Datenschutzbericht 2022: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 70: Zeile 70:
 
= Fall 23/2022: Übermittlungssperre von Daten zwischen öffentlichen Stellen =
 
= Fall 23/2022: Übermittlungssperre von Daten zwischen öffentlichen Stellen =
 
{{:Fall 23/2022: Übermittlungssperre von Daten zwischen öffentlichen Stellen}}
 
{{:Fall 23/2022: Übermittlungssperre von Daten zwischen öffentlichen Stellen}}
 +
 +
= Fall 24/2022: Zeiterfassung mit Fingerabdrücken =
 +
{{:Fall 24/2022: Zeiterfassung mit Fingerabdrücken}}
 +
 +
= Fall 25/2022: Gemeinsame Adressenliste =
 +
{{:Fall 25/2022: Gemeinsame Adressenliste}}
 +
 +
= Fall 26/2022: Abwesenheitsmeldung mit Diagnose =
 +
{{:Fall 26/2022: Abwesenheitsmeldung mit Diagnose}}
 +
 +
= Fall 27/2022: Die Wildkamera auf dem Friedhof =
 +
{{:Fall 27/2022: Die Wildkamera auf dem Friedhof}}
 +
 +
= Fall 28/2022: WhatsApp im Jugendamt? =
 +
{{:Fall 28/2022: WhatsApp im Jugendamt?}}
 +
 +
= Fall 29/2022: Anfrage an das Gewerbezentralregister =
 +
{{:Fall 29/2022: Anfrage an das Gewerbezentralregister}}
 +
 +
= Fall 30/2022: Telefaxdienste =
 +
{{:Fall 30/2022: Telefaxdienste}}
 +
 +
= Fall 31/2022: Testdaten in der Grundschule =
 +
{{:Fall 31/2022: Testdaten in der Grundschule}}
 +
 +
= Fall 32/2022: Google Fonts - Abmahnung durch Benutzung von Schriftarten =
 +
{{:Fall 32/2022: Google Fonts - Abmahnung durch Benutzung von Schriftarten}}
 +
 +
= Fall 33/2022: Online-Befragung Kita-Bedarf =
 +
{{:Fall 33/2022: Online-Befragung Kita-Bedarf}}
 +
 +
= Fall 34/2022: Datensammlung der Stadtnetzwerkerinnen =
 +
{{:Fall 34/2022: Datensammlung der Stadtnetzwerkerinnen}}
 +
 +
= Fall 35/2022: Änderung des Anbieters für Arbeitsmedizin =
 +
{{:Fall 35/2022: Änderung des Anbieters für Arbeitsmedizin}}

Aktuelle Version vom 24. April 2023, 12:25 Uhr

Neben vielen telefonischen Auskünften, Besprechungen, Beratungen, der Schnellbearbeitung von Routinefällen, und dem Erstellen und Prüfen vieler üblicher Dokumente gab es auch in diesem Jahr einige Fälle, die genauer beschrieben werden sollen. Hier entstand nicht ein Zeitprotokoll, sondern eine Beschreibung einer Auswahl an m. E. interessanteren Fällen aus dem Datenschutz des Jahres 2022, die auch in die Akten aufgenommen wurden. Auch wenn die Texte hier kurz sind hat die Lösung der Fälle oft längere Zeit in Anspruch genommen.

Inhaltsverzeichnis

Fall 01/2022: Verfahren nach dem Informationsfreiheitsgesetz NRW

Es wurde eine Anfrage gestellt, ob eine Dienstanweisung auch das Verfahren nach dem Informationsfreiheitsgesetz NRW regeln muss. § 5 IFG NW regelt allerdings (ziemlich detailliert) das Verfahren nach einer Anfrage. Daher halte ich eine zusätzliche Regelung in einer Dienstanweisung nicht für notwendig. Beantwortet werden die Anfragen i. d. R. von den Fachämtern, die auch Detailkenntnisse haben. Eine zentrale Anfragestelle ist mir nicht bekannt.

Fall 02/2022: Datenschutzerklärung und Einwilligung zusammenfassen

Kann man Datenschutzerklärung und Einwilligung zusammenfassen? Ich habe folgenden Vorschlag gemacht:


DATENSCHUTZERKLÄRUNG (Art. 14 EU-DSGVO)

Ihre folgenden personenbezogenen Daten sollen bei Ihnen erhoben/aus dem Register [...] abgerufen und an XYZ übermittelt werden: Name, Adresse...(?). Zweck ist die Feststellung der Eignung ihres Hauses für ein Bürgerzentrum. Eine weitere Übermittlung der Daten, sowie eine weitere Verarbeitung der Daten findet nicht statt. Verantwortlich für die Verarbeitung ist ... Der Datenschutzbeauftragte ist unter datenschutz@... oder telefonisch unter ... erreichbar.

