2020-0.349.984 – Datenschutzbehörde Entscheidung

GZ: 2020-0.349.984 vom 26. Juni 2020 (Verfahrenszahl: DSB-D205.023)

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

Die Firma der Beschwerdegegnerin wurde hier nicht pseudonymisiert, da laut Entscheidungsgründen der Universaldienstbetreiber gemäß § 12 Abs. 1 PMG in dieser Rolle am Verfahren beteiligt war, und die Beschwerdegegnerin als solcher im zitierten Gesetz angeführt ist. Eine sinnerhaltende Pseudonymisierung war überdies aufgrund mehrfacher Bezugnahmen auf die Geschäftstätigkeit der Beschwerdegegnerin als Universaldienstbetreiber im Sachverhalt (z.B. Einschreibbrief, „gelber Zettel“) nicht möglich. Das Geheimhaltungsinteresse der im Verfahren obsiegenden Beschwerdegegnerin, deren Handeln für rechtmäßig befunden wurde, überwiegt hier jedoch nicht das öffentliche Interesse an der gesetzlich durch § 23 Abs. 2 DSG gebotenen Veröffentlichung der Entscheidung.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Gustav A*** (Beschwerdeführer) vom 17. April 2019 gegen die Österreichische Post AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:

- Die Beschwerde wird als unbegründet abgewiesen.

Rechtsgrundlagen : Art. 4 Z 2, Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 lit. c und lit. f, Art. 13, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 3 Z 4 und Z 12, § 12, § 17, § 20 des Postmarktgesetzes (PMG), BGBl. I Nr. 123/2009 idgF;

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit verfahrenseinleitender Eingabe vom 17. April 2019, wiederholt am 23. Juni 2019 und am 26. Juli 2019, behauptete der Beschwerdeführer eine Verletzung im Recht auf Geheimhaltung sowie eine Verletzung der Informationspflichten durch die Beschwerdegegnerin.

Die behauptete Verletzung der Informationspflicht wird in einem separaten Verfahren zur Geschäftszahl DSB-D205.246 geführt.

2. Betreffend die behauptete Verletzung im Recht auf Geheimhaltung brachte der Beschwerdeführer zusammengefasst wie folgt vor:

Der Beschwerdeführer habe eine an ihn adressierte Briefsendung mittels eines sogenannten „Gelben Zettels“ am 29. März 2019 in einer Filiale der Beschwerdegegnerin behoben. Im Zuge dessen habe ein Mitarbeiter der Beschwerdegegnerin die Vorlage eines Ausweises des Beschwerdeführers verlangt, welcher von diesem auch vorgelegt worden sei. In Folge habe der Mitarbeiter allerdings gegen seinen Willen und ohne seine Erlaubnis eine Kopie angefertigt. Der Ausweis sei auf einen Scanner gelegt und die Daten seien elektronisch erfasst worden. Der Beschwerdeführer führt weiters aus, dass selbst in den Allgemeinen Geschäftsbedingungen der Beschwerdegegnerin („AGB-Brief National“) unter Punkt 3.5.2 nur von einer Vorlage im Zweifel der Identität die Rede sei, und nicht von einer Datenerhebung.

3. Mit Erledigung vom 22. Juli 2019 (GZ: DSB-D205.023/0001-DSB-2019) forderte die Datenschutzbehörde die Beschwerdegegnerin zur Stellungnahme auf.

4. Mit Eingabe vom 20. August 2019 nahm die Beschwerdegegnerin wie folgt Stellung:

Richtig sei, dass der Beschwerdeführer eine rekommandierte (= mit Übernahmeschein) Einschreibesendung in einer Filiale der Beschwerdegegnerin behoben habe, da er zum Zeitpunkt der versuchten Zustellung nicht angetroffen worden sei. Er sei daher mittels „gelbem Zettel“ über die versuchte Zustellung sowie die Hinterlegung der Sendung und über die Notwendigkeit der Vorlage eines amtlichen Lichtbildausweises beim Beheben der Sendung informiert worden. Die Hinterlegungsanzeige enthalte überdies einen Verweis auf die Datenschutzhinweise der Beschwerdegegnerin, die insbesondere auch über die Verarbeitung von Ausweisdaten informieren würden.

