Datenschutzbericht 2020: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Zeile 212: Zeile 212:
 
== Fall 34/2020: Dienstvereinbarung Home-Office ==
 
== Fall 34/2020: Dienstvereinbarung Home-Office ==
 
== Fall 35/2020: Datenschutz in der “Corona-App” ==
 
== Fall 35/2020: Datenschutz in der “Corona-App” ==
 +
Nach Bedenken mehrerer Datenschützer entschied sich die Bundesregierung, eine App entwickeln zu lassen, die keinen Server braucht. Damit gibt es keinerlei zentrale Speicherung von Daten oder Gesundheitsständen.
 +
 +
Die "Corona-Warn-App" funktioniert also folgendermaßen: Im Normalbetrieb (Bluetooth einschalten!) werden regelmäßig andere Handys mit der Corona-App gesucht. Wird eines gefunden, tauscht man lediglich ein Datum aus, nämlich, ob der Besitzer des anderen Handys COVID-19-positiv getestet wurde. Das hat der (hoffentlich) gesichert durch einen Barcode, in die App eingegeben.
 +
 +
Ist eine Infektion gegeben, wird der Besitzer des Handys von der App gewarnt und gebeten, ebenfalls einen Test machen zu lassen. Anderenfalls werden die Identifikationsdaten der Handys nach 14 Tagen (der bisher bekannten Inkubationszeit) gelöscht. Namen und Anschriften sind dabei nie notwendig.
 +
 
== Fall 36/2020: Einführung eines Dokumentenmanagementsystems ==
 
== Fall 36/2020: Einführung eines Dokumentenmanagementsystems ==
  

Version vom 7. September 2020, 13:52 Uhr

Frank Werner

Inhaltsverzeichnis

Quartalsbericht Datenschutz 2020/I (01.01.2020 - 31.03.2020)

Fall 1/2020: Der Kampfhund in Facebook

Eine Bürgerin veröffentlichte Bilder von ihrem Kampfhund auf Facebook. Der Hund war aber nicht gemeldet. Darf das Ordnungsamt aufgrund der Bilder eingreifen?

Ja, denn wer selbst etwas veröffentlicht, der muss damit rechnen, dass diese Daten verwendet werden. Jeder ist über die eigenen Daten verfügungsberechtigt. Für die Weiterverwendung von selbst veröffentlichten Fotos gilt das allerdings nicht.

Fall 2/2020: Notfallversorgungshinweis

Die Benutzung von Erste-Hilfe-Kästen muss seit dem 01.01.2020 protokolliert werden. Die Protokolle landen alle beim Datenschutzbeauftragten. Ist das richtig?

Auf keinen Fall. Derlei Daten sind Gesundheitsdaten, also besondere Kategorien personenbezogener Daten und haben beim Datenschutzbeauftragten nichts verloren. Daten müssen auch vor dem DSB geschützt werden.

Fall 3/2020: Einwohnerumfrage

Für ein Autobahn-Bauprojekt sollte eine Umfrage unter den Bürgern durchgeführt werden. Sind dazu Auszüge aus dem Einwohnermeldewesen statthaft?

Nein, es gilt die Zweckbindung. Zweck der Speicherung von Einwohnerdaten ist allerdings nicht das Erstellen von Umfragen. In solchen Fällen rate ich immer zu einem allgemeinen Aufruf.

Fall 4/2020: Bürger schicken Fotos von Falschparkern

Anfrage eines Ordnungsamtes: eine Bürgerin hat Fotos von falsch parkenden Autos an das Ordnungsamt gesandt. Dürfen diese Fotos verwendet werden?

Zwar sind Nummernschilder, da durch sie indirekt auf eine Person geschlossen werden kann, personenbezogene Daten. Ein Auto verfügt als Sache aber nicht über ein Recht auf informelle Selbstbestimmung.

Tatsächlich ist das Fotografieren eines im öffentlichen Raum stehenden Fahrzeugs (inkl. Nummernschild übrigens) von der “Panorama-Freiheit” gedeckt. Begründet wird das damit, dass es dem “Normalbürger” in aller Regel nicht möglich ist, aufgrund des Nummernschildes eine Halterermittlung durchzuführen.

Wichtig ist, dass das Fahrzeug im öffentlichen Raum steht. Müssen zur Bildherstellung Hindernisse überwunden (Zäune, Mauern, Vorhänge) oder Luftfahrzeuge eingesetzt werden (Drohnen!), ist die Aufnahme selbstverständlich verboten!

Nachtrag: Inzwischen gibt es sogar eine App namens “Wegeheld” (vermutlich eine Anspielung auf “Wegegeld”), die diese Meldungen bündelt und an das Ordnungsamt sendet.

