Teil 3: Wassersport-Vereine und das neue Datenschutz-Recht – Rechtsgrundlagen
Jede Datenverarbeitung muss nach dem Datenschutz-Recht auf eine Rechtsgrundlage gestützt werden. Davon hängt es ab, wofür die Datenverarbeitung erlaubt ist, und welche Bedingungen zu beachten sind. Erfahren Sie hierzu mehr im in diesem Teil 3 der Beitragsserie zur Datenschutz-Grundverordnung.
Zurück zu Teil 2: Wassersport-Vereine und das neue Datenschutz-Recht – Anpassungen prüfen
8. Rechtsgrundlage für die Verarbeitung
Hier komme ich nun zum Kern der notwendigen Überlegungen bei einer Überarbeitung des Datenschutzes im Verein: Der Rechtmäßigkeit der Verarbeitung, was in der datenschutzrechtlichen Terminologie bedeutet, dass es eine Rechtsgrundlage für die Verarbeitung geben muss, also eine Rechtsvorschrift, die sie erlaubt. Leider ist dieser Punkt auch der Anlass für die meisten Missverständnisse. Ich widme ihm einen eigenen Hauptabschnitt und beginne mit einem vielleicht überraschenden Satz:
Keine Datenverarbeitung ist an sich illegal. Es kommt nur darauf an, wie sie geschieht. Es kann allerdings sein, dass eine Datenverarbeitung illegal ist, wenn bestimmte Bedingungen nicht eingehalten werden.
Lassen Sie diesen Satz bitte erst einmal sacken. Sie werden im Internet sehr viele Seiten gelesen haben, auf denen steht, dass etwas nach dem neuen Datenschutzrecht nicht mehr ginge. Dies stimmt schlicht nicht. Weshalb einige das Gegenteil behaupten, mögen Sie bitte im Einzelfall selbst beurteilen.
Wichtig ist begrifflich die Unterscheidung der Rechtmäßigkeit von der Zweckbindung:
- Zweckbindung bedeutet, dass der Zweck der Erhebung und späteren Verarbeitung vorher (ausdrücklich oder anhand der Umstände) festgelegt sein muss und ein “Zweckwechsel” besonders gerechtfertigt werden muss.
- Rechtmäßigkeit der Datenverarbeitung bedeutet hingegen, dass es für die Erhebung und Verarbeitung der Daten zu dem festgelegten Zweck eine Rechtsgrundlage gibt.
Das Wichtige ist: Sie müssen für jede Datenverarbeitung eine Rechtsgrundlage finden und zuordnen können. Damit Sie das können, müssen Sie zunächst die Zwecke der Verarbeitung festgelegt haben. Denn von ihnen hängt die Rechtsgrundlage ab.
Nun stelle ich die Rechtsgrundlagen vor, die vor allem im Artikel 6 der Datenschutz-Grundverordnung enthalten sind. Die Abhandlung folgt nicht der gesetzlichen, sondern der für die Darstellung geeignetsten Reihenfolge.
8.1 Zuallererst: Not kennt kein Gebot
Die allumfassende Grundregel, dass Not kein Gebot kennt, findet sich in Artikel 6 Absatz 1 Satz 1 Buchstabe d wieder. Formuliert ist dies wie folgt: “Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.” Die Regelung ist praktisch das Mensch-Über-Bord-Manöver des Datenschutzrechts. Planmäßige Dienstleistungen im Katastropenschutz fallen nicht hierunter, sondern in die nächste Kategorie:
8.2 Erfüllung öffentlicher Aufgaben
“Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde” – so formuliert es die Datenschutz-Grundverordnung in Artikel 6 Absatz 1 Satz 1 Buchstabe d. Damit ist nur die Mitwirkung bei staatlichen Aufgaben genannt, im Zweifel in staatlichem Auftrag, etwa beim Katastrophen- und Umweltschutz und der Wasserrettung. Für die Datenerhebung in diesem Bereichen wird es festgelegte Verfahren bereits geben, und eine weitere Rechtsgrundlage, die die Datenverarbeitung erlaubt, muss nach Erwägungsgrund 45 der Datenschutz-Grundverordnung zudem auch vorhanden sein. Die Erwähnung des “öffentlichen Interesses” ist nicht im Sinne selbsternannter Weltenretter zu verstehen und nicht mit “Gemeinnützigkeit” zu verwechseln. Auch ein Bäcker tut etwas Gutes für die Menschen, indem er ihnen Nahrung gibt, Zeitungen sind für die Demokratie gut, und Vereine überhaupt für das gesamtgesellschaftliche Gefüge. Dennoch können sie sich nicht nach der Devise: “Ich formuliere einfach dreist” einen Freibrief ausstellen. Ein Schlüsselwort ist hier übrigens auch “erforderlich”. Es bedeutet dasselbe wie “notwendig”. Was ich zur Erfüllung der Aufgabe nicht benötige, darf ich auf der Grundlage des Artikel 6 Absatz 1 Satz 1 Buchstabe d auch nicht erheben.
8.3 Erfüllung einer rechtlichen Verpflichtung
Nach Artikel 6 Absatz 1 Satz 1 Buchstabe c der Datenschutz-Grundverordnung ist die Datenverarbeitung zudem rechtmäßig, wenn sie einer rechtlichen Verpflichtung dient, der der Verarbeitende, also der Verein, unterliegt. Diese rechtlichen Verpflichtungen müssen also gerade eine Datenverarbeitung vorsehen. Gemeint ist damit aber nicht die gesondert geregelte Vertragserfüllung.
