Diesen Monat hat der Landesbeauftragte für den Datenschutz und Akteneinsicht des Bundeslandes Brandenburg (LDA) seinen Jahresbericht für das Jahr 2023 vorgelegt. Die Jahresberichte der Aufsichtsbehörden geben den Verantwortlichen einen guten Einblick, wie die Aufsichtsbehörden zu datenschutzrechtlichen Fragestellungen stehen und worauf sie bei der Überwachung von Unternehmen besonderen Wert legen. Die wichtigsten Themen haben wir hier zusammengefasst.
KI, KI, und KI
Wenig überraschend steigt auch der Jahresbericht mit dem Thema des Jahres 2024 ein: Künstliche Intelligenz. In unserer Beitragsreihe „Navigating the Future“ meiner Kollegin Sarah Tavčer haben wir bereits viele der Themen erörtert, die aus datenschutzrechtlicher Sicht beim Einsatz von Künstlicher Intelligenz unbedingt beachtet werden müssen. Der Jahresbericht befasst sich ebenso umfassend mit diesem Thema. Es wird deutlich, dass die Aufsichtsbehörden hier nach wie vor sehr sensibel sind und Verantwortliche beim Einsatz von KI weiterhin besonders auf Compliance achten müssen.
Aufsichtsbehörden nach wie vor streng bei Videoüberwachung
Demgegenüber ein absoluter Klassiker der Datenschutzrechts: wann ist eine Videoüberwachung zulässig? Aus dem Jahresbericht des LDA ergibt sich, dass diese in guter Tradition weiterhin die Zulässigkeit einer Videoüberwachung sehr restriktiv beurteilen. Die Aufsichtsbehörde berichtet über einen Fall, bei dem eine Videoüberwachung in Form eines Live Monitoring bei einem Stadtfest zum Einsatz kommen sollte. Eine Aufzeichnung sollte nicht stattfinden. Die Veranstalterin argumentierte zudem, dass die Auflösung so gering sei, dass die Identität der gezeigten Person ohnehin nicht nachvollziehbar sei.
Diese Argumentation überzeugte die Aufsichtsbehörde jedoch nicht. Insbesondere vertrat sie die Auffassung, dass gerade eben nicht ausgeschlossen werden könnte, dass die gezeigten Personen identifiziert werden könnten. Die Veranstalterin könnte womöglich anhand weiterer Faktoren, wie der Jacke der Personen oder eines möglicherweise mitgeführten Kinderwagens Besucher auf den Monitoren identifizieren. Somit würden Daten verarbeitet, die natürliche Personen identifizierbar machen.
Die Aufsichtsbehörde vertrat sodann die Auffassung, dass die Videoüberwachung nicht das mildeste Mittel sei, um den Zweck zu erfüllen. Die Veranstalterin könne auch mehr menschliches Personal einsetzen, um eine optische Überwachung des Festes gleichermaßen sicherzustellen. Im Ergebnis wurde die Videoüberwachung des Festes untersagt.
Bußgeld gegen Mitarbeiter wegen unbefugtem Zugriff auf Gesundheitsdaten
Personenbezogene Daten, aus denen sich Rückschlüsse über die Gesundheit natürlicher Personen ziehen lassen, sind nach der Datenschutz-Grundverordnung besonders geschützt. Beim Umgang mit solchen Daten ist es daher unter anderem besonders wichtig, dass sichergestellt wird, dass wirklich nur berechtigte Personen auf diese Daten zugreifen können. In einem Fall, über den die Aufsichtsbehörde berichtet, haben fünf Krankenpflegerinnen eines Krankenhauses auf Patientenakten zugegriffen. Zwar waren sie im Rahmen ihrer Tätigkeit grundsätzlich auch berechtigt, auf Akten und Gesundheitsinformationen zuzugreifen. In diesem Falle befand sich die Patientin, auf deren Akten zugegriffen wurde, jedoch nicht in der Behandlung der Krankenpflegerinnen. Vielmehr wurde aus reiner Neugierde auf die Akten zugegriffen, da es sich zugleich um eine Kollegin handelte.
