(Dieser Bericht ist noch in Arbeit)

Was ist Datenschutz?

Die Verarbeitung (Erfassung, Änderung, Auswertung, Übermittlung, Zweckänderung, Löschung) von Daten, durch die eine natürliche Person eindeutig identifiziert werden kann, ist nur erlaubt, wenn diese Verarbeitung Teil eines Vertrags oder Vorvertrags ist, durch Gesetz erlaubt wird, einer rechtlichen Verpflichtung entspringt, lebenswichtige oder berechtigte Interessen vorliegen oder eine Einwilligung der Betroffenen vorliegt. Werden ethnische, biometrische, genetische oder andere sensible Daten verarbeitet, sind weitere Kriterien zu erfüllen. Möglicherweise müssen der oder die Verantwortlichen eine Datenschutzerklärung (bei Erfassungen) abgeben, ein Verfahrensverzeichnis führen, eine Datenschutzfolgenabschätzung abgeben und einen Datenschutzbeauftragten benennen. Auftragnehmer müssen zuverlässig sein und durch einen schriftlichen Vertrag verpflichtet werden.

Allgemeine Lage

• Die Anzahl der Datenschutzfälle im Jahr 2023 erreichte einen Tiefstand seit der Einrichtung nach der EU-DSGVO im Jahr 2016. Insgesamt wurden lediglich 55 Beratungen zu konkreten und größeren Fällen angefragt. Die restlichen Datenschutzaufgaben beinhalteten Routineaufgaben wie Erstellung von Datenschutzerklärungen, Entwurf von Verträgen, Kurzberatungen, einfache Anfragen oder die Prüfung dieser Dokumente.
• Im Bereich Datenschutz hat sich also eine gewisse Routine etabliert und das allgemeine Wissen über den Datenschutz ist bei den Beschäftigten gestiegen. Hervorzuheben ist nach wie vor die Sensibilität, mit der die Beschäftigten der zuständigen Kommunen Leichlingen, Overath und Odenthal arbeiten. Auch wenn nicht täglich nachgefragt wird, ist der Datenschutz ein Teil der täglichen Arbeit geworden und im Zweifel wird nachgefragt.
• Etwa 50 % der Aufträge kamen aus Leichlingen, 25 % jeweils aus Overath und Odenthal. Auch 2023 hat sich die Arbeit im Homeoffice sehr bewährt, da stets ein vertrauensvolles Umfeld offene Rede am Telefon ermöglicht.

Änderungen der Rechtslage im Datenschutz

Wieder datenschutzgerechte Datenübermittlungen in die USA ermöglichte ein neuer Beschluss. Im Sommer nahm die EU-Kommission das neue "Data Privacy Framework" an. Das war notwendig, weil die alte Regelung ("Data Privacy Shield") durch das so genannte "Schrems II"-Urteil im Sommer 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde.

Was vielleicht etwas akademisch klingt, hat ganz praktische Anwendungen. Ohne eine datenschutzgerechte Datenübermittlung in die USA konnte man streng genommen weder Handy noch Windows-PC einschalten, da beide Gerätearten ständig Daten in die Zentralen von Google bzw. Microsoft übertragen. Das ist jetzt wieder auf rechtssicherem Terrain möglich. Alle übermittelnden Organisationen müssen sich allerdings zertifizieren lassen und es wurden bereits Klagen gegen die neue Regelung angekündigt.

Nach dem Bundesmeldegesetz sind Auszüge aus dem Einwohnermelderegister für private Organisationen möglich, wenn die Kriterien exakt genug formuliert werden. Das Innenministerium NRW hat nun zusätzlich bestimmt, dass die Anzahl der Datensätze 2 % der Einwohnerschaft nicht übersteigen darf. Die Nutzung amtlicher Einträge im Register ist somit strenger geregelt. Kommunen dürfen allerdings gemäß dem Meldegesetz NRW Anfragen auch direkt an die Bürger weiterleiten. Umfragen könnten so verteilt werden, ohne dass die Daten der Bürger an die Organisationen herausgegeben werden müssten.

EuGH, Urteil vom 20. Dezember 2023, Rechtssache C-340/21

In diesem Urteil hat der EuGH entschieden, dass Betroffene nach einem Datenleck auch dann Schadensersatz geltend machen können, wenn ihre Daten (noch) nicht missbraucht wurden. Dies gilt auch dann, wenn der Verstoß nicht zu einer konkreten Beeinträchtigung der Rechte des Betroffenen geführt hat. Diese Entscheidung stärkt die Rechte der Betroffenen bei Datenschutzverletzungen und erleichtert ihnen den Zugang zu Schadensersatz.

EuGH, Urteil vom 20. Dezember 2023, Rechtssache C-807/21

In diesem Urteil hat der EuGH entschieden, dass die Bedingungen für die Verhängung von Bußgeldern im Datenschutzrecht nicht zu streng ausgelegt werden dürfen. Der EuGH hat klargestellt, dass die Mitgliedstaaten bei der Verhängung von Bußgeldern die Schwere des Verstoßes, die Dauer der Zuwiderhandlung, den Umfang der betroffenen Daten und die Art und Weise der Verarbeitung der Daten berücksichtigen müssen. Diese Entscheidung stärkt die Rechte der Betroffenen und stellt sicher, dass Unternehmen für Datenschutzverstöße angemessen sanktioniert werden.

BGH, Urteil vom 28. Juli 2023, Az. VI ZR 230/22

In diesem Urteil hat der BGH entschieden, dass Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, diese über die Erhebung, Verarbeitung und Nutzung der Daten in einer verständlichen und transparenten Weise informieren müssen. Der BGH hat klargestellt, dass die Informationspflicht auch dann besteht, wenn die Datenerhebung und -verarbeitung für die Erfüllung eines Vertrages erforderlich ist. Diese Entscheidung stärkt die Rechte der Verbraucher und stellt sicher, dass sie über die Verarbeitung ihrer Daten umfassend informiert werden.

BGH, Urteil vom 20. Juli 2023, Az. VI ZR 287/22

In diesem Urteil hat der BGH entschieden, dass Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, diese über die Rechte der Betroffenen in Bezug auf ihre Daten informieren müssen. Der BGH hat klargestellt, dass die Informationspflicht auch dann besteht, wenn die Datenerhebung und -verarbeitung für die Erfüllung eines Vertrages erforderlich ist. Diese Entscheidung stärkt die Rechte der Verbraucher und stellt sicher, dass sie über ihre Rechte in Bezug auf ihre Daten umfassend informiert werden.

OLG Frankfurt am Main, Urteil vom 20. Juni 2023, Az. 5 U 111/22

In diesem Urteil hat das OLG Frankfurt am Main entschieden, dass Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, diese über die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde informieren müssen. Das OLG hat klargestellt, dass die Informationspflicht auch dann besteht, wenn die Datenerhebung und -verarbeitung für die Erfüllung eines Vertrages erforderlich ist. Diese Entscheidung stärkt die Rechte der Verbraucher und stellt sicher, dass sie über die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde umfassend informiert werden.

Diese Urteile haben das Datenschutzrecht in Deutschland und der Europäischen Union in wichtigen Punkten weiter gestärkt. Sie schärfen die Pflichten von Unternehmen, die personenbezogene Daten von Verbrauchern verarbeiten, und erleichtern den Betroffenen den Zugang zu ihren Rechten.

Besondere Einzelfälle

• Befragungen, Teilnehmerlisten
• Kameraüberwachungen waren auch immer wieder mal Thema. Die Kernfrage betraf oft den beobachtbaren Bereich. Das private Grundstück darf jederzeit beobachtet werden. Jeder öffentliche Bereich ist prinzipiell zu vermeiden. Gibt es jedoch konkrete Anlässe, auch öffentliche Bereiche zu beobachten, muss ein entsprechendes Hinweisschild einsehbar sein, und zwar bevor der Kamerabereich betreten wird.
• KI in Schulen ist ein neueres Thema. So sehr es verständlich ist, dass sich Schulen mit dieser interessanten Technologie befassen, so sehr muss auch darauf hingewiesen werden, dass fremde personenbezogene Daten bei der Abfrage nicht eingegeben werden dürfen. Es ist weder bekannt, wo diese Daten gespeichert werden, noch ob sie aus einer KI zuverlässig löschbar sind.
• Ein Bürger, der auf Verlangen seinen Personalausweis einscannt und einer Behörde sendet, darf keine Felder abdecken. Behörden sind grundsätzlich zur eindeutigen Identitätsfeststellung berechtigt, sofern sie hoheitliche Aufgaben erfüllen.
• Google MyBusiness
• Kein berechtigtes Interesse von Kommunen bei Abrufen der SCHUFA
• Decken Namensadressen personenbezogene Daten auf?
• Studie "Muslimisches Leben in Deutschland" suspekt
• Neues Verfahren - Datenschutz?
• Aktentransport im Homeoffice

Erwähnenswertes aus den anderen Themenbereichen

eGovernment

Das Sachgebiet wurde Ende 2022 in kompetentere Hände abgegeben und kann daher künftig nicht mehr berichtet werden.

Informationsfreiheit

• Herausgabe der Schadstoffberichte einer Messung in einer Schule
• Fremde Veranstaltungsanträge veröffentlichungsfähig?
• Verkehrsrechtliche Anordnung

Korruptionsprävention

Eine Bürgerin, die endlich einen ersehnten Bescheid bekommen hatte, meldete sich bei der zuständigen Sachbearbeiterin und bot - ganz unverhohlen - einen Geldbetrag in einem Umschlag als "Belohnung" an. Nachdem die Sachbearbeiterin ordnungsgemäß erklärt hatte, dass derlei Belohnungen nicht erlaubt und auch nicht erwünscht sind, entfernte sich die Bürgerin. Anschließend fand die Sachbearbeiterin einen Geldumschlag mit diesem Betrag in ihrem Büro, das sie kurz verlassen hatte. Die Sachbearbeiterin informierte ordnungsgemäß ihren Vorgesetzten und den Korruptionspräventionsbeauftragten. Das Geld wurde sichergestellt und konnte der Bürgerin zurück gegeben werden.

NEU: Hinweisgeberschutz

• Die Bundesrepublik Deutschland wurde 2022 von der EU-Kommission verklagt, da sie noch nicht die Richtlinien zum besseren Schutz von Hinweisgebern in geltendes Recht umgesetzt hatte. Das wurde 2023 erfüllt.