Datenschutzbericht 2020: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Zeile 225: Zeile 225:
  
 
== Fall 34/2020: Dienstvereinbarung Home-Office ==
 
== Fall 34/2020: Dienstvereinbarung Home-Office ==
 +
Eine Dienstvereinbarung zum Homeoffice kann Regelungen zum Datenschutz beinhalten. Hier ist es üblich, Akten verschlossen zu transportieren und Mitbewohner/-innen weder Einsicht in die Akten noch in den Computer zu gewähren.
 +
 
== Fall 35/2020: Datenschutz in der “Corona-App” ==
 
== Fall 35/2020: Datenschutz in der “Corona-App” ==
 
Nach Bedenken mehrerer Datenschützer entschied sich die Bundesregierung, eine App entwickeln zu lassen, die keinen Server braucht. Damit gibt es keinerlei zentrale Speicherung von Daten oder Gesundheitsständen.
 
Nach Bedenken mehrerer Datenschützer entschied sich die Bundesregierung, eine App entwickeln zu lassen, die keinen Server braucht. Damit gibt es keinerlei zentrale Speicherung von Daten oder Gesundheitsständen.

Version vom 19. Oktober 2021, 07:58 Uhr

Frank Werner

Inhaltsverzeichnis

Quartalsbericht Datenschutz 2020/I (01.01.2020 - 31.03.2020)

Fall 1/2020: Der Kampfhund in Facebook

Eine Bürgerin veröffentlichte Bilder von ihrem Kampfhund auf Facebook. Der Hund war aber nicht gemeldet. Darf das Ordnungsamt aufgrund der Bilder eingreifen?

Ja, denn wer selbst etwas veröffentlicht, der muss damit rechnen, dass diese Daten verwendet werden. Jeder ist über die eigenen Daten verfügungsberechtigt. Für die Weiterverwendung von selbst veröffentlichten Fotos gilt das allerdings nicht.

Fall 2/2020: Notfallversorgungshinweis

Die Benutzung von Erste-Hilfe-Kästen muss seit dem 01.01.2020 protokolliert werden. Die Protokolle landen alle beim Datenschutzbeauftragten. Ist das richtig?

Auf keinen Fall. Derlei Daten sind Gesundheitsdaten, also besondere Kategorien personenbezogener Daten und haben beim Datenschutzbeauftragten nichts verloren. Daten müssen auch vor dem DSB geschützt werden.

Fall 3/2020: Einwohnerumfrage

Für ein Autobahn-Bauprojekt sollte eine Umfrage unter den Bürgern durchgeführt werden. Sind dazu Auszüge aus dem Einwohnermeldewesen statthaft?

Nein, es gilt die Zweckbindung. Zweck der Speicherung von Einwohnerdaten ist allerdings nicht das Erstellen von Umfragen. In solchen Fällen rate ich immer zu einem allgemeinen Aufruf.

Fall 4/2020: Bürger schicken Fotos von Falschparkern

Anfrage eines Ordnungsamtes: eine Bürgerin hat Fotos von falsch parkenden Autos an das Ordnungsamt gesandt. Dürfen diese Fotos verwendet werden?

Zwar sind Nummernschilder, da durch sie indirekt auf eine Person geschlossen werden kann, personenbezogene Daten. Ein Auto verfügt als Sache aber nicht über ein Recht auf informelle Selbstbestimmung.

Tatsächlich ist das Fotografieren eines im öffentlichen Raum stehenden Fahrzeugs (inkl. Nummernschild übrigens) von der “Panorama-Freiheit” gedeckt. Begründet wird das damit, dass es dem “Normalbürger” in aller Regel nicht möglich ist, aufgrund des Nummernschildes eine Halterermittlung durchzuführen.

Wichtig ist, dass das Fahrzeug im öffentlichen Raum steht. Müssen zur Bildherstellung Hindernisse überwunden (Zäune, Mauern, Vorhänge) oder Luftfahrzeuge eingesetzt werden (Drohnen!), ist die Aufnahme selbstverständlich verboten!

Nachtrag: Inzwischen gibt es sogar eine App namens “Wegeheld” (vermutlich eine Anspielung auf “Wegegeld”), die diese Meldungen bündelt und an das Ordnungsamt sendet.

Fall 5/2020: Verarbeitungsverzeichnis MP-FEUER

Die Beschaffung eines Programms ist seit der EU-DSGVO stets mit einem Eintrag im Verarbeitungsverzeichnis verbunden. Das Verarbeitungsverzeichnis löste das frühere Verfahrensverzeichnis ab.

Der Unterschied besteht in der höheren Genauigkeit. Ein Verarbeitungsverzeichnis enthält, neben Namen und Kontaktdaten von Verantwortlichen, Vertretern und Datenschutzbeauftragten, die Zwecke der Verarbeitungen sowie die Kategorien der verarbeiteten Daten und der betroffenen Personen.

Artikel 30 EU-DSGVO schreibt ferner vor, Übermittlungen außerhalb der EU und die Empfänger der Daten anzugeben. Ferner sind Löschfristen und technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung anzugeben. Es empfiehlt sich übrigens, die Hersteller von Software zu fragen. Das spart nicht nur Arbeit, inzwischen gibt es viele Hersteller, die vorgefertigte Anträge angefertigt haben, die der Datenschutzbeauftragte in das Verarbeitungsverzeichnis einarbeiten kann.

Fall 6/2020: DSE Feuerwehr

Eine Feuerwehr fragte sich, ob in einer Datenschutzerklärung unter “Verantwortliche” der Name der Feuerwehr eingetragen werden muss.

Verantwortlich ist immer diejenige Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 EU-DSGVO). Da die Feuerwehren von der Kommune verwaltet werden, muss dort der Bürgermeister stehen.

Fall 7/2020: Dienstanweisung Datenschutz

Unangenehme “Nachforschungen” nach einer jungen Kollegin von jungen Männern haben eine Kommune letztendlich dazu bewogen, eine “Dienstanweisung Datenschutz” zu erlassen. Die Herren riefen über ein Meldeportal ab, wo die junge Dame wohnt und wer noch dort wohnt.

Natürlich ist das Verarbeitung personenbezogener Daten ohne Rechtsgrundlage auch ohne eine Dienstanweisung verboten. Es gibt sogar eine passende Vorschrift für genau diese Fälle. § 33 Absatz 1 Nummer 2 des Datenschutzgesetzes Nordrhein Westfalen bedroht genau diese Abrufe mit einer saftigen Geldstrafe bis zu 50.000.- €.

Die Kommune war jedoch der Meinung, eine entsprechende Dienstanweisung würde einer notwendigen Sensibilisierung nützen, was zu hoffen ist. Zwar werden gegen öffentliche Stellen keine Strafen verhängt (§ 33 Absatz 4), jedoch ist für illegale Abrufe nicht der Dienstherr haftbar. Denn die Verarbeitung veranlassten die jungen Kollegen, was sie selbst zu Verantwortlichen macht.

Die Dienstanweisung selbst darf die Regelungen der EU-DSGVO nicht wiederholen, sondern nur auf sie verweisen (Wiederholungsverbot). Insofern entstand eine Dienstanweisung, die lediglich “Lücken” auffüllen konnte, also genauere Regelungen für Verhältnisse, die die EU-DSGVO offen gelassen hat (“Öffnungsklauseln”).

Zur Sensibilisierung wurde der Kommune empfohlen, allen Zugriffsberechtigten zum Meldeportal eine Erklärung unterschreiben zu lassen. Damit erklären die Mitarbeiter, dass sie eine Belehrung über den § 33 erhalten und verstanden haben. Dass man anderen mit dienstlichen Mitteln nicht “hinterher forscht” sollte sich eigentlich - zumal im Öffentlichen Dienst - eigentlich von selbst verstehen.

