Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

eine Studie des britischen Unternehmens Comparitech kommt zu dem Ergebnis, dass Deutschland innerhalb der EU ein vergleichsweise schlechtes Datenschutzniveau habe. Dies betreffe nach Auffassung der Studienleiter jedenfalls die staatliche Überwachung und den Datenschutz bei öffentlichen Stellen, also vor allem Behörden. So sei die Nutzung von Biometrie im neuen Personalausweis und Videoüberwachungsanlagen mit Gesichtserkennung im Rahmen der Studie negativ ins Gewicht gefallen, ebenso wie ein mangelnder Datenschutz für Journalisten und der politische Einsatz für einen möglichst schrankenlosen Austausch von personenbezogenen Daten innerhalb Europas.

Dass es um das Datenschutzniveau in Deutschland wirklich so schlecht steht, kann aber zu Recht bezweifelt werden. Die Studie weist allerdings auf den wichtigen Unterschied zwischen dem Datenschutz im „privaten“ und dem Datenschutz im „öffentlichen“ Sektor hin, für die vielfach auch unterschiedliche Regelungen innerhalb der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) gelten.

Für alle Unternehmen, die personenbezogene Daten verarbeiten, dürfte das neue Konzept der Datenschutzkonferenz zur Bemessung von Bußgeldern interessant sein. Dieses Konzept erklärt die Methode zur Berechnung der Bußgeldhöhen, die zukünftig verwendet werden soll. Wir analysieren das neue Konzept in unserem Schwerpunktthema in diesem Monat, geben Beispiele und äußern Kritik an der Berechnungsmethode. Behörden und andere öffentliche Stelle müssen entsprechende Bußgelder übrigens nicht befürchten, weil diese Stellen gem. § 43 Abs. 3 BDSG generell von einer Sanktionierung ausgenommen sind, was durch die Öffnungsklausel gem. Art. 83 Abs. 7 DSGVO möglich ist.

Zusätzlich berichten wir wie gewohnt auch über aktuelle Urteile deutscher und ausländischer Gerichte und weisen in diesem Monat zusätzlich auf nützliche Unterlagen des Bundesamts für Sicherheit in der Informationstechnologie hin. 

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude bei der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Bußgeldkonzept der Datenschutzkonferenz

Die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, hat ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung veröffentlicht. Das Konzept konkretisiert nach Angaben der Behörden die Vorgaben des Art. 83 DSGVO. Auf diese Weise soll eine „einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen“ eingeführt werden. Das Konzept soll bis zur Abstimmung eines einheitlich europäischen Bußgeldbemessungsmaßstabs die Bußgeldpraxis der deutschen Aufsichtsbehörden regeln. Insoweit ist davon auszugehen, dass zukünftige Bußgelder nach diesen Maßstäben berechnet werden. In unserem Schwerpunktthema wird die Bußgeldberechnungsmethode zunächst allgemein und anschließend anhand konkreter Beispiele vorgestellt. Im Anschluss wird das Bußgeldkonzept summarisch bewertet.

Zum vollständigen Schwerpunktthema

BSI stellt Dokumente zum Thema „IT-Notfall“ für KMUs bereit

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat verschiedene Dokumente veröffentlicht, die von kleinen und mittelständischen Unternehmen (KMUs) eingesetzt werden können, um die Reaktion auf Cyberangriffe und Ransomware-Infektionen zu verbessern. Zu den bereitgestellten Dokumenten gehört eine IT-Notfallkarte mit einer Übersicht zum „Verhalten bei IT-Notfällen“, ein Maßnahmenkatalog zum Notfallmanagement sowie eine Liste der TOP 12 Maßnahmen bei Cyberangriffen.

Die Dokumente können auf der vom BSI herausgegebenen Seite der Allianz für Cybersicherheit (ACS) heruntergeladen werden.

OVG Hamburg: Kein rückwirkender Berichtigungsanspruch nach Art. 16 DSGVO bei Geschlechtsänderung

Eine Beamtin oder ein Beamter hat nach einer Geschlechtsänderung keinen datenschutzrechtlichen Anspruch aus Art. 16 DSGVO auf Anpassung von Alteinträgen in der Personalakte. Dies hat das Oberverwaltungsgericht Hamburg entschieden (OVG Hamburg, Beschluss vom 27.05.2019, Az.: 5 Bf 225/18.Z).