EINWILLIGUNG (Art. 7 EU-DSGVO)

Ich habe die oben aufgeführten Angaben verstanden und willige dieser Verarbeitung ein. Mir ist bekannt, dass ich diese Einwilligung jederzeit widerrufen kann und dass ab dem Widerruf diese Daten nicht mehr verarbeitet werden dürfen. Mir ist auch bekannt, dass ich ein Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Löschung habe, sofern keine gesetzlichen Regelungen entgegenstehen.

Bitte ergänzen Sie die passenden Daten und bewahren Sie die Einwilligungen sicher auf.

Fall 03/2022: Ermitteln von weiteren Bewerbungsunterlagen

Kita.jpg

Eine Bewerberin für eine Kitastelle in den städt. Kitas hat im Bewerbungsgespräch mitgeteilt, dass Sie derzeit als Kindertagespflegeperson tätig ist und den Wohnsitz in der Stadt hat. Nun ist die Frage, ob ich mit den Daten aus der Bewerbung Kontakt zur bisherigen Arbeitsstelle aufnehmen darf, um nachzuhören, woher Sie die Pflegeerlaubnis hat.

Die Antwort ist ja. Sie dürfen diese Daten erheben und sogar speichern bis das Bewerbungsverfahren abgeschlossen ist. Grundlage ist die Vorbereitung eines (Arbeits-)Vertrages (Art. 6 Abs. 1 Bst. b DSGVO).

Fall 04/2022: Auskunft über Mitglieder der Freiwilligen Feuerwehr

Ein Ratsmitglied einer Kommune fordert eine namentliche Liste aller Mitglieder der Freiwilligen Feuerwehr der Gemeinde an. Es soll nachgewiesen werden, dass die Mitglieder überdurchschnittlich alt sind und weit von der Wache entfernt wohnen.

Eine Rechtsgrundlage zur Übermittlung der personenbezogenen Daten sah ich nicht. Es wurde auch keine genannt. Daher empfahl ich, die Anfrage abzulehnen. Die Anregung der Sachbearbeitung, stattdessen eine anonyme Alterspyramide zu erstellen, fand ich dagegen passend.

Fall 05/2022: Aktualisierung der Satzung der Stadtbücherei

Eine Stadtbücherei muss ihre Satzung an die aktuelle Rechtslage im Datenschutz anpassen. Neben alten Rechtsvorschriften (u. a. Datenschutzgesetz NRW von 2001) sollte die Satzung allerdings auch eine Rechtsgrundlage für die Verabeitung personenbezogener Daten bilden. Das ist allerdings nicht möglich. Eine Satzung reicht als Rechtsgrundlage nicht aus.

Stattdessen ist die Verarbeitung personenbezogener Daten aber möglich: als Grundlage eines Vertrages, des Benutzervertrages. Denn natürlich müssen diese Daten stimmen, schon um die Identität der Besucher/-innen festzustellen.

Fall 06/2022: Landesgesellschaft - wer ist verantwortlich?

Eine Kommune erteilt einen Umfrageauftrag an eine Landesgesellschaft. Die Gesellschaft soll Bürger zur Teilnahme aufrufen und deren Anregungen per E-Mail entgegen nehmen und auswerten. Wer ist verantwortlicher Datenverarbeiter?

Verantwortlich ist, wer über Zweck und Mittel der Datenverarbeitung bestimmt. Das ist, da die Landesgesellschaft die Ideen der Bürger selbst erfasst, nicht die Gemeinde. Sie benötigt also weder eine Einwilligung noch muss sie eine Datenschutzerklärung gegenüber den Bürgern abgeben. Die Landesgesellschaft allerdings schon.

Fall 07/2022: Teilnehmerliste im Beirat für Menschen mit Behinderungen

Eine Kommune fragt an, ob eine Teilnehmerliste aller Mitglieder des Beirats für Menschen mit Behinderung erstellt werden darf. Die Mitglieder möchten eine solche Liste erstellen und unter sich verteilen. Steht der Datenschutz dem entgegen?

Mit seinen eigenen Daten kann man praktisch machen, was man will. Listen haben allerdings immer den Nachteil, dass jeder Interessent die Daten aller Teilnehmer einsehen kann. Bei öffentlichen Listen kann es sich gar um eine Offenlegung handeln. In einem solchen Fall sollte schon erklärt werden, welche Daten zu welchem Zweck erfasst werden und eine Einwilligung eingeholt werden. Wenn das getan ist, steht einer entsprechenden Liste nichts entgegen.

Es handelt sich auch nicht um besondere Kategorien personenbezogener Daten. Denn der Nachteil einer Behinderung ist nicht Voraussetzung für eine Mitgliedschaft im Beirat.

Fall 08/2022: Eingeschränkter Zugriff auf Einwohnermeldewesen für Statistiken

Um mögliche Gefährdungslagen frühzeitig zu erkennen, soll eine Leiterin eines Jugendamtes Zugriff auf das Einwohnermeldewesen erhalten. Da der Zugriff auf die Erstellung von Statistiken beschränkt ist, bestehen keine datenschutzrechtlichen Bedenken.

