Was ist Datenschutz?

Die Verarbeitung (Erfassung, Änderung, Auswertung, Übermittlung, Zweckänderung, Löschung) von Daten, durch die eine natürliche Person eindeutig identifiziert werden kann, ist nur erlaubt, wenn diese Verarbeitung Teil eines Vertrags oder Vorvertrags ist, durch Gesetz erlaubt wird, einer rechtlichen Verpflichtung entspringt, lebenswichtige oder berechtigte Interessen vorliegen oder eine Einwilligung der Betroffenen vorliegt. Werden ethnische, biometrische, genetische oder andere sensible Daten verarbeitet, sind weitere Kriterien zu erfüllen. Möglicherweise müssen der oder die Verantwortlichen eine Datenschutzerklärung (bei Erfassungen oder Empfang von Übermittlungen) abgeben, ein Verfahrensverzeichnis führen, eine Datenschutzfolgenabschätzung abgeben und einen Datenschutzbeauftragten benennen. Auftragnehmer müssen zuverlässig sein und durch einen schriftlichen Vertrag mit definiertem Inhalt verpflichtet werden.

Allgemeine Lage

• Die Anzahl der Datenschutzfälle im Jahr 2023 erreichte einen Tiefstand seit der Einrichtung nach der EU-DSGVO im Jahr 2016. Insgesamt wurden lediglich 55 Beratungen zu konkreten und größeren Fällen angefragt. Die restlichen Datenschutzaufgaben beinhalteten Routineaufgaben wie Erstellung von Datenschutzerklärungen, Entwurf von Verträgen, Kurzberatungen, einfache Anfragen oder die Prüfung dieser Dokumente.
• Im Bereich Datenschutz hat sich also eine gewisse Routine etabliert und das allgemeine Wissen über den Datenschutz ist bei den Beschäftigten gestiegen. Hervorzuheben ist nach wie vor die Sensibilität, mit der die Beschäftigten der zuständigen Kommunen Leichlingen, Overath und Odenthal arbeiten. Auch wenn nicht täglich nachgefragt wird, ist der Datenschutz ein Teil der täglichen Arbeit geworden und im Zweifel wird nachgefragt.
• Etwa 50 % der Aufträge kamen aus Leichlingen, 25 % jeweils aus Overath und Odenthal. Auch 2023 hat sich die Arbeit im Homeoffice sehr bewährt, da stets ein vertrauensvolles Umfeld offene Rede am Telefon ermöglicht.
• Ende des Jahres rückte das Thema Datenschutz noch in einem besonderen Fall in den Fokus der Öffentlichkeit. Durch einen immensen Schaden eines Cyberangriffs auf den Dienstleister "Südwestfalen IT", einem Zusammenschluss der KDVZ Hellweg-Sauerland und der SIT, fielen nahezu alle Systeme von 72 Kommunen in NRW für Wochen aus. Die anfängliche Befürchtung, es könnten Daten in großen Mengen abgeflossen sein, hat sich m. W. nicht bestätigt. Es blieb aber ein immenser Funktionsausfall der IT in Teilen von NRW.

Änderungen der Rechtslage im Datenschutz

Wieder datenschutzgerechte Datenübermittlungen in die USA ermöglichte ein neuer Beschluss. Im Sommer nahm die EU-Kommission das neue "Data Privacy Framework" an. Das war notwendig, weil die alte Regelung ("Data Privacy Shield") durch das so genannte "Schrems II"-Urteil im Sommer 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde.

Was vielleicht etwas akademisch klingt, hat ganz praktische Anwendungen. Ohne eine datenschutzgerechte Datenübermittlung in die USA konnte man streng genommen weder Handy noch Windows-PC einschalten, da beide Gerätearten ständig Daten in die Zentralen von Google bzw. Microsoft übertragen. Das ist jetzt wieder auf rechtssicherem Terrain möglich. Alle übermittelnden Organisationen müssen sich allerdings zertifizieren lassen und es wurden bereits Klagen gegen die neue Regelung angekündigt.

Nach dem Bundesmeldegesetz sind Auszüge aus dem Einwohnermelderegister für private Organisationen möglich, wenn die Kriterien exakt genug formuliert werden. Das Innenministerium NRW hat nun zusätzlich bestimmt, dass die Anzahl der Datensätze 2 % der Einwohnerschaft nicht übersteigen darf. Die Nutzung amtlicher Einträge im Register ist somit strenger geregelt. Kommunen dürfen allerdings gemäß dem Meldegesetz NRW Anfragen auch direkt an die Bürger weiterleiten. Umfragen könnten so verteilt werden, ohne dass die Daten der Bürger an die Organisationen herausgegeben werden müssten.