Die Klägerin, eine Bundespolizistin, begehrte die vollständige Anpassung ihrer Personalakte an das weibliche Geschlecht. Die Klägerin war ursprünglich mit männlichem Geschlecht und Vornamen geboren und später unter diesem männlichen Namen bei der Bundespolizei beschäftigt worden. Im Jahr 2012 wurde der Vorname der Klägerin, die sich schon länger dem weiblichen Geschlecht zugehörig fühlte, gemäß § 1 des Gesetzes über die Änderung der Vornamen und die Feststellung der Geschlechtszugehörigkeit in besonderen Fällen (Transsexuellengesetz) in einen weiblichen Vornamen geändert und es wurde eine entsprechende Änderung des Personenstandes vorgenommen. In der Folgezeit unterzog sich die Klägerin einer geschlechtsangleichenden Operation. Im Jahr 2014 forderte sie ihren Dienstherren auf, alle Schriftstücke in ihrer Personalakte an ihren jetzigen weiblichen Vornamen sowie ihr nunmehr weibliches Geschlecht anzupassen. Der Dienstherr verweigerte die Anpassung älterer Dokumente, weswegen die Polizistin ihn verklagte.

Das OVG Hamburg lehnte den Antrag der Klägerin als unbegründet ab. Die Änderung des Geschlechts wirke nur für die Zukunft und nicht rückwirkend für die Zeit, in der die Klägerin noch den männlichen Vornamen getragen und dem männlichen Geschlecht zugehörig gewesen sei. Es sei daher richtig, dass die älteren Einträge noch den männlichen Namen der Klägerin aufweisen. Nur auf diese Art lasse sich die Entwicklung des Dienstverhältnisses einschließlich des historischen Geschehensablaufs vollständig dokumentieren. Der alte Vorname sei somit nicht unrichtig geworden, sondern bleibe mit Blick auf die damalige Rechtswirksamkeit richtig. Entsprechend sei die Namensänderung lediglich auf den neueren bzw. zukünftigen Dokumenten zu berücksichtigen.

Diese Wertungen des OVG Hamburg dürften auch auf andere Fälle anwendbar sein, in denen Betroffene die nachträgliche Anpassung von Daten verlangen, denen ein Dokumentationswert zukommt. Insoweit weist das OVG Hamburg zutreffend darauf hin, dass die nachträgliche Anpassung von historischen Daten an den neusten Stand sogar eine Verfälschung der Altdaten bedeuten könnte, womit gegen den Grundsatz der Datenrichtigkeit Art. 5 Abs. 1 lit. d) DSGVO verstoßen würde.

LAG Mecklenburg-Vorpommern: 2.000 Euro Schadensersatz für Mitarbeiter bei unerlaubter Videoüberwachung

Ein Arbeitnehmer hat einen Schadenersatzanspruch, wenn ihn sein Arbeitgeber bei der Arbeit unerlaubt mittels Videokameras überwacht. Dies hat das Landesarbeitsgericht (LAG) Mecklenburg-Vorpommern für den Fall eines Mitarbeiters einer Tankstelle entschieden (Urteil vom. 24.05.2019, Az.: 2 Sa 214/18).

Der Kläger war Arbeitnehmer des Beklagten und für diese an einer Tankstelle tätig. Während seiner Tätigkeit wurde er unerlaubt per Videoüberwachung von dem Beklagten gefilmt. Nach Ansicht des LAG Mecklenburg-Vorpommern war die Videoüberwachung über keine der datenschutzrechtlichen Rechtsgrundlagen zu rechtfertigen. Die Höhe des Schadensersatzanspruchs bemaß das LAG mit 2.000 Euro. In erster Instanz hatte das Arbeitsgericht Rostock dem Kläger lediglich 1.500 Euro Schadenersatz zugesprochen (Urteil vom 30.08.2018, Az.: 2 Ca 1213/17). Die Erhöhung gegenüber zur Vorinstanz ist nach Auffassung des LAG Mecklenburg-Vorpommern begründet, weil eine grobe Verletzung der datenschutzrechtlichen Vorgaben und eine Dauerüberwachung am Arbeitsplatz vorgelegen habe.

