Bereits an verschiedenen Stellen in unserem Blog haben wir über die sogenannten Datenschutz-Aufsichtsbehörden geschrieben. Diese haben umfangreiche Aufgaben. Eine ist es, die Tätigkeiten der Behörden in Form von Jahresberichten zu dokumentieren und den Parlamente (Landtage und Bundestag) vorzustellen.

Diese Tätigkeitsberichte sind eine gute Informationsquelle für die Rechtsauffassungen und die Ausrichtungen der Behörden und geben einen Richtwert – auch für mögliche zukünftige Überprüfungen bzw. Überprüfungsschwerpunkte.

Wir haben uns alle verfügbaren Tätigkeitsbericht aus dem Jahr 2019 für Sie angeschaut und möchten Ihnen diese nun gerne aufbereitet nach Themenkomplexen als (teilweise gekürzte und angepasste) Zitatauswahl vorstellen. Hierbei haben wir uns die Themen herausgesucht, die am wahrscheinlichsten für Sie interessant sind. Aufgrund des Umfangs, erstellen wir für Sie hierraus eine Blog-Serie. Die Teile der Blogserie können Sie hier auswählen:

Im Volltext können Sie die Tätigkeitsberichte hier nachlesen:
Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz – ZAfTDa

Bei Fragen zu einzelnen Themen, sprechen Sie uns gerne an.