8.3.1 Steuer- und Sozialversicherungsrecht
Einschlägig ist hier für gemeinnützige Vereine der § 63 Absatz 3 der Abgabenordnung (AO), der eine “ordnungsmäßige Aufzeichnungen über […] Einnahmen und Ausgaben” vorschreibt. Nach Abschnitt 55 Nummer 1 des Anwendungserlasses zur Abgabenordnung, der die Auffassung der Verwaltung zur genaueren Bedeutung dieser Vorschrift wiedergibt, sind die “Vorschriften der AO über die Führung von Büchern und Aufzeichnungen (§§ 140 ff. AO) […] zu beachten.” Zu den Aufzeichnungen zählen insbesondere ein- und ausgehende Korrespondenz mit Bezug zu den Geschäften des Vereins sowie Belege (§ 147 Absatz 1 AO). Eine Anonymisierung der Geschäftsvorfälle ist nicht geboten; ganz im Gegenteil fordert das Steuerrecht originale, unverfälschte Belege und nach § 14 Absatz 4 Satz 1 Nummer 1 des Umsatzsteuergesetzes für Umsatzsteuerzwecke auch vollständige Namen und Adressen beider Geschäftspartner (für Beträge bis 250 Euro vgl. § 33 Umsatzsteuer-Durchführungsverordnung). Auch bei eingetragenen, nicht gemeinnützigen Vereinen ergeben sich entsprechende Aufzeichnungspflichten; bei größeren Vereinen, die die entsprechenden Schwellen überschreiten, ist dies auf Grund von § 141 AO und bei kleineren Vereinen nach § 4 Absatz 3 Einkommensteuergesetz in Verbindung mit § 31 Absatz 1 Satz 1 Körperschaftsteuergesetz. Weitere Aufzeichnungspflichten ergeben sich vor allem hinsichtlich des Lohnkontos der Arbeitnehmer aus § 4 der Lohnsteuer-Durchführungsverordnung, aus dem Sozialversicherungsrecht nach § 8 der Beitragsverfahrensverordnung und zur Kontrolle des Mindestlohns nach § 17 des Mindestlohngesetzes. Die zahlreichen steuerlichen und sozialversicherungsrechtlichen Mitteilungspflichten rechtfertigen die Übermittlung der erforderlichen Daten an die Finanzbehörden und Sozialversicherungsträger selbst oder aber auch an Angehörige der steuerberatenden Berufe.
An dieser stelle stellt sich die Frage, ob sich aus Begrenzungen der Aufzeichnungspflichten Erhebungsverbote ergeben.
Beispiel: Herr Bothe legt mit seiner Motoryacht “Ariane” als Gastlieger beim Verein Handbreit e.V. an und zahlt für drei “Übernachtungen” mit dem Boot 40 Euro. Hierüber stellt der Hafenmeister des Vereins eine Quittung mit dem Namen von Herrn Bothe und dem Schiffsnamen aus und verbucht den Geldeingang in seiner Handkasse. Zugleich speichert er in der elektronischen Gastliegerliste des Vereins den Namen und die Anschrift des Herrn Bothe sowie den Namen “Ariane” und das Kennzeichen des Bootes. Darf er das?
Steuerlich handelt es sich um eine Kleinbetragsrechnung nach § 33 Umsatzsteuer-Durchführungsverordnung, weshalb für einen Zahlungsbeleg nur Name und Anschrift des Vereins, Datum, Bezeichnung der Leistung, Betrag und Umsatzsteuersatz (oder Grund für die Umsatzsteuerfreiheit) anzugeben wären. Auch wenn die ganz genauen Einzelheiten wegen neuerer Gesetzesänderungen etwas unklar sind, würde es hier wohl ausreichen, wenn sich die steuerlichen Aufzeichnungen hier auf diese Daten beschränken. Darf man also überhaupt “über Obligo” aufzeichnen?
Dies ist zumindest dann zu bejahen, wenn die zusätzlichen Aufzeichnungen die Mindestaufzeichnungen gleichsam “plausibilisieren”. Ansonsten lassen sich für einen solchen Fall aber andere legitime Zwecke finden, die unter die Erlaubnisnorm des “berechtigten Interesses” ( Artikel 6 Absatz 1 Satz 1 Buchstabe f der Datenschutz-Grundverordnung) fallen. Darauf komme ich gleich noch zurück.
Fazit: Letztendlich darf – ja, muss – man alles erheben und aufbewahren, was irgendwie mit Einnahmen und Ausgaben zu tun hat, wenn auch indirekt.
8.3.2 Andere Rechtsgebiete
Auch wenn das Steuer- und Sozialrecht die meisten Aufzeichnungspflichten begründet, können sich Pflichten für Aufzeichnungen, die auch personenbezogene Daten enthalten, auch aus anderen Rechtsvorschriften ergeben. Zu nennen ist hier bei Vereinen, bei denen größere Mengen an Abfall anfallen (zum Beispiel, wenn sie die Leerung von Fäkalientanks anbieten).
8.3.3 Vorsicht – Zweckbindung!
Bei der Datenerhebung auf Grund von gesetzlichen Aufzeichnungspflichten ist die Zweckbindung besonders tückisch: Nur für die Zwecke der Erfüllung der dürfen die Daten nach Artikel 6 Absatz 1 Satz 1 Buchstabe c der Datenschutz-Grundverordnung verarbeitet werden. Soll auch ein weiterer Zweck erfüllt werden, so ist zugleich ein weiterer Erhebungszweck auf Grund einer anderen Vorschrift von vornherein festzulegen.
Beispiel: Vereinsmitglied Krösmeier spendet den unglaublichen Betrag von 100 000 Euro für den Verein. Der Geldeingang muss nach steuerlichen Regeln als seine Spende verbucht werden, und auch von der Spendenbescheinigung, die Herr Krösmeier dankend erhält, behält der Vorstand auch auf Grund der steuerlichen Aufzeichnungspflichten eine elektronische Kopie.
Die Erhebung, Aufzeichnung und Speicherung ist natürlich zur Erfüllung gesetzlicher Pflichten erforderlich. Allein diese Vorschrift erlaubt es aber zum Beispiel nicht, Krösmeier im Verein für seine Spende zu loben. Zu Grundlagen für eine solche Verwendung kommen wir sogleich.
8.4 Verfolgung eines berechtigten Interesses
Eine etwas konturlose Rechtsgrundlage für Datenverarbeitungen enthält nämlich Artikel 6 Absatz 1 Satz 1 Buchstabe f der Datenschutz-Grundverordnung. Danach ist die Datenverarbeitung zudem rechtmäßig “zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.”
