Sie sind auf Seite 1von 78

Bayerisches Landesamt für

Datenschutzaufsicht

9. Tätigkeitsbericht
2019
9. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht
für das Jahr 2019
Hinweis: Aktualisierte Fassung vom 31.01.2020 (Anpassung in Kapitel 6.3)

Herausgeber:
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach

Tel.: 0981 180093-0


Fax: 0981 180093-800
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

Vorgelegt im Januar 2020 – Thomas Kranig, Präsident

Bildnachweis Cover: de.123rf.com – Urheber melpomen – Dateinummer 117302880


Vorwort

Vorwort
Dieser 9. Tätigkeitsbericht des Bayerischen Lan- unterzubringen, wie es die entsprechenden
desamts für Datenschutzaufsicht (BayLDA) ist Richtlinien eigentlich vorsehen. Es bleibt des-
der Erste, dessen Berichtszeitraum sich gemäß halb eine nachhaltige Aufgabe, sich um zusätz-
der Vorgabe der Datenschutz-Grundverord- liche Büroflächen zu bemühen.
nung (DS-GVO) nur auf ein Jahr, das Jahr 2019,
bezieht. Wie schon in den Vorjahren beinhaltet Aber auch die fachlichen Anforderungen an uns
unser Bericht keine datenschutzpolitischen Aus- als Datenschutzaufsichtsbehörde waren 2019
führungen. Er wiederholt auch nicht die Ent- schon alleine auf Grund der erheblichen Anzahl
schließungen, Beschlüsse, Orientierungshilfen an Beschwerden, Beratungen und gemeldeten
o. ä. der Konferenz der unabhängigen Daten- Datenschutzverletzungen gewaltig. Die Enttäu-
schutzaufsichtsbehörden des Bundes und der schung, dass uns trotz des bereits im Vorjahr
Länder (Datenschutzkonferenz – kurz: DSK). 2018 festgestellten gewaltigen Anstiegs dieser
Diese sind stattdessen auf der Homepage der Anforderungen im Doppelhaushalt 2019/2020
DSK jederzeit frei abrufbar (www.datenschutz keine zusätzlichen Stellen bewilligt wurden,
konferenz-online.de). Unser Bericht beinhaltet – konnten wir zum Glück rasch überwinden. Wir
dem halbierten Berichtszeitraum entsprechend erfuhren, dass der Bayerische Staatsminister des
– deutlich weniger Fallbeispiele. Unser Ziel bei Innern, für Sport und Integration, dessen Ress-
der Auswahl der dargestellten Fälle und unseren ort wir haushaltsrechtlich zugeordnet sind,
Entscheidungen dazu war und ist nach wie vor, durch eine interne Umstrukturierung uns einen
den Verantwortlichen und betroffenen Perso- erheblichen Finanzbetrag zur Verfügung ge-
nen eine Orientierung zu geben, wie wir die da- stellt hat, durch den wir neue – auf Dauer ange-
tenschutzrechtlichen Vorschriften in konkreten legte – Planstellen schaffen konnten. Selbst
Fällen auslegen. wenn diese Entscheidung vom März 2019 haus-
haltsrechtlich erst im Sommer wirksam wurde,
Für das BayLDA war das Jahr 2019 insgesamt ein so dass die meisten unserer neun neuen Mitar-
extrem schwieriges Jahr. Es begann damit, dass beiterinnen und Mitarbeiter erst gegen Novem-
wir aus unserem bisherigen Dienstgebäude, ber 2019 den Dienst antreten konnten, war die
dem Schloss in Ansbach, ausgezogen sind. Wir Aussicht auf diese personelle Aufstockung für
konnten dann auf der anderen Straßenseite der die vorhandenen Beschäftigten eine hilfreiche
Promenade in Ansbach in neu renovierte Motivation, um mit der enormen Überlastung
Räume, die früher einmal eine Zweigstelle der besser umgehen zu können. Diese Situation,
Bayerischen Landesbank beherbergt hatten, verschärft durch den Wechsel der Hälfte unserer
einziehen. Trotz intensiver Planung stellte sich juristischen Beschäftigten, hatte leider dazu ge-
der Umzug einer ganzen Behörde als gewaltiger führt, dass wir unseren gesetzlichen Aufgaben
Kraftakt dar. Eine besondere Herausforderung zur Durchführung von Prüfungen und Erlass von
bestand darin, alle Mitarbeiterinnen und Mitar- Bußgeldbescheiden nur in sehr geringem Um-
beiter nicht nur körperlich, sondern „ganzheit- fang nachkommen konnten. Wir gehen davon
lich“ mitzunehmen. Es ließ sich nicht vermeiden, aus, dass wir diese Aktivitäten in den folgenden
dass sich nicht alle durch den Umzug räumlich Jahren, wenn alle neuen Mitarbeiterinnen und
verbessert haben. Im Juli 2019 erfolgte die An- Mitarbeiter eingearbeitet sind, wieder in deut-
mietung weiterer Büroräume im 2. Stock des lich größerem Umfang betreiben können.
neuen Dienstgebäudes. Die gesamte nunmehr
zur Verfügung stehende Bürofläche reicht aber
nicht aus, um alle am Ende des Jahres 2019 vor-
handenen Mitarbeiterinnen und Mitarbeiter so

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 1


Vorwort

Der vorliegende Tätigkeitsbericht soll in erster Ferner soll der Bericht auch dazu dienen, den
Linie ein Blick zurück auf den Berichtszeitraum eigenen Mitarbeiterinnen und Mitarbeitern für
sein und darüber informieren, was in dieser Zeit ihren hervorragenden Einsatz in einem sehr
geschehen ist. Das erfahren Sie, verehrte Lese- schwierigen Jahr zu danken. Trotz dieser nicht
rin, verehrter Leser, auf den folgenden Seiten. einfachen äußeren Rahmenbedingungen ist es
gelungen, dass sich alle Mitarbeiterinnen und
Der Bericht soll aber auch dafür verwendet wer- Mitarbeiter als ein Team gesehen, sich gegen-
den, vielen – insbesondere Datenschutzbeauf- seitig unterstützt und über alle Bereiche hinweg
tragten – für die konstruktive Kommunikation ausgezeichnet zusammengearbeitet haben.
zu danken, die uns in die Lage versetzt hat, bes- Herzlichen Dank dafür.
ser wahrzunehmen, welche Probleme mit der
neuen Datenschutz-Grundverordnung „im wirk- Ansbach, im Januar 2020
lichen Leben draußen“ tatsächlich bestehen.
Thomas Kranig
Präsident

2 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Inhaltsverzeichnis

Inhaltsverzeichnis

Vorwort .......................................................................................................................................................... 1
Inhaltsverzeichnis ......................................................................................................................................... 3
1 Datenschutzaufsicht im nicht-öffentlichen Bereich ........................................................................ 7
1.1 Gesetzliche Grundlage für den Tätigkeitsbericht ......................................................................................... 7
1.2 Datenschutz in Bayern ............................................................................................................................................ 7
1.3 Das Bayerische Landesamt für Datenschutzaufsicht ................................................................................... 7
2 Zahlen und Fakten .............................................................................................................................. 10
2.1 Beschwerden .............................................................................................................................................................10
2.2 Beratungen ................................................................................................................................................................12
2.3 Datenschutzverletzungen ....................................................................................................................................13
2.4 Abhilfemaßnahmen ................................................................................................................................................14
2.5 Europäische Verfahren ..........................................................................................................................................14
2.6 Förmliche Begleitung von Rechtsetzungsvorhaben ..................................................................................14
2.7 Ressourcen.................................................................................................................................................................14
2.8 Vorträge und Öffentlichkeitsarbeit ..................................................................................................................16
3 Kontrollen und Prüfungen ................................................................................................................ 18
3.1 Safer Internet Day 2019 ........................................................................................................................................18
3.2 Videoüberwachung in Shisha-Bars ..................................................................................................................19
3.3 Rechenschaftspflicht beim Einsatz von Tracking-Tools ...........................................................................20
3.4 Windows 10 und Telemetriedaten ...................................................................................................................22
4 Der betriebliche Datenschutzbeauftragte ...................................................................................... 24
4.1 Änderung des BDSG ..............................................................................................................................................24
4.2 Weiterhin Unsicherheit über Benennungspflicht .......................................................................................24
5 Betroffenenrechte .............................................................................................................................. 26
5.1 Auskunft ......................................................................................................................................................................26
5.2 Kein Auskunftsrecht gegenüber gegnerischem Rechtsanwalt .............................................................27
6 Datenschutz im Internet .................................................................................................................... 29
6.1 Facebook Fanpages ...............................................................................................................................................29
6.2 Einsatz von Tracking-Tools..................................................................................................................................29
6.3 Google Analytics .....................................................................................................................................................30
7 Steuerberater und Rechtsanwälte ................................................................................................... 33
7.1 Anfertigung von Ausweiskopien durch Steuerberater .............................................................................33

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 3


Inhaltsverzeichnis

8 Versicherungswirtschaft und Banken ............................................................................................. 35


8.1 Auskunftsrecht gegenüber Versicherungsunternehmen ....................................................................... 35
8.2 Kein Auskunftsrecht hinsichtlich Geschäftsgeheimnissen ..................................................................... 35
9 Werbung und Adresshandel ............................................................................................................. 37
9.1 Werbeprofiling bei Kreditinstituten ................................................................................................................ 37
9.2 Werbung per E-Mail oder SMS......................................................................................................................... 37
10 Handel und Dienstleistung ............................................................................................................... 40
10.1 Übermittlung von E-Mail-Adressen durch Online-Versandhändler an Postdienstleister ......... 40
10.2 Kontaktaufnahme durch Energieversorger ohne Vertragsverhältnis ................................................ 40
10.3 Verarbeitung personenbezogener Daten aufgrund von Namensverwechslungen ..................... 41
11 Internationaler Datenverkehr........................................................................................................... 43
11.1 Privacy Shield ........................................................................................................................................................... 43
12 Beschäftigtendatenschutz ................................................................................................................ 46
12.1 Mitteilung von Überstunden an Vorgesetzte ............................................................................................. 46
12.2 Fragerecht des Arbeitgebers bezüglich Gesundheit ................................................................................ 46
12.3 Zugriff auf das E-Mail-Postfach ausgeschiedener Mitarbeiter ............................................................ 47
12.4 Backgroundscreening über Bewerber ............................................................................................................ 47
13 Gesundheit und Soziales ................................................................................................................... 49
13.1 Übermittlung von Patientendaten an Strafverfolgungsbehörden ...................................................... 49
13.2 Berichtigung von ärztlichen Diagnosen ........................................................................................................ 49
14 Vereine und Verbände ....................................................................................................................... 52
14.1 Mitgliederverwaltung ........................................................................................................................................... 52
14.2 Öffentlicher Aushang der Klageschrift eines Mitglieds in einem Verfahren gegen den Verein ..
....................................................................................................................................................................................... 53
15 Wohnungswirtschaft und Mieterdatenschutz ............................................................................... 55
15.1 Angebot eines Mess- und Abrechnungsdienstleisters an Beiräte einer
Wohnungseigentümergemeinschaft .............................................................................................................. 55
15.2 Veröffentlichung von Unterlagen eines Rechtsstreits auf dem Internetportal der
Wohnungseigentümer ......................................................................................................................................... 56
15.3 Bekanntgabe einer Wohnungsdurchsuchung an Verwaltungsbeiräte ............................................. 56
16 Videoüberwachung ............................................................................................................................ 59
16.1 Zweckbindung für Verwendung von Videoaufnahmen .......................................................................... 59
16.2 Kamerafahrten durch Apple ............................................................................................................................... 60
17 Datenschutzverletzungen ................................................................................................................. 63
17.1 Allgemeines zu den gemeldeten Vorfällen .................................................................................................. 63
17.2 Arbeitskreis der DSK zu Datenschutzverletzungen .................................................................................. 64

4 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Inhaltsverzeichnis

18 Technischer Datenschutz und Informationssicherheit ................................................................. 66


18.1 Gesundheitsdaten im Web ..................................................................................................................................66
18.2 Anforderungen an starke Passwörter .............................................................................................................66
18.3 Beschwerden zum Tesla Sentry Mode ............................................................................................................67
18.4 Umgang mit Bedrohungen durch Emotet ....................................................................................................68
18.5 E-Mail-Kommunikation zwischen Berufsgeheimnisträgern und betroffenen Personen ............68
18.6 Cyberabwehr Bayern ..............................................................................................................................................69
19 Bußgeldverfahren ............................................................................................................................... 71
19.1 Zentrale Bußgeldstelle ..........................................................................................................................................71
19.2 Bußgeldverfahren ....................................................................................................................................................71
19.3 Datenabruf für private Zwecke ..........................................................................................................................71
Stichwortverzeichnis.................................................................................................................................. 74

Wichtiger Hinweis:
Ausschließlich zum Zweck der besseren Lesbarkeit wird auf die geschlechtsspezifische Schreibweise ver-
zichtet. Alle personenbezogenen Bezeichnungen in diesem Tätigkeitsbericht sind somit geschlechts-
neutral zu verstehen.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 5


1
Datenschutzaufsicht im nicht-öffentlichen
Bereich
Datenschutzaufsicht im nicht-öffentlichen Bereich

1 Datenschutzaufsicht im nicht-öffentlichen Bereich


1.1 Gesetzliche Grundlage  den Bayerischen Landesbeauftragten
für den Datenschutz für die
für den Tätigkeitsbericht
öffentlichen Stellen in Bayern
(Art. 15 BayDSG),
Anders als nach der bisherigen Rechtslage ver-
pflichtet Art. 59 DS-GVO jede Aufsichtsbehörde,  den Medienbeauftragten für den
einen Jahresbericht über ihre Tätigkeit zu erstel- Datenschutz für die Bayerische
len, der eine Liste der Arten der gemeldeten Landeszentrale für neue Medien, deren
Verstöße und der Arten der getroffenen Maß- Tochtergesellschaften und Anbieter
nahmen nach Art. 58 Abs. 2 enthalten kann. (Art. 20 BayMG) und

 den Rundfunkdatenschutzbeauftragten
Dieser Bericht ist deshalb der erste von uns, der
für den Bayerischen Rundfunk und
nur einen einjährigen Berichtszeitraum umfasst.
ausgewählte Beteiligungsunternehmen
Aus der Formulierung in der DS-GVO, welche
des Bayerischen Rundfunks
Informationen der Bericht haben kann, ist der
(Art. 21 BayRG)
Wunsch des Gesetzgebers an die Aufsichtsbe-
hörden zu entnehmen, nicht nur ihre Auffas- als gleichwertige und gleichrangige Aufsichts-
sung zur rechtlichen Beurteilung bestimmter behörden im Sinne des Art. 51 DS-GVO gesetz-
Fallkonstellationen, sondern insbesondere auch lich festgelegt.
statistische Angaben über das tatsächliche Voll-
zugshandeln darzustellen. Diese Anforderung Darüber hinaus haben Kirchen, religiöse Verei-
versuchen wir in den folgenden Ausführungen nigungen oder Gemeinschaften gemäß Art. 91
dieses Tätigkeitsberichts erneut zu erfüllen. DS-GVO, wenn sie die dort genannten Voraus-
setzungen erfüllen, die Möglichkeit eine spezifi-
sche Aufsichtsbehörde einzurichten, die dann
1.2 Datenschutz in Bayern
als Aufsichtsbehörde anzusehen ist, wenn sie
Art. 51 DS-GVO verpflichtet die Mitgliedstaaten, die in Art. 51 ff. DS-GVO genannten Vorausset-
eine oder mehrere unabhängige Behörden zur zungen, insbesondere der Unabhängigkeit, er-
Überwachung der Anwendung der DS-GVO ein- füllen. Dies wird in Deutschland für die katholi-
zurichten. Maßgeblich für die konkrete Einrich- sche und evangelische Kirche unstrittig ange-
tung ist das Recht des jeweiligen Mitgliedstaats. nommen.
Für Deutschland bedeutet dies, dass der Bund
für den Bereich seiner Zuständigkeit und die 1.3 Das Bayerische Landesamt
Länder für die Bereiche ihrer Zuständigkeiten für Datenschutzaufsicht
entsprechende Aufsichtsbehörden vorsehen
müssen. Eine Vorgabe, wie viele Aufsichtsbe- Wie oben im Vorwort angesprochen und im Fol-
hörden und für welche Zuständigkeiten Auf- genden durch Darstellung der statistischen An-
sichtsbehörden eingerichtet werden sollen, gibt gaben belegt, war das Jahr 2019 eine gewaltige
die DS-GVO nicht vor. Herausforderung. Was Beschwerden, Bera-
tungsanfragen (die wir nach wie vor gerne be-
Der bayerische Gesetzgeber hat arbeiten und beantworten wollen) oder Mel-
 uns, das Bayerische Landesamt für dungen von Datenschutzverletzungen inhaltlich
Datenschutzaufsicht (BayLDA), für und aufwandsmäßig bedeuten, ist uns ziemlich
nicht-öffentliche Stellen in Bayern bewusst. Was aber noch auf uns zukommen
(Art. 18 BayDSG),

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 7


Datenschutzaufsicht im nicht-öffentlichen Bereich

wird, konkret durch die Akkreditierung von Zer- dass eine große Anzahl von Unternehmen mit
tifizierungsstellen und dann die Zertifizierung dem Gedanken spielen – und es manche auch
selbst (Art. 42 DS-GVO), durch die Einbindung umgesetzt haben –, ihren Sitz vom Vereinigten
in Verfahren zur Aufstellung von Verhaltensre- Königreich in ein anderes Mitgliedsland EU zu
geln oder Genehmigung von Verhaltensregeln verlegen. Der Großraum München und damit
(Art. 40 DS-GVO) oder auch bei Verfahren zur Bayern scheinen insoweit eine besondere Anzie-
Genehmigung von verbindlichen internen Da- hungskraft zu haben. Ferner muss davon ausge-
tenschutzvorschriften (Binding Corporate Rules gangen werden, dass auch unsere Zuständigkeit
– BCR, Art. 47 DS-GVO), lässt sich noch nicht für die Durchführung von BCRs durch den Brexit
wirklich abschätzen. Wir haben uns bei der Aus- nicht unerheblich steigen dürften, da im Verei-
wahl und Aufstockung unseres Personalbestan- nigten Königreich mit die meisten derartiger
des daher besonders bemüht, entsprechend Verfahren durchgeführt wurden. Die Unterneh-
ausgebildete Personen für uns zu gewinnen, da- men werden versuchen, dieses Instrument für
mit wir auch für die nahe Zukunft gewappnet die Datenübermittlung in Drittstaaten beizube-
sind und diese neuen Anforderungen erfüllen halten, weshalb sie gezwungen sind, eine ent-
können. sprechende Niederlassung im Bereich der Euro-
päischen Union zu behalten oder zu bekom-
Ein erhebliches Maß an Planungsunsicherheit men.
besteht letztendlich aber auch noch darüber,
was auf uns zukommt, wenn das Vereinigte Kö- Nachfolgend wird unsere interne Organisation,
nigreich wie anvisiert am 31. Januar 2020 die Eu- mit der wir auch diese Aufgaben stemmen wol-
ropäische Union verlassen wird und sich damit len, in einem Organigramm stark vereinfacht
vorbehaltlich noch abzuschließender Verträge dargestellt:
von einem Mitgliedstaat der EU zu einem Dritt-
staat wandelt. Es ist schon heute feststellbar,

Präsidium

• Leitung
• Grundsatzfragen
• Öffentlichkeitsarbeit

Geschäftsstelle Bußgeldstelle

Bereich 1 Bereich 2 Bereich 3 Bereich 4

• Kredit- und • Versicherungen • Internationaler • Cybersicherheit


Finanzwirtschaft • Gesundheitswesen Datenverkehr • Technischer Datenschutz
• Auskunfteien • Freiberufliche Tätigkeiten • Online-Dienste • Datenschutz-
• Werbung • Soziale Einrichtungen • Wohnungswirtschaft Folgenabschätzung
• Markt- und • Vereine • Zertifizierung
Meinungsforschung • Industrie und Handel • Automotive
• Datenschutzorganisation • Beschäftigtendatenschutz
• Videoüberwachung

8 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


2
Zahlen und Fakten
Zahlen und Fakten

2 Zahlen und Fakten


Wie schon im letzten Tätigkeitsbericht darge- Telefonische „Beschwerden“ werden dann ge-
stellt, hat sich ein größerer Teil der deutschen zählt, wenn sie verschriftlicht werden (z. B. durch
Datenschutzaufsichtsbehörden auf eine teil- Vermerk).
weise Vereinheitlichung des statistischen Teils
bei der Erstellung der Tätigkeitsberichte ver- Unter dem Obergriff „Beschwerden“ erhielten
ständigt. Dabei sollten die statistischen Anga- wir zuletzt auch eine erhebliche Anzahl von Mel-
ben, die in Art. 59 DS-GVO angesprochen sind, dungen über angebliche Datenschutzverstöße,
nach einem gleichförmigen Muster dargestellt bei denen die Eingabeführer nicht glaubhaft ge-
werden. Diese Vereinheitlichung soll auch dem macht haben, durch den vorgetragenen Sach-
Zweck dienen, dass Deutschland bei den jährli- verhalt in den eigenen Rechten verletzt zu sein.
chen Abfragen des Europäischen Datenschutz- Diese Eingänge bezeichnen wir nicht als Be-
ausschusses bei den Aufsichtsbehörden der schwerden, sondern als Kontrollanregungen.
Mitgliedstaaten ein genaueres Bild abgeben
kann. Warum eine getrennte Behandlung zwischen
Kontrollanregung und Beschwerde für uns als
2.1 Beschwerden Behörde nicht nur sinnvoll, sondern auch drin-
gend notwendig ist, zeigt sich schnell: Nach Art.
Die Gesamtanzahl der Beschwerden und Kon- 78 Abs. 2 DS-GVO sind wir gehalten, betroffene
trollanregungen, die 2019 bei uns eingegangen Personen innerhalb von drei Monaten über den
sind, ist der unten folgenden Grafik zu entneh- Stand oder das Ergebnis des Beschwerdeverfah-
men. Als Beschwerden werden dabei solche rens in Kenntnis zu setzen. Somit müssen wir bei
Vorgänge gezählt, die schriftlich eingehen und „echten“ Beschwerden rechtzeitig mit der Bear-
bei denen eine natürliche Person eine persönli- beitung beginnen. Ansonsten droht der Fall,
che Betroffenheit darlegt, für die Art. 78 DS- dass wir dieser Verpflichtung nicht nachkom-
GVO anwendbar ist. Dies schließt Abgaben ein. men und wir uns dadurch der Gefahr einer