EuGH, Urteil vom 20. Dezember 2023, Rechtssache C-340/21

In diesem Urteil hat der EuGH entschieden, dass Betroffene nach einem Datenleck auch dann Schadensersatz geltend machen können, wenn ihre Daten (noch) nicht missbraucht wurden. Dies gilt auch dann, wenn der Verstoß nicht zu einer konkreten Beeinträchtigung der Rechte des Betroffenen geführt hat. Diese Entscheidung stärkt die Rechte der Betroffenen bei Datenschutzverletzungen und erleichtert ihnen den Zugang zu Schadensersatz.

EuGH, Urteil vom 20. Dezember 2023, Rechtssache C-807/21

In diesem Urteil hat der EuGH entschieden, dass die Bedingungen für die Verhängung von Bußgeldern im Datenschutzrecht nicht zu streng ausgelegt werden dürfen. Der EuGH hat klargestellt, dass die Mitgliedstaaten bei der Verhängung von Bußgeldern die Schwere des Verstoßes, die Dauer der Zuwiderhandlung, den Umfang der betroffenen Daten und die Art und Weise der Verarbeitung der Daten berücksichtigen müssen. Diese Entscheidung stärkt die Rechte der Betroffenen und stellt sicher, dass Unternehmen für Datenschutzverstöße angemessen sanktioniert werden.

BGH, Urteil vom 28. Juli 2023, Az. VI ZR 230/22

In diesem Urteil hat der BGH entschieden, dass Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, diese über die Erhebung, Verarbeitung und Nutzung der Daten in einer verständlichen und transparenten Weise informieren müssen. Der BGH hat klargestellt, dass die Informationspflicht auch dann besteht, wenn die Datenerhebung und -verarbeitung für die Erfüllung eines Vertrages erforderlich ist. Diese Entscheidung stärkt die Rechte der Verbraucher und stellt sicher, dass sie über die Verarbeitung ihrer Daten umfassend informiert werden.

BGH, Urteil vom 20. Juli 2023, Az. VI ZR 287/22

In diesem Urteil hat der BGH entschieden, dass Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, diese über die Rechte der Betroffenen in Bezug auf ihre Daten informieren müssen. Der BGH hat klargestellt, dass die Informationspflicht auch dann besteht, wenn die Datenerhebung und -verarbeitung für die Erfüllung eines Vertrages erforderlich ist. Diese Entscheidung stärkt die Rechte der Verbraucher und stellt sicher, dass sie über ihre Rechte in Bezug auf ihre Daten umfassend informiert werden.

OLG Frankfurt am Main, Urteil vom 20. Juni 2023, Az. 5 U 111/22

In diesem Urteil hat das OLG Frankfurt am Main entschieden, dass Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, diese über die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde informieren müssen. Das OLG hat klargestellt, dass die Informationspflicht auch dann besteht, wenn die Datenerhebung und -verarbeitung für die Erfüllung eines Vertrages erforderlich ist. Diese Entscheidung stärkt die Rechte der Verbraucher und stellt sicher, dass sie über die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde umfassend informiert werden.

Diese Urteile haben das Datenschutzrecht in Deutschland und der Europäischen Union in wichtigen Punkten weiter gestärkt. Sie schärfen die Pflichten von Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, und erleichtern den Betroffenen den Zugang zu ihren Rechten.

