Beruflich Dokumente
Kultur Dokumente
Datenschutzaufsicht
9. Tätigkeitsbericht
2019
9. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht
für das Jahr 2019
Hinweis: Aktualisierte Fassung vom 31.01.2020 (Anpassung in Kapitel 6.3)
Herausgeber:
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
Vorwort
Dieser 9. Tätigkeitsbericht des Bayerischen Lan- unterzubringen, wie es die entsprechenden
desamts für Datenschutzaufsicht (BayLDA) ist Richtlinien eigentlich vorsehen. Es bleibt des-
der Erste, dessen Berichtszeitraum sich gemäß halb eine nachhaltige Aufgabe, sich um zusätz-
der Vorgabe der Datenschutz-Grundverord- liche Büroflächen zu bemühen.
nung (DS-GVO) nur auf ein Jahr, das Jahr 2019,
bezieht. Wie schon in den Vorjahren beinhaltet Aber auch die fachlichen Anforderungen an uns
unser Bericht keine datenschutzpolitischen Aus- als Datenschutzaufsichtsbehörde waren 2019
führungen. Er wiederholt auch nicht die Ent- schon alleine auf Grund der erheblichen Anzahl
schließungen, Beschlüsse, Orientierungshilfen an Beschwerden, Beratungen und gemeldeten
o. ä. der Konferenz der unabhängigen Daten- Datenschutzverletzungen gewaltig. Die Enttäu-
schutzaufsichtsbehörden des Bundes und der schung, dass uns trotz des bereits im Vorjahr
Länder (Datenschutzkonferenz – kurz: DSK). 2018 festgestellten gewaltigen Anstiegs dieser
Diese sind stattdessen auf der Homepage der Anforderungen im Doppelhaushalt 2019/2020
DSK jederzeit frei abrufbar (www.datenschutz keine zusätzlichen Stellen bewilligt wurden,
konferenz-online.de). Unser Bericht beinhaltet – konnten wir zum Glück rasch überwinden. Wir
dem halbierten Berichtszeitraum entsprechend erfuhren, dass der Bayerische Staatsminister des
– deutlich weniger Fallbeispiele. Unser Ziel bei Innern, für Sport und Integration, dessen Ress-
der Auswahl der dargestellten Fälle und unseren ort wir haushaltsrechtlich zugeordnet sind,
Entscheidungen dazu war und ist nach wie vor, durch eine interne Umstrukturierung uns einen
den Verantwortlichen und betroffenen Perso- erheblichen Finanzbetrag zur Verfügung ge-
nen eine Orientierung zu geben, wie wir die da- stellt hat, durch den wir neue – auf Dauer ange-
tenschutzrechtlichen Vorschriften in konkreten legte – Planstellen schaffen konnten. Selbst
Fällen auslegen. wenn diese Entscheidung vom März 2019 haus-
haltsrechtlich erst im Sommer wirksam wurde,
Für das BayLDA war das Jahr 2019 insgesamt ein so dass die meisten unserer neun neuen Mitar-
extrem schwieriges Jahr. Es begann damit, dass beiterinnen und Mitarbeiter erst gegen Novem-
wir aus unserem bisherigen Dienstgebäude, ber 2019 den Dienst antreten konnten, war die
dem Schloss in Ansbach, ausgezogen sind. Wir Aussicht auf diese personelle Aufstockung für
konnten dann auf der anderen Straßenseite der die vorhandenen Beschäftigten eine hilfreiche
Promenade in Ansbach in neu renovierte Motivation, um mit der enormen Überlastung
Räume, die früher einmal eine Zweigstelle der besser umgehen zu können. Diese Situation,
Bayerischen Landesbank beherbergt hatten, verschärft durch den Wechsel der Hälfte unserer
einziehen. Trotz intensiver Planung stellte sich juristischen Beschäftigten, hatte leider dazu ge-
der Umzug einer ganzen Behörde als gewaltiger führt, dass wir unseren gesetzlichen Aufgaben
Kraftakt dar. Eine besondere Herausforderung zur Durchführung von Prüfungen und Erlass von
bestand darin, alle Mitarbeiterinnen und Mitar- Bußgeldbescheiden nur in sehr geringem Um-
beiter nicht nur körperlich, sondern „ganzheit- fang nachkommen konnten. Wir gehen davon
lich“ mitzunehmen. Es ließ sich nicht vermeiden, aus, dass wir diese Aktivitäten in den folgenden
dass sich nicht alle durch den Umzug räumlich Jahren, wenn alle neuen Mitarbeiterinnen und
verbessert haben. Im Juli 2019 erfolgte die An- Mitarbeiter eingearbeitet sind, wieder in deut-
mietung weiterer Büroräume im 2. Stock des lich größerem Umfang betreiben können.
neuen Dienstgebäudes. Die gesamte nunmehr
zur Verfügung stehende Bürofläche reicht aber
nicht aus, um alle am Ende des Jahres 2019 vor-
handenen Mitarbeiterinnen und Mitarbeiter so
Der vorliegende Tätigkeitsbericht soll in erster Ferner soll der Bericht auch dazu dienen, den
Linie ein Blick zurück auf den Berichtszeitraum eigenen Mitarbeiterinnen und Mitarbeitern für
sein und darüber informieren, was in dieser Zeit ihren hervorragenden Einsatz in einem sehr
geschehen ist. Das erfahren Sie, verehrte Lese- schwierigen Jahr zu danken. Trotz dieser nicht
rin, verehrter Leser, auf den folgenden Seiten. einfachen äußeren Rahmenbedingungen ist es
gelungen, dass sich alle Mitarbeiterinnen und
Der Bericht soll aber auch dafür verwendet wer- Mitarbeiter als ein Team gesehen, sich gegen-
den, vielen – insbesondere Datenschutzbeauf- seitig unterstützt und über alle Bereiche hinweg
tragten – für die konstruktive Kommunikation ausgezeichnet zusammengearbeitet haben.
zu danken, die uns in die Lage versetzt hat, bes- Herzlichen Dank dafür.
ser wahrzunehmen, welche Probleme mit der
neuen Datenschutz-Grundverordnung „im wirk- Ansbach, im Januar 2020
lichen Leben draußen“ tatsächlich bestehen.
Thomas Kranig
Präsident
Inhaltsverzeichnis
Vorwort .......................................................................................................................................................... 1
Inhaltsverzeichnis ......................................................................................................................................... 3
1 Datenschutzaufsicht im nicht-öffentlichen Bereich ........................................................................ 7
1.1 Gesetzliche Grundlage für den Tätigkeitsbericht ......................................................................................... 7
1.2 Datenschutz in Bayern ............................................................................................................................................ 7
1.3 Das Bayerische Landesamt für Datenschutzaufsicht ................................................................................... 7
2 Zahlen und Fakten .............................................................................................................................. 10
2.1 Beschwerden .............................................................................................................................................................10
2.2 Beratungen ................................................................................................................................................................12
2.3 Datenschutzverletzungen ....................................................................................................................................13
2.4 Abhilfemaßnahmen ................................................................................................................................................14
2.5 Europäische Verfahren ..........................................................................................................................................14
2.6 Förmliche Begleitung von Rechtsetzungsvorhaben ..................................................................................14
2.7 Ressourcen.................................................................................................................................................................14
2.8 Vorträge und Öffentlichkeitsarbeit ..................................................................................................................16
3 Kontrollen und Prüfungen ................................................................................................................ 18
3.1 Safer Internet Day 2019 ........................................................................................................................................18
3.2 Videoüberwachung in Shisha-Bars ..................................................................................................................19
3.3 Rechenschaftspflicht beim Einsatz von Tracking-Tools ...........................................................................20
3.4 Windows 10 und Telemetriedaten ...................................................................................................................22
4 Der betriebliche Datenschutzbeauftragte ...................................................................................... 24
4.1 Änderung des BDSG ..............................................................................................................................................24
4.2 Weiterhin Unsicherheit über Benennungspflicht .......................................................................................24
5 Betroffenenrechte .............................................................................................................................. 26
5.1 Auskunft ......................................................................................................................................................................26
5.2 Kein Auskunftsrecht gegenüber gegnerischem Rechtsanwalt .............................................................27
6 Datenschutz im Internet .................................................................................................................... 29
6.1 Facebook Fanpages ...............................................................................................................................................29
6.2 Einsatz von Tracking-Tools..................................................................................................................................29
6.3 Google Analytics .....................................................................................................................................................30
7 Steuerberater und Rechtsanwälte ................................................................................................... 33
7.1 Anfertigung von Ausweiskopien durch Steuerberater .............................................................................33
Wichtiger Hinweis:
Ausschließlich zum Zweck der besseren Lesbarkeit wird auf die geschlechtsspezifische Schreibweise ver-
zichtet. Alle personenbezogenen Bezeichnungen in diesem Tätigkeitsbericht sind somit geschlechts-
neutral zu verstehen.
den Rundfunkdatenschutzbeauftragten
Dieser Bericht ist deshalb der erste von uns, der
für den Bayerischen Rundfunk und
nur einen einjährigen Berichtszeitraum umfasst.
ausgewählte Beteiligungsunternehmen
Aus der Formulierung in der DS-GVO, welche
des Bayerischen Rundfunks
Informationen der Bericht haben kann, ist der
(Art. 21 BayRG)
Wunsch des Gesetzgebers an die Aufsichtsbe-
hörden zu entnehmen, nicht nur ihre Auffas- als gleichwertige und gleichrangige Aufsichts-
sung zur rechtlichen Beurteilung bestimmter behörden im Sinne des Art. 51 DS-GVO gesetz-
Fallkonstellationen, sondern insbesondere auch lich festgelegt.
statistische Angaben über das tatsächliche Voll-
zugshandeln darzustellen. Diese Anforderung Darüber hinaus haben Kirchen, religiöse Verei-
versuchen wir in den folgenden Ausführungen nigungen oder Gemeinschaften gemäß Art. 91
dieses Tätigkeitsberichts erneut zu erfüllen. DS-GVO, wenn sie die dort genannten Voraus-
setzungen erfüllen, die Möglichkeit eine spezifi-
sche Aufsichtsbehörde einzurichten, die dann
1.2 Datenschutz in Bayern
als Aufsichtsbehörde anzusehen ist, wenn sie
Art. 51 DS-GVO verpflichtet die Mitgliedstaaten, die in Art. 51 ff. DS-GVO genannten Vorausset-
eine oder mehrere unabhängige Behörden zur zungen, insbesondere der Unabhängigkeit, er-
Überwachung der Anwendung der DS-GVO ein- füllen. Dies wird in Deutschland für die katholi-
zurichten. Maßgeblich für die konkrete Einrich- sche und evangelische Kirche unstrittig ange-
tung ist das Recht des jeweiligen Mitgliedstaats. nommen.
Für Deutschland bedeutet dies, dass der Bund
für den Bereich seiner Zuständigkeit und die 1.3 Das Bayerische Landesamt
Länder für die Bereiche ihrer Zuständigkeiten für Datenschutzaufsicht
entsprechende Aufsichtsbehörden vorsehen
müssen. Eine Vorgabe, wie viele Aufsichtsbe- Wie oben im Vorwort angesprochen und im Fol-
hörden und für welche Zuständigkeiten Auf- genden durch Darstellung der statistischen An-
sichtsbehörden eingerichtet werden sollen, gibt gaben belegt, war das Jahr 2019 eine gewaltige
die DS-GVO nicht vor. Herausforderung. Was Beschwerden, Bera-
tungsanfragen (die wir nach wie vor gerne be-
Der bayerische Gesetzgeber hat arbeiten und beantworten wollen) oder Mel-
uns, das Bayerische Landesamt für dungen von Datenschutzverletzungen inhaltlich
Datenschutzaufsicht (BayLDA), für und aufwandsmäßig bedeuten, ist uns ziemlich
nicht-öffentliche Stellen in Bayern bewusst. Was aber noch auf uns zukommen
(Art. 18 BayDSG),
wird, konkret durch die Akkreditierung von Zer- dass eine große Anzahl von Unternehmen mit
tifizierungsstellen und dann die Zertifizierung dem Gedanken spielen – und es manche auch
selbst (Art. 42 DS-GVO), durch die Einbindung umgesetzt haben –, ihren Sitz vom Vereinigten
in Verfahren zur Aufstellung von Verhaltensre- Königreich in ein anderes Mitgliedsland EU zu
geln oder Genehmigung von Verhaltensregeln verlegen. Der Großraum München und damit
(Art. 40 DS-GVO) oder auch bei Verfahren zur Bayern scheinen insoweit eine besondere Anzie-
Genehmigung von verbindlichen internen Da- hungskraft zu haben. Ferner muss davon ausge-
tenschutzvorschriften (Binding Corporate Rules gangen werden, dass auch unsere Zuständigkeit
– BCR, Art. 47 DS-GVO), lässt sich noch nicht für die Durchführung von BCRs durch den Brexit
wirklich abschätzen. Wir haben uns bei der Aus- nicht unerheblich steigen dürften, da im Verei-
wahl und Aufstockung unseres Personalbestan- nigten Königreich mit die meisten derartiger
des daher besonders bemüht, entsprechend Verfahren durchgeführt wurden. Die Unterneh-
ausgebildete Personen für uns zu gewinnen, da- men werden versuchen, dieses Instrument für
mit wir auch für die nahe Zukunft gewappnet die Datenübermittlung in Drittstaaten beizube-
sind und diese neuen Anforderungen erfüllen halten, weshalb sie gezwungen sind, eine ent-
können. sprechende Niederlassung im Bereich der Euro-
päischen Union zu behalten oder zu bekom-
Ein erhebliches Maß an Planungsunsicherheit men.