Anzahl

6000
Beschwerden und Kontrollanregungen
pro Jahr 5497

5000

3643
4000

3000

2000 1684
1424
1103
925 953
1000 719
687

0
2011 2012 2013 2014 2015 2016 2017 2018 2019

10 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Zahlen und Fakten

(Untätigkeits-)Klage aussetzen. Bei Kontrollan- in dem es uns gelang, mehr Beschwerdeverfah-


regungen dagegen besteht kein Anspruch da- ren abzuschließen als neue Vorgänge eingin-
rauf, dass wir innerhalb einer bestimmten Frist gen. Im Ergebnis bedeutet dies, dass wir zum
über den Stand des Verfahrens berichten müs- Ende des Berichtszeitraums einen gewaltigen
sen. Folglich werden Beschwerden vorrangig Arbeitsvorrat in das Jahr 2020 mitgenommen
abgearbeitet, individuell geprüft und entschie- und unseren bestehenden „Schuldenberg“ kon-
den. Bei Kontrollanregungen dagegen erhält tinuierlich weiter aufgebaut haben. In der unten
der Mitteilende nur eine Bestätigung, dass wir stehenden Grafik erkennt man die Beschwer-
seine Mitteilung als Kontrollanregung erfasst den, die insgesamt noch bei uns abgearbeitet
haben und nach pflichtgemäßem Ermessen ent- werden müssen.
scheiden, ob und inwieweit wir dieser Anregung
nachgehen. Die schwierige Personalsituation in 2019 und
die gestiegene Anzahl von Beschwerden führten
Die Zahl der Beschwerden ist auch im Jahr 2019 leider auch dazu, dass die Laufzeit der Bearbei-
noch einmal gewaltig angestiegen. Wie schon tung für diese Beschwerden länger geworden
im letzten Bericht ausgeführt, gehen wir davon ist. Wir mussten eine große Menge an Be-
aus, dass die zahlreichen Veranstaltungen, Pres- schwerden in das Jahr 2020 mithinübernehmen,
seberichte und Informationsmaterialien dazu gehen aber davon aus, dass wir mit dem neuen
geführt haben, dass vielen Bürgern bewusster Personal nach der Einarbeitungsphase wieder
geworden ist, dass sie Betroffenenrechte haben zu einer angemessenen Bearbeitungszeit zu-
und diese auch geltend machen können. Die rückfinden werden.
Entwicklung mag daher aus Sicht der Gesell-
schaft positiv zu bewerten sein, weil ein gestei-
gertes Datenschutzbewusstsein vorhanden ist.
Aus unserer Behördensicht mussten wir jedoch
feststellen, die wir diese Arbeitslast mit dem im
Jahr 2019 vorhandenen Personal nicht bewälti-
gen konnten. Es gab zuletzt fast keinen Monat,

Anzahl „Schuldenberg“ der Beschwerden in 2019


3000 Wie viele Beschwerden waren zum jeweiligen Zeitpunkt insgesamt noch offen?

2500

2000

1500

1000

500

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 11


Zahlen und Fakten

2.2 Beratungen Eine Ursache dafür kann sein, dass wir auf unse-
rer Website die Möglichkeit der Online-Bera-
Um die Vergleichbarkeit mit den anderen Auf- tung neu angeboten haben. Interessierte Perso-
sichtsbehörden sicherzustellen, verstehen wir nen können dabei zu bestimmten Themenbe-
unter Beratungen nunmehr nur die schriftliche reichen Fragen an uns schicken. In diesem Pro-
Beantwortung von Anfragen von Verantwortli- zess werden Ihnen dann vor Eingabe der Frage
chen, betroffenen Personen und der eigenen die FAQs zu dem ausgewählten Thema angege-
Regierung. Ausschließlich (fern)mündliche Bera- ben, die wir erstellt haben. Wir werten die An-
tungen werden ebenso wie Schulungen, Vor- fragen dazu zwar nicht aus, sind aber überzeugt
träge etc. nicht mehr berücksichtigt, aber der- davon, dass eine erhebliche Anzahl der Anfra-
zeit dennoch von uns separat erfasst. genden nach Durchlesen der FAQs schon eine
Antwort auf ihre Frage finden und „aussteigen.“
In der nebenstehenden Tabelle sind die Bera- www.lda.bayern.de/media/pm2019_7.pdf
tungen im Berichtszeitraum aufgeführt. Wir ha-
ben hier, wie in den Vorjahren auch, die telefo- Beratungen im Berichtszeitraum
nischen Auskünfte mitangegeben. Wie man
dort und auch in der unteren Grafik erkennen Verantwortliche 2019
kann, ist die Anzahl der Beratungen im Verhält-
Telefonische Beratungen 936
nis zum letzten Jahr deutlich gesunken. Insbe-
sondere die in der Regel mit geringem Aufwand Schriftliche Beratungen 1422
zu beantwortende Anfragen aus dem Bereich
der Vereine und ehrenamtlich Tätigen wurden Bürger 2019
spürbar weniger, was sich in der Gesamtstatistik Telefonische Beratungen 419
widerspiegelt.
Schriftliche Beratungen 559

Anzahl
10000
Beratungen pro Jahr
9212
9000

8000

7000
Verantwortliche
6000 Bürger

5000

4000 3749 3336


3068
3000 2812 2727
2426 2434 2532

2000

1000

0
2011 2012 2013 2014 2015 2016 2017 2018 2019

12 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Zahlen und Fakten

Ein weiterer Grund für den Rückgang der Bera- 2.3 Datenschutzverletzungen
tungsanfragen können unsere Informationsver-
anstaltungen, das gesteigerte Informationsan- Wie schon im letzten Jahr befürchtet und im
gebot auf unserer Homepage und nicht zuletzt vergangenen Tätigkeitsbericht prognostiziert,
auch die besseren Informationen der jeweiligen ist die Zahl der Meldungen von Datenschutzver-
Dachverbände sein. Auf der anderen Seite mer- letzungen im Jahr 2019 noch einmal erheblich
ken wir aber, dass die verbliebenen Anfragen gestiegen. Die Meldevorschrift aus Art. 33 DS-
schwierigere Fragestellungen beinhalten und GVO zeigt tatsächlich Wirkung, auch wenn ge-
deshalb nach wie vor eine gewaltige Herausfor- rade bei kleineren Unternehmen die Meldever-
derung darstellen. pflichtung und der Ablauf der Meldung immer
noch nicht geläufig sein dürften.
Wir sind uns dabei bewusst, dass mit der aus-
schließlichen Erfassung der schriftlichen Bera- Neben den Beschwerden und den Beratungen
tungen ein nicht unerheblicher Anteil unserer prägen daher mittlerweile auch Vorgänge zu
Arbeit, nämlich die telefonische Beantwortung Datenschutzverletzungen unseren Arbeitsalltag.
von Anfragen, statistisch künftig nicht mehr ins In der unten aufgeführten Grafik werden die bei
Gewicht fällt. Die telefonische Erreichbarkeit uns eingegangenen Meldungen nach Art. 33
und Beantwortung von Anfragen ist uns nach DS-GVO, die von den jeweiligen Verantwortli-
wie vor wichtig. Es ist ein kostenfreier Service, chen abgegeben wurden, dargestellt. Weitere
der sicherlich für eine Behörde nicht selbstver- Informationen zum Thema Datenschutzverlet-
ständlich ist, aber von Hilfesuchenden sehr gut zungen im Allgemeinen sind im Kapitel 17 die-
angenommen wird. Unabhängig davon, ob ein ses Berichts zu finden, wenngleich wir dieses
Datenschutzbeauftragter, ein Geschäftsführer, Mal von der Darstellung einzelner Fallkonstella-
ein Arzt, eine Bürokraft, ein Schüler, ein Bürger, tionen meldepflichtiger Vorfälle Abstand neh-
ein Vereinsmitglied etc. anrief – wir waren stets men.
bemüht, uns telefonischen Anfragen anzuneh-
men.

Anzahl
4500
Datenschutzverletzungen pro Jahr
4111
4000

3500

3000 Kategorien u. a.:


 Cyberangriffe 2471
2500  Fehlversand
 Verschlüsselungstrojaner
 Malware
2000  Verlust u. Diebstahl
 Softwarefehler
1500

1000

500
136
10 13 32 21 28 85
0
2011 2012 2013 2014 2015 2016 2017 2018 2019

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 13


Zahlen und Fakten

2.4 Abhilfemaßnahmen die Pflege der IMI-relevanten Vorgänge inner-


halb unserer Behörde einen enormen Aufwand
Für diesen Abschnitt haben die Aufsichtsbehör- bedeuten. Zum Redaktionsschluss dieses Be-
den vorgeschlagen, die Abhilfemaßnahmen richts waren wir leider nicht in der Lage, valide
nach Art. 58 Abs. 2 DS-GVO aufzulisten. Im Ein- Zahlen, aufgeschlüsselt nach den unterschiedli-
zelnen handelt es sich dabei um die Maßnah- chen Kategorien, zur Verfügung zu stellen. Hin-
men, die wir bereits im letzten Tätigkeitsbericht tergrund hierbei ist, dass wir seit Beginn der DS-
aufführten: GVO längst eine vierstellige Anzahl an IMI-Vor-
gängen haben, die uns in irgendeiner Weise
 Warnungen
tangieren – zusätzlich zu den ohnehin schon in
(Art. 58 Abs. 2 Buchst. a DS-GVO)
unserer Behörde laufenden Verfahren. Um die-
 Verwarnungen sem Umstand Rechnung zu tragen, haben wir
(Art. 58 Abs. 2 Buchst. b DS-GVO) bei der Besetzung der neuen Planstellen beson-
ders darauf geachtet, dass eine dauerhafte Be-
 Anweisungen und Anordnungen
gleitung der IMI-Vorgänge von uns gewährleis-
(Art. 58 Abs. 2 Buchst. c - g und j
tet werden kann. Auch unser internes Verwal-
DS-GVO)
tungsprogramm wurde angepasst, damit wir
 Geldbußen künftig nicht nur eine statistische Auswertung
(Art. 58 Abs. 2 Buchst. i DS-GVO) durchführen, sondern IMI-Vorgänge auch mit
 Widerruf von Zertifizierungen einem erhöhten Automatisierungsgrad in unse-
(Art. 58 Abs. 2 Buchst. h DS-GVO) ren Arbeitsalltag integrieren können.

Auch wenn wir es wollten, ist es uns im Jahr


2019 leider nicht gelungen, unser internes Fach- 2.6 Förmliche Begleitung von
verfahren IGOR zur Verwaltung von Vorgängen Rechtsetzungsvorhaben
so zu erweitern, dass die oben genannten Ab-
hilfemaßnahmen statistisch ausgewertet wer- Eine förmliche Begleitung von Rechtsetzungs-
den können. Wir hoffen, dass uns dies bald ge- vorhaben, d. h. Abgabe einer Stellungnahme zu
lingt und wir im nächsten Tätigkeitsbericht dazu uns betreffenden Gesetzesvorhaben, fand im
konkrete Angaben liefern können. Jahr 2019 nicht statt.

2.5 Europäische Verfahren 2.7 Ressourcen

Wie im vergangenen Bericht erklärt, ist es für Im Berichtszeitraum haben wir durch den Haus-
uns erforderlich, die in das IMI-System einge- haltsgesetzgeber im engeren Sinne, den Bayeri-
stellten Vorgänge zur Feststellung der Betrof- schen Landtag, im Rahmen des Nachtragshaus-
fenheit (Art. 56 DS-GVO), der Federführung (Art. halts keine neuen Stellen erhalten, aber durch
56 DS-GVO) und die Anzahl der Verfahren ge- den Bayerischen Staatsminister des Innern, für
mäß Kapitel VII DS-GVO (Zusammenarbeit und Integration und Sport, im Zuge einer Haus-
Kohärenz) regelmäßig zu sichten. Erst dann haltsumschichtung nach Art. 6 des Bayerischen
kann festgestellt werden, ob und wann wir uns Haushaltsgesetzes im März 2019 die Zusage für
bei Verfahren, die in das IMI-System eingestellt Haushaltsmittel bekommen, mit denen wir neun
sind, als federführende oder betroffene Auf- Stellen in der 2. und 3. Qualifikationsebene nicht
sichtsbehörde melden sollen bzw. müssen. nur für das Jahr 2019, sondern auf Dauer schaf-
fen konnten.
Allerdings mussten wir bislang erkennen, dass
alleine diese Sichtung im IMI-System und auch

14 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Zahlen und Fakten

Im Sommer 2019 standen die Haushaltsmittel werden mussten, was mit tatkräftiger Unterstüt-
dann tatsächlich zur Verfügung, sodass wir zu- zung des Personalsachgebiets des Bayer Staats-
sätzliches Personal einstellen konnten. Von den ministeriums des Innern sehr gut gelungen ist,
neun Stellen wurden sieben Stellen ausge- erschwerte die Personalsituation im Berichtsjahr
schrieben und die meisten leider erst zum No- für uns erheblich.
vember 2019 besetzt. Zwei Stellen wurden be-
wusst noch nicht ausgeschrieben und besetzt, Die Personalentwicklung der letzten Jahre sieht
um erst die sieben neuen Mitarbeiterinnen und wie folgt aus:
Mitarbeiter zu integrieren. Wir wollen dann fest-
 Bis 31.12.2016: 16 Planstellen
stellen, in welchem Bereich der Bedarf in den
nächsten Monaten am größten ist, um zielge-  Bis 31.12.2017: 20 Planstellen
richtet dort weitere Verstärkung einzusetzen. Es  Bis 31.12.2018: 24 Planstellen
sollte damit auch dem neuen Präsidenten die
 Bis 31.12.2019: 33 Planstellen
Möglichkeit eingeräumt werden, eigene
Schwerpunkte zu setzen. Rein rechnerisch hat sich damit die Anzahl der
zu bewältigenden Aufgaben auf mehr Schultern
Erfreulich war die positive Resonanz auf unsere verteilt. Wir haben nun zwar deutlich mehr Plan-
Stellenausschreibungen, was auf der anderen stellen als noch vor wenigen Jahren, allerdings
Seite mit einem ziemlichen Aufwand für die muss man sich bewusst machen: Auch deutlich
Sichtung der Bewerbungsunterlagen und die mehr Arbeit. Wie der vorangegangenen Grafik
Durchführung von Vorstellungsgesprächen ver- des Schuldenbergs entnommen werden kann,
bunden war. Die größte Resonanz erfuhren wir hat sich die Zunahme der Mitarbeiteranzahl
bei der Ausschreibung einer Stelle in der Ge- noch nicht relevant auf die Anzahl der Erledi-
schäftsstelle, auf die sich alleine 230 Menschen gungen ausgewirkt, da sich unser neues Perso-
beworben haben. nal im Wesentlichen in der Einarbeitung befin-
det. Entsprechend war die durchschnittliche An-
Dass im Laufe des Jahres vier von acht Juristin- zahl der Vorgänge pro Planstelle besonders bei
nen und Juristen das BayLDA vorübergehend den Beschwerden auffällig hoch, was dem unten
oder auf Dauer verlassen haben und ersetzt aufgeführten Diagramm zu entnehmen ist.

Durchschnittliche Vorgänge pro Planstelle

384
Beratungen
Datenschutzverletzungen
Beschwerden

192
176 166
152
124
103 101
89
60

1 5

2014 2016 2018 2019

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 15


Zahlen und Fakten

2.8 Vorträge und


Öffentlichkeitsarbeit

Wir haben auch im Jahr 2019 eine erhebliche


Anzahl von Vorträgen gehalten und dabei über-
wiegend Datenschutzbeauftragte geschult bzw.
informiert. Ein besonderes Anliegen war es uns
wieder, die meist von den Industrie- und Han-
delskammern und der Gesellschaft für Daten-
schutz und Datensicherheit e.V. (GDD) organi-
sierten ERFA-Kreise in München, Nürnberg,
Würzburg, Coburg und Bayreuth zu besuchen
und dort die zahlreich vorab eingereichten Fra-
gen zu beantworten.

Um ein Verständnis dafür zu bekommen, wie in


anderen Mitgliedstaaten der EU, des Europäi-
schen Wirtschaftsraums (EWR) oder einem
Drittstaat mit angemessenem Datenschutzni-
veau das Verständnis für die DS-GVO ist, haben
wir bei Veranstaltungen in der Schweiz, Großbri-
tannien und Liechtenstein Vorträge gehalten
bzw. an Veranstaltungen teilgenommen.

Im Rahmen unserer Öffentlichkeitsarbeit erwei-


terten wir fortlaufend unser Angebot auf unse-
rer Website, damit Interessierte einfach und
schnell Antworten auf ihre Fragen finden konn-
ten. Dabei war es uns wichtig, die Informationen
so herunter zu brechen und mit Mustern zu er-
gänzen, dass Vereine, Handwerker, freiberuflich
Tätige und auch sehr kleine Unternehmen eine
effektive praxisorientierte Unterstützung finden
konnten.

16 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


3
Kontrollen und Prüfungen
Kontrollen und Prüfungen

3 Kontrollen und Prüfungen


3.1 Safer Internet Day 2019 schiedene Punkte in unterschiedlicher Tiefe un-
tersucht, von der verwendeten Verschlüsselung,
Unsere Prüfung zur Passwortsicherheit der Passwortstärke bis hin zu Absicherungen
und zum datenschutzkonformen Einsatz gegen Angriffsversuche auf Login-Daten.

von Tracking-Tools offenbart Nachholbe-


Bei der Untersuchung im Schwerpunkt Tracking
darf bei großen Websites.
wurden zahlreiche Prüffragen aus dem Bereich
der Information und Einwilligung abgehandelt,
Wie bereits in den vorangegangenen Jahren ha-
z. B. „Wird der Nutzer vorab transparent über
ben wir uns auch 2019 wieder am Safer Internet
den Einsatz von Tracking-Tools informiert?“,
Day aktiv beteiligt. Unter dem Motto „Together
„Werden die Anforderungen an eine wirksame
for a better internet“ bot der Safer Internet Day
Einwilligung von der Website erfüllt?“ und
vielen Institutionen die Möglichkeit, einen Bei-
„Kann der Nutzer die Profilbildung durch Tra-
trag für ein sicheres Internet zu leisten. Wir
cking-Tools auf der Website selbst durch eigene
nutzten die Gelegenheit und führten eine um-
Einstellungen verhindern?“. Hier befanden sich
fangreiche Datenschutzkontrolle bei Websites
auf Grund konkret vorliegender Beschwerden
ausgewählter Verantwortlicher durch. Schwer-
von Bürgern bereits 40 Websites auf unserer
punkte waren die Umsetzung der datenschutz-
Prüfliste, wobei alle dieser Websites ausschließ-
rechtlichen Anforderungen bezüglich Cybersi-
lich von großen bzw. sehr großen bayerischen
cherheit und Tracking.
Firmen betrieben und verantwortet werden.

Warum wir diese beiden Themen als Prüf-


Obwohl wir ausschließlich Websites von größe-
schwerpunkte ausgemacht haben, erklärt sich in
ren Unternehmen, zum Teil börsennotierte
unserer Funktion als Aufsichtsbehörde: Spätes-
Großkonzerne, hinsichtlich längst bekannter Si-
tens seit Mai 2018 zeichnete sich ab, dass ein
cherheitsanforderungen untersuchten, mussten
häufiges Beschwerdethema bei Bürgern die In-
wir feststellen, dass zahlreiche Defizite vorhan-
formation, die Einwilligung und das Setzen von
den waren. Die getroffenen Sicherheitsmaßnah-
Cookies bei Websites darstellt. Wir haben zahl-
men mussten oft als unzureichend eingestuft
reiche Eingaben dieser Art erhalten, die sich
werden. In einer umfassenden Ergebnispräsen-
letztendlich allesamt um Nutzertracking im In-
tation haben wir auf unserer Website die einzel-
ternet drehten. Und da wir zudem viele Meldun-
nen Ergebnisse zur Verfügung gestellt, bewertet
gen über Datenschutzverletzungen nach Art. 33
und über den Hintergrund des jeweiligen Prüf-
DS-GVO auf Grund mangelhafter Sicherheit bei
punktes informiert. Da das Ergebnis so ernüch-
Webdiensten registrierten, insbesondere bei
ternd ausfiel, werden wir auch weiter aktive
der Absicherung der Logins, fiel die Entschei-
Kontrollen im Cybersicherheitsumfeld durch-
dung leicht, sowohl Tracking als auch Cybersi-
führen und bei Verstößen unser Potential aus
cherheit bei Websites aktiv anzugehen.
dem Maßnahmenkatalog ausschöpfen. Ob da-
bei allen Verantwortlichen bereits bekannt ist,
Im Rahmen des Cybersicherheitschecks kontrol-
dass ein Verstoß gegen die Vorschriften aus Art.
lierten wir, wie Website-Betreiber den Nutzer
32 DS-GVO zur Sicherheit der Verarbeitung mit
durch den Registrierungs- und Login-Prozess
einer nicht unerheblichen Geldbuße geahndet
begleiten und inwieweit sie dabei angemessen
werden kann, mögen wir nicht beurteilen.
mit den Passwörtern ihrer Nutzer umgehen. Im
Rahmen der mehrstufigen Prüfung wurden ver-