Diese Vorschrift klingt zunächst nach etwas, was man gemeinhin einen “Gummiparagrafen” nennt: Es ist eine Abwägung zu treffen, und es ist zu beurteilen, welche Interessen überwiegen. Außerdem ist nicht in der Datenschutz-Grundverordnung definiert, was “berechtigt” ist. Die Vorschrift ist allerdings nicht aus heiterem Himmel entstanden, sondern es gab – zum Beispiel im alten deutschen Bundesdatenschutzgesetz – ähnliche Vorschriften, bei deren Anwendung sich Fallgruppen und Rechtsprechung herausgebildet haben. Das ist ähnlich wie beim “Urvater” der “Gummiparagrafen”, dem § 1 der Straßenverkehrs-Ordnung, oder dem eher Juristen vertrauten, aber bei Betrachtung nur des Wortlauts noch unklareren § 242 BGB, der von “Treu und Glauben” als Handlungsmaxime spricht.
Man muss nach dem Wortlaut der neuen Vorschrift jedenfalls in einem ersten Schritt ein berechtigtes Interesse finden und in einem zweiten Schritt dann dieses Interesse mit den Interessen desjenigen abwägen, der betroffen ist.
Im Zusammenhang mit Wassersport-Vereinen relevante Fallgruppen des berechtigten Interesses sind:
8.4.1 Werbung
Allen Unkenrufen zum Trotz ist Werbung ein berechtigtes Interesse. Die Datenschutz-Grundverordnung besagt nicht, wie man Werbung machen darf, das ist anderen Regelungen vorbehalten. Unerwünschte Telefonanrufe sind und bleiben damit also weitgehend unzulässig. Aber um (ansonsten legale) Werbung zu machen, darf man Daten erheben und speichern. Dies steht sogar ausdrücklich im Erwägungsgrund 47, Satz 7 der Datenschutz-Grundverordnung. Für Direktwerbung gelten einige Sonderregeln; der Betroffene darf sie zum Beispiel ausdrücklich untersagen; darauf gehe ich hier aber nicht näher ein.
8.4.2 Sicherheit
Weil viele “Tekkies” an der Verordnung mitgewirkt haben, ist in Erwägungsgrund 49 der Datenschutz-Grundverordnung in Ausführlichkeit geregelt, wie der Schutz von Informations- und Kommunikationstechnik und -netzen Datenerhebungen rechtfertigt. Dies rechtfertigt auch das Vorhalten von “Logfiles” von Internet-Servern für einen gewissen Zeitraum (bei mir sind es neun Tage). Diese Wertungen können zwanglos auf andere Sicherheitsinteressen überragen werden: Für eine gewisse Zeit kann aufgezeichnet werden, wer Vereinstore benutzt, wer zum Beispiel als Gastlieger anlegt, oder wer eine Kontollrunde auf dem Gelände gemacht hatte.Im obigen Beispiel des Gastliegers rechtfertigt dies die Aufzeichnung durch den Hafenmeister, wer genau mit welchem Boot als Gastlieger auf dem Gelände war. Wenn der Verein ein allgemeines Regime hat, wonach nur berechtigte Personen (Vereinsmitglieder und deren begleitete Gäste sowie Gastlieger) das Gelände betreten dürfen – wie es zumeist der Fall ist -, ist dies nachvollziehbar, weil dann ein allgemeines Kontrollregime besteht, das erfahrungsgemäß Schäden vor allem durch Diebstahl abwendet. Erhebliche gegenläufige Interessen des Gastliegers sind nicht erkennbar. Hat der Verein hingegen ein offenes oder gar kein Tor, greift das Argument eher nicht.
8.4.3 Vereinsleben
Im Erwägungsgrund 47 der Datenschutz-Grundverordnung steht: “Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht“. Das dann erwähnte Beispiel einer Kunden- oder Dienstbeziehung lässt sich problemlos auf eine Vereinsmitgliedschaft übertragen.
Der genannte Erwägungsgrund 47 liefert dann auch ein maßgebliches, wenn auch nicht alleiniges Abwägungskriterium für die Angemessenheit: “Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“Das heißt zunächst, dass satzungsgemäße Zwecke verfolgt werden und hierzu grundsätzlich auch Daten verarbeitet werden können. Ein Vereinsleben gemäß der Satzung ist legitim, und jedes Vereinsmitglied, das normalerweise auch die Satzung erhält, kann auch absehen, was dabei eine Rolle spielt. Außergewöhnliche und exotische Bestimmungen legitimiert dies freilich nicht stets; die Satzung kann nicht als Grundlage für eine grob unfaire Behandlung dienen. Beispiel: Sieht die Satzung vor, dass ein Vereinsmitglied bei Nichtzahlung des Vereinsbeitrages ausgeschlossen wird, und dass hierüber die Mitgliederversammlung entscheidet, oder darüber berichtet wird, ist die Nennung des Namens des Vereinsmitgliedes und der Tatsache der Nichtzahlung in einer Mitgliederversammlung gerechtfertigt. Eine solche Satzungsbestimmung ist auch nicht ungewöhnlich. Eine Veröffentlichung im Internet, für jedermann einsehbar, wäre hingegen nicht für das Vereinsleben erforderlich und würde wohl einer Abwägung nicht standhalten.
Ebenso ist es völlig legitim, neue Mitglieder vorzustellen oder bei Wettbewerben im Rahmen des im Verein sonst Üblichen Ergebnisse zu präsentieren und zu verbreiten. Ebenso ist es legal, Mitglieder für ihre Verdienste zu ehren oder auch zu verteidigen. Es gibt dabei freilich absolute Grenzen der Privat- und Intimsphäre.
