Datenschutzbericht 2021

Aus Datenschutz
Zur Navigation springen Zur Suche springen

Fall 1/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation

DATENSCHUTZRECHTLICHE STELLUNGNAHME

a. Sachverhalt

Bei der Organisation einer Impfung gegen das derzeit grassierende SARS-COV-2-Virus und den damit verbundenen Schutz der Bevölkerung gegen die Krankheit COVID-19 sollen besonders gefährdete Bürgerinnern und Bürger zuerst geimpft werden.

In einem ersten Schritt möchte das Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein Westfalen (MAGS NRW) die Daten von über 80 Jahre alten Einwohnern erhalten, um diese anzuschreiben und die Impftermine zu koordinieren. Angefordert wurden Name, Geburtsdatum, Meldeadresse der betroffenen Bürger.

b. Rechtslage

Die zuerst zu prüfende Datenschutzverordnung der Europäischen Union (EU-DSGVO) regelt die Übermittlung zwischen öffentlichen Stellen innerhalb der Europäischen Union nicht. Daher sind nationale Regelungen zu prüfen, die diese Lücke ausfüllen. Die Übermittlung zwischen öffentlichen Stellen innerhalb von Nordrhein Westfalen regelt das Landesdatenschutzgesetz NRW (DSG NW).

Bei der Datenverarbeitung im Sachverhalt handelt es sich um eine Übermittlung personenbezogener Daten zwischen öffentlichen Stellen (innerhalb der Europäischen Union). Besondere Kategorien personenbezogener Daten sind davon nicht betroffen. Fraglich ist die Zulässigkeit der Übermittlung.

Die Verarbeitung personenbezogener Daten (also auch die Übermittlung) ist grundsätzlich verboten. Jede Verarbeitung benötigt daher eine genau zu benennende Rechtsgrundlage. Rechtsgrundlage für die Übermittlung von personenbezogenen Daten ist das DSG selbst, sofern kein spezielleres Recht vorgreift.

Verantwortlich für die Prüfung ist in der Regel die übermittelnde Stelle, also die Kommune (§ 8 Abs. 1 Satz 1 DSG NW). Erfolgt die Übermittlung dagegen aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung (§ 8 Abs. 1 Satz 2 DSG NW). Das ist im Sachverhalt der Fall.

Die übermittelnde Stelle (Kommune) prüft dann lediglich, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt (§ 8 Abs. 1 Satz 3 DSG NW). § 20 Abs. 5 des Infektionsschutzgesetzes regelt, dass die obersten Landesgesundheitsbehörden bestimmen dürfen, dass die (kommunalen) Gesundheitsämter Impfungen durchführen. Davon hat der Landesgesundheitsminister Gebrauch gemacht; die Übermittlung liegt also im Rahmen der Aufgaben der Kreise.

Die Übermittlung des Geburtsdatums könnte dem Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. C EU-DSGVO) widersprechen. Da ein Stichtag angegeben wurde (31.01.2021) ist von einer verfeinerten Auswahl der zu Impfenden nicht auszugehen. Geimpft wird, wer am 31.01.2021 80 Jahre alt ist.

Die Rechtmäßigkeit des Ersuchens prüft die Kommune allerdings nur, „wenn hierzu im Einzelfall Anlass besteht“ (§ 8 Abs. 1 Satz 4 DSG NW)). Da das Thema der Pandemie, die Entwicklung und Freigabe des Impfstoffes und die Organisation der Impfung täglich in Presse und Funk thematisiert sind, dürfte allgemein bekannt sein, dass und wie die Impfungen organisiert werden.

c. Ergebnis

Der „Einzelfall“ des Gesetzes besteht m. E. nicht. Die Daten dürfen an den Kreis übermittelt werden.

Frank Werner

Fall 2/2021: Anzeige gegen Hühnerhalter

Im zweiten Sachverhalt fühlten sich die Nachbarn eines Hühnerhalters vom Lärm der Tiere gestört und zeigten ihn an. Der wiederum wollte wissen, wer ihn angezeigt hat. Und erbat Auskunft nach dem Informationsfreiheitsgesetz von der Kommune.

Die Rechtslage gestaltet sich nach § 9 des Informationsfreiheitsgesetzes NRW. Demnach sind personenbezogene Daten ebenfalls geschützt, es sei denn, die Person, deren Daten angefordert wurden, ist gutachtlich tätig. Das ist bei den leidenden Nachbarn natürlich nicht der Fall.

Das Ergebnis ist klar: eine Auskunft über Personen ist nicht möglich. Natürlich könnte der Hühnerhalter die Akte einsehen. Namen müssten jedoch vorher geschwärzt werden.

