Datenschutz in Zeiten der Corona-Krise

Die Zahl der Infektionen steigt rasant. Aus diesem Grund sehen sich auch Unternehmen gezwungen, schnellstmöglich geeignete Schutzmaßnahmen zugunsten ihrer Arbeitnehmer, Kunden und Geschäftspartner sowie Besucher zu treffen. Einige dieser Maßnahmen gehen dabei häufig mit der Erhebung und Übermittlung/Verbreitung personenbezogener Gesundheitsdaten, z.B. durch Fiebermessen oder Fragebögen einher. Im Zuge dieser Maßnahmen werden Unternehmen vor die schwierige Herausforderung gestellt, einen Ausgleich zwischen den Rechten der betroffenen Mitarbeiter, Kunden und Geschäftspartner sowie Besucher auf Privatsphäre und der Gesundheit anderer Personen herzustellen.

Gemäß Art. 9 der Datenschutzgrundverordnung (DSGVO) werden Gesundheitsdaten oder andere Informationen über eine Viruserkrankung als „besonders sensible Daten“ eingestuft. Die Verarbeitung sensibler persönlicher Daten ist danach grundsätzlich untersagt, außer in jenen Fällen, in denen das Gesetz die Verarbeitung ausdrücklich gestattet. Als Rechtfertigung für verschiedene Maßnahmen zur Eindämmung des Coronavirus kommen, neben der Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, insbesondere auch Art. 9 Abs.2 lit. b, c und g DSGVO in Betracht. Im Allgemeinen sollten die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO aber auch in der gegenwärtigen Situation auf Grund ihres Ausnahmecharakters restriktiv ausgelegt und nicht als Freibrief für weitreichende Eingriffe in die Privatsphäre verstanden werden.

Eine Verarbeitung kann beispielsweise im Arbeitsverhältnis erlaubt sein, wenn dies gem. Art. 9 Abs. 2 lit. b DSGVO der Ausübung von Rechten und Pflichten aus dem Arbeits- und Sozialrecht dient. Dies dürfte u. a. auch die arbeitsrechtlichen Fürsorgepflicht des Arbeitgebers für den jeweiligen Arbeitnehmer und dessen Kollegen erfassen. So kann eine Datenverarbeitung erlaubt sein, um Arbeitnehmer vor Infektionen zu schützen, Krankmeldungen und Entgeltfortzahlungen zu organisieren oder Arbeitnehmer über einen infizierten Kollegen zu informieren.

Den übrigen Ausnahmen vom Einwilligungserfordernis sollte jedoch mit Zurückhaltung begegnet werden. So gestattet Art. 9 Abs. 2 lit. c DSGVO die Verarbeitung sensibler Daten zum Schutz lebenswichtiger Interessen. Dies gilt allerdings nur, wenn die betroffene Person außerstande ist, ihre Einwilligung zu erteilen, z. B. bei einem bereits weit fortgeschrittenen oder schweren Krankheitsverlauf. Anderenfalls muss der Arbeitgeber versuchen, eine Einwilligung einzuholen.

Eine Verarbeitung sensibler personenbezogener Daten kann zudem nicht pauschal auf ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g DSGVO gestützt werden. Zwar hatte der europäische Gesetzgeber das Auftreten einer Pandemie durchaus im Blick, wie Erwägungsgrund 46 nahelegt. Demnach kann die Verarbeitung sensibler Daten zur Überwachung einer Pandemie durchaus zulässig sein. Allerdings muss der nationale Gesetzgeber hierzu entsprechende Bestimmungen erlassen, die die Zulässigkeit entsprechender Datenverarbeitungen konkretisieren. Der deutsche Gesetzgeber hat hiervon aber keinen eindeutigen Gebrauch gemacht, sodass bisher keine entsprechende Rechtsgrundlage vorliegt.