besteht letztendlich aber auch noch darüber,
was auf uns zukommt, wenn das Vereinigte Kö- Nachfolgend wird unsere interne Organisation,
nigreich wie anvisiert am 31. Januar 2020 die Eu- mit der wir auch diese Aufgaben stemmen wol-
ropäische Union verlassen wird und sich damit len, in einem Organigramm stark vereinfacht
vorbehaltlich noch abzuschließender Verträge dargestellt:
von einem Mitgliedstaat der EU zu einem Dritt-
staat wandelt. Es ist schon heute feststellbar,
Präsidium
• Leitung
• Grundsatzfragen
• Öffentlichkeitsarbeit
Geschäftsstelle Bußgeldstelle
Anzahl
6000
Beschwerden und Kontrollanregungen
pro Jahr 5497
5000
3643
4000
3000
2000 1684
1424
1103
925 953
1000 719
687
0
2011 2012 2013 2014 2015 2016 2017 2018 2019
2500
2000
1500
1000
500
2.2 Beratungen Eine Ursache dafür kann sein, dass wir auf unse-
rer Website die Möglichkeit der Online-Bera-
Um die Vergleichbarkeit mit den anderen Auf- tung neu angeboten haben. Interessierte Perso-
sichtsbehörden sicherzustellen, verstehen wir nen können dabei zu bestimmten Themenbe-
unter Beratungen nunmehr nur die schriftliche reichen Fragen an uns schicken. In diesem Pro-
Beantwortung von Anfragen von Verantwortli- zess werden Ihnen dann vor Eingabe der Frage
chen, betroffenen Personen und der eigenen die FAQs zu dem ausgewählten Thema angege-
Regierung. Ausschließlich (fern)mündliche Bera- ben, die wir erstellt haben. Wir werten die An-
tungen werden ebenso wie Schulungen, Vor- fragen dazu zwar nicht aus, sind aber überzeugt
träge etc. nicht mehr berücksichtigt, aber der- davon, dass eine erhebliche Anzahl der Anfra-
zeit dennoch von uns separat erfasst. genden nach Durchlesen der FAQs schon eine
Antwort auf ihre Frage finden und „aussteigen.“
In der nebenstehenden Tabelle sind die Bera- www.lda.bayern.de/media/pm2019_7.pdf
tungen im Berichtszeitraum aufgeführt. Wir ha-
ben hier, wie in den Vorjahren auch, die telefo- Beratungen im Berichtszeitraum
nischen Auskünfte mitangegeben. Wie man
dort und auch in der unteren Grafik erkennen Verantwortliche 2019
kann, ist die Anzahl der Beratungen im Verhält-
Telefonische Beratungen 936
nis zum letzten Jahr deutlich gesunken. Insbe-
sondere die in der Regel mit geringem Aufwand Schriftliche Beratungen 1422
zu beantwortende Anfragen aus dem Bereich
der Vereine und ehrenamtlich Tätigen wurden Bürger 2019
spürbar weniger, was sich in der Gesamtstatistik Telefonische Beratungen 419
widerspiegelt.
Schriftliche Beratungen 559
Anzahl
10000
Beratungen pro Jahr
9212
9000
8000
7000
Verantwortliche
6000 Bürger
5000
2000
1000
0
2011 2012 2013 2014 2015 2016 2017 2018 2019
Ein weiterer Grund für den Rückgang der Bera- 2.3 Datenschutzverletzungen
tungsanfragen können unsere Informationsver-
anstaltungen, das gesteigerte Informationsan- Wie schon im letzten Jahr befürchtet und im
gebot auf unserer Homepage und nicht zuletzt vergangenen Tätigkeitsbericht prognostiziert,
auch die besseren Informationen der jeweiligen ist die Zahl der Meldungen von Datenschutzver-
Dachverbände sein. Auf der anderen Seite mer- letzungen im Jahr 2019 noch einmal erheblich
ken wir aber, dass die verbliebenen Anfragen gestiegen. Die Meldevorschrift aus Art. 33 DS-
schwierigere Fragestellungen beinhalten und GVO zeigt tatsächlich Wirkung, auch wenn ge-
deshalb nach wie vor eine gewaltige Herausfor- rade bei kleineren Unternehmen die Meldever-
derung darstellen. pflichtung und der Ablauf der Meldung immer
noch nicht geläufig sein dürften.
Wir sind uns dabei bewusst, dass mit der aus-
schließlichen Erfassung der schriftlichen Bera- Neben den Beschwerden und den Beratungen
tungen ein nicht unerheblicher Anteil unserer prägen daher mittlerweile auch Vorgänge zu
Arbeit, nämlich die telefonische Beantwortung Datenschutzverletzungen unseren Arbeitsalltag.
von Anfragen, statistisch künftig nicht mehr ins In der unten aufgeführten Grafik werden die bei
Gewicht fällt. Die telefonische Erreichbarkeit uns eingegangenen Meldungen nach Art. 33
und Beantwortung von Anfragen ist uns nach DS-GVO, die von den jeweiligen Verantwortli-
wie vor wichtig. Es ist ein kostenfreier Service, chen abgegeben wurden, dargestellt. Weitere
der sicherlich für eine Behörde nicht selbstver- Informationen zum Thema Datenschutzverlet-
ständlich ist, aber von Hilfesuchenden sehr gut zungen im Allgemeinen sind im Kapitel 17 die-
angenommen wird. Unabhängig davon, ob ein ses Berichts zu finden, wenngleich wir dieses
Datenschutzbeauftragter, ein Geschäftsführer, Mal von der Darstellung einzelner Fallkonstella-
ein Arzt, eine Bürokraft, ein Schüler, ein Bürger, tionen meldepflichtiger Vorfälle Abstand neh-
ein Vereinsmitglied etc. anrief – wir waren stets men.
bemüht, uns telefonischen Anfragen anzuneh-
men.
Anzahl
4500
Datenschutzverletzungen pro Jahr
4111
4000
3500
1000
500
136
10 13 32 21 28 85
0
2011 2012 2013 2014 2015 2016 2017 2018 2019
Wie im vergangenen Bericht erklärt, ist es für Im Berichtszeitraum haben wir durch den Haus-
uns erforderlich, die in das IMI-System einge- haltsgesetzgeber im engeren Sinne, den Bayeri-
stellten Vorgänge zur Feststellung der Betrof- schen Landtag, im Rahmen des Nachtragshaus-
fenheit (Art. 56 DS-GVO), der Federführung (Art. halts keine neuen Stellen erhalten, aber durch
56 DS-GVO) und die Anzahl der Verfahren ge- den Bayerischen Staatsminister des Innern, für
mäß Kapitel VII DS-GVO (Zusammenarbeit und Integration und Sport, im Zuge einer Haus-
Kohärenz) regelmäßig zu sichten. Erst dann haltsumschichtung nach Art. 6 des Bayerischen
kann festgestellt werden, ob und wann wir uns Haushaltsgesetzes im März 2019 die Zusage für
bei Verfahren, die in das IMI-System eingestellt Haushaltsmittel bekommen, mit denen wir neun
sind, als federführende oder betroffene Auf- Stellen in der 2. und 3. Qualifikationsebene nicht
sichtsbehörde melden sollen bzw. müssen. nur für das Jahr 2019, sondern auf Dauer schaf-
fen konnten.
Allerdings mussten wir bislang erkennen, dass
alleine diese Sichtung im IMI-System und auch
Im Sommer 2019 standen die Haushaltsmittel werden mussten, was mit tatkräftiger Unterstüt-
dann tatsächlich zur Verfügung, sodass wir zu- zung des Personalsachgebiets des Bayer Staats-
sätzliches Personal einstellen konnten. Von den ministeriums des Innern sehr gut gelungen ist,
neun Stellen wurden sieben Stellen ausge- erschwerte die Personalsituation im Berichtsjahr
schrieben und die meisten leider erst zum No- für uns erheblich.
vember 2019 besetzt. Zwei Stellen wurden be-
wusst noch nicht ausgeschrieben und besetzt, Die Personalentwicklung der letzten Jahre sieht
um erst die sieben neuen Mitarbeiterinnen und wie folgt aus:
Mitarbeiter zu integrieren. Wir wollen dann fest-
Bis 31.12.2016: 16 Planstellen
stellen, in welchem Bereich der Bedarf in den
nächsten Monaten am größten ist, um zielge- Bis 31.12.2017: 20 Planstellen
richtet dort weitere Verstärkung einzusetzen. Es Bis 31.12.2018: 24 Planstellen
sollte damit auch dem neuen Präsidenten die
Bis 31.12.2019: 33 Planstellen
Möglichkeit eingeräumt werden, eigene
Schwerpunkte zu setzen. Rein rechnerisch hat sich damit die Anzahl der
zu bewältigenden Aufgaben auf mehr Schultern
Erfreulich war die positive Resonanz auf unsere verteilt. Wir haben nun zwar deutlich mehr Plan-
Stellenausschreibungen, was auf der anderen stellen als noch vor wenigen Jahren, allerdings
Seite mit einem ziemlichen Aufwand für die muss man sich bewusst machen: Auch deutlich
Sichtung der Bewerbungsunterlagen und die mehr Arbeit. Wie der vorangegangenen Grafik
Durchführung von Vorstellungsgesprächen ver- des Schuldenbergs entnommen werden kann,
bunden war. Die größte Resonanz erfuhren wir hat sich die Zunahme der Mitarbeiteranzahl
bei der Ausschreibung einer Stelle in der Ge- noch nicht relevant auf die Anzahl der Erledi-
schäftsstelle, auf die sich alleine 230 Menschen gungen ausgewirkt, da sich unser neues Perso-
beworben haben. nal im Wesentlichen in der Einarbeitung befin-
det. Entsprechend war die durchschnittliche An-
Dass im Laufe des Jahres vier von acht Juristin- zahl der Vorgänge pro Planstelle besonders bei
nen und Juristen das BayLDA vorübergehend den Beschwerden auffällig hoch, was dem unten
oder auf Dauer verlassen haben und ersetzt aufgeführten Diagramm zu entnehmen ist.