Im Beispiel des eines großen Betrages spendenden Mitgliedes Krösmeier kommt es also darauf an, was im Verein üblich ist, und ob bei einer Großspende nicht eine Ausnahme zumindest von der Nennung des Betrages gemacht werden sollte. Werden jährlich solche Summen gespendet, und wurde dies ohne Probleme vereinsintern publik gemacht, spricht eher wenig gegen eine Veröffentlichung. Fällt die Spende hingegen völlig aus dem Rahmen, wäre die Angabe “großzügige Spende” ohne Betragsnennung eher angebracht, weil als solcher angesehener Reichtum Neid, Gefahren und äußerst unangenehme Bettelei nach sich ziehen kann. Ließen sich der Betrag oder seine Größenordnung aus den Abrechnungen, die den Mitgliedern vorgelegt werden, unschwer herausarbeiten, wäre es (ohne Krösmeiers Einverständnis) eher angebracht, von “einer Spenderin” zu sprechen, anstatt Krösmeiers Namen zu nennen.
Die Beispiele zeigen, dass es auf etwas Fingerspitzengefühl ankommt. Im Zweifel kann man auf Betroffene auch zugehen und sie fragen.
8.4.4 Insbesondere: Fotos
Der Behauptung, dass nach Inkrafttreten der Datenschutz-Grundverordnung die Möglichkeiten, Fotos aufzunehmen oder zu nutzen, gegenüber der früheren Rechtslage eingeschränkt ist, widerspricht das Bundesministerium des Innern, für Bau und Heimat, das für das Datenschutzrecht innerhalb der Bundesregierung federführend zuständig ist, in diesem Tweet:
Was ändert sich mit der EU-Datenschutzgrundverordnung für Fotografen? ? Hierzu bekommen wir momentan viele Fragen. Antwort: Das #KUG wird durch die #DSGVO nicht verdrängt! Ausführlich unten und in unseren FAQ: https://t.co/2Qsr9RxCFK. #Datenschutz pic.twitter.com/v9WY4a47Px
— Bundesministerium des Innern, für Bau und Heimat (@BMI_Bund) 12. Mai 2018
8.4.5 Sicherung der eigenen Rechte
Hierzu möchte ich zwei Phänomene erwähnen. Zum einen wird jeder, der sich einmal mit einem größeren und halbwegs “aufgeräumten” Unternehmen gestritten hatte, festgestellt haben, dass dort sehr viele Mitarbeiter sehr vieles penibel dokumentieren und all diese Zettel und Formulare sowie die ausfüllenden Mitarbeiter als Zeugen zu einem Wald an Beweisen führen. Das zweite Phänomen betrifft Versicherungen. Sowohl Sozialversicherungsträger als auch private Versicherungen tragen Schäden zunächst anstandslos, nehmen dann aber Verursacher in den Rückgriff. Aus diesen Gründen ist es für jeden Verein legitim, “schadengeneigte” Vorfälle zu dokumentieren und die Daten auch so lange vorzuhalten, bis wegen der Verjährung nichts mehr gefordert werden kann. Ich halte hierbei wegen § 199 Absatz 3 Satz 1 Nummer 1 BGB zehn Jahre für eine legitime Speicherfrist.
Beispiel: Im obigen Beispiel des Besuchs des Herrn Bothe als Gastlieger hatte der Hafenmeister in der elektronischen Gastliegerliste des Vereins den Namen und die Anschrift des Herrn Bothe sowie den Namen des Bootes, “Ariane”, und das Kennzeichen des Bootes gespeichert. Sechs Monate später meldet sich die Allkasko AG beim Verein und fordert Schadenersatz, weil eine Yacht des Herrn Bothe beim Liegen an einem scharfkantigen Steg beschädigt worden sei. Es stellt sich heraus, dass Herr Bothe den Schaden beim Kranen ins Winterlager bemerkt und der Allkasko AG, bei der sein Boot kaskoversichert ist, gemeldet hatte. Die Allkasko AG bat Herrn Bothe, alle Liegeplätze zu nennen, die er in der Saison aufgesucht hatte, und entdeckte durch einen beauftragten Detektiv, dass der Gastliegersteg 3 des Vereins eine Kante hatte, die zu der Beschädigung hätte führen können. Der Hafenmeister hatte allerdings korrekt aufgezeichnet, dass die “Ariane” am Gastliegersteg 1 gelegen hatte, womit der Anspruch abgewehrt werden konnte. Die Allkasko AG gab aber nicht auf und machte Ansprüche wegen der Beschädigung des Segelbootes eines Herrn Schwarzer an einem Gastliegersteg geltend. Der Hafenmeister fand weder Herrn Schwarzer noch sein Boot in der Gastliegerdatei und bekräftigte, dass er die Gastlieger lückenlos aufzeichne. Es stellte sich heraus, dass Herr Schwarzer sein Segelboot ohne jede Erlaubnis oder Anmeldung an einem baufälligen und daher vorübergehend nicht genutzten Steg des Vereins “geparkt” hatte.
8.4.6 Videoüberwachung zu Sicherheitszwecken
Zur Videoüberwachung enthält die Datenschutz-Grundverordnung keine eigenständigen Regelungen. Hierzu hat aber der Bundesgesetzgeber in § 4 des neuen Bundesdatenschutzgesetzes eine für Deutschland geltende Regelung geschaffen, die der bisherigen entspricht:
- Die Videoüberwachung ist kenntlich zu machen. Hierzu gibt es eine Norm, nämlich die DIN 33450, die ein Symbol für ein Hinweisschild vorschlägt:
- Es ist kenntlich zu machen, wer für die Videoüberwachung verantwortlich ist, und es sind Kontaktdaten (zum Beispiel eine Adresse oder Telefonnummer) anzugeben. Dies kann sinnvollerweise nur am Schild erfolgen.
- Zudem sind die Zwecke der Videoüberwachung festzulegen. Es muss sich um ein berechtigtes Interesse handeln. Für großflächigere Einrichtungen sieht der Gesetzgeber vor, dass “der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse” gilt. Der Schutz des Eigentums, etwa teurer Boote und der Ausrüstung, ist ebenfalls ein wichtiges Interesse, auch wenn dies nicht ausdrücklich im Gesetz steht.