Fall 5/2020: Verarbeitungsverzeichnis MP-FEUER

Die Beschaffung eines Programms ist seit der EU-DSGVO stets mit einem Eintrag im Verarbeitungsverzeichnis verbunden. Das Verarbeitungsverzeichnis löste das frühere Verfahrensverzeichnis ab.

Der Unterschied besteht in der höheren Genauigkeit. Ein Verarbeitungsverzeichnis enthält, neben Namen und Kontaktdaten von Verantwortlichen, Vertretern und Datenschutzbeauftragten, die Zwecke der Verarbeitungen sowie die Kategorien der verarbeiteten Daten und der betroffenen Personen.

Artikel 30 EU-DSGVO schreibt ferner vor, Übermittlungen außerhalb der EU und die Empfänger der Daten anzugeben. Ferner sind Löschfristen und technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung anzugeben. Es empfiehlt sich übrigens, die Hersteller von Software zu fragen. Das spart nicht nur Arbeit, inzwischen gibt es viele Hersteller, die vorgefertigte Anträge angefertigt haben, die der Datenschutzbeauftragte in das Verarbeitungsverzeichnis einarbeiten kann.

Fall 6/2020: DSE Feuerwehr

Eine Feuerwehr fragte sich, ob in einer Datenschutzerklärung unter “Verantwortliche” der Name der Feuerwehr eingetragen werden muss.

Verantwortlich ist immer diejenige Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 EU-DSGVO). Da die Feuerwehren von der Kommune verwaltet werden, muss dort der Bürgermeister stehen.

Fall 7/2020: Dienstanweisung Datenschutz

Unangenehme “Nachforschungen” nach einer jungen Kollegin von jungen Männern haben eine Kommune letztendlich dazu bewogen, eine “Dienstanweisung Datenschutz” zu erlassen. Die Herren riefen über ein Meldeportal ab, wo die junge Dame wohnt und wer noch dort wohnt.

Natürlich ist das Verarbeitung personenbezogener Daten ohne Rechtsgrundlage auch ohne eine Dienstanweisung verboten. Es gibt sogar eine passende Vorschrift für genau diese Fälle. § 33 Absatz 1 Nummer 2 des Datenschutzgesetzes Nordrhein Westfalen bedroht genau diese Abrufe mit einer saftigen Geldstrafe bis zu 50.000.- €.

Die Kommune war jedoch der Meinung, eine entsprechende Dienstanweisung würde einer notwendigen Sensibilisierung nützen, was zu hoffen ist. Zwar werden gegen öffentliche Stellen keine Strafen verhängt (§ 33 Absatz 4), jedoch ist für illegale Abrufe nicht der Dienstherr haftbar. Denn die Verarbeitung veranlassten die jungen Kollegen, was sie selbst zu Verantwortlichen macht.

Die Dienstanweisung selbst darf die Regelungen der EU-DSGVO nicht wiederholen, sondern nur auf sie verweisen (Wiederholungsverbot). Insofern entstand eine Dienstanweisung, die lediglich “Lücken” auffüllen konnte, also genauere Regelungen für Verhältnisse, die die EU-DSGVO offen gelassen hat (“Öffnungsklauseln”).

Zur Sensibilisierung wurde der Kommune empfohlen, allen Zugriffsberechtigten zum Meldeportal eine Erklärung unterschreiben zu lassen. Damit erklären die Mitarbeiter, dass sie eine Belehrung über den § 33 erhalten und verstanden haben. Dass man anderen mit dienstlichen Mitteln nicht “hinterher forscht” sollte sich eigentlich - zumal im Öffentlichen Dienst - eigentlich von selbst verstehen.

Fall 8/2020: Darf den Nachbarn der Eigentümer eines Grundstücks übermittelt werden?

Ein Grundstücksbesitzer wollte, dass sein Nachbar seine Pflanzen zurück schneidet. Diese Pflanzen nahmen dem Beet des Grundstücksbesitzers das Licht.

Dummerweise war das Nachbargrundstück nicht bebaut und daher auch weder Briefkasten noch Klingel verfügbar. Bevor er sich zum Grundbuchamt begab, rief er den Datenschutzbeauftragten an.

Der ist zwar eigentlich für Bürgeranfragen nicht zuständig (Privatrecht = Bund), aber benannte Datenschützer werden trotzdem schon mal gebeten, eine Einschätzung abzugeben, um den Bürgern zu helfen. Da das auch durch das Gesetz gedeckt ist (§ 5 Rechtsdienstleistungsgesetz), ist Ärger mit örtlichen Anwälten nicht zu befürchten. Grundsätzlich sind die Kontaktdaten des Nachbarn natürlich personenbezogene Daten, jedenfalls, wenn das Grundstück einer Privatperson gehört (und nicht etwa einer Firma). Damit muss für die Herausgabe - eine Verarbeitungsart - eine Rechtsgrundlage bestehen (Erlaubnisvorbehalt).

