Datenschutz-News im April: Kontrollaktion Art. 15 DSGVO +++ Fingerabdrücke auf dem Ausweis +++ Geburtsdatum oft kein Pflichtfeld +++ Persönlich adressierte Wahlwerbung +++ Keine Änderung von §38 BDSG

Schon seit einigen Wochen läuft eine europaweite Kontrollaktion des Europäischen Datenschutz-Ausschusses zum Recht auf Auskunft nach Art. 15 DSGVO. Schwerpunkte in Deutschland sind Schleswig-Holstein, Niedersachsen, Mecklenburg-Vorpommern, Brandenburg, Rheinland-Pfalz, das Saarland, Bayern und die Bundesbehörden. Die Kontrollen werden mithilfe eines strukturierten Fragebogens durchgeführt, der EU-weit koordiniert eingesetzt wird. So soll überprüft werden, wie die Verantwortlichen das Auskunftsrecht in der Praxis umsetzen – er soll aber auch helfen zu evaluieren, wo Unternehmen weitere Hilfestellungen wie Leitlinien oder Sensibilisierungsmaßnahmen benötigen. Die Kontrollaktion ist ein guter Anlass, die internen Prozesse zur Handhabung von Auskunftsersuchen zu überprüfen.

Passend dazu ein Urteil des Verwaltungsgerichts Berlin vom 10.01.2024: Art. 15 Abs. 1 DSGVO vermittelt nur einen Anspruch auf Auskunft über die beim Verantwortlichen gespeicherten personenbezogenen Daten, nicht aber darauf, diese auch in einer möglichst einfach zu erfassenden Form zur Verfügung gestellt zu bekommen, jedenfalls solange dem Betroffenen die Möglichkeit der Kenntnisnahme nicht unzumutbar erschwert wird. Das Gericht verweist auf Erwägungsgrund 63 zur DSGVO, dass Artikel 15 dazu dient, sich der Verarbeitung der Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können. Vorliegend wurde dem Kläger seine gesamte Akte als durchsuchbares PDF zugeschickt, was vom Gericht als ausreichend erachtet wurde.

Seit zwei Jahren müssen die Einwohnermeldeämter zwei Fingerabdrücke einer Person gemäß einer EU-Verordnung auf dem Personalausweis speichern. Ein Mann klagte nun auf Ausstellung eines deutschen Personalausweises ohne seine Fingerabdrücke. Da die Speicherung aber nicht in einer zentralen Datenbank geschieht, ist die Aufnahme mit den Grundrechten auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten vereinbar, so der Europäische Gerichtshof. Diese Einschränkung der Grundrechte sei gerechtfertigt, da damit die Herstellung von gefälschten Ausweisen und Identitätsdiebstahl bekämpft werden kann und es EU-Bürgern ermöglicht wird, ihr Recht auf Freizügigkeit in der EU leichter auszuüben. Der EuGH monierte nur, dass die Verordnung auf eine falsche Rechtsgrundlage gestützt und nicht das korrekte Gesetzgebungsverfahren angewandt wurde – es brauche unter anderem Einstimmigkeit unter den EU-Ländern. Die Verordnung ist deshalb zwar ungültig, aber für eine Übergangszeit weiter wirksam, weil ein plötzliches Außerkraftsetzen „schwerwiegende negative Folgen für eine erhebliche Zahl von Unionsbürgern und für ihre Sicherheit“ haben könnte. Bis Ende 2026 soll die EU nun eine neue Verordnung auf der richtigen Rechtsgrundlage erlassen.

Erfolg hatte indes die niedersächsische Datenschutzaufsicht, die einer Online-Apotheke verboten hatte, bei jeder Bestellung das Geburtsdatum des Käufers abzufragen. Das Landgericht Hannover bekräftigte damit bereits 2021 in seinem Urteil den Grundsatz der Datensparsamkeit. Das Niedersächsische Oberverwaltungsgericht wies nun die Berufung dagegen ab. Alle Argumente der Online-Apotheke ließen die Richter nicht gelten. So wollte die Apotheke durch Abfrage des Geburtsdatums prüfen, ob der Besteller volljährig (und somit vertragsmündig) ist und der Apotheken-Beratungspflicht zur altersgerechten Dosierung von Medikamenten nachkommen. Allerdings wurde nur nach dem Geburtsdatum des Käufers gefragt, nicht nach dem des Konsumenten – und das nicht nur bei Medikamenten, sondern unabhängig von der Art der bestellten Ware, auch bei allgemeinen Drogerieprodukten. Und dass für die Beratung das genaue Datum erforderlich ist, dürfte auch fraglich sein. Zwecks Volljährigkeit empfiehlt das Gericht eine einfache Checkbox, mit der man bestätigt, volljährig zu sein – beide Methoden garantieren ohnehin nicht, dass die Angaben stimmen.

Es bestehe auch kein berechtigtes Interesse (Art. 6 DSGVO), um Forderungen gegen säumige Kunden durchsetzen zu können, da in der Regel vorab bezahlt wird. Webshop-Betreiber können auch nicht die Erfüllung einer rechtlichen Verpflichtung, um Kunden bei der Ausübung ihrer Betroffenenrechte eindeutig zu identifizieren, geltend machen. So sei die Identifikation bei gleichem Namen auch über die Adresse und die Telefonnummer möglich. Der Gesetzgeber sieht ohnehin als verpflichtende Regelung zum Versand bestellter Medikamente lediglich die Abfrage der Telefonnummer vor. Während Telefonnummer und Anschrift sich aber ändern lassen, ist das Geburtsdatum unveränderlich, und daher als besonders sensibel einzustufen.

