Datenschutzrecht ist in großen Teilen ein europäisches Thema. Dennoch gibt es zahlreiche nationale Gesetze und in Deutschland hat jedes Bundesland zusätzlich sein eigenes Landesdatenschutzgesetz, welches in erster Linie für Verwaltungen und Behörden gilt. Für Berlin ist es das Berliner Datenschutzgesetz. Das Berliner Datenschutzgesetz regelt auch die Aufsicht durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI). Die BlnBDI veröffentlicht jedes Jahr einen Tätigkeitsbericht, welcher die Aktivitäten des vergangenen Berichtsjahres dokumentiert und auch für lokale Unternehmen, als datenverarbeitende Stellen, interessant ist. Es kann dadurch ein Einblick in den Fokus und die Maßnahmen der Aufsichtsbehörde gewonnen werden.
Am 24.05.2022 wurde durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit der Tätigkeitsbericht für das Jahr 2021 vorgestellt. Wir wollen uns in diesem Beitrag ausgewählten Hinweisen der Aufsichtsbehörde widmen und dabei Wissenswertes für Unternehmen aus Berlin herausstellen.
Erleben Sie Datenschutz neu. Wir unterstützen Sie als externer Datenschutzbeauftragter Berlin bei der rechtssicheren Nutzung von Daten. Mit persönlichen Legal Consultants, unserer Software DataDesk und Mitarbeiterschulung über E-Learning haben Sie keinen DSGVO-Stress und Zeit für Ihre Projekte
Prüfungen und Maßnahmen
Im Rahmen einer länderübergreifenden Aktion wurden bei Unternehmen Datenübermittlungen in Drittstaaten überprüft, um die Einhaltung der Anforderungen aus der Schrems-II-Rechtsprechung in größerem Umfang zu überprüfen. Dabei, sowie in diversen Einzelprüfungen, stellte die BlnBDI fest, dass die Anforderungen des Urteils weitgehend noch nicht umgesetzt wurden. Sie schreibt im Bericht explizit, dass die Umsetzung im Falle der USA teilweise unmöglich ist und in diesen Fällen einzig ein Verzicht auf Datenexporte zu einer rechtssicheren Lösung führen kann.
Zusätzlichen wurden schwerpunktmäßig Websitebetreiber:innen daraufhin geprüft, ob sie rechtswidrige Trackingmaßnahmen auf ihren Websites einsetzen, und zwar in Bezug auf optische Gestaltungsmerkmale, technische Prozesse und konkrete Datenströme. Die Prüfanregungen kamen zuvor von betroffenen Websitebesucher:innen.
Als weitere Maßnahmen hat die BlnBDI beispielsweise 61 Bußgeldbescheide erlassen und 212 Verwarnungen ausgesprochen. Das bezieht sich auf alle verantwortlichen Stellen in Berlin im Jahr 2021.
Ausgewählte Einzelthemen
Datenschutzrechtliche Folgen des geplatzten Mietendeckels
Ein spezielles Berliner Thema ist der eingeführte und später verfassungsgerichtlich für nichtig erklärte Mietendeckel. Auch datenschutzrechtlich hat dieser Vorgang etwas Beachtenswertes. Die damit geschaffene Rechtsgrundlage zur Datenverarbeitung hat für Datenerhebungen gesorgt und ist nun weggefallen. Die zuständige Senatsverwaltung hat dazu gemeinsam mit der BlnBDI eine Lösung entwickelt, welche Daten umgehend gelöscht werden müssen und welche noch für drohende Gerichtsverfahren aufbewahrt werden können.
