Ende Mai veröffentlichte der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBfDI) seinen Tätigkeitsbericht für das Jahr 2024. Er lieferte damit wieder wertvolle Tipps für Verantwortliche und für die Beratungspraxis. Ein paar besonders interessant erscheinende Aspekte aus dem Tätigkeitsbericht sollen an dieser Stelle vorgestellt werden.
MS 365 – Fortschritte bei den Zusatzvereinbarungen ?
Viele datenschutzrechtlich Verantwortliche stehen in Bezug auf Microsoft 365 seit 2022 vor einem Dilemma: Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder hatte festgestellt, dass eine Zusatzvereinbarung zu dem bestehenden Auftragsverarbeitungsvertrag notwendig ist, um die bestehenden datenschutzrechtlichen Mängel in den Produkten und dem Vertrag auszugleichen (Vertragsstand vom 15.09.2022). Diese Zusatzvereinbarung müsste jeder Verantwortliche individuell mit Microsoft aushandeln. 2023 veröffentlichten einige Aufsichtsbehörden eine Handreichung, was bei den Verhandlungen mit Microsoft zu berücksichtigen ist.
Mit Microsoft als „Global Player“ erfolgreich zu verhandeln, nachdem die DSK bereits jahrelang Gespräche mit Microsoft zu dem Thema geführt hatte, erscheint wie eine Mammutaufgabe. Sie ist mindestens mit einem erheblichen Zeit- und Ressourcenaufwand verbunden.
Nach Ausgabe der Handreichung der DSK wurde es seitens der Aufsichtsbehörden ruhig zu dem Thema. Nur aus Niedersachsen gab es einzelne Hinweise auf eine erfolgreiche Verhandlung mit Microsoft – allerdings nur bezogen auf Microsoft Teams.
Der HBfDI hatte in Hessen nun ähnliche Erfolge. Nachdem bei dem HBfDI nach Anfrage von Microsoft mehrere Verhandlungen mit Verantwortlichen bei ihm gebündelt wurden, erarbeitete er nach Gesprächen mit Microsoft ein Konzept, wie beide Seiten – Microsoft und die hessischen Verantwortlichen – dazu beitragen können, die Kritikpunkte der DSK zu beseitigen (Tätigkeitsbericht 2024, S. 18 f.). Der HBfDI geht davon aus, dass Microsoft Teams nach der Umsetzung des Konzeptes datenschutzkonform eingesetzt werden kann. Teil des Konzeptes ist insbesondere, dass die Verantwortlichen die datenschutzrechtlichen Defizite von Microsoft selbst ausgleichen, z. B. durch eigene Löschroutinen und Microsoft dies auf seinen Systemen ermöglicht.
Nähere Angaben zu dem Inhalt des Konzepts fehlen leider in dem Tätigkeitsbericht. Es stellt auch keine volle rechtliche Prüfung von Microsoft Teams dar. Ein Vorteil könnte sich jedoch dennoch für Verantwortliche aus Hessen ergeben: Sie könnten sich an den HBfDI wenden und versuchen sich den „Verhandlungen“ anzuschließen, wie es im Vorfeld bereits andere Behörden taten. Es ist zu hoffen, dass die Konzepte oder auch die Zusatzvereinbarung aus Niedersachsen doch noch veröffentlicht werden, um auch anderen Verantwortlichen niedrigschwellig eine möglichst datenschutzkonforme Nutzung von Microsoft Produkten zu ermöglichen.
Der HBfDI plant im Jahr 2025 auch für andere Microsoft Produkte entsprechende Konzepte zu erstellen.
Parkraumüberwachung
Ausführlich äußerte sich der HBfDI nach einer Vielzahl von Beschwerden und Anfragen zu der Zulässigkeit digitaler Parkraumüberwachung (Tätigkeitsbericht 2024, S. 145 ff.). Die Videoüberwachung von Parkplätzen wird von privaten Unternehmen vermehrt auch dafür eingesetzt, sicherzustellen, dass die maximale Parkdauer eingehalten wird und dass die Parkplätze nur für die vorgesehenen Zwecke genutzt werden. So möchten oft Supermarktketten vermeiden, dass ihre Parkplätze zum Beispiel für Spaziergänge im nahe gelegenen Park „missbraucht werden“. Hierfür werden oft Dienstleister eingesetzt, welche die Verstöße erfassen und die Vertragsstrafen im Auftrag verhängen. Hierfür ist nahezu immer die Abfrage der KFZ-Halterdaten über das Kennzeichen erforderlich, um den Schuldner zu ermitteln.
