Zurück zur Übersicht
22.02.2022

Bericht der Bußgeldstelle beim LfDI

Die Datenschutzaufsicht in Brandenburg hat wieder zahlreiche Ordnungswidrigkeitenverfahren eingeleitet. Geahndet wurden datenschutzrechtliche Verstöße insbesondere von Unternehmen sowie von Mitarbeiterinnen und Mitarbeitern öffentlicher Stellen.

In 16 Fällen schlossen die Behörde das Verfahren mit der Festsetzung von einer oder mehreren Geldbußen ab. Häufige Verstöße stellten unter anderem die Versendung von E-Mails an viele Empfänger unter Nutzung des CC-Adressfeldes, nicht ordnungsgemäß abgeschlossene Auftragsverarbeitungsverträge und unzureichend getroffene technische und organisatorische Maßnahmen für die Sicherheit der verarbeiteten Daten dar. Vermehrt wurden auch wieder unbefugte Abrufe aus dienstlich bereitgestellten Datenbanken durch Mitarbeiterinnen und Mitarbeiter öffentlicher Stellen, darunter Polizeibedienstete, geahndet. An dieser Stelle sei noch einmal auf Folgendes hingewiesen: Auch wenn Informationssysteme zu den täglichen Arbeitsmitteln zählen und die darin gespeicherten Daten über die Zugriffsberechtigung grundsätzlich zugänglich sind, muss für jede Nutzung ein konkreter dienstlicher Anlass gegeben sein.


1. Technisch unsichere Auskunftserteilung durch Unternehmen

Die Datenschutz-Grundverordnung ermöglicht es jeder natürlichen Person, von Unternehmen, Behörden oder sonstigen Verantwortlichen Auskunft darüber zu verlangen, ob und wenn ja, welche personenbezogenen Daten über sie gespeichert sind sowie über weitere Einzelheiten der Datenverarbeitung. Ein Unternehmen entschied sich dazu, Auskunftsanfragen per E-Mail zu beantworten. An die E-Mail war ein passwortgeschütztes PDFDokument mit den beantragten Auskünften angehängt. Um das PDF-Dokument öffnen zu können, erhielten die betroffenen Personen wenige Minuten später eine zweite E-Mail, die das Passwort im Klartext enthielt. Diese zweite E-Mail war lediglich mit der standardmäßig voreingestellten Transport Layer Security (TLS) verschlüsselt, wenn dies vom jeweiligen E-Mail-Anbieter unterstützt wurde. Dabei handelt es sich um eine Verschlüsselung, die nur den Transportweg der E-Mail sichert. Sowohl auf dem Mail-Server des Absenders als auch auf demjenigen der Empfängerin oder des Empfängers liegt die E-Mail unverschlüsselt, also das Passwort im Klartext vor. Darüber hinaus war das Passwort durch das Unternehmen recht schwach und nach einem einfachen System gebildet. Es erfüllte nicht die nach dem Stand der Technik maßgeblichen und z. B. durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Sicherheitskriterien.

Die  Landesbeauftragte hatte das Unternehmen bereits in der Vergangenheit darauf hingewiesen, dass die Vorgehensweise der Auskunftserteilung nicht den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entspricht. Daraufhin änderte das Unternehmen für einen Teil der Kundinnen und Kunden seine Praxis in eine datenschutzkonforme Weise. Durch eine Beschwerde erhielten die Datenschutzaufsicht einige Zeit später Kenntnis davon, dass das Unternehmen für einen anderen Teil der Kundschaft die Passwörter weiterhin per einfacher, höchstens TLS-verschlüsselter E-Mail versandte und auch an der unzureichenden Sicherheit der Passwörter selbst festhielt. Daraufhin wurde ein Bußgeldverfahren gegen das Unternehmen wegen Verstoßes gegen Artikel 32 DSGVO eingeleitet. Die Vorschrift verpflichtet zur Ergreifung geeigneter und angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Maßgeblich war hierbei insbesondere der enge zeitliche und inhaltliche Zusammenhang zwischen der Versendung der ersten E-Mail mit den passwortverschlüsselten Auskunftsdokumenten und der zweiten, nicht hinreichend gesicherten E-Mail mit dem Passwort. Unberechtigte Dritte, die die E-Mail-Kommunikation zwischen dem Unternehmen und der die Auskunft beantragenden Person abgefangen hätten, hätten zwar mit dem passwortverschlüsselten Anhang zunächst nicht viel anfangen können. Wenige Minuten später hätten sie die Dokumente allerdings mit dem im Klartext übermittelten Passwort entschlüsseln können. Die zu erteilenden Auskünfte enthielten auch sensitive personenbezogene Daten, die das Unternehmen durch geeignete und angemessene Maßnahmen vor einem Zugriff unberechtigter Dritter zu schützen verpflichtet ist. Dies hätte etwa durch eine Ende-zu-Ende-Verschlüsselung sichergestellt werden können. Hierbei ist die E-Mail nicht nur auf dem Transportweg, sondern auch auf den jeweiligen Mail-Servern verschlüsselt. Durch die angemessene Verschlüsselung wäre eine hohe Sicherheit für die personenbezogenen Daten der betroffenen Personen erreicht worden. Alternativ hätte das Passwort z. B. auch telefonisch übermittelt werden können.

