Bereits an verschiedenen Stellen in unserem Blog haben wir über die sogenannten Datenschutz-Aufsichtsbehörden geschrieben. Diese haben umfangreiche Aufgaben. Eine ist es, die Tätigkeiten der Behörden in Form von Jahresberichten zu dokumentieren und den Parlamente (Landtage und Bundestag) vorzustellen.
Diese Tätigkeitsberichte sind eine gute Informationsquelle für die Rechtsauffassungen und die Ausrichtungen der Behörden und geben einen Richtwert – auch für mögliche zukünftige Überprüfungen bzw. Überprüfungsschwerpunkte.
Wir haben uns alle verfügbaren Tätigkeitsbericht aus dem Jahr 2019 für Sie angeschaut und möchten Ihnen diese nun gerne aufbereitet nach Themenkomplexen als (teilweise gekürzte und angepasste) Zitatauswahl vorstellen. Hierbei haben wir uns die Themen herausgesucht, die am wahrscheinlichsten für Sie interessant sind. Aufgrund des Umfangs, erstellen wir für Sie hieraus eine Blog-Serie. Die Teile der Blogserie können Sie hier auswählen:
Im Volltext können Sie die Tätigkeitsberichte hier nachlesen:
Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz – ZAfTDa
Bei Fragen zu einzelnen Themen, sprechen Sie uns gerne an.
Übermittlungen
Asset Deal
Die Übertragung von Kundendaten auf die Erwerberin oder den Erwerber eines Unternehmens kann bei einem Asset Deal in bestimmten Fallkonstellationen auch ohne Einwilligung der Kundinnen und Kunden zulässig sein. Dabei ist jedoch stets sorgfältig zu prüfen, ob eine Übertragung mit dem Zweck der ursprünglichen Erhebung der Daten vereinbar ist und ob ihr schutzwürdige Interessen der Kundinnen und Kunden entgegenstehen.
Berlin, Kap. 9, Abs. 9.6
Übermittlung an Postdienstleister
Darüber hinaus übermitteln einige Händlerinnen und Händler die zur Verfügung gestellte E-Mail-Adresse jedoch auch an das mit dem Versand beauftragte Postdienstleistungsunternehmen. Dies erfolgt regelmäßig mit dem Ziel, Kundinnen und Kunden detailliertere Informationen über den Sendungsverlauf und das avisierte Zustelldatum zur Verfügung stellen zu können. Zu der Übermittlung der E-Mail-Adressen erreichten uns im Berichtszeitraum wiederholt Beschwerden. Die Verantwortlichen argumentierten regelmäßig, dass die Information über den Sendungsstatus auch im Interesse der Empfängerinnen und Empfänger liege, etwa um den Erhalt der Sendung am Tag der Zustellung entsprechend organisieren zu können. Verkannt wird dabei jedoch, dass die Zustellinformation auch unmittelbar durch den Onlinehandel selbst weitergegeben bzw. ein Link zur Sendungsverfolgung in die Versandbestätigung eingebunden werden kann. Dies stellt eine objektiv zumutbare Alternative zur Übermittlung an das zustellende Unternehmen dar, weshalb es bereits an der Erforderlichkeit der Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen fehlt. Die Übermittlung kann insoweit nicht auf Artikel 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung gestützt werden. Sofern die Kundin oder der Kunde eine derartige Übermittlung wünscht, kommt als Rechtsgrundlage nur eine vorherige, informierte Einwilligung in Betracht.
Brandenburg, Kap. III, Abs. 4
Gewinnspiele
Rücksendung in einem Briefumschlag: Sobald sich personenbezogene Daten auf einer Gewinnspielkarte befinden, dieüber die bloße Adresse hinausgehen, sollte der Gewinnspielteilnehmer deutlich darauf hin-gewiesen werden, dass aus datenschutzrechtlichen Gründen ein Briefumschlag verwendet werden sollte, um unberechtigte Einsichtnahmen in die Adresse und die weiteren personenbezogenen Daten des Gewinnspielteilnehmers zu verhindern.
Baden-Württemberg, Kap. 9, Abs. 9.6
Schriftgröße: Bei den durchgeführten aufsichtsrechtlichen Überprüfungen sind zudem zahlreiche Einwilligungen und Gewinnspiele mit einer Schriftgröße im Millimeterbereich aufgefallen. Stattdessen muss die Einwil-ligung zur Werbung transparent und verständlich erfolgen.