Fall 8/2020: Darf den Nachbarn der Eigentümer eines Grundstücks übermittelt werden?

Ein Grundstücksbesitzer wollte, dass sein Nachbar seine Pflanzen zurück schneidet. Diese Pflanzen nahmen dem Beet des Grundstücksbesitzers das Licht.

Dummerweise war das Nachbargrundstück nicht bebaut und daher auch weder Briefkasten noch Klingel verfügbar. Bevor er sich zum Grundbuchamt begab, rief er den Datenschutzbeauftragten an.

Der ist zwar eigentlich für Bürgeranfragen nicht zuständig (Privatrecht = Bund), aber benannte Datenschützer werden trotzdem schon mal gebeten, eine Einschätzung abzugeben, um den Bürgern zu helfen. Da das auch durch das Gesetz gedeckt ist (§ 5 Rechtsdienstleistungsgesetz), ist Ärger mit örtlichen Anwälten nicht zu befürchten. Grundsätzlich sind die Kontaktdaten des Nachbarn natürlich personenbezogene Daten, jedenfalls, wenn das Grundstück einer Privatperson gehört (und nicht etwa einer Firma). Damit muss für die Herausgabe - eine Verarbeitungsart - eine Rechtsgrundlage bestehen (Erlaubnisvorbehalt).

Diese besteht in § 12 Absatz 1 der Grundbuchordnung. Hier ist geregelt, dass jeder eine Eigentümerauskunft erhält, der ein “berechtigtes Interesse” darlegt. Da die Güter des Antragstellers (Pflanzen) durch die wuchernden Pflanzen in Gefahr waren, sollte ein berechtigtes Interesse vorliegen.

So “bewaffnet” machte sich der Bürger auf den Weg zum Grundbuchamt und erhielt diese Auskunft.

Fall 9/2020: Unterschriftenpad: Wohin gehen die Daten?

Ein kritischer Bürger wollte wissen, was mit seiner Unterschrift passiert, die er auf einem “Pad”, einem Gerät mit Stift und druckempfindlichem Bildschirm (“Touchscreen”), geleistet hat.

Gemäß Artikel 15 wurde ihm sein Auskunftsrecht gewährt. Die Unterschrift wird verschlüsselt in seinem Datensatz des Einwohnermeldewesens gespeichert.

Fall 10/2020: Wann dürfen Jungwähler angeschrieben werden?

Im Fall 3/2020 wurde ermittelt, dass die EU-DSGVO es leider nicht erlaubt, die Meldedaten für andere administrative Zwecke zu verwenden. Als eine Anfrage aus der Politik kam, Jungwähler anzuschreiben und zur Kommunalwahl zu motivieren, schien dieselbe Antwort notwendig.

Tatsächlich ist das nicht der Fall. Das Bundesmeldegesetz erlaubt in § 50 die Auskunft über Jungwähler in den letzten sechs Monaten vor einer Wahl. Erlaubte Auskünfte sind Namen und Anschriften. Das genaue Geburtsdatum ist geheim. Die Anfrage darf aber alle Personen einschließen, die im entsprechenden Zeitraum volljährig werden (sog. qualifizierte Abfrage).

Fall 11/2020: Darf eine Auskunft über eine Beerdigung erteilt werden?

Eine Frau hatte sich mit ihren Eltern verkracht. Beide waren inzwischen verstorben als sie eine Anfrage an die Friedhofsverwaltung stellte. Sie wollte wissen, wo ihre Eltern genau beerdigt sind, um das Grab zu besuchen.

Eine andere Frau war in Sorge, dass eine Verwandte, die die Übernahme der Kosten einer Beerdigung versprochen hatte, diese auch beglichen hat.

Ein Japaner schrieb eine Stadtverwaltung an. Als Fan einer über Deutschland hinaus bekannten Kabarettisten-Gruppe wollte er wissen, ob der Gründer dieser Gruppe in der Stadt beerdigt ist, da er gern sein Grab besuchen wolle. Dürfen diese Auskünfte erteilt werden?

Tote Menschen sind - schlimm genug, aber unvermeidlich - rechtlich “Sachen” und haben damit keine eigenen Rechte mehr. Eine Leiche ist für Juristen ein Gegenstand. Folglich gilt auch der Datenschutz nicht mehr für Verstorbene. Im Fall der Frau, die das Grab ihrer Eltern besuchen wollte, konnte die Auskunft gegeben werden. Die Daten der Eltern sind auf einem Grabstein vorhanden und damit ohnehin öffentlich einsehbar. Durch systematisches Abgehen der wenigen städtischen Friedhöfe wäre sie ohnehin auf das Grab gestoßen.

Bei einem anonymen Grab hätte sie ein “berechtigtes Interesse” belegen müssen, was ihr als Tochter aber sicher gelungen wäre. Im zweiten Fall durfte das Friedhofsamt lediglich bestätigen, dass die Beerdigung bezahlt wurde. Von wem, ist nicht öffentlich. Auch hier liegt ein berechtigtes Interesse vor.

Im Falle des japanischen Fans hätte die Auskunft erteilt werden können, da, wie im ersten Fall, ein Grabstein mit vollem Namen vorhanden ist. Ferner handelt es sich um eine Person des öffentlichen Interesses wie bei vielen bekannten Künstlern. Der Künstler ist aber in seiner Heimatstadt nicht beerdigt, sondern in der nächsten Großstadt.

Friedhofsauskünfte sind immer ein unsicheres Terrain. Zwar haben die Verstorbenen selbst keine Rechte mehr, jedoch möglicherweise die Hinterbliebenen. Da ist im Einzelfall die Entscheidung schwierig. Einzelauskünfte werden i. d. R. gegeben. Gesamtauskünfte zum Aufbau von Datenbanken im Internet (z. B. Klaus Nerger oder Find-a-Grave) dagegen nicht.

Fall 12/2020: Ist eine DSE mit Formsolutions korrekt?

In einer Datenschutzerklärung erklärt der Verantwortliche, wie er welche Daten verarbeitet (Art. 13 EU-DSGVO). Das Programm “Formsolutions” ist ein Formulargenerator, der in vielen Kommunen eingesetzt wird. Eine Anfrage erreichte den Datenschutzbeauftragten, ob eine Datenschutzerklärung denn korrekt sei, wenn ihre “Anerkenntnis” elektronisch erfolgte.

Die Frage stellte sich eigentlich gar nicht. Denn eine Datenschutzerklärung muss nicht anerkannt werden, sondern nur erklärt. Das gilt nur für Einwilligungen, die hier aber gar nicht der Fall waren, da eine andere rechtliche Grundlage (Vertrag) bestand.

Fall 13/2020: Wie sieht ein Musterschild für eine Videoüberwachung aus?

Wer Gebiete per Video überwacht, greift gern auf vorgefertigte Schilder zurück. Diese sind z. B. in Baumärkten massenhaft vorhanden und werden auch gern gekauft und genutzt.

Leider reicht das nicht aus. Ein Kamerasymbol allein ist noch keine Datenschutzerklärung i. S. d. Art. 13 EU-DSGVO. Es fehlen z. B. Daten über die Verantwortlichen, den Zweck der Videoüberwachung und evtl. Übertragungen ins EU-Ausland.

Passende Schilder mit Erklärungen sind im Fachhandel zu finden. Ein einfaches Schild mit Kamera wird nicht mehr empfohlen. Auch wenn der Verantwortliche eine Übertragung ins EU-Ausland vehement bestritt, gab er doch zu, die Daten der Kamera gleich auf seine “Cloud” zu speichern und mit seinem Handy abzurufen. Er wollte die Bilder dadurch auch im Urlaub in Spanien abrufen können. Mit der Nutzung des Cloud-Dienstes und der Nutzung des Handys übermittelt er die Daten allerdings möglicherweise ins EU-Ausland. Die amerikanischen Firmen garantieren nämlich nicht, dass sie nur europäische Server nutzen.

