Fälle nicht-öffentlicher Bereich

© Praxis und Familie – Fotolia.

4.1 „Corona-Listen“

Aufgrund der Pflicht zur Kontaktdatenerfassung im Rahmen der Thü-ringer Verordnung zur Neuordnung der erforderlichen Maßnahmen zur Eindämmung der Ausbreitung des Corona-Virus SARS-CoV-2 sowie zur Verbesserung der infektionsschutzrechtlichen Handlungs-möglichkeiten (Corona-Verordnung) kam es thüringenweit zu Unsi-cherheiten bei der Umsetzung der Datenerfassungen. Teilweise wur-den die Kontaktdaten nicht datenschutzkonform erhoben. Es wurwur-den sogenannte „Corona-Listen“ geführt.

Mit der Einführung der Pflicht zur Kontaktdatenerfassung in verschie-denen Bereichen des täglichen Lebens, wie zum Beispiel in der Gast-ronomie oder bei Frisören und Kosmetikern, erreichten den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vermehrt Nachfragen von Verantwortlichen und auch einige Beschwerden von Betroffenen zur datenschutzkonformen Erfassung von personenbezogenen Daten.

Die Thüringer Verordnung zur Neuordnung der erforderlichen Maß-nahmen zur Eindämmung der Ausbreitung des Corona-Virus SARS-CoV-2 sowie zur Verbesserung der infektionsschutzrechtlichen Hand-lungsmöglichkeiten (Corona-Verordnung) vom 9. Juni 2020 regelte in § 3 Abs. 4: „Zur Kontaktnachverfolgung von Gästen, Besuchern und sonstigen anwesenden Personen jeweils in geschlossenen Räu-men von Gaststätten im Sinne des Thüringer Gaststättengesetzes vom 9. Oktober 2008 (GVBl. S. 367) in der jeweils geltenden Fassung oder bei öffentlichen, frei oder gegen Entgelt zugänglichen Veranstaltun-gen, Angeboten und Einrichtungen mit Publikumsverkehr hat die ver-antwortliche Person nach § 5 Abs. 2 die Kontaktdaten zu erfassen. Zu erfassen sind: Name und Vorname, Wohnanschrift oder Telefonnum-mer, Datum des Besuchs und Beginn und Ende der jeweiligen Anwe-senheit. Die verantwortliche Person nach § 5 Abs. 2 hat die Kontakt-daten für die Dauer von vier Wochen aufzubewahren, vor unberech-tigter Kenntnisnahme und dem Zugriff Dritter zu schützen, insbeson-dere auch durch aninsbeson-dere Gäste oder Besucher, für die nach § 12 Abs. 1 zuständigen Behörden vorzuhalten und auf Anforderung an diese zu übermitteln sowie unverzüglich nach Ablauf der Frist nach Nummer 1 datenschutzgerecht zu löschen oder zu vernichten.“

Da die Verordnung keine weiteren Angaben hinsichtlich der Umset-zung enthielt, handhabte eine Vielzahl der verantwortlichen Unterneh-men die Kontaktdatenerfassung von Gästen im RahUnterneh-men der Thüringer Verordnung, indem fortlaufende Listen ausgelegt oder erstellt wur-den, in denen die betroffenen Personen ihre Kontaktdaten jeweils un-tereinander angeben sollten. Ein weiteres Problem bestand in der Da-tenerhebung an sich, da viele Verantwortliche zu viele Daten erhoben haben, die über die gesetzlich geforderten Daten hinausgingen. So wurde oftmals der Gesetzestext dahingehend verstanden, dass zwin-gend Adresse und Telefonnummer zu erheben seien oder auch die An-gabe der E-Mail-Adresse notwendig sei.

Der TLfDI wies in solchen Fällen, wie auch in mehreren Pressemit-teilungen darauf hin, dass die Kontaktdaten datenschutzkonform zu erheben sind. Das bedeutet auch, dass die Daten der Betroffenen nicht durch Dritte (also auch nicht durch sich nachfolgend eintragende Gäste) einsehbar sein dürfen. Eine Erhebung in Listenform ist daher gerade nicht zulässig gewesen! Vielmehr müssen die Daten zum Bei-spiel auf einzelnen Erfassungsblättern gesammelt werden.

