Das LfDI hat seinen 37. Tätigkeitsbericht 2021 veröffentlicht. Er trägt den Titel „Wege aus der Pandemie – zurück zur Freiheit“. Daraus ist klar erkennbar, dass die Corona-Pandemie immer noch einen Schwerpunkt im Bericht einnimmt.
Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.
Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.
Inhaltsverzeichnis
Auf den Punkt gebracht: Tätigkeitsbericht des LfDI
- Einen wesentlicher Bestandteil des Tätigkeitsberichts nimmt das Thema Datenschutz in der Corona-Pandemie ein.
- Außerdem wird wieder Stellung zu den Videokonferenzsystemen bezogen.
- Und natürlich werden auch die Themen Drittlandsübermittlungen sowie die Standardvertragsklauseln thematisiert.
Beteiligung bei der Corona-Verordnung der Landesregierung
Der Landesdatenschutzbeauftragte erläutert in diesem Teil des Berichts, dass auch die datenschutzrechtlichen Angelegenheiten in der Pandemie durch die verschiedenen Verordnungen und Maßnahmen zu berücksichtigen sind. Es wird deutlich, dass die Regierung das LfDI unterschiedlich einbezogen hat bei der Ausgestaltung der Verordnungen: teilweise zu spät, so dass eine entsprechende Prüfung nicht möglich war.
Positiv wird jedoch die CoronaVO Studienbetrieb hervorgehoben. Die Hochschulen forderten, den 3G-Status der Studierenden und Lehrenden speichern zu dürfen, da eine regelmäßige Prüfung kaum kontrollierbar ist. Durch die CoronaVO war es den Hochschulen gestattet, den 3G-Nachweis einmalig zu prüfen und dann einen (fälschungssicheren) Nachweis auszustellen, ohne dass personenbezogene Daten gespeichert werden durften.
Corona im Betrieb
Im Jahr 2021 wurden zahlreiche Beratungsanfragen zum datenschutzkonformen Umgang mit den enormen Herausforderungen der Pandemie gestellt.
Abfrage Impfstatus durch Arbeitgeber
- Zentrale Frage: Ist die Abfrage des Impfstatus durch den Arbeitgeber datenschutzrechtlich zulässig?
- Beim Impfstatus handelt es sich um ein Gesundheitsdatum und somit um besondere Kategorien nach Art. 9 DSGVO.
- Die Berufung auf das „berechtigte Interesse“ in Bezug auf die Fürsorgepflicht des Arbeitgebers ist ebenfalls nicht ausreichend, um den Impfstatus zu verarbeiten.
- Durch die SARS-CoV2-Arbeitsschutzverordnung können die Arbeitgeber zur „Festlegung und Umsetzung des betrieblichen Infektionsschutzes einen ihm bekannten Impf- und Genesungsstatus der Beschäftigten berücksichtigen“. Dies führte jedoch nicht zur automatischen Befugnis, den Impfstatus abzufragen.
- Mit § 28b IfSG wurde die gesetzliche Grundlage zur 3G-Zugangsregelung am Arbeitsplatz geschaffen. Das bedeutete jedoch nicht, dass die Mitarbeiter verpflichtet waren, ihren Impf- oder Genesenenstatus bekannt zu geben. Sie konnten stattdessen auch einen tagesaktuellen Testnachweis vorzulegen. Das LfDI veröffentliche zur diesbezüglich auch eine Orientierungshilfe.
Abfrage Impfstatus in besonderen Fällen insbesondere in der Heil- und Pflegebranche
- § 23a IfSG ermöglicht die Verarbeitung des Impf- und Genesenenstatus von Beschäftigten wie z.B. in Krankenhäusern, Arztpraxen etc.
- Diese Regelung wurde auf Gemeinschaftseinrichtungen, Justizvollzugsanstalten und Obdachlosenunterkünfte erweitert.
- Es ist jedoch zu prüfen, welche Angaben der Beschäftigten tatsächlich erforderlich sind, um die Immunisierung nachzuweisen.
Vergessen, die Rechnung zu bezahlen?
- Durch die Kontaktdatenerhebung zur Nachverfolgung von Infektionsketten kam es zu zahlreichen Datenschutzverstößen.
- Die Telefonnummer eines Gastes wurde durch einen Restaurantmitarbeiter verwendet, um auf die ausstehende Rechnung hinzuweisen.
- Ein Kinobetreiber stellte einen Kinobesucher nach dessen schlechter Online-Bewertung ebenfalls mit der erhobenen Telefonnummer zur Rede.