Werbung

Ausnahmeregelungen bei E-Mail-Werbung nach UWG

Bestehende Kunden-Beziehung (Bestandskunde) Es muss zuvor ein Vertrag zwischen dem werbenden Verantwortlichen und dem beworbenen Kunden geschlossen worden sein. Im Rahmen dieses Vertragsschlusses muss der Unternehmer die E-Mail-Adresse vom Kunden erhalten haben. Auch eine kostenlose Mitgliedschaft etwa in einer Partnerschaftsbörse führt zu einem Vertragsverhältnis über eine Dienstleistung (OLG München, Urteil vom 15. Februar 2018, Az. 29 U 2799/17). Ebenso verhält es sich während eines Probe- oder Schnupper-Abonnements. Der Wunsch des Kunden, einen Kostenvoranschlag oder ein Angebot erhalten zu wollen, genügt hier jedoch nicht. Tritt der Kunde wirksam vom Vertrag zurück, entfällt von diesem Zeitpunkt an diese Rechtsgrundlage, ebenso bei einer erfolgreichen Anfechtung des Vertrages. § 7 Absatz 3 UWG greift auch nicht (mehr), wenn ein Verbrauchervertrag (§§ 312g, 355 BGB) wirksam widerrufen wurde.
Eigenwerbung für ähnliche Waren oder Dienstleistungen
Der Verantwortliche darf E-Mail-Werbung für eigene – also nicht Werbung für Dritte oder für Produkte bzw. Dienstleitungen Dritter – ähnliche Waren oder Dienstleistun-gen durchführen. Die E-Mail-Werbung muss also in einem engen Zusammenhang mit dem gekauften Produkt oder der erhaltenen Dienstleistung stehen – in der Praxis der schwierigste Punkt. § 7 Absatz 3 UWG ist also regelmäßig keine Rechtsgrundlage für die Zusendung eines allgemeinen Unternehmens-Newsletters mit Angeboten über das gesamte Sortiment bzw. Leistungsangebot des Unternehmens. Die „Ähnlichkeit“ ist vielmehr im Sinne dieser Ausnahmevorschrift eng auszulegen, um die Kunden vor unerbetener Werbung zu schützen. Doch was ist unter dem Begriff „Ähnlichkeit“ zu verstehen? Hierzu hat das Thüringer Oberlandesgericht (Urteil vom 21. April 2010, Az. 2 U 88/10) ausgeführt: „Die Ähnlichkeit muss sich auf die bereits gekauften Waren beziehen und dem gleichen typischen Verwendungszweck oder Bedarf des Kunden entsprechen; ggf. ist es noch zulässig, Zubehör oder Ergänzungswaren zubewerben.“Eine Austauschbarkeit, wie vom Kammer-gericht Berlin gefordert (Beschluss vom 18. März 2011, Az. 5 W 59/11),sozusagen das Höchstmaß an Ähnlichkeit, ist rechtlich selbstverständlich zutreffend, werbemäßig aber (für beide Seiten) eher weniger interessant: Es macht kaum Sinn, nur für das konkrete Produkt werben zu dürfen, das der Kunde gerade erst gekauft hat (und daher in der Regel nicht unbedingt ein 2. Mal benötigt). Daher spricht das Gesetz auch von „ähnlich“ und nicht von „identisch“.Unter Berücksichtigung der o.g. Recht-sprechung und einschlägigen Literatur-meinungen sowie zum Zwecke der Ent-wicklung einer handhabbaren Auslegung ist aus der Sicht des Landesbeauftragten eine Ähnlichkeit der
• beworbenen Ware regelmäßig dann gegeben, wenn
◊ diese der typischen Einsatz- und Verwendungsmöglichkeit der gekauften Ware entspricht oder
◊ es sich um klassisches Zubehör oder Ersatzteile zu der gekauften Ware handelt oder
◊ es sich in einem engen Verwendungszusammenhang um eine verkehrsüb-liche Ergänzungsware zu der gekauf-ten Ware handelt.
• beworbenen Dienstleistung regelmäßig
dann gegeben, wenn
◊ diese dem typischen Leistungsziel der erbrachten Dienstleistung entspricht oder
◊ es sich um klassisches Zubehör zu der erbrachten Dienstleistung han-delt oder
◊ es sich um verkehrsübliche Zusatz- oder Ergänzungsdienstleistungen zu der erbrachten Dienstleistung han-delt. Entscheidend ist natürlich stets der kon-krete Einzelfall. Je öfter ein Kunde beim Unternehmen unterschiedliche Waren und Dienstleistungen einkauft, umso umfang-reicher wird natürlich die Werbemöglich-keit. Beispiele bzgl. Waren und Dienstleitungen
finden Sie im Anhang. Kundenbewertungs- oder Kundenzufriedenheitsanfragen per E-Mail, die stets als Werbung einzustufen sind – und zwar auch dann, wenn diese Anfragen unmittelbar nach einem Produkterwerb und zusammen mit der Rechnung übersendet werden (Bundesgerichtshof, Urteil vom 10. Juli 2018, Az.: VI ZR 225/17) –, fallen nicht unter § 7 Absatz 3 UWG (wegen eines völ-lig anderen Zwecks) und sind daher ohne vorherige Einwilligung stets datenschutz-widrig (aber leider weit verbreitet).
Kein bestehender Werbewiderspruch des Kunden
Der Kunde darf der E-Mail-Werbung zuvor nicht nach Art. 21 Absatz 2 DS-GVO wider-sprochen haben. Der Kunde muss ins
besondere die Möglichkeit haben, dieser werblichen Nutzung seiner E-Mail-Adresse bereits zum Zeitpunkt der Erhebung seiner E-Mail-Adresse, also noch während des Bestellvorgangs im Online-Shop, zu wider-sprechen. Dies gebietet Artikel 13 Absatz 2 der Datenschutzrichtlinie für elektronische Kommunikation. Näheres hierzu finden Sieim Tätigkeitsbericht 2014/2015, S. 156 f.
Hinweis auf jederzeitige Widerspruchsmöglichkeit zu Normaltarifen (Ab-meldemöglichkeit)
Jede Werbe-E-Mail muss den leicht auf-findbaren und gut lesbaren Hinweis enthal-ten, dass und wie der Werbung jederzeit zu Normaltarifen widersprochen werden kann. An dieser Stelle hat sich das Ange-bot eines Abmeldelinks bewährt.