Weiterhin ist bei der Erhebung der Daten darauf zu achten, dass auch nur die Daten erhoben werden, für die in der Corona-Verordnung auch

eine Erhebungsgrundlage besteht. Die Datenerhebung erfolgt ansons-ten teilweise ohne rechtliche Grundlage und würde daher gegen Art. 5 Abs. 1 in Verbindung mit Art. 6 Abs. 1 und Art. 13 Datenschutz-Grundverordnung (DS-GVO) verstoßen. Gemäß Art. 5 Abs. 1 Buch-stabe a) DS-GVO müssen personenbezogene Daten auf rechtmäßige Art und Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Daten müs-sen zudem dem Zweck angemesmüs-sen und erheblich sowie auf das für die Verarbeitung notwendige Maß beschränkt sein.

Das sind nach der Corona-Verordnung nur der Name, der Vorname und daneben die Adresse oder die Telefonnummer. Eine E-Mail-Ad-resse oder eine Unterschrift sind nicht gefordert und dürfen daher auch nicht erhoben werden. Weiterhin müssen, wie bei jeder Datenerhe-bung nach der DS-GVO, Informationen nach Art. 13 DS-GVO für die Betroffenen zur Verfügung gestellt werden. Dies wurde ebenfalls in vielen Fällen missachtet.

Es war auch darauf zu achten, dass die Kontaktdaten ausschließlich zu infektionsschutzrechtlichen Zwecken verarbeitet werden und daher eine Weiterverarbeitung zu anderen Zwecken, insbesondere zu Werbe- und Vermarktungszwecken nicht erfolgen darf.

In allen dem TLfDI bekannt gewordenen Fällen und im Rahmen der vielen telefonischen Anfragen wurden die Verantwortlichen auf die bestehenden Probleme hingewiesen und bei der Umsetzung der Kon-taktdatenerfassung beraten, um eine datenschutzkonforme Erfassung zu gewährleisten.

Hinsichtlich der Frage, ob eine Verordnung eine geeignete Rechts-grundlage zur Verpflichtung der Kontaktdatenerfassung bilden kann, hat am 28. August 2020 der Verfassungsgerichtshof des Saarlandes über eine Verfassungsbeschwerde entschieden (Beschluss vom 28. August 2020 – Lv 15/20) und dabei die Vorschrift zur Kontakt-nachverfolgung (§ 3 der Corona-Verordnung) für verfassungswidrig erklärt. Bei der Beschwerde ging es um verschiedene Bestimmungen der saarländischen „Verordnung zur Bekämpfung der Corona-Pande-mie“ beziehungsweise der „Verordnung zur Änderung infektions-rechtlicher Verordnungen zur Bekämpfung der Corona-Pandemie vom 21. August 2020 (CP-VO)“. Im Besonderen ging es dabei auch um die Verpflichtung zur Kontaktnachverfolgung. Der Verfassungs-gerichtshof des Saarlandes kam in seinem Urteil zu dem Schluss, dass über einen solchen Eingriff nicht die Exekutive alleine entscheiden dürfe:

„Das Erfordernis einer parlamentarischen gesetzlichen Grundlage ist auch keine verzichtbare bloße Formalität. Während Verordnungen wie jene zur Bekämpfung der Corona-Pandemie, bis zu ihrer Veröf-fentlichung im Wesentlichen im Internum der Exekutive erarbeitet, beraten und beschlossen werden, und Bürgerinnen und Bürger damit vor die vollendete und geltende Regelung gestellt werden, gewährleis-tet ein parlamentarisches Gesetz die Debatte von Für und Wider vor dem Forum der Öffentlichkeit und damit ein wesentliches Element der repräsentativen Demokratie. Daher mag in einer Notsituation, in de-nen kurzfristiges Handeln einer Regierung zwingend erscheint, die Verordnung auf der Grundlage einer hinreichend bestimmten Ermäch-tigung ein notwendiges und wichtiges Instrument der Staatsleitung sein. Je länger grundrechtliche Belastungen von Bürgerinnen und Bür-gern indessen andauern, desto wichtiger wird es indessen, die Rege-lung ihrer Grundlagen und Grenzen dem ohnehin originär verantwort-lichen parlamentarischen Gesetzgeber zu überlassen.“

4.2 Frage nach personalisierten Reisegutscheinen

Auch nach Inkrafttreten der DS-GVO gilt: personalisierte Reisegut-scheine können verschenkt werden, wenn die Grundsätze der DS-GVO eingehalten werden. Entscheidend ist, dass ausschließlich die Daten des Beschenkten genutzt werden, die zwingend erforderlich sind, um die Reise zu buchen, dass diese Daten nur für den Vertrags-schluss (Reisebuchung) genutzt werden und dass der Beschenkte über die Datenverarbeitung im Rahmen der Frist nach Art. 14 DS-GVO in-formiert wird.