- Diese Fälle zeigen eindeutig, dass es noch zahlreiche Unklarheiten bei der Datenverarbeitung deren Zweckbindung gibt.
Das LfDI weist im Bericht nochmals ausdrücklich darauf hin, welche Daten erhoben und zu welchem Zweck diese verarbeitet und weitergegeben werden dürfen:
- Vor- und Nachname,
- Anschrift
- Kontaktdaten (Telefonnummer oder E-Mail-Adresse)
- Zeitraum des Aufenthalts
- Der Verantwortliche hat diese Informationen für vier Wochen aufzubewahren und anschließend datenschutzgerecht zu vernichten. Ein Aktenvernichter der Sicherheitsstufe 3/4 ist hierfür ausreichend. Bei digital gespeicherten Informationen sind diese dauerhaft zu löschen.
- Die Informationen sind auch so aufzubewahren, dass unbefugte Personen (z.B. weitere Gäste) keinen Zugriff oder Einsicht auf die Daten haben.
- Die Daten dürfen ausschließlich auf Anforderung des Gesundheitsamtes an dieses übermittelt werden. Weitere Verarbeitungen zu eigenen Zwecken sind nicht zulässig!
Die Verpflichtung zur Kontaktdatenverarbeitung, Luca App und Corona-Warn-App
Mithilfe digitaler Lösungen, insbesondere der Luca App und der Corona Warn-App (CWA), sollte die Kontaktnachverfolgung vereinfacht werden, um die Zettelwirtschaft weitestgehend einzudämmen.
Allerdings stellte sich bei der Prüfung diverser Apps heraus, dass keine Plausibilitätsprüfung der Gästedaten vorgenommen wurde, dass die App Zugriffe auf die gespeicherten Daten zuließ oder die Daten an Google oder Facebook weitergegeben wurden.
Kontaktnachverfolgung und die Luca App
- In der Stellungnahme vom 02.03.2021 wurde die Luca App seitens des LfDI – vorbehaltlich noch ausstehender Anpassungen – für datenschutzkonform eingestuft.
- Das LfDI sieht folgende Vorteile beim Einsatz der Luca App:
- Verschlüsselung der Daten: Der Veranstalter kann nicht die Daten nicht lesen. Somit ist ein Missbrauch durch Beschäftigte ausgeschlossen.
- Sichere Übermittlung der Anwesenheitsdaten zwischen Veranstalter und Gesundheitsamt
- Sicherstellung der vorgesehen Speicherdauer von 4 Wochen mit anschließender Vernichtung
- Zwischenzeitlich erhielt die Luca App auch Kritik. Die DSK hat hierzu ebenfalls eine Stellungnahme veröffentlicht und auch Verbesserungen gefordert.
- Die Luca-App bietet auch eine Lösung für Stellen an, die nicht zur Kontaktdatenerfassung verpflichtet sind und die Datenverarbeitung somit auf einer Einwilligung seitens der Besucher beruht. Diese Funktion wurde jedoch im Berichtszeitraum nicht bewertet.
Videokonferenzsysteme datenschutzkonform betreiben
- Im Herbst 2021 wurde eine umfangreiche Handreichung zum Thema Videokonferenzsysteme veröffentlicht, in welchem die Dienste Alfaview, BigBlueButton, Cisco WebEx, GoToMeeting, Jitsi, MS Teams und Zoom datenschutzrechtlich bewertet wurden.
- Einige Dienste nutzen die Daten für eigene Zwecke, was zu Schwierigkeiten führt. Für den öffentlichen Dienst (insbesondere Schulen) sind diese Videokonferenzdienste somit ausgeschlossen.
- Die Verantwortlichen haben drei Möglichkeiten, ein Videokonferenzsystem zu betreiben:
- Das System wird eigens gehostet und betrieben,
- der Verantwortliche greift auf einen externen Dienstleister zurück, welcher die Hard- und Software bereitstellt,
- es wird ein Online-Dienst (SaaS) genutzt. Die dritte Variante wird von den meisten Verantwortlichen genutzt.
- Die verschiedenen Fallgestaltungen werden in der Handreichung näher beleuchtet.
- Sofern sensible Daten (z.B. von Schülern) über das Videokonferenzsystem verarbeitet werden, so ist ein selbst gehosteter Dienst (Jitsi, BigBlueButton) oder ein sorgsam ausgewählter IT-Dienstleister zu bevorzugen.