Fall 14/2020: Aufnahmebogen Feuerwehr mit Gesundheitsangaben?

Nachwuchs für die Feuerwehr ist wichtig und so freute sich eine Freiwillige Feuerwehr über das Interesse einer ganzen Jugendgruppe. Als der Aufnahmeantrag vorlag, stutzte der Jugendgruppenleiter jedoch über die vielen Angaben zur Gesundheit seiner Mitglieder. “Zur Sicherheit” rief er beim Datenschutzbeauftragten an.

Angaben u. a. zur Gesundheit sind “Besondere Kategorien personenbezogener Daten” und besonders geschützt. Es bestehen besondere Anforderungen für Einwilligungen, rechtliche Grundlagen und Datenschutzerklärungen. Geht da alles mit rechten Dingen zu? Grundlage für die Verarbeitung von personenbezogenen Daten im Allgemeinen ist u. a. eine rechtliche Verpflichtung oder ein lebenswichtiges Interesse (Art. 6 Abs. 1 Bst. c und d EU-DSGVO). Für die Feuerwehren in Nordrhein Westfalen gilt das Gesetz über den Brandschutz, die Hilfeleistung und den Katastrophenschutz (BHKG).

Der § 46 Absatz 2 erlaubt ausdrücklich die Verarbeitung auch besonderer Kategorien personenbezogener Daten. Ferner gilt natürlich eine Sorgfaltspflicht des Dienstherrn gegenüber den Feuerwehrleuten bei gesundheitlichen Beeinträchtigungen. Der Dienst in der Feuerwehr ist mit starker körperlicher Belastung verbunden und der Dienstherr muss schon wissen, wer z. B. Vorerkrankungen hat. Eine Einwilligung ist daher nicht notwendig.

Die EU-DSGVO gebietet bei der Verarbeitung dieser Daten allerdings, dass sie durch Personal durchgeführt wird, das einer Geheimhaltungspflicht unterliegt. Das war der Feuerwehrverwaltung neu, wurde aber sofort nachgeholt in dem der Sachbearbeiter eine entsprechende Unterschrift leistete.

Fall 15/2020: Die Stunde des virtuellen Servers

Am Ende des ersten Quartals 2020 bildete sich schon deutlich die Gefahr einer Pandemie durch das Virus SARS-COV-2 ab, das weltweit für Infektionen sorgte. Um dem Schutz der Mitarbeiter/-innen nachzukommen, schickten fast alle Kommunalverwaltungen ihre Mitarbeiter kurzerhand in das “Home-Office”, also einen Arbeitsplatz zuhause.

IT-Leute erstellten auch, quasi “über Nacht”, ausreichende Server-Kapazitäten und Leitungen. Insgesamt zeigte sich, dass die Kommunalverwaltungen schnell und nachhaltig ein Problem lösen können, auf das sie sich nur wenig und kurz vorbereiten konnten. Damit ergaben sich auch neue Situationen für den Datenschutz, denn natürlich darf der Bauantrag des Nachbarn (auch hier) kein Thema am Abendbrot-Tisch sein. Problematisch war auch, dass es nicht ausreichend viele mobile Geräte gab und eine Massenschaffung nicht zweckmäßig war.

Die Kommunen lösten dieses Problem ziemlich elegant, in dem sie private Geräte einsetzen ließen. Die Datenverarbeitung auf privaten Geräten ist allerdings problematisch, da sich die Berechtigungen dem Zugriff der IT-Abteilung (und des Datenschutzes) entzieht.

So schlug die Stunde des “Virtuellen Desktops”. Diese Technik verbindet zwar ein Gerät mit einem Server, eine Datenverarbeitung auf dem Gerät findet aber nicht statt. Alle Programme und Daten bleiben auf dem dienstlichen Server und hinterlassen auf dem privaten Gerät keine Spuren.

Die Heimarbeiter wurden ferner darüber belehrt, dass die Zugriffe abgesichert sein müssen, keine Akten offen herumliegen und niemand bei der Verarbeitung “über die Schulter” schauen darf.

Fall 16/2020: Datenschutz bei Seuchengefahr

Ein Bürgermeister stellte die grundsätzliche Frage, was denn bei Pandemien erlaubt sei und ob es bestimmte Vorschriften auch für den Datenschutz gibt.

Tatsächlich gibt es den Begriff der “schwerwiegenden grenzüberschreitenden Gesundheitsgefahr” in der EU-DSGVO, wie eine Pandemie dort genannt wird. Er steht im Art. 9, Absatz 2, Buchstabe i der sich mit den “Besonderen Kategorien personenbezogener Daten” befasst.

In diesen Fällen ist die Verarbeitung dieser empfindlichen Daten erlaubt (siehe auch Fall 20/2020). Natürlich müssen auch die weiteren Rahmenbedingungen erfüllt sein.

Fall 17/2020: Datenschutz im Botendienst

Zum Austausch von Dokumenten wurde in einer Kommune ein eigener Botendienst eingerichtet. Dieser sollte dringende Akten (z. B. Jugendamt, Sozialamt) schnell zwischen den “Home-Offices” transportieren. Ist datenschutzmäßig dagegen etwas einzuwenden? Grundsätzlich nicht. Wenn diese Akten allerdings unverschlossen transportiert würden, wäre theoretisch die Möglichkeit gegeben, dass der Bote in diese Akten hineinsieht. Das wäre eine “Übermittlung durch Offenlegung” (Art. 4 Nr. 2) und damit eine Verarbeitung.

Dafür besteht aber keine Rechtsgrundlage, da der Bote für den Transport und die Zustellung i. d. R. nicht den Inhalt der Akten kennen muss. Daher müssen die Akten verschlossen transportiert werden. Da das auch die Adressierung mehrerer Akten erleichterte, wurde der Vorschlag angenommen.

Fall 18/2020: Homeoffice ab 23.03.2020

Auch der Datenschutzbeauftragte ging ins Home-Office, was ein paar Änderungen nach sich zog. Nachdem der Büroarbeitsplatz zu Hause durch neue Möbel und Geräte ein wenig “runderneuert” wurde, ging die Arbeit routiniert von der Hand. Durch die “Abgeschiedenheit” der heimischen Wohnung (ohne Mitbewohner) wurden Datenschutz-Telefonate länger und vertraulicher.

Eine Videokonferenz und mehrere Online-Seminare ließen sich technisch sehr gut darstellen. Angeschafft wurde ein neuer Monitor, der über eine schwenkbare Kamera verfügt. Auch eine “Freisprechanlage” erweiterte die Möglichkeiten des Dienstcomputers (eines kleinen Notebooks) erheblich. Kamera und Mikrofone lassen sich physikalisch verdecken bzw. abschalten.

Risikoloses Testen im eigenen Netzwerk erlaubten auch endlich die Fertigstellung von “EUGEN”, einem Programm, das durch Frage und Antwort versucht, einen Datenschutzfall einzuschätzen und einen kurzen Bericht zu generieren.

Die Website wurde im gesamten ersten Quartal überarbeitet und soll einen “Wissenscontainer” für Datenschutz werden. Grundlagen, Fälle und Urteile sollen dort mit aktuellen Entscheidungen kombiniert ein Nachschlagewerk bilden.

Fall 19/2020: Firmendaten wurden versandt

Aus einer Kommune wurde eine vermeintliche Datenpanne gemeldet. Eine Kollegin hatte in einer E-Mail an alle Firmen der Stadt irrtümlich allen alle E-Mail-Adressen offen gelegt. Eine solche Offenlegung ist eine Verarbeitung und sie entbehrt jeder Grundlage, erfordert also eine Einwilligung von allen Firmen.