384
Beratungen
Datenschutzverletzungen
Beschwerden
192
176 166
152
124
103 101
89
60
1 5
Auch im Bereich Tracking fiel das Ergebnis un- für den Fall, dass in seiner Bar Straftaten wie bei-
serer Prüfung desolat aus: Keine der geprüften spielsweise Diebstahl begangen werden, ent-
Websites erfüllte die Anforderung an eine zuläs- sprechendes Beweismaterial zur Verfügung ha-
sige Einwilligung nach der DS-GVO, obwohl die ben. Ferner habe es vor längerer Zeit einen Ein-
Websites Tracking-Tools von Drittanbietern ein- bruchsversuch gegeben. Diese Zwecke vermö-
gebunden hatten und somit eine Datenverar- gen die Videoüberwachung des Gastraums
beitung durch fremde Dienste veranlassten. Ei- nicht zu rechtfertigen. Wir stellten gegenüber
nige Website-Betreiber verschwiegen den Ein- dem Unternehmen klar, dass es in einem gast-
satz von Tracking-Tools, andere hingegen infor- ronomischen Betrieb wie etwa seiner Bar nicht
mierten pauschal über verschiedenste Tools, die zulässig ist, die Bereiche, in denen sich die Gäste
zum Teil gar nicht auf der Website eingebunden zum Verzehr von Speisen und Getränken oder
sind. Im Ergebnis wurde der Nutzer nur selten zum „Relaxen“ aufhalten, mit Videokameras zu
transparent darüber informiert, ob und welche erfassen.
seiner Daten für welche Zwecke verarbeitet wer-
den. Wir haben uns daher veranlasst gesehen, Als zulässig haben wir lediglich die Erfassung
entsprechende Verfahren gegen die Verant- des unmittelbaren Eingangsbereichs und auch
wortlichen einzuleiten und die Verstöße dies nur außerhalb der Öffnungszeiten bewer-
dadurch abzustellen. Weitere Informationen tet. Diese Erfassung zum Zwecke der Dokumen-
sind den Pressemitteilungen vom 1. und 5. Feb- tation etwaiger Einbruchsversuche kann als ein
ruar 2019 sowie der dazugehörigen Ergebnis- berechtigtes Interesse des Unternehmens aner-
präsentation zu entnehmen. kannt werden, so dass die Verarbeitung perso-
www.lda.bayern.de/media/pm2019_3_de.pdf nenbezogener Daten zu diesem Zweck insoweit
datenschutzrechtlich nach Art. 6 Abs. 1 Buchst. f
3.2 Videoüberwachung in DS-GVO legitimiert ist, dies jedoch begrenzt auf
die Zeiten, in denen sich kein Personal vor Ort
Shisha-Bars befindet, so dass etwaige Einbruchsversuche
andernfalls somit nicht dokumentiert werden
Beschwerden, die Videoüberwachung zum
könnten. Was die Speicherdauer betrifft, erach-
Gegenstand haben, nehmen quantitativ ten wir nach wie vor eine Dauer von grundsätz-
seit vielen Jahren einen Spitzenplatz in un- lich bis zu maximal 72 Stunden als ausreichend,
serer Tätigkeit ein. Regelmäßig erreichen da während dieses Zeitraums normalerweise die
uns Beschwerden über Videokameras in Auswertung der Videoaufzeichnungen möglich
Restaurants, Bars und anderen gastrono- ist.
mischen Einrichtungen. Im Rahmen einer
Vor-Ort-Kontrolle haben wir daher im Be- In einer der Bars wurde zudem der Kassenbe-
reich von einer Videokamera überwacht. Zweck
richtszeitraum mehrere sog. Shisha-Bars
der Überwachung war hier – wie häufig in der
überprüft, gegen die Beschwerden bei uns
Gastronomie und im Handel – die Verhinderung
eingegangen waren.
von sog. Wechselgeldbetrug durch Mitarbeiter
bzw. Aufdeckung entsprechender Vorgänge.
Die Prüfung ergab insgesamt ein gemischtes
Dies bewerteten wir als zulässig unter der Vo-
Bild. Im Falle einer der überprüften Bars waren
raussetzung, dass tatsächlich durch entspre-
im Gastraum, in dem sich wohl vornehmlich jun-
chende Kameraeinstellung gewährleistet ist,
ges Publikum aufhält, vier Videokameras ange-
dass lediglich der unmittelbare Kassenbereich
bracht, durch die mehr oder minder der ge-
erfasst wird, nicht jedoch der Mitarbeiter insge-
samte Gastraum erfasst wurde. Als Grund für die
samt.
Überwachung gab der Betreiber pauschal Si-
cherheitsinteressen an. Insbesondere wolle er
Bei mehreren der überprüften Bars waren Ka- schutzbeauftragte eingebunden wird. Nicht sel-
meras zudem außen am Gebäude angebracht, ten ergab unsere Kontrolle, dass selbst die Ge-
die z. T. größere Bereiche des Gehsteigs erfass- schäftsleitung hiervon keine Kenntnis hatte.
ten. Hier ist höchstens eine Erfassung eines
schmalen, unmittelbar an die Gebäudehaut bzw. Dies veranlasste uns, die Prüfung umzustellen.
Eingangstür angrenzenden Bereichs hinnehm- Schwerpunkt der Prüfung war nicht mehr nur
bar und nur, sofern gewährleistet ist, dass nicht die Frage, ob für die Einbindung von Tracking-
die gesamte Breite des Gehsteigs erfasst wird, Tools eine Einwilligung eingeholt werden muss
sondern Fußgänger die Möglichkeit haben, den oder Art. 6 Abs. 1 Buchst. f) DS-GVO eine aus-
Gehsteig zu nutzen, ohne von den Kameras er- reichende Rechtsgrundlage ist. Da die Website-
fasst zu werden. Prüfung grundlegende Mängel im Datenschutz-
Management zu Tage brachte, prüften wir auch,
Der Erlass förmlicher Anordnungen gegen die ob die Verantwortlichen ihrer Rechenschafts-
im Rahmen dieser Prüfungsaktion von uns über- pflicht gem. Art. 5 Abs. 2 DS-GVO hinreichend
prüften Betriebe war nicht erforderlich, weil die nachgekommen sind.
Betriebe unsere mündlich mitgeteilten Hinweise
befolgt haben. Wenngleich die Rechenschaftspflicht gem. Art.
5 Abs. 2 DS-GVO eine der wenigen großen Ver-
3.3 Rechenschaftspflicht beim änderungen des neuen Datenschutzrechts ist,
so hätte jeder Verantwortliche in den letzten
Einsatz von Tracking-Tools
Jahren die Gelegenheit gehabt, sich hinreichend
damit auseinanderzusetzen.
Viele Unternehmen kennen ihre eigenen
Verarbeitungstätigkeiten oft nicht hinrei-
Sowohl auf deutscher als auch europäischer
chend und befassen sich nur ungenügend Ebene haben sich die Datenschutzaufsichtsbe-
mit den rechtlichen Anforderungen der hörden in mehreren Veröffentlichungen zur Re-
DS-GVO. chenschaftspflicht geäußert, zuletzt in der „Ori-
entierungshilfe für Anbieter von Telemedien“.
Nach den ernüchternden Ergebnissen der www.datenschutzkonferenz-online.de/
Website-Prüfung im Rahmen des Safer Internet media/oh/20190405_oh_tmg.pdf
Days 2019, siehe Kapitel 3.1 dieses Berichts, ha-
ben wir aufsichtliche Verfahren gegen die Ver- Zudem prüften wir seit Oktober 2018 die Re-
antwortlichen eingeleitet. chenschaftspflicht bei Großkonzernen. Ziel die-
ser Prüfung war es, festzustellen, inwieweit
Bei der weitergehenden Prüfung stellte sich her- große Unternehmen in der Lage sind, die Ein-
aus, dass sich viele Verantwortliche nicht im Kla- haltung der gesetzlichen Vorgaben aus der DS-
ren darüber sind, welche Dienste auf ihren GVO nachzuweisen. Zu diesem Zweck hatten wir
Websites überhaupt eingebunden werden. einen Prüfkatalog mit 50 Fragen zur Rechen-
Grund hierfür ist häufig, dass die Betreuung der schaftspflicht mit folgenden Schwerpunkten er-
Websites von Agenturen übernommen wird stellt:
oder die Marketing-Abteilung des Verantwortli-
Aufbauorganisation
chen selbstständig Tracking-Tools zur Werbefi-
nanzierung in das Webangebot integriert. Basis-Anforderungen
Datenschutzkonforme Verarbeitung
Bedauerlicherweise erfolgt dies in vielen Fällen,
ohne dass der interne oder externe Daten- Umgang mit Betroffenenrechten
Über diese Prüfung wurde in einer eigenen Darüber hinaus kann die Rechenschaftspflicht
Pressemitteilung vom 07.11.2018 informiert. durch sonstige Datenschutzdokumentation er-
www.lda.bayern.de/media/pm2018_17_de.pdf folgen, wie beispielsweise hierdurch:
Vertragsmanagement
Zudem haben wir den vollständigen Prüfkatalog
zur Rechenschaftspflicht veröffentlicht: Konzepte zur Sicherstellung der
Betroffenenrechte
www.lda.bayern.de/media/pruefungen/
201810_rechenschaftspflicht_fragebogen.pdf Prozesse der Datenschutzorganisation
Das dies keinesfalls ausreichend ist, um den Sinn und Zweck der Dokumentation ist es, dass
Nachweis zu erbringen, dass eine Datenverar- der Verantwortliche sich umfassend mit den
beitung rechtmäßig erfolgt, dürfte auf der Hand weitergehenden Anforderungen der DS-GVO
liegen. Dabei ist es keine große Herausforde- auseinandersetzt und prüft, ob eine Datenverar-
rung, die Rechenschaftspflicht zu erfüllen. Die beitung rechtmäßig erfolgt oder ggf. noch wei-
DS-GVO enthält eine Vielzahl von Nachweis- tere Maßnahmen erforderlich sind, um die
pflichten, die der Verantwortliche ohnehin erfül- rechtmäßige Verarbeitung sicherzustellen.
len muss.
Im Rahmen des aufsichtlichen Verfahrens haben
Hierzu gehören u. a. die meisten Verantwortlichen erheblich nachge-
bessert, sodass wir das Thema Rechenschafts-
Verzeichnis über
pflicht abschließen konnten.
Verarbeitungstätigkeiten
(Art. 30 DS-GVO),
Hiervon unberührt bleibt die Frage, ob für den
Datenschutz-Folgenabschätzung Einsatz von Tracking-Tools zwingend die Einwil-
(Art. 35 DS-GVO), ligung der Nutzer eingeholt werden muss.
genehmigte Verhaltensregeln Hierzu führen wir das aufsichtliche Verfahren
(Art. 40 DS-GVO), fort bis hin zur Anordnung. Sollte der Verant-
wortliche mit unserer Entscheidung nicht ein-
Zertifizierung (Art. 42 DS-GVO),
verstanden sein, ist mit einer Klage vor dem Ver-
Meldungen über waltungsgericht zu rechnen.
Datenschutzverletzungen
(Art. 33 DS-GVO) sowie
Beschäftigten zu benennen.
4.2 Weiterhin Unsicherheit über
Am 26. November 2019 trat das Gesetz zur An- Benennungspflicht
passung des Datenschutzrechts in Kraft. Durch
die Gesetzesänderung wurde die bisherige An- Die umstrittene Fragestellung im Zusam-
zahl von zehn Beschäftigten gemäß § 38 Abs. 1 menhang mit der Benennungspflicht eines
BDSG auf 20 angehoben. Künftig müssen Be-
DSB nach BDSG, was „ständig“ mit „auto-
triebe erst einen betrieblichen Datenschutzbe-
matisierter Datenverarbeitung“ beschäf-
auftragten benennen, wenn 20 oder mehr Mit-
tigt“ bedeutet, wurde durch die Änderung
arbeiterinnen und Mitarbeiter ständig mit der
automatisierten Verarbeitung personenbezoge- des BDSG nicht gelöst.
ner Daten beschäftigt sind. Dadurch sollen laut
der Gesetzesbegründung vor allem kleinere und Beim Thema „Benennung eines betrieblichen
mittlere Unternehmen sowie ehrenamtlich tä- Datenschutzbeauftragten“ erreichten uns nach
tige Vereine „entlastet“ werden. wie vor Fragen, was unter den Begriffen „stän-
dig“, „automatisierte Datenverarbeitung“
Dies bedeutet zwar zunächst eine organisatori- und/oder „beschäftigt“ zu verstehen ist. Insbe-
sche Erleichterung. Dennoch sind selbstver- sondere über die Frage, was unter ständig zu
ständlich die Regelungen des Datenschutz- verstehen ist, gibt es unter den deutschen Auf-
rechts nach wie vor auch in kleineren Betrieben sichtsbehörden (im Gegensatz zu den allermeis-
einzuhalten. Ob ein Datenschutzbeauftragter ten sonstigen Auslegungsfragen) keine einheit-
benannt werden muss oder nicht, entbindet liche Auffassung. So wird zum Beispiel vertreten,
nicht von der Pflicht zur Einhaltung des Daten- dass ein Trainer ständig personenbezogene Da-
schutzrechts. Weiterhin gilt es zu beachten, dass ten verarbeitet, der regelmäßig einmal in der
auch unabhängig von der Anzahl der Beschäf- Woche für eine kurze Zeit die Liste seiner zu trai-
tigten ein Datenschutzbeauftragter verpflich- nierende Personen auf seinem Laptop aktuali-
tend zu benennen ist, wenn sich dies aus Art. 37 siert, Mannschaftsaufstellungen erstellt o. ä. Wir
DS-GVO oder § 38 BDSG ergibt. Natürlich kann vertreten die Auffassung, dass jemand nur dann
freiwillig jederzeit ein Datenschutzbeauftragter ständig mit der automatisierten Verarbeitung
benannt werden. personenbezogener Daten beschäftigt ist, wenn
dies den überwiegenden Anteil seiner Beschäf-
In der Praxis wird das dazu führen, dass einige tigung für den Verantwortlichen darstellt.