Da die Datenschutzaufsicht das Unternehmen bereits in der Vergangenheit darüber informiert hat, dass die Vorgehensweise gegen die Vorgaben der Datenschutz-Grundverordnung verstößt, es für einen Teil der Kundinnen und Kunden aber weiterhin datenschutzwidrig agierte, verhängte die Landesbeauftragte eine Geldbuße in sechsstelliger Höhe. Positiv hervorzuheben ist, dass das Unternehmen inzwischen auf eine Auskunftserteilung per E-Mail verzichtet und seinen Kunden in allen Verfahren einen gesicherten Zugang zu einem Portal anbietet, in dem die Auskünfte datenschutzkonform bereitgestellt werden.


2. Fotos Minderjähriger im Internet

Im Rahmen einer Beschwerde wurde die Landesbeauftragte von einem Vater darüber informiert, dass Bilder seiner minderjährigen Tochter ohne seine Erlaubnis im Internet abrufbar waren. Veröffentlicht hatte sie die Betreiberin einer Ballettschule, bei der seine Tochter Tanzunterricht nahm. Zur Sachverhaltsaufklärung wurden sowohl die Homepage als auch die Facebook-Fanpage der Betreiberin gesichtet und zahlreiche Fotos gesichert. Dort waren neben der Tochter des Beschwerdeführers viele weitere Bilder von meist minderjährigen Tanzschülerinnen veröffentlicht.

Im Rahmen des zunächst geführten aufsichtsrechtlichen Verwaltungsverfahrens entfernte die Betreiberin alle Bilder der Tochter des Beschwerdeführers von ihrer Homepage und der Facebook-Fanpage. Zudem holte sie für die Veröffentlichung von Fotos mit anderen Kindern die schriftlichen Einwilligungserklärungen der Sorgeberechtigten ein. Für die Vergangenheit hatte sie nicht nachweisen können, dass solche Erklärungen wirksam abgegeben worden waren.

Aufgrund der Betroffenheit von Minderjährigen und der damit einhergehenden schweren Verstöße wurde der Fall hausintern an die Bußgeldstelle der Landesbeauftragten abgegeben und im Ergebnis drei Bußgelder festgesetzt. Zwei Geldbußen wurden gemäß Artikel 83 Absatz 5 Buchstabe a Datenschutz-Grundverordnung (DSGVO) i. V. m. Artikel 6 Absatz 1 DSGVO für je ein konkret veröffentlichtes Bild der minderjährigen Tochter des Beschwerdeführers erhoben und eine weitere gemäß Artikel 83 Absatz 5 Buchstabe a DSGVO i. V. m. Artikel 5 Absatz 1 und 2 und Artikel 7 Absatz 1 DSGVO für die fehlende schriftliche Dokumentation der Rechtmäßigkeit der Verarbeitung für die übrigen Fotoveröffentlichungen der minderjährigen Tanzschülerinnen.


Eine Veröffentlichung von Bilddaten im Internet geht mit unkalkulierbaren Risiken für die betroffenen Personen einher. So können eine Weiterverwendung der Bilder durch Dritte nicht kontrolliert und Löschansprüche oft nicht wirksam durchgesetzt werden. Kinder sind deshalb nach dem gesetzgeberischen Willen besonders zu schützen. Im Vergleich zu Erwachsenen ist besonders die kindgerechte Persönlichkeitsentwicklung zu wahren. Kinder und Jugendliche haben ein erhebliches Interesse daran, dass Dritte keine Fotos, auf denen sie individuell erkennbar sind, ohne eine ausdrücklich erklärte Einwilligung der Eltern im Internet veröffentlichen. Im vorliegenden Fall war erschwerend zu berücksichtigen, dass die betroffenen Kinder zum Teil nur in Ballettkleidung abgebildet waren.


Nicht nur an die Wirksamkeit einer Einwilligung sind strenge Voraussetzungen zu knüpfen, auch die Pflicht zur Rechenschaft ist besonders zu beachten. Gemäß Artikel 5 Absatz 2 i. V. m. Artikel 5 Absatz 1 Buchstabe a DSGVO hat der Verantwortliche den Nachweis der Rechtmäßigkeit der Verarbeitung zu führen. Daneben normiert auch Artikel 7 Absatz 1 DSGVO explizit die Verpflichtung des Verantwortlichen, die Einwilligung der betroffenen Person nachzuweisen.