Auch jenseits der festgelegten Zweckbindung ist eine Auswertung zulässig, wenn dies “zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.” Wenn also der Eigentumsschutz als Zweck festgelegt ist, kann dennoch zum Beispiel eine mitgefilmte Körperverletzung oder strafbare Umweltgefährdung mit dem Videomaterial aufgeklärt werden.
Zu beachten sind hier auch die folgenden allgemein anerkannten Ausprägungen des Verhältnismäßigkeitsprinzips:
- Die Aufnahmen dürfen nur so lange vorgehalten werden, wie dies für den Erhebungszweck notwendig ist. Bei Videoaufnahmen aus Sicherheitsgründen sind hierbei 24 Stunden auf jeden Fall erlaubt; drei Tage werden auch allgemein für zulässig gehalten. Es kommt aber auch auf die Umstände des Einzelfalls an. Stehen die Boote bei kaltem Wetter im Winterlager, wo kaum jemand das Gelände und seine Boote kontrolliert, werden auch längere Aufnahmezyklen gut begründbar sein. Üblicherweise werden Systeme verwendet, die nach einer voreingestellten Zeit Aufnahmen automatisch wieder überschreiben.
- Bei der Auswahl des Aufnahmewinkels sind Befindlichkeiten zu beachten. Kameras müssen zum Beispiel so eingestellt sein, dass Anlagen der Nachbarn nicht mitgefilmt werden. Auch eine Erfassung des Fußgängerverkehrs auf dem öffentlichen Bordstein oder der öffentlichen Straße ist unzulässig. Auch ein Filmen anderer privater Bereiche ist grundsätzlich unzulässig, etwa des Sonnendecks von im Hafen stehenden Booten, auf denen die Besitzer, wie häufig, gelegentlich Kaffee trinken. Wird der persönliche Bereich von Booten mitgefilmt, lässt man am besten die Eigner entscheiden, wie gefilmt werden soll, und dokumentiert dies. Einigen ist es egal, ob sie beim Kaffee gefilmt werden, wenn nur ihr Eigentum geschützt ist. Andere sehen es nicht so gern, wenn ihre entblößten Herrenbrüste auf Film gebannt werden.
- Es muss ein Zugriffskonzept vorliegen, das möglichst wenigen Personen den Zugang zu den Aufnahmen gewährt. Dieses Konzept muss auch durch geeigneten Maßnahmen (etwa durch den Passwortschutz der Aufnahmen) tatsächlich abgesichert und umgesetzt werden.
Beispiel: Im Yachtclub Edelwelle e.V. werden die teuren Yachten der Bootsbesitzer – auch auf deren Betreiben – durch eine ständige Videoüberwachung gefilmt. Festgelegter Zweck der Aufnahmen ist: “Schutz des Eigentums des Vereins, seiner Mitglieder und von Gastliegern”. Nachdem ein Außenbordmotor gestohlen wurde, wertet ein Vorstandsmitglied des Vereins die Videoaufnahmen der vergangenen 24 Stunden aus. Dabei entdeckt er Folgendes:
- Er erkennt klar das Gesicht des ihm unbekannten Diebes, der den Außenbordmotor über den Zugangsweg abtransportiert. Das Vorstandsmitglied möchte die Aufnahme verwenden, um auf der Vereinswebseite öffentlich nach dem Dieb zu “fahnden”.
- Das Vorstandsmitglied sieht, wie ein Vereinsmitglied Altöl aus einem Kanister in den Boden schüttet. Es beabsichtigt, diese Aufnahme zusammen mit einer Strafanzeige der Polizei zu senden und sie auf der nächsten Vereinsversammlung vorzuführen, wo es den Ausschluss des Mitgliedes beantragen möchte.
- Es sieht auch, wie seine erwachsene Tochter, die einen Sportbootführerschein besitzt und sein Boot benutzen darf, mit einer Unbekannten den Pfad zu den Stegen entlanggeht. Zu seiner Überraschung küssen sich die beiden innig. Das Vorstandsmitglied möchte zu Hause die Tochter danach befragen, wie die Unbekannte ist, und ob denn trotz der Vorliebe für Frauen noch Enkel zu erwarten seien.
Im Beispiel ist die Auswertung der Videoaufnahmen für die Fahndung nach dem Dieb bereits nach dem festgelegten Zweck der Videoaufnahmen zulässig. Eine “private Öffentlichkeitsfahndung” verstößt allerdings nach gefestigter Rechtsprechung und nach den klaren, immer noch gültigen Vorgaben des Kunsturhebergesetzes gegen die Rechte des Betroffenen und macht zudem auch die Arbeit der Polizei oftmals nicht leichter. Auch besteht immer die Gefahr, dass der Sachverhalt nicht so eindeutig ist, wie man meint, und ein Unbekannter an den Pranger gestellt wird. Die Polizei rät daher von solchen Maßnahmen immer wieder ab.
Die Verwendung der Aufnahmen der illegalen Altölentsorgung ist für eine Strafanzeige zulässig, weil hier die Ausnahme “Verwendung zur Verfolgung von Straftaten” eingreift und der Verdacht einer strafbaren Bodenverunreinigung besteht. Die Vorführung des Videos zum Zweck des Vereinsausschlusses ist hingegen nicht zulässig. Zwar ist das “Vereinsleben” ein berechtigtes Interesse, dabei handelt es sich aber nicht um den vorher festgelegten Zweck der Aufnahmen, und eine gesetzliche Vorschrift, die den Zweckwechsel erlaubt, ist nicht ersichtlich. Fraglich wäre auch, ob Mitglieder die Aussage begrüßen würden: “Wir führen eine Videoüberwachung auf dem Gelände durch, um Fehlverhalten von Mitgliedern zu erkennen und das Material auf Mitgliederversammlungen für Vereinsausschlüsse zu verwenden.” Der Verein könnte stattdessen bei der Staatsanwaltschaft beantragen, über den Verlauf und Ausgang des Verfahrens unterrichtet zu werden (der Verein ist als Besitzer des Geländes auch Opfer einer Sachbeschädigung). Entsprechende Mitteilungen der Staatsanwaltschaft können dann Grundlage auch für vereinsrechtliche Sanktionen sein.