Baden-Württemberg, Kap. 1, Abs. 1.6

Vermietung von Kundenadressen

Wir sind bei der Interessenabwägung jedoch zu dem Ergebnis gekommen, dass der Vermietung von Kundenadressen zu Werbezwecken in der Regel die schutzwürdigen Interessen der Kundinnen und Kunden entgegenstehen. Denn es entspricht nicht den allgemeinen Erwartungen einer Person, die im Versandhandel etwas bestellt, dass sie in der Folge von diversen Organisationen Werbesendungen erhält.

Berlin, Kap. 1, Abs. 1.3

Kopplung

Das Unternehmen HelloFresh hat bei der Online-Anmeldung zu seinem Dienst verlangt, dass mit einem einzigen Häkchen der Datenschutzerklärung den allgemeinen Geschäftsbedingungen und der telefonischen Kontaktaufnahme zu Werbezwecken gleichzeitig zugestimmt wird. Wir konnten erwirken, dass die Zustimmung zur telefonischen Kontaktaufnahme aus dem Kästchentext entfernt wurde. Nunmehr wird eine Einwilligung in die telefonische Kontaktaufnahme zu Werbezwecken separat eingeholt. Eine Einwilligung in eine für die Erfüllung eines Vertrags nicht erforderliche Datenverarbeitung darf nicht zur Bedingung des Vertrags gemacht werden.

Berlin, Kap. 9, Abs. 9.5

Werbung nach Vertragsanfrage

Der Vertrag kam letztlich jedoch nicht zustande. Um den späteren Beschwerdeführer doch noch als Kunden zu gewinnen, griff das Unternehmen vier Jahre später auf diese Daten zurück und versandte ein Werbeschreiben, wobei neben den Kontaktdaten auch einzelne Angaben aus der Vertragsanfrage verwendet wurden, um ein passendes, auf den potenziellen Kunden zugeschnittenes Produktpräsentieren zu können. Berechtigte Werbeinteressen bestehen nicht ewig. Liegt der letzte geschäftliche Kontakt – wie in diesem Fall – mehr als vier Jahre zurück und kommt der Vertrag nicht zustande, erwartet die betroffene Person nicht, dass alte Daten aus der Vertragsanbahnung plötzlich wieder für die werblichen Zwecke der Kundengewinnung genutzt werden

Brandenburg, Kap. I, Abs. 2

Double-Opt-In-Verfahren

Die Verwendung der Telefonnummer zur telefonischen Werbeansprache bedarf einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Art. 4 Nr. 11 DSGVO . Das Double-opt-in-Verfahren ist nicht geeignet zum Nachweis einer solchen Einwilligung.

Saarland, Kap. 4, Abs. 4.20

Videoüberwachung

Konkrete Ereignisse bei Videoüberwachung

Ein berechtigtes Interesse an einer Videoüberwachung muss konkret vorliegen und nachweisbar begründet sein. Vorfälle, Ereignisse und Beschädigungen sind daher zu dokumentieren (Datum, Art und Ort des Vorfalls, Schadenshöhe, etc.). Strafanzeigen und Versicherungsmeldungen sollten zum Nachweis des Überwachungsinteresses aufbewahrt werden.