Besondere Anfragen und ihre Lösungen

• Bei Befragungen und Teilnehmerlisten ist darauf zu achten, dass die Teilnehmer ihre personenbezogenen Daten nicht gegenseitig sehen können. Wird die Datenschutzerklärung über der Liste aufgeführt, sollte sie eine Einwilligung beinhalten.
• Kameraüberwachungen waren auch immer wieder mal Thema. Die Kernfrage betraf oft den beobachtbaren Bereich. Das private Grundstück darf jederzeit beobachtet werden. Jeder öffentliche Bereich ist prinzipiell zu vermeiden. Gibt es jedoch konkrete Anlässe, auch öffentliche Bereiche zu beobachten, muss ein entsprechendes Hinweisschild einsehbar sein, und zwar bevor der Kamerabereich betreten wird.
• KI in Schulen ist ein neueres Thema. So sehr es verständlich ist, dass sich Schulen mit dieser interessanten Technologie befassen, so sehr muss auch darauf hingewiesen werden, dass fremde personenbezogene Daten bei der Abfrage nicht eingegeben werden dürfen. Es ist weder bekannt, wo diese Daten gespeichert werden, noch ob sie aus einer KI zuverlässig löschbar sind.
• Ein Bürger, der auf Verlangen seinen Personalausweis einscannt und einer Behörde sendet, darf keine Felder abdecken. Behörden sind grundsätzlich zur eindeutigen Identitätsfeststellung berechtigt, sofern sie hoheitliche Aufgaben erfüllen.
• Auch bei Google MyBusiness stellen sich die Fragen, die sich bei der Nutzung aller Dienste des Konzerns stellen. Das neue "Data Privacy Framework" der EU ermöglicht die Nutzung allerdings.
• Kein berechtigtes Interesse von Kommunen bei Abrufen der SCHUFA. Die SCHUFA fragt unregelmäßig an, ob Kommunen ein berechtigtes Interesse haben, Daten abzurufen. Dieses berechtigte Interesse ist für Behörden im Datenschutzrecht explizit ausgeschlossen. Korrekte Rechtsgrundlage ist der § 5 VwVG NRW, der eine Ermittlung erlaubt falls notwendige Daten fehlen.
• Decken Namensadressen personenbezogene Daten auf? Grundsätzlich nicht, da ein Name allein noch keine Zuordnung zu konkreten Personen ermöglicht (z. B. "Müller" als häufiger Name in Deutschland).
• Für eine Studie "Muslimisches Leben in Deutschland" wollte ein Umfrageinstitut einen passenden Datensatz aus dem Einwohnermelderegister erhalten. Bei besonderen Kategorien personenbezogener Daten wie der Religionszugehörigkeit sind strenge Kriterien zu erfüllen. Der Datensatz wurde von mir abgelehnt.
• Bei zwei größeren Fachverfahren in zwei Kommunen wurde die Einhaltung der datenschutzrechtlichen Vorschriften überprüft. Die Hersteller sind inzwischen sehr gut vorbereitet, so dass die passenden Unterlagen schnell geliefert wurden. Sehr löblich!
• Aktenverwaltung im Homeoffice ist erlaubt, sofern die Akten nur von Berechtigten eingesehen werden können. Sie sollen verschlossen werden.

Erwähnenswertes aus den anderen Themenbereichen

eGovernment

Das Sachgebiet wurde Ende 2022 in kompetentere Hände abgegeben und kann daher künftig nicht mehr berichtet werden.

Informationsfreiheit

• Die Herausgabe der Schadstoffberichte einer Messung in einer Schule konnte nicht gewährt werden, da das Verfahren noch nicht abgeschlossen war, was nach der Rechtslage keine Herausgabe ermöglicht.
• Ein konkurrierendes Veranstaltungsunternehmen wollte Einblick in Veranstaltungsanträge der Konkurrenzveranstaltung bekommen. Die dort aufgeführten personenbezogenen Daten verhinderten einen Einblick. Ein Einblick ohne personenbezogene Daten wäre nicht möglich gewesen.
• Ein Einblick in eine verkehrsrechtliche Anordnung war frei von Genehmigungshindernissen und konnte gewährt werden.

Korruptionsprävention

Eine Bürgerin, die endlich einen ersehnten Bescheid bekommen hatte, meldete sich bei der zuständigen Sachbearbeiterin und bot - ganz unverhohlen - einen Geldbetrag in einem Umschlag als "Belohnung" an. Nachdem die Sachbearbeiterin ordnungsgemäß erklärt hatte, dass derlei Belohnungen nicht erlaubt und auch nicht erwünscht sind, entfernte sich die Bürgerin. Anschließend fand die Sachbearbeiterin einen Geldumschlag mit diesem Betrag in ihrem Büro, das sie kurz verlassen hatte. Die Sachbearbeiterin informierte ordnungsgemäß ihren Vorgesetzten und den Korruptionspräventionsbeauftragten. Das Geld wurde sichergestellt und konnte der Bürgerin zurück gegeben werden.

NEU: Hinweisgeberschutz

Die Bundesrepublik Deutschland wurde 2022 von der EU-Kommission verklagt, da sie noch nicht die Richtlinien zum besseren Schutz von Hinweisgebern in geltendes Recht umgesetzt hatte. Das wurde 2023 erfüllt. Künftig wird hier berichtet.

In 2023 wurde meine Informationsbasis verbreitert und eine Einarbeitung erfolgte. Hinweise gingen nicht ein.