Beim Beheben der Sendung durch den Beschwerdeführer habe ein Mitarbeiter der Beschwerdegegnerin den Beschwerdeführer zur Vorlage eines Lichtbildausweises aufgefordert und in Folge die konkreten Ausweisdaten, wie üblich wenn eine Person dem Mitarbeiter nicht persönlich bekannt sei, systemautomatisch erfasst. Zur Erfassung der Ausweisdaten diene ein Scangerät, welches lediglich konkrete Daten aus dem jeweiligen Ausweis, nämlich Ausweisart, die Ausweisnummer, Ausstellungsbehörde und Geburtsdatum sowie den korrespondierenden Namen, auslese – eine Kopie werde nicht erstellt. Der Beschwerdeführer habe die Übernahme der Einschreibsendung auf dem auch quittiert.

Die gerügte Verarbeitung der Ausweisdaten sei zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher die Beschwerdegegnerin als Verantwortliche unterliege (Art. 6 Abs. 1 lit. c DSGVO): Gemäß § 3 Z 12 PMG sei die Übernahme von Einschreibsendungen an den richtigen Empfänger zu quittieren. Die Übergabe an die richtige Person sei – sofern diese der Beschwerdegegnerin nicht persönlich bekannt ist – lediglich im Rahmen eines durchzuführenden Identifizierungs- / Authentifizierungsverfahrens, also durch Vorlage eines amtlichen Lichtbildausweises, möglich. Die Beschwerdegegnerin habe in Entsprechung des § 20 PMG Allgemeine Geschäftsbedingungen (insb. „AGB Brief“) erlassen, welche auch von der Regulierungsbehörde genehmigt worden seien. Daraus ergebe sich auch die Notwendigkeit einer Übernahmebestätigung und Identitätsfeststellung (Punkt 3.3 und 3.5.2 der AGB Brief national und Punkt 4.1 des Produkt- und Preisverzeichnisses („PVV“) für Rückscheinbriefe, wozu auch Einschreiben zählten). Aus diesen Dokumenten (AGB und PVV) ergebe sich, dass die Übergabe einer Einschreibsendung nur nach vorangegangener Identifizierung bzw. Authentifizierung zulässig sei. Die Ausweisdaten habe die Beschwerdegegnerin zum Zweck der Identifizierung bzw. Authentifizierung erhoben und damit einhergehend zur allfälligen Abwicklung von potentiellen Nachforschungen (Punkt 3.10 der AGB Brief national) sowie allfälligen Gewährleistungsfällen (Punkt 4 der AGB Brief national), also zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und auch zur Umsetzung der Vertragsbeziehung zum Absender für 6 Monate aufbewahrt und danach gelöscht. Auch aus dem Umstand, dass die Beschwerdegegnerin möglichen Gewährleistungs- und/oder Schadenersatzansprüchen ausgesetzt sei, wenn eine Sendung nicht ordnungsgemäß, insbesondere an den korrekten Empfänger, übergeben werde, begründe eine Verarbeitungs- und Speicherbefugnis. Es müsse daher möglich sein, sich zumindest innerhalb der gesetzlichen Gewährleistungsfrist verteidigen zu können. Auch im Rahmen eines allfälligen Verfahren vor der Datenschutzbehörde müsse sich die Beschwerdegegnerin freibeweisen können, etwa, dass sie ihrer Sorgfaltspflicht nachgekommen sei und die Identität des Übernehmers nachweislich geprüft habe. Die Beschwerdegegnerin berief sich auf die Frist des § 24 Abs. 4 DSG und eine näher bezeichnete Entscheidung der Datenschutzbehörde bezüglich der Zulässigkeit einer Ausweiskopie zur Identitätsprüfung.

