Tätig­keits­be­richt des Säch­si­schen Daten­schutz­be­auf­trag­ten 2017/2018

Der säch­si­sche Daten­schutz­be­auf­trag­te hat sei­nen Tätig­keits­be­richt für die Jah­re 2017 und 2018 ver­öf­fent­licht. Er hält dar­in unter ande­rem fol­gen­des fest:

  • Immo­bi­li­en­ver­wal­ter sind nicht Auf­trags­ver­ar­bei­ter der Wohn­ei­gen­tü­mer, son­dern selbst­stän­di­ge Ver­ant­wort­li­che.
  • Die Ver­wen­dung einer Dash­cam liegt jeden­falls dann nicht im berech­tig­ten Inter­es­se, wenn das Ver­kehrs­ge­sche­hen per­ma­nent und anlass­los auf­ge­zeich­net wird.
  • Die Auf­nah­me von Fotos an öffent­li­chen Ver­an­stal­tun­gen kön­nen im berech­tig­ten Inter­es­se des Ver­an­stal­ters lie­gen, soweit die Auf­nah­me der Fotos einen Bezug zur Ver­an­stal­tung hat, zumal die Teil­neh­mer der öffent­li­chen Ver­an­stal­tung davon aus­ge­hen wer­den, dass foto­gra­fiert wird.

    Dies kann aller­dings dann nicht mehr ange­nom­men wer­den, wenn die auf­zu­neh­men­den Per­so­nen das Foto­gra­fie­ren offen­sicht­lich ableh­nen, Fotos ver­deckt oder heim­lich auf­ge­nom­men wer­den, Fotos die auf­ge­nom­me­nen Per­so­nen dis­kre­di­tie­ren kön­nen oder aber die Intim­sphä­re der foto­gra­fier­ten Per­so­nen betrof­fen ist.”

    Bei einer Auf­nah­me von Kin­dern ist die Inter­es­sen­ab­wä­gung beson­ders sorg­fäl­tig durch­zu­füh­ren. – Wer­den Fotos im Inter­net ver­öf­fent­licht, gilt nach § 23 KUG, dass eine Ver­öf­fent­li­chung ohne Ein­wil­li­gung

    ins­be­son­de­re dann zuläs­sig [ist], wenn die Per­so­nen auf den Bil­dern nur als Bei­werk neben einer Land­schaft oder son­sti­gen Ört­lich­keit erschei­nen.”

    Auch hier kann sich der Ver­ant­wort­li­che ggf. auf ein berech­tig­tes Inter­es­se beru­fen, doch müs­sen die Ver­an­stal­tungs­teil­neh­mer auf die geplan­te Ver­öf­fent­li­chung im Inter­net hin­ge­wie­sen wer­den. – Fotos bspw. von Bril­len­trä­gern sind nicht grund­sätz­lich beson­de­re Kate­go­rien von Per­so­nen­da­ten:

    Mit einem Foto, das eine Viel­zahl von Per­so­nen und dar­un­ter z. B. auch Bril­len­trä­ger auf einer öffent­li­chen Ver­an­stal­tung zeigt, ver­mit­telt kei­ne Gesund­heits­in­for­ma­tio­nen über die­se Per­so­nen son­dern doku­men­tiert die Ver­an­stal­tung. Wird dage­gen ein Foto mit einem Begleit­text ver­öf­fent­licht, der auf ein bestimm­tes Han­di­cap der auf­ge­nom­me­nen Per­so­nen hin­weist und dient das Foto z. B. dazu, mög­li­che The­ra­pien auf­zu­zei­gen, kann eine Ver­ar­bei­tung von Gesund­heits­da­ten vor­lie­gen.”