Die Kollegin hatte aber tatsächlich keinen Datenschutz-Verstoß begangen. Die E-Mail-Adressen der Firmen waren durchgängig so genannte “Funktionsadressen”. Damit sind E-Mail-Adressen gemeint, die keine Namen, also keine personenbezogenen Daten enthalten. Anstatt also karin.muster@abc-gmbh.de zu adressieren, ging die E-Mail an Adressen wie sekretariat@... oder ähnliche. Keine der Adressen enthielt einen Namen. Firmen als juristische Personen genießen keinen Datenschutz. Die vermeintliche Datenpanne war also gar keine.

Dennoch gelobte die Kollegin künftig vorsichtiger zu sein und im E-Mail-Programm anstelle des Feldes “CC:” (“Carbon Copy”) lieber das Feld “BCC:” (“Blind Carbon Copy”) zu benutzen, welches die Adressen nicht offen legt.

Fall 20/2020: Einrichtung einer “Corona”-Hotline

Am Ende des ersten Quartals war auch “Corona” nochmal Thema. Eine Kommune rief beim Datenschutzbeauftragten an und fragte, ob die Einrichtung einer “Corona-Hotline” datenschutzrechtlich in Ordnung sei. Die Bürger sollten sich dort melden, wenn sie Krankheitssymptome haben oder einfach, wenn sie Informationen brauchten.

Die Erfassung der Symptome sollte in einer “Excel-Tabelle” erfolgen, also einem normalerweise ungeschützten Dokument. Die Verarbeitung dieser Gesundheitsdaten - wie erwähnt, “Personenbezogene Daten besonderer Kategorien” - sollte aber wenigstens verschlüsselt erfolgen.

Hier reicht ein einfaches Passwort beim Abspeichern nicht aus, da der Aufwand, diese einfach Verschlüsselung aufzubrechen in keinem Verhältnis zu den dann entdeckbaren Daten steht (nämlich “Wer hat alles möglicherweise Covid-19?”).

Man einigte sich darauf, als Sofortmaßnahme dennoch eine Speicherung per Kennwort (und viele Datensicherungen) zu erstellen. Spätere Maßnahmen sollten dann eine echte, verschlüsselte Datenbank entstehen lassen.

Quartalsbericht Datenschutz 2020/II (01.04.2020 - 30.06.2020)

Fall 21/2020: Einstellungsgespräche per Video?

Das “Corona-Quartal” begann mit den Erklärungen der Ministerpräsidenten von Bayern und Nordrhein-Westfalen, in denen beide ihre Maßnahmen zum Schutz der Bevölkerung erklärten.

Die Reproduktionszahl R lag bei fast 3 (100 Menschen steckten also durchschnittlich 300 Menschen an), Italiens Gesundheitssystem brach gerade unter seiner Last zusammen, die Lombardei um Mailand wurde komplett abgeriegelt, so dass dringend etwas unternommen werden musste, wollte man diese Verhältnisse nicht in Deutschland haben.

Bayern antwortete mit einer weitgehenden Ausgangssperre, Nordrhein Westfalen mit einer Kontaktsperre. Fernwartung, Home-Office, Videokonferenzen - auf einmal war Technik dringend notwendig, über die vorher Jahre lang diskutiert wurde. Vor diesem Hintergrund erhielt ich mehrere Anfragen, ob ein Bewerbungsgespräch auch über Videokonferenzen stattfinden könne. Anders wären Bewerber in den Kommunen nicht ausreichend schnell auswählbar gewesen und alle Bewerber hatten die entsprechenden technischen Möglichkeiten.

Fall 22/2020: Verdienstausfall Feuerwehr: was darf gefragt werden?

Zur Berechnung des Verdienstausfalls für Angehörige der Freiwilligen Feuerwehr dürfen nur Daten abgefragt werden, die zur Berechnung des Verdienstes tatsächlich benötigt werden (Prinzip der Datenminimierung, Art. 5 Abs. 1 Bst. c EU-DSGVO).

Fall 23/2020: Videointerviews mit Bürgern auf Website

Sollen Videos mit Bürgern auf der Website veröffentlicht werden, braucht man deren Einwilligung.

Fall 24/2020: Einwilligung Musikschule

Eine Einwilligung von Schülern bzw. Erziehungsberechtigten zur Verarbeitung notwendiger Daten hat keine besonderen Anforderungen. Es gelten die Bedingungen des Art. 7 EU-DSGVO.

Fall 26/2020: Koppelung zweier Computernetzwerke

Eine Verwaltungsabteilung wollte ihre Netzwerke zusammenschalten. Das ermöglicht gemeinsame Sicherungen, gemeinsame Sicherheit und weniger Aufwand, gemeinhin als “Synergie-Effekte” bekannt.

Dass der Datenschutz zur Sache befragt wurde, ehrt zwar die Netzwerkverwalter. Da aber niemandem neue Daten bekannt wurden, fand auch keine Verarbeitung personenbezogener Daten statt. Die bisherigen Verwalter waren bereits auf den Datenschutz verpflichtet worden.

Fall 27/2020: Datenschutzerklärungen der Feuerwehr (Einsatz/Mitgliederwerbung)

Datenschutzerklärungen der Feuerwehr sind für die interne Erfassung von Daten der Opfer eines Einsatzes zunächst nicht notwendig (Art. 14 Abs. 5 Bst. b EU-DSGVO). Fragt ein Opfer später nach, sind die Daten aber auf jeden Fall von der Feuerwehr zu nennen.

Fall 28/2020: Eigene DA Datenschutz für Meldeportal?

Für ein Meldeportal muss keine eigene Datenschutzdienstanweisung erstellt werden. EU-DSGVO und Landesdatenschutzrecht gelten auch ohne Konkretisierung.

Fall 29/2020: Daten für Einsprüche im Rat offen?

Daten von Bürgern, die einen Einspruch gegen eine Ratsentscheidung einlegen, dürfen nicht veröffentlicht werden.

Fall 30/2020: Recht auf Vergessen beim Essen

Die Nachwirkungen der Corona-Pandemie waren auch noch im 3. Quartal spürbar. Restaurants durften wieder öffnen, wenn die Gäste Namen und Anschriften hinterließen. Im Infektionsfall sollte dann schneller Kontakt aufgenommen werden können.

Datenschutzrechtlich sind zwei Regeln besonders zu beachten: die Zweckbindung und das “Recht auf Vergessen”. Die im Restaurant erhobenen Daten dürfen natürlich nicht für andere Zwecke genutzt werden (Werbung? Nein!). Ferner müssen sie nach vier Wochen gelöscht, bzw. vernichtet werden.

Auf Listen sollte man übrigens verzichten. Man deckt damit die Daten aller am Tisch sitzenden gegenüber allen anderen auf. Das ist nicht jedem Recht und außerdem ohne Weiteres nicht erlaubt. Einzelne Zettel sind besser.

Fall 31/2020: Anfrage zum datenschutzgerechten Einsatz von MICROSOFT TEAMS

Die immer noch andauernde Pandemie führte auch dazu, dass Dienstreisen aus Sicherheitsgründen abgesagt und durch Videokonferenzen ersetzt wurden. Eine Kommune wollte das Produkt Microsoft Teams einsetzen und fragte nach der Sicherheit im Datenschutz.

Die Firma Microsoft veröffentlichte eine entsprechende Erklärung. Die Daten werden laut Datenschutzerklärung nicht weiter verwendet. Da stellt sich zwar die Frage nach dem Nutzen für den Hersteller, ein kostenloses Programm abzugeben. Die Überprüfung des Wahrheitsgehalts ist allerdings für Datenschützer nicht möglich.