Diese besteht in § 12 Absatz 1 der Grundbuchordnung. Hier ist geregelt, dass jeder eine Eigentümerauskunft erhält, der ein “berechtigtes Interesse” darlegt. Da die Güter des Antragstellers (Pflanzen) durch die wuchernden Pflanzen in Gefahr waren, sollte ein berechtigtes Interesse vorliegen.

So “bewaffnet” machte sich der Bürger auf den Weg zum Grundbuchamt und erhielt diese Auskunft.

Fall 9/2020: Unterschriftenpad: Wohin gehen die Daten?

Ein kritischer Bürger wollte wissen, was mit seiner Unterschrift passiert, die er auf einem “Pad”, einem Gerät mit Stift und druckempfindlichem Bildschirm (“Touchscreen”), geleistet hat.

Gemäß Artikel 15 wurde ihm sein Auskunftsrecht gewährt. Die Unterschrift wird verschlüsselt in seinem Datensatz des Einwohnermeldewesens gespeichert.

Fall 10/2020: Wann dürfen Jungwähler angeschrieben werden?

Im Fall 3/2020 wurde ermittelt, dass die EU-DSGVO es leider nicht erlaubt, die Meldedaten für andere administrative Zwecke zu verwenden. Als eine Anfrage aus der Politik kam, Jungwähler anzuschreiben und zur Kommunalwahl zu motivieren, schien dieselbe Antwort notwendig.

Tatsächlich ist das nicht der Fall. Das Bundesmeldegesetz erlaubt in § 50 die Auskunft über Jungwähler in den letzten sechs Monaten vor einer Wahl. Erlaubte Auskünfte sind Namen und Anschriften. Das genaue Geburtsdatum ist geheim. Die Anfrage darf aber alle Personen einschließen, die im entsprechenden Zeitraum volljährig werden (sog. qualifizierte Abfrage).

Fall 11/2020: Darf eine Auskunft über eine Beerdigung erteilt werden?

Eine Frau hatte sich mit ihren Eltern verkracht. Beide waren inzwischen verstorben als sie eine Anfrage an die Friedhofsverwaltung stellte. Sie wollte wissen, wo ihre Eltern genau beerdigt sind, um das Grab zu besuchen.

Eine andere Frau war in Sorge, dass eine Verwandte, die die Übernahme der Kosten einer Beerdigung versprochen hatte, diese auch beglichen hat.

Ein Japaner schrieb eine Stadtverwaltung an. Als Fan einer über Deutschland hinaus bekannten Kabarettisten-Gruppe wollte er wissen, ob der Gründer dieser Gruppe in der Stadt beerdigt ist, da er gern sein Grab besuchen wolle. Dürfen diese Auskünfte erteilt werden?

Tote Menschen sind - schlimm genug, aber unvermeidlich - rechtlich “Sachen” und haben damit keine eigenen Rechte mehr. Eine Leiche ist für Juristen ein Gegenstand. Folglich gilt auch der Datenschutz nicht mehr für Verstorbene. Im Fall der Frau, die das Grab ihrer Eltern besuchen wollte, konnte die Auskunft gegeben werden. Die Daten der Eltern sind auf einem Grabstein vorhanden und damit ohnehin öffentlich einsehbar. Durch systematisches Abgehen der wenigen städtischen Friedhöfe wäre sie ohnehin auf das Grab gestoßen.

Bei einem anonymen Grab hätte sie ein “berechtigtes Interesse” belegen müssen, was ihr als Tochter aber sicher gelungen wäre. Im zweiten Fall durfte das Friedhofsamt lediglich bestätigen, dass die Beerdigung bezahlt wurde. Von wem, ist nicht öffentlich. Auch hier liegt ein berechtigtes Interesse vor.

Im Falle des japanischen Fans hätte die Auskunft erteilt werden können, da, wie im ersten Fall, ein Grabstein mit vollem Namen vorhanden ist. Ferner handelt es sich um eine Person des öffentlichen Interesses wie bei vielen bekannten Künstlern. Der Künstler ist aber in seiner Heimatstadt nicht beerdigt, sondern in der nächsten Großstadt.

Friedhofsauskünfte sind immer ein unsicheres Terrain. Zwar haben die Verstorbenen selbst keine Rechte mehr, jedoch möglicherweise die Hinterbliebenen. Da ist im Einzelfall die Entscheidung schwierig. Einzelauskünfte werden i. d. R. gegeben. Gesamtauskünfte zum Aufbau von Datenbanken im Internet (z. B. Klaus Nerger oder Find-a-Grave) dagegen nicht.

Fall 12/2020: Ist eine DSE mit Formsolutions korrekt?