Des Weiteren sei die Verarbeitung der Ausweisdaten zur Wahrung der berechtigten Interessen der Beschwerdegegnerin und des jeweiligen Absenders iSd. Art. 6 Abs. 1 lit. f DSGVO erforderlich, um die korrekte Zuordnung zum tatsächlich adressierten Empfänger sicherzustellen und dem Absender gegenüber den Nachweis erbringen zu können. Nur so sei ein allfälliger Missbrauch zu verhindern. Die Interessen der Beschwerdegegnerin sowie die ihres Vertragspartners würden die Interessen bzw. Grundrechte und Grundfreiheiten des Beschwerdeführers überwiegen. Es komme zu keiner spürbaren Beeinträchtigung des Beschwerdeführers, da nur die erforderlichen Daten gespeichert werden würden, welche überdies gemäß § 5 PMG sowie durch umfassende technische und organisatorische Maßnahmen geschützt seien.

Die Beschwerdegegnerin führte überdies aus, dass sie ihren Informationspflichten nachgekommen sei und verwies dabei auf die „Datenschutzhinweise“, welche auf ihrer Website abrufbar seien.

5. Mit Erledigung vom 19. September 2019 (GZ: DSB-D205.023/0003-DSB/2019) räumte die Datenschutzbehörde dem Beschwerdeführer Parteiengehör sowie die Möglichkeit zur Stellungnahme ein.

6. Seitens des Beschwerdeführers erging kein weiteres Vorbringen.

B. Beschwerdegegenstand

Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem ein Mitarbeiter der Beschwerdegegnerin im Zuge der Abholung einer Postsendung (Einschreibsendung) Ausweisdaten des Beschwerdeführers elektronisch erfasst und gespeichert hat.

Die behauptete Verletzung der Informationspflichten wird im Verfahren zur Geschäftszahl DSB D205.246 separat behandelt und war somit nicht Beschwerdegegenstand des vorliegenden Verfahrens.

C. Sachverhaltsfeststellungen

1. Der Beschwerdeführer behob am 29. März 2019 eine Briefsendung in der (Post-)Filiale ****, **** XY, ***-Straße *. Die Beschwerdegegnerin hatte den Beschwerdeführer zu einem nicht näher festzustellenden Zeitpunkt über einen erfolglosen Zustellversuch sowie die anschließende Hinterlegung in der genannten Postfiliale mittels Benachrichtigung über eine hinterlegte Sendung („gelber Zettel“) informiert. Es handelte sich hierbei um eine nicht-behördliche, rekommandierte (mit Übernahmeschein) Einschreibesendung.

2. Der Beschwerdeführer wies, nachdem er durch einen Mitarbeiter der Beschwerdegegnerin dazu aufgefordert wurde, im Zuge der Sendungsbehebung seinen amtlichen Lichtbildausweis vor. In weiterer Folge wurden die Ausweisdaten: Ausweisart, Ausweisnummer, Ausstellungsbehörde, Geburtsdatum sowie der korrespondierende Name elektronisch mittels Scangerät erfasst und für 6 Monate gespeichert. Nach Ablauf der Aufbewahrungsfrist wurden die gegenständlichen Daten gelöscht. Eine Kopie des Ausweisdokuments selbst wurde hingegen nicht erstellt.

Beweiswürdigung : Die Feststellungen ergeben sich aus übereinstimmendem Parteienvorbringen, insbesondere der Eingabe des Beschwerdeführers vom 17. April 2019 und der Eingabe der Beschwerdegegnerin vom 20. August 2019.

3. Die folgenden AGBs der Beschwerdegegnerin waren zum 29. März 2019 in Geltung:

Beweiswürdigung : Die Feststellung ergeben sich aus der Eingabe der Beschwerdegegnerin vom 20. August 2019 und blieben vom Beschwerdeführer unbestritten.

