Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat im Juli seinen Tätigkeitsbericht für das Jahr 2020 veröffentlicht (jährliche Berichterstattung gemäss Art. 59 DSGVO). Das BayLDA informiert darin jeweils über die Anzahl Beschwerden, Beratungen und Meldungen sowie über seine Auffassung zu Einzelthemen. Nachfolgend finden sich einzelne Hinweise (Auswahl):
Beschwerden, Beratungen und Meldungen
Die Anzahl der Beschwerden und Kontrollanregungen wuchs auch im vierten Jahr unter der DSGVO, wenn auch nicht mehr so stark wie im Vorjahr.
Die Anzahl der Beratungen ist im Verhältnis zum Vorjahr gesunken. Dies lässt sich mit dem kontinuierlichen Ausbau der Online-Informationen des BayDLA, auch jeweils zu aktuellen Themen wie der Pandemie, erklären.
Die Anzahl Meldungen von Datenschutzverletzungen ist im Vergleich zum Vorjahr etwas zurückgegangen, bleibt aber auf hohem Niveau.
Coronavirus-Pandemie
Die Erfassung von Kontaktdaten durch Private bedingt eine datenschutzrechtliche Rechtsgrundlage gemäss Art. 6 DSGVO. Das scheint auf den ersten Blick unproblematisch, da die betroffenen Privaten zur Erfassung rechtlich verpflichtet sind (Art. 6 Abs. 1 lit. c DSGVO). Diese Rechtspflicht kann sich aber – wie andere Massnahmen zur Pandemiebekämpfung – stetig ändern. Wird eine Rechtspflicht aufgehoben, so fehlt es an einer Rechtsgrundlage. Öffentliche Interessen als alternative Rechtsgrundlage (Art. 6 Abs. 1 lit. e) lässt das BayLDA jedenfalls nicht gelten (S. 19):
Zwischenzeitlich war im Jahr 2020 auch die Ausübung von Wettkampf- und Trainingsbetrieb im Freizeitsport in gewissen Umfang zulässig, wobei eine Kontaktdatenerfassung jedoch nicht vorgeschrieben war, sondern lediglich die Maßgabe bestand, dass Personen mit typischen COVID-19-Krankheitssymptomen der Zugang zu Sportanlagen zu verwehren war. In solchen und anderen Fällen, in denen die Erfassung von Kontaktdaten rechtlich nicht vorgeschrieben war bzw. ist, darf diese auch nicht stattfinden, weil hierfür keine datenschutzrechtliche Rechtsgrundlage besteht. Soweit keine ausdrückliche gesetzliche Verpflichtung zur Kontaktdatenerfassung besteht, lässt sich diese insbesondere auch nicht etwa auf Art. 6 Abs. 1 Buchst. e DSGVO stützen, weil bei Fehlen einer ausdrücklichen gesetzlichen Pflicht gerade nicht davon ausgegangen werden kann, dass die Erfassung im Rahmen einer Aufgabenwahrnehmung im öffentlichen Interesse geschieht.
Beim Thema Zutrittskontrollen erinnert das BayLDA an die Verhältnismässigkeit und dabei insbesondere an die Eignung (S. 20):
Ein Unternehmen wollte im Rahmen der Zutrittskontrolle von Kunden verlangen, die Corona-Warn-App vorzuzeigen. Auch dies haben wir als datenschutzrechtlich unzulässig bewertet. Die App zeigte (im Berichtszeitraum) lediglich „Risikobegegnungen“ an, indes liefert auch diese Information keinen ausreichenden Anhaltspunkt für eine Infektion mit SARS-CoV2, so dass die Verarbeitung dieser Information ebenso wenig [wie das Fiebermessen mittels Thermometer oder Wärmebildkameras] als „erforderlich“ im Sinne der Wahrnehmung eines berechtigten Interesses des Unternehmens gelten kann.
Weiter verweist das BayLDA auf die Orientierungshilfe „Videokonferenzsysteme“ der Konferenz der Datenschutzschutzaufsichtsbehörden des Bundes und der Länder (DSK) sowie auf die «Checkliste zu datenschutzrechtlichen Regelungen bei Home-Office» des BayLDA (wir haben berichtet).