Onlineshop-Betreiber sollten daher überprüfen, ob sie im Bestellprozess zwingend die Eingabe des Geburtsdatums verlangen, und zu welchen Zwecken und auf welcher Rechtsgrundlage dieses verarbeitet wird. In den meisten Fällen wird dies nur mit Einwilligung der eingebenden Person möglich sein, sodass das Eingabefeld eindeutig als „freiwillig“ zu erkennen sein und gleichzeitig über die Verwendung des Datums umfassend informiert werden muss. Geben Kunden kein Geburtsdatum an, muss sich der Bestellprozess dennoch ohne Einschränkungen fortsetzen lassen.

In Kürze beginnt das Wahljahr 2024 mit zahlreichen Kommunalwahlen, einigen Landtagswahlen und der Europawahl Anfang Juni. Im Zuge dessen informieren die Behörden, dass man ein Widerspruchsrecht gegen persönlich adressierte Wahlwerbung hat. Zwar dürfen die Einwohnermeldeämter nach §50 Abs. 1 Bundesmeldegesetz vor einer Wahl Namen und Anschriften an Parteien, Wählergruppen etc. weitergeben. Diese dürfen die Daten nur für die Wahlwerbung nutzen und müssen sie spätestens einen Monat nach der Wahl löschen. Aber nach § 50 Abs. 5 Bundesmeldegesetz kann man diesen Melderegisterauskünften für die Zwecke der Wahlwerbung widersprechen – formlos und ohne Begründung direkt beim Einwohnermeldeamt und am besten schriftlich. Der Widerspruch gilt dann auch für jede zukünftige Wahl. Der Thüringer Datenschutzbeauftragte hat hierfür ein Musterschreiben erstellt. Bei Verstößen wendet man sich am besten auch an den Datenschutzbeauftragten seines Bundeslandes.

Kurz vor Ostern hat der Bundesrat u.a. über eine Reihe von Gesetzesänderungen nach dem Schufa-Urteil des EuGH im Dezember 2023 abgestimmt. Dabei stand auch zur Debatte, ob §38 im Bundesdatenschutzgesetz (BDSG) unter dem Vorwand des Bürokratieabbaus gestrichen werden soll. Das ist der Paragraph, der regelt, dass Unternehmen einen Datenschutzbeauftragten benennen müssen, „soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Beziehungsweise sofern Daten, die einer Datenschutz-Folgenabschätzung unterliegen, verarbeitet werden oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, muss unabhängig von der Personenanzahl ein Datenschutzbeauftragter benannt werden.

Der Bundesrat hat zum Glück gegen die Streichung des Gesetzes gestimmt (obwohl der Bundesrats-Innenausschuss unter Vorsitz der CDU dafür war). Damit gilt die bisherige Rechtslage fort. Beim Inkrafttreten der DSGVO 2018 lag der Schwellenwert noch bei 10 Beschäftigten. Er wurde bereits ein gutes Jahr später auf 20 angehoben, ebenfalls um Bürokratie abzubauen. Der Bundesdatenschutzbeauftragte zog dann aber in seinem Tätigkeitsbericht 2021 (S. 49) den Schluss, dass die Anhebung weder eine Entbürokratisierung noch eine sonstige Entlastung von Unternehmen und Vereinen erreicht hat – vielmehr traten gegenteilige Effekte ein. Das scheint naheliegend: Denn wenn man die Datenschutzbeauftragten aus den Unternehmen herausnimmt, baut man keine Bürokratie ab, sondern es geht einfach nur Kompetenz verloren – und das in einer sich ständig erweiternden Rechtslage – so hat das EU-Parlament nach dem Data Act nun auch den AI Act verabschiedet (den „Die Zeit“ übrigens „die beste schlechte KI-Regulierung der Welt“ nennt).

Auch wenn §38 BDSG spezifisch deutsch ist und sich nicht aus EU-Vorgaben speist – seine Abschaffung würde nicht zur Abschaffung der DSGVO führen. Vielmehr müsste sich dann die Geschäftsleitung wieder (ausschließlich) um den Datenschutz kümmern. In der Praxis dürfte das oft zu mehr Rechtsunsicherheit führen, weil man als Chef in der Regel nicht auch noch in die hintersten Ecken der DSGVO und des BDSG vordringen kann. Gerade dies zeigt sich auch in den meisten anderen EU-Ländern, die eben keinen speziellen Schwellenwert haben. Der Bundesdatenschutzbeauftragte glaubt, dass die deutsche Regelung sogar dazu führt, dass hierzulande vergleichsweise wenige DSGVO-Bußgelder verhängt werden.

Und er weist darauf hin, dass auf Unternehmen hohe Kosten zukommen könnten, wenn Projekte am Ende aus Datenschutzgründen nochmal ganz von vorn aufgezäumt werden, anstatt Datenschutz durch Einbindung eines Experten von Anfang an mitzudenken. Auch der Ruf eines Unternehmens wird Schaden nehmen, wenn Daten unrechtmäßig verarbeitet werden. Schließlich schützt „der Datenschutz“ das Persönlichkeitsrecht und die informationelle Selbstbestimmung jeder natürlichen Person. Der Datenschutzbeauftragte ist nicht der Buhmann – er hilft der Geschäftsführung gesetzeskonform zu handeln. Man kann ja auch nicht einfach den Steuerberater abschaffen und denken, dass man dann keine Steuern mehr zahlen muss.

Was derzeit aber tatsächlich fehlt, sind einheitliche Standards für die Fachkunde eines Datenschutzbeauftragten, um deren Qualifikationen zu garantieren. Hier sollte der Gesetzgeber einmal nachbessern!