Fall 3/2021: Auftragsverarbeitung bei Auslagerung?

Sachverhalt: Eine Gemeinde möchte die Berechnung und Auszahlung von Beihilfen an eine Krankenkasse auslagern. Reicht ein Vertrag zur Auftragsverarbeitung?

Rechtslage: Hier werden besondere Kategorien personenbezogener Daten verarbeitet. Die EU-DSGVO stellt an eine solche Verarbeitung besondere Ansprüche (Art. 9). Die Verarbeitung solcher Daten ist grundsätzlich nur zulässig, wenn u. a. ein Sozialrecht wahrgenommen werden soll (was hier ja der Fall ist). Ferner wird, wie auch im Auftragsverarbeitungsvertrag (Art. 28), eine Verschwiegenheit gefordert.

Ergebnis: Der vorgelegte Auftragsverarbeitungsvertrag erfüllt die Voraussetzungen an die Verarbeitung besonderer Kategorien personenbezogener Daten und die Voraussetzungen des Art. 28 ebenfalls.

Fall 04/2021: Informationen des Arbeitsamtes bei Einstellung?

Im Sachverhalt geht es um die Einstellung eines schwerer zu vermittelnden Bewerbers. Diese Menschen erhalten Förderungen von Arbeitsamt. Dürfen dazu die personenbezogenen Daten des Bewerbers angefordert werden?

Rechtslage: Dass die Kommune nach der Zulässigkeit fragt, ist richtig. Denn nach § 8 Abs. 1 DSG NW trägt die Verantwortung für eine Übermittlung die anfragende Stelle dann, wenn es sich um eine öffentliche Stelle handelt. Ferner ist die Verarbeitung personenbezogener Daten auch erlaubt, wenn es sich um die Vorarbeiten zu einem Vertrag handelt. Der Vertrag ist der anstehende Arbeitsvertrag.

Ergebnis ist, dass die Anfrage und die Verarbeitung dieser Daten korrekt sind.

Fall 05/2021: Energieausweis eines öffentlichen Gebäudes per IFG?

Dieser Sachverhalt ist etwas ungewöhnlich: ein Bürger fordert die Einsicht in einen Energieausweis eines öffentlichen Gebäudes. Der Energieausweis ist nach § 80 des Gebäudeenergiegesetzes aber sowieso öffentlich auszuhängen. Daher kann der Ausweis wahlweise ausgehändigt oder auf den Aushang verwiesen werden.

Fall 06/2021: Homeoffice im Hotel?

Eine Kollegin fragte an, ob sie auch Homeoffice in einem Hotel belegen könnte. Hier ist das hoteleigene WLAN natürlich zu prüfen. Ideal sind Verbindungen per verschlüsseltem Tunnel, der das WLAN nur als "Straße" benutzt.

Fall 07/2021: Verspätete Weihnachtsgeschenke

Mal ein Sachverhalt aus der Korruptionsvorbeugung. Die Kolleginnen und Kollegen sind gut sensibilisert, fragen bei nahezu allen Geschenken nach. Oft sind es aber nur Geschenke ohne Vorbehalt zu jahreszeitlichen Anlässen. Da ihr Wert auch in aller Regel gering ist (Kugelschreiber, Kalender, Kekse etc.) ist das in den meisten Fällen in Orndung.

Einmal wurde allerdings ein Geschenk zu einem Antrag dazugelegt. Da sich hier eine direkte Verbindung zwischen Entscheidung und Belohnung aufdrängt, wurde das Geschenk zurück gesandt, der Antrag aber vorurteilsfrei bearbeitet.

Fall 08/2021: Akten zur Abschiebung

Ein nicht aufenthaltberechtigter, mehrfach krimineller Flüchtling sollte abgeschoben werden. Das wird in solchen Fällen allerdings auch dann ausgesetzt, wenn der Flüchtling (es ging wirklich um einen Mann) eine soziale Verbindung ins Inland hat und die auch "lebt".

Um festzustellen, ob der Abzuschiebende seine soziale Verbindung (die tatsächlich existierte) auch lebt, sind die Fachleute vom Jugendamt kompetent. Denn der Fragliche hatte mit einer Inländerin ein Kind. Daher wurde vom Ausländeramt die Akte angefordert.

In der Akte stehen allerdings personenbezogene Daten auch von anderen Personen. Die sollen natürlich nicht in das Verfahren einbezogen werden und müssen daher geschwärzt werden.