Das Gericht wies ausdrücklich darauf hin, dass nicht darüber entschieden wurde, ob auch eine höhere Entschädigung gerechtfertigt gewesen wäre, da der Kläger im vorliegenden Fall seinen Klageantrag auf eine Entschädigung in Höhe von 2.000 Euro beschränkt hatte. Insoweit ist es daher durchaus denkbar, dass bei derartig schweren Eingriffen in das Persönlichkeitsrecht der Mitarbeiter auch höhere Schadenersatzansprüche geltend gemacht werden können.

Schweizer Bundesgericht: Keine Verurteilung aufgrund Dashcam-Aufnahmen

Dashcam-Aufzeichnungen können in der Schweiz nach einer Entscheidung des Bundesgerichts nur zur Aufklärung schwerer Straftaten als Beweismittel in einem Strafprozess verwendet werden (BGer, Urteil vom 26.09.2019, Az.: 6B_1188/2018). Eine Frau hatte einen anderen Autofahrer bedrängt und mehrfach gegen Verkehrsregeln verstoßen. Dabei ist sie von dem bedrängten Fahrer mithilfe einer am Auto befestigten Videokamera (Dashcam) gefilmt worden. Anhand dieser Aufnahmen wurde die Fahrerin zunächst strafrechtlich verurteilt. Mit ihrer Beschwerde vor dem Schweizer Bundesgericht beantragte sie eine Rückverweisung an die Vorinstanz und einen Freispruch. Sie argumentierte, die Dashcam-Aufnahmen seien rechtswidrig und unter Verstoß gegen das Datenschutzrecht erhoben worden und damit nicht als Beweismittel zulässig.

Das Schweizer Bundesgericht teilte die Auffassung der verurteilten Fahrerin. Die Schweizer Strafprozessordnung regele die Frage der Verwendung von rechtswidrig erlangten Beweismitteln ausdrücklich in deren Art. 141. Danach können Beweise, die rechtswidrig erhoben wurden, nur zur Aufklärung schwerer Straftaten verwertet werden. Eine solche schwere Straftat liege im Falle der bedrängenden Fahrerin aber nicht vor. Entsprechend sei die Fahrerin freizusprechen.

In Deutschland war im Mai 2018 in einem ähnlichen Verfahren vor dem deutschen Bundesgerichtshof (BGH) noch anders entschieden worden (BGH, Urteil vom 15.05.2018, Az.: VI ZR 233/17). In einem zivilrechtlichen Streitverfahren hatte ein Geschädigter eines Autounfalls eine Dashcam-Aufnahme des Unfalls zur Geltendmachung eines Schadensersatzanspruchs in Höhe von ca. 2.000 Euro gegen den Unfallverursacher vorgelegt. Der Unfallverursacher berief sich darauf, dass die Videoaufnahmen in den öffentlichen Verkehrsraum datenschutzwidrig erstellt worden seien. Der BGH teilte diese Einschätzung zwar und erklärte die Aufnahmen für datenschutzwidrig, ließ sie aber dennoch als Beweismittel zu, sodass der Schädiger zur Zahlung von Schadensersatz verurteilt wurde.

Anders als in der Schweiz gibt es in Deutschland keine gesetzliche Regelung, die ein Beweisverwertungsverbot für nicht-schwere Straftaten generell vorschreibt. Stattdessen muss jeweils im Einzelfall eine Abwägung zwischen dem Wahrheitsfindungsinteresse und dem Ausmaß der Rechtswidrigkeit der Beweismittelerlangung durchgeführt werden.

Zusätzlich spielt eine Rolle, dass das Schweizer Bundesgericht ein strafrechtliches Verfahren geführt hatte, während vor dem BGH ein Zivilstreit verhandelt wurde. Möglichweise wäre ein Zivilstreit auch vor dem Schweizer Bundesgericht anders entschieden worden.