Die deutschen Datenschutzbehörden haben aufgrund der unklaren und komplizierten Rechtslage jüngst einen ersten Leitfaden für die Verarbeitung sensibler Daten von Unternehmen veröffentlicht: In einer Stellungnahme vom 13. März 2020 hat sich die Datenschutzkonferenz erstmalig zum Umgang mit dem Coronavirus und dazugehörigen Datenverarbeitungen geäußert. Zudem haben weitere deutsche und europäische Aufsichtsbehörden Leitfäden, Handlungsempfehlungen und Anleitungen für den datenschutzrechtlichen Umgang mit dem Coronavirus zur Verfügung gestellt:

• Datenschutzkonferenz
• Bundesdatenschutzbeauftragter
• Landesdatenschutzbeauftragter Baden-Württemberg
• Landesdatenschutzbeauftragter Rheinland-Pfalz
• Britische Aufsichtsbehörde ICO
• Irische Aufsichtsbehörde DPC
• Französische Aufsichtsbehörde CNIL
• Italienische Aufsichtsbehörde Garante
• Dänische Aufsichtsbehörde Datatilsynet

Neben konkreten arbeitsrechtlichen Fragestellungen könnten sich Unternehmen mit völlig neuen datenschutzrechtlichen Szenarien konfrontiert sehen. So sorgte die Meldung für Aufsehen, dass die Telekom anonymisierte Handydaten ihrer Kunden an das Robert-Koch-Institut weitergegeben hatte. Diese Daten erlaubten allerdings nur die Nachverfolgung grober Bewegungsmuster und nicht das Tracking einzelner Personen. Der gezielten Analyse von Standortdaten infizierter Personen wie in China oder Südkorea hatte der Bundesdatenschutzbeauftrage bereits im Vorhinein eine Absage erteilt. Ein solches Vorgehen könne nur in besonderen Ausnahmefällen nach umfassender Aufklärung und mit Einwilligung des Betroffenen erfolgen. Derzeit finden sich auch in Spezialgesetzen wie beispielsweise dem Infektionsschutzgesetz keine Rechtsgrundlagen, die eine „digitale Fußfessel“ für infizierte Personen rechtfertigen könnten. Im Übrigen ist das Tracking einzelner Erkrankter auch aus technischer Sicht nicht zielführend, da GPS-Daten in Deutschland nicht flächendeckend erhoben werden und daher viel zu ungenau sind. Wohl auch deswegen zog das Bundesgesundheitsministerium einen dahingehenden Gesetzesentwurf wieder zurück.

Dennoch wird weiter über die Verwendung von Handydaten zur Eindämmung des Coronavirus diskutiert. Neben den datenschutzrechtlichen Bedenken bestehen auch technische Hürden, denn Ortungsdaten sind nicht gleich Ortungsdaten. Sogenannte Funkzellendaten geben Auskunft über die ungefähre Distanz eines Mobiltelefons zum nächsten Funkmast. In Großstädten ermöglichen Funkzellendaten im besten Fall eine Ortung auf höchstens 50 Meter genau, in ländlichen Gebieten ist das Ergebnis noch deutlich ungenauer. Zur Identifizierung von Kontaktpersonen sind Funkzellendaten daher völlig ungeeignet. Die Satellitenortung hingegen erlaubt eine Standortbestimmung bis auf wenige Meter genau. Allerdings ermöglichen die beiden Betriebssysteme Android und iOS einen Zugriff auf den GPS-Chip nur nach vorheriger Einwilligung des Nutzers. Als datenschutzfreundliche Alternative wird nun eine Corona-App nach dem Vorbild Singapurs gehandelt, die Handynutzer freiwillig auf ihren Mobiltelefonen installieren sollen. Dabei wird sich die geringe Reichweite der Bluetooth-Technologie zu nutze gemacht, um Informationen darüber zu erhalten, welche Personen sich in unmittelbarer Nähe zueinander aufgehalten haben. Die App generiert dazu in regelmäßigen Abständen eine temporäre ID, die anonymisiert und verschlüsselt auf dem jeweiligen Endgerät gespeichert wird. Wird bei einer Person das Coronavirus festgestellt, kann diese die gespeicherten Daten an eine zentrale Stelle senden, die wiederrum sämtliche Handys, die sich im relevanten Zeitraum in unmittelbare Nähe befunden haben, per Pushnachricht informiert und die Kontaktpersonen auffordert sich in Quarantäne zu begeben. Während des kompletten Vorgangs bleibt die Identität der Personen unbekannt. Befürworter der Corona-App verweisen auf  mehrere Vorteile: Zum einen ermögliche die Nutzung bestehender Technologien eine schnelle Umsetzung. Ferner sei dieser Ansatz nicht nur aus technischer und epidemiologischer Sicht der effizienteste, sondern auch durch seine sparsame Verwendung von Daten besonders grundrechtsfreundlich. Da die Bürger die App freiwillig installieren müssen, steht und fällt ihr Erfolg mit der Akzeptanz durch die Bevölkerung. Für welchen Weg sich die Verantwortlichen letztlich entscheiden werden ist noch offen. Gesundheitsminister Spahn hält derweil trotz anhaltender Kritik die Verwendung von Handydaten weiter für eine gangbare Lösung. Angesichts deutlich weniger eingriffsintensiver Möglichkeiten bleibt zu hoffen, dass die Regierung auch in Krisenzeiten nicht der Versuchung erliegt über Gebühr in die Privatsphäre seiner Bürger einzugreifen.