Ohne Datenschutz und IT-Sicherheit schließt der Fortschritt Bürger aus
- Im Jahr 2021 wurden zahlreiche IT-Sicherheitslücken gemeldet und beschäftigte somit die Behörden.
- Insbesondere die Microsoft Exchange Sicherheitslücke im März 2021 zeigte auf, dass ein schnelles Handeln der Verantwortlichen notwendig ist beim Einspielen von Sicherheitsupdates.
- Auch die Sicherheitslücke in der Skriptbibliothek erforderte ein schnelles Handeln. Das LfDI geht davon aus, dass es auch noch im Jahr 2022 zu weiteren Datenpannen durch diese Schwachstelle kommen wird.
Ransomware und Phishing-Angriffe
- Daneben gab es noch zig Ransomware-Angriffe mit Verschlüsselungstrojanern. Folgemaßnahmen können das Risiko, Opfer eines Ransomware-Angriffs zu werden, deutlich reduzieren:
- Sicherheitsupdates müssen schnell eingespielt werden, um ein häufiges Einfallstor zu schließen.
- Es müssen Maßnahmen ergriffen werden, um im Falle eines erfolgreichen Angriffs mit einer zweiten Verteidigungslinie den Schaden zu minimieren – zum Beispiel, indem verschiedene interne Dienste voneinander abgeschottet sind und das Backup nicht an der gleichen zentralen Authentifizierung hängt.
- Interne Dienste sollten möglichst nicht von außen erreichbar sein, sondern via VPN, mit Client-Zertifikaten oder auf bestimmte IP-Bereiche beschränkt.
- Fernwartungssysteme aller Art müssen besonders gut abgesichert werden.
- Das Deaktivieren von Office-Makros verhindert eine häufige Angriffsmethode. Sollten Makros unbedingt notwendig sein, sollten ausschließlich von einer vertrauenswürdigen Instanz signierte Makros erlaubt sein.
- Bei der Nutzung von Cloud-Diensten sollte eine Zwei-Faktor-Authentifizierung (2FA) genutzt werden, um das Risiko für das Abgreifen von Passwörtern zu reduzieren. Es gab 2021 aber auch zahlreiche Berichte darüber, dass Angreifer selbst diese Hürde genommen haben.
- Des Weiteren wurden 2021 Meldungen über Phishing-Angriffe bei der Behörde eingereicht. Nutzer werden beispielweise zur Eingabe ihrer Daten über den dafür vorgesehen Link in der Mail aufgefordert. Es ist technisch nicht möglich, dieses Vorgehen gänzlich zu unterbinden. Abgesehen davon fehlt es den Mitarbeitern auch oft an Sensibilität und Know-How, Phishing Mails zu erkennen.
Hilfe / Tipps für Betroffene
- Betroffene Personen können unter Identity Leak Checker (hpi.de) und Have I Been Pwned: Pwned websites herausfinden, ob ihre E-Mail-Adresse von Datenpannen betroffen sind.
- Eine neue Methode im Jahr 2021 war auch das sog. „Smishing“. Hierbei werden betroffenen Personen regelmäßig per SMS Links zu angeblichen Sendungsverfolgungen, angeblich wartenden Sprachnachrichten oder angeblichen Bestellbestätigungen beschert, die im nächsten Schritt durch Telefonanrufe oder in gleicher Weise wie bei Phishing Personen in das Unglück führen.
- Die Behörde empfiehlt in einem solchen Fall, sich an die Bundesnetzagentur zu wenden und die Rufnummer im Smartphone zu sperren oder den Filter für unbekannte Nummern zu aktivieren.
Koordinierte Prüfung zum Drittstaatentransfer
- Die Datenschutzbehörden schickten im Berichtszeitraum Fragebögen an verschiedene Behörden und Unternehmen. Die Fragebögen befassten sich mit den Einsatz von Dienstleistern zum E-Mail-Versand, Hosting von Internetseiten, zum Web-Tracking, zur Verwaltung von Bewerberdaten und konzerninternen Datenaustausch.
- Großes Interesse hatte die Behörde vor allem am Einsatz von Dienstleistern für die Bewerberdatenverwaltung. Das Ergebnis war positiv: Nur in einem Fall wurden Unregelmäßigkeiten bei der Drittstaatenübermittlung festgestellt. Ein Unternehmen hatte einen Dienstleister in der EU mit der Bewerberdatenverwaltung beauftragt. Dieser wiederum hatte einen Unterauftragnehmer in einem unsicheren Drittland eingesetzt ohne eine entsprechende Prüfung. Das Unternehmen sicherte einen Wechsel des Dienstleisters zu, welcher keine Subunternehmer in Drittländern einsetzt.