Das Trennungsgebot wurde durch ein Urteil des BGH (1.2.2018 – Az. III ZR 196/17) kürzlich leider aufgehoben. Zuvor konnte man (zwingend) zwischen den einzelnen Kontaktwegen und Werbefeldern auswählen. Trotzdem sollte auch nach neuer Rechtslage der Gewinnspielteilnehmer die Möglichkeit haben, einzelne Kommunikationswege und einzelne Werbefelder zu streichen oder einzeln auswählen zu können.
Wenn die Einwilligungen auf der Postkarte für das Gewinnspiel von der Einwilligung in die Datenverarbeitung zu Werbezwecken nicht klar getrennt sind, ist nach Art. 7 Absatz 2 Satz 2 DS-GVO diese Einwilligung unwirksam.
Die Einwilligung zur Werbung ist freiwillig: Eine Einwilligung ist demnach nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, der auf den vorgese-henen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Um-ständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hingewiesen wurde Einwilligung muss also stets für den konkreten Fall und in Kenntnis der Sachlage erteilt werden, um wirksam zu sein.
Weitergabe der Daten an Dritte: Soll die Einwilligung auf weitere Unternehmen erstreckt werden, so müssen diese in der Einwilligungserklärung mit Namen und Adresse explizit aufgeführt sein. Pauschale Einwilligungserklärungen genügen diesen Anforderungen jedenfalls nicht.
Daher müssen die Datenschutzhinweise neben der Einwilligung abgedruckt werden. Lässt sich dies auf Grund des Umfangs etwa auf einer Postkarte nicht darstellen, ist ein Hinweis auf die Datenschutzhinweise auf der Internetseite des Anbieters (z.B. als Link) im Wege eines sog. „Medienbruchs“ nach heutiger Meinung grundsätzlich denkbar.
Kontaktformular
Stellt ein Dienstleister ein verschlüsseltes Kontaktformular seinen Kunden zur Verfügung, sollte die automatisiert generierte Eingangsbestätigung per E-Mail ohne Mitteilung personenbezogener Daten erfolgen, da nicht sichergestellt werden kann, dass der Anbieter des E-Mail-Dienstes des Kunden eine Transportverschlüsselung ermöglicht.
Hessen, Kap. 8, Abs. 8.3
Fotoveröffentlichungen auf Webseiten
Durch eine Beschwerde erhielt das ULD Kenntnis davon, dass anlässlich von kulturellen Veranstaltungen einer Verantwortlichen Fotografien von Besuchern angefertigt und von der Verantwortlichen in hoher Auflösung veröffentlicht worden sind. Dazu fand sich lediglich auf der Webseite des Veranstalters (sinngemäß) folgende Textpassage: Mit dem Besuch einer unserer Veranstaltungen erklärst Du Dich bereit, dass Fotos und Filme Deiner Person im Rahmen der Veranstaltung angefertigt werden und auf unserer Website und unseren Social-Media-Kanälen bereitgestellt werden. Gerne löschen wir die Fotos nachträglich, wenn Du uns kontaktierst. Sofern die Anfertigung und spätere Veröffentlichung von Bildaufnahmen auf eine Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO zu stützen ist, ist ein solches Vorgehen nicht mit den Vorgaben an eine wirksame Einwilligung im Sinne des Artikels 7 DSGVO vereinbar. Den Besuchern wurde auch nicht hinreichend deutlich, dass eine Veröffentlichung in den entsprechenden Medien erfolgen soll. Die Verantwortliche hat die Erhebungs- und Veröffentlichungspraxis auf Hinweis des ULD hin angepasst.
Schleswig-Holstein, Kap. 5, Abs. 5.2.5
Betroffenenrechte
Empfänger oder Empfängerkategorien
Dennoch gibt es Unternehmen, die gegenüber den Betroffenen behaupten, wählen zu können, ob sie bei Datenübermittlungen die konkreten Empfänger dieser Daten übermitteln oder nur Empfängerkategorien. Diese Sichtweise lehnt der Landesbeauftragte entschieden ab, sie ist mit der DS-GVO nicht zu vereinbaren. Allein das Nen-nen von Kategorien von Empfängern (z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) hilft dem Betroffenen kaum weiter und hat auch mit größtmöglicher Transparenz nichts zu tun. Wenn es hier überhaupt um ein Wahlrecht gehen würde, stünde dieses außerdem nur dem Betroffenen zu, da es in diesem Abschnitt der DS-GVO um dessen Rechte geht. Soweit Daten schon an Dritte übermittelt worden sind, müssen diese konkret benannt werden. Sind Übermittlungen vorgesehen, genügt es, die Kategorien dieser Dritten aufzuzählen, soweit diese absehbar sind; dies müsste sich aber auch schon aus den Datenschutzhinweisen nach Art. 13, 14 DS-GVO ergeben.