  • Es fin­den sich Hin­wei­se zum Daten­schutz bei Sport­wett­kämp­fen.
  • Bei der Mit­tei­lung der Infor­ma­tio­nen nach Art. 13 DSGVO (Daten­schutz­er­klä­rung) gilt:

    Das „Mit­tei­len“ der Infor­ma­ti­on setzt nicht ein akti­ves Her­an­tre­ten an den Betrof­fe­nen vor­aus, son­dern ist mit der eng­li­schen Fas­sung „pro­vi­de“ als ein „Zur-Ver­fü­gung-Stel­len“ zu ver­ste­hen. Dies kann „durch geeig­ne­te Maß­nah­men“ des Ver­ant­wort­li­chen erfol­gen (Arti­kel 12 Absatz 1 DSGVO), die sich gegen­sei­tig ergän­zen kön­nen (Aus­hang, Info-Blatt, Erklä­rung auf Web­sei­te, Text­teil im Ver­trag, münd­li­cher Hin­weis, …). Ent­schei­dend ist, dass die Infor­ma­ti­on des Betrof­fe­nen durch ihn zumut­bar erlangt wer­den kann.”

    Im Ver­trags­an­bah­nungs­ver­hält­nis kann es beson­ders schwie­rig sein, sämt­li­che der rele­van­ten Infor­ma­tio­nen beim ersten Kon­takt zu über­mit­teln.

    Sofern Infor­ma­tio­nen bei die­sem ersten Erhe­bungs­schritt feh­len (z. B. die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten, Arti­kel 13 Absatz 1 Buch­sta­be b) DSGVO, oder die Benen­nung der Rechts­grund­la­ge, Arti­kel 13 Absatz 1 Buch­sta­be c) DSGVO), kann dies nach Auf­fas­sung der Auf­sichts­be­hör­de bei einem spä­te­ren Erhe­bungs- oder Ver­ar­bei­tungs­schritt erfol­gen (z. B. als Link in der Signa­tur einer E‑Mail-Ant­wort). Ent­schei­dend ist dabei, ob die Umstän­de der ersten Erhe­bung „geeig­net“ (bzw. nicht „geeig­net“) sind, die­se Infor­ma­ti­on sach­ge­recht zu ermög­li­chen.”