Microsoft Teams entspricht dem Datenschutzrecht, auch wenn Kritik geäußert wird.

  • Sichere Videokonferenzen gibt es hier (Eigene Meldung, 09.07.2020).

Fall 32/2020: Fotos von städtischen Unterkünften in Facebook?

Ein Mitarbeiter der Flüchtlingshilfe hat Fotos aus einer städtischen Unterkunft in einem sozialen Netzwerk veröffentlicht. Menschen sind darauf allerdings nicht zu sehen. Die Frage, ob das zulässig ist, ist allerdings keine des Datenschutzrechts.

Fall 33/2020: Beschwerdeführer namentlich nennen?

Beschwerdeführer dürfen nicht öffentlich benannt werden (siehe auch Fall 29/2020).

Fall 34/2020: Dienstvereinbarung Home-Office

Eine Dienstvereinbarung zum Homeoffice kann Regelungen zum Datenschutz beinhalten. Hier ist es üblich, Akten verschlossen zu transportieren und Mitbewohner/-innen weder Einsicht in die Akten noch in den Computer zu gewähren.

Fall 35/2020: Datenschutz in der “Corona-App”

Nach Bedenken mehrerer Datenschützer entschied sich die Bundesregierung, eine App entwickeln zu lassen, die keinen Server braucht. Damit gibt es keinerlei zentrale Speicherung von Daten oder Gesundheitsständen.

Die "Corona-Warn-App" funktioniert also folgendermaßen: Im Normalbetrieb (Bluetooth einschalten!) werden regelmäßig andere Handys mit der Corona-App gesucht. Wird eines gefunden, tauscht man lediglich ein Datum aus, nämlich, ob der Besitzer des anderen Handys COVID-19-positiv getestet wurde. Das hat der (hoffentlich) gesichert durch einen Barcode, in die App eingegeben.

Ist eine Infektion gegeben, wird der Besitzer des Handys von der App gewarnt und gebeten, ebenfalls einen Test machen zu lassen. Anderenfalls werden die Identifikationsdaten der Handys nach 14 Tagen (der bisher bekannten Inkubationszeit) gelöscht. Namen und Anschriften sind dabei nie notwendig.

Fall 36/2020: Einführung eines Dokumentenmanagementsystems

Quartalsbericht Datenschutz 2020/III (01.07.2020 - 30.09.2020)

Fall 37/2020: Umfrage des BMBF zur Verkehrsmittelnutzung

Eine Kommune möchte eine Umfrage zur Verkehrsmittelnutzung des Bundesministeriums für Bildung und Forschung (BMBF) durchführen. Als Datenbasis soll eine qualifizierte Abfrage aus dem Einwohnermeldewesen erfolgen.

Es wird ein privates Unternehmen beauftragt. Die Frage ist in diesem Zusammenhang auch, ob aus datenschutzrechtlichen Gründen diese Abfrage durch die Kommunen geschehen muss oder durch das externe Unternehmen bzw. ob der Versand entsprechender Anschreiben durch das Unternehmen erfolgen kann oder durch die Kommune.

Die EU-DSGVO regelt nicht explizit die Übermittlungen zwischen öffentlichen und privaten Organisationen. Erst wenn Daten die EU verlassen, greifen Regelungen der EU. Also gilt es, das Datenschutzgesetz Nordrhein Westfalen (DSG NW) zu lesen.

Fall 38/2020: Fehlgeleitete E-Mail erregt Befangenheitsverdacht

Eine Gemeinde meldet einen Datenschutzverstoß, in den die Aufsichtsbehörde bereits eingeschaltet ist. Man will mir die Unterlagen senden.

Der Sachverhalt ergab eine Beschwerde über eine illegale Entsorgung von Müll in einem Naturschutzgebiet. Die Beschwerdeführer konnten den Müll selbst als zu einem Haus gehörig identifizieren, das sie kürzlich verkauften.

Datenschutzrechtlich interessant wird erst der Vorwurf der Beschwerdeführer, ihre diesbezügliche (datengeschützte) E-Mail mit dem Wunsch der Anonymität sei an andere versendet worden.

Anlass war eine versehentlich von der Sachbearbeiterin an die Beschwerdeführer versandte E-Mail mit dem Hinweis, sie, die Sachbearbeiterin “wisse nicht mehr, was sie [den Beschwerdeführern] noch schreiben solle”.

Da die Sachbearbeiterin in ihrem öffentlichen Profil außerdem mutmaßlich eine “Facebook-Freundschaft” mit der Tochter der mutmaßlichen Verursacher verbindet, kam bei den Beschwerdeführern der Verdacht auf, die Sachbearbeiterin könnte die E-Mails dieser Tochter zugänglich gemacht haben. Soweit die Vorwürfe.

Der Verdacht ließ sich aber nicht erhärten. Es gibt keine Beweise für eine Weiterleitung der E-Mail. Die Beschwerdeführer erbringen auch keine weiteren Hinweise oder Indizien. Die vorhandenen Indizien reichen m. E. nicht aus, so dass die Unschuldsvermutung hier greift.

Vermutlich war die versehentlich an die Beschwerdeführer gegangene E-Mail an die Vorgesetzten der Sachbearbeiterin gegangen, da sie Hilfe erbat. Diese Version wird von der Sachbearbeiterin erklärt und diese Version erscheint mir aus eigener Berufspraxis auch glaubhaft.

Es handelt sich daher m. E. nicht um eine Offenlegung durch Übermittlung i. S. d. Art. 4 Nr. 2 der EU-DSGVO. Ich sehe daher keinen Datenschutzverstoß.

Fall 39/2020: Analogfunk nicht mehr datenschutzgemäß

Eine OGS sucht abhörsichere Walkie-Talkies, die wenigstens das Erdgeschoss der Schule abdecken (ca. 400 m).

https://geizhals.de/stabo-freecomm-700-20700-a1409885.html?hloc=at&hloc=de

Verschlüsselung ist bei Walkie-Talkies nicht möglich. Es werden aber lt. der Leiterin auch personenbezogene Daten der Schüler ausgetauscht. Daher können Walkie-Talkies nicht empfohlen werden.

Walkie-Talkies werden heute nach und nach durch Apps auf dem Mobiltelefon ersetzt. Einige sind sehr datensicher. Möglich wäre vielleicht “JITSI” (für Android oder iPhone).

Am einfachsten wären allerdings z. B. Sprachnachrichten auf bekannten Apps. Damit könnte WhatsApp gemeint sein oder - datenschutzrechtlich unbedenklicher - Signal.

Fall 40/2020: Spam-Mails mit Virusanhang?

Ein Ratsmitglied rief an und teilte mit, der Nachbar (ebenfalls ein Ratsmitglied) habe merkwürdige E-Mails von den Stadtwerken erhalten. Der Text der E-Mail enthielt nur vage Andeutungen und der Anhang ergäbe Näheres.

Aus Sicherheitsgründen habe niemand den Anhang geöffnet. Ich erbat eine Kopie der E-Mail und lag mit einem Verdacht richtig: es handelte sich um das derzeit grassierende EMOTET-Virus.

Das Tückische an diesem Virus-Programm ist, dass es sich in den Hintergrund einbaut und die Texte der Opfer “belauscht”. Dann werden ganze Textpassagen kopiert und eine E-Mail generiert. Sinn der Strategie ist es, einen möglichst authentisch wirkenden Text zu generieren, der Vertrauen schafft.

Fall 41/2020: Ist die Speicherung von Geschäftsdokumenten auf einem gemeinsamen Projektserver datenschutzrechtlich bedenklich?