Umfang der Auskunft
No-Go 2: Auskunft über ausschließlich Stammdaten als personenbezogene Daten Die bloße Beauskunftung von Stammdaten der betroffenen Person genügt nicht, um den An-forderungen des Art. 15 DS-GVO gerecht zu werden. Zu den personenbezogenen Daten ge-hören neben den Stammdaten unter anderem auch die Folgenden:
Bayern LDA, Kap. 5, Abs. 5.1
– Daten, welche Rückschlüsse auf das Konsumverhalten des Betroffenen geben (Einkäufe, Bestellungen, etc.)
– Kontodaten
– Körperliche Merkmale
– Interne Vermerke und Bewertungen
– Gesprächs- und Telefonvermerke
Bei einer großen Menge von personenbezoge-nen Daten kann der Verantwortliche eine Präzisierung der Anfrage anfordern.
Umfang der Auskunft II
Das Auskunftsrecht gewährt jedoch keinen umfassenden Anspruch auf Herausgabe der kompletten Kommunikation, die über das E-Mail-System eines Unternehmens geführt wird. Eine vollständige Herausgabe aller E-Mails aus dem System des Unternehmens, in denen der Name der Beschwerdeführerin auftaucht, ist schon allein deshalb nicht möglich, weil das Recht auf Herausgabe einer Datenkopie 98 durch die Rechte und Freiheiten anderer Personen beschränkt wird. 99 In der von der Beschwerdeführerin verlangten E-Mail-Kommunikation tauchten zahlreiche andere Personen (insbesondere andere Mitarbeitende des Unternehmens und Externe) auf, sodass hier umfangreiche Rückschlüsse auf personenbezogene Daten Dritter möglich gewesen wären, an denen die Beschwerdeführerin zudem kein konkretes Interesse vorgetragen hatte. Des Weiteren wäre mit einer umfassenden Herausgabe auch die Kenntniserlangung über interne Abläufe, Betriebsgeheimnisse und Knowhow des Unternehmens oder der mit ihm verbundenen Unternehmen verbunden gewesen. Dem standen berechtigte Unternehmensinteressen entgegen. Im Ergebnis waren also die Daten von Unterhaltungen, die die Beschwerdeführerin im erlaubten Umfang zu privaten Zwecken geführt hatte, an sie herauszugeben. An der rein dienstlich veranlassten Korrespondenz war jedoch aufgrund der Beendigung ihres Arbeitsverhältnisses kein berechtigtes Interesse der Beschwerdeführerin (mehr) anzunehmen.
Berlin, Kap. 8, Abs. 8.1
Recht auf Kopie
Relevanz hat zudem das Recht auf Kopie gemäß Art. 15 Abs. 3 DS-GVO. Zur Frage, in welcher Form eine Kopie zur Verfügung zu stellen ist, besteht noch keine einheitliche Auslegung. Zum Teil wird die Ansicht vertreten, dass der Anspruch auf Kopie auch durch Überlassung einer strukturierten Zusammenfassung der verarbeiteten Daten erfüllt werden kann. Das überzeugt mich aber nicht. Nach allgemeinem Verständnis ist mit einer Kopie eine originalgetreue Reproduktion gemeint. Es wird also die Herausgabe der Informationen in der Form gefordert, in der sie dem Verantwortlichen vorliegen.
Niedersachsen, Kap. I, Abs. I.2
Recht auf Löschung
Das Recht auf Löschung personenbezogener Daten des Mandanten gegenüber seinem Rechtsanwalt gemäß Art. 17 Abs. 1 DS-GVO scheitert häufig an der rechtsanwaltlichen Aufbewahrungspflicht von sechs Jahren für Handakten gemäß § 50 Bundesrechtsanwaltsordnung i. V. m. Art. 17 Abs. 3 lit. b DS-GVO.
Hessen, Kap. 11, Abs. 11.4
Prozess zu Betroffenenanfragen
In einem erheblichen Teil der in unserer Behörde eingegangenen förmlichen Beschwerden kritisieren Bürgerinnen und Bürger, dass Betroffenenrechte, die sie gegenüber einem Unternehmen, dem Hausarzt, einem Verein oder einer Behörde geltend gemacht haben, schlicht ignoriert oder nur unzureichend erfüllt werden. Wir raten Verantwortlichen, einen festen Prozess zu etablieren und Beschäftigte entsprechend zu schulen, wie mit Betroffenenrechten umzugehen ist.
Mecklenburg-Vorpommern, Kap. 8, Abs. 8.1.4