18 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Kontrollen und Prüfungen

Auch im Bereich Tracking fiel das Ergebnis un- für den Fall, dass in seiner Bar Straftaten wie bei-
serer Prüfung desolat aus: Keine der geprüften spielsweise Diebstahl begangen werden, ent-
Websites erfüllte die Anforderung an eine zuläs- sprechendes Beweismaterial zur Verfügung ha-
sige Einwilligung nach der DS-GVO, obwohl die ben. Ferner habe es vor längerer Zeit einen Ein-
Websites Tracking-Tools von Drittanbietern ein- bruchsversuch gegeben. Diese Zwecke vermö-
gebunden hatten und somit eine Datenverar- gen die Videoüberwachung des Gastraums
beitung durch fremde Dienste veranlassten. Ei- nicht zu rechtfertigen. Wir stellten gegenüber
nige Website-Betreiber verschwiegen den Ein- dem Unternehmen klar, dass es in einem gast-
satz von Tracking-Tools, andere hingegen infor- ronomischen Betrieb wie etwa seiner Bar nicht
mierten pauschal über verschiedenste Tools, die zulässig ist, die Bereiche, in denen sich die Gäste
zum Teil gar nicht auf der Website eingebunden zum Verzehr von Speisen und Getränken oder
sind. Im Ergebnis wurde der Nutzer nur selten zum „Relaxen“ aufhalten, mit Videokameras zu
transparent darüber informiert, ob und welche erfassen.
seiner Daten für welche Zwecke verarbeitet wer-
den. Wir haben uns daher veranlasst gesehen, Als zulässig haben wir lediglich die Erfassung
entsprechende Verfahren gegen die Verant- des unmittelbaren Eingangsbereichs und auch
wortlichen einzuleiten und die Verstöße dies nur außerhalb der Öffnungszeiten bewer-
dadurch abzustellen. Weitere Informationen tet. Diese Erfassung zum Zwecke der Dokumen-
sind den Pressemitteilungen vom 1. und 5. Feb- tation etwaiger Einbruchsversuche kann als ein
ruar 2019 sowie der dazugehörigen Ergebnis- berechtigtes Interesse des Unternehmens aner-
präsentation zu entnehmen. kannt werden, so dass die Verarbeitung perso-
www.lda.bayern.de/media/pm2019_3_de.pdf nenbezogener Daten zu diesem Zweck insoweit
datenschutzrechtlich nach Art. 6 Abs. 1 Buchst. f
3.2 Videoüberwachung in DS-GVO legitimiert ist, dies jedoch begrenzt auf
die Zeiten, in denen sich kein Personal vor Ort
Shisha-Bars befindet, so dass etwaige Einbruchsversuche
andernfalls somit nicht dokumentiert werden
Beschwerden, die Videoüberwachung zum
könnten. Was die Speicherdauer betrifft, erach-
Gegenstand haben, nehmen quantitativ ten wir nach wie vor eine Dauer von grundsätz-
seit vielen Jahren einen Spitzenplatz in un- lich bis zu maximal 72 Stunden als ausreichend,
serer Tätigkeit ein. Regelmäßig erreichen da während dieses Zeitraums normalerweise die
uns Beschwerden über Videokameras in Auswertung der Videoaufzeichnungen möglich
Restaurants, Bars und anderen gastrono- ist.
mischen Einrichtungen. Im Rahmen einer
Vor-Ort-Kontrolle haben wir daher im Be- In einer der Bars wurde zudem der Kassenbe-
reich von einer Videokamera überwacht. Zweck
richtszeitraum mehrere sog. Shisha-Bars
der Überwachung war hier – wie häufig in der
überprüft, gegen die Beschwerden bei uns
Gastronomie und im Handel – die Verhinderung
eingegangen waren.
von sog. Wechselgeldbetrug durch Mitarbeiter
bzw. Aufdeckung entsprechender Vorgänge.
Die Prüfung ergab insgesamt ein gemischtes
Dies bewerteten wir als zulässig unter der Vo-
Bild. Im Falle einer der überprüften Bars waren
raussetzung, dass tatsächlich durch entspre-
im Gastraum, in dem sich wohl vornehmlich jun-
chende Kameraeinstellung gewährleistet ist,
ges Publikum aufhält, vier Videokameras ange-
dass lediglich der unmittelbare Kassenbereich
bracht, durch die mehr oder minder der ge-
erfasst wird, nicht jedoch der Mitarbeiter insge-
samte Gastraum erfasst wurde. Als Grund für die
samt.
Überwachung gab der Betreiber pauschal Si-
cherheitsinteressen an. Insbesondere wolle er

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 19


Kontrollen und Prüfungen

Bei mehreren der überprüften Bars waren Ka- schutzbeauftragte eingebunden wird. Nicht sel-
meras zudem außen am Gebäude angebracht, ten ergab unsere Kontrolle, dass selbst die Ge-
die z. T. größere Bereiche des Gehsteigs erfass- schäftsleitung hiervon keine Kenntnis hatte.
ten. Hier ist höchstens eine Erfassung eines
schmalen, unmittelbar an die Gebäudehaut bzw. Dies veranlasste uns, die Prüfung umzustellen.
Eingangstür angrenzenden Bereichs hinnehm- Schwerpunkt der Prüfung war nicht mehr nur
bar und nur, sofern gewährleistet ist, dass nicht die Frage, ob für die Einbindung von Tracking-
die gesamte Breite des Gehsteigs erfasst wird, Tools eine Einwilligung eingeholt werden muss
sondern Fußgänger die Möglichkeit haben, den oder Art. 6 Abs. 1 Buchst. f) DS-GVO eine aus-
Gehsteig zu nutzen, ohne von den Kameras er- reichende Rechtsgrundlage ist. Da die Website-
fasst zu werden. Prüfung grundlegende Mängel im Datenschutz-
Management zu Tage brachte, prüften wir auch,
Der Erlass förmlicher Anordnungen gegen die ob die Verantwortlichen ihrer Rechenschafts-
im Rahmen dieser Prüfungsaktion von uns über- pflicht gem. Art. 5 Abs. 2 DS-GVO hinreichend
prüften Betriebe war nicht erforderlich, weil die nachgekommen sind.
Betriebe unsere mündlich mitgeteilten Hinweise
befolgt haben. Wenngleich die Rechenschaftspflicht gem. Art.
5 Abs. 2 DS-GVO eine der wenigen großen Ver-
3.3 Rechenschaftspflicht beim änderungen des neuen Datenschutzrechts ist,
so hätte jeder Verantwortliche in den letzten
Einsatz von Tracking-Tools
Jahren die Gelegenheit gehabt, sich hinreichend
damit auseinanderzusetzen.
Viele Unternehmen kennen ihre eigenen
Verarbeitungstätigkeiten oft nicht hinrei-
Sowohl auf deutscher als auch europäischer
chend und befassen sich nur ungenügend Ebene haben sich die Datenschutzaufsichtsbe-
mit den rechtlichen Anforderungen der hörden in mehreren Veröffentlichungen zur Re-
DS-GVO. chenschaftspflicht geäußert, zuletzt in der „Ori-
entierungshilfe für Anbieter von Telemedien“.
Nach den ernüchternden Ergebnissen der www.datenschutzkonferenz-online.de/
Website-Prüfung im Rahmen des Safer Internet media/oh/20190405_oh_tmg.pdf
Days 2019, siehe Kapitel 3.1 dieses Berichts, ha-
ben wir aufsichtliche Verfahren gegen die Ver- Zudem prüften wir seit Oktober 2018 die Re-
antwortlichen eingeleitet. chenschaftspflicht bei Großkonzernen. Ziel die-
ser Prüfung war es, festzustellen, inwieweit
Bei der weitergehenden Prüfung stellte sich her- große Unternehmen in der Lage sind, die Ein-
aus, dass sich viele Verantwortliche nicht im Kla- haltung der gesetzlichen Vorgaben aus der DS-
ren darüber sind, welche Dienste auf ihren GVO nachzuweisen. Zu diesem Zweck hatten wir
Websites überhaupt eingebunden werden. einen Prüfkatalog mit 50 Fragen zur Rechen-
Grund hierfür ist häufig, dass die Betreuung der schaftspflicht mit folgenden Schwerpunkten er-
Websites von Agenturen übernommen wird stellt:
oder die Marketing-Abteilung des Verantwortli-
 Aufbauorganisation
chen selbstständig Tracking-Tools zur Werbefi-
nanzierung in das Webangebot integriert.  Basis-Anforderungen

 Datenschutzkonforme Verarbeitung
Bedauerlicherweise erfolgt dies in vielen Fällen,
ohne dass der interne oder externe Daten-  Umgang mit Betroffenenrechten

 Umgang mit Datenschutzverletzungen

20 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Kontrollen und Prüfungen

Über diese Prüfung wurde in einer eigenen Darüber hinaus kann die Rechenschaftspflicht
Pressemitteilung vom 07.11.2018 informiert. durch sonstige Datenschutzdokumentation er-
www.lda.bayern.de/media/pm2018_17_de.pdf folgen, wie beispielsweise hierdurch:

 Vertragsmanagement
Zudem haben wir den vollständigen Prüfkatalog
zur Rechenschaftspflicht veröffentlicht:  Konzepte zur Sicherstellung der
Betroffenenrechte
www.lda.bayern.de/media/pruefungen/
201810_rechenschaftspflicht_fragebogen.pdf  Prozesse der Datenschutzorganisation

 Einführung von Datenschutzrichtlinien


Trotz dieser und der zahlreichen Veröffentli-
chungen der Aufsichtsbehörden insgesamt wa-  Interne oder externe Audits
ren viele Verantwortliche in puncto Rechen-
 Mitarbeiterschulungen
schaftsplicht überfordert. Einige Unternehmen
waren der Ansicht, es sei damit getan, wenn  Rechtsgutachten
man der Aufsichtsbehörde die Datenschutzbe-  Zertifizierungen nach DIN- und ISO-
stimmung der Website ausdruckt oder erklärt, Normen
„Werbung ist ein berechtigtes Interesse und
 Sonstige Aufzeichnungen wie z. B.
deshalb darf man das“.
Berichte, Vermerke oder Protokolle

Das dies keinesfalls ausreichend ist, um den Sinn und Zweck der Dokumentation ist es, dass
Nachweis zu erbringen, dass eine Datenverar- der Verantwortliche sich umfassend mit den
beitung rechtmäßig erfolgt, dürfte auf der Hand weitergehenden Anforderungen der DS-GVO
liegen. Dabei ist es keine große Herausforde- auseinandersetzt und prüft, ob eine Datenverar-
rung, die Rechenschaftspflicht zu erfüllen. Die beitung rechtmäßig erfolgt oder ggf. noch wei-
DS-GVO enthält eine Vielzahl von Nachweis- tere Maßnahmen erforderlich sind, um die
pflichten, die der Verantwortliche ohnehin erfül- rechtmäßige Verarbeitung sicherzustellen.
len muss.
Im Rahmen des aufsichtlichen Verfahrens haben
Hierzu gehören u. a. die meisten Verantwortlichen erheblich nachge-
bessert, sodass wir das Thema Rechenschafts-
 Verzeichnis über
pflicht abschließen konnten.
Verarbeitungstätigkeiten
(Art. 30 DS-GVO),
Hiervon unberührt bleibt die Frage, ob für den
 Datenschutz-Folgenabschätzung Einsatz von Tracking-Tools zwingend die Einwil-
(Art. 35 DS-GVO), ligung der Nutzer eingeholt werden muss.
 genehmigte Verhaltensregeln Hierzu führen wir das aufsichtliche Verfahren
(Art. 40 DS-GVO), fort bis hin zur Anordnung. Sollte der Verant-
wortliche mit unserer Entscheidung nicht ein-
 Zertifizierung (Art. 42 DS-GVO),
verstanden sein, ist mit einer Klage vor dem Ver-
 Meldungen über waltungsgericht zu rechnen.
Datenschutzverletzungen
(Art. 33 DS-GVO) sowie

 Verträge zur Auftragsverarbeitung


(Art. 28 Abs. 3 DS-GVO).

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 21


Kontrollen und Prüfungen

3.4 Windows 10 und Windows 10 Rechner mit der Enterprise-Version


komplett deaktivierbar sind. Ausschließlich Auf-
Telemetriedaten
rufe an (Microsoft-)Server, die aktuelle krypto-
graphische Zertifikate liefern, waren durch diese
Die Datenübertragung an Microsoft lässt
Konfiguration nicht abschaltbar, da diese für ei-
sich mit der Enterprise-Version deaktivie-
nen tagesaktuellen sicheren Betrieb eines
ren. Windows 10-Systems (z. B. bei Rückruf eines un-
gültig gewordenen SSL-Wurzelzertifikates) er-
Der Einsatz von Windows 10, insbesondere die forderlich sind. Auch diese Aufrufe können
Übermittlung von sogenannten Telemetrieda- durch gezielte Systemkonfigurationen unter-
ten von einem Windows 10 Rechner an Micro- bunden werden, wenngleich ein solches Vorge-
soft, beschäftigt die Datenschutzaufsichtsbe- hen aus Gründen der Sicherheit keineswegs
hörden schon seit längerer Zeit. Aus diesem empfehlenswert ist.
Grund hat die Datenschutzkonferenz eine Un-
terarbeitsgruppe des Arbeitskreises Technik Vom Ergebnis konnte bei diesem Treffen in un-
„Windows 10“ gegründet, die eine datenschutz- serem technischen Labor festgestellt werden,
rechtliche Bewertung der Datenflüsse an Micro- dass die datenschutzrechtlich kontrovers disku-
soft erstellen soll. tierten Telemetriedaten bei Einsatz der Enter-
www.datenschutzkonferenz-online.de/media/ prise Version (und damit auch bei der Educa-
dskb/20190403_positionierung_windows_10.pdf tion-Version) im überprüften Szenario deakti-
vierbar sind.
Diese Facharbeitsgruppe hat sich im Dezember
2019 zu einer Laboranalyse von Windows 10, Sollte sich dieses Ergebnis beim realen Einsatz
die federführend von uns und dem Bayerischen von Windows 10 bei Unternehmen bestätigen,
Landesbeauftragten für den Datenschutz durch- dann stellt zumindest der Umgang mit Tele-
geführt wurde, in Ansbach getroffen. Ebenfalls metriedaten bei Windows 10 Enterprise (auch in
waren Mitarbeiter von Microsoft eingeladen verwalteten Umgebungen) keinen datenschutz-
(von denen über 10 Personen, überwiegend aus rechtlichen Hinderungsgrund eines Einsatzes
dem technischen Bereich, von Microsoft aus den dieses Betriebssystems dar. Wie dagegen der
USA gekommen sind), um alle technischen Fra- Einsatz von Windows 10 Pro bei Verantwortli-
gen, die bei der Laboranalyse aufkommen chen zu bewerten ist, bei dem die Telemetrieda-
könnten, zu beantworten. ten zwar reduziert, aber bekanntlich nicht kom-
plett abgeschaltet werden können, könnte
Es wurde ein Testszenario mit einem Windows möglicherweise ein weiterer Arbeitsauftrag der
10 Rechner, der eine Enterprise-Version (Ver- Datenschutzkonferenz (DSK) werden.
sion 1909) installiert hatte, derart aufgebaut,
dass alle Datenflüsse von diesem Rechner noch
innerhalb des Labornetzes mittels einer Man-in-
the-Middle-Analyse aufgezeichnet wurden. Da-
bei wurde das System mit von Microsoft offiziell
zur Verfügung gestellten Informationen und
Tools so konfiguriert, dass das Telemetrielevel
„Security“ eingestellt war und möglichst alle Da-
tenflüsse deaktiviert werden konnten.

Im Rahmen dieser Labor-Analyse wurde festge-


stellt, dass die Telemetriedaten von einem

22 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


4
Der betriebliche Datenschutzbeauftragte
Der betriebliche Datenschutzbeauftragte

4 Der betriebliche Datenschutzbeauftragte


4.1 Änderung des BDSG schutzrechtliche, sondern ausschließlich eine ar-
beits- (für den internen DSB) oder zivilrechtlich
Gemäß einer Änderung des BDSG ist ein (für den externen DSB) zu entscheidende Frage.
Datenschutzbeauftragter jetzt erst ab 20 www.lda.bayern.de/media/pm/pm2019_15.pdf

Beschäftigten zu benennen.
4.2 Weiterhin Unsicherheit über
Am 26. November 2019 trat das Gesetz zur An- Benennungspflicht
passung des Datenschutzrechts in Kraft. Durch
die Gesetzesänderung wurde die bisherige An- Die umstrittene Fragestellung im Zusam-
zahl von zehn Beschäftigten gemäß § 38 Abs. 1 menhang mit der Benennungspflicht eines
BDSG auf 20 angehoben. Künftig müssen Be-
DSB nach BDSG, was „ständig“ mit „auto-
triebe erst einen betrieblichen Datenschutzbe-
matisierter Datenverarbeitung“ beschäf-
auftragten benennen, wenn 20 oder mehr Mit-
tigt“ bedeutet, wurde durch die Änderung
arbeiterinnen und Mitarbeiter ständig mit der
automatisierten Verarbeitung personenbezoge- des BDSG nicht gelöst.
ner Daten beschäftigt sind. Dadurch sollen laut
der Gesetzesbegründung vor allem kleinere und Beim Thema „Benennung eines betrieblichen
mittlere Unternehmen sowie ehrenamtlich tä- Datenschutzbeauftragten“ erreichten uns nach
tige Vereine „entlastet“ werden. wie vor Fragen, was unter den Begriffen „stän-
dig“, „automatisierte Datenverarbeitung“
Dies bedeutet zwar zunächst eine organisatori- und/oder „beschäftigt“ zu verstehen ist. Insbe-
sche Erleichterung. Dennoch sind selbstver- sondere über die Frage, was unter ständig zu
ständlich die Regelungen des Datenschutz- verstehen ist, gibt es unter den deutschen Auf-
rechts nach wie vor auch in kleineren Betrieben sichtsbehörden (im Gegensatz zu den allermeis-
einzuhalten. Ob ein Datenschutzbeauftragter ten sonstigen Auslegungsfragen) keine einheit-
benannt werden muss oder nicht, entbindet liche Auffassung. So wird zum Beispiel vertreten,
nicht von der Pflicht zur Einhaltung des Daten- dass ein Trainer ständig personenbezogene Da-
schutzrechts. Weiterhin gilt es zu beachten, dass ten verarbeitet, der regelmäßig einmal in der
auch unabhängig von der Anzahl der Beschäf- Woche für eine kurze Zeit die Liste seiner zu trai-
tigten ein Datenschutzbeauftragter verpflich- nierende Personen auf seinem Laptop aktuali-
tend zu benennen ist, wenn sich dies aus Art. 37 siert, Mannschaftsaufstellungen erstellt o. ä. Wir
DS-GVO oder § 38 BDSG ergibt. Natürlich kann vertreten die Auffassung, dass jemand nur dann
freiwillig jederzeit ein Datenschutzbeauftragter ständig mit der automatisierten Verarbeitung
benannt werden. personenbezogener Daten beschäftigt ist, wenn
dies den überwiegenden Anteil seiner Beschäf-
In der Praxis wird das dazu führen, dass einige tigung für den Verantwortlichen darstellt.
Verantwortliche einen Datenschutzbeauftrag-
ten nicht mehr benennen, d. h. auch nicht mehr Die entsprechende Kurzinformation ist auf un-
haben müssen. Die Frage, wie Verantwortliche serer Website unter FAQ („Muss ein Verein ei-
in diesen Fällen ihren Datenschutzbeauftragten, nen Datenschutzbeauftragten benennen?) ver-
wenn sie ihn nicht freiwillig weiter beschäftigen öffentlicht:
wollen, wieder „loswerden“, ist keine daten- www.lda.bayern.de/de/faq.html

24 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


5
Betroffenenrechte
Betroffenenrechte

5 Betroffenenrechte
5.1 Auskunft No-Go 2: Auskunft über ausschließlich
Stammdaten als personenbezogene Daten
Das zentrale Betroffenenrecht, das Recht Die bloße Beauskunftung von Stammdaten der
auf Auskunft, erweist sich in der Praxis betroffenen Person genügt nicht, um den An-
forderungen des Art. 15 DS-GVO gerecht zu
nach wie vor als schwer greifbar. Dies spie-
werden. Zu den personenbezogenen Daten ge-
gelt sich auch durch die hohe Anzahl von
hören neben den Stammdaten unter anderem
Datenschutzbeschwerden wieder, bei de-
auch die Folgenden:
nen Betroffene mit der Beauskunftung
 Daten, welche Rückschlüsse auf das
durch Verantwortliche unzufrieden waren
Konsumverhalten des Betroffenen
und sich an uns wenden.
geben (Einkäufe, Bestellungen, etc.)

Die Sicherstellung der Betroffenenrechte ist  Kontodaten


eine Kernanforderung der DS-GVO an Verant-  Körperliche Merkmale
wortliche – im Alltag beginnen diese häufig mit
dem Wunsch eines Betroffenen, sein Recht auf  Interne Vermerke und Bewertungen
Auskunft geltend zu machen. Da wir sehr viele  Gesprächs- und Telefonvermerke
Datenschutzbeschwerden erhalten, wenn die
Bei einer großen Menge von personenbezoge-
Betroffenen nicht mit der Sicherstellung Ihrer
nen Daten kann der Verantwortliche eine Präzi-
Rechte zufrieden sind, haben wir im folgenden
sierung der Anfrage anfordern.
sieben „No-Go‘s“ aufgeschrieben, die von Ver-
antwortlichen und auch Betroffenen unbedingt
No-Go 3: Einreichen der Beschwerde vor
zu vermeiden sind:
Verstreichen der Frist
Nicht zu vernachlässigen ist, dass nach Art. 12
No-Go 1: Ignorieren von Auskunftsbegehren
Abs. 3 DS-GVO der Verantwortliche dazu
bei Identitätszweifeln
verpflichtet ist, der betroffenen Person die sie
Bestehen Zweifel an der Identität des Betroffe-
betreffenden Informationen „unverzüglich, in
nen, können gemäß Art. 12 Abs. 6 DS-GVO In-
jedem Fall aber innerhalb eines Monats“ zur
formationen als Nachweis der Identität angefor-
Verfügung zu stellen. Ist aufgrund der
dert werden. Die pauschale Behauptung von
Komplexität und Anzahl der Anträge eine
Zweifeln an der Identität genügt nicht, um Aus-
Auskunft nicht innerhalb eines Monats möglich,
kunftsbegehren per se unbeantwortet zu lassen.
kann eine Fristverlängerung von zwei Monaten
unter Angabe der Gründe geltend gemacht
Beispiel Telefax: Auch Anfragen per Telefax
werden. „Unverzüglich“ bedeutet nicht, dass
ohne Absenderkennung müssen vom Verant-
eine Reaktion auf die Anfrage sofort zu erfolgen
wortlichen bearbeitet werden. Von einer Identi-
hat, sondern dass die Anfrage „ohne
fikationssicherheit kann grundsätzlich auch im
schuldhaftes Zögern“ zu bearbeiten ist. Die
Falle eines Telefaxes mit Absenderkennung
Aufsichtsbehörde kann nur tätig werden, wenn
nicht zweifelsfrei ausgegangen werden, da die
die Reaktion innerhalb der Monatsfrist ausbleibt
Möglichkeit der Fälschung besteht.
oder die Auskunft unvollständig oder nicht
rechtmäßig erfolgt ist.