Baden-Württemberg, Kap. 3, Abs. 3.3

Videoüberwachung im Beschäftigungsverhältnis

Wann eine Videoüberwachung von Arbeitsplätzen datenschutzrechtlich zulässig ist regelt § 26 des Bundesdatenschutzgesetzes (BDSG). Mit der Regelung werden die Interessen von Arbeitgebern und Arbeitnehmern in Bezug auf den Beschäftigtendatenschutz ausgeglichen. Hierbei gelten die vom Bundesarbeitsgericht entwickelten Grundsätze. Danach wird die Grenze einer zulässigen Videoüberwachung überschritten, wenn die Beschäftigten permanent an ihrem Arbeitsplatz überwacht werden und keine strafrechtlichen Handlungen im Raum stehen. Die Videoüberwachung ist dann als eine unzulässige Arbeits- und Leistungskontrolle seitens des Arbeitgebers zu werten. Einwilligung im Beschäftigtenverhältnis meist kritisch. Da ich das Unternehmen im Vorfeld über die Voraussetzungen einer wirksamen Einwilligung auf-geklärt hatte, wies ich das Unternehmen – wie zuvor angedroht – gemäß Art. 58 Abs. 2 lit. d und f DS-GVO förmlich an, die Verarbeitung personenbezogener Daten mittels Videoüberwachung mit der DS-GVO in Einklang zu bringen. Für die Außerbetriebnahme der Kameras während der Betriebszeiten ordnete ich zudem Sofortvollzug an.

Niedersachsen, Kap. 9.4

Verarbeitung von Kfz-Kennzeichen

Den Landesbeauftragten erreichte eine Anfrage, ob Supermärkte Kennzeichen von Kraftfahrzeugen speichern dürfen, um gegen wiederholte Parkverstöße auf dem jeweiligen Supermarkt-Parkplatz vorgehen zu können. In bestimmten Fällen kann gegen eine nicht erlaubte Benutzung von Parkflächen vorgegangen werden. Dies kann z. B. durch das Abschleppen von Fahrzeugen geschehen, wenn Personen, die nicht im Supermarkt einkaufen wollen, ihr Fahrzeug auf dem Supermarkt-Parkplatz abstellen, obwohl die Nutzung des Parkplatzes nur für Kunden gestattet ist (s. BGH, Urteil vom 5. Juni 2009, V ZR 144/08). In solchen oder ähnlichen Fällen kann es nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO zulässig sein, Kfz-Kennzeichen zur Verfolgung der rechtlichen Belange des Supermarktes zweckgebunden zu verarbeiten.

Sachsen-Anhalt, Kap. 14, Abs. 14.5

Videoüberwachungen auf Baustellen

Als Zwecke für die Videoüberwachung auf Baustellen wurde die Aufklärung von Diebstählen, Einbrüchen und Vandalismus angegeben. Diese Zwecke stellen grundsätzlich berechtigte Interessen im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO dar, ebenso wie z. B. die Feststellung von unberechtigtem Betreten während der Nachtzeit. Allerdings ist die Videoüberwachung nur insoweit zulässig, als sie zur Zweckerreichung erforderlich ist, sofern nicht Interessen oder Grundrechte und Grundfreiheiten betroffener Personen überwiegen. Daraus folgt, dass sich der Erfassungsbereich der Kameras auf die Bereiche beschränken muss, in denen mit Diebstählen, Einbrüchen, Vandalismus oder unberechtigtem Betreten zu rechnen ist. Regelmäßig reicht die Überwachung von Teilen der Baustelle. Die Überwachung unmittelbar angrenzender Bereiche kommt ausnahmsweise nur dann in Betracht, wenn die Überwachung auf der Baustelle zur Zweckerreichung nicht ausreichend geeignet ist. Die Videoüberwachung ist darüber hinaus regelmäßig in zeitlicher Hinsicht zu beschränken. Die genannten Gefahren drohen üblicherweise außerhalb der Zeiten, in denen auf der Baustelle gearbeitet wird. In diesen Fällen ist die Videoüberwachung auf den Zeitraum außerhalb der Arbeitszeiten zu beschränken, um auf diese Weise auch dem Beschäftigtendaten-schutz gerecht zu werden. Da sich die Beschäftigten aufgrund ihrer arbeitsvertraglichen Verpflichtungen der Überwachung häufig nicht entziehen können, ist die Videoüberwachung von Beschäftigten generell besonders problematisch. Dies gilt vor allem dort, wo die Be-schäftigten der Videoüberwachung nicht nur flüchtig oder vorübergehend ausgesetzt sind, sondern unmittelbar an einem Dauerarbeitsplatz. Nach der ständigen Recht-sprechung des Bundesarbeitsgerichtes ist daher bei der Überwachung von Beschäftigten ein besonders strenger Maßstab anzusetzen. Einer dauerhaften Mitarbei-terüberwachung müssen äußerst gewichtige berechtigte Interessen des Arbeitgebers gegenüberstehen. Soll die Videoüberwachung aber dazu dienen, das Personal vom Diebstahl abzuhalten bzw. des Diebstahls zu überführen, ist dies ausschließlich in den engen Grenzen des § 26 Abs. 1 Satz 2 BDSG zulässig. Diese Vorschrift ermöglicht ausschließlich bei einem konkreten Verdacht, der sich mit milderen Mitteln nicht aufklären lässt, die zeitlich und räumlich sehr eng auf die Aufklärung dieses Verdachtes ausgerichtete Videoüberwachung. Eine präventive, dauerhafte Verhaltens- und Leistungskontrolle ist nicht zulässig.