Den Thüringer Landesbeauftragten für den Datenschutz und die Infor-mationsfreiheit (TLfDI) erreichte die Frage eines Reiseunternehmens, ob es noch personalisierte Reisegutscheine ausstellen dürfte. Dabei bucht ein Dritter (der Schenker) für den Beschenkten beim Reisebüro eine bestimmte Reise, übermittelt in diesem Zusammenhang die Kon-taktdaten des Beschenkten an das Reisebüro, ohne dessen Einwilli-gung. Es stellt sich mithin die Frage, ob der Schenker die Daten des Beschenkten an das Reisebüro übermitteln darf und ob das Reisebüro diese Daten, ohne Einwilligung des Beschenkten, nutzen kann, um die Reise verbindlich für den Beschenkten zu buchen.

Der Schenker möchte in aller Regel nicht einen allgemeinen Reisegut-schein verschenken, sondern eine bestimmte Reise. Zur Sicherung

verfügbarer Reiseplätze zum Zeitpunkt der Übergabe des Gutscheins ist es erforderlich, dass die Reise durch das Reisebüro gebucht wird.

Dabei müssen mindestens Name, Vorname, Adresse und Geburtsda-tum des künftig Reisenden verarbeitet werden, um die Reise verbind-lich zu buchen.

Zunächst hat der TLfDI die Zulässigkeit der Datenverarbeitung durch das Reisebüro geprüft. Die Datenverarbeitung durch das Reisebüro ist nach Art. 6 Abs. 1 Satz 1 Buchstabe f) Datenschutz-Grundverordnung (DS-GVO) zulässig. Danach ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Per-son, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zu den berechtigten Interessen des Reisebüros zählt das wirtschaftli-che Interesse an der Durchführung des Vertrages zugunsten eines Drit-ten (Beschenktem) zwischen dem DritDrit-ten (Schenker) und dem Reise-büro. Im Rahmen der Abwägung sind die schutzwürdigen Interessen des Betroffenen, hier das Interesse des Beschenkten, selbst zu bestim-men, wer seine personenbezogenen Daten verarbeitet, zu berücksich-tigen. Im Rahmen der Interessensabwägung sind, entsprechend Erwä-gungsgrund 47, die vernünftigen Erwartungen der betroffenen Perso-nen (Beschenkter) zu berücksichtigen. Entscheidend ist, ob die be-troffene Person vernünftigerweise absehen kann, dass es zur Daten-verarbeitung kommen wird. Einerseits hat der Betroffene (Be-schenkte) zum Zeitpunkt der Datenverarbeitung keine Kenntnis von der Datenverarbeitung. Natürlich ist einem Geschenk immanent, dass der Beschenkte von den Vorkehrungen keine Kenntnis hat. Anderer-seits entspricht es dem weit verbreiteten Handeln, Gutscheine, auch personalisierte, ohne Einwilligung des Beschenkten zu erwerben. Da-bei ist allgemein bekannt, dass Da-bei personalisierten Gutscheinen auch personenbezogene Daten verarbeitet werden. Es muss im Rahmen der Abwägung berücksichtigt werden, dass die Daten ausschließlich zur Erfüllung des Reisevertrages verwendet werden. In diesen Grenzen ist auch, soweit es sich bei dem Reisebüro nicht selbst um einen Reise-veranstalter handelt, die Übermittlung der Daten an Dritte (Reisever-anstalter) zulässig. Die anderweitige Nutzung der Daten des Be-schenkten, wie beispielsweise für Werbung, ist nicht von Art. 6 Abs. 1 Satz 1 Buchstabe f) DS-GVO gedeckt. Auch sollten, entsprechend

dem Grundsatz der Datenminimierung, ausschließlich die Daten ver-arbeitet werden, die zwingend erforderlich sind, um die Reise zu bu-chen. Weitergehende Daten sollten erst vom Beschenkten angegeben werden.

In jedem Fall ist der Betroffene über die Datenverarbeitung entspre-chend Art. 14 Abs. 1 DS-GVO zu informieren. Dabei ist die Frist ent-sprechend Art. 14 Abs. 3 DS-GVO zu beachten. Der Verantwortliche muss den Betroffenen unter Berücksichtigung der spezifischen Um-stände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, über die Datenverarbeitung informieren. Es handelt sich dabei um eine Höchstfrist, die nur ausge-schöpft werden darf, wenn nach den Umständen keine frühere Infor-mation geboten ist. Eine Überschreitung der Höchstfrist ist nicht zu-lässig (Kühling/ Buchner, Kommentar zum Datenschutz, 2. Aufl.

