Warum es auch aus datenschutzrechtlicher Perspektive nicht in Ordnung ist, personenbezogene Daten, die unter einem Vorwand beschafft wurden, für die Kontaktaufnahme zu dieser Person zu verwenden, wird im Tätigkeitsbericht für das Jahr 2021 vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (kurz ULD) unter Punkt 5.9 besprochen.
Was war geschehen?
In der Innenstadt von Kiel kam es zu einem spontanen Gespräch zwischen einem jungen Mann und einer jungen Frau, bei welchem keine weiteren Kontaktdaten ausgetauscht wurden. Wenig später erblickte der Mann die Frau auf einem Parkplatz, als diese im Begriff war, in ihr Auto zu steigen. Daraufhin notierte sich der Mann ihr Kfz-Kennzeichen und beantragte bei der Zulassungsstelle eine Halterabfrage. Bei der Halterabfrage gab er an, dass er einen Schaden am Auto der Frau verursacht habe und nun den Kontakt zu der geschädigten Person aufnehmen wolle.
Nach Erhalt der Daten schickte er der Frau zwei Postkarten, in welchen er Bezug auf das Gespräch in der Innenstadt nahm und um ein weiteres Treffen zum Zwecke des näheren Kennenlernens bat. Daraufhin legte die Frau beim ULD Beschwerde ein.
Datenschutzrechtliche Einordnung
Nach Art. 4 Nr. 1 DSGVO sind personenbezogenen Daten
„alle Informationen, die sich auf eine […] identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen […] Identität dieser natürlichen Person sind, identifiziert werden kann“.
Zwar ist auf den ersten Blick auf einem Kfz-Kennzeichen nicht zu erkennen, welche Identität bzw. Person sich hinter der Buchstaben- und Zahlenkombination verbirgt. Mithilfe eines weiteren Schrittes, wie dem Hinzuziehen der Zulassungsstelle, lässt sich zumindest schnell der Halter bzw. die Halterin des Fahrzeugs ermitteln. Für diesen Vorgang benötigt man jedoch einen Grund, dass die Daten der Person mit dem Kennzeichen verarbeitet werden dürfen. Dies wäre der Fall, wenn die Daten zu einer Geltendmachung, Sicherung, Vollstreckung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Teilnahme am Straßenverkehr oder zur Erhebung einer Privatklage wegen im Straßenverkehr begangener Verstöße benötigt werden. Das war vorliegend nicht der Fall, sodass es für die Verarbeitung der Daten der Frau keinerlei Rechtsgrundlage gab.
Konsequenz
In der Kommunikation mit dem ULD gab der Mann an, dass ihm bewusst gewesen sei, dass er keinen Grund gehabt habe, die Daten der Frau zu verarbeiten. Vielmehr habe er genau deswegen den Unfall als Grund für die Halterabfrage erfunden. Nach Beschreibung des ULD zeigte sich der Mann insgesamt als uneinsichtig, habe aber zugesagt, die erlangten Adressdaten der Frau nicht weiter zu verwenden und diese zu löschen. Das ULD hat für diese unrechtmäßige Verarbeitung eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO ausgesprochen.
Fazit
Durch diesen Fall wird aufgezeigt, dass die DSGVO auch im Verhältnis zwischen Privatpersonen ihre Wirkung entfaltet. Eine Verarbeitung von personenbezogenen Daten bedarf stets einer Rechtsgrundlage, was eben auch für Privatpersonen gilt. Insofern ist das Tätigwerden des ULD in Form einer Verwarnung folgerichtig. Kürzlich berichteten wir über einen ähnlich gelagerten Fall, bei dem ein Polizeibeamter seine Befugnisse aus privatem Interesse überschritt. Mehr zu diesem Fall und welche Befugnisse eine Aufsichtsbehörde sonst noch hat, können Sie hier lesen.
24. März 2022 @ 15:23
sorry, “Stalking” beginnt hier mit dem ersten Schritt,
Stalking beeinflußt das ganze Leben der Betroffenen , es wäre besser, dem (behördlich) sofort einen Riegel vorzuschieben!
Verwarnung bei Vorsatz?