Der europäische Blick
Gemeinsame Verantwortlichkeit und Auftragsverarbeitung
- Ob es jedoch um eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit handelt, ist zunächst zu klären. Die EDSA hat hierzu eine Guideline erstellt. Das LfDI hat ein FAQ der Guidelines des EDSA erstellt.
- Es wurde ein Vertragsmuster über die gemeinsame Verantwortlichkeit erstellt und veröffentlicht. Im Rahmen eines Projekts wurden die relevanten Aspekte herausgearbeitet und die Schwerpunkte für die Vertragsgestaltung identifiziert. Ziel soll sein, Verantwortliche bei der Ausgestaltung und der Aufteilung der Rechten und Pflichten zu unterstützen.
Internationaler Datentransfer – „Schrems II“ und Standarddatenschutzklauseln
- Die neuen Standardvertragsklauseln (SCC) sollen für eine Vielzahl von Beteiligen Datenimporteuren und -exporteuren gelten.
- Die neuen Standardvetragklauseln sind in vier Module aufgeteilt: Modul 1: Verantwortlicher zu Verantwortlichen; Modul 2: Verantwortlicher an Auftragsverarbeiter; Modul 3: Auftragsverarbeiter an Auftragsverarbeiter; Modul 4: Auftragsverarbeiter an Verantwortlichen.
- Somit ist auch der Transfer innerhalb eines Drittstaates oder von einem Drittstaat an einen anderen Drittstaat geregelt.
- Die neuen Standardvertragsklauseln müssen bis spätestens 27.12.2022 umgesetzt werden. Das heißt, sämtliche Altverträge mit den Dienstleistern müssen angepasst bzw. überarbeitet werden.
Nicht verwechseln: Neben den Standarddatenschutzklauseln für den Drittstaatentransfer
hat die EU-Kommission auch Standardvertragsklauseln gemäß Artikel 28 Abs. 7 DS-GVO als Alternative zur individuellen Auftragsverarbeitungsvereinbarung erlassen. Diese gelten für den Datenverkehr innerhalb der EU.
Aktuelles aus der Bußgeldstelle
In diesem Abschnitt werden die größten Datenpannen und höchsten Bußgelder vorgestellt.
VfB Stuttgart
- Im Jahr 2018 wurden wurden erhebliche Datenmengen unter anderem auch von Vereinsmitgliedern an einen externen Dienstleister übermittelt, ohne konkreten Zweck oder eine Rechtsgrundlage. Somit verstieß der Verein gegen seine Rechenschaftspflicht.
- Der Vorfall kam durch mehrere Medienberichte an die Öffentlichkeit und somit auch an die Aufsichtsbehörde.
- Der Fußballverein verpflichtet sich, das Datenschutzniveau in Hinblick auf die TOMs zu verbessern und junge Menschen für das Thema zu sensibilisieren
- Es wurde ein Bußgeld in Höhe von 300.000,00 € ausgesprochen.
„….Kontrolle ist besser?“
- Ein Eigentümer eines Gebäudekomplexes hatte im Außen- und Innbereich ca. 50 Kameras installiert. Im Innenbereich wurden Wohnungseingänge und Flure überwacht. Auch das zugehörige Ladengeschäft des Eigentümers war mit zahlreichen Kameras ausgestattet.
- Daraus resultierte eine dauerhafte Überwachung von Personen.
- Die Aufsichtsbehörde erwirkte beim zuständigen Amtsgericht einen Durchsuchungsbeschluss. Bei der Durchsuchung wurden 50 TB (Terabyte) Videomaterial gesichtet, welche nun im Detail ausgewertet werden.
Datenschutz-Vielfalt, veranschaulicht von Fall zu Fall
Innere Sicherheit, Justiz, Kommunalverwaltung
Pleiten, Pech und Pannen
- Eine der zahlreichsten Datenpannenmeldungen geht zurück auf die offenen E-Mail-Verteiler. In einem Fall waren mehr als 400 E-Mail-Adressen im Verteiler ersichtlich. Es konnte bei dieser Mail nicht ausgeschlossen werden, dass hier Gesundheitsdaten offen gelegt wurden. Eine abschließende Bewertung ist noch ausstehend.
- Es besteht die Möglichkeit, eine E-Mail an einen größeren Empfängerkreis in CC zu senden, sofern dies erforderlich ist. Ansonsten muss der Verteiler im BCC eingefügt werden.