In einer Datenschutzerklärung erklärt der Verantwortliche, wie er welche Daten verarbeitet (Art. 13 EU-DSGVO). Das Programm “Formsolutions” ist ein Formulargenerator, der in vielen Kommunen eingesetzt wird. Eine Anfrage erreichte den Datenschutzbeauftragten, ob eine Datenschutzerklärung denn korrekt sei, wenn ihre “Anerkenntnis” elektronisch erfolgte.

Die Frage stellte sich eigentlich gar nicht. Denn eine Datenschutzerklärung muss nicht anerkannt werden, sondern nur erklärt. Das gilt nur für Einwilligungen, die hier aber gar nicht der Fall waren, da eine andere rechtliche Grundlage (Vertrag) bestand.

Fall 13/2020: Wie sieht ein Musterschild für eine Videoüberwachung aus?

Wer Gebiete per Video überwacht, greift gern auf vorgefertigte Schilder zurück. Diese sind z. B. in Baumärkten massenhaft vorhanden und werden auch gern gekauft und genutzt.

Leider reicht das nicht aus. Ein Kamerasymbol allein ist noch keine Datenschutzerklärung i. S. d. Art. 13 EU-DSGVO. Es fehlen z. B. Daten über die Verantwortlichen, den Zweck der Videoüberwachung und evtl. Übertragungen ins EU-Ausland.

Passende Schilder mit Erklärungen sind im Fachhandel zu finden. Ein einfaches Schild mit Kamera wird nicht mehr empfohlen. Auch wenn der Verantwortliche eine Übertragung ins EU-Ausland vehement bestritt, gab er doch zu, die Daten der Kamera gleich auf seine “Cloud” zu speichern und mit seinem Handy abzurufen. Er wollte die Bilder dadurch auch im Urlaub in Spanien abrufen können. Mit der Nutzung des Cloud-Dienstes und der Nutzung des Handys übermittelt er die Daten allerdings möglicherweise ins EU-Ausland. Die amerikanischen Firmen garantieren nämlich nicht, dass sie nur europäische Server nutzen.

Fall 14/2020: Aufnahmebogen Feuerwehr mit Gesundheitsangaben?

Nachwuchs für die Feuerwehr ist wichtig und so freute sich eine Freiwillige Feuerwehr über das Interesse einer ganzen Jugendgruppe. Als der Aufnahmeantrag vorlag, stutzte der Jugendgruppenleiter jedoch über die vielen Angaben zur Gesundheit seiner Mitglieder. “Zur Sicherheit” rief er beim Datenschutzbeauftragten an.

Angaben u. a. zur Gesundheit sind “Besondere Kategorien personenbezogener Daten” und besonders geschützt. Es bestehen besondere Anforderungen für Einwilligungen, rechtliche Grundlagen und Datenschutzerklärungen. Geht da alles mit rechten Dingen zu? Grundlage für die Verarbeitung von personenbezogenen Daten im Allgemeinen ist u. a. eine rechtliche Verpflichtung oder ein lebenswichtiges Interesse (Art. 6 Abs. 1 Bst. c und d EU-DSGVO). Für die Feuerwehren in Nordrhein Westfalen gilt das Gesetz über den Brandschutz, die Hilfeleistung und den Katastrophenschutz (BHKG).

Der § 46 Absatz 2 erlaubt ausdrücklich die Verarbeitung auch besonderer Kategorien personenbezogener Daten. Ferner gilt natürlich eine Sorgfaltspflicht des Dienstherrn gegenüber den Feuerwehrleuten bei gesundheitlichen Beeinträchtigungen. Der Dienst in der Feuerwehr ist mit starker körperlicher Belastung verbunden und der Dienstherr muss schon wissen, wer z. B. Vorerkrankungen hat. Eine Einwilligung ist daher nicht notwendig.

Die EU-DSGVO gebietet bei der Verarbeitung dieser Daten allerdings, dass sie durch Personal durchgeführt wird, das einer Geheimhaltungspflicht unterliegt. Das war der Feuerwehrverwaltung neu, wurde aber sofort nachgeholt in dem der Sachbearbeiter eine entsprechende Unterschrift leistete.

Fall 15/2020: Die Stunde des virtuellen Servers

Am Ende des ersten Quartals 2020 bildete sich schon deutlich die Gefahr einer Pandemie durch das Virus SARS-COV-2 ab, das weltweit für Infektionen sorgte. Um dem Schutz der Mitarbeiter/-innen nachzukommen, schickten fast alle Kommunalverwaltungen ihre Mitarbeiter kurzerhand in das “Home-Office”, also einen Arbeitsplatz zuhause.