Die Ausspähung der Liebeleien der Tochter ist eindeutig nicht zulässig. Auch wenn diese Aufnahmesequenzen aus einem legitimen Anlass gesichtet worden sind, liegt hier eindeutig kein berechtigtes Interesse für eine Verwertung des daraus erworbenen Wissens vor. Genau für solche Sachverhalte gibt es letztendlich Datenschutzbestimmungen. “Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person” gehören nach Artikel 9 der Datenschutz-Grundverordnung zu den besonderen Kategorien personenbezogener Daten. Die Verarbeitung solcher Daten ist bis auf wenige Anwendungsbereiche stets verboten. Berechtigte Interessen gibt es in diesem Bereich praktisch nicht.
8.4.7 Statistik
Statistik zur besseren Planung und zur Gewinnung von Erfahrungswerten stellt ebenfalls ein berechtigtes Interesse dar. Viele Anbieter von Internetseiten erheben pseudonym Daten, um Nutzerstatistiken anfertigen zu können, die wiederum erkennen lassen, welche Themen und Angebote besonders beliebt sind, und wie die Nutzer durch die Webseite “surfen”. Auch ansonsten sind Datenerhebungen für Statistiken grundsätzlich legitim, und wenn es auch nur darum geht, zu erfahren, ob auf dem Grillfest viele Gäste wenige Würstchen essen, oder ob es nur eine Minderheit an Wurstkönigen gibt, die gar nicht den Massengeschmack repräsentieren, aber viel konsumieren. Anerkannt ist, dass die Daten, die nur für statistische Zwecke erhoben werden, so frühzeitig wie möglich pseudonymisiert oder anonymisiert werden müssen. Pseudonymisieren bedeutet, dass man zwar einzelne Menschen unterscheidet, das Unterscheidungsmerkmal aber nicht einem Menschen zuordnen kann. Pseudonymisierung findet etwa im Supermarkt statt: Aus den einzelnen (heute elektronischen) “Bons” lässt sich ersehen, welche Produkte ein einzelner Kunde oder eine Kundin beim Einkauf kombiniert gekauft hat. Daraus, aus vielen Bons, lassen sich wertvolle Statistiken gewinnen: Eine Erkenntnis wie “Wer mittwochs Wurst kauft, kauft oft auch Käse” kann bares Geld wert sein, etwa bei der Planung lockender Sonderangebote. Dennoch lässt sich ohne Barzahlung und beim Einsatz einer Kundenkarte nicht ersehen, wer Kunde oder Kundin war. Man kann aber einzelne eingekaufte Artikel über den Bon einem einzelnen Verkaufsvorgang und damit einem einkaufenden Menschen, dessen Namen man allerdings nicht kennt, zuordnen.
8.5 Vertragserfüllung
Die Vertragserfüllung stellt im Grunde einen Sonderfall der Wahrnehmung eines berechtigten Interesses dar. Nach Artikel 6 Absatz 1 Satz 1 Buchstabe b der Datenschutz-Grundverordnung ist die Verarbeitung zulässig, wenn sie erforderlich ist “für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen […], die auf Anfrage der betroffenen Person erfolgen.” Vorvertragliche Maßnahmen sind Maßnahmen, die im Hinblick auf einen künftigen Vertragsschluss erfolgen, auch wenn der Vertrag nicht zustande kommen sollte (Beispiel: Erstellung eines Kostenvoranschlages). “Vertraglich” sind alle Maßnahmen, die auf Grund einer Vereinbarung mit demjenigen getroffen werden, dessen Daten betroffen sind. Unklar ist, wie eng das Merkmal “erforderlich” auszulegen ist. Die Erwägungsgründe liefern hier keine brauchbare Auslegungshilfe. Nach allgemeinem Verständnis bedeutet der Begriff, dass ein Ziel nicht mit anderen Mitteln ebenso gut erreichbar ist, also: Der Vertrag könnte ohne die Erhebung und Nutzung personenbezogener Daten nicht ebenso gut erfüllt werden. Geht es auch ohne diese Datenverarbeitung, dann aber nur mit einem schlechteren Ergebnis, ist die Datenverarbeitung in diesem Sinne “erforderlich”. Beispielsweise könnte die Post durchaus wieder dazu übergehen, Briefsendungen rein manuell durch Mitarbeiter zu sortieren, ohne durch Scanner Adressen für die vollautomatische Verteilung auszulesen, und Telekommunikationsunternehmen könnten Gespräche wieder mit Stöpseln “im Amt” oder mit mechanischen Hubdrehwählern vermitteln, statt computergestützt zu erfassen, welche Nummer angerufen wird. Dies alles wäre aber nur mit immensen Kosten und vor allem Geschwindigkeits- und anderen Qualitätseinbußen möglich. Insofern sind die genannten Datenerhebungen zur Vertragserfüllung erforderlich. Ebenso dazu gehört die Erhebung, welche Leistungen in Anspruch genommen werden, denn Teil der Vertragserfüllung ist – seitens des Kunden – die Bezahlung, die eine Rechnungsstellung durch den Anbieter voraussetzt. Und diese Rechnungen kann man nur auf Grund vorhandener Daten schreiben.
Beispiel aus der Welt des Wassersports: Der Yachtclub Frische Brise e.V. betreibt eine Bootsfahrschule. Bezahlt wird monatlich im Nachhinein nach tatsächlich besuchten Kursstunden. Zur Unterstützung des Theorieunterrichts lässt die Fahrlehrerin die Schüler auf einem Computer Übungstests absolvieren. Sie speichert dabei den Punktestand jedes Schülers zu jeder Prüfungsrubrik zusammen mit dem Namen des Schülers, um Stoff, mit dem einzelne Schüler besondere Probleme haben, mit diesen noch einmal kurz durchzugehen. Zudem speichert sie eine elektronische Anwesenheitsliste, die sie monatlich dem Kassenwart übermittelt.