- Neben E-Mails wurde auch eine Postsendung versehentlich an die Behörde übermittelt. Es waren darin drei Akten mit zahlreichen personenbezogenen Daten. Die Akten wurden unverzüglich an den Absender zurückgegeben mit der Aufforderung zur Überprüfung, ob eine Datenpanne gemeldet werden muss. Ergebnis: Bis heute kam noch keine Meldung zu dem Vorfall.
E-Mail-Accounts von Gerichtsvollziehern
- Es stellte sich immer häufiger heraus, dass öffentliche Stellen (insbesondere Gerichtsvollzieher) immer wieder E-Mail-Provider nutzen, die sich primär an Privatpersonen richten (z.B. outlook.de oder web.de).
- Problem dabei ist, dass diese E-Mail-Provider die Inhalts- und Metadaten für eigene Zwecke z.B. Werbung verarbeiten. Dies ist jedoch in diesem Kontext nicht zulässig.
- Des Weiteren kann es je nach Provider auch zu einer Datenübermittlung in Drittländer kommen. Das Schrems-II-Urteil betrifft auch öffentliche Stellen.
- Die Behörde verweist auf die Orientierungshilfen „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ und „Was jetzt in Sachen internationaler Datentransfer“.
Übers Ziel hinaus
- Die Dokumentation des Namens und die Adresse eines Fragenstellers in einer Gemeinderatssitzung im Protokoll ist nicht notwendig.
- Bürger wurden in der Vergangenheit bei Gemeinderatssitzungen vor der Fragestellung dazu aufgefordert, ihren Namen und die Adresse zu nennen. Diese Daten wurden meist auch im Protokoll aufgenommen. Begründet wurde dies, dass hierdurch die Frageberechtigung der Fragensteller überprüft wurde.
- Als Alternative verweist die Behörde daraufhin, dass der Fragesteller seinen Personalausweis nicht öffentlich vorzeigt. So ist die Dokumentation im Protokoll nicht mehr notwendig.
- § 38 Abs. 1 GemO regelt den Inhalt des Protokolls: Inhalt der Verhandlung, Name der Vorsitzenden, Zahl der Anwesenden und Name der abwesenden Gemeinderatsmitglieder, Gegenstand der Verhandlung, Anträge und Wahlergebnisse sowie der Wortlaut der Beschlüsse. Eine Protokollierungspflicht der Fragestellenden ergibt sich daraus nicht.
Gemeinderatssitzungen online
Richtige Rechtsgrundlage
- Gesetzlich gibt es noch keine Grundlage zu diesem Thema. Deshalb ist als einzige Rechtsgrundlage die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht zu ziehen. Die Einwilligung muss den Vorgaben der DSGVO entsprechen (Zweck, Umfang, etc.) und sie muss freiwillig sein.
- In der Regel scheitert es bei der Freiwilligkeit (Über-Unterordnungsverhältnis wie z.B. Arbeitsverhältnis).
- Auch Gemeinderatsmitgliedern muss eine echte Wahl angeboten werden, wenn diese nicht gefilmt werden wollen. Denkbar ist z.B. ein leicht verzögertes Streaming, so dass die jeweilige Person vor Ausstrahlung herausgeschnitten werden kann. Alternativ bietet sich auch eine reine Tonübertragung an.
Grundsatz der Datenminimierung
- Gemeinderatssitzungen dienen dem lokalen Bezug und sind mit einer globalen Verbreitung nicht vereinbar.
- Sofern die Gemeinderatssitzung über das Internet läuft, ist ein Live-Streaming der Veranstaltung ausreichend. Eine dauerhafte Zurverfügungstellung im Internet ist nicht erforderlich. Auch dürfen die Aufnahmen nicht intern aufbewahrt werden.
Angemessene TOMs
- Sofern ein externer Anbieter genutzt wird, ist zu prüfen, ob und welche personenbezogenen Daten der Anbieter auf welche Art verarbeitet.
- Automatische Funktionen, z.B. Transkription, sind zu hinterfragen, da ggf. eine Datenübermittlung in Drittländer stattfindet.
- Werden die Aufnahmen durch den Anbieter für eigene Zwecke genutzt, kommt eine gemeinsame Verantwortlichkeit in Frage.
Privatwirtschaft
Umgang mit der Kenntnis von Corona-Positivfällen
- In einer WG war ein Bewohner Corona-positiv getestet worden und erhielt daher eine Quarantäne-Anordnung. An diesem Tag plante die Vermieterin einen Besuch in der WG, um nach den Rechten zu sehen. Die WG informierte die Vermieterin, um eine Infektionsgefahr zu umgehen.