26 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Betroffenenrechte

No-Go 4: Zweck des Rechts auf Auskunft Person die konkreten Umstände darzulegen,
außer Acht lassen welche den unverhältnismäßigen Aufwand be-
Durch das Recht auf Auskunft haben betroffene gründen.
Personen die Möglichkeit, die Rechtmäßigkeit www.lda.bayern.de/de/thema_auskunft.html
der Verarbeitung ihrer personenbezogenen Da-
ten zu überprüfen. Auf Basis dieses Wissens 5.2 Kein Auskunftsrecht
können weitere Betroffenenrechte, wie bei-
spielsweise das Recht auf Berichtigung gemäß
gegenüber gegnerischem
Art. 16 DS-GVO, ausgeübt werden. Mit dem Rechtsanwalt
Recht auf Auskunft sollen ausschließlich Daten-
schutzziele verfolgt werden. Dieses Recht soll Gegenüber dem Rechtsanwalt der Gegen-
nicht zur Sammlung von Beweisen für andere partei besteht regelmäßig kein Auskunfts-
bestehende Konflikte dienen. recht, soweit die begehrten Informationen
dessen Verschwiegenheitspflicht unterfal-
No-Go 5: Geltendmachung des Rechts auf len.
Auskunft gegenüber dem Anwalt der
Gegenseite Mitunter wenden sich betroffene Personen, die
Ein Auskunftsrecht aus Art. 15 DS-GVO gegen- in Rechtsstreitigkeiten verwickelt sind, an den
über Rechtsanwälten, die nicht für den/die Aus- Rechtsanwalt der Gegenpartei und verlangen
kunft-Begehrende(n) tätig wurden (sondern z. B. Auskunft nach Art. 15 DS-GVO hinsichtlich ihrer
für die gegnerische Partei) besteht gemäß § 29 bei diesem Anwalt gespeicherten personenbe-
Abs. 1 Satz 2 BDSG i. V. m. § 43a Abs. 2 BRAO zogenen Daten.
nicht, weil die erwünschten Informationen einer
gesetzlichen Verschwiegenheitspflicht unterfal- Aus unserer Sicht darf diesem Auskunftsverlan-
len. Das datenschutzrechtliche Auskunftsrecht gen in der Regel nicht nachgekommen werden.
liefert somit keine Möglichkeit, um vom Anwalt Denn das Auskunftsrecht ist gemäß Art. 23 Abs.
der Gegenseite die Offenlegung von Informati- 1 Buchst. g DS-GVO i.V.m. § 29 Abs. 1 Satz 2
onen zu erzwingen (siehe auch das anschlie- BDSG ausgeschlossen, soweit durch die Aus-
ßende Kapitel 5.2 dieses Berichts). kunft Informationen offenbart würden, die nach
einer Rechtsvorschrift geheim gehalten werden
No-Go 6: Beschwerde ohne beweiskräftige müssen. Hierzu zählen insbesondere solche In-
Nachweise formationen, die der berufsrechtlichen Ver-
Wir als Datenschutzaufsichtsbehörde wissen zu- schwiegenheitspflicht unterfallen, also grund-
nächst nicht, welche Daten der Verantwortliche sätzlich alles, was dem Rechtsanwalt in Aus-
konkret speichert und verarbeitet. Sind be- übung seines Berufs bekannt geworden ist
troffene Personen der Auffassung, die Auskunft (§ 43a Abs. 2 Berufsrechtsanwaltsordnung).
ist nicht richtig oder nicht vollständig, benöti-
gen wir beweiskräftige Nachweise, welche die Etwas anderes gilt nur dann, wenn es sich um
Aussage des Verantwortlichen widerlegen, um Tatsachen handelt, die offenkundig sind oder
ihm gegenüber darauf Bezug nehmen zu kön- die ihrer Bedeutung nach keiner Geheimhaltung
nen. bedürfen. Diese Voraussetzungen dürften je-
doch nur selten erfüllt sein.
No-Go 7: Berufung auf unverhältnismäßigen
Aufwand ohne Darlegung der Umstände Das Auskunftsrecht eines Mandanten gegen-
Bei Berufung auf einen unverhältnismäßigen über seinem eigenen Rechtsanwalt bleibt
Aufwand i.S.d. § 34 Abs. 1 Nr. 2 BDSG ist der Ver- selbstverständlich hiervon unberührt.
antwortliche dazu verpflichtet, der betroffenen

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 27


6
Datenschutz im Internet
Datenschutz im Internet

6 Datenschutz im Internet
6.1 Facebook Fanpages Auch wir sind der Auffassung, dass ein daten-
schutzkonformer Betrieb einer Fanpage nicht
Betreiber von Facebook Fanpages haben möglich ist, solange Facebook diesen Pflichten
nach derzeitigem Stand keine Möglich- nicht nachkommt. Daran ändert auch der Um-
stand nichts, dass Facebook im Oktober 2019
keit, diese datenschutzkonform zu betrei-
das „Page-Controller-Addendum“, die Verein-
ben und müssen deshalb damit rechnen,
barung gem. Art. 26 DS-GVO, erheblich geän-
Adressat von Anordnungen der Aufsichts-
dert und ergänzt hat.
behörden zu werden.
Die Pflicht, eine Vereinbarung gem. Art. 26 Abs.
Der EuGH hat sich bereits mit Urteil vom 5. Juni 1 DS-GVO abzuschließen, ist zunächst nur eine
2018 (C-210/16) zur gemeinsamen Verantwort- formale Anforderung. Sie entbindet jedoch
lichkeit von Facebook und Fanpage-Betreibern nicht davon, dass der Fanpage-Betreiber seine
geäußert. Nach der Entscheidung des EuGH weiteren datenschutzrechtlichen Anforderun-
kann der Fanpage-Betreiber nicht mehr allein gen, insbesondere seine Rechenschaftspflicht
auf die datenschutzrechtliche Verantwortung erfüllt.
von Facebook verweisen, sondern ist für die Ein-
haltung des Datenschutzes gegenüber den Fan- Da nach derzeitigem Stand leider nicht davon
page-Besuchern (mit-)verantwortlich. auszugehen ist, dass die für Facebook in Europa
federführend zuständige Aufsichtsbehörde die-
Das bedeutet konkret, dass sowohl Facebook ser Situation abhilft, müssen Fanpagebetreiber
als auch die Fanpage-Betreiber ihrer Rechen- als Mitverantwortliche damit rechnen, Adressat
schaftspflicht gem. Art. 5 Abs. 2 DS-GVO nach- von aufsichtsbehördlichen Anordnungen zu
kommen müssen. Jeder Fanpage-Betreiber werden.
muss sicherstellen, dass die seiner Verantwor-
www.datenschutzkonferenz-online.de/media/
tung unterliegenden Verarbeitungstätigkeiten dskb/20180905_dskb_facebook_fanpages.pdf
gem. Art. 6 Abs. 1 DS-GVO rechtmäßig sind.
Dies gilt auch in den Fällen, in denen der Fan-
6.2 Einsatz von Tracking-Tools
page-Betreiber die Verarbeitungstätigkeiten
nicht unmittelbar selbst ausführt, sondern durch
Die Datenschutzkonferenz hat zum Ein-
Facebook durchführen lässt.
satz von Tracking-Tools eine „Orientie-
Das Problem ist, dass der Fanpage-Betreiber rungshilfe Telemedien“ veröffentlicht.
ohne hinreichende Kenntnis über die Verarbei-
tungstätigkeiten nicht in der Lage ist, zu bewer- Die Konferenz der unabhängigen Datenschutz-
ten, ob die Verarbeitung rechtmäßig erfolgt. behörden des Bundes und der Länder veröffent-
Aus diesem Grund hat die Datenschutzkonfe- lichte am 26. April 2018 eine Positionsbestim-
renz sich schon mehrfach zu Facebook-Fan- mung zur Anwendbarkeit des Telemediengeset-
pages positioniert und gefordert, dass Face- zes (TMG) für nicht-öffentliche Stellen ab dem
book entsprechend nachbessert, sodass die 25. Mai 2018. Ziel dieser Positionsbestimmung
Fanpage-Betreiber ihrer Verantwortlichkeit ent- war es, den Website-Betreibern zu verdeutli-
sprechend den Anforderungen der DS-GVO ge- chen, welche datenschutzrechtlichen Anforde-
recht werden können. rungen beim Einsatz von Tracking-Tools auf
Websites gelten.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 29


Datenschutz im Internet

Zahlreiche Beratungsanfragen verdeutlichten, 6.3 Google Analytics


dass eine einheitliche Positionsbestimmung der (Aktualisierte Fassung vom 31.01.2020)
deutschen Aufsichtsbehörden nötig war. Im-
merhin herrschte viel Rechtsunsicherheit beim Beim Einsatz von Google Analytics gelten
Verhältnis zwischen DS-GVO und dem bereichs- neue Anforderungen. Die Datenschutz-
spezifischen nationalen Recht, wie dem Tele- aufsichtsbehörden verlangen seit Geltung
mediengesetz. der DS-GVO die Einwilligung des Nutzers.

Nachdem die Positionsbestimmung veröffent-


Wer eine Website betreibt, möchte in der Regel
licht wurde, beschlossen die Datenschutzbehör-
wissen, wie häufig diese besucht wird, ob es re-
den, eine Konsultation von betroffenen Wirt-
gelmäßige Nutzer gibt, aus welchen Ländern
schaftsverbänden und Unternehmen durchzu-
diese kommen und wie das Nutzungsverhalten
führen. Anhand der Stellungnahmen im Konsul-
auf der Seite ist. Dies wird allgemein als Reich-
tationsverfahren wurde die Positionsbestim-
weitenmessung bzw. Analytics bezeichnet. Eines
mung konkretisiert und ergänzt.
der am häufigsten verwendeten Tools zur
Reichweitenmessung ist Google Analytics.
Website-Betreiber können nunmehr die we-
sentlichen Anforderungen beim Einsatz von Tra-
Daher verwundert es nicht, dass uns zahlreiche
cking-Tools in der „Orientierungshilfe der Auf-
Beschwerden wegen des Einsatzes von Google
sichtsbehörden für Anbieter von Telemedien“
Analytics vorliegen. Viele Nutzer beschweren
nachlesen.
sich darüber, dass Google Analytics auf der
Website nicht deaktiviert werden kann, keine
Besonders wichtig für Website-Betreiber ist,
Einwilligung eingeholt wird und über den Ein-
dass
satz der Tools gar nicht oder nur unzureichend
 nicht jeder Einsatz von Cookies einwil- informiert wird.
ligungsbedürftig ist,
Die Datenschutzaufsichtsbehörden des Bundes
 es nicht auf den Einsatz von Cookies
und der Länder haben in der „Orientierungshilfe
ankommt, sondern sich die
für Anbieter von Telemedien“ zusammenge-
datenschutzrechtlichen Anforderungen
fasst, unter welchen Anforderungen der Einsatz
immer an der Verarbeitungstätigkeit
von Tools zur Reichweitenanalyse und zum Tra-
orientieren und
cking rechtmäßig ist.
 die Voraussetzungen des Art. 6 Abs. 1
Buchst. f) DS-GVO anhand einer Dennoch berufen sich weiterhin viele Website-
dreistufigen Prüfung zu ermitteln sind Betreiber bei der Einbindung von Google Ana-
und der alleinige Hinweis, lytics oder vergleichbaren Analysewerkzeugen
Direktwerbung sei ein berechtigtes auf alte, längst überholte und zurückgezogene
Interesse, nicht ausreichend ist. Veröffentlichungen der deutschen Aufsichtsbe-
Außerdem erhalten Website-Betreiber wichtige hörden.
Hinweise zur datenschutzkonformen Gestaltung
eines sog. „Cookie-Banners“. Die dort genann- Das Tool Google Analytics wurde jedoch in den
ten Anforderungen gelten für den Fall, dass eine vergangenen Jahren fortentwickelt und mit Gel-
Einwilligung des Nutzers eingeholt werden tung der DS-GVO änderte sich auch zwangsläu-
muss. fig die rechtliche Bewertung. Website-Betreiber
müssen daher sorgfältig prüfen, wie Google
www.datenschutzkonferenz-online.de/media/
oh/20190405_oh_tmg.pdf Analytics eingesetzt, also konfiguriert wurde,

30 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Datenschutz im Internet

und welche rechtlichen Anforderungen daraus


resultieren.

Beispielsweise ist die sog. „Datenfreigabe“ an


Google standardmäßig aktiviert. Unter Berück-
sichtigung der „Orientierungshilfe für Anbieter
von Telemedien“ bedeutet das Folgendes:
Räumt der Website-Betreiber Google die Mög-
lichkeit ein, die Daten der Webseitenbesucher
zu eigenen Zwecken zu verwenden, erfordert
dies eine Einwilligung der Nutzer.

Website-Betreiber, die Nutzer ohne Vorliegen


einer Einwilligung tracken, begehen einen Da-
tenschutzverstoß, der mit einer empfindlichen
Geldbuße geahndet werden kann.

Neben der Frage, ob Google Analytics rechtmä-


ßig eingesetzt wird oder nicht, sollte der Web-
site-Betreiber auch prüfen, ob er hinreichend
über Google Analytics in den Datenschutzbe-
stimmungen informiert.

Im Übrigen gilt dies nicht nur für Google Analy-


tics, sondern auch für Tracking-Dienste anderer
Anbieter.
www.lda.bayern.de/media/pm/pm2019_14.pdf

Hinweis:
Das Kapitel 6.3 des Tätigkeitsberichts in der Fassung
vom 28.01.2020 stellte einen veralteten Redaktions-
stand dar. Aus diesem Grund wurde das Kapitel mit
der Fassung vom 31.01.2020 aktualisiert. Dieser Stand
entspricht auch unserer Hausmeinung.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 31


7
Steuerberater und Rechtsanwälte
Steuerberater und Rechtsanwälte

7 Steuerberater und Rechtsanwälte


7.1 Anfertigung von
Ausweiskopien durch
Steuerberater

Steuerberater haben unabhängig von der


tatsächlichen Durchführung einer Risiko-
analyse das Recht, Kopien von Personal-
ausweisen zur Identitätsprüfung anzufer-
tigen.

Steuerberater sind nach dem Geldwäschegesetz


in Ausübung ihres Berufs verpflichtet, die Iden-
tität ihrer Vertragspartner zu identifizieren (§ 2
Abs. 1 Nr. 12 i.V.m. § 10 Abs. 1 Nr. 1 GWG). Ge-
schieht dies mittels Vorlage eines Personalaus-
weises, so hat der Steuerberater das Recht, die-
sen zu kopieren (§ 12 Abs. 1 Satz 1 Nr. 1 i.V.m.
§ 8 Abs. 2 Satz 2 GWG). Dieses Recht besteht
unabhängig von der Frage, ob der Steuerbera-
ter im Vorfeld eine Risikoanalyse durchgeführt
hat. Zwar ist der Steuerberater auch zur Durch-
führung einer Risikoanalyse gesetzlich ver-
pflichtet (§ 4 Abs. 1, Abs. 2, § 5 GWG) und han-
delt bei Nichtbeachtung dieser Pflicht ord-
nungswidrig (§ 56 Abs. 1 Nr. 2 GWG). Die Iden-
tifizierungspflicht bleibt hiervon jedoch unbe-
rührt.

Denn selbst wenn der Steuerberater bei Durch-


führung der Risikoanalyse zu dem Ergebnis
kommt, dass nur ein geringes Risiko besteht,
müssen vereinfachte Sorgfaltspflichten erfüllt
werden (§ 14 Abs. 1 Satz 1 GWG). Die Identitäts-
prüfung kann – nicht muss – in diesem Fall auch
durch Vorlage anderer Dokumente erfolgen
(§ 14 Abs. 2 Satz 1 Nr. 2 GWG).

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 33


.

8
Versicherungswirtschaft und Banken
Versicherungswirtschaft und Banken

8 Versicherungswirtschaft und Banken


8.1 Auskunftsrecht gegenüber 8.2 Kein Auskunftsrecht
Versicherungsunternehmen hinsichtlich
Geschäftsgeheimnissen
Wir halten die in der Versicherungsbran-
che übliche, gestufte Beantwortung von Eine Verpflichtung zur Offenlegung der
Auskunftsersuchen auch vor dem Hinter- genauen Berechnungsgrundlage hinsicht-
grund neuerer Rechtsprechung für zuläs- lich der Erhebung eines Risikozuschlags
sig. besteht nicht.

Mit Urteil vom 26. Juli 2019 hat das OLG Köln In einer Beschwerde wandte sich ein Versiche-
(Az.: 20 U 75/18) entschieden, dass sich das Aus- rungsnehmer an uns, da ihm von seinem Versi-
kunftsrecht eines Versicherungsnehmers ge- cherungsunternehmen Auskunft über die Be-
genüber seinem Versicherungsunternehmen rechnungsgrundlage hinsichtlich eines veran-
nicht nur auf die sogenannten „Stammdaten“ lassten Risikozuschlags in der Krankheitsvoll-
beschränkt. Vielmehr müsse das Versicherungs- kostenversicherung verweigert worden war.
unternehmen auch Auskunft über Gesprächs-
vermerke und Telefonnotizen erteilen, soweit Gem. Art. 15 Abs. 1 i. V. m. Abs. 3 DS-GVO hat
darin Aussagen des Versicherungsnehmers die betroffene Person das Recht, von dem Ver-
oder Aussagen über den Versicherungsnehmer antwortlichen eine Auskunft über ihre perso-
enthalten seien. nenbezogenen Daten, die verarbeitet werden,
www.justiz.nrw.de/nrwe/olgs/koeln/ zu verlangen. Die Grenzen dieses Auskunfts-
j2019/20_U_75_18_Urteil_20190726.html rechts finden sich in Art. 15 Abs. 4, Art. 23 Abs.
1 DS-GVO i. V. m. § 29 Abs. 1 BDSG. Hiernach
Gleichwohl gehen wir davon aus, dass sich die- darf das Recht auf Auskunft die Rechte und Frei-
ses Urteil mit der bisherigen Praxis der Versiche- heiten anderer Personen nicht beeinträchtigen.
rungsunternehmen bei der Beantwortung von Das Recht des Versicherers auf Wahrung seines
Auskunftsersuchen vereinbaren lässt. Soweit ein Geschäftsgeheimnisses ist hierunter zu fassen.
Versicherungsnehmer nur pauschal Auskunft Die kalkulatorischen Grundlagen des Risikozu-
über seine gespeicherten personenbezogenen schlags sind als Geschäftsgeheimnis zu bewer-
Daten verlangt, darf sich das Versicherungsun- ten (vgl. § 2 GeschGehG) und unterliegen somit
ternehmen in einem ersten Schritt mit der nicht der Auskunftspflicht.
Beauskunftung der Stammdaten begnügen.
Eine weitergehende Beauskunftung hat erst
dann zu erfolgen, wenn das Auskunftsersuchen
vom Versicherungsnehmer entsprechend präzi-
siert wird. Hierfür spricht auch Erwägungsgrund
63 Satz 7 zur DS-GVO.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 35


9
Werbung und Adresshandel
Werbung und Adresshandel

9 Werbung und Adresshandel


9.1 Werbeprofiling bei Art. 9 DS-GVO generell, dass diese auf Basis ei-
ner Interessensabwägung im Sinne des Art. 6
Kreditinstituten
Abs. 1 Buchst. f DS-GVO verarbeitet werden.

Kreditinstitute haben vermehrt die Daten


Näheres zu diesem Thema kann auf der Website
ihrer Kunden zu Werbezwecken ausge-
der Datenschutzkonferenz dem Kurzpapier Nr. 3
wertet und sich zur Rechtfertigung dazu sowie Ziffer 1.3.1 der Orientierungshilfe der Auf-
auf Art. 6 Abs. 1 f DS-GVO berufen. sichtsbehörden zur Direktwerbung entnommen
werden.
Im Jahr 2019 wurden wir mehrfach auf Fälle auf- www.datenschutzkonferenz-online.de/
merksam, in denen Kreditinstitute die Daten ih- orientierungshilfen.html
rer Kunden neben dem Zweck der Vertrags-
durchführung auch zum Zweck der Bildung ei-
9.2 Werbung per E-Mail oder SMS
nes umfangreichen Werbeprofils verarbeiten. In
diese werbliche Verarbeitung wurden unter an-
Werbung per E-Mail oder SMS kann bei
derem Daten aus Beratungsgesprächen, Nut-
Bestandskunden auf der Basis des Art. 6
zungsdaten aus Online-Banking und Banking-
Abs. 1 Buchst f DS-GVO erfolgen, ansons-
Apps, Daten aus laufenden Verträgen und die
Auswertung von Zahlungsverkehrsdaten einbe- ten nur mit Einwilligung der betroffenen
zogen. Gestützt wurde diese Verarbeitung je- Personen.
weils auf eine Interessensabwägung nach Art. 6
Abs. 1 Buchst. f DS-GVO. Seit Geltung der Datenschutz-Grundverord-
nung erreichen uns viele Beschwerden zum
Allerdings ist in aller Regel nicht davon auszu- Thema E-Mail-Werbung. Ausgangslage ist ein
gehen, dass bei einer derart umfassenden Pro- Vertrag, bei dem die betroffene Person, z. B. in
filbildung die werblichen Interessen des Kredit- einem Online-Portal, ihre E-Mail-Adresse an-
instituts die berechtigten Interessen der Kunden gibt, um Ware zu bestellen und die nachfol-
an einem Ausschluss der Verarbeitung überwie- gende Korrespondenz mit dem Unternehmen
gen. Daher sind wir der Ansicht, dass eine solche über diesen Kommunikationsweg abwickeln zu
Verarbeitung nur in Verbindung mit einer Ein- können. In der Folgezeit verschickt das Unter-
willigung des Kunden rechtskonform zu ver- nehmen Werbemails an diese E-Mail-Adresse,
wirklichen ist. obwohl der Kunde im Rahmen des Bestellvor-
gangs hierzu keine (aktive) Einwilligung erteilt
Ganz besonders gilt dies hinsichtlich der teil- hat.
weise praktizierten Auswertung von Zahlungs-
verkehrsdaten, da z. B. die Angaben zum Ver- Die Verwendung von E-Mail-Adressen oder Te-
wendungszweck aus Überweisungen und Last- lefonnummern für die Zusendung von E-Mail-
schriften oftmals auch besondere Kategorien oder SMS-Werbung ist – falls bisher keine Ge-
von personenbezogenen Daten enthalten kön- schäftsbeziehung mit dem Empfänger bestand
nen (z. B. bei Zahlung von Mitgliedsbeiträgen an ("Neukundenwerbung") – nur erlaubt, wenn
politische Parteien und Gewerkschaften oder hierfür eine ausdrückliche Einwilligung gegeben
Begleichung von Arztrechnungen). Bei dieser ist. Dies gilt sowohl für Verbraucher (B2C – bu-
Art von besonders geschützten Daten verbietet siness to customer) als auch für Unternehmen
(B2B – business-to-business).

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 37


Werbung und Adresshandel

Ausnahmsweise ist bei bestehenden Kundenbe-


ziehungen („Bestandskunden") E-Mail- oder
SMS-Werbung zulässig, wenn die elektroni-
schen Kontaktdaten im Zusammenhang mit der
Vertragsabwicklung (Verkauf einer Ware oder
Dienstleistung) erlangt worden sind, (nur) für ei-
gene ähnliche Waren oder Dienstleistungen ge-
worben wird, dem bisher nicht widersprochen
wurde und bei der Erhebung der elektronischen
Kontaktdaten – sowie aus Gründen der leichte-
ren Nachweisbarkeit bei jeder Werbe-Mail bzw.
Werbe-SMS – klar und deutlich auf das Wider-
spruchsrecht hingewiesen wurde bzw. wird.

