BayL­DA: 10. Tätig­keits­be­richt 2020

Das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) hat im Juli sei­nen Tätig­keits­be­richt für das Jahr 2020 ver­öf­fent­licht (jähr­li­che Bericht­erstat­tung gemäss Art. 59 DSGVO). Das BayL­DA infor­miert dar­in jeweils über die Anzahl Beschwer­den, Bera­tun­gen und Mel­dun­gen sowie über sei­ne Auf­fas­sung zu Ein­zel­the­men. Nach­fol­gend fin­den sich ein­zel­ne Hin­wei­se (Aus­wahl):

Beschwer­den, Bera­tun­gen und Meldungen

Die Anzahl der Beschwer­den und Kon­troll­an­re­gun­gen wuchs auch im vier­ten Jahr unter der DSGVO, wenn auch nicht mehr so stark wie im Vorjahr.

Die Anzahl der Bera­tun­gen ist im Ver­hält­nis zum Vor­jahr gesun­ken. Dies lässt sich mit dem kon­ti­nu­ier­li­chen Aus­bau der Online-Infor­ma­tio­nen des BayD­LA, auch jeweils zu aktu­el­len The­men wie der Pan­de­mie, erklären.

Die Anzahl Mel­dun­gen von Daten­schutz­ver­let­zun­gen ist im Ver­gleich zum Vor­jahr etwas zurück­ge­gan­gen, bleibt aber auf hohem Niveau.

Coro­na­vi­rus-Pan­de­mie

Die Erfas­sung von Kon­takt­da­ten durch Pri­va­te bedingt eine daten­schutz­recht­li­che Rechts­grund­la­ge gemäss Art. 6 DSGVO. Das scheint auf den ersten Blick unpro­ble­ma­tisch, da die betrof­fe­nen Pri­va­ten zur Erfas­sung recht­lich ver­pflich­tet sind (Art. 6 Abs. 1 lit. c DSGVO). Die­se Rechts­pflicht kann sich aber – wie ande­re Mass­nah­men zur Pan­de­mie­be­kämp­fung – ste­tig ändern. Wird eine Rechts­pflicht auf­ge­ho­ben, so fehlt es an einer Rechts­grund­la­ge. Öffent­li­che Inter­es­sen als alter­na­ti­ve Rechts­grund­la­ge (Art. 6 Abs. 1 lit. e) lässt das BayL­DA jeden­falls nicht gel­ten (S. 19):

Zwi­schen­zeit­lich war im Jahr 2020 auch die Aus­übung von Wett­kampf- und Trai­nings­be­trieb im Frei­zeit­sport in gewis­sen Umfang zuläs­sig, wobei eine Kon­takt­da­ten­er­fas­sung jedoch nicht vor­ge­schrie­ben war, son­dern ledig­lich die Maß­ga­be bestand, dass Per­so­nen mit typi­schen COVID-19-Krank­heits­sym­pto­men der Zugang zu Sport­an­la­gen zu ver­weh­ren war. In sol­chen und ande­ren Fäl­len, in denen die Erfas­sung von Kon­takt­da­ten recht­lich nicht vor­ge­schrie­ben war bzw. ist, darf die­se auch nicht statt­fin­den, weil hier­für kei­ne daten­schutz­recht­li­che Rechts­grund­la­ge besteht. Soweit kei­ne aus­drück­li­che gesetz­li­che Ver­pflich­tung zur Kon­takt­da­ten­er­fas­sung besteht, lässt sich die­se ins­be­son­de­re auch nicht etwa auf Art. 6 Abs. 1 Buchst. e DSGVO stüt­zen, weil bei Feh­len einer aus­drück­li­chen gesetz­li­chen Pflicht gera­de nicht davon aus­ge­gan­gen wer­den kann, dass die Erfas­sung im Rah­men einer Auf­ga­ben­wahr­neh­mung im öffent­li­chen Inter­es­se geschieht.

Beim The­ma Zutritts­kon­trol­len erin­nert das BayL­DA an die Ver­hält­nis­mä­ssig­keit und dabei ins­be­son­de­re an die Eig­nung (S. 20):

Ein Unter­neh­men woll­te im Rah­men der Zutritts­kon­trol­le von Kun­den ver­lan­gen, die Coro­na-Warn-App vor­zu­zei­gen. Auch dies haben wir als daten­schutz­recht­lich unzu­läs­sig bewer­tet. Die App zeig­te (im Berichts­zeit­raum) ledig­lich „Risi­ko­be­geg­nun­gen“ an, indes lie­fert auch die­se Infor­ma­ti­on kei­nen aus­rei­chen­den Anhalts­punkt für eine Infek­ti­on mit SARS-CoV2, so dass die Ver­ar­bei­tung die­ser Infor­ma­ti­on eben­so wenig [wie das Fie­ber­mes­sen mit­tels Ther­mo­me­ter oder Wär­me­bild­ka­me­ras] als „erfor­der­lich“ im Sin­ne der Wahr­neh­mung eines berech­tig­ten Inter­es­ses des Unter­neh­mens gel­ten kann.

Wei­ter ver­weist das BayL­DA auf die Ori­en­tie­rungs­hil­fe „Video­kon­fe­renz­sy­ste­me“ der Kon­fe­renz der Daten­schutz­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) sowie auf die «Check­li­ste zu daten­schutz­recht­li­chen Rege­lun­gen bei Home-Office» des BayL­DA (wir haben berich­tet).

