des Campingplatz-Inhabers – durchaus auch eine Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen (§ 201a StGB) in Betracht.

Das sollte zur Vorsicht mahnen vor allzu invasiven Videoüberwachungs-Maßnahmen in „sensiblen Räumen“.

2. Wenn Patienten-Unterlagen auf Reisen gehen

Ebenfalls ein Klassiker sind die Gesundheitsdaten im Hausmüll. Im konkreten Fall war es ein offener großer Container in einer belebten Straße, randvoll mit sensibelsten Patientendaten, die ein aufmerksamer Bürger bemerkte und dem ULD meldete.

Erklärung des Verantwortlichen:

  • Man habe einen externen Dienstleister damit beauftragt, die Patientendaten auszusortieren und zu vernichten.
  • Diese Dienstleistung zu kontrollieren und zu beaufsichtigen, habe man aber nicht für nötig erachtet.

Der Chef des Dienstleisters erklärt, dass man leider kein passendes Schloss mehr gehabt habe.

Ein Vertrag zur Auftragsverarbeitung? Fehlanzeige!

Und wer jetzt nach der Geldbuße fragt, den enttäuscht das ULD wieder: 0,00 €.

3. Vorsicht vor allzu transparenten Behältnissen

Transparenz ist nicht in jedem Fall gut. Besonders dann nicht, wenn es darum geht, dass eine Apotheke Medikamente durch einen Boten an Kunden liefert. Noch besser: an die Nachbarn des Kunden, wenn dieser nicht zu Hause ist.

Und so konnte der Nachbar – ohne Öffnung der Tüte – den Namen der Medikamente etc. lesen und sich daraus seinen Reim auf den Gesundheitszustand seines Nachbarn machen.

Dass auch bei der Lieferung und beim Transport von Medikamenten die Sicherheit der Daten (u.a. Art. 32 Datenschutz-Grundverordnung – DSGVO) gewährleistet sein muss, versteht sich von selbst.

Zumindest hat die Apotheke direkt nach der Prüfung des ULD eine organisatorische und eine technische Maßnahme ergriffen:

  • Der Bote übergibt die Tüte nur noch an Befugte, im Regelfall an die betroffene Person selbst.
  • Die Apotheke nutzt nur noch blickdichte Verpackungen.

Von einem Bußgeld sah das ULD auch hier ab.

Weitere Einzelfälle des ULD

Des Weiteren beanstandete das ULD missverständliche und nicht offensichtliche Werbeschreiben, gepaart mit einigen Einwilligungen.

Es hebt hervor, dass es keine Pflicht gibt, von Bestandskunden Erklärungen hinsichtlich der Richtigkeit ihrer gespeicherten Daten einzuholen.

Auch stellt das ULD klar, dass die bloße Teilnahme an einer Veranstaltung keine konkludente Einwilligung ist, Fotos in sozialen Medien zu veröffentlichen.

Den Besuchern einer Veranstaltung muss überdies hinreichend klar sein, in welchen konkreten Medien (Facebook, Instagram etc.) eine Veröffentlichung erfolgen soll.

Inkassounternehmen – eigene Verantwortliche oder Auftragsverarbeiter?

Diese Frage musste das ULD im Rahmen einer Beratung beantworten. Es beleuchtet dabei genau die konkrete Ausgestaltung.

Wesentliches Merkmal einer Auftragsverarbeitung gemäß Art. 28 DSGVO ist die Weisungsgebundenheit. Sie geht damit einher, dass

  • der Auftraggeber die Zwecksetzung vornimmt und
  • dem Auftragnehmer nur ein sehr schmaler untergeordneter Entscheidungsspielraum verbleibt, wie er die Verarbeitungsergebnisse erreicht und die Datenverarbeitung an sich betreibt.

Das Problem liegt in den Aufgaben des Inkassounternehmens und im Ermessens- und Entscheidungsspielraum, der dem Inkassounternehmen zukommt.

Lediglich bloße organisatorische Entscheidungs-Spielräume (z.B. Zeitpunkt und Häufigkeit der Schuldner-Ansprache) sind grundsätzlich unschädlich.

Macht der Gläubiger dem Inkassounternehmen also konkrete Vorgaben zu den Kriterien, nach denen er personenebezogene Daten verarbeiten muss, so kann es sich – je nach Einzelfall – auch um ein Auftragsverarbeitungs-Verhältnis handeln.

Im vorliegenden Fall stellte das ULD jedoch die eigene Verantwortlichkeit des Inkassounternehmens fest.

Denn das Inkassounternehmen konnte quasi alles allein bestimmen. Das betraf etwa den Umfang und die Art von Schlüssigkeits-Prüfungen der Forderung, Bonitätsauskünfte, Teilzahlungs-Gestattungen etc.

Was ist mit der gemeinsamen Verantwortlichkeit?

Nicht übersehen werden darf in diesem Verarbeitungskontext aber die auch nicht ganz fernliegende „gemeinsame Verantwortlichkeit“ (Art. 26 DSGVO) zwischen Gläubiger und Inkassounternehmen. Darauf geht das ULD nicht ein.

Denn eine ähnliche und vergleichbare Ausgestaltung findet sich bei Personaldienstleistern / Headhuntern. Sie suchen häufig unter Nutzung öffentlich zugänglicher und eigener Daten(bestände) einen geeigneten Kandidaten für Unternehmen (Näher hierzu siehe Art.-29-Gruppe, WP 169, S. 23).

Zahlen und Fakten des ULD aus 2019

  • 1.194 schriftliche Beschwerden (davon für 235 nicht zuständig)
  • 959 Verfahren eröffnet (680 davon gegen nicht öffentliche Stellen / Unternehmen)
  • 758 Beratungen
  • 349 Meldungen über Vorkommnisse, die den Schutz personenbezogener Daten verletzt haben (hier sind zahlreiche Datenpannen dabei, über die das ULD nicht der Verantwortliche, sondern Dritte / Betroffene informiert haben
  • 37 Warnungen
  • 26 Verwarnungen
  • 2 Anordnungen
  • 0 Bußgelder
  • Ohne vorherige Beschwerde hat das ULD 10 Prüfungen im öffentlichen Bereich und 13 Prüfungen im nicht-öffentlichen Bereich durchgeführt.

Fazit: Tipps für die Praxis, keine Bußgelder

Der Tätigkeitsbericht enthält einige wichtige Klarstellungen zu relevanten Praxisfragen, wie sich die DSGVO anwenden lässt.

Dass das ULD einige aus der Ferne „krasse“ Datenschutzverstöße – unabhängig von der Diskussion über die Bestimmtheit der Sanktionsnormen der DSGVO – jedoch nicht mit einer Geldbuße sanktionierte, lässt einen erforderlichen Ausgleich zwischen Aufklärung und Sanktionierung vermissen.

Autor*in: Dr. Kevin Marschall (Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz spezialisierten Unternehmensberatung mit Sitz in Kassel.)