Praxisbericht
/ 12. August 2022

Aufsichtsbehörden: Aktuelle Fälle aus dem Tätigkeitsbericht Berlin

Der aktuelle Tätigkeitsbericht der Landesbeauftragten Berlin beschäftigt sich unter anderem mit der datenschutzrechtlichen Verantwortlichkeit bei der Online-Enzyklopädie Wikipedia, mit dem Umgang mit Auskunftsansprüchen zur Videoüberwachung und mit dem TTDSG.

Das neue TTDSG – wie sieht’s aktuell in der Praxis aus?

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beschäftigt auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) in ihrem aktuellen Tätigkeitsbericht (Seite 147 bis 149). Unter dem Strich sieht sie durch das TTDSG mehr Rechtssicherheit beim Einsatz von Cookies gegeben.

2 Phasen der Datenverarbeitung

Die BlnBDI weist ausdrücklich darauf hin, dass bei der Datenverarbeitung mittels Cookies & Co. zwei Phasen der Verarbeitung zu unterscheiden sind:

  • Die Erhebung der Nutzerdaten mittels Cookies und ähnlichen Technologien richtet sich nach den Vorgaben des TTDSG.
  • Dagegen richten sich die daran anschließende Nutzung und Weiterverarbeitung dieser Daten, z.B. zur Personalisierung von Werbung, im Grundsatz nach den Anforderungen und Vorgaben der Datenschutz-Grundverordnung (DSGVO).

Verantwortliche müssen somit einen ganzheitlichen rechtlichen Blick haben, bei dem sie die Vorgaben der DSGVO immer „mitbedenken“.

Orientierungshilfe der DSK

Die BlnBDI verweist abschließend auf die überarbeitete Orientierungshilfe der Datenschutzkonferenz (DSK). Sie enthält u.a. wichtige Hinweise dazu, wie Verantwortliche eine rechtskonforme und wirksame Einwilligung einholen. Denn die deutschen Aufsichtsbehörden haben diesbezüglich in der Vergangenheit große rechtliche Defizite bei entsprechenden Cookie- oder Einwilligungsbannern festgestellt.JTVCaGlud2Vpc2JveCUyMG5hbWUlM0QlMjJOZXdzbGV0dGVyJTIwQmFubmVyJTIwZ3Jvc3MlMjIlNUQ=

Wichtig: Immer wieder Prüfoffensiven der Aufsichtsbehörden zu Tracking-Technologien

Nach wie vor sind Datenverarbeitungen auf Websites ein Dauerbrenner bei Betroffenen und bei der Aufsichtsbehörde. So startete die BlnBDI – wie einige andere Aufsichtsbehörden für den Datenschutz – im Berichtszeitraum eine Schwerpunktprüfung von ca. 50 Unternehmens-Websites mit Fokus auf den Einsatz von Tracking-Technologien und von Drittlands-Diensten. Dies geschah unter anderem aufgrund einer großen Anzahl an Individualbeschwerden von betroffenen Website-Besuchern.

Die BlnBDI stellt zwar fest, dass viele Websites mittlerweile differenzierte „Cookie-Banner“ (Consent-Manager) eingebunden haben, häufig allerdings mit zahlreichen rechtlichen Mängeln.

Was waren häufige Mängel auf Websites?

So waren nach Ansicht der BlnBDI etwa viele Cookie-Banner gar nicht geeignet, um eine wirksame Einwilligung einzuholen. Besonders auffällig sei, dass die Ablehnung des Tracking oft wesentlich komplizierter und intransparenter war als die Zustimmung – Nudging at its best.

Zugleich machten sich die Unternehmen kaum Gedanken um korrekte Angaben im Cookie-Banner und fehlende Kohärenz mit den Datenschutzerklärungen. Das wirkt sich negativ auf die Freiwilligkeit und Informiertheit der Einwilligung aus. Regelmäßige Updates der Datenschutzerklärung & Co.? Fehlanzeige!

Auch auf Nachfrage der BlnBDI räumten die Verantwortlichen die meisten Mängel nicht (vollständig) aus – möglicherweise einfach aus Unbeholfenheit. Es bleibt spannend, wie sich die BlnBDI diesbezüglich verhält und ob sie von ihren Abhilfebefugnissen (Art. 58 Abs. 2 DSGVO) Gebrauch machen wird.

Auskunftsansprüche bei der Videoüberwachung – Auskunft in Form einer Datenkopie?

Denken Verantwortliche an Auskunftsansprüche, die die Datenverarbeitung per Videoüberwachung betreffen, so gelangen manche vielleicht zur (vorschnellen) Entscheidung, einen solchen Auskunftsanspruch und erst recht die Übersendung von Kopien der Aufnahmen abzulehnen, um die Persönlichkeitsrechte der anderen Betroffenen zu „schützen“.

Zu hoher Aufwand für die Auskunft?

Ganz so einfach, wie sich das in diesem Fall die S-Bahn Berlin GmbH gedacht hatte, ist das aber nach Ansicht der BlnBDI nicht. Verantwortliche können die Auskunft in Form einer Kopie nicht pauschal mit dieser Begründung verweigern. Die S-Bahn Berlin GmbH war hier nach Ansicht der BlnBDI vielmehr in der Pflicht, die Aufnahmen anderer Fahrgäste zu schwärzen bzw. zu verpixeln, bevor sie sie an den Betroffenen übermittelten. Auch ein hoher Aufwand sei nach Ansicht der BlnBDI kein Grund, die Auskunft zu verweigern.