IT-Leute erstellten auch, quasi “über Nacht”, ausreichende Server-Kapazitäten und Leitungen. Insgesamt zeigte sich, dass die Kommunalverwaltungen schnell und nachhaltig ein Problem lösen können, auf das sie sich nur wenig und kurz vorbereiten konnten. Damit ergaben sich auch neue Situationen für den Datenschutz, denn natürlich darf der Bauantrag des Nachbarn (auch hier) kein Thema am Abendbrot-Tisch sein. Problematisch war auch, dass es nicht ausreichend viele mobile Geräte gab und eine Massenschaffung nicht zweckmäßig war.

Die Kommunen lösten dieses Problem ziemlich elegant, in dem sie private Geräte einsetzen ließen. Die Datenverarbeitung auf privaten Geräten ist allerdings problematisch, da sich die Berechtigungen dem Zugriff der IT-Abteilung (und des Datenschutzes) entzieht.

So schlug die Stunde des “Virtuellen Desktops”. Diese Technik verbindet zwar ein Gerät mit einem Server, eine Datenverarbeitung auf dem Gerät findet aber nicht statt. Alle Programme und Daten bleiben auf dem dienstlichen Server und hinterlassen auf dem privaten Gerät keine Spuren.

Die Heimarbeiter wurden ferner darüber belehrt, dass die Zugriffe abgesichert sein müssen, keine Akten offen herumliegen und niemand bei der Verarbeitung “über die Schulter” schauen darf.

Fall 16/2020: Datenschutz bei Seuchengefahr

Ein Bürgermeister stellte die grundsätzliche Frage, was denn bei Pandemien erlaubt sei und ob es bestimmte Vorschriften auch für den Datenschutz gibt.

Tatsächlich gibt es den Begriff der “schwerwiegenden grenzüberschreitenden Gesundheitsgefahr” in der EU-DSGVO, wie eine Pandemie dort genannt wird. Er steht im Art. 9, Absatz 2, Buchstabe i der sich mit den “Besonderen Kategorien personenbezogener Daten” befasst.

In diesen Fällen ist die Verarbeitung dieser empfindlichen Daten erlaubt (siehe auch Fall 20/2020). Natürlich müssen auch die weiteren Rahmenbedingungen erfüllt sein.

Fall 17/2020: Datenschutz im Botendienst

Zum Austausch von Dokumenten wurde in einer Kommune ein eigener Botendienst eingerichtet. Dieser sollte dringende Akten (z. B. Jugendamt, Sozialamt) schnell zwischen den “Home-Offices” transportieren. Ist datenschutzmäßig dagegen etwas einzuwenden? Grundsätzlich nicht. Wenn diese Akten allerdings unverschlossen transportiert würden, wäre theoretisch die Möglichkeit gegeben, dass der Bote in diese Akten hineinsieht. Das wäre eine “Übermittlung durch Offenlegung” (Art. 4 Nr. 2) und damit eine Verarbeitung.

Dafür besteht aber keine Rechtsgrundlage, da der Bote für den Transport und die Zustellung i. d. R. nicht den Inhalt der Akten kennen muss. Daher müssen die Akten verschlossen transportiert werden. Da das auch die Adressierung mehrerer Akten erleichterte, wurde der Vorschlag angenommen.

Fall 18/2020: Homeoffice ab 23.03.2020

Auch der Datenschutzbeauftragte ging ins Home-Office, was ein paar Änderungen nach sich zog. Nachdem der Büroarbeitsplatz zu Hause durch neue Möbel und Geräte ein wenig “runderneuert” wurde, ging die Arbeit routiniert von der Hand. Durch die “Abgeschiedenheit” der heimischen Wohnung (ohne Mitbewohner) wurden Datenschutz-Telefonate länger und vertraulicher.

Eine Videokonferenz und mehrere Online-Seminare ließen sich technisch sehr gut darstellen. Angeschafft wurde ein neuer Monitor, der über eine schwenkbare Kamera verfügt. Auch eine “Freisprechanlage” erweiterte die Möglichkeiten des Dienstcomputers (eines kleinen Notebooks) erheblich. Kamera und Mikrofone lassen sich physikalisch verdecken bzw. abschalten.

Risikoloses Testen im eigenen Netzwerk erlaubten auch endlich die Fertigstellung von “EUGEN”, einem Programm, das durch Frage und Antwort versucht, einen Datenschutzfall einzuschätzen und einen kurzen Bericht zu generieren.

Die Website wurde im gesamten ersten Quartal überarbeitet und soll einen “Wissenscontainer” für Datenschutz werden. Grundlagen, Fälle und Urteile sollen dort mit aktuellen Entscheidungen kombiniert ein Nachschlagewerk bilden.

Fall 19/2020: Firmendaten wurden versandt

Aus einer Kommune wurde eine vermeintliche Datenpanne gemeldet. Eine Kollegin hatte in einer E-Mail an alle Firmen der Stadt irrtümlich allen alle E-Mail-Adressen offen gelegt. Eine solche Offenlegung ist eine Verarbeitung und sie entbehrt jeder Grundlage, erfordert also eine Einwilligung von allen Firmen.