Art. 14 Rn. 31).

Nach Art. 14 Abs. 3 Buchstabe c) DS-GVO hat die Information, falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätes-tens zum Zeitpunkt der ersten Offenlegung zu erfolgen.

Entsprechend der zuvor dargelegten Grundsätze ist auch die Daten-übermittlung zwischen dem Schenker und dem Reisebüro nach Art. 6 Abs. 1 Satz 1 Buchstabe f) DS-GVO zulässig. Das berechtigte Inte-resse des Schenkers, dem Betroffenen (Beschenktem) einen persona-lisierten Gutschein zu verschaffen, überwiegt in diesem speziellen Fall das schutzwürdige Interesse des Beschenkten, vorab zu wissen, an wen seine personenbezogenen Daten übermittelt werden. In jedem Fall muss auch hier der Betroffene nach Art. 14 DS-GVO nachträglich über die Datenverarbeitung informiert werden und die Daten des Be-schenkten dürfen lediglich zur Vertragserfüllung genutzt werden.

4.3 Coronabedingte Gutscheine bei Absagen von Veranstaltun-gen – Wann bekommt man dennoch Geld ausgezahlt?

(Überprüfung persönlicher Lebensumstände)

Werden Veranstaltungen aufgrund der Corona-Pandemie abgesagt, wird dem Betroffenen in der Regel ein Gutschein beim Veranstalter ausgestellt. Möchte der Betroffene jedoch nicht den Gutschein, son-dern den Kaufpreis erstattet bekommen, muss er einen Nachweis über seine prekären Lebensumstände erbringen.

Im Berichtszeitraum wandte sich ein Betroffener an den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) und fragte, ob er bereits geleistete Zahlungen für ein Ticket erstattet bekäme. Dem Betroffenen wurde seitens des verantwortli-chen Veranstalters mitgeteilt, dass er einen Nachweis über seine pre-kären Lebensumstände erbringen müsste. Andernfalls bekäme er le-diglich einen Gutschein für die Veranstaltung ausgestellt.

Zur Abfederung der Auswirkungen der seitens der Bundesregierung und der Regierungen der Länder beschlossenen Absage aller Großver-anstaltungen wurde ein Gesetz erlassen, wonach die Sport- und Konzertveranstalter dem Kunden statt der Auszahlung des Ticketprei-ses einen Gutschein ausstellen durften.

Danach gilt laut (Art. 240 § 5 Abs. 5 Nr. 1 Einführungsgesetz zum Bürgerlichen Gesetzbuch [EGBGB]) Folgendes:

(1) Wenn eine Musik-, Kultur-, Sport- oder sonstige Freizeitveranstal-tung aufgrund der COVID-19-Pandemie nicht stattfinden konnte oder kann, ist der Veranstalter berechtigt, dem Inhaber einer vor dem 8. März 2020 erworbenen Eintrittskarte oder sonstigen Teilnahmebe-rechtigung anstelle einer Erstattung des Eintrittspreises oder sonsti-gen Entgelts einen Gutschein zu übergeben. Umfasst eine solche Ein-trittskarte oder sonstige Berechtigung die Teilnahme an mehreren Freizeitveranstaltungen und konnte oder kann nur ein Teil dieser Ver-anstaltungen stattfinden, ist der Veranstalter berechtigt, dem Inhaber einen Gutschein in Höhe des Wertes des nicht genutzten Teils zu über-geben.

(2) Soweit eine Musik-, Kultur-, Sport- oder sonstige Freizeiteinrich-tung aufgrund der COVID-19-Pandemie zu schließen war oder ist, ist der Betreiber berechtigt, dem Inhaber einer vor dem 8. März 2020 er-worbenen Nutzungsberechtigung anstelle einer Erstattung des Ent-gelts einen Gutschein zu übergeben.

(3) Der Wert des Gutscheins muss den gesamten Eintrittspreis oder das gesamte sonstige Entgelt einschließlich etwaiger Vorverkaufsge-bühren umfassen. Für die Ausstellung und Übersendung des Gut-scheins dürfen keine Kosten in Rechnung gestellt werden.