Weitere Voraussetzung ist auch hier die Erfül-


lung der gesetzlichen Informationspflichten,
d. h. bei Erhebung der E-Mail-Adresse muss der
Verantwortliche die betroffene Person u. a. über
die künftige Verwendung der E-Mail-Adresse zu
Werbezwecken in Kenntnis setzen. Entspre-
chende Informationen in den Datenschutzhin-
weisen des Unternehmens genügen grundsätz-
lich den gesetzlichen Vorgaben.

Vermehrt treffen wir in letzter Zeit auf die Situ-


ation, dass das werbende Unternehmen bereits
im unmittelbaren Anschluss an das Eingabefeld
zur E-Mail-Adresse seiner Informationspflicht
nachkommt und auf die Verwendung zu Wer-
bezwecken sowie auf das entsprechende Wider-
spruchsrecht bereits an dieser Stelle hinweist.
Wir sehen darin keine (vorausgefüllte) Einwilli-
gung der betroffenen Person, sondern lediglich
eine Information über eine im Zusammenhang
mit dem Vertragsabschluss geplante Verwen-
dung personenbezogener Daten für den Ver-
sand von Werbung, sofern die weiteren rechtli-
chen Voraussetzungen der o. g. Ausnahmevor-
schrift eingehalten werden.

Auch sehen wir den Anwendungsbereich für das


sogenannte Koppelungsverbot nach Art. 7 Abs.
4 DS-GVO nicht eröffnet, weil der Interessent
die Ware auch dann erwerben kann, wenn er der
vorangekündigten E-Mail-Werbung wider-
spricht.

38 Tätigkeitsbericht 2019- Bayerisches Landesamt für Datenschutzaufsicht


10
Handel und Dienstleistung
Handel und Dienstleistung

10 Handel und Dienstleistung


10.1 Übermittlung von 10.2 Kontaktaufnahme durch
E-Mail-Adressen durch Energieversorger ohne
Online-Versandhändler an Vertragsverhältnis
Postdienstleister
Die Verarbeitung personenbezogene Da-
Eine Weitergabe von E-Mail-Adressen an ten zur Kontaktaufnahme durch den Ener-
Postdienstleister ist im Rahmen des On- gieversorger kann auch ohne ein beste-
lineversandhandels nur mit Einwilligung hendes Vertragsverhältnis zulässig sein.
des Kunden zulässig.
Auch im Berichtszeitraum gingen erneut in er-
Es scheint immer noch einige Händler im Be- heblicher Anzahl Beschwerden gegen Energie-
reich des Onlineversandhandels zu geben, die versorger bei uns ein.
die E-Mail-Adressen ihrer Kunden ohne deren
Einwilligung an den Postdienstleister weiterge- In einigen Fällen schilderte uns der Beschwerde-
ben, den sie mit der Auslieferung der bestellten führer, dass der Energieversorger ihn weiterhin
Ware an den Kunden beauftragen. Dadurch kontaktiere, obwohl er das Eigentum an der Im-
werde es dem Paketdienst ermöglicht, den ein- mobilie bereits aufgegeben habe und demnach
zelnen Kunden stets über den aktuellen Stand nicht länger Vertragspartner sei. Daher sei die
des Versandes zu informieren, wird hier händ- weitere Verarbeitung seiner Daten rechtswidrig.
lerseitig typischerweise argumentiert. Der
Händler erachtet dies regelmäßig als „Service- Diese Annahme ist in der dargestellten Konstel-
leistung“ – Kundenbeschwerden werden des- lation meistens unrichtig, weil für den Energie-
halb oftmals nicht ernst genommen. versorger eine gesetzliche Verpflichtung nach
§ 36 Energiewirtschaftsgesetz und der Grund-
Die Datenschutzkonferenz veröffentlichte be- versorgungsordnung für Strom bzw. Gas be-
reits am 23. März 2018 einen Beschluss, der steht, den Kunden, der den Strom- oder Erdgas-
hierzu eine Positionierung enthält: zähler nutzt, zu ermitteln. Datenschutzrechtliche
Ermächtigungsgrundlage für die Verarbeitung
www.datenschutzkonferenz-online.de/media/
dskb/20180323_dskb_mail_adressen.pdf
ist hier Art. 6 Abs. 1 Buchst. c DS-GVO. Die Kon-
taktierung des bei dem Unternehmen zuletzt
Aus datenschutzrechtlicher Sicht ist die Über- bekannten Nutzers stellt daher keinen Daten-
mittlung der E-Mail-Adresse an den Postdienst- schutzverstoß dar.
leister nur bei Vorliegen einer Einwilligung des
Kunden zulässig. Unproblematisch ist es natür-
lich, wenn der Onlinehändler bereits selbst die
Zustellinformationen bzw. einen Link in der ei-
genen Bestellbestätigung zur Verfügung stellt.
Eine Übermittlung an den Paketdienst wird da-
mit hinfällig.

40 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Handel und Dienstleistung

10.3 Verarbeitung da es für diese Person keine Rechtsgrundlage


für die Durchführung einer Bonitätsabfrage gab.
personenbezogener Daten
Wir haben dem Unternehmen gegenüber eine
aufgrund von Verwarnung nach Art. 58 Abs. 2 Buchst. b DS-
Namensverwechslungen GVO ausgesprochen und dieses ausdrücklich
darauf hingewiesen, dass künftig erst dann Ab-
Personenbezogene Daten müssen vor ei- fragen durchzuführen sind, wenn die Identität
ner weiteren Verarbeitung insbesondere hinreichend geprüft und verifiziert wurde.
hinsichtlich ihrer Richtigkeit überprüft
werden. Dabei muss die betroffene Person
eindeutig identifiziert werden können.

Hintergrund zahlreicher Beschwerden waren


nach wie vor Namens- bzw. Personenverwechs-
lungen. Eine von uns bearbeitete Beschwerde
hatte zum Inhalt, dass ein Handelsunternehmen
zwei Anfragen zu einer Person bei einer Aus-
kunftei gestellt hat, obwohl der Beschwerdefüh-
rer nie eine Geschäftsbeziehung zu dem Unter-
nehmen hatte.

In seiner Stellungnahme teilte uns der Verant-


wortliche mit, dass ein Kunde dort angefragt
habe, ein Kundenkonto für seine Firma eröffnen
zu wollen. Da die Firma des Kunden ein Konto
noch nicht eröffnet hatte, sei die übliche Ab-
frage bei der Auskunftei nicht möglich gewesen.
Man habe daher versucht, den Kunden als Pri-
vatperson bei der Auskunftei anzufragen. Die
Abfrage habe einen Treffer zu einer namens-
gleichen Person ergeben, die jedoch in einem
anderen Ort wohnte. Man glaubte, sich vertippt
zu haben und wiederholte den Vorgang am Fol-
getag – wiederum mit dem gleichen Ergebnis.
Eine Mitarbeiterin teilte daraufhin mit, dass sie
den Kunden persönlich kenne und sie auch den
Wohnort wisse. Es folgte eine weitere Abfrage
gemäß den Angaben der Mitarbeiterin.

Im Ergebnis wurden hier drei Anfragen bei Aus-


kunfteien gestellt, ohne die betroffene Person
vorher eindeutig identifiziert bzw. sie zur Verifi-
zierung ihrer Daten aufgefordert zu haben. Im
Hinblick auf die Verarbeitung der Daten des Be-
schwerdeführers wurde gegen den Grundsatz
der Rechtmäßigkeit nach Art. 5 Abs. 1 Buchst. a
DS-GVO i. V. m. Art. 6 Abs. 1 DS-GVO verstoßen,

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 41


11
Internationaler Datenverkehr
Internationaler Datenverkehr

11 Internationaler Datenverkehr
11.1 Privacy Shield der Überprüfung nehmen neben der Europäi-
schen Kommission und den Vertretern der US-
Der seit dem 1. August 2016 geltende EU- Verwaltung auch Vertreter des Europäischen
U.S. Privacy Shield ist in Kraft und kann als Datenschutzausschusses statt, mithin der Da-
tenschutzaufsichtsbehörden der EU-Mitglied-
Grundlage für die Übermittlung perso-
staaten. Die dritte derartige Überprüfung fand
nenbezogener Daten an zertifizierte US-
im Herbst 2019 statt. Im Anschluss an die dies-
Unternehmen verwendet werden.
jährige Überprüfung zog die Europäische Kom-
mission eine insgesamt positive Bilanz zum
Seit 1. August 2016 kann der sog. EU-U.S. Pri-
Funktionieren des Privacy Shield, sah aber auch
vacy Shield als Grundlage für die Übermittlung
noch Verbesserungsbedarf. Insbesondere hält
personenbezogener Daten an solche US-Unter-
die Kommission es für erforderlich, dass die Fe-
nehmen verwendet werden, die eine Privacy-
deral Trade Commission ihre Kontrolltätigkeit
Shield-Zertifizierung besitzen. Mit der Zertifizie-
gegenüber den zertifizierten Unternehmen in-
rung verpflichtet sich das jeweilige Unterneh-
tensiviert.
men zur Einhaltung grundlegender Daten-
schutzprinzipien; flankiert wird die Zertifizierung
Die Datenschutzaufsichtsbehörden ihrerseits
durch die Aufsicht des US-Handelsministeriums
kamen nach der diesjährigen Überprüfung zu
und der Federal Trade Commission, einer US-
einem differenzierteren Bild. Der Bericht des Eu-
Bundesbehörde. Die Zertifizierung hat eine Gül-
ropäischen Datenschutzausschusses (EDSA) ist
tigkeitsdauer von einem Jahr und kann beim
abrufbar unter:
US-Handelsministerium erneuert werden. Durch
edpb.europa.eu/our-work-tools/our-documents/
den sog. Privacy-Shield-Beschluss aus dem Jahr
eu-us-privacy-shield-third-annual-joint-review-
2016 hat die Europäische Kommission aner- report-12112019_en
kannt, dass das Privacy-Shield-System für die
daran teilnehmenden – derzeit rund 5.000 – US- Einerseits erkannten sie an, dass es Verbesse-
Unternehmen ein angemessenes Datenschutz- rungen bei der Kontrolle und Durchsetzung des
niveau liefert. Es handelt sich bei diesem Be- Privacy Shield durch die zuständigen US-Behör-
schluss um die Feststellung eines angemesse- den gegeben hat. Dennoch äußerte der EDSA
nen Datenschutzniveaus im Sinne von Art. 45 noch signifikante Zweifel zu einer Reihe wichti-
DS-GVO. Damit dürfen personenbezogene Da- ger Fragen. So ist nach wie vor aus Sicht des
ten, die der DS-GVO unterfallen, an US-Unter- EDSA unklar, ob die so genannte Ombudsper-
nehmen, die eine gültige Zertifizierung besitzen, son, die für die Bearbeitung von Beschwerden
übermittelt werden. Neben den Standarddaten- betroffener Personen im Hinblick auf etwaige
schutzklauseln (ehemals „Standardvertragsklau- Datenzugriffe durch US-Sicherheitsbehörden
seln“) stellt der Privacy Shield das wohl wich- zuständig ist, mit einem ausreichenden Maß an
tigste Instrument zur Legitimierung der Über- Befugnissen ausgestattet ist sowie über ein Maß
mittlung personenbezogener Daten in die USA an Unabhängigkeit in der Ausübung dieser Be-
dar. fugnisse verfügt, das den Anforderungen der
EU-Grundrechtecharta genügt. Auch im Hin-
Wie in dem Angemessenheitsbeschluss der Eu- blick auf die geltenden US-Regelungen zu den
ropäischen Kommission vorgesehen, findet je- Datenzugriffsbefugnissen der US-Sicherheits-
des Jahr eine sog. Gemeinsame Überprüfung behörden (Artikel 702 FISA sowie der sog. Exe-
(„Joint Review“) der praktischen Erfahrungen cutive Order 12333) sah der EDSA noch offene
mit der Anwendung des Privacy Shield statt. An

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 43


Internationaler Datenverkehr

Fragen, insbesondere weil weite Teile der exis- die Gültigkeit des Privacy Shield auf dem Prüf-
tierenden US-Dokumente zu diesen Fragestel- stand steht. Sollte der EuGH die Standardver-
lungen von der US-Seite im Rahmen der bishe- tragsklauseln und den Privacy Shield für ungül-
rigen Gemeinsamen Überprüfungen des Privacy tig erklären, könnten Unternehmen und andere
Shield mit Verweis auf deren Einstufung als si- Akteure, die personenbezogene Daten in die
cherheitsrelevant und daher geheim den Vertre- USA übermitteln, abgesehen von Einzelverträ-
tern des EDSA nicht offengelegt wurden. gen, die von der Aufsichtsbehörde zu genehmi-
gen wäre, wohl auf keine wirksame Rechts-
Hinzuweisen ist auch darauf, dass der Privacy grundlage mehr berufen.
Shield, jedenfalls mittelbar, auch Gegenstand ei-
nes derzeit vom Europäischen Gerichtshof ver-
handelten Vorlageverfahrens („Schrems II“) ist,
bei dem für die ersten Monate 2020 mit einem
Urteil zu rechnen ist. Auch wenn das konkrete
Verfahren nicht unmittelbar die Gültigkeit der
Privacy-Shield-Entscheidung zum Gegenstand
hat, ist es nicht ausgeschlossen, dass der EuGH
in seinem Urteil auch relevante Aussagen zum
Privacy Shield treffen könnte. Selbst eine Ungül-
tigerklärung des Privacy Shield durch den EuGH
im Rahmen des anstehenden Urteils kann nach
Ansicht einiger Beobachter zumindest nicht völ-
lig ausgeschlossen werden. Im Rahmen des vor-
genannten vom EuGH verhandelten Verfahrens
(„Schrems II“) ist der EuGH aufgrund einer Vor-
lage des obersten Gerichts aus Irland (Irish High
Court) aufgerufen, über die Gültigkeit der EU-
Standarddatenschutzklauseln für Übermittlun-
gen an Auftragsverarbeiter (Kommissionsbe-
schluss 2010/87/EU vom 15.02.2010) zu ent-
scheiden.

Für die Rechtsanwender – also Unternehmen


und andere Stellen, die personenbezogene Da-
ten in die USA übermitteln – bleibt festzuhalten,
dass der Privacy Shield als Instrument nach wie
vor Gültigkeit besitzt, so dass er als Grundlage
für Datenübermittlungen in die USA verwendet
werden kann. Die Datenschutzbehörden haben
nicht die Möglichkeit, von sich aus den Privacy-
Shield-Beschluss für unwirksam zu erklären.

Unternehmen – und auch die Datenschutzbe-


hörden – müssen sich bewusst sein, dass im
Rahmen des Schrems-II-Verfahrens vor dem Eu-
ropäischen Gerichtshof möglicherweise auch

44 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


12
Beschäftigtendatenschutz
Beschäftigtendatenschutz

12 Beschäftigtendatenschutz
12.1 Mitteilung von Überstunden 12.2 Fragerecht des Arbeitgebers
an Vorgesetzte bezüglich Gesundheit

Es ist datenschutzrechtlich nicht zu bean- Der Arbeitgeber darf nach gesundheitli-


standen, wenn die Personalbuchhaltung chen Einschränkungen des Beschäftigten
den jeweiligen Vorgesetzten und der Ge- fragen, soweit diese für die Verrichtung
schäftsführung Mitteilungen über Über- der geschuldeten Arbeitsleistung relevant
stunden der betreffenden Mitarbeiter zu- sind.
kommen lässt.
Wenn in einem Unternehmen Mitarbeiter
Wir wurden angefragt, ob es zulässig sei, dass schwere körperliche Tätigkeiten (heben oder
unregelmäßige oder regelmäßige Mitteilungen tragen) verrichten, muss es dem Arbeitgeber
der Personalbuchhaltung über die Überstunden aufgrund seiner Fürsorgepflicht möglich sein,
der Mitarbeiter an den jeweiligen Vorgesetzten Kenntnis von gesundheitlichen Einschränkun-
und die Geschäftsführung erfolgen. gen dieser Mitarbeiter zu nehmen.

Der Arbeitgeber darf gemäß § 26 Abs. 1 Satz 1 Die Erhebung dieser Informationen durch den
BDSG mit Mitarbeiterdaten umgehen, wenn Arbeitgeber ist zulässig. Einschlägige daten-
dies für die Durchführung des Beschäftigungs- schutzrechtliche Rechtsgrundlage ist § 26 Abs. 3
verhältnisses erforderlich ist. Diese Vorausset- BDSG. Danach darf der Arbeitgeber besondere
zungen dürften hier erfüllt sein. Wenn Vorge- Kategorien personenbezogener Daten seiner
setzte und ggf. auch die Geschäftsführung von Mitarbeiter im Sinne des Art. 9 Abs. 1 DS-GVO
der Personalbuchhaltung die jeweiligen Über- für Zwecke des Beschäftigungsverhältnisses u. a.
stunden der ihnen unterstehenden Mitarbeiter verarbeiten, wenn dies zur Erfüllung von Pflich-
mitgeteilt bekommen, halten wir dies für ver- ten aus dem Arbeitsrecht erforderlich ist und
tretbar. Anhand der Überstunden können die kein Grund zu der Annahme besteht, dass das
Vorgesetzten erkennen, wie stark die einzelnen schutzwürdige Interesse der betroffenen Person
Mitarbeiter belastet sind und ggf. eine Umver- am Ausschluss der Verarbeitung überwiegt. Bei
teilung der Aufgaben vornehmen. Bei einer gro- den Einschränkungen beim Heben und Tragen
ßen Zahl von Überstunden könnten sie auch auf handelt es sich um Gesundheitsdaten, die in Art.
deren Abbau hinwirken. Gegebenenfalls könnte 9 Abs. 1 DS-GVO aufgeführt sind. Aufgrund der
auch die Einstellung neuer Mitarbeiter für be- Fürsorgepflicht gegenüber seinen Mitarbeitern
stimmte, besonders belastete Bereiche in Be- hat der Arbeitgeber dafür zu sorgen, dass bei
tracht kommen. der Verteilung von Aufgaben auf die körperli-
chen Einschränkungen bestimmter Mitarbeiter
Rücksicht genommen wird. Dazu muss er von
diesen Einschränkungen Kenntnis nehmen dür-
fen. Da dies auch im Interesse der betreffenden
Mitarbeiter geschieht, stehen keine überwie-
genden schutzwürdigen Interessen letzterer der
Datenverarbeitung entgegen.

46 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Beschäftigtendatenschutz

12.3 Zugriff auf das E-Mail- Wir haben diesen Fall zum Anlass genommen,
zu empfehlen, dass Postfächer ausgeschiedener
Postfach ausgeschiedener
Mitarbeiter möglichst zeitnah gelöscht werden,
Mitarbeiter sodass Absender eine Fehlermeldung erhalten
und sich um den neuen und richtigen E-Mail
Wenn in einem Unternehmen die private Kontakt kümmern müssen oder können.
Internet- und E-Mail-Nutzung untersagt
ist, ist es für den Arbeitgeber möglich, auf 12.4 Backgroundscreening über
das E-Mail Postfach eines ausgeschiede-
Bewerber
nen Mitarbeiters zuzugreifen.
Potentielle Arbeitgeber dürfen sich nicht
Ein Unternehmen, in dem die private Nutzung
bei Facebook über Bewerber informieren.
von Internet und E-Mail untersagt ist, fragte
nach, ob es auf das E-Mail-Postfach eines aus-
Wir wurden gefragt, ob sich ein Arbeitgeber im
geschiedenen Mitarbeiters zugreifen darf, da
Rahmen eines Bewerbungsverfahrens Informa-
sich eingegangene E-Mails, die zu laufenden
tionen zu Bewerbern aus Facebook beschaffen
Geschäftsvorgängen gehören, in diesem E-Mail
darf.
Postfach befinden würden.

Maßgeblich ist § 26 Abs. 1 Satz 1 BDSG. Danach


Sofern, wie im konkret vorliegenden Fall, die pri-
darf der Arbeitgeber Daten von Beschäftigten -
vate Nutzung von Internet und E-Mail untersagt
dazu zählen auch Bewerber, § 26 Abs. 8 BDSG -
ist, richtet sich die Zulässigkeit von Zugriffen des
verarbeiten, wenn dies für die Entscheidung
Arbeitgebers auf das E-Mail-Postfach des aus-
über die Begründung eines Beschäftigungsver-
geschiedenen Mitarbeiters nach § 26 Abs. 1 Satz
hältnisses erforderlich ist. Diese Erforderlichkeit
1 BDSDG. Danach ist der Umgang des Arbeitge-
wird bei solchen Quellen im Internet bejaht, die
bers mit Mitarbeiterdaten für Zwecke des Be-
einen beruflichen Bezug aufweisen, also z. B.
schäftigungsverhältnisses zulässig, wenn er für
XING oder LinkedIn, weil Mitglieder dieser Netz-
die Durchführung oder Beendigung des Be-
werke dort bewusst Informationen über sich im
schäftigungsverhältnisses erforderlich ist. Die
beruflichen Kontext einstellen. Diese Informati-
dienstlichen E-Mails stehen dem Arbeitgeber
onen sind deshalb auch für potentielle Arbeit-
zu, so dass er darüber nach Ausscheiden des be-
geber bestimmt, die für ihre Entscheidung hin-
treffenden Mitarbeiters verfügen kann. Wenn
sichtlich der Eignung eine Rolle spielen können.
zudem E-Mails aus dem Postfach für die weitere
Bearbeitung von Geschäftsvorgängen benötigt
Bei Facebook betreffen die Inhalte mehr den
werden, muss dem Arbeitgeber der Zugriff
persönlichen Bereich, weshalb eine Erforderlich-
möglich sein. Sollte er auf eine E-Mail mit pri-
keit für die Entscheidung über die Begründung
vatem Inhalt stoßen, dürfte er diese allerdings
des Beschäftigungsverhältnisses zu verneinen
nicht zur Kenntnis nehmen und müsste sie ent-
ist, auch wenn der Facebook-Account öffentlich
weder an den ausgeschiedenen Mitarbeiter
zugänglich ist.
übermitteln oder löschen. Eine Einwilligung des
ausgeschiedenen Mitarbeiters ist in einem sol-
chen Fall nicht erforderlich.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 47


13
Gesundheit und Soziales
Gesundheit und Soziales

13 Gesundheit und Soziales


13.1 Übermittlung von Aufgrund der in den jeweiligen Berufsordnun-
gen festgeschriebenen Schweigepflicht ist die
Patientendaten an
Offenbarung von Patientendaten durch den
Strafverfolgungsbehörden Arzt oder Psychotherapeuten nicht ohne weite-
res möglich. Soweit keine Entbindung von der
Ärzte und Psychotherapeuten sind nicht Schweigepflicht vorliegt, muss die Offenbarung
zur Herausgabe von Patientendaten ge- von Patientendaten zum Schutz eines höher-
genüber den Strafverfolgungsbehörden wertigen Rechtsguts erforderlich sein. Dies ist
verpflichtet und dürfen diese Daten auch nicht immer der Fall, wenn der Berufsgeheim-
nur in Ausnahmefällen von sich aus über- nisträger lediglich den Verdacht hegt, dass sich
mitteln. der Patient in irgendeiner Weise strafbar ge-
macht hat.
Wir erhielten Eingaben von Ärzten, die von der
Polizei oder Staatsanwaltschaft zur Herausgabe Dagegen ist die Offenbarung der Patientenda-
von Patientendaten aufgefordert werden. Um- ten zulässig, wenn der Verdacht einer der in
gekehrt haben manche Ärzte bei uns nachge- § 138 StGB genannten, schwerwiegenden Straf-
fragt, ob sie von sich aus Patientendaten an taten im Raum steht, da sich anderenfalls der
diese Stellen weitergeben dürfen, beispiels- Berufsgeheimnisträger aufgrund einer unter-
weise, wenn sie den Verdacht hegen, dass der bliebenen Mitteilung selbst strafbar machen
Patient eine Straftat begangen hat. könnte. Die mit der Offenbarung der Daten not-
wendigerweise verbundene Zweckänderung ist
Da Ärzte und Psychotherapeuten gemäß § 53 in diesem Fall durch § 24 Abs. 2 BDSG i.V.m. §§
Abs. 1 Satz 1 Nr. 3 StPO zur Zeugnisverweige- 24 Abs. 1 Nr. 1, § 22 Abs. 1 Nr. 1 d BDSG ge-
rung berechtigt sind, unterliegen die von ihnen rechtfertigt.
angefertigten Unterlagen mit den Patientenda-
ten insoweit dem Beschlagnahmeverbot des 13.2 Berichtigung von ärztlichen
§ 97 Abs. 1 StPO. Die Herausgabe dieser Unter- Diagnosen
lagen an die Strafverfolgungsbehörden ist auch
bei Vorliegen eines Durchsuchungsbeschlusses Die Prüfung der Richtigkeit einer ärztli-
nur bei Entbindung von der Schweigepflicht chen Diagnose fällt nicht in unserem Zu-
durch den Patienten oder auf freiwilliger Basis
ständigkeitsbereich. Macht ein Patient in
des Arztes möglich.
diesem Zusammenhang sein Berichti-
gungsrecht geltend, obliegt ihm die Be-
Voraussetzung für die Freiwilligkeit ist, dass der
Arzt bzw. Psychotherapeut von der Strafverfol- weislast für das Vorliegen der Unrichtig-
gungsbehörde über das Beschlagnahmeverbot keit.
belehrt wurde. Ist dies der Fall, enthält die frei-
willige Herausgabe der Daten einen konkluden- Uns erreichen Anfragen von Patienten, die die
ten Verzicht des Berufsgeheimnisträgers auf Richtigkeit der von ihrem Arzt gestellten Diag-
sein Zeugnisverweigerungsrecht. Hiervon unbe- nose anzweifeln und in diesem Zusammenhang
rührt bleibt die mögliche Strafbarkeit des Arztes eine Berichtigung ihrer Daten nach Art. 16 DS-
oder Psychotherapeuten nach § 203 StGB. GVO wünschen.