D. In rechtlicher Hinsicht folgt daraus:

Der Beschwerdeführer vermeint die Beschwerdegegnerin habe gegen Geheimhaltungspflichten verstoßen, indem sie eine Ausweiskopie (Erfassen mittels Scangerät sowie das Speichern der Ausweisdaten) angefertigt habe.

Den Ausführungen kommt im Ergebnis keine Berechtigung zu:

D.1. Zu Art. 6 Abs. 1 lit. c DSGVO:

Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

Gemäß § 1 Abs. 2 DSG sind Beschränkungen des Geheimhaltungsanspruches, soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig.

Die gegenständliche Datenverarbeitung erfolgte weder im lebenswichtigen Interesse des Beschwerdeführers, noch lag eine Zustimmung vor , weshalb die Rechtmäßigkeit aufgrund der Wahrung überwiegender berechtigter Interessen zu prüfen war: Eine Verletzung von Geheimhaltungspflichten liegt nach der Rechtsprechung der Datenschutzbehörde insbesondere dann nicht vor, wenn gegen die als Durchführungsbestimmungen gemäß § 4 Abs. 1 DSG anzusehenden Regeln der DSGVO und die darin verankerten Grundsätze nicht verstoßen wurden (vgl. den Bescheid vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

Gemäß Art. 5 Abs. 1 lit. b DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“). Die Verarbeitung von personenbezogenen Daten ist unter anderem dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung , der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c DSGVO), erforderlich ist bzw. zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten , sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

In diesem Zusammenhang sind Art. 6 Abs. 1 lit. c DSGVO iVm dem PMG sowie Art. 6 Abs. 1 lit. f DSGVO von Relevanz:

Die Beschwerdegegnerin berief sich aber auch richtiger Weise auf die gesetzlichen Verpflichtungen des PMG:

§ 3 Z 4 und Z 12 PMG lautet samt Überschrift wie folgt (Hervorhebungen durch die Datenschutzbehörde):

Begriffsbestimmungen

§ 3.

Im Sinne dieses Bundesgesetzes bedeutet:

[...]

[...]

§ 12 PMG lautet samt Überschrift wie folgt (Hervorhebungen durch die Datenschutzbehörde):

Universaldienstbetreiber

§ 12.

(1) Mit Inkrafttreten dieses Bundesgesetzes wird die Österreichische Post als Universaldienstbetreiber benannt.

[...]

§ 20 PMG lautet samt Überschrift wie folgt (Hervorhebungen durch die Datenschutzbehörde):

Allgemeine Geschäftsbedingungen des Universaldienstbetreibers

§ 20.

(1) Der Universaldienstbetreiber hat in Entsprechung der Vorgaben dieses Gesetzes und der auf Grund dieses Gesetzes erlassenen Verordnungen für Dienste im Universaldienstbereich Allgemeine Geschäftsbedingungen zu erlassen.

[...]

Unter einer rechtlichen Verpflichtung gemäß Art 6 Abs. 1 lit. c DSGVO ist jedenfalls eine Verpflichtung kraft objektiven Rechts ( Frenzel in Paal/Pauly , Datenschutz-Grundverordnung Art. 6 Rz. 16) zu verstehen, die sich insbesondere aus einer mitgliedstaatlichen oder unionsrechtlichen Rechtsgrundlage ergeben kann und sich überdies unmittelbar auf die Datenverarbeitung bezieht ( Kastelitz/Hötzendorfer/Tschohl in Knyrim , DatKomm Art 6 DSGVO Rz 39).

Die Beschwerdegegnerin unterliegt als Universaldienstbetreiber iSd § 3 Z 4 iVm § 12 Abs. 1 PMG den Vorschriften des PMG und ist insofern als Adressatin der sich aus diesem Gesetz ergebenden rechtlichen Verpflichtungen zu sehen.