(4) Aus dem Gutschein muss sich ergeben,

1. dass dieser wegen der COVID-19-Pandemie ausgestellt wurde und 2. dass der Inhaber des Gutscheins die Auszahlung des Wertes des Gutscheins unter einer der in Absatz 5 genannten Voraussetzungen verlangen kann.

(5) Der Inhaber eines nach den Absätzen 1 oder 2 ausgestellten Gut-scheins kann von dem Veranstalter oder Betreiber die Auszahlung des Wertes des Gutscheins verlangen, wenn

1. der Verweis auf einen Gutschein für ihn angesichts seiner persön-lichen Lebensumstände unzumutbar ist oder

2. er den Gutschein bis zum 31. Dezember 2021 nicht eingelöst hat.

Dabei handelt es sich um eine zivilrechtliche Norm, mit der der Ge-setzgeber die Auszahlungsvoraussetzungen in solchen Fällen wie dem des Betroffenen geregelt hat.

Die Datenverarbeitung durch den verantwortlichen Veranstalter in diesem Zusammenhang beruht auf Art. 6 Abs. 1 Satz 1 Buchstabe b) Datenschutz-Grundverordnung (DS-GVO). Danach ist die Verarbei-tung zulässig für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person er-folgen. Dies betrifft insbesondere die personenbezogenen Daten, die zur Erfüllung der Hauptpflichten eines Vertrages oder zur Beendigung des Vertrages erforderlich sind.

Hier geht es im Folgenden um die Frage der Zulässigkeit der Modifi-zierung der Hauptleistung (statt Ticket zu einer bestimmten Veranstal-tung erhält der Käufer einen Gutschein) und die Frage nach der Zuläs-sigkeit der Rückzahlung der Leistung des Käufers. Dabei sollen wei-tere personenbezogene Daten des betroffenen Käufers verarbeitet werden, damit der verantwortliche Verkäufer das Vorliegen seiner Rückzahlungsverpflichtung überprüfen kann.

Der Gesetzgeber hat zur Abfederung der Folgen der Corona-Pandemie für Veranstalter die oben dargestellten Regelungen zur Rückabwick-lung von ausgefallenen Veranstaltungen aufgrund der Corona-Pande-mie erlassen. Im Rahmen des Art. 6 Abs. 1 Satz 1 Buchstabe b) DS-GVO stellt sich die Frage, ob nun weitere personenbezogene Daten des Betroffenen verlangt werden können, um den Rückzahlungsan-spruch aus Art. 240 § 5 Abs. 5 Nr. 1 EGBGB geltend machen zu kön-nen. Dabei sind allgemeine zivilrechtliche Überlegungen zu berück-sichtigen. So muss derjenige, der einen Anspruch durchsetzen will (Rückzahlung des Kaufpreises), dessen Voraussetzungen auch bewei-sen. Spätestens im Rahmen eines Zivilprozesses müssen dann die ent-sprechenden Umstände dargelegt und unter Beweis gestellt und somit dem Verantwortlichen offenbart werden. Daher können die Daten zur Anspruchsprüfung durch den verantwortlichen Veranstalter auch be-reits vor Beginn eines Zivilprozesses verarbeitet werden.

Im Ergebnis werden personenbezogene Daten zur Erfüllung eines Vertrages im Sinne des Art. 6 Abs. 1 Satz 1 Buchstabe b) DS-GVO zulässigerweise verarbeitet.

Zudem kann die Verarbeitung personenbezogener Daten im Rahmen der Rückabwicklung von Ticketkäufen auf Grundlage des Art. 240 § 5 EGBGB auf Art. 6 Abs. 1 Satz 1 Buchstabe f) DS-GVO gestützt wer-den. Danach ist die Verarbeitung zur Wahrung der berechtigten Inte-ressen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der be-troffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Zum berechtigten Interesse des verantwortlichen Veranstalters zählt hier das Interesse, das Vorliegen einer Auszahlungsverpflichtung zu überprüfen, soweit sich ein Betroffener auf die Rückzahlungsklausel nach Art. 240 § 5 Abs. 5 Nr. 1 EGBGB beruft. Das schutzwürdige In-teresse des Betroffenen umfasst sein InIn-teresse, eigene Angaben zu prekären Lebensumständen gegenüber Dritten zu vermeiden. Hier be-gehrt der Betroffene die Rückzahlung eines Veranstaltungstickets. Im Rahmen der Abwägung nach Art. 6 Abs. 1 Satz 1 Buchstabe f) DS-GVO ist zu berücksichtigen, dass für diesen Rückzahlungsanspruch besondere Voraussetzungen bestehen, die in Art. 240 § 5 EGBGB ge-regelt sind.

