IT + Digitalisierung -

Datenschutzrecht Nutzung von Sensoren: "Geldbußen von bis zu vier Prozent des Umsatzes"

Handwerker sollten sich über das Datenschutzrecht informieren, bevor sie Sensoren in der eigenen Produktion ober beim Endkunden einbauen. Wer die Vorschriften verletzt, muss mit hohen Geldstrafen rechnen.

Hans Markus Wulf, Fachanwalt für Informationstechnologierecht bei der Sozietät Heuking Kühn Lüer Wojtek in Hamburg, erklärt im Interview, welche Haftungsregeln beim Einsatz von Sensoren gelten.

Herr Wulf, was müssen Betriebe rechtlich beachten, wenn sie Endkunden mit Sensoren ausgestattete Produkte verkaufen? Gibt es bestimmte Informationspflichten gegenüber dem Endkunden?

Unternehmen sollten vorweg die genauen Szenarien des Einsatzes der Sensoren analysieren. Bei dem Verkauf von Produkten mit integrierten Sensoren stellen sich die Fragen, was für Daten die Sensoren erheben, wer diese Daten erhält bzw. verarbeitet und welche Personen hiervon betroffen sein können. Aufgrund der vielfältigen Einsatzmöglichkeiten von Sensoren können sich verschiedene Antworten auf die Frage der datenschutzrechtlichen Zulässigkeit ergeben.

Erheben die Sensoren personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Dies ist bei Parkzeitsensoren beispielsweise nicht der Fall, wenn keine Erfassung des Kennzeichens erfolgt oder sonst wie eine Zuordnung zum Fahrzeug – und damit Halter – erfolgt. Ebenso werden reine Wärmesensoren oder Bewegungssensoren im Regelfall keine personenbezogenen Daten verarbeiten.  Bei Armbändern, die mittels Sensoren anonymisiert die Distanz zwischen Beschäftigten messen, werden ebenfalls keine personenbezogenen Daten erhoben.

Hans Markus Wulf

Ermöglichen diese hingegen eine Nachverfolgung von Infektionsketten durch das Unternehmen unter Zuordnung zum jeweiligen Mitarbeiter, werden hierbei personenbezogene Daten verarbeitet. Werden Sensoren eingesetzt, die biometrische Merkmale erheben oder verarbeiten, die einzigartig sind, z.B. Fingerabdruck, Iris- oder Retinascan oder Handvenenbilder, handelt es sich stets um ein personenbezogenes Datum, da diese zur eindeutigen Identifizierung einer natürlichen Person geeignet sind. Diese unterliegen als sensitive Daten nach Art. 9 DSGVO sogar einem besonderen Schutz. Biometrische Daten, wie Alter, Größe und Geschlecht ermöglichen für sich genommen noch keine eindeutige Identifikation. Sobald jedoch eine Zuordnung zu einer bestimmten oder bestimmbaren Person erfolgt, ist der Datenschutz wieder anwendbar.

Eine Pseudonymisierung, also eine Verarbeitung dergestalt, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können, ändert an ihrem Personenbezug nichts, wenn der Verantwortliche auf die zusätzliche Information zugreifen kann. Um den Personenbezug aufzuheben bedarf es vielmehr einer vollständigen und unwiderruflichen Anonymisierung (DSK, Positionspapier zur biometrischen Analyse, S. 18). 

Wer verarbeitet diese personenbezogenen Daten? 

In einem sensorbasierten System können verschiedene Akteure beteiligt sein, u.a. Systembetreiber, Wartungsunternehmen, Hersteller und Stellen, die dem System Daten zur Verfügung stellen oder von dem System Daten erhalten. Wird lediglich Hardware mit Sensortechnik an Endkunden vertrieben, bei deren Einsatz keine Daten an den Verkäufer oder den Hersteller gelangen, ist der Kunde für eine eventuelle Erhebung von o.g. Daten allein verantwortlich, sodass keine direkten Informationspflichten des Herstellers gegenüber dem Endkunden bestehen. Hierbei erstellt der Endkunde selbst eine Referenzdatenbank und führt eine Erhebung und den Abgleich selbstständig durch. 

Hat der Hersteller oder Verkäufer Zugriff auf diese Daten, gilt etwas Anderes. Dies ist z.B. dann der Fall, wenn dieser das eingebettete System betreibt oder eine Fernwartungsschnittstelle vorhanden ist (DSK, S. 32/33). Beispielhaft sei hier der Vertrieb von Fahrzeugen, die mit sensorbasierten Assistenzsystemen ausgestattet sind, genannt. Findet bei der Verwendung der Sensoren eine Erhebung, Speicherung oder Weiterverarbeitung beim Hersteller o. Verkäufer statt, ist dieser hierfür verantwortlich, ggf. gemeinsam mit dem systembetreibenden (Käufer-) Unternehmen.

Erhebt und verarbeitet der Endnutzer als Unternehmen, etwa der Halter des Fahrzeuges, Daten von Dritten mittels der Sensoren und werden diese Daten auf Systemen des Herstellers (mit-) gespeichert, so kommt gar eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO in Betracht, wenn der Hersteller eigenständig (nicht weisungsgebunden) mit den Daten umgeht  (vgl. Netzwerk Datenschutzexpertise – Datenverarbeitung und Datenschutz bei Tesla-Fahrzeugen, S. 21/22). Denn entscheidend für die Stellung als Verantwortlicher ist, ob eine Person aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt (EuGH, 29.7.2019, Az. C-40/17).   

Was sind die Folgen?

Hat der Hersteller/Verkäufer Zugriff auf die personenbezogenen Daten, treffen ihn in jedem Fall Informationspflichten über die in Art. 13 DSGVO aufgelisteten Aspekte, wenn er allein verantwortlich ist. Liegt ein Fall der gemeinsamen Verantwortlichkeit vor, muss hierüber eine Vereinbarung getroffen werden, in der festgelegt wird, wer welchen Informationspflichten gegenüber den betroffenen, per Sensor erfassten Personen nachkommt. Die Informationspflicht umfasst insbesondere: 
  • Name und Kontaktdaten
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • Betroffenenrechte des Endnutzers
  • Dauer der Verarbeitung
Werden biometrische Daten zur automatisierten Erkennung verarbeitet, bedarf es hierzu einer ausdrücklichen Einwilligung des Betroffenen (Art. 9 Abs. 2 a DSGVO). Die ausdrückliche Einwilligung setzt hierbei neben der Informiertheit ein gesteigertes Maß an Bestimmtheit sowie die Nennung der betroffenen Daten und des Verwendungszwecks voraus. Schwierigkeiten hinsichtlich einer Einwilligung können sich auch durch verschiedene Nutzer ergeben. Denkbar ist hinsichtlich Sensoren im Innenraum eines Fahrzeugs, dass mehrere Fahrer dasselbe Fahrzeug verwenden. Werden durch die Sensoren biometrische Daten von diesen erhoben, bedarf es einer Einwilligung jedes Einzelnen. Nur durch separate Fahrerprofile könnte ein Widerrufsrecht in diesem Fall ausgeübt werden. Werden biometrische Daten für andere Zwecke, als die automatisierte Erkennung, verarbeitet, kann diese ebenfalls auf eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) gestützt werden. In Betracht kommt daneben auch die Rechtfertigung, dass die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist. Hiervon umfasst sind z.B. die Speicherung einer Iris-Abbildung zur Herstellung eines Deko-Objekts aus dieser Abbildung (DSK, S. 24). 

Ebenso müssen die (ggf. gemeinsam) Verantwortlichen die Risiken für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung der Daten identifizieren. Eine Hilfestellung für diese Analyse bietet die Orientierungshilfe der Datenschutzkonferenz. Diese beinhaltet u.a. die Frage, welche Schäden durch die Verarbeitung entstehen können. Bei biometrischen Daten kann es ungeachtet der Eintrittswahrscheinlichkeit zu besonders schweren Schäden kommen, weshalb regelmäßig eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich sein dürfte (DSK, S. 34/35).

Schließlich muss der Verantwortliche prüfen, durch welche technischen und organisatorischen Maßnahmen er die Verfügbarkeit, Integrität und Vertraulichkeit gewährleisten kann, wobei erneut der hohe Schutzbedarf biometrischer Daten zu berücksichtigen ist (DSK, S. 35). 

Dürfen mit Sensoren gesammelte Daten seitens der Betriebe ausgewertet werden, um personenbezogene Services anbieten zu können?

Handelt es sich hierbei um biometrische Daten zur automatisierten Erkennung von Personen, ist hierfür die ausdrückliche Einwilligung des Betroffenen, also des Endnutzers oder des Dritten, erforderlich (s.o.).

Soweit keine biometrischen Daten verarbeitet werden oder diese nicht zur automatisierten Erkennung von Personen verwendet werden, kommt neben der Einwilligung eine Verarbeitung zur Erfüllung oder Durchführung eines Vertrages in Betracht. Die spezifischen Daten müssen aber gerade hierfür erforderlich sein. Vor diesem Hintergrund ist eine Verarbeitung personenbezogener Daten jedenfalls immer dann erforderlich, wenn der Vertrag ohne sie nicht so erfüllt werden könnte, wie die Parteien sich geeinigt. Eine Datenauswertung für weitergehende, nicht dem Vertragszweck entsprechende personenbezogene Services dürfte danach nicht umfasst.

Schließlich wird dies auch nicht von überwiegendem berechtigtem Interesse des Betriebs gestützt sein. Die deutsche Datenschutzkonferenz legte bereits 2018 einer ihrer Orientierungshilfe (S. 5) fest, dass eingriffsintensive Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, dafürsprechen, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt, also eine Rechtfertigung nach Art. 6 I 1 lit. f) DSGVO nicht in Betracht kommt, so dass eine Verarbeitung zwingend auf a) Einwilligung oder b) Vertragserforderlichkeit gestützt werden müsste.

Wer haftet, falls gesammelte Daten beim Endkunden in falsche Hände geraten? Der Hersteller des Produktes oder die Person, die das Gerät eingebaut hat?

Werden keine personenbezogenen Daten beim Hersteller/Verkäufer erhoben, so dass der Endnutzer allein verantwortlich ist, haftet auch nur dieser. Werden personenbezogene Daten des Endnutzers nur beim Hersteller/Verkäufer erhoben, haftet dieser gegenüber dem Endnutzer.

Liegt ein Fall der gemeinsamen Verantwortlichkeit vor und werden durch die Sensoren Daten von Dritten erhoben, haften sowohl der Hersteller als auch der Endnutzer gegenüber dem Dritten. Keiner der Verantwortlichen soll sich gemäß Art. 26 DSGVO darauf zurückziehen können, für das Anspruchsbegehren des Betroffenen nicht zuständig zu sein und dadurch aus der kollaborativen Verarbeitung gegenüber Dritten Privilegien ziehen. Durch die gesetzlich vorgeschriebene Vereinbarung zwischen den beiden Verantwortlichen kann eine Haftung im Innenverhältnis besonders geregelt und abgewickelt.

Sensoren werden auch für interne Prozesse genutzt, um Prozesse im Betrieb zu überwachen. Dürfen Mitarbeiter widersprechen, dass sie auf diesem Weg kontrolliert werden?

Zunächst sieht § 87 I Nr. 6 BetrVG eine Mitbestimmungspflicht des Betriebsrates bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Werden biometrische Daten zur automatisierten Erkennung verarbeitet, ist auch im betrieblichen Kontext eine ausdrückliche Einwilligung erforderlich.

An das Erfordernis einer freiwilligen Einwilligung sind besonders hohe Anforderungen zu stellen, wenn sie im Rahmen eines Beschäftigungsverhältnisses erteilt wird (DSK, S. 22/23). Hierbei ist insbesondere die Abhängigkeit des Beschäftigten zu berücksichtigen, wobei eine echte Wahlmöglichkeit für den Beschäftigten bestehen muss, sodass ihm durch eine Nicht-Erteilung oder einem späteren Widerruf kein Nachteil entstehen darf.

Eine wirksame Einwilligung in die Verarbeitung biometrischer Daten dürfte jedenfalls dann ausscheiden, wenn nicht alternativ die Verwendung anderer Mittel der Zugangskontrolle, wie Chipkarte, PIN-Code oder Passwort, angeboten werden (DSK, S. 27).

Widersprechen können Mitarbeiter dann nicht, wenn sich die Erforderlichkeit für die Wahrung der Rechte und Pflichten aus dem Arbeitsrecht aus einer konkreten Norm, wozu auch Betriebsvereinbarungen und Tarifverträge zählen, ergibt. Der Begriff der Erforderlichkeit ist in diesem Kontext eng auszulegen (DSK, S. 23), sodass diese abzulehnen sein dürfte, wenn z.B. eine Zugangskontrolle auch mittels PIN-Code erfolgen könnte.

Handelt es sich bei den Daten nicht um biometrische Daten, kann die Verarbeitung auch ohne Einwilligung zulässig sein, wenn sie zur Durchführung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 BDSG). Hierzu gehört u.a. die Erfassung von Arbeitszeiten, sofern dies nicht zu einer laufenden Überwachung der Arbeitnehmer führt, sowie die Personalplanung, die erfordert, dass sich der Arbeitgeber laufend, in regelmäßig wiederkehrenden Abständen, Kenntnis vom Leistungsstand der Beschäftigten verschafft und die daraus gewonnenen Daten speichert. 

Welche Strafen drohen Betrieben, wenn Sie missbräuchlich Daten sammeln oder weitergeben?

Das hängt voll Einzelfall ab. Hierbei sind insbesondere Schwere und Dauer des Verstoßes sowie Kategorien der erhobenen oder weitergebenen Daten zu berücksichtigen. Soweit es sich um biometrische Daten handelt, stellt dies eine besonders zu schützende Kategorie von Daten dar, sodass regelmäßig von einer besonderen Schwere des Schadens ausgegangen werden kann (DSK, S. 34). Das Gesetz sieht in einem solchen Fall aber die Möglichkeit von Geldbußen in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens vor.

Mehr zum Thema
© deutsche-handwerks-zeitung.de 2021 - Alle Rechte vorbehalten