Nach der ständigen Rechtsprechung des Verfassungsgerichtshofes zur Qualität einer Eingriffsnorm iSd § 1 Abs. 2 DSG (2000) muss diese „ausreichend präzise, also für jedermann vorhersehbar, bezeichnen, unter welchen Voraussetzungen die Ermittlung bzw. die Verwendung der Daten für die Wahrnehmung konkreter Verwaltungsaufgaben zulässig ist. Der jeweilige Gesetzgeber muss somit iSd. § 1 Abs. 2 DSG 2000 eine materienspezifische Regelung in dem Sinn vorsehen, dass die Fälle zulässiger Eingriffe in das Grundrecht auf Datenschutz konkretisiert und begrenzt werden (VfSlg. 18.146/2007).

Die Datenschutzbehörde übersieht dabei nicht, dass diese Rechtsprechung sich auf eine Eingriffsnorm bezieht, die behördliches Handeln legitimieren soll, was vorliegend nicht der Fall ist.

Dennoch kann diese Rechtsprechung sinngemäß auch dann Anwendung finden, wenn sich Verantwortliche des privaten Bereichs (§ 26 Abs. 4 DSG) auf eine Ermächtigungsnorm iSd Art. 6 Abs. 1 lit. c DSGVO stützen. Dies ergibt sich auch aus Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Daher ist zu prüfen, ob die Bestimmungen des PMG eine rechtliche Verpflichtung zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. c DSGVO begründen können.

§ 3 Z 12 PMG normiert die Notwendigkeit der Bestätigung der Entgegennahme bzw. Aushändigung der Sendung . Über die bloße Ermittlung, sprich die darüberhinausgehende Erfassung oder Speicherung von personenbezogenen (Ausweis-)Daten trifft § 3 Z 12 PMG hingegen keine Aussage. Dies gilt gleichermaßen für § 20 Abs. 1 PMG, der lediglich die Verfassung Allgemeiner Geschäftsbedingungen, jedoch keine rechtliche Verpflichtung zur Verarbeitung personenbezogener Daten normiert.

Überdies bleibt anzumerken, dass auch die Allgemeinen Geschäftsbedingungen der Beschwerdegegnerin selbst mangels materieller Rechtsqualität keine rechtliche Verpflichtung darstellen können.

Im Ergebnis stellen die durch die Beschwerdegegnerin vorgebrachten Bestimmungen des PMG iVm Art. 6 Abs. 1 lit. c DSGVO keine gesetzliche Grundlage für das Scannen und Speichern des Ausweises des Beschwerdeführers dar.

D.2. Zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO):

In Folge ist zu prüfen, ob die Verarbeitung der personenbezogenen Daten des Beschwerdeführers zur Wahrung berechtigter Interessen der Beschwerdegegnerin oder eines Dritten iSv Art. 6 Abs. 1 lit. f DSGVO erforderlich war.

Nach Rsp des EuGH ist die Verarbeitung auf der Rechtsgrundlage des „berechtigten Interesses“ unter drei kumulativen Voraussetzungen zulässig: i) Wahrnehmung eines berechtigten Interesses durch den Verantwortlichen oder den bzw. die Dritten, denen die Daten übermittelt werden, ii) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und iii) kein Überwiegen der Grundrechte und Grundfreiheiten der vom Datenschutz betroffenen Person über das wahrgenommene berechtigte Interesse (vgl. in Bezug auf die Richtlinie 95/46/EG das Urteil des EuGH vom 11. Dezember 2019, C-708/18 [TK] Rz 40 mwN).

i) Berechtigte Interessen der Verantwortlichen bzw. eines Dritten

Es ist zunächst zu prüfen, ob ein berechtigtes Interesse der Beschwerdegegnerin bzw. eines Dritten an der Verarbeitung der gegenständlichen Ausweisdaten des Beschwerdeführers bestanden hat:

Dazu brachte die Beschwerdegegnerin unter anderem vor, dass sie möglicherweise Gewährleistungs- und/oder Schadensersatzansprüchen des Absenders ausgesetzt sein könnte und die Verarbeitung somit zur Wahrung bzw. Verteidigung ihrer Rechtsansprüche notwendig war.