  • Bei umfas­sen­den Aus­kunfts­be­geh­ren kann der Ver­ant­wort­li­che den betrof­fe­nen Fra­gen, ob ihm erste Aus­künf­te aus­rei­chen, und er kann gebe­ten wer­den, andern­falls zu prä­zi­sie­ren, auf wel­che Infor­ma­tio­nen oder Ver­ar­bei­tungs­vor­gän­ge sich das Aus­kunfts­er­su­chen bezieht. Für die Ant­wort soll­te eine ange­mes­se­ne Frist ein­ge­räumt wer­den.
  • Wenn online Anbie­ter die Mög­lich­keit bie­ten, ange­mel­det zu blei­ben (durch ein Coo­kie), einen ent­spre­chen­den But­ton “ange­mel­det blei­ben” aber vor­ankreu­zen, ver­sto­ssen sie dadurch gegen die Pflicht zu daten­schutz­freund­li­chen Vor­ein­stel­lun­gen (Art. 25 Abs. 1 DSGVO).
  • Es fin­den sich Hin­wei­se zur Inter­es­sen­ab­wä­gung bei der Ver­wen­dung von online Tools.
  • Der Ein­satz von Whats­App im geschäft­li­chen Umfeld ist “pro­blem­be­haf­tet”. Weil Whats­App stan­dard­mä­ssig auf Kon­takt­da­ten zugreift, wird der Grund­satz “pri­va­cy by design” ver­letzt. Zuläs­sig sei der Ein­satz von Whats­App aber dann, wenn Whats­App nicht auf Kon­takt­da­ten von Kun­den zugrei­fen kann, wenn Kun­den zuvor auf die “daten­schutz­recht­li­che Pro­ble­ma­tik” hin­ge­wie­sen wer­den, wenn ihnen ein alter­na­ti­ver siche­rer Kom­mu­ni­ka­ti­ons­ka­nal zur Ver­fü­gung gestellt wird und Whats­App nicht auf Daten von Kun­den zugrei­fen kann, die nicht über Whats­App kom­mu­ni­zie­ren (z.B. weil ihre Kon­takt­da­ten nicht auf dem Gerät gespei­chert wer­den).
  • Bei der Behör­de gin­gen nur weni­ge Anfra­gen zu gemein­sam Ver­ant­wort­li­chen ein.
  • War­tungs- und Fern­war­tungs­dienst­lei­stun­gen sei­en auch nach Inkraft­tre­ten der DSGVO grund­sätz­lich als Auf­trags­ver­ar­bei­tung anzu­se­hen, es sei denn, es geht “rein um eine tech­ni­sche War­tung der Infra­struk­tur einer IT durch Dienst­lei­ster”, z. B. “Arbei­ten an Strom­zu­fuhr, Küh­lung, Hei­zung)” und wenn bei einer rei­nen Betreu­ungs- und Repa­ra­tur­tä­tig­keit per­so­nen­be­zo­ge­ne Daten nur „bei­läu­fig“ zur Kennt­nis genom­men wer­den kön­nen.
  • Bei Über­set­zungs­dienst­lei­stun­gen sei zu dif­fe­ren­zie­ren: Die Ein­ord­nung als Auf­trags­ver­ar­bei­tung “hängt einer­seits vom Inhalt der zu über­set­zen­den Tex­te, also der Fra­ge, ob es sich dabei (auch bzw. vor allem) um per­so­nen­be­zo­ge­ne Daten han­delt, ab. Ande­rer­seits ist zu berück­sich­ti­gen, wel­che Frei­räu­me der Über­set­zer bei sei­ner Tätig­keit hat, er sich also – wie etwa bei der Über­set­zung amt­li­cher Doku­men­te – streng und wort­ge­treu am Ori­gi­nal hal­ten muss oder ob es letzt­end­lich nur um eine sinn­ge­mä­ße Über­tra­gung geht, bei der dem Über­set­zer ent­spre­chen­de Spiel­räu­me zuge­stan­den wer­den. Auch wenn eine Pri­vat­per­son aus­schließ­lich sie selbst betref­fen­de Doku­men­te oder Tex­te zur Über­set­zung vor­legt, wird man nicht von einer Auf­trags­ver­ar­bei­tung aus­ge­hen kön­nen”.
  • Die Lohn- und Gehalts­ab­rech­nung durch Steu­er­be­ra­ter ist kei­ne Auf­trags­ver­ar­bei­tung.
  • Bei Pene­tra­ti­ons­tests (Pen­tests) und bei War­tungs­ver­trä­gen sei ”

    die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten eigent­lich nicht Kern des Ver­trags. Gleich­wohl weiß der Auf­trag­ge­ber von der Mög­lich­keit der Offen­le­gung und beauf­tragt qua­si ‘mit beding­tem Vor­satz’ ”. “So hal­te ich es für inter­es­sen­ge­recht und erfor­der­lich, den Auf­trag­ge­ber für den Fall der Kennt­nis­nah­me per­so­nen­be­zo­ge­ner Daten aus dem Bereich des Auf­trag­ge­bers zu bin­den, wie bei einer Auf­trags­ver­ar­bei­tung.”

  • Bei Daten­si­cher­heits­ver­let­zun­gen steht der Fehl­ver­sand von Unter­la­gen im Vor­der­grund.
  • Bei der Bezei­chung von Daten­schutz­be­auf­trag­ten akzep­tiert der Säch­si­sche Daten­schutz­be­auf­trag­ten die Benen­nung von juri­sti­schen Per­so­nen. Zudem muss in der Daten­schutz­er­klä­rung der Name des Daten­schutz­be­auf­trag­ten nicht ange­ge­ben wer­den; es genügt die Anga­be einer Tele­fon­num­mer oder einer gene­ri­schen E‑Mail-Adres­se. Die Anga­be eines Namens sei aber zuläs­sig.