Die Alternative war hier eine Zusammenfassung seitens der Jugendamts-Sachbearbeiterin, die die Aktenlage in einem eigenen Bericht zusammenfasste. So konnte sich das Ausländeramt ein Bild machen und trotzdem die Daten schützen.

Ob und wie der Fall ausgegangen ist, weiß ich nicht. Datenschutz gilt selbstverständlich auch gegenüber dem Datenschutzbeauftragten.

Fall 09/2021: Personenbezogene Daten für den Brandschutzbedarfsplan

Sachverhalt: Alle fünf Jahre müssen die Kommunen einen Brandschutzbedarfsplan aufstellen. Darin wird u. a. festgehalten, wie viele Feuerwehrleute pro Tag bei Einsätzen zur Verfügung stehen. Dazu müssen die Feuerwehrleute individuell befragt werden, da es bei der Einsatzfähigkeit natürlich auch auf die beruflichen Gegebenheiten (Schichtdienst, entfernte Arbeitsstelle) ankommt.

Maßgeblich für die Rechtslage ist das Gesetz über den Brandschutz, der Hilfeleistung und des Katastrophenschutzes (BHKG). Im § 46 Absatz 2 BHKG ist festgelegt, dass personenbezogene Daten zur Vorbereitung vorbeugender Maßnahmen verarbeitet werden dürfen. Der Brandschutzbedarfsplan ist ohne Zweifel eine solche Maßnahme.

Im Ergebnis lässt sich feststellen, dass die Verarbeitung und auch die Übertragung an evtl. Organisationen zur Erstellung eines solchen Plans erlaubt ist. Das Gesetz schließt ausdrücklich "beteiligte Organisationen" mit ein.

Fall 10/2021: Sponsoring legitim?

Im Rahmen eines Förderprojekts wird eine Infobroschüre zur Mobilität vorbereitet, die allen Bürgern im Projektgebiet zugesandt werden soll. Das ortsansässige Carsharing-Unternehmen, das als Genossenschaft unter kommunaler Beteiligung organisiert ist, hat freundlicherweise Bilder zur Verfügung gestellt und wünscht sich in der Broschüre erwähnt zu werden. Dürfen wir das oder ist das unzulässige Werbung?

Die Regeln für Sponsoring sind üblicherweise in einer Korruptionsbekämpfungssatzung aufgeführt, da Sponsoring die Gefahr der Korruption beinhalten kann. Regeln sind beispielsweise, dass kein Geld fließen darf oder das gesponsorte Projekt (die Broschüre) nicht ausschließlich aus solchen Geldern finanziert wird.

Bei der ledliglichen Verfügbarkeit von Bildern ist das kein Problem.

Fall 10/2021: (Noch in Arbeit)

Fall 11/2021: Wie werden die Daten von Berechtigten für FFP2-Masken ermittelt?

Im Zuge der Erteilung von Berechtigungsscheinen für die FFP2-Masken im Januar wurde die Frage gestellt, wie denn diese Daten ermittelt werden und ob die Bundesregierung eine Statistik aufstellen könnte.

Die Antwort ist: Nein, denn die Bundesregierung erfährt die Daten der berechtigten Empfänger gar nicht. Die Krankenkassen meldeten ihren Bedarf durch eine Erhebung ihrer eigenen Daten und meldeten lediglich die Anzahl der notwendigen Masken. Die Ausgabe der Bezugsscheine erfolgte ebenfalls durch die Krankenkassen, so dass keine Daten nach Berlin gemeldet werden mussten.

Fall 12/2021: Dürfen zur Identitätsermittlung auch Fotos erstellt werden?

Ein Ordnungsamt wies eine Gruppe von Störern auf eine Ordnungswidrigkeit hin. Diese entzogen sich daraufhin durch Flucht der drohenden Ordnungsstrafe. Die Mitarbeiter/-innen des Ordnungsamtes fotografierten die Störer aber mit einer Digitalkamera und konnten durch Nachfragen die Identität der Störer feststellen. Diese erhoben Datenschutzbeschwerde.

Die Beschwerde ist abzuweisen. Zur Identitätsfeststellung sind regelmäßig auch Fotos erlaubt, sofern sie nur der Identifizierung von Personen dienen. Da eine Digitalkamera und kein Handy benutzt wurde, bestand auch nicht die Gefahr der verdeckten Datenübermittlung. Fotos von Betroffenen sind z. B. auch bei der automatischen Geschwindigkeitskontrolle schon lange möglich.