Fall 09/2022: Unfallkasse möchte den Namen eines Kindes erfahren

Eine Unfallkasse schrieb eine Kita-Leiterin an. Sie bat um den Namen eines Kindes, das eine Erzieherin mit Covid-19 angesteckt haben könnte. Vermutlich ging es um Schadensersatz.

Eine Rechtsgrundlage nannte die Unfallkasse nicht. Ich selbst habe auch keine gefunden und den Fall abgelehnt. Da das keine Folgen hatte, sieht die Unfallkasse die Sache vermutlich inzwischen auch so.

Fall 10/2022: Auskunft nach dem IFG

Chimney.jpg

Die Anwohner einer Pizzeria leiden unter dem hohen Schornstein, der auch ein Ordnungsamts-Verfahren ausgelöst hat. Zwecks gemeinsamen Vorgehens verlangen sie nach dem Informationsfreiheitsgesetz Auskunft darüber, wie das Ordnungsamt zu entscheiden gedenkt. Da das IFG den laufenden Entscheidungsprozess schützt (§ 4 IFG) ist eine Auskunft nicht möglich.

Fall 11/2022: Jugendparlament auf Instagram

Instagram.jpg

Ein Jugendparlament einer Kommune möchte Informationen an ihr Publikum auch über Instagram veröffentlichen. Stehen datenschutzrechtliche Bedenken entgegen?

Zunächst muss man berücksichtigen, dass Instagram zum Facebook-Konzern META gehört und daher möglicherweise nicht wirklich transparent erklärt, ob und wie es den Datenschutz einhält. Auch kann eine Instagram-Information nur abgerufen werden, wenn man angemeldet ist. Es drängt sich daher der Schluss auf, die Verwendung von Instagram bei Jugendlichen nicht zu empfehlen.

Allerdings sind zwei Aspekte für Instagram zu berücksichtigen. Zum Einen kann das Profil des Jugendparlaments öffentlich geschaltet werden und die Information kann so ohne Anmeldung abgerufen werden. Zum Zweiten ist Instagram nur ein Kanal zur Information. Man kann, muss aber nicht Instagram verwenden, um informiert zu sein.

Im Zweifel spricht also nichts gegen einen Instagram-Account für ein Jugendparlament.

Fall 12/2022: Vollständiges Löschen von Bewerberdaten

Ein Bewerber musste leider abgelehnt werden. In einem letzten Schreiben verlangt er die vollständige Löschung seiner Daten. Er beruft sich auf seine Betroffenenrechte, konkret auf das "Recht auf Vergessenwerden" gemäß Art. 17 EU-DSGVO.

Der Bewerber hat Recht. Zur Löschung reicht aber nicht die Löschung der aktuellen Dokumente des entsprechenden Ordners. Das "Recht auf Vergessenwerden" impliziert auch das Löschen aller Datensicherungen. Da das Bewerbungsverfahren länger als einen Tag gedauert hat, ist von einer Sicherung seiner Daten auf einen anderen Datenträger auszugehen.

Fall 13/2022: Erfassung von Besucherdaten

Zur Koordination von Besuchergruppen sollen Name und Handynummer von Interessenten erfasst werden. Was ist zu beachten?

Besucher schließen einen Dienstvertrag mit der Kirche ab. Der könnte als Rechtsgrundlage genutzt werden (Art. 6 Abs. 1 Bst. b EU-DSGVO). Dennoch muss eine Datenschutzerklärung abgegeben werden (Art. 13 EU-DSGVO). In der müssen die üblichen Angaben gemacht werden.

Fall 14/2022: Auskunft über ein entferntes Grundstück

Die Anwohnerin eines Grundstücks möchte Informationen nach dem § 4 IFG über ein etwa 50 m entferntes Grundstück erhalten. Sie fragt insbesondere nach Verkaufsabsicht, Nutzung und umweltrechtlichen Aspekten. Personenbezogene Daten könnten ja geschwärzt werden. Ist die Anfrage datenschutzrechtlich in Ordnung?

Im Datenschutz gilt das Verbot mir Erlaubnisvorbehalt. Erlaubt also keine Rechtsvorschrift die Verarbeitung von personenbezogenen Daten, dann ist sie verboten. Der § 4 IFG erlaubt allerdings nur Informationen zu nicht laufenden Verfahren. Da das Grundstück Teil eines laufenden Verfahrens war, musste die Auskunft verweigert werden.

Fall 15/2022: Auslagerung von Ticketverkäufen

Audience.jpg

Sachverhalt: Eine Kommune möchte den Ticketverkauf für ihre kulturellen Veranstaltungen an ein Privatunternehmen auslagern. Die Kommune erfasst die Daten der Interessenten und das Privatunternehmen wickelt den Verkauf ab. Was ist zu beachten?

Datenschutzrechtliche Prüfung: Datenschutzrechtlich könnte es sich um eine Auftragsverarbeitung handeln. Zu klären ist dabei, wer Mittel und Zweck der Datenverarbeitung bestimmt: die Kommune oder das Privatunternehmen. Da es sich um einen Auftrag und nicht um eine Zusammenarbeit handelt, bestimmt das Privatunternehmen, welche Programme es wofür einsetzt. Die Kommune wird auch Daten erfassen und an das Unternehmen weitergeben müssen. Daher handelt es sich auch um eine [Datenerfassung] und eine [Datenübermittlung].