Verantwortliche einen Datenschutzbeauftrag-
ten nicht mehr benennen, d. h. auch nicht mehr Die entsprechende Kurzinformation ist auf un-
haben müssen. Die Frage, wie Verantwortliche serer Website unter FAQ („Muss ein Verein ei-
in diesen Fällen ihren Datenschutzbeauftragten, nen Datenschutzbeauftragten benennen?) ver-
wenn sie ihn nicht freiwillig weiter beschäftigen öffentlicht:
wollen, wieder „loswerden“, ist keine daten- www.lda.bayern.de/de/faq.html
5 Betroffenenrechte
5.1 Auskunft No-Go 2: Auskunft über ausschließlich
Stammdaten als personenbezogene Daten
Das zentrale Betroffenenrecht, das Recht Die bloße Beauskunftung von Stammdaten der
auf Auskunft, erweist sich in der Praxis betroffenen Person genügt nicht, um den An-
forderungen des Art. 15 DS-GVO gerecht zu
nach wie vor als schwer greifbar. Dies spie-
werden. Zu den personenbezogenen Daten ge-
gelt sich auch durch die hohe Anzahl von
hören neben den Stammdaten unter anderem
Datenschutzbeschwerden wieder, bei de-
auch die Folgenden:
nen Betroffene mit der Beauskunftung
Daten, welche Rückschlüsse auf das
durch Verantwortliche unzufrieden waren
Konsumverhalten des Betroffenen
und sich an uns wenden.
geben (Einkäufe, Bestellungen, etc.)
No-Go 4: Zweck des Rechts auf Auskunft Person die konkreten Umstände darzulegen,
außer Acht lassen welche den unverhältnismäßigen Aufwand be-
Durch das Recht auf Auskunft haben betroffene gründen.
Personen die Möglichkeit, die Rechtmäßigkeit www.lda.bayern.de/de/thema_auskunft.html
der Verarbeitung ihrer personenbezogenen Da-
ten zu überprüfen. Auf Basis dieses Wissens 5.2 Kein Auskunftsrecht
können weitere Betroffenenrechte, wie bei-
spielsweise das Recht auf Berichtigung gemäß
gegenüber gegnerischem
Art. 16 DS-GVO, ausgeübt werden. Mit dem Rechtsanwalt
Recht auf Auskunft sollen ausschließlich Daten-
schutzziele verfolgt werden. Dieses Recht soll Gegenüber dem Rechtsanwalt der Gegen-
nicht zur Sammlung von Beweisen für andere partei besteht regelmäßig kein Auskunfts-
bestehende Konflikte dienen. recht, soweit die begehrten Informationen
dessen Verschwiegenheitspflicht unterfal-
No-Go 5: Geltendmachung des Rechts auf len.
Auskunft gegenüber dem Anwalt der
Gegenseite Mitunter wenden sich betroffene Personen, die
Ein Auskunftsrecht aus Art. 15 DS-GVO gegen- in Rechtsstreitigkeiten verwickelt sind, an den
über Rechtsanwälten, die nicht für den/die Aus- Rechtsanwalt der Gegenpartei und verlangen
kunft-Begehrende(n) tätig wurden (sondern z. B. Auskunft nach Art. 15 DS-GVO hinsichtlich ihrer
für die gegnerische Partei) besteht gemäß § 29 bei diesem Anwalt gespeicherten personenbe-
Abs. 1 Satz 2 BDSG i. V. m. § 43a Abs. 2 BRAO zogenen Daten.
nicht, weil die erwünschten Informationen einer
gesetzlichen Verschwiegenheitspflicht unterfal- Aus unserer Sicht darf diesem Auskunftsverlan-
len. Das datenschutzrechtliche Auskunftsrecht gen in der Regel nicht nachgekommen werden.
liefert somit keine Möglichkeit, um vom Anwalt Denn das Auskunftsrecht ist gemäß Art. 23 Abs.
der Gegenseite die Offenlegung von Informati- 1 Buchst. g DS-GVO i.V.m. § 29 Abs. 1 Satz 2
onen zu erzwingen (siehe auch das anschlie- BDSG ausgeschlossen, soweit durch die Aus-
ßende Kapitel 5.2 dieses Berichts). kunft Informationen offenbart würden, die nach
einer Rechtsvorschrift geheim gehalten werden
No-Go 6: Beschwerde ohne beweiskräftige müssen. Hierzu zählen insbesondere solche In-
Nachweise formationen, die der berufsrechtlichen Ver-
Wir als Datenschutzaufsichtsbehörde wissen zu- schwiegenheitspflicht unterfallen, also grund-
nächst nicht, welche Daten der Verantwortliche sätzlich alles, was dem Rechtsanwalt in Aus-
konkret speichert und verarbeitet. Sind be- übung seines Berufs bekannt geworden ist
troffene Personen der Auffassung, die Auskunft (§ 43a Abs. 2 Berufsrechtsanwaltsordnung).
ist nicht richtig oder nicht vollständig, benöti-
gen wir beweiskräftige Nachweise, welche die Etwas anderes gilt nur dann, wenn es sich um
Aussage des Verantwortlichen widerlegen, um Tatsachen handelt, die offenkundig sind oder
ihm gegenüber darauf Bezug nehmen zu kön- die ihrer Bedeutung nach keiner Geheimhaltung
nen. bedürfen. Diese Voraussetzungen dürften je-
doch nur selten erfüllt sein.
No-Go 7: Berufung auf unverhältnismäßigen
Aufwand ohne Darlegung der Umstände Das Auskunftsrecht eines Mandanten gegen-
Bei Berufung auf einen unverhältnismäßigen über seinem eigenen Rechtsanwalt bleibt
Aufwand i.S.d. § 34 Abs. 1 Nr. 2 BDSG ist der Ver- selbstverständlich hiervon unberührt.
antwortliche dazu verpflichtet, der betroffenen
6 Datenschutz im Internet
6.1 Facebook Fanpages Auch wir sind der Auffassung, dass ein daten-
schutzkonformer Betrieb einer Fanpage nicht
Betreiber von Facebook Fanpages haben möglich ist, solange Facebook diesen Pflichten
nach derzeitigem Stand keine Möglich- nicht nachkommt. Daran ändert auch der Um-
stand nichts, dass Facebook im Oktober 2019
keit, diese datenschutzkonform zu betrei-
das „Page-Controller-Addendum“, die Verein-
ben und müssen deshalb damit rechnen,
barung gem. Art. 26 DS-GVO, erheblich geän-
Adressat von Anordnungen der Aufsichts-
dert und ergänzt hat.
behörden zu werden.
Die Pflicht, eine Vereinbarung gem. Art. 26 Abs.
Der EuGH hat sich bereits mit Urteil vom 5. Juni 1 DS-GVO abzuschließen, ist zunächst nur eine
2018 (C-210/16) zur gemeinsamen Verantwort- formale Anforderung. Sie entbindet jedoch
lichkeit von Facebook und Fanpage-Betreibern nicht davon, dass der Fanpage-Betreiber seine
geäußert. Nach der Entscheidung des EuGH weiteren datenschutzrechtlichen Anforderun-
kann der Fanpage-Betreiber nicht mehr allein gen, insbesondere seine Rechenschaftspflicht
auf die datenschutzrechtliche Verantwortung erfüllt.
von Facebook verweisen, sondern ist für die Ein-
haltung des Datenschutzes gegenüber den Fan- Da nach derzeitigem Stand leider nicht davon
page-Besuchern (mit-)verantwortlich. auszugehen ist, dass die für Facebook in Europa
federführend zuständige Aufsichtsbehörde die-
Das bedeutet konkret, dass sowohl Facebook ser Situation abhilft, müssen Fanpagebetreiber
als auch die Fanpage-Betreiber ihrer Rechen- als Mitverantwortliche damit rechnen, Adressat
schaftspflicht gem. Art. 5 Abs. 2 DS-GVO nach- von aufsichtsbehördlichen Anordnungen zu
kommen müssen. Jeder Fanpage-Betreiber werden.
muss sicherstellen, dass die seiner Verantwor-
www.datenschutzkonferenz-online.de/media/
tung unterliegenden Verarbeitungstätigkeiten dskb/20180905_dskb_facebook_fanpages.pdf
gem. Art. 6 Abs. 1 DS-GVO rechtmäßig sind.
Dies gilt auch in den Fällen, in denen der Fan-
6.2 Einsatz von Tracking-Tools
page-Betreiber die Verarbeitungstätigkeiten
nicht unmittelbar selbst ausführt, sondern durch
Die Datenschutzkonferenz hat zum Ein-
Facebook durchführen lässt.
satz von Tracking-Tools eine „Orientie-
Das Problem ist, dass der Fanpage-Betreiber rungshilfe Telemedien“ veröffentlicht.
ohne hinreichende Kenntnis über die Verarbei-
tungstätigkeiten nicht in der Lage ist, zu bewer- Die Konferenz der unabhängigen Datenschutz-
ten, ob die Verarbeitung rechtmäßig erfolgt. behörden des Bundes und der Länder veröffent-
Aus diesem Grund hat die Datenschutzkonfe- lichte am 26. April 2018 eine Positionsbestim-
renz sich schon mehrfach zu Facebook-Fan- mung zur Anwendbarkeit des Telemediengeset-
pages positioniert und gefordert, dass Face- zes (TMG) für nicht-öffentliche Stellen ab dem
book entsprechend nachbessert, sodass die 25. Mai 2018. Ziel dieser Positionsbestimmung
Fanpage-Betreiber ihrer Verantwortlichkeit ent- war es, den Website-Betreibern zu verdeutli-
sprechend den Anforderungen der DS-GVO ge- chen, welche datenschutzrechtlichen Anforde-
recht werden können. rungen beim Einsatz von Tracking-Tools auf
Websites gelten.
Hinweis:
Das Kapitel 6.3 des Tätigkeitsberichts in der Fassung
vom 28.01.2020 stellte einen veralteten Redaktions-
stand dar. Aus diesem Grund wurde das Kapitel mit
der Fassung vom 31.01.2020 aktualisiert. Dieser Stand
entspricht auch unserer Hausmeinung.
8
Versicherungswirtschaft und Banken
Versicherungswirtschaft und Banken
Mit Urteil vom 26. Juli 2019 hat das OLG Köln In einer Beschwerde wandte sich ein Versiche-
(Az.: 20 U 75/18) entschieden, dass sich das Aus- rungsnehmer an uns, da ihm von seinem Versi-
kunftsrecht eines Versicherungsnehmers ge- cherungsunternehmen Auskunft über die Be-
genüber seinem Versicherungsunternehmen rechnungsgrundlage hinsichtlich eines veran-
nicht nur auf die sogenannten „Stammdaten“ lassten Risikozuschlags in der Krankheitsvoll-
beschränkt. Vielmehr müsse das Versicherungs- kostenversicherung verweigert worden war.
unternehmen auch Auskunft über Gesprächs-
vermerke und Telefonnotizen erteilen, soweit Gem. Art. 15 Abs. 1 i. V. m. Abs. 3 DS-GVO hat
darin Aussagen des Versicherungsnehmers die betroffene Person das Recht, von dem Ver-
oder Aussagen über den Versicherungsnehmer antwortlichen eine Auskunft über ihre perso-
enthalten seien. nenbezogenen Daten, die verarbeitet werden,
www.justiz.nrw.de/nrwe/olgs/koeln/ zu verlangen. Die Grenzen dieses Auskunfts-
j2019/20_U_75_18_Urteil_20190726.html rechts finden sich in Art. 15 Abs. 4, Art. 23 Abs.
1 DS-GVO i. V. m. § 29 Abs. 1 BDSG. Hiernach
Gleichwohl gehen wir davon aus, dass sich die- darf das Recht auf Auskunft die Rechte und Frei-
ses Urteil mit der bisherigen Praxis der Versiche- heiten anderer Personen nicht beeinträchtigen.
rungsunternehmen bei der Beantwortung von Das Recht des Versicherers auf Wahrung seines
Auskunftsersuchen vereinbaren lässt. Soweit ein Geschäftsgeheimnisses ist hierunter zu fassen.
Versicherungsnehmer nur pauschal Auskunft Die kalkulatorischen Grundlagen des Risikozu-
über seine gespeicherten personenbezogenen schlags sind als Geschäftsgeheimnis zu bewer-
Daten verlangt, darf sich das Versicherungsun- ten (vgl. § 2 GeschGehG) und unterliegen somit
ternehmen in einem ersten Schritt mit der nicht der Auskunftspflicht.
Beauskunftung der Stammdaten begnügen.