Fall 13/2021: Erlass des Innenministeriums NRW zur Identifizierung bei Impfungen

Das Ministerium für Arbeit, Gesundheit und Soziales NRW (MAGS NRW) teilt mit, dass zur Identifizierung in Impfzentren grundsätzlich ein Lichtbildausweis notwendig ist. Der könne im Einzelfall auch abgelaufen sein, müsse jedoch immer ein Foto tragen. Ferner sollen die Impfzentren Zugriff auf die Einwohnermeldedaten erhalten. Eine Bürgerin fragt, ob das "rechtens" sei.

Die Corona-Pandemie gilt grundsätzlich als "schwerwiegende grenzüberschreitende Gesundheitsgefahr" i. S. d. Art. 9 Abs. 2 Bst. i EU-DSGVO. Damit ist sogar eine systematischere Verarbeitung von Gesundheitsdaten möglich als bisher vom Staat durchgeführt. Der Datenschutz, das sei hier nochmals erwähnt, steht einem besseren Schutz vor Pandemien nicht entgegen.

Fall 14/2021: Verbandbucheinträge

Seit einiger Zeit muss jeder "Erste Hilfe"-Schrank in Gewerbebetrieben und Behörden mit einem "Verbandbuch" ausgestattet sein. Dort soll eingetragen werden, wer welche medizinische Behandlung durch den Schrank erhalten hat. Sinn der Sache ist es, mögliche Folgeschäden früh zu erkennen. Die Daten sind besondere Kategorien personenbezogener Daten i. S. d. Art. 9 EU-DSGVO.

Es muss daher darauf geachtet werden, dass diese Bücher nicht öffentlich einsehbar sind ("Erste Hilfe"-Schränke sind üblicherweise nicht verschlossen). Der Datenschutzbeauftragte ist selbstverständlich nicht berechtigt, diese Bücher aufzubewahren, da es hierfür keine Rechtsgrundlage gibt. Die Aufbewahrung muss an einer Stelle erfolgen, die derlei Rechtsansprüche bearbeitet (z. B. Personalamt).

Die Information der entsprechenden Stelle könnte durch eine (hausinterne) E-Mail erfolgen.

Es sei hier nochmal darauf hingewiesen, dass ein unberechtigter Datenabruf durch Administratoren bereits mehrfach zu berechtigten fristlosen Kündigungen geführt hat.

Fall 15/2021: Bewerbungsbogen Kindertagespflege

Neben den städtischen (und kirchlichen bzw. freien) Kitas entlasten viele Tagesmütter und -väter (Tagespflegestellen) die Bürger bei der Erziehung und Versorgung von kleinen Kindern. Selbstverständlich werden an die Betreiber von Tagespflegestellen sehr hohe Ansprüche gestellt, um das Wohl der Kinder garantieren zu können.

Wonach darf so ein Bogen fragen? Ich sehe hier die Frage nach Gesundheitsdaten und allgemeineren Daten durch den Art. 9 Abs. 2 Bst g) EU-DSGVO gedeckt, da sowohl der Verantwortliche (das Jugendamt der Gemeinde) als auch die Tageseltern ihren Verpflichtungen aus dem Kinderbildungsgesetz NRW (KiBiZ) nachkommen können müssen. § 20 KiBiZ enthält eine generelle Ermächtigung zur Verarbeitung dieser Daten, § 21 regelt die Qualifikationsanforderungen.

Fall 16/2021: Auslesen des Logbuchs einer Alarmanlage

In einer Schule wurde wiederholt die Alarmanlage nicht eingeschaltet. Es ließ sich durch Befragungen nicht feststellen, ob das Einschalten regelmäßig oder versehentlich erfolgte. Die Amtsleitung fragt an, ob das Logbuch der Alarmanlage in diesen Fällen ausgelesen werden darf. Das Logbuch enthält personenbezogene Daten der Beschäftigten, die die Alarmanlage bedienen.

Rechtsgrundlage ist hier, wie schon öfter, die Pflicht der Gemeinden, ihr Eigentum zu pflegen und zu schützen. Aus dieser rechtlichen Verpflichtung erwächst das Recht, eine möglicherweise vorsätzliche Erhöhung eines Einbruchsrisikos zu vermeiden.

Fall 17/2021: Akteneinsicht für den Personalrat

Eine Akteneinsicht ist auch für den Personalrat sehr schwierig. Selbst Geburtstagslisten sind eigentlich mangels Rechtsgrundlage nicht erlaubt. Das ist schwer verständlich, weil der Personalrat natürlich auf Seiten der Arbeitnehmer ist.

Dennoch lässt die Rechtslage das nicht grundsätzlich zu. Ich empfehle, die Einwilligung der Betroffenen einzuholen. Vor der Akteneinsicht müssen die personenbezogenen Daten Dritter natürlich geschwärzt werden.