- Die Vermieterin sah sich nun verpflichtet, sämtliche Bewohner des Hauses über den Corona-Vorfall in der WG zu informieren. Natürlich ist der Schutz von Leben und Gesundheit vernünftig.
- Allerdings haben auch Vermieter die datenschutzrechtlichen Vorgaben einzuhalten. Insbesondere handelt sich es sich dabei um ein sensibles Gesundheitsdatum. Eine Offenlegung der Information stand der Vermieterin nicht zu.
Alles mit V: Verkehr, Vereine, Videoüberwachung
Intelligente Verkehrszählung mit intelligentem Datenschutz
- Die Behörde prüfte ein System, welches Tiefenbilder auf Infrarotbasis anfertigt. Der Tiefenbild-Sensor liefert dabei Aufnahmen bei denen Personen, die in einem PKW sitzen, nur schemenhaft zu sehen sind. Die KI ermittelt im Anschluss wie viele Personen im PKW sitzen.
- Bei diesem System ist demnach die Person unkenntlich und nicht eindeutig identifizierbar. Auch das KFZ-Kennzeichen wird nicht erfasst bzw. stark reflektiert.
- Somit liegt keine Verarbeitung personenbezogener Daten vor und die DSGVO ist nicht anwendbar.
Urteil des OLG Stuttgart zur Videoüberwachung in einem Lebensmittelgeschäft
- In einem Lebensmittelgeschäft wurden Videokameras zur Abschreckung von Diebstählen installiert. Der Beklagte konnte aus wirtschaftlichen Gründe kein weiteres Personal einstellen. Weiterhin ist unklar, ob eine ausreichende Informationspflicht zu Beginn vor vorhanden war. Allerdings konnte der Beklagte nicht beweisen, dass er den den Zweck vor Beginn der Videoüberwachung festlegte.
- Der Beklagte hat nach Art. 5 Abs. 2 DSGVO seiner Rechenschafts- und Dokumentationspflicht nachzukommen und diese auch zu beweisen. Dies konnte er jedoch in dem Verfahren nicht.
- Das OLG entschied somit, dass die Videoüberwachung unzulässig ist.
Videoüberwachung in Gaststätten – Verwaltungsgericht Stuttgart bestätigt Anordnung
- Im Verfahren ging es um ein Live-Monitoring des Gastraums in einer Gaststätte. Es wurden Live-Bilder durch zwei Kameras im Gastraum in das dahinter liegende Büro des Inhabers übertragen. Des Weiteren konnte der Inhaber die Live-Bilder jederzeit mit seinem Smartphone einsehen. Eine Speicherung fand nicht statt. Auf die Videoüberwachung wurde mittels eines Schildes hingewiesen.
- Die Kameras waren über der Theke installiert und erfassten den Eingangsbereich der Gaststätte, Stühle, Tische, Sitze an der Theke und einen kleinen Bereich hinter der Theke.
- Betroffen von der Videoüberwachung waren somit Gäste und Mitarbeiter im Servicebereich.
- Die Videoüberwachung stützte der Inhaber auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. In der Vergangenheit wurden insbesondere seine weiblichen Mitarbeiter bereits von den Gästen angegangen bzw. auch schon sexuell belästig worden. Die Mitarbeiterinnen selbst sind auf den Inhaber zugegangen und baten um die Installation der Videoüberwachung.
- Mildere Mittel, wie Einstellung eines Sicherheitspersonals, sind verworfen worden, da dies auch wirtschaftlich nicht tragbar war. Des Weiteren wurde vorgetragen, dass sich die Gäste dadurch noch mehr beobachtet fühlen würden.
- Das Verwaltungsgericht sieht die Videoüberwachung für rechtswidrig a, da keine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erfüllt ist. Die Gäste haben nicht eingewilligt; ebenso ist eine (konkludente) Einwilligung durch Lesen des Schildes am Eingang nicht erkennbar gewesen. Es spielt zudem keine Rolle, dass die Mitarbeiterinnen selbst die Überwachung gewünscht und damit eingewilligt haben, da vor allem viele Gäste von der Maßnahmen betroffen waren. Somit ist auch die Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO nicht gerechtfertigt.
Quelle
37. Tätigkeitsbericht des Landesdatenschutzbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2022/02/Taetigkeitsbericht_Datenschutz_2021.pdf