Prüfungsergebnis: Notwendig sind ein Auftragsverarbeitungsvertrag gemäß Artikel 28 EU-DSGVO und eine Datenschutzerklärung nach Art. 13 EU-DSGVO, die alle Verarbeitungsschritte aufführt und auch den Namen des Unternehmens nennt, das diese Daten verarbeitet.

Fall 16/2022: Aufruf zu Bürgerwerkstätten

Sachverhalt: Eine Kommune rief ihre Bürger dazu auf, sich zu Bürgerwerkstätten zusammen zu schließen. Diese Werkstätten sollen selbstständig arbeiten, aber von der Kommune organisiert und unterstützt werden. Eine Datenschutzerklärung ist nicht notwendig, da die Kommune öffentliches Interesse geltend macht (Artikel 6, Absatz 1, Buchstabe e EU-DSGVO).

Datenschutzrechtliche Einordnung: Das öffentliche Interesse berührt regelmäßig öffentliche Belange zur Ver- und Entsorgung. Es überspannt daher notwendige Einrichtungen wie Müllabfuhr, Wasserversorgung, nicht aber Bürgerwerkstätten zur Förderung von Tourismus. Der erwähnte Artikel 6 kann daher nicht als Rechtsgrundlage dienen.

Ergebnis der Prüfung: Die Rechtsgrundlage reicht nicht aus. Es sind Einwilligungen zur Datenverarbeitung von den Interessenten einzuholen.

Fall 17/2022: Adressenermittlung von Abschlussschülern zwecks Gratulation

Sachverhalt: Eine Kommune möchte den Schülern eines Abschlussjahrgangs schriftlich gratulieren. Dazu übermitteln alle Schulen, bis auf eine, die Namen und Adressen der betroffenen Schüler. Die nicht übermittelnde Schule beruft sich auf das Datenschutzrecht. Ist das richtig?

Datenschutzrechtliche Prüfung: Grundsätzlich bedarf es immer einer Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. Möglicherweise hat die nicht übermittelnde Schule keine entsprechende Rechtsgrundlage gefunden. Es gibt sie aber. § 22 des Datenschutzgesetzes NRW bestimmt:

„Zur Vorbereitung öffentlicher Auszeichnungen und Ehrungen dürfen die zuständigen Stellen die dazu erforderlichen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Kenntnis der betroffenen Person verarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig.“

Ergebnis: Da es sich bei dem Glückwunschschreiben der Kommune um eine Ehrung handelt, darf die Schule die Namen und Adressen der zu ehrenden Schüler übermitteln.

Fall 18/2022: Mitarbeiterumfrage zur psychischen Belastung

Sachverhalt: Eine Kommune möchte von ihren Mitarbeitern wissen, ob und wie sich die Belastungen der Pandemie auf die Psyche der Mitarbeiter ausgewirkt haben. Dazu soll eine anonyme schriftliche Umfrage durchgeführt werden. Die Antwortzettel sollen in Kästen eingeworfen werden, die in den Ämtern stehen. Ist die Umfrage so datenschutzrechtlich einwandfrei durchführbar?

Prüfung: Es werden personenbezogene Daten besonderer Kategorien, nämlich Gesundheitsdaten, erhoben. Zwar ist jeder einzelne Fragebogen anonym. Durch die Verteilung auf einen Kasten pro Amt könnte die Anonymität jedoch aufgehoben sein. Wenn in einem Amt beispielsweise nur eine Person eines Geschlechts und eines Alters beschäftigt ist, könnte man ihren Fragebogen leicht ausfindig machen.

Ergebnis: Die Anonymisierung ist zu schwach. Gerade bei besonderen Kategorine personenbezogener Daten, wie hier der psychischen Belastung, muss man besondere Vorsicht walten lassen. Ich empfahl daher, die Umfrage so NICHT durchzuführen und stattdessen eine Rückgabe entweder zentral für alle Beschäftigten oder auf dem Postweg zu ermöglichen. Die Kommune hat die Umfrage gestoppt und erwägt eine andere Organisation.

Fall 19/2022: Impfunterlagen im Jugendamtssystem

Teddy.jpg

Sachverhalt: Eine Kommune eröffnet den Zugang ihres Pflegestellensystems für Kinder den Tagespflegestellen außerhalb der Stadtverwaltung. Da das System es ermöglicht, sollen dort persönliche Unterlagen eingestellt werden. Das sind Erziehungsberichte über Kinder, aber auch beispielsweise die Impfnachweise der Betreuer/-innen. Ist das datenschutzrechtlich zulässig?