Ein Kollege fragt an, ob es Bedenken gäbe, Dokumente eines gemeinsamen Projekts auf einem Server zu speichern, auf den mehrere Firmen Zugriff erhalten. Datenschutzrechtlich handelt es sich um eine Offenlegung.

Allerdings geht es in den Geschäftsunterlagen nach Angaben des Kollegen nur um projektinterne Daten. Dort ist niemand persönlich aufgeführt, jedenfalls nicht so, dass man Rückschlüsse auf eine bestimmte Person führen könnte.

Daher bestehen von hier aus keine Bedenken.

Fall 42/2020: Datenschutzhinweise auf Bescheiden?

Ein Angebot des öffentlichen Rechenzentrums, "DSGVO-Hinweise" auf Bescheide zu drucken, löste die Frage aus, ob das notwendig sei. Mehrere Städte sprachen sich dagegen aus, mehrere dafür. Ich bin im Folgenden davon ausgegangen, dass es sich bei diesen "Hinweisen" um eine Datenschutzerklärung handelt.

Datenschutzerklärungen müssen immer dann abgegeben werden, wenn Daten erfasst werden. Das ist bei Bescheiden, die ja auf bereits erfassten Daten beruhen, nicht der Fall.

Fall 43/2020: Name des Beschwerdeführers wurde mitgeteilt

Ein Kollege hat eine Beschwerde über die Nichtbeachtung der Maskenpflicht im ÖPNV an den Betreiber des ÖPNV weitergeleitet. Ein Kollege sieht in der Weiterleitung an den Verkehrsträger, ohne den Namen des Beschwerdeführers zu schwärzen, einen Verstoß gegen das BDSG.

Ist das BDSG anwendbar? Ja, da der Betreiber des ÖPNV am Wettbewerb teilnimmt. Daten dürfen u. a. dann übermittelt werden, wenn der Empfänger ohne diese Daten seine Aufgabe nicht erledigen kann. Das anwendbare BDSG regelt das in § 25.

Fall 44/2020: Arbeitnehmerähnliche Personen und die Personalratswahlen

Im Oktober finden in NRW Personalratswahlen bei öffentlichen Stellen statt. Im Zuge dieser Wahlvorbereitungen verlangte ein Personalrat geschlossen die Übermittlung von Daten von "arbeitnehmerähnlichen Personen". Damit sind z. B. Tagesmütter gemeint oder Musikschuldozenten.

Da diese Personen wahlberechtigt sind, ist die Übermittlung ihrer Daten rechtmäßig.

Fall 45/2020: Prüfung einer Alarmierungssoftware für die Feuerwehr

Die App aPager Pro von ALAMOS bietet eine Alarmierung und Verfügbarkeitsplanung von Feuerwehren im Brandfall über Mobiltelefone an. Ist diese App datenschutzsicher?

Die App nutzt zwar einen Speicher in einem öffentlichen Netz ("Cloud"), jedoch wird zugesichert, dass sich diese "Cloud" in Deutschland befindet. Daher ist davon auszugehen, dass die Datenschutzbestimmungen eingehalten werden.

Fall 46/2020: Verstorbene bei WhatsApp?

Die Kollegen/-innen vom Baubetriebsamt und der Friedhofsverwaltung haben keine Diensthandys, sondern nutzen private Handys auch zu dienstlichen Zwecken. Unter anderem werden bei Friedhofskontrollen daher Fotos gemacht und per Whats App im Hause zu dienstlichen Zwecken weitergegeben. Dies betrifft ungepflegte Gräber, nicht ordnungsgemäße Einfassungen und auch die Grabsteinkontrollen. Wenn den Verstorbenen die Rechtsfähigkeit abgenommen wird, schließt das dann auch die Gräber und deren Fotos mit ein oder könnte man ggf. Schwierigkeiten bekommen, da WhatsApp mit Facebook unmittelbar verknüpft ist?

Verstorbene genießen in der Tat keinen Datenschutz mehr. Sie gelten nicht mehr als „natürliche Personen“. In der Datenschutzgrundverordnung steht eindeutig, dass sie nicht für verstorbene Personen gilt (Erwägungsgrund 27).

Die EU-DSGVO lässt zwar eine „Lücke“ (wodurch jedes Land eigene Regelungen erlassen kann), Deutschland hat aber davon keinen Gebrauch gemacht. Der Datenschutz gilt also explizit nicht für Verstorbene.

Man sollte lediglich aufpassen, dass die Belange der Hinterbliebenen nicht belastet werden. Also das Veröffentlichen von Gräbern prominenter Personen ist umstritten. Würde man bei einem Spaziergang auf das Grab zufällig auf einem Friedhof treffen, wäre die Lage ja auch bekannt. Dann sollte man das Grab vielleicht nicht unbedingt fotografieren und veröffentlichen.

Das ist aber in diesem beruflichen Bereich ganz sicher nicht der Fall. Ich denke, sie können WhatsApp ganz unbesorgt benutzen.

Fall 47/2020: WhatsApp im Ordnungsamt?

Anfrage: Dürfen auf den dienstlichen Handys der Außendienstmitarbeiter WhatsApp o.ä. installiert werden, damit eine Kommunikation untereinander erfolgen kann?

Das ist grundsätzlich nicht zu empfehlen, da die Datenverarbeitung von WhatsApp (bzw. Facebook) nicht sehr transparent ist. Eine bessere Alternative wäre der offene und freie Messenger SIGNAL, der ähnliche Funktionen wie WhatsApp bietet. SIGNAL gibt es für Android und iPhone.

Fall 48/2020: Formular zur Ummeldung eines Wasseranschlusses

Der Wasseranschluss einer Kommune bekam einen neuen Nutzer. Der alte Nutzer meldete ihn ab und den neuen Nutzer an. Soweit entsprach das der Satzung der Kommune. Das von der Kommune empfohlene Formular enthielt beide Namen und beide Adressen. Der neue Besitzer beschwerte sich daraufhin beim Datenschutzbeauftragten über die möglicherweise ungerechtfertigte Aufdeckung seines Namens. Eine Einwilligung des neuen Besitzers bestand nicht.

Rechtsgrundlage waren vorvertragliche Maßnahmen i. S. d. Art. 6 Abs. 1 Bst. b EU-DSGVO. Die Ummeldung erfolgte als Vorlauf für einen Benutzervertrag für den Wasseranschluss. In diesem Zusammenhang sollte die Nennung des neuen Besitzers abgedeckt sein. Zumal der neue Besitzer sich ohnehin "zu erkennen" geben muss. Der bisherige Besitzer seinerseits musste den Namen des neuen Besitzers erfahren, da die beiden einen Kaufvertrag (über ein Eigentumshaus) unterzeichnet haben. Die beiden waren sich also zum Zeitpunkt der "Übergabe" des Wasseranschlusses ohnehin bekannt.

Fall 49/2020: Datenverarbeitung von Interessentendaten der Freiwilligen Feuerwehr

Die Freiwillige Feuerwehr einer Kommune möchte die Daten von Interessenten verarbeiten (Speichern und zur Kontaktaufnahme nutzen). Gibt es eine Rechtsgrundlage oder ist eine Einwilligung notwendig?

Eine Rechtsgrundlage für Interessenten, die ja noch nicht Mitglieder der FF sind, gibt es nicht (weder BHKG noch VOFF). Jedem Antrag ist daher eine Einwilligung beizulegen.

Fall 50/2020: Dienstanweisung IT

Eine Kommune möchte ihre "Dienstanweisung IT" überprüfen lassen. Folgendes fiel mir auf:

"Die Geschäftsbereiche sind für die informationsrechtliche Zulässigkeit der Verarbeitung personenbezogener bzw. sensitiver Daten verantwortlich. Diese Verantwortung schließt die technische und organisatorische Sicherung von Hard- und Software einschließlich Informationsinhalten auf Datenträgern im Zuständigkeitsbereich des Amtes ein."