Die fachliche Richtigkeit einer Diagnose ist


keine Frage des Datenschutzes. Soweit noch

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 49


Gesundheit und Soziales

nicht – z. B. durch unanfechtbare Entscheidung


eines Gerichts – feststeht, ob eine gestellte Di-
agnose tatsächlich unrichtig ist, fällt diese Prü-
fung folglich nicht in unsere Zuständigkeit.

Anders sieht es aus, wenn es darum geht, ob


Tatsachen, die der vom Arzt erstellten Diagnose
zu Grunde legen, unrichtig sind. Für die erfolg-
reiche Geltendmachung eines Anspruchs auf
Berichtigung dieser Tatsachen reicht es aller-
dings nicht, dass der betroffene Patient lediglich
die Richtigkeit der Diagnose bestreitet. Er muss
in seinem Antrag auf Berichtigung vielmehr
konkret darlegen, inwiefern die ihn betreffen-
den Tatsachen unrichtig sind und wie eine Be-
richtigung aussehen sollte. Dem verantwortli-
chen Arzt obliegt sodann die umfassende Prü-
fung der gespeicherten Daten und gegebenen-
falls eine Berichtigung der Tatsachen und eine
Überarbeitung der Diagnose.

Wird eine Patientenakte entsprechend berich-


tigt, muss neben dem ursprünglichen Inhalt er-
kennbar bleiben, wann die Korrektur vorgenom-
men wurde (§ 630f Abs. 1 Satz 2 BGB).

50 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


14
Vereine und Verbände
Vereine und Verbände

14 Vereine und Verbände


14.1 Mitgliederverwaltung Einige Vereine lassen sich den Erhalt der Infor-
mationen nach Art. 13 DS-GVO durch Unter-
Rechtsgrundlage für die Verarbeitung schrift bestätigen – werten dies dann aber als
personenbezogener Daten zum Zwecke Einwilligung nach Art. 7 DS-GVO. So wird uns oft
die Frage gestellt, ob eine Mitgliedschaft noch
der Mitgliederverwaltung im Verein ist
möglich sei, wenn das potenzielle Mitglied ge-
Art. 6 Abs. 1 Buchst. b DS-GVO.
nerell keine „Einwilligung“ in die Verarbeitung
seiner personenbezogenen Daten erteilt.
Viele Vereine vertreten immer noch die Auffas-
sung oder vermuten, dass sie für die Verarbei-
Wie bereits ausgeführt, steht mit Art. 6 Abs. 1
tung personenbezogener Daten im Rahmen der
Buchst. b DS-GVO bereits eine einschlägige
Mitgliederverwaltung eine Einwilligung von der
Rechtsgrundlage zur Verfügung. Dass die be-
betroffenen Person einholen müssten. Eine Ein-
troffene Person ihre Einwilligung verweigert,
willigung wird für diesen Verarbeitungszweck
führt deshalb nicht zur Unzulässigkeit der Ver-
jedoch grundsätzlich nicht benötigt. Denn ge-
arbeitung personenbezogener Daten im Rah-
mäß Art. 6 Abs. 1 Buchst. b DS-GVO ist geregelt,
men der Mitgliederverwaltung bzw. zum Aus-
dass die Verarbeitung personenbezogener Da-
schluss aus dem Verein. Vereine sollten davon
ten zulässig ist, wenn sie zur Erfüllung eines Ver-
Abstand nehmen, für Zwecke der Mitgliederver-
trages erfolgt. Da das Mitgliedschaftsverhältnis
waltung und für andere von der Vereinssatzung
ein vertragsähnliches Rechtsverhältnis ist (vgl.
hinreichend klar abgedeckte Verarbeitungszwe-
BGHZ 110, 323, 327), ist die Verarbeitung für
cke Einwilligungen der Mitglieder einzuholen.
Zwecke, die zur Durchführung des Mitglied-
schaftsverhältnisses erforderlich sind, auf
Auch ein „Bestätigenlassen“ des Erhalts der nach
Grundlage von Art. 6 Abs. 1 Buchst. b DS-GVO
Art. 13 DS-GVO zu erteilenden Informationen
zulässig. Gleiches gilt aber auch für Verarbei-
durch Unterschrift ist nicht erforderlich. Jedoch
tungstätigkeiten, die zur Erreichung weiterer
muss der Verein in der Lage sein, im Rahmen
Zwecke erforderlich sind, die als solche hinrei-
der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO)
chend deutlich als Vereinszwecke in der Satzung
nachzuweisen, dass er den Mitgliedern ord-
des Vereins angelegt sind.
nungsgemäß die nach Art. 13 DS-GVO zu ertei-
lenden Informationen zur Verfügung gestellt
Es erreichten uns im Berichtszeitraum eine Reihe
hat. Dieser Nachweis kann unkompliziert z. B.
von Anfragen von Vereinen, anhand derer wir
dadurch erbracht werden, dass die Informatio-
erkannten, dass die Bedeutung der daten-
nen auf dem (vom Neumitglied ausgefüllten)
schutzrechtlichen Informationspflichten in die-
Formular enthalten sind, mit dem die Mitglied-
sem Zusammenhang oftmals noch missverstan-
schaft im Verein beantragt wird.
den wird. Die datenschutzrechtlichen Informati-
onen nach Art. 13 und Art. 14 DS-GVO sind nicht
zu verwechseln mit der Einwilligung nach Art. 7
DS-GVO. Art. 13 DS-GVO stellt keine Rechts-
grundlage für die Datenverarbeitung dar, son-
dern soll sicherstellen, dass der Verantwortliche
die betroffene Person über die Verarbeitung
transparent und in einer nachvollziehbaren
Weise informiert.

52 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Vereine und Verbände

14.2 Öffentlicher Aushang der


Klageschrift eines Mitglieds in
einem Verfahren gegen den
Verein

Es ist nicht zulässig, eine von einem Ver-


einsmitglied verfasste Klageschrift, die al-
lein vom Vereinsvorstand zu bearbeiten
ist, allen Mitgliedern des Vereins im Wort-
laut bekanntzugeben.

Ein Mitglied eines Schrebergartenvereins be-


schwerte sich bei uns darüber, dass der Vereins-
vorstand eine von ihm verfasste und an das Re-
gistergericht gerichtete Klageschrift, die dem
Vereinsvorstand vom Gericht mit dem Ersuchen
um Stellungnahme zugeleitet worden war, auf
dem Vereinsgelände in einem Schaukasten –
nebst einigen augenscheinlich vom Vorstand
stammenden handschriftlichen Anmerkungen –
ausgehängt hatte. Das klagende Mitglied fühlte
sich dadurch an den Pranger gestellt. In der Kla-
geschrift hatte der Beschwerdeführer beantragt,
einen bestimmten Beschluss der Mitgliederver-
sammlung des Vereins gerichtlich für nichtig zu
erklären.

Das Aushängen der Klageschrift war nach unse-


rer Auffassung datenschutzrechtlich nicht zuläs-
sig. Auch wenn es für den Verein zulässig wäre,
die Mitglieder darüber zu informieren, dass ein
bestimmter Beschluss gerichtlich durch ein Mit-
glied angefochten worden ist, so ist es jedenfalls
nicht erforderlich, die entsprechende Klage-
schrift des klagenden Mitglieds in vollem Wort-
laut allen anderen Mitgliedern bekannt zu ge-
ben. Es war Aufgabe des Vorstands, die vom Ge-
richt angeforderte Stellungnahme zu verfassen
und dem Gericht zu übermitteln; dass hierfür
eine wie auch immer geartete Information (po-
tentiell) aller Vereinsmitglieder über den Inhalt
der Klageschrift erforderlich gewesen wäre, war
nicht erkennbar.

Wir haben daher dafür gesorgt, dass das Schrei-


ben aus dem Schaukasten entfernt wurde.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 53


15
Wohnungswirtschaft und Mieterdatenschutz
Wohnungswirtschaft und Mieterdatenschutz

15 Wohnungswirtschaft und Mieterdatenschutz

15.1 Angebot eines Mess- und Nach unserer Auffassung war dieses Unterneh-
men im Rahmen seiner Tätigkeit als Mess- und
Abrechnungsdienstleisters an
Abrechnungsdienstleister datenschutzrechtlich
Beiräte einer Wohnungseigen- als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8
tümergemeinschaft DS-GVO für den Verwalter der Eigentümerge-
meinschaft und nicht als Verantwortlicher nach
Die Verarbeitung personenbezogener Da- Art. 4 Nr. 7 DS-GVO tätig. Die Kontaktdaten der
ten von Verwaltungsbeiräten durch einen Verwaltungsbeiräte und anderen Eigentümer
Mess- und Abrechnungsdienstleister für waren dem Dienstleister durch den Verwalter im
Rahmen der Beauftragung mit der Ablesung
Werbezwecke ist datenschutzrechtlich un-
und Abrechnung der Gas- und Warmwasser-
zulässig.
Verbrauchsdaten zur Verfügung gestellt wor-
den.
Wir erhielten eine Beschwerde, in der moniert
wurde, dass ein Dienstleistungsunternehmen,
Als datenschutzrechtlich Verantwortlichen se-
das mit dem Mess- und Abrechnungsdienst in
hen wir in solchen Fällen grundsätzlich den von
einer Eigentümergemeinschaft betraut war,
der Eigentümergemeinschaft bestellten Verwal-
mehrere Verwaltungsbeiräte der Eigentümerge-
ter an, da dieser gemäß § 28 Abs. 3 WEG die
meinschaft kontaktiert habe, um der Eigentü-
Aufgabe hat, eine Abrechnung zu erstellen. Der
mergemeinschaft ein Angebot zu unterbreiten.
Verwalter hatte sich zur Erfüllung dieser originä-
Das Unternehmen erläuterte den Beiräten in
ren Verwalteraufgabe des Abrechnungsdienst-
diesem Schreiben, dass es vermute, dass der
leisters bedient. Als Auftragsverarbeiter war der
von der Eigentümergemeinschaft bestellte Ver-
Dienstleister nicht berechtigt, personenbezo-
walter künftig einen anderen (gesellschafts-
gene Daten der einzelnen Wohnungseigentü-
rechtlich mit dem Verwalter verbundenen) Ab-
mer, die ihm vom Verwalter zur Durchführung
rechnungsdienstleister mit dem Mess- und Ab-
der Ablesung und Abrechnung überlassen wor-
rechnungsdienst betrauen werde; vor diesem
den waren, für eigene (Werbe-)Zwecke zu ver-
Hintergrund wolle das Unternehmen der Eigen-
arbeiten. Die dem Abrechnungsdienstleister
tümergemeinschaft ein neues Angebot für die
vom Verwalter im Rahmen des Vertrags zur Auf-
künftige Zusammenarbeit unterbreiten und
tragsverarbeitung nach Art. 28 Abs. 3 DS-GVO
habe sich daher entschlossen, dieses Angebot
überlassenen Adressdaten der Wohnungsei-
direkt den einzelnen Verwaltungsbeiräten zu
gentümer wurden dem Dienstleister nicht zum
unterbreiten.
Zweck der Werbung zur Verfügung gestellt,
sondern lediglich, damit dieser im Auftrag des
Das von uns zur Stellungnahme aufgeforderte
Verwalters die Ablesung durchführt und die ab-
Unternehmen teilte uns mit, dass es nur deshalb
gelesenen Daten dem Verwalter dann zur
mit den Beiräten kommuniziert habe, um den
Durchführung der Abrechnung nach § 28 Abs. 3
Umfang der Datenverarbeitung möglichst ge-
WEG in aufbereiteter Form zur Verfügung stellt.
ring zu halten und nicht sämtliche Eigentümer
Auch der Umstand, dass zivilrechtlich ein Ver-
anschreiben zu müssen. Es wurde in diesem Zu-
tragsverhältnis zwischen dem Abrechnungs-
sammenhang die Meinung geäußert, dass sich
dienstleister und der Eigentümergemeinschaft
die Datenverarbeitung auf die Durchführung
besteht, ermächtigt den Dienstleister nicht
und Abwicklung des zu Grunde liegenden Ver-
dazu, einzelne Eigentümer oder Verwaltungs-
tragsverhältnisses beschränkt habe.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 55


Wohnungswirtschaft und Mieterdatenschutz

beiräte für eigene Werbezwecke zu kontaktie- Diese Eingabe verdeutlicht exemplarisch unsere
ren, denn insoweit muss zwischen der Eigentü- Beobachtung, dass bei manchen Wohnungsei-
mergemeinschaft als solcher und den einzelnen gentümern offenbar Fehlvorstellungen über die
Eigentümern – zu denen der Dienstleister ge- notwendigen Informationsflüsse innerhalb einer
rade kein Vertragsverhältnis hat – unterschie- Eigentümergemeinschaft bestehen.
den werden.
Aus datenschutzrechtlicher Sicht bestehen hin-
Mithin hat der Dienstleister Daten, die ihm als sichtlich der Bereitstellung der Informationen,
Auftragsverarbeiter anvertraut waren, entgegen die im Zusammenhang mit dem Rechtsstreit
den Weisungen des Verantwortlichen – des Ver- stehen, keine Bedenken. Denn der Verwalter
walters – verarbeitet, wodurch er insoweit selbst hatte nach § 27 Abs. 1 Nr. 7 WEG im vorliegen-
zum Verantwortlichen wurde (Art. 28 Abs. 10 den Fall sogar die rechtliche Verpflichtung, die
DS-GVO). Eine Rechtsgrundlage für die Verar- Wohnungseigentümer unverzüglich darüber zu
beitung der (Kontakt-)Daten der Verwaltungs- unterrichten, dass ein Rechtsstreit im Sinne von
beiräte stand ihm aus den vorgenannten Grün- § 43 WEG zwischen der Eigentümergemein-
den nicht zur Verfügung, so dass die Verarbei- schaft und einem einzelnen Eigentümer anhän-
tung nach Art. 5 Abs. 1 Buchst. a DS-GVO den gig ist. Die Verarbeitung der Daten der Be-
Grundsatz der Rechtmäßigkeit verletzte. schwerdeführerin – d. h. die Bereitstellung der
Informationen betreffend den Rechtsstreit – er-
15.2 Veröffentlichung von folgte deshalb zur Erfüllung dieser rechtlichen
Verpflichtung und war damit nach Art. 6 Abs. 1
Unterlagen eines Rechtsstreits
Buchst. c DS-GVO zulässig.
auf dem Internetportal der
Wohnungseigentümer Ein Anspruch auf Löschung von dem (nur) für
Wohnungseigentümer zugänglichen Portal be-
Die Bereitstellung von Unterlagen hin- stand damit nicht.
sichtlich eines Rechtsstreits innerhalb der
Wohnungseigentümergemeinschaft stellt 15.3 Bekanntgabe einer
für den Verwalter eine gesetzliche Ver- Wohnungsdurchsuchung an
pflichtung nach § 27 Abs. 1 Nr. 7 WEG dar. Verwaltungsbeiräte
Eine Wohnungseigentümerin beschwerte sich Die ausschließlich telefonische Weiter-
bei uns darüber, dass der Verwalter auf einem
gabe einer Information durch einen Ver-
für die Kommunikation mit den Wohnungsei-
walter einer Eigentümergemeinschaft an
gentümern verwendeten webbasierten Portal
die Verwaltungsbeiräte unterfällt nicht
Unterlagen zu einem Rechtsstreit veröffentlicht
habe, den die Beschwerdeführerin gegen die Ei- dem Datenschutzrecht, sofern der Verwal-
gentümergemeinschaft führte. Sie hielt es nicht ter die in Rede stehende Information nicht
für zulässig, dass auf diese Weise die Informati- automatisiert oder in einem Dateisystem
onen über den Rechtsstreit allen Eigentümern in verarbeitet.
der Eigentümergemeinschaft zur Kenntnis ge-
geben wurden. Sie forderte deshalb vom Ver- Wir erhielten im Berichtszeitraum verhältnismä-
walter die Entfernung bzw. Löschung dieser Un- ßig viele Beschwerden, die die Bekanntgabe be-
terlagen vom Portal. stimmter Informationen durch Verwalter von Ei-
gentümergemeinschaften an Verwaltungsbei-
räte betrafen. Aus diesen Beschwerden wird er-
kennbar, dass manche Wohnungseigentümer

56 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Wohnungswirtschaft und Mieterdatenschutz

sich nicht im Klaren darüber sind, welche Stel- war nämlich durch die Polizei telefonisch über
lung ein Verwaltungsbeirat in der Eigentümer- den bevorstehenden Einsatz informiert worden
gemeinschaft hat. und hat diese Information lediglich ebenfalls te-
lefonisch an die Beiräte weitergegeben, ohne sie
In einem Fall beschwerte sich ein Eigentümer jedoch in irgendeiner Weise automatisiert
darüber, dass der Verwalter „mehrere andere Ei- oder aber in einem Dateisystem zu verarbeiten.
gentümer“ darüber informiert habe, dass die Mangels einer automatisierten Verarbeitung
Polizei eine Hausdurchsuchung in seiner Woh- oder einer Verarbeitung personenbezogener
nung durchgeführt habe. Als wir den Verwalter Daten in einem „Dateisystem“ im Sinne von Art.
zur Stellungnahme aufforderten, stellte sich 4 Nr. 16 DS-GVO unterfiel die Weitergabe dieser
heraus, dass die Polizei im Rahmen einer Woh- Information durch den Verwalter an die Beiräte
nungsdurchsuchung die Tür zu der Wohnung gemäß Art. 2 Abs. 1 DS-GVO nicht dem Anwen-
des Beschwerdeführers aufbrechen musste, da dungsbereich des Datenschutzrechts.
ein anderer Zugang nicht möglich war. Die Poli-
zei hatte den Verwalter kontaktiert und versucht Der Fall verdeutlicht exemplarisch, dass nicht
zu eruieren, ob eine Möglichkeit bestehe, die jede Weitergabe personenbezogener Daten
Wohnung zu betreten, ohne die Tür aufbrechen dem Anwendungsbereich des Datenschutz-
zu müssen, was jedoch nicht möglich war, da rechts unterfällt.
der Verwalter keinen Schlüssel zu der Wohnung
hatte. Da es sich bei der Wohnungstür um Ge-
meinschaftseigentum handelte, hatte der Ver-
walter es für angemessen angesehen, die zwei
für die Eigentümergemeinschaft bestellten Ver-
waltungsbeiräte darüber zu informieren, dass
die Polizei die Wohnungstür aufbrechen werde
und somit die im Gemeinschaftseigentum ste-
hende Tür beschädigt werden würde.

Wir haben dieses Vorgehen im vorliegenden


Fall als zulässig bewertet, da der Verwaltungs-
beirat gemäß § 29 Abs. 2 WEG die Aufgabe hat,
den Verwalter bei der Durchführung seiner Auf-
gaben zu unterstützen. Vor diesem Hintergrund
wäre es zumindest nicht zu beanstanden, wenn
der Verwalter es aufgrund des durch den Poli-
zeieinsatz verursachten Schaden am Gemein-
schaftseigentum angezeigt erachtet hat, die
Verwaltungsbeiräte über den Vorgang zu infor-
mieren.

Unabhängig davon war schon mehr als fraglich,


ob die Mitteilung der entsprechenden Informa-
tion durch den Verwalter an die Beiräte, dass
eine Wohnungsdurchsuchung durch die Polizei
in der Wohnung des Beschwerdeführers statt-
finden werde. überhaupt eine der DS-GVO un-
terfallende Verarbeitung darstellt. Der Verwalter

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 57


16
Videoüberwachung
Videoüberwachung

16 Videoüberwachung
16.1 Zweckbindung für Vorhaltungen. Dennoch fühlte sich der Be-
schwerdeführer dadurch, dass der Schwimm-
Verwendung von
badbetreiber die Aufnahmen seinem Arbeitge-
Videoaufnahmen ber – der Reinigungsfirma – vorgelegt und an-
hand dieser Aufnahmen seine Arbeitsleistung
Bei der Verwendung von Videoaufzeich- bemängelt habe, in seinen Rechten verletzt. Er
nungen für einen anderen Zweck als den monierte insbesondere, dass er nicht erwartet
ursprünglichen geplanten muss dem hatte, dass er beim Ausführen der Reinigung
Grundsatz der Zweckbindung besondere gefilmt würde und die entsprechenden Aufnah-
Aufmerksamkeit zugemessen werden. men seinem Arbeitgeber vorgelegt würden.