Dazu ist festzuhalten, dass das Interesse der Beschwerdegegnerin, sich im Falle eines Rechtsstreits hinreichend, zumindest innerhalb der gesetzlichen Gewährleistungsfrist, verteidigen und den Nachweis der rechtmäßigen Übergabe an die korrekte Person erbringen zu können, durchaus als berechtigt anzusehen war (vgl. Kastelitz/Hötzendorfer/Tschohl in Knyrim , DatKomm Art 6 DSGVO Rz. 54).

Vor diesem Hintergrund war das Bestehen eines berechtigten Interesses der Beschwerdegegnerin an der Verarbeitung der gegenständlichen Ausweisdaten zu bejahen.

ii) Erforderlichkeit der Datenverarbeitung

Darüber hinaus ist auch anzuerkennen, dass die Verarbeitung der Ausweisdaten des Beschwerdeführers dazu dienen konnte, im Falle eines Rechtsstreits die Übergabe an den richtigen Empfänger nachweisen zu können.

iii) Kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person

Zuletzt war das festgestellte Interesse der Beschwerdegegnerin an der Datenverarbeitung dem Geheimhaltungsanspruch des Beschwerdeführers gegenüberzustellen und ein allfälliges Überwiegen zu prüfen.

Dabei ist unter anderem auch auf die vernünftigen Erwartungen des Beschwerdeführers abzustellen, also insbesondere, ob er zum Zeitpunkt der Erhebung der Ausweisdaten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen konnte, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird (vgl. ErwG. 47 der DSGVO). Die Erfassung und Speicherung der Ausweisdaten zum Zwecke der Verteidigung von Rechtsansprüchen betreffend Postsendungen liegt jedenfalls innerhalb der allgemeinen Lebenserfahrung und war insoweit für den Beschwerdeführer auch leicht absehbar.

Zur konkreten Interessenabwägung ist überdies festzuhalten, dass gegenständlich keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, keine strafrechtlich relevanten Daten gemäß Art. 10 DSGVO und auch keine sonstigen personenbezogenen Daten verarbeitet wurden, die mit einem besonders intensiven Eingriff in das Grundrecht auf Geheimhaltung verbunden wären.

Die von der Beschwerdegegnerin verarbeiteten Datenkategorien sind keinesfalls überschießend und ist auch die Speicherdauer mit sechs Monaten keinesfalls als unverhältnismäßig anzusehen. Auch im Hinblick auf die Rechtsprechung des EuGH kann hier keine überschießende Datenverarbeitung erblickt werden: Die Verarbeitung war überdies sowohl hinsichtlich des Umfangs der verarbeiteten Daten als auch hinsichtlich der Speicherdauer auf das absolut Notwendigste (vgl. etwa EuGH 11.12.2014, C 212/13, Ryneš) beschränkt , da die Beschwerdegegnerin die Ausweisdaten für lediglich sechs Monate und somit nur für eine im Vorhinein klar bestimmte, nichtübermäßige Dauer speicherte.

D.3 Ergebnis:

Vor diesem Hintergrund kommt die Datenschutzbehörde zu dem Ergebnis, dass die berechtigten Interessen der Beschwerdegegnerin gegenüber den Grundrechten und Grundfreiheiten des Beschwerdeführers überwiegen und die Verarbeitung rechtmäßig auf Grundlage von „berechtigten Interessen“ nach Art. 6 Abs. 1 lit. f DSGVO erfolgte.

Die Beschwerde war somit spruchgemäß abzuweisen.