Im Übrigen gelten die allgemeinen Grundsätze der DS-GVO. Die Da-ten dürfen vom Verantwortlichen nur zu dem Zweck „Prüfung der Un-zumutbarkeit bezüglich der Rückzahlung des Ticketpreises aufgrund der persönlichen Lebensumstände“ verarbeitet werden. Danach müs-sen im Sinne der Datensparsamkeit nach Art. 5 Abs. 1 Buchstabe c) DS-GVO sofort nach Abschluss der Entscheidung über die Rückzah-lung des Ticketpreises alle personenbezogenen Daten gelöscht wer-den.

Zudem hat der TLfDI darauf hingewiesen, dass im Rahmen der „per-sönlichen Lebensumstände“ nicht ausschließlich Umstände wie Kurz-arbeit und Kündigung Einfluss haben. Auch personenbezogene Daten zu den Fragen, ob ein sehr weiter Anreiseweg zum Veranstaltungsort vorlag oder ob Veranstaltungen im Rahmen einer ebenfalls abgesag-ten Reise betroffen sind, dürfabgesag-ten verarbeitet werden (vergleiche auch Bundesministerium der Justiz und für Verbraucherschutz: Fragen und Antworten: Gutscheinlösung bei Veranstaltungsverträgen – Veran-staltungsvertragsrecht; abrufbar unter:

https://www.bmjv.de/DE/Themen/FokusThemen/Corona/Ti-ckets/FAQ_Gutscheine.pdf?__blob=publicationFile&v=2).

4.4 Wahlwerbung durch Versicherungsmakler (Verwarnung) Die personenbezogenen Daten einer betroffenen Person, die im Rah-men privater oder geschäftlicher Beziehungen erhoben wurden, sind ohne eine Einwilligung und eine Information über die beabsichtigte Zweckänderung nach Art. 13 Abs. 2 DS-GVO nicht für die Versen-dung von Wahlwerbung des Verantwortlichen nutzbar. Es handelt sich hierbei um eine rechtswidrige Verwendung der personenbezoge-nen Daten.

Dem Thüringer Landesbeauftragten für den Datenschutz und die In-formationsfreiheit (TLfDI) wurde im Rahmen einer Beschwerde be-kannt, dass ein als Makler tätiger Verantwortlicher die Namen und Adressen von betroffenen Personen (Kunden), welche er aus seiner Tätigkeit als Makler erhalten hatte, für die Übersendung von Wahl-werbung genutzt hat. In dem Werbeschreiben, welches an die betroffe-nen Persobetroffe-nen gesendet wurde, wurde auf die geschäftliche Beziehung ausdrücklich Bezug genommen.

Daraufhin reichte ein Betroffener eine Beschwerde beim TLfDI ein.

Der TLfDI hat den Makler daraufhin angehört und um Stellungnahme gebeten. Der Verantwortliche antwortete, dass er zu Zwecken des pri-vaten Wahlkampfes alle pripri-vaten Kontakte per Brief angeschrieben und kontaktiert habe. Dazu würden auch Bekannte zählen, mit denen er auch geschäftlich zusammenarbeite.

Zunächst war festzustellen, dass die Datenschutz-Grundverordnung (DS-GVO) anwendbar ist. Eine Ausnahme vom Anwendungsbereich liegt nur dann vor, wenn personenbezogene Daten von natürlichen Personen verarbeitet werden zur Ausübung ausschließlich persönli-cher oder familiärer Zwecke. Diese Ausnahmeregelung ist restriktiv anzuwenden. Nach Erwägungsgrund 18 ist Abgrenzungskriterium das Fehlen jeglichen Bezugs zu einer beruflichen oder wirtschaftlichen Tätigkeit, das bedeutet, dass keinerlei geschäftlicher Bezug erkennbar

Zunächst war festzustellen, dass die Datenschutz-Grundverordnung (DS-GVO) anwendbar ist. Eine Ausnahme vom Anwendungsbereich liegt nur dann vor, wenn personenbezogene Daten von natürlichen Personen verarbeitet werden zur Ausübung ausschließlich persönli-cher oder familiärer Zwecke. Diese Ausnahmeregelung ist restriktiv anzuwenden. Nach Erwägungsgrund 18 ist Abgrenzungskriterium das Fehlen jeglichen Bezugs zu einer beruflichen oder wirtschaftlichen Tätigkeit, das bedeutet, dass keinerlei geschäftlicher Bezug erkennbar