Hier ist zunächst festzustellen, dass laut Datenschutzrecht immer der LEITER einer Stelle verantwortlich ist. Nach allgemeiner Auffassung ist das der Bürgermeister bzw. die Bürgermeisterin (als Amt, nicht als Person) in unserem Bereich. Die einzelnen Organisationsbereiche arbeiten ja bekanntlich im Auftrag. Daher würde ich den Satz ergänzen um "...Die Geschäftsbereiche sind DEM BÜRGERMEISTER GEGENÜBER für ... verantwortlich".

Das entbindet zwar den Bürgermeister nicht von seiner Verantwortung, es könnte aber eine Sicherheit für Rückgriffe des Bürgermeisters gegenüber den Beauftragten bei vorsätzlichen oder grob fahrlässigen Datenschutzverstößen sein.

Gut und nach wie vor passend finde ich folgenden Absatz:

"Soweit Zweifel über die Auslegung von Datenschutzvorschriften bestehen, sind diese zwischen dem Sachbearbeiter für Datenschutzangelegenheiten und dem Geschäftsbereich zu klären."

Hier könnte man höchstens zeitgemäßer

"...zwischen dem [Behördlichen] Datenschutzbeauftragten [der Gemeinde] und dem Geschäftsbereich..." formulieren.
"Kann bei Bearbeitungen von personenbezogenen bzw. sensiblen Daten durch gesetzlich erforderliche technische und/oder organisatorische Maßnahmen eine Sicherung nicht gewährleistet werden, ist auf den IT-Einsatz zu verzichten."

Das Datenschutzrecht ab 2016 gilt auch für Daten, die nicht automatisiert verarbeitet werden, wenn diese in einem Dateisystem (= Datenbank, Festplatte) gespeichert werden SOLLEN. Daher ist dieser Absatz etwas veraltet und könnte gestrichen oder umformuliert werden:

"Jede Verarbeitung von personenbezogenen Daten i. S. d. Art. 4 EU-DSGVO muss den Grundsätzen des Art. 5 EU-DSGVO und dem Datenschutzgesetz Nordrhein-Westfalen entsprechen oder unterbleiben."

Fall 51/2020: Datenschutz bei ZOOM

Mit dem Ausbruch der Pandemie 2020 wurden u. a. viele Arbeitsplätze ins "Home-Office" verlegt, Veranstaltungen abgesagt, Dienstreisen durch Videokonferenzen ersetzt und Schulunterricht per Videokonferenz durchgeführt. Dabei wurde oft ein Produkt der Firma ZOOM eingesetzt.

ZOOM geriet schnell in die Kritik. Die Software installierte u. a. einen Webserver auf den Rechnern, auf den von außen zugegriffen werden konnte, erlaubte der Firma Facebook den Zugriff und ein Fehler ermöglichte es, sich in wildfremde Konferenzen einzuschalten. ZOOM beeilte sich im laufenden Wettbewerb und änderte diese Probleme. Die Arbeit mit ZOOM ist heute nicht ungesetzlicher als die Arbeit mit anderen Produkten.

Zu beachten ist, dass durch den Verlust der Gültigkeit von 'Privacy Shield' Datenübermittlungen in die USA nur noch nach Maßgabe des Art. 49 Eu-DSGVO möglich ist. Dieser erlaubt die Datenübermittlung u. a. wenn sie für die Erfüllung eines Vertrages notwendig ist. Nun ist die Abrechnung von Videokonferenzen nicht möglich, wenn der Anbieter keine Kontrolle darüber hat, wann eine Videokonferenz stattfand und wie lange sie gedauert hat. Ich halte einen Betrieb von ZOOM daher für datenschutzkonform.

Fall 52/2020: "Wer erwartet diese Zahlung?"

Eine Kollegin stellte einen unbekannten Zahlungseingang fest und schrieb eine E-Mail an die gesamte Verwaltung "Wer erwartet diese Zahlung?". Die Mail enthielt den Namen eines Ehepaares, ein Aktenzeichen und den Betrag. War das rechtmäßig?

Zunächst muss festgestellt werden, dass die Namen nicht veröffentlicht wurden. Die Mail ging zwar an "die gesamte Verwaltung", sie drang jedoch bisher nicht nach außen. Es handelt sich aber dennoch um eine "Offenlegung durch Übermittlung" und damit um eine Verarbeitung gem. Art. 4 Nr. 2 EU-DGSVO, denn ein bestimmter Personenkreis ist dafür nicht erheblich.

Rechtsgrundlage könnte eine Einwilligung sein. Die lag jedoch nicht vor. Ferner die Erfüllung eines Vertrages, aber ein Vertrag mit diesen Bürgern war nicht bekannt. Stattdessen war die rechtliche Verpflichtung zur ordnungsgemäßen Verbuchung die Rechtsgrundlage.

Fall 53/2020: Vertrag über die Überlassung von Tablets an Schüler

Eine Kommune beschaffte sehr viele Tablet-Computer für ihre Schüler. Diese erhielten die Geräte durch einen Leihvertrag. Er wurde mir zur Prüfung vorgelegt. Folgende Passagen habe ich bemängeln müssen:

In Punkt 5 wird erklärt, dass jederzeit die Ortung des Geräts erfolgen kann. Da machen wir uns angreifbar. Besser wäre es, wenn die Ortung nur bei Diebstahl oder Verlust und immer protokolliert erfolgen würde.

Angemerkt muss hier, dass sich die Firma J... als US-Unternehmen auf das Abkommen zwischen der EU und den USA bezieht („Privacy Shield“). Dieses Abkommen wurde am 20.07.2020 für ungültig erklärt. Datenverkehr in die USA ist daher nur noch erlaubt, wenn ein Vertrag oder eine Einwilligung vorliegt. Ich empfehle, sich bei Bedarf auf den Vertrag zu berufen, da die Dienstleistung von J... nicht ohne Datenübermittlung erfolgen kann.

In Punkt 7 wird geboten, das Gerät ins „heimische WLAN“ zu integrieren. Zur Benutzung der Geräte gehört m. W. nur irgendeine Verbindung zum Internet. Die muss nicht das heimische WLAN sein (welches Zugriff auf Daten der heimischen Geräte ermöglicht), es kann auch z. B. FREIFUNK sein. Der Passus sollte lauten, dass eine wie auch immer geartete „...regelmäßige Verbindung ins Internet...“ erfolgen muss.

In Punkt 4 wird der Entleiher verpflichtet, das Gerät *jederzeit* vorzuführen und Auskunft über den Verbleib zu geben. Ich empfahl, das Wort durch das etwas trittfestere *auf Verlangen* zu ersetzen. Ferner wird dort sogar eine Kontrolle und Ersatzvornahme angedroht, sollte das Gerät nicht regelmäßig „nach Hause telefonieren“ können. Ein Vorzeigen auf Verlangen sollte zur Kontrolle ausreichen. Ich empfahl, das zu streichen.

Quartalsbericht Datenschutz 2020/IV (01.10.2020 - 31.12.2020)

Anmerkung: Das vierte Quartal 2020 war geprägt von der sog. "Zweiten Welle" der Pandemie durch das SARS-COV-2-Virus. Die Kommunen, besonders Ordnungs- und Gesundheitseinrichtungen, waren durch eine hohe Arbeitslast beschäftigt. Das Thema "Datenschutz" ist dabei selbstverständlich nicht das wichtigste Thema gewesen.

Fall 54/2020: Gibt es einen "Pandemie-Paragraphen"?