Dennoch ist das BGH-Urteil von 2018 kritisch zu sehen. Für Nutzer einer Dashcam steht das Beweisverwertungsinteresse regelmäßig im Vordergrund. Insoweit erhält der Nutzer, der Dashcams rechtswidrig im öffentlichen Raum einsetzt, unter Zugrundelegung der Wertungen des BGH genau das von ihm gewünschte Ergebnis: die Beweisverwertung. Die Rechtswidrigkeit der Aufnahmehandlung hat unterdessen keine negativen Folgen für den Aufzeichnenden. Zwar ist theoretisch denkbar, dass die Datenschutzaufsichtsbehörden ein Bußgeldverfahren gegen den Filmenden einleiten. 

Soweit der BGH das Wahrheitsfindungsinteresse bei einem Streitwert von ca. 2.000 Euro bereits über die Rechtswidrigkeit der datenschutzwidrigen Aufnahme in den öffentlichen Raum stellt, müssten sich die Wertungen für den Schutz höherrangiger Rechtsgüter eigentlich übertragen lassen. Dies hätte aber zur Folge, dass in nahezu allen Anwendungsfällen von Videokameras zumindest die Beweisverwertung möglich wäre, ohne dass von Seiten der Datenschutz-Aufsichtsbehörden ernsthaft eine Repression zu befürchten wäre. Dies kann nicht das gewünschte Ergebnis sein, sodass die Wertungen des BGH abzulehnen sind.

VG München: Kein Auskunftsanspruch auf Tippgeberdaten

Ein Vermieter hat nach einer Entscheidung des Verwaltungsgerichts München im Rahmen einer behördlichen Prüfung bezüglich einer möglichen Zweckentfremdung der Wohnung keinen Anspruch darauf, die Daten der Person zu erfahren, die der Behörde die Zweckentfremdung gemeldet hat (VG München, Urteil vom 28.08.2019, Az.: M 9 K 18.4706).

Die Klägerin, Eigentümerin einer Wohnung, begehrte Auskunft über Name und Adresse eines Tippgebers einer Online-Erstmeldung über eine vermutete Zweckentfremdung. Im Rahmen einer ersten Akteneinsicht waren diese Daten von der Behörde zuvor geschwärzt worden. Die Klägerin berief sich darauf, eine vollständige Akteneinsicht stünde ihr deswegen zu, weil ihre schutzwürdigen Interessen betroffen seien, da sie einer Ordnungswidrigkeit verdächtigt worden sei. Da keine anonyme Meldung vorgelegen habe, sei nicht davon auszugehen, dass schutzwürdige Interessen des Meldenden betroffen seien.

Dieser Argumentation folgte das VG München nicht. Die Meldung des Betroffenen habe ausschließlich den Namen des Mieters an der Tür zitiert, nicht aber den Namen der Eigentümerin. Auch die beklagte Behörde habe bisher kein Prüfverfahren eingeleitet und auch bis zum ersten Antrag auf Akteneinsicht „keine Kenntnis von der Existenz der Klägerin [gehabt] und sich im Zusammenhang mit einem Verfahren nach Zweckentfremdungsrecht bis dahin auch nicht dafür interessiert“. Insoweit bestehe kein überwiegendes Interesse der Klägerin und stattdessen überwiegt das Geheimhaltungsinteresse des Behördeninformanten.

Die Frage nach einem Auskunftsrecht bezüglich Tippgeberdaten beschäftigt nunmehr also neben den Arbeitsgerichten (wir berichteten ausführlich) auch die Verwaltungsgerichte. Im Ergebnis dürfte dabei regelmäßig der Schutz des Tippgebers vor Offenlegung seiner Identität überwiegen, wenn nicht die besonderen Umstände des Einzelfalls ausnahmsweise etwas Anderes verlangen. Insoweit ist diese Entscheidung des VG München zu begrüßen, auch wenn die besonderen Umstände des Einzelfalls insoweit bemerkenswert sind, als die Informationen des Tippgebers offenbar gar nicht zu einem Prüfverfahren und damit Konsequenzen für die Eigentümerin geführt haben.