Die einzelnen Behörden vertreten jedoch durchaus unterschiedliche Positionen. Wir wollen daher nachfolgend eine Übersicht über die von den Behörden veröffentlichten Empfehlungen geben. Dabei wird auf typische Fragen eingegangen, mit denen sich Unternehmen bei der Bewältigung der Herausforderungen durch das Coronavirus konfrontiert sehen. Die Übersicht ersetzt jedoch nicht die im Einzelfall erforderliche individuelle Überprüfung der Rechtmäßigkeit der Verwendung und Verbreitung personenbezogener Daten.

Wir empfehlen zudem, als in Deutschland tätiges Unternehmen, sich an den Äußerungen der deutschen Aufsichtsbehörden zu orientieren. Auch wenn andere europäische Datenschutzaufsichten womöglich pragmatischere und weniger strenge Ansichten vertreten, sind zunächst die Einschätzungen der nationalen Behörden maßgeblich. Dementsprechend basieren die nachfolgenden Fragen und Antworten überwiegend auf den Äußerungen deutscher Datenschutzbehörden.

Darf der Arbeitgeber Informationen anfordern, ob der Mitarbeiter ein Risikogebiet besucht hat?

Ja. Die Fürsorgepflicht des Arbeitgebers gegenüber seinen Mitarbeitern verpflichtet den Arbeitgeber notwendige Maßnahmen zur Sicherstellung der Sicherheit und Gesundheit aller Mitarbeiter am Arbeitsplatz zu gewährleisten. Dazu gehört auch die Pflicht eine Ansteckung zu vermeiden. Zu diesem Zweck ist es dem Arbeitgeber gestattet, Urlaubsrückkehrer zu fragen, ob sie sich in einem vom Robert-Koch-Institut als Hochrisikogebiet eingestuftem Land aufgehalten haben. Dabei genügt eine negative Information seitens des Mitarbeiters als Antwort. Soweit dies erforderlich ist, kann der Arbeitgeber weitere Fragen stellen.

Darf der Arbeitgeber Gesundheitsdaten des Arbeitnehmers erheben, z.B. durch Erfassen der Körpertemperatur?

Nein. Eine solche Maßnahme könnte einzig auf § 26 Abs.3 Satz 1 BDSG gestützt werden. Demnach ist eine Verarbeitung besonderer personenbezogener Daten nur für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und schutzwürdige Interessen der betroffenen Person nicht überwiegen.

Diese Frage wird uneinheitlich beantwortet. Teilweise wird vertreten, dass der Arbeitgeber in engen Grenzen dem Arbeitnehmer medizinische Untersuchungen auferlegen kann. Zulässig sollen minimal-invasive Maßnahmen sein, wie z.B. Temperaturmessungen, soweit diese zum Schutz anderer Mitarbeiter vor Infektionen durch eine potentiell infizierte Person dient, die sich vor kurzer Zeit in einem Risikogebiet aufgehalten hat.