Prüfung: Personenbezogene Daten dürfen nur verarbeitet werden, wenn es eine Rechtsgrundlage dafür gibt (Art. 5 EU-DSGVO). Besondere Kategorien personenbezogener Daten (Gesundheitsdaten wie Impfstatus) dürfen darüber hinaus nur bei noch strengeren Kriterien verarbeitet werden (Art. 9 EU-DSGVO). Eine der Erlaubniskriterien ist, dass die Betroffenen die Möglichkeit haben müssen, ihren arbeitsrechtlichen Pflichten nachzukommen. Da Gesundheitsdaten der Betreuer/-innen von Kindern explizit verarbeitet werden dürfen, ist die Einstellung der Daten rechtmäßig (§ 23 a Infektionsschutzgesetz).

Ergebnis: Das Einstellen des Impfstatus der Betreung ist rechtmäßig.

Fall 20/2022: Wie lange dürfen Aufzeichnungen aufbewahrt werden?

Sachverhalt: Eine Kommune zeichnet Sitzungen von Rat und Ausschüssen mit einem digitalen Aufzeichnungsgerät auf. Diese Aufzeichnungen werden benötigt, um Unstimmigkeiten im Protokoll zu klären. Eine Einwilligung aller Mitglieder liegt vor. Wie lange dürfen diese, doch sehr großen Aufzeichnungen aufbewahrt werden?

Prüfung: Eine Mindestfrist zur Aufbewahrung kennt das Datenschutzrecht nicht. Nach dem Gebot der Minimierung sollten die Daten allerdings nicht länger aufbewahrt werden als unbedingt nötig.

Ergebnis: Die Kommune hat ihre Aufbewahrungsrichtlinie dahingehend geändert, dass sie die Dateien nach der Kenntnisnahme des Protokolls der letzten Sitzung ersatzlos löscht.

Fall 21/2022: Dürfen die Gesundheitsdaten von Feuerwehrleuten verarbeitet werden?

Sachverhalt: Die Freiwillige Feuerwehr einer Kommune möchte die Daten ihrer Mitglieder elektronisch verarbeiten. Unter den zu verwaltenden Daten sind auch solche über den Gesundheitszustand (Allergien, Blutgruppe) der Feuerwehrleute, also besondere Kategorien personenbezogener Daten. Sinn der Sache ist, im Notfall schnell medizinisch notwendige Informationen bereitstellen zu können.

Prüfung: Die Verarbeitung von Daten wie Gesundheitsdaten muss u. a. im Sinne der Betroffenen sein, was ja hier zweifellos der Fall ist. Es fehlt aber eine materielle Rechtsgrundlage, die auch in der Datenschutzerklärung aufgeführt werden muss. Diese Rechtsgrundlage findet sich im § 46 des Gesetzes über Brandschutz, Hilfeleistungen und Katastrophenschutz (BHKG). Die Verarbeitung von Gesundheitsdaten ist dort explizit ermächtigt.

Ergebnis: Die Daten dürfen verarbeitet werden. Es ist aber eine Datenschutzerklärung abzugeben.

Fall 22/2022: Illegaler Abruf von Meldedaten

Sachverhalt: Manchmal lesen sich Datenschutzfälle auch wie kleine Krimis. Ein junger Mann interessierte sich für zwei Kolleginnen und hatte berufsbedingt Zugriff auf das Melderegister. Daraus ergab sich eine explosive Mischung, da der junge Mann die Meldedaten der beiden Kolleginnen abrief. Eine der Kolleginnen hatte allerdings eine Auskunftssperre, da sie durch ihre berufliche Position besonders geschützt werden musste. In solchen Fällen wird die Auskunft nicht elektronisch erteilt, sondern kommt auf Papier an das anfordernde Amt. Dadurch fiel der Abruf auf. Die Auskunft wurde dem jungen Mann aber nicht zugestellt, sondern seiner Chefin.

Prüfung: Natürlich handelt es sich um einen illegalen Abruf von personenbezogenen Daten. Hier greifen neben datenschutzrechtlichen auch strafrechtliche Vorschriften. Datenschutzrechtlich interessant ist, dass dieser Fall nach meinem Ermessen der Aufsichtsbehörde gemeldet werden musste. Es war der erste und bisher einzige Fall dieser Art.

Ergebnis: Als zuständiger Datenschutzbeauftragter bin ich die Verbindungsperson zur Aufsichtsbehörde (der Datenschutzbeauftragten des Landes). Die Sache wurde ordnungsgemäß gemeldet und eine Prüfung angeordnet. Nachdem ich alle Informationen und Unterlagen beigebracht habe, entschied die Landesbehörde, den Fall zu den Akten zu nehmen und auch im Landesbericht aufzuführen (natürlich anonym). Konsequenzen des Abrufs gab es für die Betroffenen zum Glück keine. Der Arbeitsvertrag des Täters lief ohnehin aus, so dass sich eine Kündigung erübrigte (selbstverständlich können illegale Abrufe zu einem Vertrauensverlust zwischen Arbeitgeber und Arbeitnehmer und damit zu einer fristlosen Kündigung führen). Die Kommune behält sich eine Strafanzeige vor.