Die Kollegin hatte aber tatsächlich keinen Datenschutz-Verstoß begangen. Die E-Mail-Adressen der Firmen waren durchgängig so genannte “Funktionsadressen”. Damit sind E-Mail-Adressen gemeint, die keine Namen, also keine personenbezogenen Daten enthalten. Anstatt also karin.muster@abc-gmbh.de zu adressieren, ging die E-Mail an Adressen wie sekretariat@... oder ähnliche. Keine der Adressen enthielt einen Namen. Firmen als juristische Personen genießen keinen Datenschutz. Die vermeintliche Datenpanne war also gar keine.

Dennoch gelobte die Kollegin künftig vorsichtiger zu sein und im E-Mail-Programm anstelle des Feldes “CC:” (“Carbon Copy”) lieber das Feld “BCC:” (“Blind Carbon Copy”) zu benutzen, welches die Adressen nicht offen legt.

Fall 20/2020: Einrichtung einer “Corona”-Hotline

Am Ende des ersten Quartals war auch “Corona” nochmal Thema. Eine Kommune rief beim Datenschutzbeauftragten an und fragte, ob die Einrichtung einer “Corona-Hotline” datenschutzrechtlich in Ordnung sei. Die Bürger sollten sich dort melden, wenn sie Krankheitssymptome haben oder einfach, wenn sie Informationen brauchten.

Die Erfassung der Symptome sollte in einer “Excel-Tabelle” erfolgen, also einem normalerweise ungeschützten Dokument. Die Verarbeitung dieser Gesundheitsdaten - wie erwähnt, “Personenbezogene Daten besonderer Kategorien” - sollte aber wenigstens verschlüsselt erfolgen.

Hier reicht ein einfaches Passwort beim Abspeichern nicht aus, da der Aufwand, diese einfach Verschlüsselung aufzubrechen in keinem Verhältnis zu den dann entdeckbaren Daten steht (nämlich “Wer hat alles möglicherweise Covid-19?”).

Man einigte sich darauf, als Sofortmaßnahme dennoch eine Speicherung per Kennwort (und viele Datensicherungen) zu erstellen. Spätere Maßnahmen sollten dann eine echte, verschlüsselte Datenbank entstehen lassen.

Quartalsbericht Datenschutz 2020/II (01.04.2020 - 30.06.2020)

Fall 21/2020: Einstellungsgespräche per Video?

Das “Corona-Quartal” begann mit den Erklärungen der Ministerpräsidenten von Bayern und Nordrhein-Westfalen, in denen beide ihre Maßnahmen zum Schutz der Bevölkerung erklärten.

Die Reproduktionszahl R lag bei fast 3 (100 Menschen steckten also durchschnittlich 300 Menschen an), Italiens Gesundheitssystem brach gerade unter seiner Last zusammen, die Lombardei um Mailand wurde komplett abgeriegelt, so dass dringend etwas unternommen werden musste, wollte man diese Verhältnisse nicht in Deutschland haben.

Bayern antwortete mit einer weitgehenden Ausgangssperre, Nordrhein Westfalen mit einer Kontaktsperre. Fernwartung, Home-Office, Videokonferenzen - auf einmal war Technik dringend notwendig, über die vorher Jahre lang diskutiert wurde. Vor diesem Hintergrund erhielt ich mehrere Anfragen, ob ein Bewerbungsgespräch auch über Videokonferenzen stattfinden könne. Anders wären Bewerber in den Kommunen nicht ausreichend schnell auswählbar gewesen und alle Bewerber hatten die entsprechenden technischen Möglichkeiten.

Fall 22/2020: Verdienstausfall Feuerwehr: was darf gefragt werden?

Fall 23/2020: Videointerviews mit Bürgern auf Website

Fall 24/2020: Einverständniserklärung Musikschule

Fall 26/2020: Koppelung zweier Computernetzwerke

Eine Verwaltungsabteilung wollte ihre Netzwerke zusammenschalten. Das ermöglicht gemeinsame Sicherungen, gemeinsame Sicherheit und weniger Aufwand, gemeinhin als “Synergie-Effekte” bekannt.

Dass der Datenschutz zur Sache befragt wurde, ehrt zwar die Netzwerkverwalter. Da aber niemandem neue Daten bekannt wurden, fand auch keine Verarbeitung personenbezogener Daten statt. Die bisherigen Verwalter waren bereits auf den Datenschutz verpflichtet worden.

Fall 27/2020: Datenschutzerklärungen der Feuerwehr (Einsatz/Mitgliederwerbung)

Fall 28/2020: Eigene DA Datenschutz für Meldeportal?

Fall 29/2020: Daten für Einsprüche im Rat offen?