Der Landesdatenschutzbeauftragte des Landes Rheinland-Pfalz erachtet Temperaturmessungen am Eingang zum Betriebsgelände indes für unzulässig, da es angesichts alternativer Maßnahmen wie der Arbeit aus dem Homeoffice an der Erforderlichkeit fehle. Gewichtiger erscheint im Hinblick darauf, dass eine Vielzahl der Arbeitnehmer keine Möglichkeit hat von zu Hause zu arbeiten, das Argument, dass eine erhöhte Körpertemperatur kein zuverlässiger Indikator für eine Infektion mit dem Coronavirus darstellt. Schließlich weisen viele der Erkrankten lediglich milde oder gar keine Symptome auf. Auch die WHO empfiehlt ein flächendeckendes Fiebermessen durch die Arbeitgeber nicht. Zusammenfassend ist von derartigen „Zwangsuntersuchungen“ durch den Arbeitgeber aus datenschutzrechtlicher Sicht eher abzuraten.

Darf der Arbeitgeber seine Mitarbeiter dazu verpflichten, die Infektion mit dem Coronavirus zu bestätigen?

Ja. Eine Pflicht zur Bestätigung einer Erkrankung durch den Arbeitnehmer gegenüber dem Arbeitgeber dürfte sich aus den arbeitsvertraglichen Nebenpflichten ergeben. Nur so ist der Arbeitgeber in der Lage, seiner Fürsorgepflicht gegenüber dem erkrankten Arbeitnehmer und den Kollegen nachzukommen. Auch der Bundesdatenschutzbeauftragte gab in seiner jüngsten Stellungnahme bekannt, dass die Erhebung und Verarbeitung von Gesundheitsdaten von Arbeitnehmern zulässig seien, wenn dies der bestmöglichsten Verhinderung von Ansteckungen unter den Beschäftigten diene.

Darf der Arbeitgeber Informationen darüber anfordern, ob ein Mitarbeiter Kontakt zu einer infizierten Person hatte?

Ja. Zu dieser Frage haben sich inzwischen sowohl der Bundesdatenschutzbeauftragte als auch der Landesdatenschutzbeauftragte von Baden-Württemberg geäußert. Demnach sei der Arbeitgeber grundsätzlich berechtigt, Informationen darüber anzufordern, ob ein Mitarbeiter Kontakt mit einer infizierten Person hatte, sofern die Nachfrage dem Zweck der Gesundheitsvorsorge am Arbeitsplatz dient.

Ist der Arbeitgeber berechtigt Arbeitnehmer systematisch nach Vorerkrankungen zu fragen, um potenzielle Risikopatienten zu identifizieren?

Nein. Derartige Befragungen können nicht auf Grundlage des § 26 Abs.3 Satz 1 BDSG gerechtfertigt werden. Die Erforderlichkeit des Vorgehens ist bereits höchst zweifelhaft, da diese Information nicht unmittelbar mit dem Arbeitsverhältnis im Zusammenhang stehen dürfte. Im konkreten Fall dürfte zudem das Interesse der betroffenen Personen daran, dass ihr Arbeitgeber keine Informationen über weitere bestehende Krankheiten erlangt, überwiegen.

Dürfen Arbeitgeber die Mitarbeiter darüber informieren, dass ein bestimmter Arbeitnehmer am Virus erkrankt ist?

Nein, aber Ausnahmen sind möglich. Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist nur in absoluten Ausnahmefällen rechtmäßig (anders z. B. die dänische Aufsichtsbehörde). Davon ist auszugehen, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Nach Ansicht des baden-württembergischen Landesdatenschutzbeauftragten ist die Weitergabe des Namens eines infizierten Mitarbeiters innerhalb der Belegschaft grundsätzlich zu vermeiden. Dies gilt auch für den Fall, dass der Infizierte mit anderen Mitarbeitern in direktem Kontakt stand und diese deshalb möglicherweise selbst freizustellen sind. Derartige Maßnahmen seien aufgrund der Gefahr einer Stigmatisierung vielmehr abteilungs- oder teambezogen ohne konkrete Namensnennung vorzunehmen. In Ausnahmefällen seien zunächst das Gesundheitsamt und ggf. erst in letzter Konsequenz die übrigen Mitarbeiter in Kenntnis zu setzen. Der rheinland-pfälzische Landesdatenschutzbeauftragte empfiehlt, den betroffenen Beschäftigten selbst um die Vorlage einer Liste von gefährdeten Kollegen zu bitten und diese daraufhin gezielt anzusprechen. Durch eine solche Maßnahme kann eine unternehmens- oder behördenweite namentliche Nennung des erkrankten Beschäftigten vermieden werden.