Ein Mitarbeiter eines Reinigungsunternehmens Aufgrund dieser Beschwerde forderten wir den
beschwerte sich darüber, dass er bei einem Rei- Schwimmbadbetreiber auf, zu erklären, für wel-
nigungseinsatz in einem Schwimmbad von den che Zwecke die in der Schwimmhalle betriebene
dort installierten Videokameras erfasst wurde Videoüberwachung durchgeführt wird, sowie in
und diese Aufnahmen seinem Arbeitgeber vor- welcher Weise er die betroffenen Personen über
gelegt wurden. diese Zwecke informierte. Der Betreiber erklärte,
die Videoanlage sei nur während der Nacht in
Das Reinigungsunternehmen reinigte unter Ein- Betrieb und diene der Prävention gegen unbe-
satz mehrerer Mitarbeiter regelmäßig in den fugtes Betreten der Schwimmhalle – etwa durch
frühen Morgenstunden die Schwimmhalle eines Einbrecher – sowie dazu, in solchen Fällen Täter
Schwimmbadbetreibers. Ein Mitarbeiter des zu identifizieren, um gegen sie etwaige (Scha-
Reinigungsunternehmens beschwerte sich bei densersatz-)Ansprüche verfolgen und Strafver-
uns darüber, dass ihn sein Arbeitgeber eines Ta- folgungsmaßnahmen einleiten zu können. Ent-
ges zu sich gerufen und ihm Videoaufzeichnun- sprechend wurde mittels „Hinweisschildes“ über
gen aus der Schwimmhalle vorlegte, in denen er die Videoüberwachung informiert. Da die Reini-
sowie eine weitere Mitarbeiterin bei der Durch- gungskräfte ihre Arbeiten noch zu einem Zeit-
führung der Reinigungsarbeiten zu sehen wa- punkt verrichteten, in dem die Anlage scharf ge-
ren. Der Arbeitgeber erklärte, diese Aufnahmen schaltet war, waren sie von den Kameras erfasst
vom Schwimmbadbetreiber mit dem Hinweis worden.
vorgelegt erhalten zu haben, dass auf den Auf-
nahmen zum einen zu sehen sei, dass das Reini- Nach unserer Bewertung hatte der Schwimm-
gungsunternehmen nur zwei statt der verspro- badbetreiber dadurch, dass er die Aufnahmen
chenen drei Mitarbeiter zum Reinigen einsetze. dem Reinigungsunternehmen vorgelegt hat,
Zum anderen bemängelte der Schwimmbadbe- gegen den datenschutzrechtlichen Grundsatz
treiber anhand der Aufnahmen gegenüber dem der Zweckbindung gemäß Art. 5 Abs. 1 Buchst.
Reinigungsunternehmen, dass die Mitarbeiter b DS-GVO verstoßen. Der ursprüngliche Zweck,
die Reinigungsarbeiten „nicht ordentlich“ bzw. dem die Anfertigung von Videoaufnahmen
in ungenügender Qualität durchführten. diente, lag in der Prävention und Verfolgung
von Einbrüchen sowie der Verfolgung damit zu-
Das Reinigungsunternehmen als Arbeitgeber sammenhängender zivilrechtlicher Ansprüche
der eingesetzten Mitarbeiter schloss sich diesen gegen die Täter. Im vorliegenden Fall wurden
Vorwürfen zwar nicht an und machte den ein- die Aufnahmen durch den Betreiber indes zu ei-
gesetzten Mitarbeitern aus diesem Anlass keine nem ganz anderen Zweck verwendet, nament-

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 59


Videoüberwachung

lich dazu, die Leistung des Reinigungsunterneh- durchzuführenden Interessenabwägung die In-
mens – und der von diesem eingesetzten Mitar- teressen der gefilmten Mitarbeiter des Reini-
beiter – anhand der Aufnahmen zu bemängeln. gungsunternehmens am Unterbleiben einer sol-
Dieser Verwendungszweck ist vom o. g. ur- chen Datenverarbeitung. Denn letztlich war die
sprünglichen Zweck der Videoüberwachung – komplette Reinigungstätigkeit der betroffenen
also dem Zweck, zu dem die Daten erhoben Mitarbeiter per Video aufgezeichnet worden,
wurden – gänzlich verschieden und somit muss was letztlich einer weitgehenden Komplettüber-
bei Zugrundelegung der in Art. 6 Abs. 4 DS-GVO wachung ihrer Arbeitsleistung – jedenfalls im
geregelten Kriterien als mit dem ursprünglichen Rahmen des Arbeitseinsatzes in diesem
Zweck unvereinbar angesehen werden. Schwimmbad – gleichkommt. Jedenfalls eine
solche Komplettüberwachung des Verhaltens
Die Verarbeitung personenbezogener Daten zu und der Leistung von Beschäftigten ist, auch
einem Zweck, der mit dem Erhebungszweck un- nach den in der arbeitsgerichtlichen Rechtspre-
vereinbar ist, ist gemäß Art. 6 Abs. 4 DS-GVO nur chung entwickelten Maßstäben, unzulässig.
zulässig, wenn diese Verarbeitung aufgrund ei-
ner Rechtsvorschrift des EU-Rechts oder des Diese Wertung muss auch bei der Anwendung
mitgliedstaatlichen Rechts (zu einem der in Art. des § 24 Abs. 1 Nr. 2 BDSG und der dort durch-
23 DS-GVO aufgezählten Zwecke) ausdrücklich zuführenden Interessenabwägung durchschla-
erlaubt ist oder wenn die betroffene Person gen. Damit war die Vorlage der Aufnahmen
hierzu eingewilligt hat. Mangels einer Einwilli- durch den Schwimmbadbetreiber an die Reini-
gung der gefilmten Mitarbeiter konnte die Ver- gungsfirma unzulässig. Wir haben aus diesem
arbeitung daher nur zulässig sein, wenn eine Anlass gegenüber dem Schwimmbadbetreiber
Rechtsvorschrift eine derartige Zweckänderung mit einer Verwarnung reagiert, die dieser akzep-
erlaubte. Zu prüfen ist hierbei vor allem § 24 tiert hat.
BDSG – die Vorschrift, die die Verarbeitung zu
einem unvereinbaren neuen Verarbeitungs- 16.2 Kamerafahrten durch Apple
zweck regelt.
Apple veranlasst Videoaufnahmen von
Die Voraussetzungen des § 24 BDSG waren im Straßen und Häusern zur Verbesserung
vorliegenden Fall jedoch nach unsere Bewer-
der eigenen Kartendienste.
tung nicht erfüllt. Zwar erlaubt § 24 Abs.1 Nr. 2
BDSG die Verarbeitung für einen neuen, unver-
Uns erreichten zahlreiche Anfragen und Be-
einbaren Zweck, soweit sie zur Geltendma-
schwerden von Bürgern, die von Fahrzeugen mit
chung, Ausübung oder Verteidigung zivilrecht-
speziellen Kameras berichteten. Dahinter
licher Ansprüche erforderlich ist, aber nur, so-
steckte ein Projekt von Apple mit dem Ziel, ei-
fern nicht die Interessen der betroffenen Person
gene Dienste wie Apple Maps zu verbessern.
an dem Ausschluss der Verarbeitung überwie-
gen. Vorliegend könnte man zwar argumentie-
Bereits im Frühjahr 2019 informierte uns Apple
ren, dass der Schwimmbadbetreiber durch die
darüber, dass eine aus ungefähr 80 Fahrzeugen
Vorlage der Aufnahmen an die Reinigungsfirma
bestehende Fahrzeugflotte im Zeitraum von Juli
letzterer nachweisen wollte, dass diese die Rei-
bis September 2019 in deutschen Städten und
nigungsarbeiten in einer ungenügenden Quali-
Gemeinden unterwegs sein wird. Apple stellte
tät erbrachte. Dies kann als „Ausübung zivil-
uns ein umfangreiches Konzept vor und er-
rechtlicher Ansprüche“ angesehen werden, so
klärte, dass in den Fahrzeugen neben Kameras
dass der Anwendungsbereich des § 24 Abs. 1 Nr.
und Sensoren auch Computer verbaut wurden.
2 BDSG zwar grundsätzlich eröffnet ist. Jedoch
Die Aufnahmen würden mittels starker Ver-
überwogen bei der nach dieser Vorschrift
schlüsselung nach Stand der Technik bereits im

60 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Videoüberwachung

Fahrzeug verschlüsselt und danach auf Festplat-


ten gespeichert. Die verschlüsselten Daten wur-
den erst bei Apple in den USA wieder entschlüs-
selt und weiterverarbeitet. Bevor die Daten
durch Apple weiterverarbeitet würden, würden
Gesichter und KFZ-Kennzeichen verpixelt. So
sind laut dem Konzept in fast allen Fällen keine
Personen direkt zu erkennen und damit nicht
unmittelbar zu identifizieren.

Ungeachtet dessen haben betroffene Personen


jederzeit – auch nachdem die Aufnahmefahrten
beendet wurden – die Möglichkeit der Verarbei-
tung ihrer Hausansicht zu widersprechen. Ein
Widerspruch ist möglich auf der Apple-Website
maps.apple.com/imagecollection oder per
E-Mail an MapsImageCollection@apple.com.
maps.apple.com/imagecollection

Übrigens plant Apple derzeit nicht das soge-


nannte „Look-Around“-Feature in Deutschland
anzubieten. Dieses Feature ermöglicht es, über
das Internet eine 3D-Darstellung der Aufnah-
men anzusehen, wie es beispielsweise bei
Google Street View möglich ist.
www.lda.bayern.de/media/pm/pm2019_9.pdf

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 61


17
Datenschutzverletzungen
Datenschutzverletzungen

17 Datenschutzverletzungen
17.1 Allgemeines zu den Sicht aller Beteiligten zum Glück – die Aus-
nahme, wenngleich auch hier ein Anstieg im
gemeldeten Vorfällen
Jahr 2019 festzustellen ist. Hintergrund dazu ist,
dass gerade bei Angriffen über das Internet eine
Mit der DS-GVO stieg die Anzahl der Mel-
gezielte Schadensabsicht besteht, während bei
dungen nach Art. 33 DS-GVO rapide an
vielen anderen Datenpannenkategorien mit den
und blieb bis zum Ende des Berichtsjahres Daten der betroffenen Personen im Idealfall
auf einem hohen Niveau bestehen. meist „nichts“ passiert. Spitzenreiter bezüglich
der reinen Anzahl der Meldungen bleibt unver-
Unmittelbar nach dem Beginn der Anwendbar- ändert die Kategorie Fehlversendung.
keit der DS-GVO im Mai 2018 konnten wir einen
starken Anstieg von Meldungen über Daten- Eine Erkenntnis, die 2019 gewonnen wurde, ist
schutzverletzungen von Verantwortlichen re- die Tatsache, dass Cyberattacken mittlerweile
gistrieren. Bereits im letzten Tätigkeitsbericht einen erheblichen, zum Teil auch existenzbedro-
wagten wir deshalb die Prognose, dass der ein- henden Schaden für die Opfer darstellen. Opfer
geleitete Trend auch in den darauffolgenden sind in den uns gemeldeten Fällen sowohl die
Jahren Bestand haben werde. Zurückblickend gehackten Unternehmen als auch die betroffe-
auf das Berichtsjahr 2019 stellen wir fest, dass nen Personen, deren Daten für verschiedene kri-
diese Einschätzung zutreffend war. Wir haben minelle Zwecke verwendet werden. Oft haben
uns mittlerweile an den Umstand gewöhnt, so- die Hacker die Absicht, gezielt an persönliche
dass die Bearbeitung von Datenschutzverlet- Daten heranzukommen, z. B. Daten von Patien-
zungen einen großen Anteil unserer täglichen ten, Mitgliedern, Beschäftigten und Kunden, da
Arbeit einnimmt und wir an vielen Tagen über der Wert dieser Daten mittlerweile auch dort
20 Meldungen erhalten. wahrgenommen wird. Die Erpressung von Ver-
antwortlichen mit einer Lösegeldforderung, sei
Wir versuchen deshalb nach wie vor, die bei uns es durch die vollständige Verschlüsselung mit-
gemeldeten Vorfälle bestimmten Kategorien tels Ransomware oder durch eine entwendete
zuzuordnen, damit einerseits eine zielgerichtete Kopie von Kundendaten, ist bereits ein alltägli-
Bearbeitung durch einen für den Fachbereich ches Szenario. Im Berichtszeitraum mussten wir
spezialisierten Mitarbeiter gefördert wird und dabei sogar Fälle feststellen, bei denen der
anderseits auch von uns bewusst wahrgenom- ganze Betrieb stillstand und manche Mitarbeiter
men werden kann, wo Schwerpunkte bezüglich zum Teil einige Zeit zu Hause bleiben mussten.
unserer Präventionsarbeit gesetzt werden soll- Keine Seltenheit war es, dass gerade kleine Be-
ten. Cyberangriffe, Verschlüsselungstrojaner, triebe, KMUs und Arztpraxen Opfer solcher An-
Malware, Verlust, Diebstahl, Software- und Bu- griffe wurden.
chungsfehler sowie Fehlversendungen sind da-
bei die mit Abstand häufigsten Kategorien. Weit Wir haben uns auf Grund dieser Entwicklung
über die Hälfte der uns gemeldeten Daten- entschieden, unseren gesetzten Schwerpunkt
schutzverletzungen betreffen Sachverhalte, die „Cybersicherheit“ weiter zu verfolgen und – so-
ein eher „normales“ Risiko für die betroffenen weit es die Personalkapazitäten erlauben – auch
Personen besitzen und für die oftmals auch auszubauen. Das vergangene Jahr hat uns be-
durch uns keine weiteren Abhilfemaßnahmen stätigt, dass es einen erheblichen Bedarf an Un-
mehr vorgeschlagen werden müssen. Sicher- terstützung im nicht-öffentlichen Bereich gibt.
heitsvorkommnisse mit einem hohen Risiko für Viele Vorfälle hätte man durch Basis-Schutz-
die betroffenen Personen bleiben – aus der maßnahmen wie das regelmäßige Einspielen

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 63


Datenschutzverletzungen

von Sicherheitsupdates und das richtige Durch-


führen von Datensicherungen ohne großen Auf-
wand vermeiden können. Unser Ziel wird daher
bleiben, Verantwortliche mit Präventionstipps
zu unterstützen, um die Angriffsfläche nachhal-
tig zu reduzieren und ein angemessenes
Schutzniveau zu erreichen. Dies dient letztend-
lich allen Beteiligten – den Verantwortlichen,
den betroffenen Personen und auch der zustän-
digen Datenschutzaufsichtsbehörde.

17.2 Arbeitskreis der DSK zu


Datenschutzverletzungen

Die Datenschutzkonferenz hat einen Ar-


beitskreis gegründet, bei dem ein einheit-
liches Verständnis für die Meldepflicht
nach Art. 33 DS-GVO erarbeitet werden
soll.

Bei der Auswertung eines europaweit tätigen


Versicherungsunternehmens wurde erkennbar,
dass die Auffassungen der Datenschutzauf-
sichtsbehörden in Europa, aber auch in
Deutschland zu der Frage, welche Datenschutz-
verletzungen nach Art. 33 DS-GVO der Auf-
sichtsbehörde zu melden sind, sehr unter-
schiedlich sind. Ursache dafür mag sein, dass
das Verständnis darüber, wann bei einer Daten-
schutzverletzung kein Risiko für die Rechte und
Freiheiten einer betroffenen Person vorliegt,
weit auseinander geht.

Ziel dieser Arbeitsgruppe, die von uns geleitet


wird, ist es, zunächst innerhalb der deutschen
Aufsichtsbehörden möglichst klare Kriterien da-
für zu ermitteln, wann eine Meldepflicht be-
steht. Ein weiterer Schritt wird dann sein, mit
dieser Auffassung nach Europa zu gehen und zu
erreichen suchen, dass auch auf dieser Ebene
ein gemeinsames Verständnis entsteht.

64 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


18
Technischer Datenschutz und
Informationssicherheit
Technischer Datenschutz und Informationssicherheit

18 Technischer Datenschutz und Informationssicherheit


18.1 Gesundheitsdaten im Web konnte. Hintergrund hierbei war, dass es letzt-
endlich im Ergebnis der Untersuchungen keine
Eine Berichterstattung über tausende me- nachhaltigen Anhaltspunkte für einen Zugriff
dizinische Bilddaten im Internet führte auf die Daten mit dem Ziel einer missbräuchli-
chen Verwendung gab.
auch nach Bayern.

Bei vergleichbaren Fällen wäre dies dann anders


Im September 2019 veröffentlichte der Bayeri-
zu bewerten, wenn die Daten im Internet frei zu-
sche Rundfunk einen Artikel, der sich mit über
gänglich auftauchen oder in krimineller Absicht
das Internet aufrufbaren medizinischen Daten
(z. B. Erpressung) verwendet werden – dann
beschäftigte. Es seien weltweit Millionen radio-
wäre eine Meldung nach Art. 34 DS-GVO an alle
logische Bilddaten von sogenannten PACS-Ser-
betroffenen Patienten erforderlich.
vern abrufbar, von denen einige Systeme auch
in Deutschland stehen würden.
18.2 Anforderungen an starke
Wir haben daraufhin Anhaltspunkte hinsichtlich Passwörter
eines Betreibers eines solchen Systems in unse-
rer Zuständigkeit wahrgenommen. Im Rahmen Passwörter können auch heute noch ein
unserer aufsichtlichen Tätigkeit und Prüfrouti- wirksamer Schutzmechanismus sein, wenn
nen haben wir medizinische Bilddaten ohne die Nutzer achtsam und die Passwörter
Passwortschutz vorgefunden. Es stellte sich her-
stark sind.
aus, dass dieses System ein falsch konfigurierter
Rechner eines Arztes in Bayern war, der diesen
Gleich zu Beginn des Jahres 2019 standen Per-
– nachdem wir ihn kontaktiert hatten – unmit-
sonen des öffentlichen Lebens im Mittelpunkt
telbar vom Internet trennte. Im Rahmen einer
einer Cybersicherheitsbetrachtung, nachdem
anschließenden forensischen Untersuchung des
eine unbefugte Person umfangreiche persönli-
Vorfalls haben wir auch den betroffenen Rech-
che Informationen über diese im Internet veröf-
ner vom verantwortlichen Arzt persönlich erhal-
fentlicht hatte („Doxing-Skandal“). Diesen Vor-
ten und analysiert. Es wurden dabei keine An-
fall nahmen wir zum Anlass, um im Rahmen des
haltspunkte gefunden, die Rückschlüsse ermög-
jährlichen Safer Internet Days eine Prüfung von
lichten, dass kriminelle Personen auf den Rech-
Online-Dienstanbietern durchzuführen, wie
ner bzw. die medizinische Daten zugegriffen
diese ihre Nutzer bei der Handhabung mit Zu-
hatten.
gangsdaten unterstützen sowie wie robust de-
ren Systeme gegen Cyberkriminelle ausgestat-
Da der betroffene Arzt bei uns eine Meldung
tet sind (siehe Kapitel 3.1 dieses Berichts). Infor-
nach Art. 33 DS-GVO durchgeführt hatte, wurde
mationen zu dieser Prüfung finden sich unter:
auf Grund der Einschränkungen durch die Buß-
www.lda.bayern.de/media/sid_ergebnis_2019.pdf
geldvorschriften des neuen BDSG kein Ord-
nungswidrigkeitsverfahren eingeleitet (§ 43 Abs.
In diesem Zusammenhang haben wir uns darauf
4 BDSG).
verständigt, dass wir gegenüber Anbietern von
Online-Diensten gezielt von starken Passwör-
Die betroffenen Patienten mussten zudem nicht
tern für die Nutzer sprechen. Pauschale Aussa-
gemäß Art. 34 DS-GVO informiert werden, da
gen zu bestimmten Längen und Komplexitäten
nicht von einem hohen Risiko hinsichtlich deren
von Passwärtern (z. B. acht Stellen mit Groß-
Rechte und Freiheiten ausgegangen werden
/Kleinbuchstaben, Ziffern und Sonderzeichen)

66 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Technischer Datenschutz und Informationssicherheit

sehen wir nicht mehr als zielführend an, da ge- 18.3 Beschwerden zum Tesla
mäß dem risikoorientierten Ansatz der DS-GVO
Sentry Mode
konkrete Umstände (z. B. Online-Angriffe mög-
lich oder nicht), die Arten der Speicherung (wie
Der Tesla-Diebstahlschutz in öffentlich zu-
bcrypt-Hashverfahren samt Salt zur Umwand-
gänglichen Raum ist Thema von Daten-
lung eines Klartextpassworts vor dessen Spei-
cherung) und auch der Einsatz von Mehrfak- schutzbeschwerden und wird deshalb auf-
torauthentifizierungsverfahren zwangsläufig zu sichtlich von uns geprüft.
berücksichtigen sind.
Wir haben im Jahr 2019 vermehrt Beschwerden
Als Empfehlung können wir trotzdem folgende wegen Tesla-Fahrzeugen erhalten, bei denen
Best-Practice-Aussagen treffen, die gerade für uns die Beschwerdeführer berichteten, dass
Anbieter von Online-Diensten allerdings nicht diese – teils weil sie einen neugierigen Blick ins
neu sein sollten: Innere des Fahrzeugs geworfen haben – von der
Displayanzeige der Umfelderfassung des Fahr-
 Mindestlänge von zehn Zeichen bei
zeugs irritiert gewesen seien.
hoher Zeichenkomplexität
(Groß-/Kleinbuchstaben, Ziffern,
Die datenschutzrechtliche Frage bei dieser
Sonderzeichen)
Überwachungstechnik – Sentry Mode genannt –
 Falls geringe Passwortkomplexität: ist, ob eine Umfeldüberwachung eines Tesla-
Erhöhung der Mindestlänge Fahrzeugs, bspw. auf dem Parkplatz eines Su-
(z. B. 20 Zeichen) permarkts, durch die vorhandenen hochauflö-
senden Kameras des Fahrzeugs zulässig ist.
 Speicherung mit geeigneten
Zentral ist dabei auch zu klären, ob die Auf-
gesalzenen Hashverfahren wie
zeichnung durch die Fahrzeuge schon bei einer
z. B. bcrypt anstatt SHA- oder MD5-
Näherung an das Fahrzeug stattfindet oder erst,
Verfahren
nachdem dieses mittels Bewegungssensoren
 Zwei-Faktor-Authentifizierung ein Rütteln oder eine starke Beschleunigung
(z. B. mittels App), insbesondere bei (z. B. bei einem Auffahrunfall) festgestellt hat.
hohem Risiko der Verarbeitung Da es aufgrund der Beeinträchtigung des Per-
Durchaus empfehlenswert ist in diesem Zusam- sönlichkeitsrechts bei einer anlasslosen Video-
menhang auch der Passwort-Check des Bayeri- überwachung von öffentlich zugänglichen Flä-
schen Staatsministeriums für Digitales, der in- chen regelmäßig datenschutzrechtlich unzuläs-
nerhalb des eigenen Browsers ein eingegebenes sig ist, derartige Aufnahmen anzufertigen (z. B.
Passwort auf dessen Stärke bewertet. bei Dashcams), beabsichtigen wir im Rahmen
einer Kontrolle, u. a. eigene Analysen an einem
www.stmd.bayern.de/service/passwort-check
Tesla-Fahrzeug im Jahr 2020 durchzuführen, um
insbesondere den Einsatz des Sentry Modes auf
Grund der vorhandenen Beschwerden daten-
schutzrechtlich abschließend zu bewerten.