Goog­le Analytics

Wie bereits im letz­ten Tätig­keits­be­richt (wir haben berich­tet) rügt das BayL­DA die Akti­vie­rung von Goog­le Ana­ly­tics auf Web­sites noch bevor eine akti­ve Ein­wil­li­gung erteilt wird. Der Beschluss der DSK zum Ein­satz von Goog­le Ana­ly­tics stel­le wei­ter klar, dass die Kür­zung der IP-Adres­se durch Ergän­zung des Tracking­codes um die Funk­ti­on „_anonymizeIp()“ ledig­lich eine Sicher­heits­mass­nah­me dar­stellt und nicht dazu führt, dass die voll­stän­di­ge Daten­ver­ar­bei­tung anony­mi­siert erfolgt.

Apple-Kame­ra­fahr­ten

Auf­grund der Apple-Nie­der­las­sung in Mün­chen ist das BayL­DA für die in Deutsch­land durch­ge­führ­ten Apple-Kame­ra­fahr­ten zustän­dig. Es beur­teilt die­se gemäss dem Beschluss der DSK zu Vor­ab­wi­der­sprü­chen bei (Goog­le) Street­View und ver­gleich­ba­ren Dien­sten.

Das BayL­DA hat Apple offen­bar ange­hal­ten, nicht nur eine Kon­takt­mög­lich­keit auf dem Inter­net, son­dern auch posta­lisch vor­zu­se­hen (S. 29):

Das Ver­lan­gen nach Unkennt­lich­ma­chung gemäß Art. 17 Abs. 1 DS-GVO und der Wider­spruch nach Art. 21 DS-GVO müs­sen sowohl online als auch posta­lisch ein­ge­legt wer­den kön­nen. Auf die­se Rech­te muss aus­drück­lich hin­ge­wie­sen werden.

Schrems-II

Das BayL­DA betont, dass der Abschluss der neu­en Stan­dard­ver­trags­klau­seln kei­ne «ein­fa­che Lösung» für die vom EuGH im Rah­men des Schrems-II-Urteils (RS C‑311/18 vom 16.07.2020) auf­ge­zeig­te Pro­ble­ma­tik ver­mit­telt. Der Daten­ex­por­teur muss der in den Klau­seln fest­ge­hal­te­nen Prüf­pflicht auch tat­säch­lich nach­kom­men. Er muss prü­fen, ob Behör­den des Dritt­lan­des mög­li­cher­wei­se Zugriff auf die Daten in einem Umfang neh­men könn­ten, der über das nach EU-Recht akzep­ta­ble Mass hin­aus­geht. Hier stellt das BayL­DA fol­gen­des Vor­ge­hen in Aus­sicht (S. 47):

Wir erwar­ten von Unter­neh­men und son­sti­gen Stel­len, die per­so­nen­be­zo­ge­ne Daten in Dritt­län­der über­mit­teln, dass sie die o. g. Prü­fung durch­füh­ren und doku­men­tie­ren. Bei uns ist bereits eine Rei­he von Beschwer­den zu Über­mitt­lun­gen in Dritt­län­der ein­ge­gan­gen, und wir sind ver­pflich­tet, jeder die­ser Beschwer­den nach­zu­ge­hen. Wir for­dern dann vom Daten­ex­por­teur den Nach­weis der Prü­fung ins­be­son­de­re der Zugriffs­mög­lich­kei­ten der Behör­den im Dritt­land, und dass die Daten auch in Anbe­tracht die­ser Zugriffs­mög­lich­kei­ten einen mit dem EU-Schutz­ni­veau ver­gleich­ba­ren Schutz genie­ßen. Kann das Unter­neh­men dies nicht nach­wei­sen, sind wir grund­sätz­lich ver­pflich­tet, die Über­mitt­lung zu unter­sa­gen – sofern das Unter­neh­men nicht von sich aus dar­auf verzichtet.

Wei­ter­ga­be von Mieter-Kontaktdaten

Das BayL­DA lie­fert im Bereich des Mie­ter­da­ten­schut­zes ein gutes Bei­spiel dafür, dass nicht immer das mil­de­re Mit­tel zur Zweck­er­rei­chung gewählt wer­den muss, son­dern nur, wenn die­ses mil­de­re Mit­tel zur Zweck­er­rei­chung eben­so geeig­net ist (S. 64):

[Die Wei­ter­ga­be von Kon­takt­da­ten eines Mie­ters durch Ver­mie­ter an Hand­wer­ker] ist zumin­dest in der Regel auch ohne Ein­wil­li­gung des Mie­ters auf­grund von Arti­kel 6 Abs. 1 Buchst. f DS-GVO zuläs­sig, weil es einem berech­tig­ten Inter­es­se des Ver­mie­ters ent­spricht, dass der Hand­wer­ker zwecks Ver­ein­ba­rung eines Repa­ra­tur­ter­mins mit dem Mie­ter Kon­takt auf­nimmt. Zwar wäre es auch denk­bar, dass der Hand­wer­ker aus­schließ­lich gegen­über dem Ver­mie­ter einen oder meh­re­re aus sei­ner Sicht pas­sen­de Ter­mi­ne nennt, und der Ver­mie­ter die­se mit dem Mie­ter abzu­stim­men ver­sucht und dann dem Hand­wer­ker ent­spre­chen­de Rück­mel­dung gibt. Erfah­rungs­ge­mäß ist es aber oft nicht ganz ein­fach, Ter­mi­ne abzu­stim­men, ohne direkt mit­ein­an­der in Kon­takt zu sein. Daher ist es aus unse­rer Sicht grund­sätz­lich legi­tim, wenn der Ver­mie­ter durch Wei­ter­ga­be der Tele­fon­num­mer an den Ver­mie­ter die direk­te Kon­takt­auf­nah­me ermöglicht.