Eine Anfrage aus einer Kommune, was man in Zeiten der Pandemie datenschutzrechtlich darf. Der Datenschutz würde ja "immer im Wege stehen". Hier lohnt es sich, genauer nachzulesen. Im Art. 9 EU-DSGVO, der die notwendige Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten regelt, steht ein ganz klar einer Pandemie gewidmeter Satz. Demnach ist es eine Ausnahme vom Verbot der Verarbeitung solcher Daten, wenn ...

...die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren...erforderlich ist (Art. 9 Abs. 2 Bst. i EU-DSGVO)

Die "Väter und Mütter" der EU-DSGVO haben also eine Pandemie durchaus bedacht. Damit könnten "alle möglichen" Datenverarbeitungen erfolgen, da ja hier sogar die Verarbeitung sensibler Daten erlaubt ist. Es entfällt sogar die Pflicht, nur Personal mit Schweigepflicht einzusetzen.

Fall 55/2020: Solvenzprüfung durch Abfrage der Zahlung eines Gebührenbescheides

Ein Bestattungsunternehmer muss gegen einen Angehörigen klagen, weil dieser die Rechnung nicht bezahlt hat. Er ruft im Rathaus an und fragt nach, ob die dortige "Rechnung" (der Gebührenbescheid) bezahlt worden ist und von wem. Der Anruf diene der Solvenzprüfung des Kunden. Der Bestatter beruft sich auf Art. 6 Abs. 1 Bst. b EU-DSGVO, wonach die Verarbeitung (hier Offenlegung durch Übermittlung) für die Erfüllung eines Vertrages erforderlich ist.

Ich riet dazu, die Auskunft nicht zu erteilen. Zwar ist die Rechtsquelle richtig und zwischen Bestatter und Kunde besteht natürlich ein Vertrag, dessen Teil der Erfüllung natürlich die Zahlung ist. Es ist jedoch nicht ersichtlich, welche Rolle dabei spielt, ob der Gebührenbescheid bezahlt worden ist. Und schon gar nicht von wem, da dabei dann möglicherweise auch noch Daten von Unbeteiligten offengelegt würden.

Fall 56/2020: Veröffentlichung von Daten sachkundiger Bürger

Welche persönlichen Daten von Ratsmitgliedern und sachkundigen Bürgern dürfen wir auf unserer Homepage veröffentlichen? Im konkreten Fall geht es um eine sachkundige Bürgerin, die keinerlei Kontaktdaten veröffentlicht haben will.

Zunächst sind Ratsmitglieder und auch Sachkundige Bürger dem Bürgermeister gegenüber erklärungspflichtig (§ 43 Abs. 3 GO NW). Das Gesetz bestimmt dort, dass Angaben über Name, Anschrift, Beruf und vergütete und ehrenamtliche Tätigkeiten veröffentlicht werden können. Es ist also kein Zwang.

Anders sieht es im Korruptionsbekämpfungsgesetz aus. Der dortige § 17 bestimmt, dass folgende Angaben veröffentlich werden müssen:

  1. Ausgeübter Beruf und Beraterverträge
  2. Mitgliedschaften in Aufsichtsräten u. a. Kontrollgremien
  3. Mitgliedschaft in anderen Organen öffentlicher und privater Unternehmen
  4. Funktionen in Vereinen

Diese Angaben sind „in geeigneter Form“ (§ 17) zu veröffentlichen. Die Regelung gilt auch ausdrücklich für Sachkundige Bürger.

Für die Veröffentlichung von personenbezogenen Daten der Ratsmitglieder gibt es keine Rechtsgrundlage, die mir bekannt wäre. Es gibt aber immer die Einwilligung. In Elbtalaue (Niedersachsen) beispielsweise hat der Rat eine Art „Generelle Einwilligung“ beschlossen

Eine Pflicht zur Veröffentlichung von Adressen für Ratsmitglieder besteht nur vor der Wahl.

Fall 57/2020: Das Grab der Eltern

Eine Bürgerin fragte bei der Friedhofsstelle nach, ob sie die Lage des Grabes ihrer, vor dem Tod leider etwas entfremdeten Eltern erfahren dürfe. Das Grab ist (auf meine Nachfrage hin) keine anonyme Grabstelle. Verstorbene genießen auch keinen Datenschutz (mehr). Daher darf die Auskunft erteilt werden.

Fall 58/2020: Mustergültige Geschäftsordnung eines Stadtrates

Eine Gemeinde bittet um Prüfung von Passagen, die sich dem Datenschutz widmen. Ich halte die Regelungen für mustergültig und möchte sie hier aufführen.

  • Mitglieder dürfen die ihnen bekannt werdenden Daten nur zum ursprünglichen Zweck verwenden.
  • Sie dürfen nicht offenbart werden.
  • Sie müssen nach angemessener Zeit vernichtet werden.
  • Das bezieht sich auf Datenträger, Dokumente, aber auch handschriftliche Notizen (die personenbezogene Daten enthalten).
  • Die Unterlagen sind sicher aufzubewahren. Der Bürgermeister darf Auskunft über die getroffenen Maßnahmen einholen.

Auf den oder die Datenschutzbeauftragte/-n der Gemeinde kann hingewiesen werden. (Tatsächlich ist er oder sie aber nur für die Verwaltung zuständig).

Fall 59/2020: Öffentliche Ehrung von Jubilanten

Eine Gemeinde hat eine Einwilligung vorbereitet, die zu ehrende Brautpaare eingehen soll, die zu ihrem Jubiläum öffentlich geehrt werden sollen. Ein Problem ist der verschwindende Überraschungseffekt, ein anderes das Hochzeitsdatum von nicht in der Gemeinde lebenden Paaren, das anderswo erfragt werden muss.

Eine solche Einwilligung ist allerdings nicht mehr notwendig. Tatsächlich sieht das Bundesmeldegesetz im § 50 Abs. 2 eine solche Ehrung vor. Auskunft darf erteilt werden über

  • Familiennamen, Vornamen, Doktorgrad
  • Anschrift
  • Datum und Art des Jubiläums

Fall 60/2020: Blickt die Kamera auf das Nachbargrundstück?

Nach mehreren Einbrüchen hat ein Bürger beschlossen, Kameras rund um sein Haus zu installieren. Diese erfassen auch Teile eines Nachbargrundstücks, was diese selbstverständlich nicht dulden.

Eigentlich müsste sich die betroffene Partei beim Bundesdatenschutzbeauftragten melden, der ja für Privatleute und Wirtschaftsunternehmen in Sachen Datenschutz tätig wird. Ich habe allerdings das Ordnungsamt gebeten, vor Ort den Kamera-Benutzer anzusprechen und auf den Missstand hinzuweisen. Wegen einer fast montierten Kamera wollte ich nicht riskieren, dass der Bürger eine Strafe zahlen muss.

Das Ordnungsamt war vor Ort und hat sich die Kamerabilder zeigen lassen. Die Bilder zeigen nicht das Nachbargrundstück, auch wenn man von der Anbringung der Kamera zunächst davon ausgehen musste. Man kann bei Überwachungskameras bestimmte Bereiche ausblenden. Das hatte der Mann wohlweißlich auch getan.

Da das Ordnungsamt unangekündigt kam und der Mann sofort Zugang zum Kamerabildschirm gewährte, kann man davon ausgehen, dass die Kameras immer so eingestellt sind (Unschuldsvermutung).

Fall 61/2020: Neue Kolleginnen und Kollegen mit Foto

Eine Kollegin wollte gerne neue Kolleginnen und Kollegen mit Foto vorstellen. Ginge das datenschutzrechtlich in Ordnung?

Maßgeblich war nicht der Datenschutz, sondern das Recht am eigenen Bild laut Kunsturhebergesetz.