Wer als Tesla-Fahrer jetzt schon auf Nummer si-


cher gehen und keinen datenschutzrechtlichen
Verstoß riskieren möchte, sollte diese Funktion
entweder nicht oder nur auf dem eigenen
Grundstück ohne Blick auf einen öffentlichen
Bereich (z. B. öffentliche Straße) aktivieren.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 67


Technischer Datenschutz und Informationssicherheit

18.4 Umgang mit Bedrohungen wird, um damit weitere Systeme zu infizieren. Es


ist ebenfalls möglich, dass sich der Schadcode
durch Emotet
im lokalen Netzwerk weiterverbreitet, dort wei-
tere Systeme infiziert und diese zum Bestandteil
Klassische Virenscanner bieten nach wie
des Botnetzes macht.
vor kaum Schutz vor Emotet – der Sicher-
heitsfaktor Mensch bleibt gerade bei Die meisten solcher Meldungen nach Art. 33
E-Mail-Kommunikation ein Schlüsselfak- DS-GVO erhielten wir von Unternehmen, die mit
tor. einem Emotet infiziert wurden, der die E-Mail-
Kommunikation ausleitet, die dann im Namen
Auch im Jahr 2019 blieb die Bedrohungslage des betroffenen Unternehmens für weitere au-
durch Schadsoftware für Betriebe und Bürger tomatisierte Angriffe verwendet werden. Die
allgemein hoch. Besonders hervorgehoben hat Unternehmen wurden hierbei von bestehenden
sich dabei die Malware Emotet, die bei vielen bei Kommunikationspartnern darauf hingewiesen,
uns eingegangenen Meldungen zur Verletzung dass sie eine vermeintliche E-Mail samt
der Sicherheit nach Art. 33 DS-GVO die Ursache Schadcode(link) von diesen erhalten hätten.
war.
Die bei uns registrierten Emotet-Meldungen
Emotet stellt seit Längerem eine der größten umfassten im Prinzip alle Sektoren und Unter-
Bedrohungen im Internet dar, da dieser Trojaner nehmensgrößen, sowohl mittelständische und
in der Regel aufgrund seiner sogenannten poly- kleine Unternehmen als auch Ärzte oder Rechts-
morphen Struktur von signaturbasierten Vi- anwälte. Wir haben uns deshalb veranlasst ge-
renscannern nicht erkannt wird. Dies führt dazu, sehen, im Rahmen einer Pressemitteilung vor ei-
dass Nutzer im Posteingang direkt mit der ge- ner entsprechenden Infektionswelle zu warnen:
fährlichen E-Mail konfrontiert werden, anstatt www.lda.bayern.de/media/pm/pm2019_15.pdf
dass diese wie bei anderen Schädlingen heraus-
gefiltert werden. Nutzer, die eine solche authen-
18.5 E-Mail-Kommunikation
tisch aufbereitete, aber eben gefälschte Mail er-
halten, öffnen oft das enthaltene Word-Doku- zwischen
ment im Anhang oder klicken auf einen Link. Berufsgeheimnisträgern und
Damit wird dann der Download des eigentlichen betroffenen Personen
Emotet-Schadcodes samt automatischer Aus-
führung auf dem System ausgelöst. Soweit in E-Mails von Berufsgeheimnisträ-
gern (z. B. Rechtsanwälten) an betroffene
Während Emotet im Jahr 2014 noch als Ban-
Personen auch sensible Daten Dritter ent-
king-Trojaner fungierte, ist dessen Funktionali-
halten sind, entscheidet das Risiko, wie
tät heute weit umfassender. Man kann sagen,
dass jedes mit Emotet infizierte System Teil ei- diese verschlüsselt werden müssen.
nes weltumfassenden Emotet-Botnetzes wird,
das von Cyberkriminellen für verschiedene An- Berufsgeheimnisträger (z. B. Rechtsanwälte,
griffe – je nach Geschäftsmodell – verwendet Ärzte) kommunizieren mit ihren Mandanten
wird. So kommt es bei manchen Systemen, teils oder Patienten weiterhin häufig per E-Mail. Dies
erst nach Wochen, nachdem auf einen Link einer ist auch grundsätzlich möglich, da bspw. An-
Mail geklickt wurde, zu einer Verschlüsselung wälte gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DS-
von Dateien samt Lösegeldforderung (Ransom- GVO insoweit ein berechtigtes Interesse an der
ware), während bei anderen Systeme die E-Mail- effizienten Abwicklung ihres Schriftverkehrs
Kommunikation samt Adressbücher abgezogen geltend machen können.

68 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Technischer Datenschutz und Informationssicherheit

Allerdings haben Rechtsanwälte dann auch 18.6 Cyberabwehr Bayern


nach Art. 32 DS-GVO geeignete technische und
organisatorische Maßnahmen zu treffen, um ein Die Cyberabwehr Bayern soll künftig einen
dem Risiko angemessenes Schutzniveau zu ge- engen und schnellen Fachaustausch zwi-
währleisten. In diesem Zusammenhang ist zu
schen den staatlichen Akteuren im Bereich
berücksichtigen, dass Berufsgeheimnisträger
Cybersicherheit gewährleisten.
hinsichtlich aller Informationen, die ihnen in
Ausübung ihres Berufs bekannt geworden sind,
Vor dem Hintergrund einer zunehmenden und
zur Verschwiegenheit verpflichtet sind (§ 43a
überregionalen Bedrohungslage aus dem
Abs. 2 Bundesrechtsanwaltsordnung). Ein Ver-
Cyberraum hat die Bayerische Staatsregierung
stoß hiergegen stellt sogar eine Straftat nach
beschlossen, zum 01.01.2020 die „Cyberabwehr
§ 203 Abs. 1 Nr. 3 Strafgesetzbuch dar.
Bayern“ ins Leben zu rufen.
www.stmi.bayern.de/med/aktuell/archiv/
Aus diesem Grund müssen Berufsgeheimnisträ-
2019/191105mr/
ger unserer Auffassung nach beim Versand von
E-Mails grundsätzlich auf das Vorhandensein ei-
Dabei handelt es sich um eine ausschließlich be-
ner Transportverschlüsselung achten. Bei einem
hördeninterne Informations- und Kooperations-
hohen Risiko für die Rechte und Freiheiten ist
plattform für alle bayerischen Landesbehörden
zusätzlich eine Inhaltsverschlüsselung (bei-
mit Cybersicherheitsaufgaben. Die Teilnehmer
spielsweise mittels PGP oder SMIME) vorzuse-
der Cyberabwehr Bayern sind daher das Cyber-
hen.
Allianz-Zentrum (CAZ) im Bayerischen Landes-
amt für Verfassungsschutz, die Zentrale An-
Ein Absenken des angemessenen Schutzniveaus
sprechstelle Cybercrime (ZAC) im Bayerischen
bei einem hohen Risiko hin zu einer bloßen
Landeskriminalamt, die Zentralstelle Cybercrime
Transportverschlüsselung ist zwar mit Zustim-
der Generalstaatsanwaltschaft Bamberg (ZCB),
mung der betroffenen Person möglich; dies gilt
das Landesamt für Sicherheit in der Informati-
jedoch nur insoweit, als hiervon ausschließlich
onstechnik (LSI), das Bayerische Landesamt für
Daten der betroffenen Personen enthalten sind.
Datenschutzaufsicht (LDA) und der Bayerische
Soweit E-Mails eines Berufsgeheimnisträgers
Landesbeauftragte für den Datenschutz (LfD).
auch sensible personenbezogene Daten Dritter
mit einem hohen Risiko (z. B. zu der gegneri-
Dieses Gremium hält regelmäßig gemeinsame
schen Partei bei einem Rechtsanwalt) enthalten,
Lagebesprechungen ab, um aktuelle cybersi-
ist zwingend eine Inhaltsverschlüsselung vorzu-
cherheitsrelevante Ereignisse zu erörtern, aus
nehmen.
der jeweils behördenspezifischen Perspektive zu
bewerten und sich maßnahmenorientiert abzu-
Der sendende Berufsgeheimnisträger muss bei
stimmen. Dadurch werden Kompetenzen ge-
Versand von Daten von Dritten sich zudem ver-
bündelt, Ressourcen effizienter eingesetzt und
gewissern, dass der E-Mail-Provider des Emp-
Reaktionszeiten – insbesondere in Krisenlagen –
fängers (d. h. der der betroffenen Person) die In-
verkürzt sowie ein breiterer Überblick über die
halte der E-Mail nicht zu Werbezwecken aus-
aktuelle Cyberlage ermöglicht.
wertet. Sollte dies der Fall sein, wie es bspw. bei
vielen Freemail-Providern der Fall ist, ist unab-
hängig vom Risiko eine Inhaltsverschlüsselung
vorzunehmen.

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 69


19
Bußgeldverfahren
Bußgeldverfahren

19 Bußgeldverfahren
19.1 Zentrale Bußgeldstelle Die jeweiligen Sachverhalte wurden unserer
Zentralen Bußgeldstelle auf verschiedenen We-
Organisatorisch haben wir im Jahr 2019 unsere gen zur Kenntnis gebracht: Unmittelbar durch
mit zwei Personen besetzte Zentrale Bußgeld- die betroffenen Personen, über die Polizei oder
stelle (ZBS) geschaffen. Die Personen der ZBS durch Abgaben der Staatsanwaltschaft nach
arbeiten ausschließlich in diesem Bereich und Abschluss des dortigen strafrechtlichen Ermitt-
nicht mehr, wie früher, teilweise auch im auf- lungsverfahrens gemäß § 43 OWiG zur Prüfung
sichtlichen Bereich. der datenschutzrechtlichen Ordnungswidrigkei-
ten in eigener Zuständigkeit.
19.2 Bußgeldverfahren
Wegen der Überlastung unserer Behörde (siehe
Nach wie vor erreichen uns viele Fälle, die den Vorwort dieses Berichts) konnte eine Abgabe
Einsatz von Dash-Cams, Videoüberwachung des von den jeweiligen aufsichtlichen Fachberei-
öffentlichen Raums durch Private oder Veröf- chen nur in einem geringen Umfang erfolgen,
fentlichungen personenbezogener Daten im In- da schließlich auch die Aufbereitung eines fest-
ternet ohne Einwilligung der Betroffenen – v. a. gestellten Verstoßes für die Bußgeldstelle mit
auf Social-Media Plattformen wie Facebook, In- einem Aufwand verbunden ist. Durch eine in-
stagram und WhatsApp – betreffen. terne Dienstanweisung und Verfahrensbe-
schreibung soll in Zukunft erreicht werden, dass
Insgesamt haben wir ca. 100 Bußgeldverfahren bußgeldrelevante Verstöße, die im aufsichtliche
abgeschlossen, eines davon mit einem Bußgeld- Verfahren festgestellt wurden, vermehrt an die
bescheid nach der DS-GVO. Darüber hinaus be- Bußgeldstelle abgegeben werden können.
finden sich derzeit einige Verfahren bereits im
Stadium der Anhörung und werden in absehba- 19.3 Datenabruf für private
rer Zeit in den Erlass eines Bußgeldbescheides Zwecke
münden.
Beschäftigte von öffentlichen Stellen, die
Die Bußgeldverfahren bezogen sich auch in die-
von dienstlichen Geräten personenbezo-
sem Berichtszeitraum teilweise noch auf die alte
gene Daten für private Zwecke abrufen,
Rechtslage, da die Datenschutzverstöße noch
werden nicht zu Verantwortlichen.
vor dem 25. Mai 2018 begangen wurden. Für
Handlungen, die vor dem 25. Mai 2018 beendet
Weiterhin galt es für uns verschiedenste Prob-
wurden, gilt aufgrund des sog. Meistbegünsti-
leme, die die neue Rechtslage mit sich bringt, zu
gungsprinzips des § 4 Abs. 3 des Gesetzes über
lösen. So wurde beispielsweise im Berichtszeit-
Ordnungswidrigkeiten (OWiG) zumeist noch die
raum in Zusammenarbeit mit dem Bayerischen
alte – mildere – Rechtslage weiter, sodass auf
Landesbeauftragten für den Datenschutz
diese Sachverhalte die Bußgeldvorschrift des
(BayLfD) die Zuständigkeit für Bußgeldverfahren
§ 43 Bundesdatenschutzgesetz alte Fassung an-
gegen Mitarbeiter öffentlicher Stellen, die unzu-
zuwenden ist. Inzwischen handelt es sich aber in
lässig Datenabrufe zu privaten Zwecken vorneh-
der überwiegenden Mehrheit an Fällen um Buß-
men, wie folgt geklärt:
geldverfahren nach der DS-GVO.

Datenabrufe durch Mitarbeiter öffentlicher Stel-


len aus behördlichen Datenbanken – wie bei-

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 71


Bußgeldverfahren

spielsweise aus polizeilichen Recherchesyste- ist nicht berechtigt, Zwecke und Mittel der Da-
men – sind nur dann erlaubt, wenn ein dienstli- tenverarbeitung zu bestimmen. In Fällen, in de-
cher Anlass dafür besteht. nen der Auftragsverarbeiter in rechtswidriger
Weise seine Befugnisse überschreitet, regelt
Kern des behandelten Problems ist die Frage, ob Art. 28 Abs. 10 DS-GVO, dass er für diese Verar-
ein Mitarbeiter einer öffentlichen Stelle bei ei- beitung als eigener Verantwortlicher im Sinne
nem Datenabruf aus einem behördlichen Abfra- der DS-GVO haftbar wird. Dies ist vergleichbar
gesystem ohne dienstlichen Anlass, d. h. zu rein mit einem Behördenmitarbeiter, der seine Be-
privaten Zwecken, selbst zum Verantwortlichen fugnisse überschreitet. Eine dem Art. 28 Abs. 10
im Sinne des Art. 4 Nr. 7 DS-GVO wird – mit der DS-GVO entsprechende Regelung zur eigenen
Konsequenz der Anwendbarkeit des Art. 83 DS- Verantwortlichkeit von Behördenmitarbeitern
GVO – oder Teil der verantwortlichen öffentli- bei Datenverarbeitungen zu privaten Zwecken
chen Stelle bleibt, sodass die Bußgeldvorschrift fehlt jedoch, sodass davon auszugehen ist, dass
des Art. 23 des Bayerischen Datenschutzgeset- der Gesetzgeber eine solche gerade nicht re-
zes (BayDSG) anzuwenden ist. Wenn man der geln wollte.
ersten Auffassung folgen würde, würde der be-
hördliche Mitarbeiter den unzulässigen Daten- In der Konsequenz bedeutet dies, dass mangels
abruf als nicht-öffentliche Stelle durchführen, Verantwortlichkeit des den Datenabruf tätigen-
sodass wir für die Ahndung des Verstoßes zu- den Mitarbeiters nicht die Verwirklichung einer
ständig wären. Ordnungswidrigkeit nach Art. 83 DS-GVO, son-
dern nur die Verwirklichung einer Ordnungs-
Nach übereinstimmender Ansicht des BayLfD widrigkeit nach Art. 23 BayDSG in Betracht
und uns wird ein Mitarbeiter einer öffentlichen kommt.
Stelle, der Datenabrufe zu rein privaten Zwe-
cken vornimmt, nicht zum selbstständigen Ver- Die Zuständigkeit für die Ahndung einer sol-
antwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO, chen Ordnungswidrigkeit nach Art. 23 BayDSG
sondern bleibt Teil der verantwortlichen Be- ergibt sich aus § 36 Abs. 2 OWiG in Verbindung
hörde. Verantwortlicher im Sinne des Art. 4 Nr. mit der (Bayerischen) Zuständigkeitsverord-
7 DS-GVO ist, wer über die Zwecke und Mittel nung (ZustV).
der Verarbeitung von personenbezogenen Da-
ten entscheidet. Der einzelne Mitarbeiter einer Im Bereich der Polizei sind nach § 91 Abs. 3
öffentlichen Stelle entscheidet jedoch nicht ZustV die dem Staatsministerium des Innern, für
selbst über die grundsätzlichen Zwecke und Sport und Integration unmittelbar nachgeord-
Mittel der Abfragesysteme, vielmehr verwendet neten Polizeidienststellen für die Verfolgung
er lediglich die ihm zur Verfügung gestellten der Ordnungswidrigkeit zuständig. Im Übrigen
Programme. Darüber hinaus regelt Art. 3 Abs. 2 kommt meist § 87 Abs. 1 Satz 1 ZustV zur An-
BayDSG auf Grundlage der in Art. 4 Nr. 7 DS- wendung, wonach diejenige Verwaltungsbe-
GVO enthaltenen Spezifizierungsklausel, dass hörde zuständig ist, der der Vollzug der Rechts-
Verantwortlicher für die Verarbeitung perso- vorschrift obliegt, gegen die sich die Zuwider-
nenbezogener Daten im Sinne der DS-GVO die handlung richtet. Das ist diejenige öffentliche
für die Verarbeitung zuständige öffentliche Stelle, in deren Bereich der Verstoß gegen Art.
Stelle ist. 23 BayDSG begangen wurde.

Auch ein Vergleich mit den in der DS-GVO ent- Dieses Ergebnis ist in Hinblick auf eine so mög-
haltenen Regelungen zum Auftragsverarbeiter liche Harmonisierung des disziplinarrechtlichen
stützt dieses Ergebnis: Ein Auftragsverarbeiter Vorgehens und der Verfolgung der Ordnungs-
widrigkeit aus Art. 23 BayDSG auch sachgerecht.

72 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Bußgeldverfahren

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 73


Stichwortverzeichnis

Stichwortverzeichnis

A G
Abhilfemaßnahmen.............................................................. 14 Geschäftsgeheimnisse ......................................................... 35
Adresshandel .......................................................................... 37 Gesundheit ............................................................................... 49
Apple-Kamerafahrten.......................................................... 60 Gesundheitsdaten im Web ................................................ 66
Ausgeschiedene Mitarbeiter ............................................ 47 Gesundheitszustand Mitarbeiter..................................... 46
Auskunft .................................................................................... 26 Google Analytics .................................................................... 30
Ausweiskopien ....................................................................... 33
H
B
Handel ........................................................................................ 40
Backgroundscreening ......................................................... 47
Banken ....................................................................................... 35 I
BDSG .......................................................................................... 24
Benennungspflicht DSB ...................................................... 24 Identitätsprüfung................................................................... 33
Beratungen .............................................................................. 12 IMI-System ............................................................................... 14
Berichtigung von Diagnosen ........................................... 49 Internationaler Datenverkehr ........................................... 43
Beschäftigtendatenschutz ................................................. 46 Internet ...................................................................................... 29
Beschwerden ........................................................................... 10
Betroffenenrechte ................................................................. 26 K
Bußgeldverfahren ................................................................. 71
Kohärenz ................................................................................... 14
Kontrollanregung .................................................................. 11
C Kontrollen ................................................................................. 18
Cookies ...................................................................................... 30
Cyberabwehr Bayern ........................................................... 69 M
Cybersicherheit ............................................................... 18, 69
Meldevorschrift ...................................................................... 13
Mieterdatenschutz ................................................................ 55
D Mitgliederverwaltung .......................................................... 52
Datenabruf für private Zwecke........................................ 71
Datenschutzbeauftragter ................................................... 24 N
Datenschutzverletzungen ........................................... 13, 63
Namensverwechslung ......................................................... 41

E
O
Einwilligung ...................................................................... 19, 40
Öffentlicher Aushang ........................................................... 53
E-Mail-Kommunikation ...................................................... 68
Öffentlichkeitsarbeit ............................................................. 16
E-Mail-Werbung .................................................................... 37
Online-Versandhändler ....................................................... 40
Emotet ....................................................................................... 68
Organigramm............................................................................ 8
Energieversorger ................................................................... 40
Europäische Verfahren........................................................ 14
P
F PACS-Server ............................................................................. 66
Passwörter ................................................................................ 66
Facebook .................................................................................. 47
Patientendaten ....................................................................... 49
Facebook Fanpages ............................................................. 29
Personalressourcen............................................................... 14
FAQ ............................................................................................. 12
Planstellen ................................................................................ 15

74 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht


Stichwortverzeichnis

Postdienstleister .................................................................... 40 U
Privacy Shield .......................................................................... 43
Prüfungen ................................................................................. 18 Überstundenmitteilung .......................................................46

R V
Rechenschaftspflicht ............................................................ 20 Verbände ...................................................................................52
Rechtsanwälte.................................................................. 27, 33 Vereine .......................................................................................52
Versicherungswirtschaft ......................................................35
S Videoüberwachung ....................................................... 19, 59
Vorträge .....................................................................................16
Safer Internet Day ................................................................. 18
Schuldenberg .......................................................................... 11 W
Shisha-Bars .............................................................................. 19
SMS-Werbung ........................................................................ 37 Websites ............................................................................ 18, 29
Soziales ...................................................................................... 49 Werbeprofiling ........................................................................37
Statistik ...................................................................................... 10 Werbung ...................................................................................37
Steuerberater .......................................................................... 33 Windows 10 .............................................................................22
Straßenaufnahmen ............................................................... 60 Wohnungsdurchsuchung ...................................................56
Wohnungswirtschaft ............................................................55
T
Z
Technischer Datenschutz ................................................... 66
Telemetriedaten..................................................................... 22 Zahlen und Fakten ................................................................10
Tesla ............................................................................................ 67 Zentrale Bußgeldstelle .........................................................71
Tracking ............................................................... 18, 20, 29, 30

Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 75


Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach

Tel.: 0981 180093-0


Fax: 0981 180093-800
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de