Google Analytics
Wie bereits im letzten Tätigkeitsbericht (wir haben berichtet) rügt das BayLDA die Aktivierung von Google Analytics auf Websites noch bevor eine aktive Einwilligung erteilt wird. Der Beschluss der DSK zum Einsatz von Google Analytics stelle weiter klar, dass die Kürzung der IP-Adresse durch Ergänzung des Trackingcodes um die Funktion „_anonymizeIp()“ lediglich eine Sicherheitsmassnahme darstellt und nicht dazu führt, dass die vollständige Datenverarbeitung anonymisiert erfolgt.
Apple-Kamerafahrten
Aufgrund der Apple-Niederlassung in München ist das BayLDA für die in Deutschland durchgeführten Apple-Kamerafahrten zuständig. Es beurteilt diese gemäss dem Beschluss der DSK zu Vorabwidersprüchen bei (Google) StreetView und vergleichbaren Diensten.
Das BayLDA hat Apple offenbar angehalten, nicht nur eine Kontaktmöglichkeit auf dem Internet, sondern auch postalisch vorzusehen (S. 29):
Das Verlangen nach Unkenntlichmachung gemäß Art. 17 Abs. 1 DS-GVO und der Widerspruch nach Art. 21 DS-GVO müssen sowohl online als auch postalisch eingelegt werden können. Auf diese Rechte muss ausdrücklich hingewiesen werden.
Schrems-II
Das BayLDA betont, dass der Abschluss der neuen Standardvertragsklauseln keine «einfache Lösung» für die vom EuGH im Rahmen des Schrems-II-Urteils (RS C‑311/18 vom 16.07.2020) aufgezeigte Problematik vermittelt. Der Datenexporteur muss der in den Klauseln festgehaltenen Prüfpflicht auch tatsächlich nachkommen. Er muss prüfen, ob Behörden des Drittlandes möglicherweise Zugriff auf die Daten in einem Umfang nehmen könnten, der über das nach EU-Recht akzeptable Mass hinausgeht. Hier stellt das BayLDA folgendes Vorgehen in Aussicht (S. 47):
Wir erwarten von Unternehmen und sonstigen Stellen, die personenbezogene Daten in Drittländer übermitteln, dass sie die o. g. Prüfung durchführen und dokumentieren. Bei uns ist bereits eine Reihe von Beschwerden zu Übermittlungen in Drittländer eingegangen, und wir sind verpflichtet, jeder dieser Beschwerden nachzugehen. Wir fordern dann vom Datenexporteur den Nachweis der Prüfung insbesondere der Zugriffsmöglichkeiten der Behörden im Drittland, und dass die Daten auch in Anbetracht dieser Zugriffsmöglichkeiten einen mit dem EU-Schutzniveau vergleichbaren Schutz genießen. Kann das Unternehmen dies nicht nachweisen, sind wir grundsätzlich verpflichtet, die Übermittlung zu untersagen – sofern das Unternehmen nicht von sich aus darauf verzichtet.
Weitergabe von Mieter-Kontaktdaten
Das BayLDA liefert im Bereich des Mieterdatenschutzes ein gutes Beispiel dafür, dass nicht immer das mildere Mittel zur Zweckerreichung gewählt werden muss, sondern nur, wenn dieses mildere Mittel zur Zweckerreichung ebenso geeignet ist (S. 64):
[Die Weitergabe von Kontaktdaten eines Mieters durch Vermieter an Handwerker] ist zumindest in der Regel auch ohne Einwilligung des Mieters aufgrund von Artikel 6 Abs. 1 Buchst. f DS-GVO zulässig, weil es einem berechtigten Interesse des Vermieters entspricht, dass der Handwerker zwecks Vereinbarung eines Reparaturtermins mit dem Mieter Kontakt aufnimmt. Zwar wäre es auch denkbar, dass der Handwerker ausschließlich gegenüber dem Vermieter einen oder mehrere aus seiner Sicht passende Termine nennt, und der Vermieter diese mit dem Mieter abzustimmen versucht und dann dem Handwerker entsprechende Rückmeldung gibt. Erfahrungsgemäß ist es aber oft nicht ganz einfach, Termine abzustimmen, ohne direkt miteinander in Kontakt zu sein. Daher ist es aus unserer Sicht grundsätzlich legitim, wenn der Vermieter durch Weitergabe der Telefonnummer an den Vermieter die direkte Kontaktaufnahme ermöglicht.