Verarbeitung der Nutzungsdaten von Kund:innen für Werbezwecke
Eine Berliner Bank wollte zukünftig Stamm– und Nutzungsdaten, wie sämtliche Zahlungsverkehrsdaten und Online-Aktivitäten ihrer Kund:innen zu Werbezwecken auswerten und nutzen. Dazu wurde über eine Zweckänderung informiert und als Rechtsgrundlage das überwiegende berechtigte Interesse angeführt. Die BlnBDI sah das nach Betroffenenbeschwerden als problematisch an, da nach ihrer Meinung die Interessensabwägung bezüglich der Zahlungsverkehrsdaten und Onlinenutzung zugunsten der Kund:innen ausgehen müsse und damit eine Einwilligung nach den Bedingungen des Art. 7 DSGVO notwendig sei. Eine solche wurde nicht eingeholt. Diese Ansicht ist übertragbar auf weitere Branchen und die Verarbeitung anderer Nutzungsdaten für Werbezwecke.
Transparenz bei Kredit-Scoring
Ein Bankkunde, dem von einer Bank die Ausstellung einer Kreditkarte wegen einer schlechten Bonität verweigert wurde, beschwerte sich bei der BlnBDI über das intransparente Bonitätsscoring. Diese stimmte zu und verlangte von der verantwortlichen Stelle genauere Informationen, wie sie zur Ablehnungsentscheidung gekommen ist. Demnach sei das Verfahren insoweit transparent zu machen, dass die tragenden Gründe, die Datenbasis und die zum Einsatz gekommenen Faktoren der Entscheidung für den Betroffenen erkennbar sind.
Werbeeinwilligung während Service-Calls einholen
Wenn Bestandskund:innen von verantwortlichen Stellen bezüglich eines bestimmten Vorgangs angerufen werden, der eigentlich keinen werblichen Charakter hat, darf dieser Service-Call mit dem Zweck der Vertragserfüllung nach Ansicht der BlnBDI nicht zur Einholung einer Werbeeinwilligung genutzt werden. Gemäß Aussage der BlnBDI benötigt die Frage nach der Einwilligung per Telefon, selbst eine Werbeeinwilligung. Der thematisch gemischte Anruf überrumpele die Angerufenen außerdem derart, dass selbst eine Bestätigung nicht als Rechtsgrundlage für zukünftige Werbemaßnahmen genutzt werden dürfe.
Auskunftsanspruch bei Videoüberwachung
Wenn eine Überwachung per Videoaufnahmen erfolgt, werden dabei personenbezogene Daten verarbeitet (hier in der S-Bahn). Laut BlnBDI müssen diese Videoaufnahmen im Rahmen einer Auskunftsanfrage nach Art. 15 DSGVO gegenüber betroffenen Personen beauskunftet werden. Dabei müssen die Rechte von anderen Personen auf den Aufnahmen geachtet werden, indem diese ausreichend geschwärzt oder verpixelt werden. Dass dies einen hohen Aufwand darstellen kann, zähle laut BlnBDI nicht als Grund, die Auskunft zu verweigern. Verantwortliche benötigen daher ein Verfahren, um entsprechende Auskünfte unter Achtung der Rechte Dritter erteilen zu können.
Unterstützung für Berliner Unternehmen
Der Tätigkeitsbericht 2021 der Berliner Aufsichtsbehörde lenkt den Fokus auf ausgewählte Themen, mit denen sich die Behörde befasst hat. Für Unternehmen aus Berlin sind diese Informationen wertvoll, weil sie eine selbstkritische Reflexion über die eigenen Datenverarbeitungen und DSGVO-Prozesse ermöglichen.
Die Datenschutzkanzlei begleitet Berliner Unternehmen als externe Datenschutzbeauftragte und unterstützt bei der Umsetzung von DSGVO-Vorgaben – sowohl durch den Aufbau eines strukturierten Datenschutz-Managements als auch bei den täglichen Datenschutzfragen und natürlich Verfahren der BlnBDI. Unsere Berater:innen am Berliner Humboldthafen erreichen Sie per E-Mail an berlin@datenschutzkanzlei.de und telefonisch unter +49. 30. 200 084 800.
Philipp Lehmann ist Wirtschaftsjurist (LL.M) und Senior Legal Consultant bei der Datenschutzkanzlei.