Fall 23/2022: Übermittlungssperre von Daten zwischen öffentlichen Stellen

Sachverhalt: Eine Bürgerin hat eine Empfehlung von einer Kassenärztlichen Vereinigung (KV) für eine Vorsorgeuntersuchung bekommen. Diese Terminerinnerung, eigentlich als Dienst am Bürger gedacht, hat die Dame sehr verärgert. Sie vermutete, dass die Kommune ihre Daten an die KV weiter gegeben hat. Die Bürgerin verlangt Aufklärung über die Rechtsgrundlagen der Übermittlung und begehrt eine Auskunftssperre.

Prüfung: Die Übermittlung zwischen öffentlichen Stellen (das sind Stellen, die der Aufsicht des Landes unterstehen, § 2 BDSG) ist derart geregelt, dass die Übermittlerin nur prüft, ob die Anfrage in der Zuständigkeit der Empfängerin liegen. Bei KV trifft beides zu: sie werden vom Land beaufsichtigt und die Daten zur Vorsorgeuntersuchung gehört zu ihren Aufgaben. Eine Auskunftssperre würde diese Übermittlung verhindern, kann aber nur bei Gefahr für Leib und Leben verhängt werden.

Ergebnis: Die Übermittlung war rechtmäßig. Eine Auskunftssperre wird nicht verhängt.

Fall 24/2022: Zeiterfassung mit Fingerabdrücken

Sachverhalt: Eine neue Zeiterfassung muss her. Das war klar, nachdem die Firma des bisherigen Programms die langjährige Wartung aufgekündigt hat. Nach dem Auswahlverfahren wurde eine kostengünstige Variante gefunden. Anstelle von teuren Dongles sollen sich die Mitarbeiter/-innen durch ihre Fingerabdrücke identifizieren. Ist das datenschutzgerecht?

Prüfung: Fingerabdrücke sind Daten. Es sind sogar besondere Kategorien personenbezogener Daten, nämlich biometrische Daten. Die dürfen nur unter bestimmten Voraussetzungen verarbeitet (hier gespeichert und abgerufen) werden. Neben lebenswichtigen Interessen, die hier klar keine Rolle spielen, könnte die Wahrnehmung von Rechten aus dem Arbeitsrecht als Begründung dienen (Art. 9 Abs. 2 Bst. b EU-DSGVO). Eine Identifikation der Mitarbeiter/-innen ist jedoch auch mit den Dongles möglich und die Verhältnismäßigkeit spricht gegen die Fingerabdrücke. Zumal auch, im Falle von Auszubildenden, Minderjährige zu den Betroffenen gehören könnten.

Ergebnis: Eine Verarbeitung von Fingerabdrücken ist nur möglich, wenn von der gesamten Belegschaft eine explizite Einwilligung eingeholt werden kann. Einige äußerten sich schon kritisch und wollen die Einwilligung verweigern. Daher entschied sich die Kommune zu einer Lösung mit den Dongles.

Fall 25/2022: Gemeinsame Adressenliste

Sachverhalt: Optimierung ist ein Teil der Verwaltung. Abläufe sollen schneller laufen, weniger Daten verwaltet werden müssen mit dem gleichen Ergebnis. So sollten auch einmal erfasste Adressen der gesamten Verwaltung zur Verfügung stehen. Ein guter Ansatz. Hätte doch die Verwaltung immer einen aktuellen Datensatz ohne überflüssige Doppelerfassung.

Prüfung: Leider steht hier der Datenschutz tatsächlich mal im Weg. Denn unter den Adressen einer Kommune befinden sich auch Adressen, die nicht jeder in der Verwaltung kennen sollte: Prominente, Schutzbedürftige, Flüchtlingsheime, Frauenhäuser. Ich empfahl daher, keine gemeinsame Adressenliste zu erstellen.

Ergebnis: Die Kommune hielt sich an meine Empfehlung. Weniger Optimierung aber mehr Schutz der Bürger/-innen.

Fall 26/2022: Abwesenheitsmeldung mit Diagnose

Sachverhalt: Eine Kommune entwirft einen neuen Vordruck für die Abwesenheitsmeldung. Ein Kästchen kann angekreuzt werden "Verdacht auf Covid-19". Ist das datenschutzrechtlich zulässig?

Prüfung: Gesundheitsdaten als besondere Daten dürfen nicht erfasst werden. Ausnahmen bestimmt der Art. 9 EU-DSGVO. Eine weitere Ausnahme bestimmt der § 23 a des Infektionsschutzgesetzes. Der Arbeitgeber darf Impf- und Genesendenstatus erfassen, wenn der Bundestag eine "Epidemiologische Lage von nationaler Tragweite" beschlossen hat. Das war aber zum Zeitpunkt des Falles nicht mehr gegeben.

Ergebnis: Das Kästchen musste weg genommen werden.