Sachsen-Anhalt, Kap. 15, Abs. 15.3

Zwecke der Verarbeitung auf Hinweisschilder

Die Zwecke der Datenverarbeitung können stichwortartig, jedoch nicht zu plakativ (vgl. Art. 12 Abs. 7 DS-GVO) angegeben werden. Die Stichworte müssen allerdings dem Ziel der Transparenzpflicht aus Art. 5 Abs. 1 lit. a DS-GVO, den Betroffenen über den Zweck der Videoüberwachung hinreichend konkret zu informieren, gerecht werden. Zur Verhinderung von Auffahrunfällen oder Staus bei der Zufahrt zur Tankstelle wird eine Reduktion der Hinweispflichten auf ein während der Zufahrt gut sichtbares Piktogramm als vertretbar erachtet. An den Zapfsäulen reicht das „vorgelagerte“ Hinweisschild, während die vollständige Datenschutzinformation (durch den umfassenden Aushang) im oder am Kassenraum erfolgen könnte. Es bleibt dem Verantwortlichen natürlich unbenommen, die umfassende Information bereits an den Zapfsäulen
anzubringen.

Sachsen-Anhalt, Kap. 15, Abs. 15.3

Sonstiges

Begriffsdefinition „ständig“

Insbesondere über die Frage, was unter „ständig“ zu verstehen ist, gibt es unter den deutschen Aufsichtsbehörden (im Gegensatz zu den allermeisten sonstigen Auslegungsfragen) keine einheitliche Auffassung. So wird zum Beispiel vertreten, dass ein Trainer ständig personenbezogene Daten verarbeitet, der regelmäßig einmal in der Woche für eine kurze Zeit die Liste seiner zu trainierende Personen auf seinem Laptop aktuali-siert, Mannschaftsaufstellungen erstellt o. ä. Wir vertreten die Auffassung, dass jemand nur dann ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist, wenn dies den überwiegenden Anteil seiner Beschäf-tigung für den Verantwortlichen darstellt.

Bayern LDA, Kap. 4, Abs. 4.2

Meldung von Datenpannen

Die Datenschutzkonferenz hat einen Arbeitskreis gegründet, bei dem ein einheitliches Verständnis für die Meldepflicht nach Art. 33 DS-GVO erarbeitet werden soll.

Irrtümliche fehlende Bestellung eines DSB

Auch die (irrtümliche) fehlende Bestellung eines betrieblichen Datenschutzbeauftragten führt immer wieder zu Maßnahmen meinerseits.
Ein noch nach altem Datenschutzrecht zu entscheidender Fall führte im Berichtsjahr zu einem Bußgeld in Höhe von 3.800,00 €. Auf den Fall wurde
ich durch eine Beschwerde aufmerksam. Ein Unternehmen hatte entgegen der gesetzlichen Bestimmungen keinen internen Datenschutzbeauftragten
bestellt. Meine Ermittlungen ergaben nach einem schleppenden Schriftverkehr, dass die Firma einen betrieblichen Datenschutzbeauftragten (bDSB)
hätte bestellen müssen.