Um z. B. zu erkennen, ob nach dem Abstellen des Fahrzeugs ein Geschäft betreten wird oder stattdessen der Parkplatz über andere Ausgänge verlassen wird, braucht es teils invasive Datenverarbeitungen und komplexe technische Systeme. Auch wird hierzu zunehmend künstliche Intelligenz eingesetzt. Rechtlich sind dabei einige Fragen zu klären, zum Beispiel, ob eine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO stattfindet und alle Datenschutzgrundsätze eingehalten werden (Art. 5 DSGVO). Der HBfDI stellt ausführlich den Rechtsrahmen dar, sowohl datenschutz-, zivil- als auch straßenverkehrsrechtlich. Dies bietet eine sehr gute Übersicht, insbesondere für Betroffene.
Handvenenscanner
Auf moderne Technik setzt auch eine Blutspendeeinrichtung in Hessen. Bei der Registrierung von neuen Spendern wurden deren Handvenen gescannt und bei zukünftigen Spenden zur Identifikation verwendet – wie bei einem Netzhautscanner in einem Sci-Fi-Film (Tätigkeitsbericht 2024, S. 178 f).
Der HBfDI wurde in dem Fall nach der Beschwerde einer Spenderin tätig. Das Problem war, dass Spender in der Einrichtung nur spenden konnten, wenn sie diese Form der Identifikation nutzen. Da dies nur aufgrund einer Einwilligung zur Verarbeitung der eigenen biometrischen Daten möglich ist, fehlte mangels alternativer, insbesondere weniger invasiver Identifikationsmöglichkeit die Freiwilligkeit der Einwilligung (Art. 9 Abs. 1, Abs. 2 lit. a, Art. 7 Abs. 4 DSGVO). Eine Einwilligung ist nur freiwillig, wenn eine Person eine echte Wahl hat, also in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Die Blutspendeeinrichtung führte nach einem Hinweis des HBfDI die Möglichkeit ein, sich alternativ durch Vorlage des Personalausweises zu identifizieren. Es erging kein Bußgeld.
Totalüberwachung der Korrespondenz von Beschäftigten
Ein Vorgesetzter einer hessischen Behörde verpflichtete eine Mitarbeiterin, sämtliche briefliche Korrespondenz vor dem Versand bei ihm vorzulegen und ihn bei allen E-Mails in CC zu setzen. (Tätigkeitsbericht 2024, S. 108 f.). Die Dienstanweisung gemäß § 106 GewO hatte eine arbeitsrechtliche Vorgeschichte: Es gab gegenseitige Vorwürfe hinsichtlich Überlastung der Mitarbeiter sowie von anderer Seite, „zu dick geführte Akten“ und dass die Mitarbeiterin E-Mails verschicken würde, „die nicht im Sinne der Behörde seien.“ Zudem hätte ihre Korrespondenz viele Rechtschreib- und Grammatikfehler und ließen eine „negative Stimmung erahnen“. Die Behörde gab an, dass keine inhaltliche oder fachliche Prüfung des Schriftverkehrs stattgefunden habe.
Die Frage des Umfangs des Einsichtsrechts des Arbeitgebers Beschwerden und Gerichtsverfahren. Rechtlich war hier entscheidend, ob es mildere Mittel zu dieser Dienstanweisung gegeben hätte, die weniger in die Persönlichkeitsrechte der Betroffenen eingreifen und mit denen der Arbeitgeber seine Zwecke hätte erreichen können (Art. 6 Abs. 1 lit. b DSGVO). Auch arbeitsrechtlich ist vorgesehen, dass Weisungen des Arbeitgebers nur im Rahmen des Zumutbaren und unter Abwägung der Interessen von Arbeitnehmer und -geber erfolgen dürfen (§ 106 GewO: „billiges Ermessen“).
Der HBfDI kam zu dem Ergebnis, dass die Dienstanweisung nicht geeignet und zudem unverhältnismäßig war. Ohne angebliche Prüfung und Korrektur der Korrespondenz, sei auch ausgeschlossen gewesen, dass durch die Maßnahme die Außendarstellung der Behörde verbessert werden würde. Es hätte auch keine Vollkontrolle des Schriftverkehrs stattfinden dürfen, sondern nur Stichproben. Es gab auch keinen begründeten Verdacht, dass gegen das Verbot, Arbeitsgeräte zu privaten Zwecken zu nutzen, verstoßen wurde. In diesen Fällen gestatteten die Gerichte bereits, dass der Arbeitgeber volle Einsicht in die Arbeitsgeräte und (E-Mail-)-Postfächer nimmt. Auch aus den Überlastungsanzeigen ergab sich kein Grund zu einer derart engen Überwachung.
Die Behörde versuchte daneben die Kontrolle auf die rechtliche Verpflichtung, Deutsch als Amtssprache zu verwenden zu stützen (Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 19 Abs. 1 S. 1 SGB X). Auch dies scheiterte.
Fazit
Neben den oben vorgestellten Themen umfasst der Tätigkeitsbericht des HBfDI viele weitere Fallgestaltungen und dient mit seiner ausführlichen rechtlichen Begründung der Fälle als gute Hilfestellung für Verantwortliche, Berater und Interessierte.