Haben Unternehmen gegenüber den Gesundheitsbehörden eine Meldepflicht?

Nein. Unternehmen unterliegen gegenüber den Gesundheitsbehörden keiner aktiven Meldepflicht. § 8 des Infektionsschutzgesetzes benennt die meldepflichtigen Personen abschließend. Verpflichtet sind demnach ausschließlich Ärzte und Angehörige anderer Heilberuf; Privatpersonen und Unternehmen hingegen nicht. Nach Ansicht des baden-württembergischen Datenschutzbeauftragten ist der Arbeitgeber aber auf Ersuchen der zuständigen Hoheitsträger bezüglich erkrankter Beschäftigter im Betrieb, insbesondere auf der Grundlage des Infektionsschutzgesetzes (IfSG), verpflichtet und befugt, die entsprechenden Informationen an die Behörden zu übermitteln. Die Rechtsgrundlage dürfte sich hier jedoch aus dem Ordnungsrecht und der daraus folgenden behördlichen Anordnungsbefugnis ergeben.

Welche Vorbereitungen hat der Arbeitgeber für die Tätigkeit im Homeoffice zu treffen?

Sofern Homeoffice zugelassen oder angeordnet wird, muss der Arbeitgeber dem Arbeitnehmer die notwendige Ausrüstung zur Verfügung zu stellen, um der Arbeit im Homeoffice nachgehen zu können. Der Arbeitgeber hat zudem angemessene technisch-organisatorische Maßnahmen für den Datenschutz, die Vertraulichkeit (z. B. auch von Geschäftsgeheimnissen) sowie die IT-Sicherheit einzurichten. Ein genereller Anspruch auf Homeoffice besteht allerdings ohne explizite Vereinbarung im Arbeitsvertrag grundsätzlich nicht, kann jedoch bei Unzumutbarkeit der körperlichen Anwesenheit am Arbeitsplatz gegeben sein. Dies muss jedoch im Einzelfall entschieden werden.

Darf der Arbeitgeber private Telefonnummern von Mitarbeitern aufnehmen, um sie im Notfall erreichen zu können?

Ja. Der Arbeitgeber darf aktuelle private Handynummern von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben. Die Speicherung darf allerdings nur temporär zu bestimmten, legitimen Zwecken und im schriftlichen Einverständnis mit dem informierten Arbeitnehmer erfolgen. Zwar wird der Arbeitnehmer dieser Aufforderung aus eigenem Interesse in den meisten Fällen zustimmen, eine rechtliche Verpflichtung zur Offenlegung besteht jedoch nicht. Datenschutzrechtlich unzulässig wäre es, die privaten Daten zu einem späteren Zeitpunkt (weiter) zu verwenden, da die Datenverarbeitung gemäß Art. 5 Abs.1 lit. b DSGVO stets zweckgebunden erfolgen muss. Besteht der konkrete Zweck nicht mehr, sind die Daten zu löschen.

Dürfen Unternehmen personenbezogene Daten von Kunden oder Besuchern von Veranstaltungen sammeln, speichern oder übertragen, für den Fall, dass später festgestellt wird, dass eine infizierte Person bei der Veranstaltung war?