Hessen, Kap. 15, Abs. 15.2

Freiwillige Bestellung eines DSB

Auch wenn im Einzelfall die Benennung eines Datenschutzbeauftragten nicht zwingend ist oder ein Grenzfall vorliegt, sollten Verantwortliche aus dem Gesundheitsbereich prüfen, ob sie freiwillig einen Datenschutzbeauftragten benennen (vgl. Art. 37 Abs. 4 Satz 1 1. Halbsatz DS-GVO). Denn unabhängig von der Benennungspflicht müssen sie sicherstellen, dass ausreichend datenschutzrechtlicher Sachverstand vorhanden ist, um der besonderen Sensibilität von Gesundheitsdaten gerecht zu werden (vgl. auch § 22 Abs. 2 Satz 2 Nr. 4 BDSG).

Sachsen-Anhalt, Kap. 12, Abs. 12.1.8

Personalunion DSB und ISB

Hierzu vertreten wir die Auffassung, dass die gleichzeitige Wahrnehmung der Funktionen in Personalunion nur insoweit möglich ist, als gleichgerichtete Aufgaben erfüllt werden. Die gleichzeitige Wahrnehmung der Funktion der oder des Datenschutzbeauftragten und der oder des Informationssicherheitsbeauftragten in Personalunion sollte daher in der Regel vermieden werden.

Bremen, Kap. 4, Abs. 4.4

Biometrisches Zugangssystem

Wir haben das Unternehmen gebeten, uns nach Abschluss der Testphase über die Ergebnisse zu informieren. Sollte anschließend ein Regelbetrieb angestrebt werden, müsste insbesondere sichergestellt werden, dass die Teilnahme an der biometrischen Zugangskontrolle durch die Möglichkeit einer alternativen Zugangskontrolle freiwillig bleibt, damit entsprechende Einwilligungen wirksam erteilt werden können.

Berlin, Kap. 11, Abs. 11.2

Verarbeitung aus öffentlich zugänglichen Quellen

Die Verarbeitung von personenbezogenen Daten aus öffentlich zugänglichen Quellen ist an Art. 6 Abs. 1 lit. f DSGVO zu messen. Regelmäßig liegen die Informationen zu den betroffenen Personen bereits durch die Registerveröffentlichungen vor, so dass eine Abwägung in der Regel zu Lasten der Betroffenen ausgeht. Den Großteil der Beschwerden musste der HmbBfDI jedoch zurückwiesen, da die Datenverarbeitung rechtmäßig erfolgte. Die Verarbeitung von personenbezogenen Daten aus allgemein zugänglichen Quellen ist in der DSGVO nicht ausdrücklich geregelt. Es gelten daher die allgemeinen Regelungen. Für die Datenverarbeitung durch das verantwortliche Unternehmen ist vorliegend Art. 6 Abs. 1 lit. f DSGVO heranzuziehen. Im Rahmen der vorgenommenen Abwägungsentscheidungen fiel die Interessenabwägung regelmäßig zu Gunsten des verantwortlichen Unternehmens aus.

Hamburg, Kap. III, Abs. 7

Kein Anfertigen einer Kopie von Ausweis und Führerschein

Die Erhebung von Ausweis- und Führerscheindaten ist für Probefahrten von Kaufinteressenten erforderlich. Aufgrund des Grundsatzes der Datenminimierung sollte jedoch auf das Anfertigen entsprechender Kopien verzichtet werden. Im Berichtszeitraum erhielt ich eine Beschwerde gegen ein Autohaus, das zur Durchführung von Probefahrten Kopien der Personalausweise und der Führerscheine der Kaufinteressenten anfertigte.

Hessen, Kap. 8, Abs. 8.1