Diese Erhebungen und Verarbeitungen sind zur Vertragserfüllung erforderlich. Ein Vertrag ist zustande gekommen, weil eine Leistung (Unterricht) gegen Geld erbracht wird, selbst wenn nichts unterzeichnet wurde. Wenn die Schüler ohne Computerunterstützung und die Speicherung der Resultate der Übungstests unterrichtet werden könnten, wäre der Unterricht weniger effektiv oder mit einem höheren Aufwand verbunden. Die Speicherung und Übermittlung der Anwesenheiten ist zur Rechnungsstellung durch den Kassenwart und damit für die Vertragserfüllung durch die Schüler durch Zahlung erforderlich.
Werden die Daten darüber hinaus verwendet, müsste allerdings noch eine weitere Rechtsgrundlage hinzukommen. Mit der vollständigen Vertragserfüllung ist Artikel 6 Absatz 1 Satz 1 Buchstabe b der Datenschutz-Grundverordnung praktisch “verbraucht”. Will zum Beispiel der Kassenwart die Anwesenheitslisten zum Beispiel als Hilfsbeleg für die Buchhaltung verwenden, müsste er diese Datennutzung auf eine andere Rechtsgrundlage stellen; für die Buchhaltung wäre dies, wie bereits ausgeführt, der Artikel 6 Absatz 1 Satz 1 Buchstabe c der Datenschutz-Grundverordnung (Erfüllung einer rechtlichen Verpflichtung). Sollen die Fahrschüler, die die Prüfung erfolgreich bestanden haben, in der Jahresmitgliederversammlung gelobt werden, käme Artikel 6 Absatz 1 Satz 1 Buchstabe f der Datenschutz-Grundverordnung (berechtigtes Interesse – Vereinsleben) in Betracht.
8.6 Einwilligung im Datenschutz-Recht
Übrig bleibt als Rechtfertigungsgrund für eine Datenerhebung noch die in Artikel 6 Absatz 1 Satz 1 Buchstabe a der Datenschutz-Grundverordnung genannte Einwilligung. Betrachtet man die bislang erörterten Rechtsgrundlagen, fällt auf, dass hierfür nicht besonders viele Anwendungsfälle übrig bleiben. Die immer wieder aufgestellte Behauptung, es sei nach der Datenschutz-Grundverordnung ein ausdrückliches Einverständnis erforderlich, wo dies zuvor nicht der Fall gewesen ist, scheint nicht zu stimmen. Zu beachten ist freilich, dass das deutsche Recht nicht auf Grund des Datenschutzes, sondern im Zusammenhang mit dem Wettbewerb von Marktteilnehmern zur Vermeidung unlauteren Wettbewerbs Einverständnisregeln kennt, die über das rein datenschutzrechtlich Erforderliche hinausgehen.
8.6.1 Kostenlose Kommunikation als Hauptanwendungsfall
Wo ist also noch an Fälle zu denken, in denen eine Einwilligung erforderlich ist? Hauptsächlich betroffen ist der große Bereich kostenloser sozialer Kommunikation. In Internetforen, sozialen Medien wie Facebook oder kostenlosen Chaträumen kann man nicht von einer Vertragserfüllung sprechen. Zwar besteht zwischen einem kostenlosen sozialen Netzwerk und den Nutzern eine Vertragsbeziehung (man stimmt ja bei der Anmeldung Geschäftsbedingungen zu), aber es ist nicht eindeutig, dass der Betreiber mit dem Angebot kostenloser Funktionen einen Vertrag erfüllt, also eine “Schuld” begleicht. Er behält sich ja typischerweise vor, den Betrieb ohne weiteres einzustellen. Ein “berechtigtes Interesse” kann der Betreiber oftmals natürlich für den Betrieb seiner Plattform an sich, nicht aber für genau die einzelne Verarbeitung geltend machen.
8.6.2 Beispiel: Newsletter
Ein weiteres Beispiel stellt die Newsletter-Funktion dieses Blogs dar, mit der Sie auf neue Artikel aufmerksam gemacht werden. Weder habe ich ein Marketing-, noch ein Vereinsinteresse daran, dass Sie diesen Blog lesen. Auf die Anzeigen klicken die meisten Besucherinnen und Besucher nicht, und mein Interesse, dass meine Postings zahlreich gelesen werden, erschöpft sich in der Absicht, etwas Unsicherheit und Gefahr für Menschen zu beseitigen und über etwas zu schreiben, von dem ich glaube, etwas beitragen zu können. Diese “Weltverbesserung” überwiegt aber nicht das Interesse anderer Menschen daran, ihre Daten zu behalten. Mit dem Gefühl, rein subjektiv anderen etwas Gutes zu tun, könnte jede denkbare Handlung von einem persönlichen Standpunkt aus als “berechtigt” ausgegeben werden. Irgendwie trägt ja jeder und jede irgendwie dazu bei, dass es anderen besser geht – der Bäcker kümmert sich um die Ernährung von Menschen, der Journalist belebt die Demokratie, und so weiter. Würde man dies alles zählen lassen, würde man keine Datenschutz-Grundverordnung benötigen. Alles, was zu irgendeinem nachvollziehbaren Zweck getan wird, wäre erlaubt. Offensichtlich reicht also der eigene Eindruck, selbst “anderen etwas Gutes zu tun”, nicht für eine Datenerhebung. Daher benötige ich die Einwilligung.
8.6.3 Dokumentation der Einwilligung ist durch ein “berechtigtes Interesse” gedeckt
Hiervon zu unterscheiden ist die Dokumentation der Einwilligung. Nach Artikel 7 Absatz 1 der Datenschutz-Grundverordnung muss sie derjenige nachweisen können, der Daten auf ihrer Grundlagge verarbeitet. Für diese besteht ein berechtigtes Interesse, so dass die Datenerhebung und -verarbeitung insofern, etwa zur Einwilligung in den Bezug eines Newsletters, durch ein berechtigtes Interesse gedeckt ist und somit Artikel 6 Absatz 1 Satz 1 Buchstabe f der Datenschutz-Grundverordnung die richtige Rechtsgrundlage darstellt. Dies bedeutet, dass auch bei Widerruf der Einwilligung, der für die Zukunft jederzeit erklärt werden kann, die frühere Einwilligung und auch der Widerruf dokumentiert bleiben dürfen, bis es wegen Verjährung undenkbar ist, dass eine Behörde oder ein Betroffener den Umgang mit den Daten noch moniert.
8.6.4 Anforderungen an die Einwilligung
Für die Einwilligung gelten bestimmte Anforderungen. Für schriftliche Einwilligungen sieht Artikel 7 Absatz 2 der Datenschutz-Grundverordnung vor, dass sie so erfolgen muss, dass sie “von anderen Sachverhalten klar zu unterscheiden ist”. Das bedeutet, dass sie zum Beispiel durch einen Rahmen, Fettdruck oder einen gesondert zu unterzeichnenden Absatz besonders erkennbar ist. Auf Webseiten lässt sich dieser Grundsatz zwanglos übertragen (auf diesem Blog finden Sie für die Anmeldung zum Newsletter ein separates Kästchen zum Anklicken). Auch über das Recht zum jederzeitigen Widerruf, der allerdings die Verarbeitung in der Zeit vor dem Widerruf rechtmäßig bleiben lässt, muss vor der Abgabe der Einwilligung unterrichtet werden (Artikel 7 Absatz 3 der Datenschutz-Grundverordnung). Die Erklärung muss zudem, kurz gesagt, frei und ohne Druck abgegeben werden. Nach Artikel 7 Absatz 4 der Datenschutz-Grundverordnung kommt es dabei darauf an, ob die Erfüllung eines Vertrages an die Einwilligung zu Verarbeitungen gekoppelt wird, die nicht zur Vertragserfüllung erforderlich sind. Hier denkt man zunächst an Kopplungen wie ein Zwang , sich zu Werbe-Newslettern anzumelden, um ein Produkt erwerben zu können. Eine solche Handhabe ist dabei aber nicht grundsätzlich verboten, sondern nur nach einer Abwägung. Ist der Nachteil der Herausgabe und Verwendung der Daten nicht besonders schwerwiegend, und ist auch kein ernsthafter wirtschaftlicher Druck erkennbar, ist eine Kopplung unproblematisch.Der auf Datenschutzrecht spezialisierte Rechtsanwalt Christian Solmecke nennt hierfür ein Beispiel aus dem Bereich des Newsletter-Marketing.
8.6.5 Hinweis auf Sonderregelungen zum Arbeitnehmerdatenschutz
Besondere Brisanz hat die Freiwilligkeit der Einwilligung beim Arbeitnehmerdatenschutz. Die EU hat hier den Mitgliedstaaten einigen Regelungsspielraum gelassen, den der Bundesgesetzgeber in § 26 des neuen Bundesdatenschutzgesetzes ausgefüllt hat. Diese Besonderheiten detailliert aufzuschlüsseln, würde den Rahmen selbst dieses langen Blog-Artikels sprengen. Hingewiesen werden muss auf die besonderen Formvorschriften, wonach im Grundsatz die Schriftform der Einwilligung und die Textform der Aufklärung über den Datenschutz vorgeschrieben sind, auf besondere Bewertungskriterien zur Freiwilligkeit und auf den Umstand, dass die Regelung auch für Azubis und Menschen gelten, die einen Bundesfreiwilligendienst leisten.
8.6.6 Besonderheiten bei Minderjährigen
Einwilligungen von Minderjährigen sind nach Artikel 8 der Datenschutz-Grundverordnung im Zusammenhang mit “Diensten der Informationsgesellschaft” nur ab einer bestimmten Altersgrenze wirksam; bei jüngeren Kindern müssen die Personensorgeberechtigten zustimmen. Die Altersgrenze beträgt 16 Jahre, wenn ein Mitgliedstaat nicht durch eigene Gesetze ein geringeres Mindestalter festlegt. Deutschland hat von dieser Möglichkeit keinen Gebrauch gemacht; in Österreich beträgt die Altersgrenze hingegen 14 Jahre.
Das Alter zur Einwilligung betrifft nur die datenschutzrechtlichen Einwilligungen. Für Rechtsgeschäfts gilt weiterhin, dass in Deutschland Rechtsgeschäfte von Unter-18-Jährigen schwebend unwirksam sind, wenn nicht der “Taschengeldparagraf” eine Ausnahme für Gelder vorsieht, die dem Minderjährigen für eine bestimmte Ausgabe oder zur freien Verfügung überlassen worden sind.
8.6.7 Kein Einwilligungs-“Reset”
Bereits vor dem 25. Mai 2018 rechtmäßig erhobene personenbezogene Daten dürfen weiterhin für die Zwecke verarbeitet werden, für die sie erhoben worden waren. Es gibt keinen “Reset” auf Grund des neuen Rechts. Dies gilt auch bei einer nach bisherigem Recht wirksamen Einwilligung, die wie bisher fortgilt. Dass dennoch verstärkt vor dem Hintergrund des Inkrafttretens der Datenschutz-Grundverordnung in jüngerer Zeit um eine erneute Einwilligung gebeten wird, mag damit begründet sein, dass die bereits erteilten Einwilligungen nicht ausreichend dokumentiert worden waren.
Ich stimme mit dem Absenden der Nachricht zu, dass der Betreiber dieser Webseite meine hier eingegebenen Daten speichert und verwendet, damit er die Anfrage bearbeiten, die Veröffentlichung prüfen und vornehmen und gegebenenfalls auf sie antworten kann. Ich stimme auch zu, dass die übermittelten Daten automatisch danach überprüft werden, ob sie wahrscheinlich von einem Menschen und nicht von einem Bot stammen. Hierzu gelten unsere Hinweise zum Datenschutz, Sie müssen nicht Ihren wirklichen Namen verwenden.