Fall 30/2020: Recht auf Vergessen beim Essen

Die Nachwirkungen der Corona-Pandemie waren auch noch im 3. Quartal spürbar. Restaurants durften wieder öffnen, wenn die Gäste Namen und Anschriften hinterließen. Im Infektionsfall sollte dann schneller Kontakt aufgenommen werden können.

Datenschutzrechtlich sind zwei Regeln besonders zu beachten: die Zweckbindung und das “Recht auf Vergessen”. Die im Restaurant erhobenen Daten dürfen natürlich nicht für andere Zwecke genutzt werden (Werbung? Nein!). Ferner müssen sie nach vier Wochen gelöscht, bzw. vernichtet werden.

Auf Listen sollte man übrigens verzichten. Man deckt damit die Daten aller am Tisch sitzenden gegenüber allen anderen auf. Das ist nicht jedem Recht und außerdem ohne Weiteres nicht erlaubt. Einzelne Zettel sind besser.

Fall 31/2020: Anfrage zum datenschutzgerechten Einsatz von MICROSOFT TEAMS

Die immer noch andauernde Pandemie führte auch dazu, dass Dienstreisen aus Sicherheitsgründen abgesagt und durch Videokonferenzen ersetzt wurden. Eine Kommune wollte das Produkt Microsoft Teams einsetzen und fragte nach der Sicherheit im Datenschutz.

Die Firma Microsoft veröffentlichte eine entsprechende Erklärung. Die Daten werden laut Datenschutzerklärung nicht weiter verwendet. Da stellt sich zwar die Frage nach dem Nutzen für den Hersteller, ein kostenloses Programm abzugeben. Die Überprüfung des Wahrheitsgehalts ist allerdings für Datenschützer nicht möglich.

Microsoft Teams entspricht dem Datenschutzrecht, auch wenn Kritik geäußert wird.

  • Sichere Videokonferenzen gibt es hier (Eigene Meldung, 09.07.2020).

Fall 32/2020: Fotos von städtischen Unterkünften in Facebook?

Ein Mitarbeiter der Flüchtlingshilfe hat Fotos aus einer städtischen Unterkunft in einem sozialen Netzwerk veröffentlicht. Menschen sind darauf allerdings nicht zu sehen. Die Frage, ob das zulässig ist, ist allerdings keine des Datenschutzrechts.

Fall 33/2020: Beschwerdeführer namentlich nennen?

Fall 34/2020: Dienstvereinbarung Home-Office

Fall 35/2020: Datenschutz in der “Corona-App”

Nach Bedenken mehrerer Datenschützer entschied sich die Bundesregierung, eine App entwickeln zu lassen, die keinen Server braucht. Damit gibt es keinerlei zentrale Speicherung von Daten oder Gesundheitsständen.

Die "Corona-Warn-App" funktioniert also folgendermaßen: Im Normalbetrieb (Bluetooth einschalten!) werden regelmäßig andere Handys mit der Corona-App gesucht. Wird eines gefunden, tauscht man lediglich ein Datum aus, nämlich, ob der Besitzer des anderen Handys COVID-19-positiv getestet wurde. Das hat der (hoffentlich) gesichert durch einen Barcode, in die App eingegeben.

Ist eine Infektion gegeben, wird der Besitzer des Handys von der App gewarnt und gebeten, ebenfalls einen Test machen zu lassen. Anderenfalls werden die Identifikationsdaten der Handys nach 14 Tagen (der bisher bekannten Inkubationszeit) gelöscht. Namen und Anschriften sind dabei nie notwendig.

Fall 36/2020: Einführung eines Dokumentenmanagementsystems

Quartalsbericht Datenschutz 2020/III (01.07.2020 - 30.09.2020)

Fall 37/2020: Umfrage des BMBF zur Verkehrsmittelnutzung

Eine Kommune möchte eine Umfrage zur Verkehrsmittelnutzung des Bundesministeriums für Bildung und Forschung (BMBF) durchführen. Als Datenbasis soll eine qualifizierte Abfrage aus dem Einwohnermeldewesen erfolgen.

Es wird ein privates Unternehmen beauftragt. Die Frage ist in diesem Zusammenhang auch, ob aus datenschutzrechtlichen Gründen diese Abfrage durch die Kommunen geschehen muss oder durch das externe Unternehmen bzw. ob der Versand entsprechender Anschreiben durch das Unternehmen erfolgen kann oder durch die Kommune.

Die EU-DSGVO regelt nicht explizit die Übermittlungen zwischen öffentlichen und privaten Organisationen. Erst wenn Daten die EU verlassen, greifen Regelungen der EU. Also gilt es, das Datenschutzgesetz Nordrhein Westfalen (DSG NW) zu lesen.