Ferner besteht immer die Möglichkeit der Aktenauskunft. Dabei wird eine konkrete Frage an die aktenführende Stelle gestellt, die beantwortet werden soll. Hierbei werden in aller Regel keine personenbezogenen Daten offengelegt.

Fall 18/2021: Auftragsverarbeitungsvertrag vor 2018

Im Falle eines Auftragsverarbeitungsvertrages, der erstmals vor 2018 geschlossen wurde, wurden noch Gesetzesstellen zitiert, die überholt sind. Der Vertrag muss nicht grundsätzlich neu verhandelt werden. Die falschen Zitierstellen wurden aber korrigiert.

Fall 19/2021: Zugangsmöglichkeit zu Daten noch keine Verarbeitung

Ist die Ermöglichung eines Zugangs zu einem Raum mit personenbezogenen Daten bereits eine Datenverarbeitung? Immerhin fällt ja auch eine Offenlegung durch Übermittlung unter die Definition von Datenverarbeitung.

Versehentlich wurde der Schlüssel zu einem Büro an eine Person vergeben, die nicht zur Verarbeitung (hier Abruf) von personenbezogenen Daten berechtigt war. Allerdings wurde der Schlüssel eingezogen, bevor die Person den Raum betreten konnte.

Solange keine Daten offen gelegt wurden, also niemand konkret in den Räumen war und Daten abgerufen hat, liegt m. E. kein Datenschutzfall vor. Es wurden weder Daten noch Menschen geschädigt. Denn die Datenschutzgesetze definieren eine Datenschutzverletzung, wenn es eine „nicht rechtmäßige Datenverarbeitung“ gegeben hat. Hier fand aber (noch) keine Datenverarbeitung statt, weshalb es lediglich eine Bedrohungslage ist, die allein aber nicht meldepflichtig ist.

Fall 20/2021: Gefahr des Ausspähens von Daten beim Aktenumzug

Ein Archiv zieht um und die beauftragte Firma könnte in die Akten hineinsehen. Droht ein "Datenleck"?

Ja. Es ist nicht auszuschließen, dass jemand absichtlich oder versehentlich (umgefallene Kartons) Daten einsehen kann. Da die Akten personenbezogene Daten enthalten, sind die Transportbehälter so zu sichern, dass sie nicht einsehbar sind. Sollte das nicht möglich sein, besteht immer noch die Möglichkeit, der Firma eine Vertraulichkeitserklärung abzuverlangen.

Fall 21/2021: Amtsinterne Weitergabe von Daten

Meldet jemand einen Hund an, sollen die Daten automatisiert an das Steueramt weitergegeben werden, damit die Hunde besteuert werden können. Ist das ohne Einwilligung rechtmäßig?

Eine Einwilligung ist natürlich immer eine sichere Sache. Jeder darf mit seinen Daten tun und lassen, was er will und wenn Ihnen jemand in eine Verarbeitung (hier: Übermittlung) einwilligt, sind Sie immer auf der sicheren Seite.

Die EU-DSGVO regelt die amtsinterne Weitergabe der Daten nicht. Daher hat das Land NRW diese Rechtslücke ausgefüllt und eine Regelung vorgenommen. Da im Landeshundegesetz eine entsprechende Regelung nicht getroffen wurde, gilt das Datenschutzgesetz (NRW).

In § 6 Datenschutzgesetz NRW ist geregelt, dass eine regelmäßige Übermittlung zwischen öffentlichen Stellen dann erlaubt ist, wenn die Verarbeitung (also hier die Übermittlung) zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

„Regelmäßig“ heißt hier aber nicht „immer wieder“ sondern „einer Regel entsprechend“. Die Übermittlung findet regelmäßig statt, wenn jemand seinen Hund anmeldet. Die rechtliche Verpflichtung liegt beim Steueramt darin, die Steuern für Hunde einzuziehen.

Die Übermittlung ist also rechtmäßig.

Fall 22/2021: ZOOM

Die Firma ZOOM, die ein Videokonferenzsystem zur Verfügung stellt, bietet eine "EU-Option" an, bei der die Technik nur über europäische Server abläuft. ZOOM ist dabei Auftragsverarbeiter! Eine entsprechende Datenschutzerklärung muss vom Veranstalter der Videokonferenzen gegenüber den Betroffenen abgegeben werden.

Fall 23/2021: Verzeichnis der Verarbeitungstätigkeiten - ein Muster aus der Praxis

(noch in Arbeit)