Fall 27/2022: Die Wildkamera auf dem Friedhof

Sachverhalt: Der städtische Friedhof wird regelmäßig verwüstet. Die Kommune möchte genau wissen, ob Tiere dafür verantwortlich sind oder nicht, um entsprechende Schutzmaßnahmen zu ergreifen. Dazu soll eine Wildkamera aufgebaut werden. Was ist datenschutzrechtlich zu beachten?

Prüfung: Eine Wildkamera ist eine sehr sparsame und getarnte Kamera mit einem Selbstauslöser. Je nach Ausführung werden bei Bewegung im Sichtfeld Fotos geschossen oder Filmaufnahmen gestartet. Die meisten Wildkameras sind nicht online, sondern müssen regelmäßig besucht werden, um die Speichermedien zu wechseln. Da aber auch Menschen in das Blickfeld geraten können, gelten die Datenschutzregeln für Videoaufnahmen.

Ergebnis: Es ist ein entsprechendes Schild anzubringen, das eine Datenschutzerklärung beinhaltet.

Fall 28/2022: WhatsApp im Jugendamt?

Sachverhalt: Ähnlich einem früheren Fall (47/2020: WhatsApp im Ordnungsamt?) stellte sich die Frage, ob die Sachbearbeiter/-innen einer Abteilung des Jugendamtes datenschutzkonform eine WhatsApp-Gruppe bilden können.

Prüfung: WhatsApp als Teil des Facebook-Konzerns META hat eine unklare und europäischem Recht nicht entsprechende Datenschutzerklärung. Die Anwendung wird daher im professionellen Bereich nicht empfohlen. Im Jugendamt könnte man sich auch über besondere Kategorien personenbezogener Daten austauschen müssen. Der Einsatz ist daher faktisch verboten.

Ergebnis: Der Gruppe wurde empfohlen, die Anwendung SIGNAL zu verwenden, die aussieht und funktioniert wie WhatsApp.

Fall 29/2022: Anfrage an das Gewerbezentralregister

Sachverhalt: Anfrage an das Bürgerbüro: es werden die Adressen aller Firmen im Ort angefragt. Anfragerin ist die kommunale Wirtschaftsförderung.

Prüfung: Personenbezogene Daten sollen nicht abgefragt werden. Datenschutz gilt nur für natürliche Personen.

Ergebnis: Die Anfrage ist datenschutzrechtlich korrekt und darf beantwortet werden.

Fall 30/2022: Telefaxdienste

Telefax.jpg

Sachverhalt: Eine Kommune möchte einen Online-Telefaxdienst nutzen, um die Faxgeräte vor Ort nicht noch ersetzen zu müssen. Worauf ist zu achten?

Prüfung: Faxdienste sind recht beliebt. Man kann seine Faxkunden bedienen, ohne Faxgeräte kaufen, warten und entsorgen zu müssen. Die Faxdienste sind teilweise kostenlos, versenden und verwerten aber Daten. Diese werden teilweise an die Mutterkonzerne in den USA übermittelt.

Ergebnis: Der von der Kommune ausgewählte Faxdienst wurde nicht empfohlen. Es wurde ein Faxdienst gefunden, der sich an Europäisches Datenschutzrecht hält und z. B. eine korrekte Datenschutzerklärung abgibt.

Fall 31/2022: Testdaten in der Grundschule

Sachverhalt: Eine Grundschule möchte die Ergebnisse von Covid-19-Tests ihrer Schüler/-innen digital erfassen. Ist das datenschutzrechtlich möglich? Wie lange dürfen oder müssen die Daten aufbewahrt bleiben?

Prüfung: Maßgeblich ist das Schulgesetz NRW (SchulG). In § 120 SchulG ist bestimmt, dass Schulen die Daten von Schülern verarbeiten dürfen für Aufgaben, die ihnen nach Rechtsvorschrift übertragen wurde. Hier stellt sich die Frage, ob der Teststatus zu den übertragenen Aufgaben gehört. § 54 SchulG überträgt die Aufgabe der Schulgesundheit der Grundschule. Das impliziert auch den Teststatus, da infizierte Kinder vom Unterricht ausgeschlossen werden können.

Ergebnis: Die Daten dürfen erfasst werden. Eine Aufbewahrungsfrist besteht nicht. Es wurde empfohlen, die Daten nach Genesung der Kinder zu löschen oder - falls sie für statistische Zwecke genutzt werden sollen - zu anonymisieren.

Fall 32/2022: Google Fonts - Abmahnung durch Benutzung von Schriftarten

Sachverhalt: Eine Kommune wurde abgemahnt, weil sie auf ihrer Website ein Angebot der Firma Google nutzt. Neben vielen anderen Diensten bietet Google auch an, spezielle Schriftarten auf der eigenen Website zu nutzen. Da diese Schriftarten qualitativ hoch und einfallsreich sind, wird Google Fonts - so der Name - sehr breit genutzt. Die Firma Google erhebt keine Kosten für die Nutzung. Aber natürlich fließen die Nutzungsdaten in die Profildatenbank des Konzerns ein, der ihr als Grundlage für Werbung dient. Benutzer von Websites, die Google Fonts benutzen, übertragen also ihre Daten an die Firma Google. Die Datenschutzerklärung der Kommune, so die Abmahnkanzlei, erkläre diesen Sachverhalt nicht. Was kann die Kommune dagegen tun?