Eine weitergehende Beauskunftung hat erst
dann zu erfolgen, wenn das Auskunftsersuchen
vom Versicherungsnehmer entsprechend präzi-
siert wird. Hierfür spricht auch Erwägungsgrund
63 Satz 7 zur DS-GVO.
11 Internationaler Datenverkehr
11.1 Privacy Shield der Überprüfung nehmen neben der Europäi-
schen Kommission und den Vertretern der US-
Der seit dem 1. August 2016 geltende EU- Verwaltung auch Vertreter des Europäischen
U.S. Privacy Shield ist in Kraft und kann als Datenschutzausschusses statt, mithin der Da-
tenschutzaufsichtsbehörden der EU-Mitglied-
Grundlage für die Übermittlung perso-
staaten. Die dritte derartige Überprüfung fand
nenbezogener Daten an zertifizierte US-
im Herbst 2019 statt. Im Anschluss an die dies-
Unternehmen verwendet werden.
jährige Überprüfung zog die Europäische Kom-
mission eine insgesamt positive Bilanz zum
Seit 1. August 2016 kann der sog. EU-U.S. Pri-
Funktionieren des Privacy Shield, sah aber auch
vacy Shield als Grundlage für die Übermittlung
noch Verbesserungsbedarf. Insbesondere hält
personenbezogener Daten an solche US-Unter-
die Kommission es für erforderlich, dass die Fe-
nehmen verwendet werden, die eine Privacy-
deral Trade Commission ihre Kontrolltätigkeit
Shield-Zertifizierung besitzen. Mit der Zertifizie-
gegenüber den zertifizierten Unternehmen in-
rung verpflichtet sich das jeweilige Unterneh-
tensiviert.
men zur Einhaltung grundlegender Daten-
schutzprinzipien; flankiert wird die Zertifizierung
Die Datenschutzaufsichtsbehörden ihrerseits
durch die Aufsicht des US-Handelsministeriums
kamen nach der diesjährigen Überprüfung zu
und der Federal Trade Commission, einer US-
einem differenzierteren Bild. Der Bericht des Eu-
Bundesbehörde. Die Zertifizierung hat eine Gül-
ropäischen Datenschutzausschusses (EDSA) ist
tigkeitsdauer von einem Jahr und kann beim
abrufbar unter:
US-Handelsministerium erneuert werden. Durch
edpb.europa.eu/our-work-tools/our-documents/
den sog. Privacy-Shield-Beschluss aus dem Jahr
eu-us-privacy-shield-third-annual-joint-review-
2016 hat die Europäische Kommission aner- report-12112019_en
kannt, dass das Privacy-Shield-System für die
daran teilnehmenden – derzeit rund 5.000 – US- Einerseits erkannten sie an, dass es Verbesse-
Unternehmen ein angemessenes Datenschutz- rungen bei der Kontrolle und Durchsetzung des
niveau liefert. Es handelt sich bei diesem Be- Privacy Shield durch die zuständigen US-Behör-
schluss um die Feststellung eines angemesse- den gegeben hat. Dennoch äußerte der EDSA
nen Datenschutzniveaus im Sinne von Art. 45 noch signifikante Zweifel zu einer Reihe wichti-
DS-GVO. Damit dürfen personenbezogene Da- ger Fragen. So ist nach wie vor aus Sicht des
ten, die der DS-GVO unterfallen, an US-Unter- EDSA unklar, ob die so genannte Ombudsper-
nehmen, die eine gültige Zertifizierung besitzen, son, die für die Bearbeitung von Beschwerden
übermittelt werden. Neben den Standarddaten- betroffener Personen im Hinblick auf etwaige
schutzklauseln (ehemals „Standardvertragsklau- Datenzugriffe durch US-Sicherheitsbehörden
seln“) stellt der Privacy Shield das wohl wich- zuständig ist, mit einem ausreichenden Maß an
tigste Instrument zur Legitimierung der Über- Befugnissen ausgestattet ist sowie über ein Maß
mittlung personenbezogener Daten in die USA an Unabhängigkeit in der Ausübung dieser Be-
dar. fugnisse verfügt, das den Anforderungen der
EU-Grundrechtecharta genügt. Auch im Hin-
Wie in dem Angemessenheitsbeschluss der Eu- blick auf die geltenden US-Regelungen zu den
ropäischen Kommission vorgesehen, findet je- Datenzugriffsbefugnissen der US-Sicherheits-
des Jahr eine sog. Gemeinsame Überprüfung behörden (Artikel 702 FISA sowie der sog. Exe-
(„Joint Review“) der praktischen Erfahrungen cutive Order 12333) sah der EDSA noch offene
mit der Anwendung des Privacy Shield statt. An
Fragen, insbesondere weil weite Teile der exis- die Gültigkeit des Privacy Shield auf dem Prüf-
tierenden US-Dokumente zu diesen Fragestel- stand steht. Sollte der EuGH die Standardver-
lungen von der US-Seite im Rahmen der bishe- tragsklauseln und den Privacy Shield für ungül-
rigen Gemeinsamen Überprüfungen des Privacy tig erklären, könnten Unternehmen und andere
Shield mit Verweis auf deren Einstufung als si- Akteure, die personenbezogene Daten in die
cherheitsrelevant und daher geheim den Vertre- USA übermitteln, abgesehen von Einzelverträ-
tern des EDSA nicht offengelegt wurden. gen, die von der Aufsichtsbehörde zu genehmi-
gen wäre, wohl auf keine wirksame Rechts-
Hinzuweisen ist auch darauf, dass der Privacy grundlage mehr berufen.
Shield, jedenfalls mittelbar, auch Gegenstand ei-
nes derzeit vom Europäischen Gerichtshof ver-
handelten Vorlageverfahrens („Schrems II“) ist,
bei dem für die ersten Monate 2020 mit einem
Urteil zu rechnen ist. Auch wenn das konkrete
Verfahren nicht unmittelbar die Gültigkeit der
Privacy-Shield-Entscheidung zum Gegenstand
hat, ist es nicht ausgeschlossen, dass der EuGH
in seinem Urteil auch relevante Aussagen zum
Privacy Shield treffen könnte. Selbst eine Ungül-
tigerklärung des Privacy Shield durch den EuGH
im Rahmen des anstehenden Urteils kann nach
Ansicht einiger Beobachter zumindest nicht völ-
lig ausgeschlossen werden. Im Rahmen des vor-
genannten vom EuGH verhandelten Verfahrens
(„Schrems II“) ist der EuGH aufgrund einer Vor-
lage des obersten Gerichts aus Irland (Irish High
Court) aufgerufen, über die Gültigkeit der EU-
Standarddatenschutzklauseln für Übermittlun-
gen an Auftragsverarbeiter (Kommissionsbe-
schluss 2010/87/EU vom 15.02.2010) zu ent-
scheiden.
12 Beschäftigtendatenschutz
12.1 Mitteilung von Überstunden 12.2 Fragerecht des Arbeitgebers
an Vorgesetzte bezüglich Gesundheit
Der Arbeitgeber darf gemäß § 26 Abs. 1 Satz 1 Die Erhebung dieser Informationen durch den
BDSG mit Mitarbeiterdaten umgehen, wenn Arbeitgeber ist zulässig. Einschlägige daten-
dies für die Durchführung des Beschäftigungs- schutzrechtliche Rechtsgrundlage ist § 26 Abs. 3
verhältnisses erforderlich ist. Diese Vorausset- BDSG. Danach darf der Arbeitgeber besondere
zungen dürften hier erfüllt sein. Wenn Vorge- Kategorien personenbezogener Daten seiner
setzte und ggf. auch die Geschäftsführung von Mitarbeiter im Sinne des Art. 9 Abs. 1 DS-GVO
der Personalbuchhaltung die jeweiligen Über- für Zwecke des Beschäftigungsverhältnisses u. a.
stunden der ihnen unterstehenden Mitarbeiter verarbeiten, wenn dies zur Erfüllung von Pflich-
mitgeteilt bekommen, halten wir dies für ver- ten aus dem Arbeitsrecht erforderlich ist und
tretbar. Anhand der Überstunden können die kein Grund zu der Annahme besteht, dass das
Vorgesetzten erkennen, wie stark die einzelnen schutzwürdige Interesse der betroffenen Person
Mitarbeiter belastet sind und ggf. eine Umver- am Ausschluss der Verarbeitung überwiegt. Bei
teilung der Aufgaben vornehmen. Bei einer gro- den Einschränkungen beim Heben und Tragen
ßen Zahl von Überstunden könnten sie auch auf handelt es sich um Gesundheitsdaten, die in Art.
deren Abbau hinwirken. Gegebenenfalls könnte 9 Abs. 1 DS-GVO aufgeführt sind. Aufgrund der
auch die Einstellung neuer Mitarbeiter für be- Fürsorgepflicht gegenüber seinen Mitarbeitern
stimmte, besonders belastete Bereiche in Be- hat der Arbeitgeber dafür zu sorgen, dass bei
tracht kommen. der Verteilung von Aufgaben auf die körperli-
chen Einschränkungen bestimmter Mitarbeiter
Rücksicht genommen wird. Dazu muss er von
diesen Einschränkungen Kenntnis nehmen dür-
fen. Da dies auch im Interesse der betreffenden
Mitarbeiter geschieht, stehen keine überwie-
genden schutzwürdigen Interessen letzterer der
Datenverarbeitung entgegen.
12.3 Zugriff auf das E-Mail- Wir haben diesen Fall zum Anlass genommen,
zu empfehlen, dass Postfächer ausgeschiedener
Postfach ausgeschiedener
Mitarbeiter möglichst zeitnah gelöscht werden,
Mitarbeiter sodass Absender eine Fehlermeldung erhalten
und sich um den neuen und richtigen E-Mail
Wenn in einem Unternehmen die private Kontakt kümmern müssen oder können.
Internet- und E-Mail-Nutzung untersagt
ist, ist es für den Arbeitgeber möglich, auf 12.4 Backgroundscreening über
das E-Mail Postfach eines ausgeschiede-
Bewerber
nen Mitarbeiters zuzugreifen.
Potentielle Arbeitgeber dürfen sich nicht
Ein Unternehmen, in dem die private Nutzung
bei Facebook über Bewerber informieren.
von Internet und E-Mail untersagt ist, fragte
nach, ob es auf das E-Mail-Postfach eines aus-
Wir wurden gefragt, ob sich ein Arbeitgeber im
geschiedenen Mitarbeiters zugreifen darf, da
Rahmen eines Bewerbungsverfahrens Informa-
sich eingegangene E-Mails, die zu laufenden
tionen zu Bewerbern aus Facebook beschaffen
Geschäftsvorgängen gehören, in diesem E-Mail
darf.
Postfach befinden würden.
15.1 Angebot eines Mess- und Nach unserer Auffassung war dieses Unterneh-
men im Rahmen seiner Tätigkeit als Mess- und
Abrechnungsdienstleisters an
Abrechnungsdienstleister datenschutzrechtlich
Beiräte einer Wohnungseigen- als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8
tümergemeinschaft DS-GVO für den Verwalter der Eigentümerge-
meinschaft und nicht als Verantwortlicher nach
Die Verarbeitung personenbezogener Da- Art. 4 Nr. 7 DS-GVO tätig. Die Kontaktdaten der
ten von Verwaltungsbeiräten durch einen Verwaltungsbeiräte und anderen Eigentümer
Mess- und Abrechnungsdienstleister für waren dem Dienstleister durch den Verwalter im
Rahmen der Beauftragung mit der Ablesung
Werbezwecke ist datenschutzrechtlich un-
und Abrechnung der Gas- und Warmwasser-
zulässig.
Verbrauchsdaten zur Verfügung gestellt wor-
den.
Wir erhielten eine Beschwerde, in der moniert
wurde, dass ein Dienstleistungsunternehmen,
Als datenschutzrechtlich Verantwortlichen se-
das mit dem Mess- und Abrechnungsdienst in
hen wir in solchen Fällen grundsätzlich den von
einer Eigentümergemeinschaft betraut war,
der Eigentümergemeinschaft bestellten Verwal-
mehrere Verwaltungsbeiräte der Eigentümerge-
ter an, da dieser gemäß § 28 Abs. 3 WEG die
meinschaft kontaktiert habe, um der Eigentü-
Aufgabe hat, eine Abrechnung zu erstellen. Der
mergemeinschaft ein Angebot zu unterbreiten.
Verwalter hatte sich zur Erfüllung dieser originä-
Das Unternehmen erläuterte den Beiräten in
ren Verwalteraufgabe des Abrechnungsdienst-
diesem Schreiben, dass es vermute, dass der
leisters bedient. Als Auftragsverarbeiter war der
von der Eigentümergemeinschaft bestellte Ver-
Dienstleister nicht berechtigt, personenbezo-
walter künftig einen anderen (gesellschafts-
gene Daten der einzelnen Wohnungseigentü-
rechtlich mit dem Verwalter verbundenen) Ab-
mer, die ihm vom Verwalter zur Durchführung
rechnungsdienstleister mit dem Mess- und Ab-
der Ablesung und Abrechnung überlassen wor-
rechnungsdienst betrauen werde; vor diesem
den waren, für eigene (Werbe-)Zwecke zu ver-
Hintergrund wolle das Unternehmen der Eigen-
arbeiten. Die dem Abrechnungsdienstleister
tümergemeinschaft ein neues Angebot für die
vom Verwalter im Rahmen des Vertrags zur Auf-
künftige Zusammenarbeit unterbreiten und
tragsverarbeitung nach Art. 28 Abs. 3 DS-GVO
habe sich daher entschlossen, dieses Angebot
überlassenen Adressdaten der Wohnungsei-
direkt den einzelnen Verwaltungsbeiräten zu
gentümer wurden dem Dienstleister nicht zum
unterbreiten.
Zweck der Werbung zur Verfügung gestellt,
sondern lediglich, damit dieser im Auftrag des
Das von uns zur Stellungnahme aufgeforderte
Verwalters die Ablesung durchführt und die ab-
Unternehmen teilte uns mit, dass es nur deshalb
gelesenen Daten dem Verwalter dann zur
mit den Beiräten kommuniziert habe, um den
Durchführung der Abrechnung nach § 28 Abs. 3
Umfang der Datenverarbeitung möglichst ge-
WEG in aufbereiteter Form zur Verfügung stellt.
ring zu halten und nicht sämtliche Eigentümer
Auch der Umstand, dass zivilrechtlich ein Ver-
anschreiben zu müssen. Es wurde in diesem Zu-
tragsverhältnis zwischen dem Abrechnungs-
sammenhang die Meinung geäußert, dass sich
dienstleister und der Eigentümergemeinschaft
die Datenverarbeitung auf die Durchführung
besteht, ermächtigt den Dienstleister nicht
und Abwicklung des zu Grunde liegenden Ver-
dazu, einzelne Eigentümer oder Verwaltungs-
tragsverhältnisses beschränkt habe.
beiräte für eigene Werbezwecke zu kontaktie- Diese Eingabe verdeutlicht exemplarisch unsere
ren, denn insoweit muss zwischen der Eigentü- Beobachtung, dass bei manchen Wohnungsei-
mergemeinschaft als solcher und den einzelnen gentümern offenbar Fehlvorstellungen über die
Eigentümern – zu denen der Dienstleister ge- notwendigen Informationsflüsse innerhalb einer
rade kein Vertragsverhältnis hat – unterschie- Eigentümergemeinschaft bestehen.
den werden.
Aus datenschutzrechtlicher Sicht bestehen hin-
Mithin hat der Dienstleister Daten, die ihm als sichtlich der Bereitstellung der Informationen,
Auftragsverarbeiter anvertraut waren, entgegen die im Zusammenhang mit dem Rechtsstreit
den Weisungen des Verantwortlichen – des Ver- stehen, keine Bedenken. Denn der Verwalter
walters – verarbeitet, wodurch er insoweit selbst hatte nach § 27 Abs. 1 Nr. 7 WEG im vorliegen-
zum Verantwortlichen wurde (Art. 28 Abs. 10 den Fall sogar die rechtliche Verpflichtung, die
DS-GVO). Eine Rechtsgrundlage für die Verar- Wohnungseigentümer unverzüglich darüber zu
beitung der (Kontakt-)Daten der Verwaltungs- unterrichten, dass ein Rechtsstreit im Sinne von
beiräte stand ihm aus den vorgenannten Grün- § 43 WEG zwischen der Eigentümergemein-
den nicht zur Verfügung, so dass die Verarbei- schaft und einem einzelnen Eigentümer anhän-
tung nach Art. 5 Abs. 1 Buchst. a DS-GVO den gig ist. Die Verarbeitung der Daten der Be-
Grundsatz der Rechtmäßigkeit verletzte. schwerdeführerin – d. h. die Bereitstellung der
Informationen betreffend den Rechtsstreit – er-
15.2 Veröffentlichung von folgte deshalb zur Erfüllung dieser rechtlichen
Verpflichtung und war damit nach Art. 6 Abs. 1
Unterlagen eines Rechtsstreits
Buchst. c DS-GVO zulässig.
auf dem Internetportal der
Wohnungseigentümer Ein Anspruch auf Löschung von dem (nur) für
Wohnungseigentümer zugänglichen Portal be-
Die Bereitstellung von Unterlagen hin- stand damit nicht.
sichtlich eines Rechtsstreits innerhalb der
Wohnungseigentümergemeinschaft stellt 15.3 Bekanntgabe einer
für den Verwalter eine gesetzliche Ver- Wohnungsdurchsuchung an
pflichtung nach § 27 Abs. 1 Nr. 7 WEG dar. Verwaltungsbeiräte
Eine Wohnungseigentümerin beschwerte sich Die ausschließlich telefonische Weiter-
bei uns darüber, dass der Verwalter auf einem
gabe einer Information durch einen Ver-
für die Kommunikation mit den Wohnungsei-
walter einer Eigentümergemeinschaft an
gentümern verwendeten webbasierten Portal
die Verwaltungsbeiräte unterfällt nicht
Unterlagen zu einem Rechtsstreit veröffentlicht
habe, den die Beschwerdeführerin gegen die Ei- dem Datenschutzrecht, sofern der Verwal-
gentümergemeinschaft führte. Sie hielt es nicht ter die in Rede stehende Information nicht
für zulässig, dass auf diese Weise die Informati- automatisiert oder in einem Dateisystem
onen über den Rechtsstreit allen Eigentümern in verarbeitet.
der Eigentümergemeinschaft zur Kenntnis ge-
geben wurden. Sie forderte deshalb vom Ver- Wir erhielten im Berichtszeitraum verhältnismä-
walter die Entfernung bzw. Löschung dieser Un- ßig viele Beschwerden, die die Bekanntgabe be-
terlagen vom Portal. stimmter Informationen durch Verwalter von Ei-
gentümergemeinschaften an Verwaltungsbei-
räte betrafen. Aus diesen Beschwerden wird er-
kennbar, dass manche Wohnungseigentümer
sich nicht im Klaren darüber sind, welche Stel- war nämlich durch die Polizei telefonisch über
lung ein Verwaltungsbeirat in der Eigentümer- den bevorstehenden Einsatz informiert worden
gemeinschaft hat. und hat diese Information lediglich ebenfalls te-
lefonisch an die Beiräte weitergegeben, ohne sie
In einem Fall beschwerte sich ein Eigentümer jedoch in irgendeiner Weise automatisiert
darüber, dass der Verwalter „mehrere andere Ei- oder aber in einem Dateisystem zu verarbeiten.
gentümer“ darüber informiert habe, dass die Mangels einer automatisierten Verarbeitung
Polizei eine Hausdurchsuchung in seiner Woh- oder einer Verarbeitung personenbezogener
nung durchgeführt habe. Als wir den Verwalter Daten in einem „Dateisystem“ im Sinne von Art.
zur Stellungnahme aufforderten, stellte sich 4 Nr. 16 DS-GVO unterfiel die Weitergabe dieser
heraus, dass die Polizei im Rahmen einer Woh- Information durch den Verwalter an die Beiräte
nungsdurchsuchung die Tür zu der Wohnung gemäß Art. 2 Abs. 1 DS-GVO nicht dem Anwen-
des Beschwerdeführers aufbrechen musste, da dungsbereich des Datenschutzrechts.
ein anderer Zugang nicht möglich war. Die Poli-
zei hatte den Verwalter kontaktiert und versucht Der Fall verdeutlicht exemplarisch, dass nicht
zu eruieren, ob eine Möglichkeit bestehe, die jede Weitergabe personenbezogener Daten
Wohnung zu betreten, ohne die Tür aufbrechen dem Anwendungsbereich des Datenschutz-
zu müssen, was jedoch nicht möglich war, da rechts unterfällt.
der Verwalter keinen Schlüssel zu der Wohnung
hatte. Da es sich bei der Wohnungstür um Ge-
meinschaftseigentum handelte, hatte der Ver-
walter es für angemessen angesehen, die zwei
für die Eigentümergemeinschaft bestellten Ver-
waltungsbeiräte darüber zu informieren, dass
die Polizei die Wohnungstür aufbrechen werde
und somit die im Gemeinschaftseigentum ste-
hende Tür beschädigt werden würde.
16 Videoüberwachung
16.1 Zweckbindung für Vorhaltungen. Dennoch fühlte sich der Be-
schwerdeführer dadurch, dass der Schwimm-
Verwendung von
badbetreiber die Aufnahmen seinem Arbeitge-
Videoaufnahmen ber – der Reinigungsfirma – vorgelegt und an-
hand dieser Aufnahmen seine Arbeitsleistung
Bei der Verwendung von Videoaufzeich- bemängelt habe, in seinen Rechten verletzt. Er
nungen für einen anderen Zweck als den monierte insbesondere, dass er nicht erwartet
ursprünglichen geplanten muss dem hatte, dass er beim Ausführen der Reinigung
Grundsatz der Zweckbindung besondere gefilmt würde und die entsprechenden Aufnah-
Aufmerksamkeit zugemessen werden. men seinem Arbeitgeber vorgelegt würden.
Ein Mitarbeiter eines Reinigungsunternehmens Aufgrund dieser Beschwerde forderten wir den
beschwerte sich darüber, dass er bei einem Rei- Schwimmbadbetreiber auf, zu erklären, für wel-
nigungseinsatz in einem Schwimmbad von den che Zwecke die in der Schwimmhalle betriebene
dort installierten Videokameras erfasst wurde Videoüberwachung durchgeführt wird, sowie in
und diese Aufnahmen seinem Arbeitgeber vor- welcher Weise er die betroffenen Personen über
gelegt wurden. diese Zwecke informierte. Der Betreiber erklärte,
die Videoanlage sei nur während der Nacht in
Das Reinigungsunternehmen reinigte unter Ein- Betrieb und diene der Prävention gegen unbe-
satz mehrerer Mitarbeiter regelmäßig in den fugtes Betreten der Schwimmhalle – etwa durch
frühen Morgenstunden die Schwimmhalle eines Einbrecher – sowie dazu, in solchen Fällen Täter
Schwimmbadbetreibers. Ein Mitarbeiter des zu identifizieren, um gegen sie etwaige (Scha-
Reinigungsunternehmens beschwerte sich bei densersatz-)Ansprüche verfolgen und Strafver-
uns darüber, dass ihn sein Arbeitgeber eines Ta- folgungsmaßnahmen einleiten zu können. Ent-
ges zu sich gerufen und ihm Videoaufzeichnun- sprechend wurde mittels „Hinweisschildes“ über
gen aus der Schwimmhalle vorlegte, in denen er die Videoüberwachung informiert. Da die Reini-
sowie eine weitere Mitarbeiterin bei der Durch- gungskräfte ihre Arbeiten noch zu einem Zeit-
führung der Reinigungsarbeiten zu sehen wa- punkt verrichteten, in dem die Anlage scharf ge-
ren. Der Arbeitgeber erklärte, diese Aufnahmen schaltet war, waren sie von den Kameras erfasst
vom Schwimmbadbetreiber mit dem Hinweis worden.
vorgelegt erhalten zu haben, dass auf den Auf-
nahmen zum einen zu sehen sei, dass das Reini- Nach unserer Bewertung hatte der Schwimm-
gungsunternehmen nur zwei statt der verspro- badbetreiber dadurch, dass er die Aufnahmen
chenen drei Mitarbeiter zum Reinigen einsetze. dem Reinigungsunternehmen vorgelegt hat,
Zum anderen bemängelte der Schwimmbadbe- gegen den datenschutzrechtlichen Grundsatz
treiber anhand der Aufnahmen gegenüber dem der Zweckbindung gemäß Art. 5 Abs. 1 Buchst.
Reinigungsunternehmen, dass die Mitarbeiter b DS-GVO verstoßen. Der ursprüngliche Zweck,
die Reinigungsarbeiten „nicht ordentlich“ bzw. dem die Anfertigung von Videoaufnahmen
in ungenügender Qualität durchführten. diente, lag in der Prävention und Verfolgung
von Einbrüchen sowie der Verfolgung damit zu-
Das Reinigungsunternehmen als Arbeitgeber sammenhängender zivilrechtlicher Ansprüche
der eingesetzten Mitarbeiter schloss sich diesen gegen die Täter. Im vorliegenden Fall wurden
Vorwürfen zwar nicht an und machte den ein- die Aufnahmen durch den Betreiber indes zu ei-
gesetzten Mitarbeitern aus diesem Anlass keine nem ganz anderen Zweck verwendet, nament-
lich dazu, die Leistung des Reinigungsunterneh- durchzuführenden Interessenabwägung die In-
mens – und der von diesem eingesetzten Mitar- teressen der gefilmten Mitarbeiter des Reini-
beiter – anhand der Aufnahmen zu bemängeln. gungsunternehmens am Unterbleiben einer sol-
Dieser Verwendungszweck ist vom o. g. ur- chen Datenverarbeitung. Denn letztlich war die
sprünglichen Zweck der Videoüberwachung – komplette Reinigungstätigkeit der betroffenen
also dem Zweck, zu dem die Daten erhoben Mitarbeiter per Video aufgezeichnet worden,
wurden – gänzlich verschieden und somit muss was letztlich einer weitgehenden Komplettüber-
bei Zugrundelegung der in Art. 6 Abs. 4 DS-GVO wachung ihrer Arbeitsleistung – jedenfalls im
geregelten Kriterien als mit dem ursprünglichen Rahmen des Arbeitseinsatzes in diesem
Zweck unvereinbar angesehen werden. Schwimmbad – gleichkommt. Jedenfalls eine
solche Komplettüberwachung des Verhaltens
Die Verarbeitung personenbezogener Daten zu und der Leistung von Beschäftigten ist, auch
einem Zweck, der mit dem Erhebungszweck un- nach den in der arbeitsgerichtlichen Rechtspre-
vereinbar ist, ist gemäß Art. 6 Abs. 4 DS-GVO nur chung entwickelten Maßstäben, unzulässig.
zulässig, wenn diese Verarbeitung aufgrund ei-
ner Rechtsvorschrift des EU-Rechts oder des Diese Wertung muss auch bei der Anwendung
mitgliedstaatlichen Rechts (zu einem der in Art. des § 24 Abs. 1 Nr. 2 BDSG und der dort durch-
23 DS-GVO aufgezählten Zwecke) ausdrücklich zuführenden Interessenabwägung durchschla-
erlaubt ist oder wenn die betroffene Person gen. Damit war die Vorlage der Aufnahmen
hierzu eingewilligt hat. Mangels einer Einwilli- durch den Schwimmbadbetreiber an die Reini-
gung der gefilmten Mitarbeiter konnte die Ver- gungsfirma unzulässig. Wir haben aus diesem
arbeitung daher nur zulässig sein, wenn eine Anlass gegenüber dem Schwimmbadbetreiber
Rechtsvorschrift eine derartige Zweckänderung mit einer Verwarnung reagiert, die dieser akzep-
erlaubte. Zu prüfen ist hierbei vor allem § 24 tiert hat.
BDSG – die Vorschrift, die die Verarbeitung zu
einem unvereinbaren neuen Verarbeitungs- 16.2 Kamerafahrten durch Apple
zweck regelt.
Apple veranlasst Videoaufnahmen von
Die Voraussetzungen des § 24 BDSG waren im Straßen und Häusern zur Verbesserung
vorliegenden Fall jedoch nach unsere Bewer-
der eigenen Kartendienste.
tung nicht erfüllt. Zwar erlaubt § 24 Abs.1 Nr. 2
BDSG die Verarbeitung für einen neuen, unver-
Uns erreichten zahlreiche Anfragen und Be-
einbaren Zweck, soweit sie zur Geltendma-
schwerden von Bürgern, die von Fahrzeugen mit
chung, Ausübung oder Verteidigung zivilrecht-
speziellen Kameras berichteten. Dahinter
licher Ansprüche erforderlich ist, aber nur, so-
steckte ein Projekt von Apple mit dem Ziel, ei-
fern nicht die Interessen der betroffenen Person
gene Dienste wie Apple Maps zu verbessern.
an dem Ausschluss der Verarbeitung überwie-
gen. Vorliegend könnte man zwar argumentie-
Bereits im Frühjahr 2019 informierte uns Apple
ren, dass der Schwimmbadbetreiber durch die
darüber, dass eine aus ungefähr 80 Fahrzeugen
Vorlage der Aufnahmen an die Reinigungsfirma
bestehende Fahrzeugflotte im Zeitraum von Juli
letzterer nachweisen wollte, dass diese die Rei-
bis September 2019 in deutschen Städten und
nigungsarbeiten in einer ungenügenden Quali-
Gemeinden unterwegs sein wird. Apple stellte
tät erbrachte. Dies kann als „Ausübung zivil-
uns ein umfangreiches Konzept vor und er-
rechtlicher Ansprüche“ angesehen werden, so
klärte, dass in den Fahrzeugen neben Kameras
dass der Anwendungsbereich des § 24 Abs. 1 Nr.
und Sensoren auch Computer verbaut wurden.
2 BDSG zwar grundsätzlich eröffnet ist. Jedoch
Die Aufnahmen würden mittels starker Ver-
überwogen bei der nach dieser Vorschrift
schlüsselung nach Stand der Technik bereits im
17 Datenschutzverletzungen
17.1 Allgemeines zu den Sicht aller Beteiligten zum Glück – die Aus-
nahme, wenngleich auch hier ein Anstieg im
gemeldeten Vorfällen
Jahr 2019 festzustellen ist. Hintergrund dazu ist,
dass gerade bei Angriffen über das Internet eine
Mit der DS-GVO stieg die Anzahl der Mel-
gezielte Schadensabsicht besteht, während bei
dungen nach Art. 33 DS-GVO rapide an
vielen anderen Datenpannenkategorien mit den
und blieb bis zum Ende des Berichtsjahres Daten der betroffenen Personen im Idealfall
auf einem hohen Niveau bestehen. meist „nichts“ passiert. Spitzenreiter bezüglich
der reinen Anzahl der Meldungen bleibt unver-
Unmittelbar nach dem Beginn der Anwendbar- ändert die Kategorie Fehlversendung.
keit der DS-GVO im Mai 2018 konnten wir einen
starken Anstieg von Meldungen über Daten- Eine Erkenntnis, die 2019 gewonnen wurde, ist
schutzverletzungen von Verantwortlichen re- die Tatsache, dass Cyberattacken mittlerweile
gistrieren. Bereits im letzten Tätigkeitsbericht einen erheblichen, zum Teil auch existenzbedro-
wagten wir deshalb die Prognose, dass der ein- henden Schaden für die Opfer darstellen. Opfer
geleitete Trend auch in den darauffolgenden sind in den uns gemeldeten Fällen sowohl die
Jahren Bestand haben werde. Zurückblickend gehackten Unternehmen als auch die betroffe-
auf das Berichtsjahr 2019 stellen wir fest, dass nen Personen, deren Daten für verschiedene kri-
diese Einschätzung zutreffend war. Wir haben minelle Zwecke verwendet werden. Oft haben
uns mittlerweile an den Umstand gewöhnt, so- die Hacker die Absicht, gezielt an persönliche
dass die Bearbeitung von Datenschutzverlet- Daten heranzukommen, z. B. Daten von Patien-
zungen einen großen Anteil unserer täglichen ten, Mitgliedern, Beschäftigten und Kunden, da
Arbeit einnimmt und wir an vielen Tagen über der Wert dieser Daten mittlerweile auch dort
20 Meldungen erhalten. wahrgenommen wird. Die Erpressung von Ver-
antwortlichen mit einer Lösegeldforderung, sei
Wir versuchen deshalb nach wie vor, die bei uns es durch die vollständige Verschlüsselung mit-
gemeldeten Vorfälle bestimmten Kategorien tels Ransomware oder durch eine entwendete
zuzuordnen, damit einerseits eine zielgerichtete Kopie von Kundendaten, ist bereits ein alltägli-
Bearbeitung durch einen für den Fachbereich ches Szenario. Im Berichtszeitraum mussten wir
spezialisierten Mitarbeiter gefördert wird und dabei sogar Fälle feststellen, bei denen der
anderseits auch von uns bewusst wahrgenom- ganze Betrieb stillstand und manche Mitarbeiter
men werden kann, wo Schwerpunkte bezüglich zum Teil einige Zeit zu Hause bleiben mussten.
unserer Präventionsarbeit gesetzt werden soll- Keine Seltenheit war es, dass gerade kleine Be-
ten. Cyberangriffe, Verschlüsselungstrojaner, triebe, KMUs und Arztpraxen Opfer solcher An-
Malware, Verlust, Diebstahl, Software- und Bu- griffe wurden.
chungsfehler sowie Fehlversendungen sind da-
bei die mit Abstand häufigsten Kategorien. Weit Wir haben uns auf Grund dieser Entwicklung
über die Hälfte der uns gemeldeten Daten- entschieden, unseren gesetzten Schwerpunkt
schutzverletzungen betreffen Sachverhalte, die „Cybersicherheit“ weiter zu verfolgen und – so-
ein eher „normales“ Risiko für die betroffenen weit es die Personalkapazitäten erlauben – auch
Personen besitzen und für die oftmals auch auszubauen. Das vergangene Jahr hat uns be-
durch uns keine weiteren Abhilfemaßnahmen stätigt, dass es einen erheblichen Bedarf an Un-
mehr vorgeschlagen werden müssen. Sicher- terstützung im nicht-öffentlichen Bereich gibt.
heitsvorkommnisse mit einem hohen Risiko für Viele Vorfälle hätte man durch Basis-Schutz-
die betroffenen Personen bleiben – aus der maßnahmen wie das regelmäßige Einspielen
sehen wir nicht mehr als zielführend an, da ge- 18.3 Beschwerden zum Tesla
mäß dem risikoorientierten Ansatz der DS-GVO
Sentry Mode
konkrete Umstände (z. B. Online-Angriffe mög-
lich oder nicht), die Arten der Speicherung (wie
Der Tesla-Diebstahlschutz in öffentlich zu-
bcrypt-Hashverfahren samt Salt zur Umwand-
gänglichen Raum ist Thema von Daten-
lung eines Klartextpassworts vor dessen Spei-
cherung) und auch der Einsatz von Mehrfak- schutzbeschwerden und wird deshalb auf-
torauthentifizierungsverfahren zwangsläufig zu sichtlich von uns geprüft.
berücksichtigen sind.
Wir haben im Jahr 2019 vermehrt Beschwerden
Als Empfehlung können wir trotzdem folgende wegen Tesla-Fahrzeugen erhalten, bei denen
Best-Practice-Aussagen treffen, die gerade für uns die Beschwerdeführer berichteten, dass
Anbieter von Online-Diensten allerdings nicht diese – teils weil sie einen neugierigen Blick ins
neu sein sollten: Innere des Fahrzeugs geworfen haben – von der
Displayanzeige der Umfelderfassung des Fahr-
Mindestlänge von zehn Zeichen bei
zeugs irritiert gewesen seien.
hoher Zeichenkomplexität
(Groß-/Kleinbuchstaben, Ziffern,
Die datenschutzrechtliche Frage bei dieser
Sonderzeichen)
Überwachungstechnik – Sentry Mode genannt –
Falls geringe Passwortkomplexität: ist, ob eine Umfeldüberwachung eines Tesla-
Erhöhung der Mindestlänge Fahrzeugs, bspw. auf dem Parkplatz eines Su-
(z. B. 20 Zeichen) permarkts, durch die vorhandenen hochauflö-
senden Kameras des Fahrzeugs zulässig ist.
Speicherung mit geeigneten
Zentral ist dabei auch zu klären, ob die Auf-
gesalzenen Hashverfahren wie
zeichnung durch die Fahrzeuge schon bei einer
z. B. bcrypt anstatt SHA- oder MD5-
Näherung an das Fahrzeug stattfindet oder erst,
Verfahren
nachdem dieses mittels Bewegungssensoren
Zwei-Faktor-Authentifizierung ein Rütteln oder eine starke Beschleunigung
(z. B. mittels App), insbesondere bei (z. B. bei einem Auffahrunfall) festgestellt hat.
hohem Risiko der Verarbeitung Da es aufgrund der Beeinträchtigung des Per-
Durchaus empfehlenswert ist in diesem Zusam- sönlichkeitsrechts bei einer anlasslosen Video-
menhang auch der Passwort-Check des Bayeri- überwachung von öffentlich zugänglichen Flä-
schen Staatsministeriums für Digitales, der in- chen regelmäßig datenschutzrechtlich unzuläs-
nerhalb des eigenen Browsers ein eingegebenes sig ist, derartige Aufnahmen anzufertigen (z. B.
Passwort auf dessen Stärke bewertet. bei Dashcams), beabsichtigen wir im Rahmen
einer Kontrolle, u. a. eigene Analysen an einem
www.stmd.bayern.de/service/passwort-check
Tesla-Fahrzeug im Jahr 2020 durchzuführen, um
insbesondere den Einsatz des Sentry Modes auf
Grund der vorhandenen Beschwerden daten-
schutzrechtlich abschließend zu bewerten.