Ich gebe Mr. M. (ohne PKW) Recht, Daten sollten mehr geschützt werden.
21. März 2022 @ 17:35
zu wenig Privacy by default?
Mich verwundert viel mehr, das die Halterabfrage so simpel gestrickt wurde. Wenn ich angebe, einen Schaden verursacht zu haben, dann würde es im ersten Schritt doch ausreichen, wenn meine Kontaktdaten (also die des abfragenden Verursachers) an die angeblich unfallgeschädigte Person übermittelt werden, die dann das weitere Vorgehen steuern kann. Im Falle, dass man als Unfallgeschädigter die Daten des Halters benötigt, sollte dies bei fehlenden Halterdaten auf dem Wege einer ordentlichen Anzeige und am einfachsten direkt über die Versicherungen erfolgen. Meiner Ansicht nach ergibt sich die Anwendung der DSGVO bzgl. der Verarbeitung (Weitergabe, nicht ausreichende Prüfung, bzw. fehlende Datenminimierung/unpassender Prozess, ggf. fehlender Hinweis auf Folgen einer falschen Begründung) bereits aus dem Verarbeitungsprozess bei der Zulassungsstelle. Die fehlerhafte Begründung des Auskunftsanspruches des Abfragenden würde ich als bewusste Falschaussage bewerten, wäre vielleicht durch Abforderung einer Eidesstattlichen Erklärung oder zumindest deutlichen „Aufklärung über Folgen einer falschen Begründung“ abschreckender/besser strafrechtlich verfolgbar. Im Sinne einer Risikobewertung würde ich die möglichen Folgen der ungerechtfertigten Weitergabe als Aufgabe der Datenabgebenden Stelle sehen, die ihre Maßnahmen entsprechend zu wählen hat. Ein Vertrauen auf die „Ehrlichkeit“ der Anfrager dürfte als zu naiv eingeschätzt werden.
Und der konkrete Beispielfall mit Versand von Postkarten mag hier sicherlich noch weit entfernt von Szenarien sein, bei der es eindeutig bis hin zu Gefahr für Leib und Leben gehen kann, auch wenn die Vorstellung, dass „Unbekannte“ unter fadenscheinigen Argumenten von Behörden Adressdaten übermittelt bekommen, so manchen beunruhigen kann. In dem Zusammenhang kann man die akt. Bestimmungen zu allg. Auskünften aus dem Melderegister vergleichend betrachten.
Ich werde mir den Jahresbericht des ULD nun auch mal ansehen. Wenn die der einzelnen Länder mehr übers Jahr versetzt kämen, hätte man das ganze Jahr verteilt ausreichend frischen Lesestoff.
18. März 2022 @ 10:14
Das Verhalten des Mannes ist zweifelsfrei unangebracht und moralisch verwerflich (Stalking). Es erschließt sich aber nicht ganz, wieso das Datenschutzrecht hier zur Anwendung kommt. Müsste dies nicht ein Fall des Art. 2 Abs. 2 lit. c) DSGVO sein (Keine Anwendung bei Verarbeitung zu persönlichen Zwecken)?
18. März 2022 @ 15:24
Dieser Umstand verwundert mich auch. Mitunter erfüllt sein Verhalten sogar nicht mal die Anforderungen an eine Verarbeitung aus Art. 2 Abs. 1.
24. März 2022 @ 13:08
Diese Frage ergab sich bei mir auch. Ebenfalls bin ich über die Subsumtion der Privatperson unter „Verantwortlicher“ gem. Art. 4 VII verwundert.
Dass das Verhalten des Mannes „zweifelsfrei“ unangebracht und „moralisch verwerflich“ sein soll, ist hingegeben – meiner Meinung nach – eine emotional übertriebene Bewertung des Verhaltens und gleicht ja schon an Misandrie.
Weder schädigende-, noch bereichernde Absichten sind dem Mann zu unterstellen. Auch „Stalking“ im StGB-Sinne ist bei einer einmaligen Kontaktaufnahme mehr als nur nicht erfüllt. Vermutlich wollte er einfach seinen Glauben an „Liebe auf den ersten Blick“ umsetzen 😉