Im Veranstaltungsalltag, insbesondere bei großen Veranstaltungen, hat sich eingebürgert, dass die beteiligten Unternehmen die Daten ihrer eingesetzten Mitarbeiter an den Veranstalter übermitteln, so dass der sie an die örtliche Polizei weitergibt, teilweise werden die Daten auch direkt an die Polizei übermittelt.
Abgesehen davon, dass die Datenlisten oftmals einfach nur per E-Mail verschickt werden (also nicht gesichert), ist zu fragen, ob eine solche Übermittlung überhaupt zulässig ist.
Vorab:
- Nur weil es oft so gehandhabt wird, ist es noch lange nicht zulässig.
- Die perfekte Lösung habe ich bisher auch noch nicht gefunden oder irgendwo gelesen (wer also eine Info hat, kann sie mir gerne zukommen lassen).
Zunächst ist festzustellen, dass es eine gesetzliche Regelung, wonach Mitarbeiterdaten an die Polizei des Veranstaltungsortes übermittelt werden dürfen/müssen, nicht besteht – jedenfalls kenne ich sie nicht.
Eine nächstliegende Regelung könnte sich aus Art. 6 Abs. 1 Buchstabe e DSGVO ergeben. Dort heißt es:
„Die Verarbeitung ist nur rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“
Liegt also diese Datenübermittlung „im öffentliche Interesse“ bzw. ist sie erforderlich?
§ 23 Abs. 1 Nr. 3 BDSG konkretisiert diese Regelung etwas:
„Die Verarbeitung personenbezogener Daten (…) ist zulässig, wenn sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, (…) zur Wahrung erheblicher Belange des Gemeinwohls (…) erforderlich ist“
Natürlich sind Antiterrormaßnahmen eine Maßnahme zur Abwehr einer Gefahr für die öffentliche Sicherheit u.a. Allerdings muss man sehen, dass dafür massenhaft Daten pauschal übermittelt werden – ist die Übermittlung also „erforderlich“ wie es auch § 23 BDSG verlangt?
„Erforderlich“ bedeutet, dass eine Verhältnismäßigkeitsprüfung vorgenommen werden muss. Ist es verhältnismäßig, das gewünschte Ziel zu erreichen, und dafür die Betroffenenrechte zu beeinträchtigten?
Dazu schauen wir mal zur Videoüberwachung:
Die Videoüberwachung als besonderer Fall von Datenerhebung durch öffentliche Stellen ist in § 4 BDSG konkret geregelt:
„Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.“
Und weiter heißt es dort:
„Bei der Videoüberwachung von öffentlich zugänglichen Sport-, Versammlungs- und Vergnügungsstätten gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“
Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.
Man könnte nun den Schluss daraus ziehen, dass die Datenabfrage der Polizei bzgl. eingesetzter Mitarbeiter vergleichbar sei mit der Videoüberwachung: Dort gilt das Argument, dass die Mehrheit der Besucher in einer Versammlungsstätte geschützt werden können soll, und datenschutzrechtliche Befindlichkeiten von Einzelpersonen entsprechend zurücktreten müssen.
Allerdings gibt es einen eklatanten Unterschied: Bei der Videoüberwachung kann die Polizei allenfalls Gesichter sehen, ohne zunächst zu wissen, wie diese Person heißt. Das bedeutet, dass die zu erkennenden Personen „gefühlt“ keine Beeinträchtigung erleiden, solange sie keine Straftaten begehen und so die Polizei versucht, über das Gesicht an den Namen zu kommen.
Anders ist das, wenn der Veranstalter Daten seiner Mitarbeiter an die Polizei übermittelt: Denn hier werden die Namen aller Mitarbeiter übermittelt, so dass der Eingriff ungleich stärker ist als bei der Videoüberwachung.
Im Gegenteil: Weil nur die Videoüberwachung konkret gesetzlich geregelt ist, könnte man sogar sagen, dass die pauschale Übermittlung aller Mitarbeiterdaten nicht mehr unter Art. 6 Abs. 1 Buchstabe e DSGVO subsumiert werden kann. Denn immerhin erlaubt bspw. Art. 6 Abs. 2 DSGVO den nationalen Gesetzgebern, konkrete Regelungen zu erlassen – Deutschland hat das eben bspw. mit § 4 BDSG zur Videoüberwachung getan (ebenso mit dem Bewacherregister, siehe unten).