19 Bußgeldverfahren
19.1 Zentrale Bußgeldstelle Die jeweiligen Sachverhalte wurden unserer
Zentralen Bußgeldstelle auf verschiedenen We-
Organisatorisch haben wir im Jahr 2019 unsere gen zur Kenntnis gebracht: Unmittelbar durch
mit zwei Personen besetzte Zentrale Bußgeld- die betroffenen Personen, über die Polizei oder
stelle (ZBS) geschaffen. Die Personen der ZBS durch Abgaben der Staatsanwaltschaft nach
arbeiten ausschließlich in diesem Bereich und Abschluss des dortigen strafrechtlichen Ermitt-
nicht mehr, wie früher, teilweise auch im auf- lungsverfahrens gemäß § 43 OWiG zur Prüfung
sichtlichen Bereich. der datenschutzrechtlichen Ordnungswidrigkei-
ten in eigener Zuständigkeit.
19.2 Bußgeldverfahren
Wegen der Überlastung unserer Behörde (siehe
Nach wie vor erreichen uns viele Fälle, die den Vorwort dieses Berichts) konnte eine Abgabe
Einsatz von Dash-Cams, Videoüberwachung des von den jeweiligen aufsichtlichen Fachberei-
öffentlichen Raums durch Private oder Veröf- chen nur in einem geringen Umfang erfolgen,
fentlichungen personenbezogener Daten im In- da schließlich auch die Aufbereitung eines fest-
ternet ohne Einwilligung der Betroffenen – v. a. gestellten Verstoßes für die Bußgeldstelle mit
auf Social-Media Plattformen wie Facebook, In- einem Aufwand verbunden ist. Durch eine in-
stagram und WhatsApp – betreffen. terne Dienstanweisung und Verfahrensbe-
schreibung soll in Zukunft erreicht werden, dass
Insgesamt haben wir ca. 100 Bußgeldverfahren bußgeldrelevante Verstöße, die im aufsichtliche
abgeschlossen, eines davon mit einem Bußgeld- Verfahren festgestellt wurden, vermehrt an die
bescheid nach der DS-GVO. Darüber hinaus be- Bußgeldstelle abgegeben werden können.
finden sich derzeit einige Verfahren bereits im
Stadium der Anhörung und werden in absehba- 19.3 Datenabruf für private
rer Zeit in den Erlass eines Bußgeldbescheides Zwecke
münden.
Beschäftigte von öffentlichen Stellen, die
Die Bußgeldverfahren bezogen sich auch in die-
von dienstlichen Geräten personenbezo-
sem Berichtszeitraum teilweise noch auf die alte
gene Daten für private Zwecke abrufen,
Rechtslage, da die Datenschutzverstöße noch
werden nicht zu Verantwortlichen.
vor dem 25. Mai 2018 begangen wurden. Für
Handlungen, die vor dem 25. Mai 2018 beendet
Weiterhin galt es für uns verschiedenste Prob-
wurden, gilt aufgrund des sog. Meistbegünsti-
leme, die die neue Rechtslage mit sich bringt, zu
gungsprinzips des § 4 Abs. 3 des Gesetzes über
lösen. So wurde beispielsweise im Berichtszeit-
Ordnungswidrigkeiten (OWiG) zumeist noch die
raum in Zusammenarbeit mit dem Bayerischen
alte – mildere – Rechtslage weiter, sodass auf
Landesbeauftragten für den Datenschutz
diese Sachverhalte die Bußgeldvorschrift des
(BayLfD) die Zuständigkeit für Bußgeldverfahren
§ 43 Bundesdatenschutzgesetz alte Fassung an-
gegen Mitarbeiter öffentlicher Stellen, die unzu-
zuwenden ist. Inzwischen handelt es sich aber in
lässig Datenabrufe zu privaten Zwecken vorneh-
der überwiegenden Mehrheit an Fällen um Buß-
men, wie folgt geklärt:
geldverfahren nach der DS-GVO.
spielsweise aus polizeilichen Recherchesyste- ist nicht berechtigt, Zwecke und Mittel der Da-
men – sind nur dann erlaubt, wenn ein dienstli- tenverarbeitung zu bestimmen. In Fällen, in de-
cher Anlass dafür besteht. nen der Auftragsverarbeiter in rechtswidriger
Weise seine Befugnisse überschreitet, regelt
Kern des behandelten Problems ist die Frage, ob Art. 28 Abs. 10 DS-GVO, dass er für diese Verar-
ein Mitarbeiter einer öffentlichen Stelle bei ei- beitung als eigener Verantwortlicher im Sinne
nem Datenabruf aus einem behördlichen Abfra- der DS-GVO haftbar wird. Dies ist vergleichbar
gesystem ohne dienstlichen Anlass, d. h. zu rein mit einem Behördenmitarbeiter, der seine Be-
privaten Zwecken, selbst zum Verantwortlichen fugnisse überschreitet. Eine dem Art. 28 Abs. 10
im Sinne des Art. 4 Nr. 7 DS-GVO wird – mit der DS-GVO entsprechende Regelung zur eigenen
Konsequenz der Anwendbarkeit des Art. 83 DS- Verantwortlichkeit von Behördenmitarbeitern
GVO – oder Teil der verantwortlichen öffentli- bei Datenverarbeitungen zu privaten Zwecken
chen Stelle bleibt, sodass die Bußgeldvorschrift fehlt jedoch, sodass davon auszugehen ist, dass
des Art. 23 des Bayerischen Datenschutzgeset- der Gesetzgeber eine solche gerade nicht re-
zes (BayDSG) anzuwenden ist. Wenn man der geln wollte.
ersten Auffassung folgen würde, würde der be-
hördliche Mitarbeiter den unzulässigen Daten- In der Konsequenz bedeutet dies, dass mangels
abruf als nicht-öffentliche Stelle durchführen, Verantwortlichkeit des den Datenabruf tätigen-
sodass wir für die Ahndung des Verstoßes zu- den Mitarbeiters nicht die Verwirklichung einer
ständig wären. Ordnungswidrigkeit nach Art. 83 DS-GVO, son-
dern nur die Verwirklichung einer Ordnungs-
Nach übereinstimmender Ansicht des BayLfD widrigkeit nach Art. 23 BayDSG in Betracht
und uns wird ein Mitarbeiter einer öffentlichen kommt.
Stelle, der Datenabrufe zu rein privaten Zwe-
cken vornimmt, nicht zum selbstständigen Ver- Die Zuständigkeit für die Ahndung einer sol-
antwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO, chen Ordnungswidrigkeit nach Art. 23 BayDSG
sondern bleibt Teil der verantwortlichen Be- ergibt sich aus § 36 Abs. 2 OWiG in Verbindung
hörde. Verantwortlicher im Sinne des Art. 4 Nr. mit der (Bayerischen) Zuständigkeitsverord-
7 DS-GVO ist, wer über die Zwecke und Mittel nung (ZustV).
der Verarbeitung von personenbezogenen Da-
ten entscheidet. Der einzelne Mitarbeiter einer Im Bereich der Polizei sind nach § 91 Abs. 3
öffentlichen Stelle entscheidet jedoch nicht ZustV die dem Staatsministerium des Innern, für
selbst über die grundsätzlichen Zwecke und Sport und Integration unmittelbar nachgeord-
Mittel der Abfragesysteme, vielmehr verwendet neten Polizeidienststellen für die Verfolgung
er lediglich die ihm zur Verfügung gestellten der Ordnungswidrigkeit zuständig. Im Übrigen
Programme. Darüber hinaus regelt Art. 3 Abs. 2 kommt meist § 87 Abs. 1 Satz 1 ZustV zur An-
BayDSG auf Grundlage der in Art. 4 Nr. 7 DS- wendung, wonach diejenige Verwaltungsbe-
GVO enthaltenen Spezifizierungsklausel, dass hörde zuständig ist, der der Vollzug der Rechts-
Verantwortlicher für die Verarbeitung perso- vorschrift obliegt, gegen die sich die Zuwider-
nenbezogener Daten im Sinne der DS-GVO die handlung richtet. Das ist diejenige öffentliche
für die Verarbeitung zuständige öffentliche Stelle, in deren Bereich der Verstoß gegen Art.
Stelle ist. 23 BayDSG begangen wurde.
Auch ein Vergleich mit den in der DS-GVO ent- Dieses Ergebnis ist in Hinblick auf eine so mög-
haltenen Regelungen zum Auftragsverarbeiter liche Harmonisierung des disziplinarrechtlichen
stützt dieses Ergebnis: Ein Auftragsverarbeiter Vorgehens und der Verfolgung der Ordnungs-
widrigkeit aus Art. 23 BayDSG auch sachgerecht.
Stichwortverzeichnis
A G
Abhilfemaßnahmen.............................................................. 14 Geschäftsgeheimnisse ......................................................... 35
Adresshandel .......................................................................... 37 Gesundheit ............................................................................... 49
Apple-Kamerafahrten.......................................................... 60 Gesundheitsdaten im Web ................................................ 66
Ausgeschiedene Mitarbeiter ............................................ 47 Gesundheitszustand Mitarbeiter..................................... 46
Auskunft .................................................................................... 26 Google Analytics .................................................................... 30
Ausweiskopien ....................................................................... 33
H
B
Handel ........................................................................................ 40
Backgroundscreening ......................................................... 47
Banken ....................................................................................... 35 I
BDSG .......................................................................................... 24
Benennungspflicht DSB ...................................................... 24 Identitätsprüfung................................................................... 33
Beratungen .............................................................................. 12 IMI-System ............................................................................... 14
Berichtigung von Diagnosen ........................................... 49 Internationaler Datenverkehr ........................................... 43
Beschäftigtendatenschutz ................................................. 46 Internet ...................................................................................... 29
Beschwerden ........................................................................... 10
Betroffenenrechte ................................................................. 26 K
Bußgeldverfahren ................................................................. 71
Kohärenz ................................................................................... 14
Kontrollanregung .................................................................. 11
C Kontrollen ................................................................................. 18
Cookies ...................................................................................... 30
Cyberabwehr Bayern ........................................................... 69 M
Cybersicherheit ............................................................... 18, 69
Meldevorschrift ...................................................................... 13
Mieterdatenschutz ................................................................ 55
D Mitgliederverwaltung .......................................................... 52
Datenabruf für private Zwecke........................................ 71
Datenschutzbeauftragter ................................................... 24 N
Datenschutzverletzungen ........................................... 13, 63
Namensverwechslung ......................................................... 41
E
O
Einwilligung ...................................................................... 19, 40
Öffentlicher Aushang ........................................................... 53
E-Mail-Kommunikation ...................................................... 68
Öffentlichkeitsarbeit ............................................................. 16
E-Mail-Werbung .................................................................... 37
Online-Versandhändler ....................................................... 40
Emotet ....................................................................................... 68
Organigramm............................................................................ 8
Energieversorger ................................................................... 40
Europäische Verfahren........................................................ 14
P
F PACS-Server ............................................................................. 66
Passwörter ................................................................................ 66
Facebook .................................................................................. 47
Patientendaten ....................................................................... 49
Facebook Fanpages ............................................................. 29
Personalressourcen............................................................... 14
FAQ ............................................................................................. 12
Planstellen ................................................................................ 15
Postdienstleister .................................................................... 40 U
Privacy Shield .......................................................................... 43
Prüfungen ................................................................................. 18 Überstundenmitteilung .......................................................46
R V
Rechenschaftspflicht ............................................................ 20 Verbände ...................................................................................52
Rechtsanwälte.................................................................. 27, 33 Vereine .......................................................................................52
Versicherungswirtschaft ......................................................35
S Videoüberwachung ....................................................... 19, 59
Vorträge .....................................................................................16
Safer Internet Day ................................................................. 18
Schuldenberg .......................................................................... 11 W
Shisha-Bars .............................................................................. 19
SMS-Werbung ........................................................................ 37 Websites ............................................................................ 18, 29
Soziales ...................................................................................... 49 Werbeprofiling ........................................................................37
Statistik ...................................................................................... 10 Werbung ...................................................................................37
Steuerberater .......................................................................... 33 Windows 10 .............................................................................22
Straßenaufnahmen ............................................................... 60 Wohnungsdurchsuchung ...................................................56
Wohnungswirtschaft ............................................................55
T
Z
Technischer Datenschutz ................................................... 66
Telemetriedaten..................................................................... 22 Zahlen und Fakten ................................................................10
Tesla ............................................................................................ 67 Zentrale Bußgeldstelle .........................................................71
Tracking ............................................................... 18, 20, 29, 30