Ja. Ein typischer Anwendungsfall für diese Frage wäre beispielsweise, ob ein Messeveranstalter Informationen über Messebesucher an die Gesundheitsbehörden weitergeben darf. Wenn die zuständige Behörde eine Anordnung zur Speicherung von Besucherdaten erteilt hat, können die Organisatoren entsprechende Daten erheben und speichern. Welche Behörde im Einzelfall zuständig ist richtet sich nach Landesrecht. Eine solche Anordnung zur Speicherung von Besucherdaten korrespondiert regelmäßig mit einer Verpflichtung zur Übermittlung der Daten an die zuständige Behörde. Solange es keine behördliche Anordnung gibt, dürfen Veranstalter solche Daten grundsätzlich nur auf der Grundlage einer freiwilligen Einwilligung der betroffenen Person erheben und speichern. Ferner sollten die Daten im Hinblick auf das Gebot der Zweckbindung der Datenverarbeitung auch nur für die Dauer der mutmaßlichen Inkubationszeit gespeichert werden. Zusätzlich sind die in Art. 13 und 14 DSGVO statuierten Informationspflichten zu berücksichtigen. Ohne eine behördliche Anordnung dürfen Unternehmen solche Daten nur in Ausnahmefällen verarbeiten. Die Identität einer infizierten Person darf gegenüber einer Kontaktperson nur offengelegt werden, wenn dies für die Durchführung einer Maßnahme zur Eindämmung des Coronavirus unerlässlich ist.

Die Nichtbeachtung der Datenschutzvorschriften kann neben hohen Bußgeldern auch Angriffsmöglichkeiten für Cyberkriminelle bieten, die die aktuelle Situation ausnutzen, um Unternehmenssysteme zu infiltrieren. Sicherlich unterstützen Maßnahmen wie Homeoffice die Eindämmung des Coronavirus, dennoch müssen sich die Unternehmen auch der Schwachstellen bewusst sein, die sich aus der Arbeit im Homeoffice ergeben. Aus diesem Grund ist es Unternehmen zu empfehlen, IT-Sicherheitsteams vor Ort einzurichten, um eventuellen Hackerangriffen schnell und effektiv entgegenzuwirken. Auch im Interesse eines effektiven Schutzes von Geschäftsgeheimnissen ist hier zu besonderer Vorsicht zu raten, denn Spam- und Phishing-E-Mails machen sich bereits die Angst vor dem Coronavirus und dessen Auswirkungen zu nutze. Anders als die britische Aufsichtsbehörde ICO haben die deutschen Behörden bisher nicht angekündigt, bei der Ahndung von Datenschutzverstößen unter den aktuellen Umständen weniger strikt vorgehen zu wollen. Bis hier Klarheit geschaffen wird, sollte daher der Datenschutz auch in Krisenzeiten beachtet werden.

Aus den Stellungnahmen der Aufsichtsbehörden lassen sich hilfreiche und praxisnahe Hinweise für ein datenschutzkonformes Krisenmanagement zur Eindämmung der Corona-Epidemie entnehmen. Unternehmen müssen sich dabei aber stets bewusst machen, dass die Privatsphäre des Einzelnen ein Grundrecht ist, das auch in Krisenzeiten seinen Stellenwert nicht verliert. Auch datenschutzrechtliche Grundsätze (z. B. Datenminimierung und Zweckbindung) sind trotz Krise weiterhin zu beachten, sodass unbegrenztes und anlassloses Datensammeln weiterhin unzulässig ist.

Unternehmen sollten daher ihre Mitarbeiter, Kunden und Besucher transparent und ausführlich über jegliche Datenverarbeitung im Zusammenhang mit dem Coronavirus informieren. Zudem sollten die ergriffenen Maßnahmen und die entsprechende datenschutzrechtliche Bewertung dokumentiert werden. Nach dem Wegfall des Verarbeitungszwecks (z. B. Genesung des Arbeitnehmers, Ende/Kontrolle der Epidemie) müssen Datenverarbeitungen umgehend eingeschränkt und gespeicherte Daten sodann innerhalb bestimmter Fristen (z. B. nach Verjährung von möglichen Ansprüchen) gelöscht werden.

Angesichts der weiter steigenden Zahl der Erkrankten dürften die erörterten Probleme die Unternehmen noch einige Zeit beschäftigen. Weitere Äußerungen und Stellungnahmen der Aufsichtsbehörden sollten daher genauestens beobachtet werden, um die eigenen Datenverarbeitungsprozesse ggf. entsprechend anzupassen. Es wäre zudem wünschenswert, wenn die Aufsichtsbehörden mit Rücksicht auf die Ausnahmesituation, die unklare und komplizierte Rechtslage sowie die begrenzten Ressourcen von Unternehmen von einer allzu strengen Ahndung etwaiger Datenschutzverstöße absehen.