Analog und digital: VHS-Kurs bis Bankberatung – wenn Datenschutz missachtet wird

Mangelnde Diskretion, menschliches Versagen oder ein problematisches Prozedere bei der Registrierung auf einer Plattform – an vielen Stellen kann es zu Verstößen gegen den Datenschutz kommen.

Mal schickt eine Volkshochschule eine Mail mit persönlichen Daten an eine falsche Person, mal stellt eine Firma in einem sozialen Netzwerk sensible Daten von Mitarbeitern ein, mal führt die Registrierung auf einem Behörden-Portal zu unangenehmen Nachfragen von Vorgesetzten: Der Datenschutzbeauftragte des Landes Rheinland-Pfalz, Dieter Kugelmann, hat sich im vergangenen und laufenden Jahr mit ganz unterschiedlichen Fällen beschäftigt – mal aus dem ganz privaten Leben, mal aus der Berufswelt.

Dass nicht überall die größte Sensibilität für das Thema Datenschutz besteht, zeigt der Fall einer Firma aus Koblenz. Diese wollte sich für potenzielle neue Mitarbeiter interessant machen und warb in einem Video auf Facebook damit, dass sich bei ihnen in Sachen Gehalt viel erreichen lasse. Das Problem: Zu sehen waren in dem Facebook-Reel echte Gehaltsabrechnungen, bei denen zwar die Namen geschwärzt waren, nicht aber Angaben etwa zu Geburtsdatum, Krankenkassennummer, Steuer-ID oder Lohn.

Screenshots können helfen

Auch nachdem der Vertriebsdienst aus Koblenz darauf aufmerksam gemacht worden sei, habe er sich nicht gemeldet, wohl aber das Video von der Plattform genommen, berichtete Kugelmanns Stellvertreterin Daniela Franke. Da zu dem Verstoß keine auswertbaren Screenshots – also Standbilder des Videos – vorlagen, konnte die Firma nicht sanktioniert werden, berichtete sie. Es sei durchaus häufig der Fall, dass ihre Behörde deswegen letztlich nichts machen könne. Zumindest sei aber eben das Video entfernt worden.

Vor einem ganz anderen Problem stand eine Frau, die im Weihnachtsgeschäft des vergangenen Jahres in einem Elektronikmarkt im Raum Bad Kreuznach eine Virtual-Reality-Brille für ihren Sohn kaufte. Später bemerkte sie, dass mit dem Gerät bereits Facebook- und Instagram-Konten verknüpft waren mit personenbezogenen Daten und auch „wenig kindgerechten Inhalten“, wie Kugelmann berichtete. Vermutlich habe es sich um Pornografie gehandelt. Die Brille war zuvor an einen anderen Kunden verkauft worden, der hatte sie wieder zurückgegeben. Ein Mitarbeiter des Marktes hatte vergessen, die Speicherkarte der Brille zu löschen. Der Markt meldete die Datenpanne selbst, auch hier folgte keine Sanktion. Es habe sich um menschliches Versagen in einem Einzelfall gehandelt, sagte Kugelmann.

In einen Datenschutz-Verstoß mündete die Anmeldung einer Frau für einen Doppelkopf-Kurs an der Volkshochschule (VHS) Trier im April 2024. Bei der Anmeldung gab sie keine Mailadresse an. Daraufhin suchte die VHS in früheren Anmeldungen nach einer solchen, fand vermeintlich eine von 2018 und schickte später an diese Adresse die Information, dass der Kurs ausfällt. In Wahrheit gehörte diese Adresse einer anderen Person, die antwortete, sich nie für einen Doppelkopf-Kurs angemeldet zu haben. Die VHS schickte daraufhin eine Mail mit einer Kopie der Anmeldung samt Daten der wahren Doppelkopf-Freundin. Das Vorgehen der VHS wurde vom Datenschutzbeauftragten beanstandet.

In einer Sparkasse im Raum Trier führte eine Mitarbeiterin ein Beratungstelefonat nicht in einem abgeschlossenen Raum, sondern in einer Schalterhalle. Persönliche Angaben der Gesprächspartnerin am anderen Ende der Leitung wiederholte sie laut, was eine Person in der Schalterhalle mitbekam. Die kannte zufällig die Kundin am Telefon und berichtete ihr später von dieser Indiskretion. Die Sparkasse änderte schließlich eine Dienstanweisung dahingehend, dass solche Gespräche nicht quasi öffentlich in der Schalterhalle erlaubt sind.

Behördenportal musste Registrierungsprozess ändern

Gleich mehrere Beschwerden erreichten den Datenschutzbeauftragten zu dem Portal „Versetzung online“ der Aufsichts- und Dienstleistungsdirektion (ADD). Das soll Lehrerinnen und Lehrern die Möglichkeit bieten, sich nach offenen Stellen umzuschauen. Allerdings führte eine Registrierung zu einer Meldung an die jeweilige Schulleitung. So kam es, dass Lehrkräfte von Schulleitungen auf ihren angeblichen Versetzungswunsch angesprochen wurden. Die ADD änderte nach Aufforderung der Kugelmann-Behörde den Prozess für die Registrierung. Für eine Leiterin einer Grundschule gab es außerdem eine Rüge, weil sie Informationen zweckwidrig verwendet hatte.

Es gibt allerdings auch Fälle, bei denen nach einer Prüfung doch kein Verstoß vorliegt, geschehen im Fall einer Bank aus Kaiserslautern. Ein Kunde kaufte sich eine Schusswaffe und bezahlte per EC-Karte. Daraufhin bekam er einen Anruf seines Bankberaters, der sich nach den Hintergründen des Kaufs erkundigte. Der Kunde sei empört gewesen, berichtete Kugelmann. Ergebnis: Die Überprüfung des über das Girokonto abgewickelten Kaufs war sehr wohl zulässig. 

Das wiederum hat laut dem Landesdatenschutzbeauftragten mit dem Geldwäschegesetz und dem Kreditwesengesetz zu tun. Bei möglicherweise rechtswidrigen Vortaten für Geldwäsche – das kann auch ein illegaler Waffenkauf sein – sei ein Kreditinstitut im Fall eines Verdachts sogar zu solchen Maßnahmen verpflichtet. In dem konkreten Fall war der Kauf unproblematisch, der Mann war ein Jäger und besitzt einen entsprechenden Waffenschein.