Dass die S-Bahn Berlin in der Vergangenheit schon regelmäßig Videoaufnahmen, Ausschnitte und (Teil-)Sequenzen an die Polizeibehörden übermittelt hatten, zeige auch, dass eine Auskunftserteilung nicht unmöglich sei, so die BlnBDI.

[Hinweis der Redaktion: In der ursprünglichen Fassung wurden an dieser Stelle die Berliner Verkehrsbetriebe genannt. Wir bitten, den Fehler zu entschuldigen.]

Praxis-Tipp
Zentral für Verantwortliche, die Videoüberwachung betreiben, ist es, Prozesse zu entwickeln, wie sie Videodaten unter diesen Bedingungen korrekt beauskunften können. Dieses Themas sollten sich nach Ansicht der BlnBDI insbesondere die betrieblichen Datenschutzbeauftragten annehmen.

Rechtmäßigkeit von Videoüberwachung

Neben der Frage, wie sich ein solcher Auskunftsanspruch befriedigen lässt, steht die Rechtmäßigkeit von Videoüberwachungen nach wie vor im Fokus.

Dass sich eine Videoüberwachung der Beschäftigten nicht durch eine Einwilligung legitimieren lässt (Seite 141), zeigt auch ein Bußgeldfall der BlnBDI. Hier versuchte der Arbeitgeber, eine Fachklinik, vergeblich, sich von seinen Beschäftigten eine Einwilligung per Arbeitsvertrag einzuholen. Das scheiterte maßgeblich an der fehlenden Freiwilligkeit.

Wikipedia – keine datenschutzrechtlichen Kontrollen möglich

Ganz nebenbei erwähnt die BlnBDI im einleitenden Text (Seite 152 bis 154), dass die in den USA ansässige Wikimedia Foundation Inc. als Anbieterin der deutschsprachigen Fassung der Online-Enzyklopädie gemeinsam mit den Autorinnen und Autoren der jeweiligen Artikel und Beiträge verantwortlich für die entsprechende Datenverarbeitung gemäß Art. 4 Nr. 7 in Verbindung mit Art. 26 DSGVO sei.

Jedoch geht die BlnBDI sodann mit ausführlicher Begründung darauf ein, dass die Verarbeitung personenbezogener Daten von Betroffenen, die sich in der Europäischen Union befinden, in Artikeln und Beiträgen der Wikipedia grundsätzlich eine Verarbeitung für literarische Zwecke darstellt. Daher sei die überwiegende Anzahl der Fälle der Kontrolle durch die Aufsichtsbehörden entzogen (unter Beachtung der Regelung des Berliner Landesrechts).

Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

Weitere Datenschutzthemen im aktuellen Tätigkeitsbericht

Des Weiteren beschäftigt sich der Tätigkeitsbericht

  • mit der Frage der Zulässigkeit von Beschäftigtenlisten mit „nützlichen Informationen“, um Kündigungen vorzubereiten (Seite 102 f.),
  • mit dem Vorgehen bei Ransomware-Attacken (Seite 82 ff.) sowie
  • mit der sehr umfangreichen Nachweispflicht des Verantwortlichen im Kontext von Einwilligungserklärungen (Seite 123 f).

Informationen aus der Bußgeldstelle der BlnBDI

Auch von Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DSGVO machte die BlnBDI im Jahr 2021 wieder zahlreich Gebrauch.

Bußgelder verhängte die Berliner Datenschutzbeauftragte beispielsweise in zahlreichen Fällen

  • aufgrund einer rechtswidrigen Videoüberwachung,
  • wegen unbefugter Datenabfragen im öffentlichen Bereich (u.a. zu privaten Zwecken) sowie
  • aufgrund der Benennung eines Klinikleiters zum Datenschutzbeauftragten (Interessenkonflikt).

Zugleich ahndete die Aufsichtsbehörde in einigen Fällen die Zweckentfremdung von Kontaktdaten, die Restaurantbetreiber & Co. im Rahmen der Covid-19-Pandemie zur Kontaktnachverfolgung erhoben hatten.

Ein besonders skurriler Fall

Besonders skurril ist das verhängte Bußgeld gegen einen Rechtsanwalt, der personenbezogenen Daten seines (ehemaligen) Mandanten und dessen Familienmitgliedern (hier: Name, Kontaktdaten, Anschrift und Auszüge aus seinen Akten) auf seinem Internetblog veröffentlichte. Hiermit wollte der Rechtsanwalt erzwingen, dass der ehemalige Mandant ausstehende Forderungen begleicht – zu drastisch, wie die BlnBDI befand.

Die Datenverarbeitung erfolgte weder auf Basis eines legitimen berechtigten Interesses, noch zu ausschließlich journalistischen Zwecken. Somit war sie rechtswidrig. Was die zuständige Rechtsanwaltskammer zu solch einem Verhalten wohl aus berufsrechtlicher Sicht sagen würde?

Zahlen und Fakten zu Abhilfemaßnahmen 2021 (Bußgelder & Co.)

  • Warnungen: 2
  • Verwarnungen: 212
  • Anweisungen / Anordnungen: 1
  • Bußgelder: 61 (Gesamthöhe 133.350 Euro)
  • Zwangsgeldbescheide: 36
  • Strafanträge: 3

Weitere Zahlen und Fakten des Jahres 2021

  • Eingegangene Beschwerden / Eingaben von Betroffenen: 5.671 (mehr als 80 Prozent davon richteten sich gegen private Stellen)
  • Beratungen (schriftlich / per Mail): 3.235
  • Datenpannen: 1.163

Dr. Kevin Marschall