Fall 38/2020: Fehlgeleitete E-Mail erregt Befangenheitsverdacht

Eine Gemeinde meldet einen Datenschutzverstoß, in den die Aufsichtsbehörde bereits eingeschaltet ist. Man will mir die Unterlagen senden.

Der Sachverhalt ergab eine Beschwerde über eine illegale Entsorgung von Müll in einem Naturschutzgebiet. Die Beschwerdeführer konnten den Müll selbst als zu einem Haus gehörig identifizieren, das sie kürzlich verkauften.

Datenschutzrechtlich interessant wird erst der Vorwurf der Beschwerdeführer, ihre diesbezügliche (datengeschützte) E-Mail mit dem Wunsch der Anonymität sei an andere versendet worden.

Anlass war eine versehentlich von der Sachbearbeiterin an die Beschwerdeführer versandte E-Mail mit dem Hinweis, sie, die Sachbearbeiterin “wisse nicht mehr, was sie [den Beschwerdeführern] noch schreiben solle”.

Da die Sachbearbeiterin in ihrem öffentlichen Profil außerdem mutmaßlich eine “Facebook-Freundschaft” mit der Tochter der mutmaßlichen Verursacher verbindet, kam bei den Beschwerdeführern der Verdacht auf, die Sachbearbeiterin könnte die E-Mails dieser Tochter zugänglich gemacht haben. Soweit die Vorwürfe.

Der Verdacht ließ sich aber nicht erhärten. Es gibt keine Beweise für eine Weiterleitung der E-Mail. Die Beschwerdeführer erbringen auch keine weiteren Hinweise oder Indizien. Die vorhandenen Indizien reichen m. E. nicht aus, so dass die Unschuldsvermutung hier greift.

Vermutlich war die versehentlich an die Beschwerdeführer gegangene E-Mail an die Vorgesetzten der Sachbearbeiterin gegangen, da sie Hilfe erbat. Diese Version wird von der Sachbearbeiterin erklärt und diese Version erscheint mir aus eigener Berufspraxis auch glaubhaft.

Es handelt sich daher m. E. nicht um eine Offenlegung durch Übermittlung i. S. d. Art. 4 Nr. 2 der EU-DSGVO. Ich sehe daher keinen Datenschutzverstoß.

Fall 39/2020: Analogfunk nicht mehr datenschutzgemäß

Eine OGS sucht abhörsichere Walkie-Talkies, die wenigstens das Erdgeschoss der Schule abdecken (ca. 400 m).

https://geizhals.de/stabo-freecomm-700-20700-a1409885.html?hloc=at&hloc=de

Verschlüsselung ist bei Walkie-Talkies nicht möglich. Es werden aber lt. der Leiterin auch personenbezogene Daten der Schüler ausgetauscht. Daher können Walkie-Talkies nicht empfohlen werden.

Walkie-Talkies werden heute nach und nach durch Apps auf dem Mobiltelefon ersetzt. Einige sind sehr datensicher. Möglich wäre vielleicht “JITSI” (für Android oder iPhone).

Am einfachsten wären allerdings z. B. Sprachnachrichten auf bekannten Apps. Damit könnte WhatsApp gemeint sein oder - datenschutzrechtlich unbedenklicher - Signal.

Fall 40/2020: Spam-Mails mit Virusanhang?

Ein Ratsmitglied rief an und teilte mit, der Nachbar (ebenfalls ein Ratsmitglied) habe merkwürdige E-Mails von den Stadtwerken erhalten. Der Text der E-Mail enthielt nur vage Andeutungen und der Anhang ergäbe Näheres.

Aus Sicherheitsgründen habe niemand den Anhang geöffnet. Ich erbat eine Kopie der E-Mail und lag mit einem Verdacht richtig: es handelte sich um das derzeit grassierende EMOTET-Virus.

Das Tückische an diesem Virus-Programm ist, dass es sich in den Hintergrund einbaut und die Texte der Opfer “belauscht”. Dann werden ganze Textpassagen kopiert und eine E-Mail generiert. Sinn der Strategie ist es, einen möglichst authentisch wirkenden Text zu generieren, der Vertrauen schafft.

Fall 41/2020: Ist die Speicherung von Geschäftsdokumenten auf einem gemeinsamen Projektserver datenschutzrechtlich bedenklich?

Ein Kollege fragt an, ob es Bedenken gäbe, Dokumente eines gemeinsamen Projekts auf einem Server zu speichern, auf den mehrere Firmen Zugriff erhalten. Datenschutzrechtlich handelt es sich um eine Offenlegung.

Allerdings geht es in den Geschäftsunterlagen nach Angaben des Kollegen nur um projektinterne Daten. Dort ist niemand persönlich aufgeführt, jedenfalls nicht so, dass man Rückschlüsse auf eine bestimmte Person führen könnte.

Daher bestehen von hier aus keine Bedenken.