Aber eine konkrete gesetzliche Regelung in Bezug auf die pauschale „Sammel“-Übermittlung von Daten durch den Veranstalter an die Polizei gibt es nicht.
Somit ist die pauschale Übermittlung von Mitarbeiterdaten bspw. auch von Cateringunternehmen, die auf einer Veranstaltung tätig sind mehr als nur fragwürdig, sondern wahrscheinlich schlicht rechtswidrig.
Auch bei Unternehmen aus dem Bewachungsgewerbe wird im Ergebnis nichts anderes gelten: Auch hier müssen bzw. sollen die Arbeitgeber die Daten Ihrer Mitarbeiter an den Veranstalter bzw. direkt an die Polizei übermitteln. Diese begründet das Sammeln der Daten mit Terrorabwehrmaßnahmen.
Aber: Eine gesetzliche Grundlage für die Übermittlung des Arbeitgebers an Veranstalter bzw. Polizei, oder eine gesetzliche Grundlage für die Verarbeitung dann bei der Polizei, habe ich bisher nicht gefunden…
Das Bewacherregister nach Gewerberecht
Auch hier könnte man argumentieren: § 34 a GewO bzw. § 11 b GewO in Verbindung mit dem Bewacherregister ist eine Rechtsgrundlage, dass das beim Sicherheitsunternehmen angestellte Personal überprüft werden darf – durch die am Sitz des Gewerbetreibenden zuständige Behörde, und nicht durch sonstige örtliche Behörden oder Polizeien bei der jeweiligen Veranstaltung: Immerhin, das Personal ist ja bereits überprüft, warum sollte es nochmal überprüft werden? Hier scheint wohl auch der Gesetzgeber den Eingriff in die Betroffenenrechte als zu intensiv zu sehen, ansonsten hätte er das ja auch regeln können. Denn immerhin würden massenhaft Daten pauschal für alle Mitarbeiter kreuz und quer übermittelt, nur für die geringe Wahrscheinlichkeit, einen Mitarbeiter herauszupicken, der als potentieller Gefährder in Betracht kommt; wie gesagt, alle Mitarbeiter des Bewachungsunternehmen sind ja durch die örtlich zuständige Behörde des Unternehmens bereits geprüft.
Hinzu kommt als Argument gegen eine solche Übermittlungspraxis, dass faktisch eine Prüfung nur möglich ist, wenn die Mitarbeiterdaten frühzeitig übermittelt werden. Erfahrungsgemäß aber fallen Mitarbeiter kurzfristig vor der Veranstaltung aus und müssen durch andere Mitarbeiter ersetzt werden; aufgrund der Kurzfristigkeit ist eine (erneute!) Überprüfung dieser Personen gar nicht möglich, so dass die Wirksamkeit solcher Prüfungen der Behörden am Veranstaltungsort ohnehin auch fraglich ist.
Und: Wenn die Maßnahmen der Terrorabwehr dienen sollen, müsste man sie auch in großen Einkaufszentren, Schulen, Kindergärten usw. durchführen; aber allein auf die Veranstaltung abzustellen, macht so wenig Sinn, dass die massenhafte Beeinträchtigung der Betroffenenrechte unverhältnismäßig erscheint.
Im Ergebnis kann man festhalten, dass eine Übermittlung an den Veranstalter und/oder die Polizei zu Zwecken der Überprüfung jedenfalls bedenklich ist.
UPDATE vom 12.07.2023: Ähnlich hatte das Verwaltungsgericht Koblenz entschieden bei der Frage, ob die polizeiliche Zuverlässigkeitsüberprüfung aller Mitarbeiter einer Großveranstaltung zulässig sei: Nein, weil sie unterschiedslos alle Mitarbeiter – auch solche, die bereits nach § 34a GewO überprüft wurden – behandele. Lesen Sie den Beitrag dazu hier.
