Auch wenn Datenschutz in der Öffentlichkeit – gerade durch die Datenschutz-Grundverordnung – immer mehr an Bedeutung gewinnt und Umsetzung sowie Praktikabilität der Regelungen teils kontrovers diskutiert werden, scheint es sich dennoch noch immer nicht überall herum gesprochen zu haben, was genau dieser Datenschutz eigentlich schützt.
Der Inhalt im Überblick
Der Hintergrund dieses Beitrages
Immer wieder kommt es zu Situationen wie sie vor einiger Zeit auch einer unserer Beraterinnen passiert ist. Sie musste privat den Mietservice ihrer Wohnungsverwaltung anrufen, da es zu einem Ausfall von Heizung und Warmwasser gekommen war.
Nachdem auch drei Stunden nach dem ersten Anruf noch keine Handwerker zur Terminabsprache angerufen hatten, rief die Beraterin erneut bei dem Mietservice an, um die Telefonnummer der Information des beauftragten Sanitärunternehmens, der 24/7 Sanitär GmbH, zu erfragen, um so direkt einen Termin zu vereinbaren. Doch die Auskunft über die Nummer wurde – im Gegensatz zur kompletten Anschrift der Firma – mit den Worten
„Das darf ich Ihnen aus Datenschutzgründen nicht sagen!“
verweigert.
Wen oder was schützt der Datenschutz?
Diese eher unqualifizierte Aussage offenbart das fehlende Verständnis darüber, wen oder was der Datenschutz eigentlich schützt. Vielen Menschen ist leider nicht mit Ausführungen zum sachlichen und räumlichen Anwendungsbereich der DSGVO geholfen. Daher soll an dieser Stelle noch einmal zusammengefasst werden, was genau das Datenschutzrecht schützt:
- Durch das Datenschutzrecht (insbesondere die DSGVO) werden natürliche Personen (Menschen) geschützt, nicht aber juristische Personen (GmbH, AG, Vereine), Art. 1 Abs. 1, Art. 4 Nr. 1 DSGVO.
- Das Datenschutzrecht gilt grundsätzlich nur für die Verarbeitung personenbezogener Daten durch nicht öffentliche Stellen, sowie für öffentliche Stellen des Bundes und eingeschränkt auch für öffentliche Stellen der Länder. Für natürliche Personen gilt die DSGVO nicht, wenn sie ausschließlich persönliche oder familiäre Tätigkeiten ausüben (z. B. das persönliche Facebook-Profil, einer Person die nicht in der Öffentlichkeit steht).
- Es gibt keine unwichtigen Daten (auch nicht, wenn Sie im Telefonbuch oder im Internet veröffentlicht sind), sondern nur schützenswerte Daten (= personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO) und besonders schützenswerte Daten (= besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO).
- Geschützt sind nicht nur automatisierte (also elektronische) Datenverarbeitungen, sondern auch Daten, die nichtautomatisiert verarbeitet werden, bei Speicherung in einem Dateisystem nach Art. 4 Nr. 6 DSGVO (z.B. bei Personalakten in Papierform). Hierbei reicht bereits die Absicht aus, dass personenbezogene Daten später in ein solches Dateisystem aufgenommen werden sollen.
Demzufolge fallen die Kontaktdaten von Firmen inkl. nichtpersonalisierter Rufnummer (Durchwahl -0) nicht unter den Schutz des Datenschutzrechts. Etwas anderes gilt wiederum für E-Mail-Adressen und Telefonnummern (auch Durchwahlen), die einer ganz bestimmten (natürlichen) Person zugeordnet sind. Daher hätte der Mietservice der Beraterin eine Auskunft, über die Durchwahl -0 der Information der beauftragten 24/7 Sanitär GmbH, nicht aber über die Durchwahl eines Mitarbeiters, erteilen dürfen.
Die Unsicherheit ist groß
Der geschilderte Sachverhalt ist ein recht banales Beispiel dafür, dass die Unsicherheit in Bezug auf das Thema Datenschutz recht groß ist. Oftmals wissen weder die betroffenen Personen, welche Rechte sie eigentlich haben, noch wissen viele Verantwortliche, was sie mit den personenbezogenen Daten dürfen und was eben nicht.