Prüfung: Die Angaben der Kanzlei sind technisch gesehen richtig. Allerdings gibt es einen Passus in der Datenschutzerklärung der Kommune ab einem Zeitpunkt vor der Abmahnung. Etwas später wurden die Google Fonts auch aus der Website der Kommune entfernt. Die Kanzlei wurde aufgefordert, Belege beizubringen. Der Zeitpunkt der Erfassung der Belege lag nach der Entfernung der Fonts und war damit hinfällig.

Ergebnis: Die Kanzlei hat vermutlich massenhaft Abmahnungen abgesandt. Eine genaue Prüfung fand offenbar nicht statt. Der Aufforderung zur Beibringung von Belegen wurde nicht nachgekommen. Vermutlich ist die Sache erledigt. Inzwischen bietet die Firma Google auch einen Passus an, der von Benutzern in die Datenschutzerklärung aufgenommen werden kann. Die Nutzung ist dann datenschutzrechtlich in Ordnung.

Fall 33/2022: Online-Befragung Kita-Bedarf

Sachverhalt: Eine Kommune möchte eine Online-Befragung durchführen. Es soll der Bedarf an Kita-Plätzen ermittelt werden. Die Umfrage soll in das Beteiligungsportal NRW eingestellt werden.

Prüfung: Die Teilnahme an der Befragung ist freiwillig. Außerdem werden Daten erhoben und durch Übermittlung offen gelegt. Das sind zwei Sachverhalte der Verarbeitung. Eine Einwilligung bezieht sich immer nur auf einen Sachverhalt. Die Daten sind daher zu anonymisieren, sofern keine weitere Einwilligung zur Veröffentlichung vorliegt.

Lösung: Ich empfehle, dem Fragebogen folgende Sätze voran zu stellen:

Die Stadt XXX erhebt hier Daten zum Zweck der Bedarfsfeststellung im Bereich Kindertagesstätten. Rechtsgrundlage ist Ihre evtl. Einwilligung am Ende des Fragebogens.

Am Ende des Fragebogens empfehle ich die folgenden Sätze.

Ich willige mit dem Ausfüllen und Absenden des Formulars der Verarbeitung meiner Daten zum oben genannten Zweck ein. Weitere Informationen über diese Datenverarbeitung erhalte ich vom Datenschutzbeauftragten der Stadt XXX unter der E-Mai-Adresse datenschutz@XXX

Dann sollten alle Anforderungen erfüllt sein.

Fall 34/2022: Datensammlung der Stadtnetzwerkerinnen

Sachverhalt: Eine Kommune schafft eine neue Schnittstelle zwischen Bürgern und Verwaltung. Diese sollen fallorientiert (in diesem Fall die Innenstadt-Sanierung) als Ansprechpartnerinnen für Bürger arbeiten und so den Lauf durch die Instanzen durch die Bürger vermeiden. Natürlich muss auch hier der Bedarf ermittelt werden. Außergewöhnlich zu anderen Umfragen ist hier, dass die Zielgruppe völlig ohne Kriterien gewählt wurde.

Prüfung: Es handelt sich hier um eine Verarbeitung von personenbezogenen Daten. Da es keine Rechtsgrundlage gibt, muss wieder eine Einwilligung eingeholt werden. Zur Wahl stehen eine Listenform oder einzelne Formulare.

Ergebnis: Die Listenform birgt immer das Problem der Offenlegung von Personendaten anderer Listenteilnehmer. Es gab keine sinnvolle Form, die diese Gefahr nicht enthielt (Abdecken oder Einzellisten). Wir haben uns daher auf das Formular geeinigt, das eine einfache Datenschutzerklärung beinhaltet.

Fall 35/2022: Änderung des Anbieters für Arbeitsmedizin

Sachverhalt: Eine Kommune möchte den Anbieter für arbeitsmedizinische Untersuchungen wechseln. Der bisherige Anbieter (ein Verein) löst sich auf und wird von einer Firma (GmbH) abgelöst. Was ist beim Wechsel zu beachten?

Prüfung: Medizinische Daten sind (vorbehaltlich einer Prüfung) immer auch Besondere Kategorien personenbezogener Daten. An die Verarbeitung dieser Daten werden erhöhte Anforderungen gestellt, so dass hier genau geprüft werden muss. Da keine konkreten Regelungen über Zweck und Ziel von Datenverarbeitungen im Vertrag geregelt wurden, handelt es sich um eine Auftragsverarbeitung.

Ergebnis: Der übergebene Vertrag erfüllt alle Anforderungen an einen Auftragsverarbeitungsvertrag. Der Zweck und die Verarbeitungsarten sind hinreichend genau beschrieben und der Schutz der besonders sensiblen Daten ist ausreichend. Ich habe keine Bedenken.