Die Aufsichtsbehörde ist davon ausgegangen, dass in diesem Falle ein sogenannter Mitarbeiterexzess vorliegt. Da die Mitarbeiterinnen die personenbezogenen Daten in diesem Falle ausschließlich zur Befriedigung ihrer Neugierde und somit zu persönlichen Zwecken verarbeiteten, wurden sie selbst zu datenschutzrechtlich Verantwortlichen im Sinne der DSGVO. Entsprechend wurde durch die Aufsichtsbehörde ein dreistelliges Bußgeld gegen die Mitarbeiterinnen verhängt.
Solche Mitarbeiterexzesse können auch arbeitsrechtliche Maßnahmen zur Folge haben.
„Datenschutzverstöße durch Mitarbeiter können im Einzelfall eine fristlose Kündigung gemäß § 626 BGB rechtfertigen. Diese Maßnahme sollte jedoch als ultima ratio betrachtet werden. Vorher sollten Möglichkeiten wie eine Abmahnung oder eine Korrekturvereinbarung geprüft werden, abhängig von der Schwere des Verstoßes. Bei der Beurteilung der Schwere des Verstoßes ist stets eine Abwägung aller Umstände des Einzelfalls anzustellen.“
Florian Stein, Rechtsanwalt der Praxisgruppe Arbeitsrecht unserer Partnerkanzlei Bette Westenberger Brink
Dem Krankenhaus ist es offenbar gelungen, nachzuweisen, dass es selbst die erforderlichen Schutzmaßnahmen getroffen hatte. Insbesondere verwies das Krankenhaus darauf, dass die Mitarbeiterinnen und Mitarbeiter entsprechend geschult wurden und ihnen hätte bekannt sein müssen, dass sie auf diese Daten nicht hätten zugreifen dürfen.
Bußgeld gegen Polizisten wegen privater Nutzung dienstlich erlangter Handynummer
Ebenso erging ein persönliches Bußgeld gegen einen Polizeibeamten, der einer Anzeigenstellerin seine private Nummer gab, unter dem Vorwand sie könne ihm auf diesem Weg weiteres Beweismaterial zukommen lassen. Als sie sodann weiteres Beweismaterial an die Nummer schickte, suchte der Polizeibeamte jedoch allein privaten Kontakt, duzte die Anzeigenstellerin und sendete ihr Rosen-Emojis zu.
Rechtlicher Exkurs:
Rechtsgrundlage für die Verarbeitung durch die Polizei wäre hier § 39 Absatz 1 des Brandenburgisches Polizeigesetzes. Demnach kann die Polizei rechtmäßig erlangte personenbezogene Daten in Akten oder Dateien speichern, verändern und nutzen, soweit dies zur Erfüllung ihrer Aufgaben, zu einer zeitlich befristeten Dokumentation oder zur Vorgangsverwaltung erforderlich ist.
All dies war dem Polizeibeamten natürlich datenschutzrechtlich nicht erlaubt. Denn er hatte die Nummer der Antragstellerin allein zu dienstlichen Zwecken erhalten, dann jedoch nur zu privaten Zwecken genutzt. Auch in diesem Fall war er selbst für die Verarbeitung der Daten verantwortlich. Es wurde ein Bußgeld im oberen dreistelligen Bereich verhängt.
Last but not least: E-Mail-Marketing als Dauerbrenner
Genau wie Videoüberwachungskameras führen auch Werbe-E-Mails immer wieder dazu, dass sich Betroffene bei der Aufsichtsbehörde beschweren. Aufgrund mehrerer Beschwerden führte die Aufsichtsbehörde in Brandenburg nun eine Vor-Ort Kontrolle bei einem Unternehmen durch, welches offensives E-Mail-Direktmarketing betrieb.
Bei der Vor-Ort Kontrolle überprüfte die Behörde insbesondere das Verarbeitungsverzeichnis, ob es ein Löschfristenkonzept gab und ob die eingesetzten IT-Systeme datenschutzrechtlichen Anforderungen genügten.
In aller Kürze sollten Verantwortliche deswegen immer daran denken, dass der Versand von E-Mail-Werbung vorab eine ausführliche Prüfung benötigt. Verantwortliche müssen sowohl die Vorgaben des Datenschutzrechts als auch jene des Gesetzes gegen den unlauteren Wettbewerb besonders berücksichtigen. Nicht zuletzt sei auch an die Impressumspflicht erinnert, die auch auf Newsletter Anwendung findet.
Bildnachweis: KI generiert