Das Thema Datenschutz führt oftmals dazu, dass an manchen Stellen gar keine Auskünfte mehr erteilt werden. Eben dies ist einer der Gründe weshalb der Datenschutz als überflüssig und unpraktikabel empfunden wird.
Dem kann nur durch Schulungen und Aufklärungsarbeit entgegen gewirkt werden. Diese Pflicht obliegt nach Art. 39 Abs. 1 lit. b) DSGVO dem Datenschutzbeauftragten. Gut also, wenn Sie einen haben…
Ein Spezialfall ist hier sicherlich angedeutet: Einzelunternehmer oder GbR, also Unternehmen, die zwar eine Firma (im Fall der GbR) haben können, aber keine juristischen Personen sind. Insbesondere wenn die Einzelunternehmer keine gesonderte Nummer für ihre gewerbliche Tätigkeit haben, mag man den sachlichen Anwendungsbereich durchaus für eröffnet halten.
Punkt 2 dürfte übersehen, dass zwar dann auf Empfängerseite keine relevante Verarbeitungshandlung stattfindet, hingegen aber die Weitergabe seitens des Unternehmens gleichwohl eine Verarbeitung darstellt, die einer Erlaubnis bedarf – denn diese wird ja durch jemanden durchgeführt, der der DSGVO unterfällt.
Wir haben den Sachverhalt diesbezüglich konkretisiert. In dem Fall handelt es sich tatsächlich um eine GmbH und nicht um einen Einzelkaufmann.
Aber mal ehrlich – auch die Durchwahlnummer des Handwerkers ist doch total unkritisch. Welche Risiken hätte die Herausgabe für die informationelle Selbstbestimmung des Handwerkers? Würde er in seinem Leben beeinträchtigt? Würde er von bestimmten Diensten oder Angeboten ausgeschlossen? Würde er benachteiligt? Wird seine Würde angetastet?
Wenn er belästigt würde, teilt man ihm einfach eine neue Durchwahl zu.
Bitte mal die Kirche im Dorf lassen.
Die Aussage ist bezüglich der Durchwahl eines Mitarbeiters nur bedingt korrekt, weil diese Telefonnummer nämlich auf eine natürliche Person Bezug nimmt, insoweit greift hier auch der Datenschutz.
So einfach ist es dann wohl doch nicht: Beim Einzelkaufmann oder der Ein-Mann-GmbH besteht rechtliche Identität zwischen der natürlichen und der juristischen Person, so dass eine Trennung in gewerbliche und personenbezogene Daten nicht stattfinden kann und die Datenschutzgesetze vollumfänglich anwendbar sind. Es kommt also darauf an, was das für ein Handwerker war.
Wir haben den Sachverhalt diesbezüglich konkretisiert. In dem Fall handelt es sich tatsächlich um eine GmbH und nicht um einen Einzelkaufmann.
Ich würde das so interpretieren, dass die Verarbeitung auf Basis Vertragserfüllung rechtmäßig und dem Zweck angemessen ist.
Dem Kommentar von jopo ist vollumfänglich zuzustimmen.
Es ist in diesem Fall unerheblich, welche Rechtsform die 24/7 Sanitär GmbH hat, da die Grundlage der Verarbeitung Art. 6 I b) DSGVO (Vertragliche Grundlage) ist und darüber hinaus auch Art. 6 I f) DSGVO (Berechtigtes Interesse) herangezogen werden kann.
Somit kann sogar die konkrete Dienst-Telefonnummer des Mitarbeiters problemlos herausgegeben werde. Die vertragliche Erfüllung ergibt sich hier sicher aus dem Dienstleistungsvertrag zwischen der 24/7 Sanitär und der/den Hauseigentümern. Ebenfalls kann sich eine vertragliche Pflicht aus dem Arbeitsvertrag des Mitarbeiters ableiten lassen, da dieser zur Erfüllung seiner arbeitsvertraglichen Pflichten natürlich telefonisch erreichbar sein muss, um im Auftrag seines Arbeitgebers handlungsfähig zu sein.
Ein berechtigtes Interesse hat zum einen der Kunde, welche möchte, dass seine Heizung wieder funktioniert, zum anderen aber auch die 24/7 Sanitär, die ein Interesse gegenüber ihrem Arbeitnehmer hat, dass dieser den Serviceansprüchen gerecht werden kann und diese erfüllen kann. Stellt man das Interesse des Mitarbeiters gegenüber, lassen sich hier keine Argumente finden, warum eine dienstliche Telefonnummer nicht herausgegeben werden darf. Die Herausgabe ist somit sogar notwendig.