Die Betreiberin der Ballettschule hätte deshalb das Datum und den Inhalt der Einwilligungserklärungen (insbesondere auch in Bezug auf ihren Umfang in Hinblick auf die Veröffentlichung der Fotos) sowie die Art ihrer Einholung in geeigneter Form dokumentieren müssen. Die Erfüllung dieser Pflicht hatte die Unternehmerin versäumt. Unter Berücksichtigung der konkreten Tatumstände wurden drei Geldbußen, die insgesamt eine vierstellige Höhe erreichten, als tat und schuldangemessen betrachtet. Die Betreiberin hat die festgesetzten Geldbußen akzeptiert.


3. Verliebt am Arbeitsplatz

Eine Arzthelferin einer brandenburgischen Arztpraxis speicherte die dort hinterlegte Telefonnummer eines Patienten in ihrem Mobiltelefon und kontaktierte ihn daraufhin privat. Diese Vorgehensweise missfiel nicht nur der Ehefrau des Patienten, die von dem Chatverlauf Wind bekam, sondern auch der Landesbeauftragten – wenn auch aus anderen Gründen.

Es wurde ein Bußgeldverfahren gegen die Arzthelferin wegen der unrechtmäßigen Verarbeitung personenbezogener Daten eingeleitet. Nach Artikel 6 Absatz 1 Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nur verarbeitet werden, wenn einer der dort genannten Erlaubnistatbestände vorliegt. Denn im Datenschutzrecht gilt der Grundsatz, dass eine Datenverarbeitung verboten ist, es sei denn, sie ist ausdrücklich gesetzlich erlaubt oder die Betroffenen stimmen zu. Das heißt, der Patient hätte darin einwilligen müssen, dass die Telefonnummer, die er in der Praxis zu Behandlungszwecken hinterlegt hatte, von der Arzthelferin privat verwendet wird. Eine solche Einwilligung lag nicht vor. Vielmehr wandte sich der Patient mit einer Beschwerde über das Verhalten der Arzthelferin an die Landesbeauftragte. Wer in einer Arztpraxis behandelt wird, muss davon ausgehen können, dass die dort angestellten Personen rechtmäßig mit den persönlichen Daten umgehen. Da dieser Grundsatz durch die Arzthelferin missachtet wurde, verhängte die Landesbeauftragte gegen sie ein Bußgeld in dreistelliger Höhe.


4. Polizist ruft Daten eines Prominenten beim Einwohnermeldeamt ab

Aus Neugier nutzte ein Bediensteter der brandenburgischen Polizei die dienstlich zur Verfügung stehenden Informationssysteme für private Zwecke. Unter Verwendung seiner dienstlichen Anwenderkennung fragte er beim Einwohnermeldeamt der Landeshauptstadt Potsdam die gespeicherten Daten zu einem prominenten Potsdamer ab. Wer vorsätzlich entgegen den Vorschriften der Datenschutz-Grundverordnung, des Brandenburgischen Datenschutzgesetzes (BbgDSG) oder einer anderen Rechtsvorschrift über den Schutz personenbezogener Daten, personenbezogene Daten, die nicht offenkundig sind, abruft, handelt nach § 32 Absatz 1 Nummer 2, 1. Variante BbgDSG ordnungswidrig. Bei den beim Einwohnermeldeamt Potsdam gespeicherten Informationen (u. a. Name, Geburtsdatum, Wohnanschriften) handelt es sich um personenbezogene Daten, da sie Einzelangaben über die persönlichen Verhältnisse von identifizierten oder identifizierbaren natürlichen Personen enthalten. Diese Daten sind nicht offenkundig, der Zugriff auf sie ist gesetzlich beschränkt. Indem der Bedienstete die gespeicherten Daten des Prominenten über die polizeiliche Suchmaske anforderte, rief er die Daten ab. Unerheblich war dabei im Übrigen, dass zu der abgefragten Person eine Auskunftssperre gemäß § 51 Bundesmeldegesetz vermerkt war und er die erhofften Informationen deshalb gar nicht bekam. Der Abruf erfolgte unbefugt, denn Abrufe nicht offenkundiger Daten in Recherchesystemen der Polizei sind nach § 39 Absatz 1 Satz 1 Brandenburgisches Polizeigesetz (BbgPolG) nur dann zulässig, wenn sie zur Erfüllung der Aufgaben erforderlich sind, also jeweils ein dienstlicher Anlass besteht. Ein solcher war nicht gegeben, denn der Bedienstete gab an, lediglich aus eigenem Interesse recherchiert zu haben, ob bekannte Persönlichkeiten in der Landeshauptstadt Potsdam wohnen würden. Sein ausschließlich privat motiviertes Handeln stellte im Ergebnis einen mit Bußgeld bewehrten Verstoß dar. Unter Berücksichtigung der konkreten Tatumstände wurde eine Geldbuße in dreistelliger Höhe als tat- und schuldangemessen betrachtet, die der Polizeibedienstete akzeptierte. Bei Verstößen dieser Art setzen wir regelmäßig ein Bußgeld fest, da sie in hohem Maße geeignet sind, das Vertrauen der Allgemeinheit in die Rechtmäßigkeit des Umgangs mit personenbezogenen Daten durch die damit befassten öffentlichen Stellen empfindlich zu beeinträchtigen.

Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks