Unlautere Annäherungsversuche und heimlich gefilmte Praktikanten: Im vergangenen Jahr hat die Berliner Datenschutzbehörde Bußgelder von mehr als einer halben Million Euro verhängt. Kritisch betrachten die Datenschützer auch die Ausweispflicht in Freibädern.

Der Schutz persönlicher Daten ist ein hohes Gut. Was erlaubt ist und was nicht, regelt das Datenschutzgesetz. Einige schwerwiegende Verstöße dokumentiert die Berliner Datenschutzbehörde in ihrem nun erschienenen Jahresbericht 2023. Ein großer Teil der von der Behörde eingeleiteten Bußgeldverfahren betraf Polizeibeamte, die unbefugt Personendaten aus polizeilichen Datenbanken abgerufen haben. 35 solcher Verfahren wurden eingeleitet, 32 Bußgelder letztlich verhängt. Laut dem Bericht rief etwa eine Polizeibeamtin aus privatem Interesse Daten ihres Ex-Manns ab. Ein Polizist, bei dem eingebrochen wurde, schaute in der Datenbank nach, wie weit seine Kollegen bei den Ermittlungen sind.

Kurznachrichten 06.09.24

Haltung an EU-Standards Habeck will Regeln für chinesische Plattformen wie Shein verschärfen

Die Datenschützer beschreiben auch zwei unlautere Annäherungsversuche. Ein Beamter sah demnach eine Frau auf dem Parkplatz eines Lebensmittelhändlers. Er gab ihr Kfz-Kennzeichen in der Datenbank ein, entnahm daraus ihre private Handynummer und schrieb sie an. In einem ähnlichen Fall kontaktierte ein weiterer Beamter eine Frau über sein Privathandy "für einen Flirtversuch". Die Nummer hatte er zuvor im Rahmen eines Polizeieinsatzes zu dienstlichen Zwecken erhalten. Die Datenschutzbehörde betonte, dass jede nicht-dienstliche Datenabfrage und -nutzung rechtswidrig ist, egal, welche Beweggründe dahinterstecken.

Bank muss hohe Strafe zahlen

Das höchste Bußgeld im Jahr 2023 verhängte die Datenschutzbehörde gegen eine Bank. Ein Kunde hatte eine Kreditkarte beantragt, die ihm in einem automatisierten Verfahren jedoch verweigert wurde - ohne besondere Begründung. Der Betroffene, der dem Bericht zufolge über einen guten Schufa-Score und ein regelmäßig hohes Einkommen verfügte, zweifelte an der Ablehnung seines Antrags durch den Algorithmus.

Politik 03.09.24

Illegale Gesichtserkennung Niederlande belegt KI-Unternehmen mit Millionen-Bußgeld

Doch die Bank weigerte sich, nachvollziehbare Gründe für die Entscheidung mitzuteilen. Daraufhin legte der Kunde Beschwerde bei der Datenschutzbehörde ein - und die gab ihm recht. Da die Bank ihren Transparenzpflichten nicht nachgekommen sei, wurde ein Bußgeld von 300.000 Euro fällig. "Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen", heißt es dazu im Bericht.

Mit einem Bußgeld von 215.000 Euro belegte die Behörde ein Unternehmen aus dem Kulturbereich. Nach Angaben der Datenschützer hatte eine Vorgesetzte im Auftrag der Geschäftsführung eine Liste über Mitarbeiterinnen und Mitarbeiter erstellt. Mit deren Hilfe sollte entschieden werden, wem noch in der Probezeit gekündigt werden soll. In der Tabelle dokumentierte die Vorgesetzte persönliche Äußerungen zur sozialen und politischen Einstellung, die Teilnahme an Psychotherapien oder das Interesse an der Gründung eines Betriebsrates, ohne, dass die Betroffenen davon wussten. Die Behörde sieht darin einen klaren Verstoß gegen den Datenschutz, da Unternehmen nur Informationen zur Leistung und zum Arbeitsverhalten dokumentieren dürfen.

Praktikanten heimlich gefilmt

4000 Euro Strafe sahen die Datenschützer vor, weil eine Firma drei Praktikantinnen und Praktikanten mindestens einen Monat lang überwacht hatte - über in Steckdosen versteckte Wifi-Kameras. Allerdings ist die Videoüberwachung des Arbeitsplatzes nur in absoluten Ausnahmefällen erlaubt, etwa wenn es um den Schutz von Eigentum oder vor Straftaten geht. Insgesamt verhängte die Behörde im Jahr 2023 Bußgelder in Höhe von 549.410 Euro. Im Vergleich zum Vorjahr ging die Gesamtsumme der Bußgelder jedoch zurück. Damals waren es noch 716.575 Euro.

Als einen datenschutzrechtlichen Grenzfall betrachtet die Behörde indes die Ausweispflicht in einigen Berliner Freibädern. Diese hatten die Berliner Bäder-Betriebe nach mehreren gewalttätigen Vorfällen eingeführt. Seither müssen Badegäste dem Sicherheitspersonal am Eingang ihren Ausweis oder Reisepass vorzeigen, vermerkt oder gespeichert werden die Daten nicht. Die Datenschützer zweifeln allerdings daran, dass das Vorgehen zu mehr Sicherheit führt. "Die Maßnahme hilft nämlich nicht dabei, Personen, für die ein Hausverbot besteht, zu identifizieren und Ihnen den Zutritt zu verwehren, denn ein Abgleich mit der Hausverbotsliste erfolgt gerade nicht", heißt es in dem Bericht.