Wie ist es denn mit dem Spannungsverhältnis bei Geheimnisträgern, wie Rechtsanwälten?
Im Zusammenhang mit dem Beitrag ist nicht ersichtlich was mit dieser Frage gemeint ist, diese sollte daher konkretisiert werden.
Was ist denn, wenn ich mit der Aussage der Dame nicht zufrieden bin und ich deren Vorgesetzten sprechen möchte. Darf Sie mir den Namen und die Telefondurchwahl ihres direkten Vorgesetzten, mit den Worten: „Den Namen und Telefonnr. darf ihnen aufgrund von Datenschutz nicht nennen“, antworten und einfach auflegen?
Grundsätzlich ist es so, dass die Mitarbeiterin Ihnen natürlich unter gewissen Voraussetzungen die Kontaktdaten ihres Vorgesetzten mitteilen darf. Dazu wird das Unternehmen jedoch regelmäßig nicht verpflichtet sein. Also auch wenn eine Weitergabe der Kontaktdaten datenschutzrechtlich durchaus möglich wäre, so kann die Weitergabe dennoch verweigert werden. Welche Begründung Ihnen dafür letztlich gesagt wird, ist dann im Einzelfall zu prüfen.
Die Weitergabe der Kontaktdaten kann gem. §26 Abs. 1 BDSG erforderlich zur Durchführung des Beschäftigungsverhältnisses sein und wäre dementsprechend zulässig. Jedoch muss hier auch im tatsächlichen Lebenssachverhalt beachtet werden, dass zur Einführung der DSGVO die Unsicherheit bezüglich solcher Vorgänge groß war und die nicht unerheblichen Bußgelder sicher die ein oder andere rechtmäßige Auskunft verhindert haben.
Wir haben über ein Vermittlungsportal eine Ferienwohnung gebucht, einschließlich eines Stellplatzes in der TG des Hauses. Nach unserer Rückkehr nach Hause erhielt ich einen Anruf auf mein Handy von einer Mitbewohnerin des Hauses, die den Verdacht hatte, wir hätten in der TG ihr neben unserem Auto geparktes Auto beschädigt. Der Verdacht kam erst nach unserer Abreise auf. Die Dame teilte mir mit, sie hätte unseren Namen und meine Handynummer von der Betreiberin des Portals erhalten. Diese teilte mir auf Nachfrage mit, sie hätte diese Daten herausgeben dürfen, weil der Verdacht auf eine Straftat bestand. Ist das richtig? Nach meinen Nachforschungen zum neuesten Stand des Datenschutzrechts („berechtigtes Interesse“) bin ich völlig verwirrt und wäre dankbar für einen Hinweis.
Leider dürfen wir an dieser Stelle keine Rechtsberatung zu konkreten Fällen erteilen. Falls Sie der Ansicht sind, das Portal hätte Ihre Daten nicht herausgeben dürfen, können Sie den Sachverhalt der Aufsichtsbehörde Ihres Bundeslandes mitteilen. Diese ist verpflichtet den Fall zu prüfen. Sie werden sich zwar etwas gedulden müssen, aber immerhin ist die Prüfung durch die Behörde kostenfrei.
@Dr. Datenschutz: Vielen Dank für Ihren Hinweis. Soweit ich feststellen konnte, ist die gesetzliche Regelung (Rechtmäßigkeit der Verarbeitung: – Art. 6 (1) f DSGVO – „Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“) voller abstrakter Rechtsbegriffe, die auf den Einzelfall angewendet und gegeneinander abgewogen werden müssen – wie soll also ein betroffener Bürger (ich) in diesem Falle beurteilen können, wessen (berechtigte) Interessen in meinem Falll überwiegen? Ich werde den Fall evtl. wirklich der Aufsichtsbehörde vorlegen. Zur abschließenden Ergänzung noch: der konkrete Verdacht der Sachbeschädigung konnte noch während des Telefonats ausgeräumt werden, aber das war ja nicht der Punkt. Danke nochmal.
aus datenschutzrechtlichen Gründen hat uns das Hotel in dem meine Mutter alleine zur Kur ist, nicht informiert, dass die alte Dame ins Krankenhaus eingeliefert wurde. Wir haben 10 Std. versucht unsere Mutter zu erreichen. Aus den gleichen Gründen darf uns das Hotel nicht mal Auskunft geben bei direkter Nachfrage. Das kann doch nicht sein.
Ich hätte eine Frage bzgl. 3. „Es gibt keine unwichtigen Daten (auch nicht, wenn Sie im Telefonbuch oder im Internet veröffentlicht sind)…“. Heißt das, eine öffentliche Stelle darf sich meine private Telefonnummer NICHT aus dem Telefonbuch holen?
Dass es keine unwichtigen Daten gibt, soll darauf hinweisen, dass auch veröffentlichte Daten in den Schutzbereich der DSGVO fallen. Anders als nach dem BDSG-alt gibt es zwar kein Listenprivileg mehr, nach dem die Daten allgemein zugänglich sind für die Erfüllung eigener Geschäftszwecke zulässiger Weise verarbeitet werden durften (nach einer Interessenabwägung). Jedoch ist die Verarbeitung allgemein zugänglicher personenbezogener Daten damit nicht unmöglich geworden.
Nunmehr muss ein Verantwortlicher, der veröffentlichte Daten verarbeiten möchte, diese Verarbeitung genauso auf eine Rechtsgrundlage stützen können, wie jede andere Verarbeitung von personenbezogenen Daten auch. Soweit also eine Rechtsgrundlage besteht, dürfen auch allgemein zugängliche Daten (wie z.B. aus einem Telefonbuch) verarbeitet werden.
Wir sind ein nach der DIN 77200-1 zertifiziertes Sicherheitsunternehmen. Diese DIN-Norm schreibt vor, dass wenn wir Aufträge an Subunternehmen vergeben, wir überprüfen müssen, ob das Subunternehmen die beauftragten Dienstleistungen entsprechend dieser DIN-Norm erfüllt. Das bedeutet, wir müssen uns vergewissern und nachweisen lassen, dass das vom Subunternehmen eingesetzte Personal z. B. mindestens die Sachkundeprüfung gem. § 34a GewO hat. Zudem müssen wir dem Kunden die Namen der eingesetzten Mitarbeiter nennen. Unsere Anfrage beim Subunternehmen nach eben diesen Zertifikaten wurde dahingehend beantwortet, dass man uns diese aus datenschutzrechtlichen Gründen nicht geben könne. Wie ist die Rechtslage in solchen Angelegenheiten?
Häufig fallen Datenverarbeitungen aufgrund von Verpflichtungen, die zur Aufrechterhaltung einer Zertifizierung erforderlich sind, unter das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO. Allerdings gilt es auch hier den Grundsatz der Datenminimierung (Art. 5 Abs. 1 c) DSGVO) zu beachten. Der Verantwortliche muss sich fragen, ob ein konkreter Nachweis zwingend durch einen Personenbezug zu führen ist oder ob eine Anonymisierung des Nachweises möglich wäre.
Dabei ist immer eine Einzelfallentscheidung zu treffen. Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an Ihren Datenschutzbeauftragten wenden.
Die Ansage: Das darf ich Ihnen aus Datenschutzgründen nicht sagen, ist zum Haare raufen. Wie sieht es denn mit dem Datenschutz bei Ehepartnern aus? Angenommen Partner 1 schließt einen Handyvertrag ab, kann dann Partner 2 bei dem Anbieter nachfragen was genau da abgeschlossen wurde? Das Datenschutzgesetz beinhaltet keine konkrete Regelung zu diesem Fall.
Grundsätzlich sind Verträge und deren Inhalt nur von der Person einzusehen bzw. beim Anbieter zu erfragen, die diesen Vertrag auch abgeschlossen hat. Ehepartner haben nur dann ein Einsichts- oder Auskunftsrecht, wenn es sich um gemeinsam abgeschlossene Verträge (z.B. Partnerverträge) handelt oder eine entsprechende Vollmacht des Ehepartners vorliegt. Auch die DSGVO unterscheidet nicht zwischen Verwandtschaftsformen oder Personenbeziehungen. Datenschutz ist ein subjektives Recht, das jeder Person zusteht, auch innerhalb der Ehe oder der Verwandtschaft.
[Gelöscht. Off-Topic.]