Datenschutzbericht 2020: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 171: | Zeile 171: | ||
Dennoch gelobte die Kollegin künftig vorsichtiger zu sein und im E-Mail-Programm anstelle des Feldes “CC:” (“Carbon Copy”) lieber das Feld “BCC:” (“Blind Carbon Copy”) zu benutzen, welches die Adressen nicht offen legt. | Dennoch gelobte die Kollegin künftig vorsichtiger zu sein und im E-Mail-Programm anstelle des Feldes “CC:” (“Carbon Copy”) lieber das Feld “BCC:” (“Blind Carbon Copy”) zu benutzen, welches die Adressen nicht offen legt. | ||
− | == Fall 20/2020: Einrichtung einer “Corona”-Hotline | + | == Fall 20/2020: Einrichtung einer “Corona”-Hotline == |
Am Ende des ersten Quartals war auch “Corona” nochmal Thema. Eine Kommune rief beim Datenschutzbeauftragten an und fragte, ob die Einrichtung einer “Corona-Hotline” datenschutzrechtlich in Ordnung sei. Die Bürger sollten sich dort melden, wenn sie Krankheitssymptome haben oder einfach, wenn sie Informationen brauchten. | Am Ende des ersten Quartals war auch “Corona” nochmal Thema. Eine Kommune rief beim Datenschutzbeauftragten an und fragte, ob die Einrichtung einer “Corona-Hotline” datenschutzrechtlich in Ordnung sei. Die Bürger sollten sich dort melden, wenn sie Krankheitssymptome haben oder einfach, wenn sie Informationen brauchten. | ||
Version vom 16. Juli 2020, 08:53 Uhr
Frank Werner
Inhaltsverzeichnis
- 1 Quartalsbericht Datenschutz 2020/I (01.01.2020 - 31.03.2020)
- 1.1 Vorbemerkung
- 1.2 Fall 1/2020: Der Kampfhund in Facebook
- 1.3 Fall 2/2020: Notfallversorgungshinweis
- 1.4 Fall 3/2020: Einwohnerumfrage
- 1.5 Fall 4/2020: Bürger schicken Fotos von Falschparkern
- 1.6 Fall 5/2020: Verarbeitungsverzeichnis MP-FEUER
- 1.7 Fall 6/2020: DSE Feuerwehr
- 1.8 Fall 7/2020: Dienstanweisung Datenschutz
- 1.9 Fall 8/2020: Darf den Nachbarn der Eigentümer eines Grundstücks übermittelt werden?
- 1.10 Fall 9/2020: Unterschriftenpad: Wohin gehen die Daten?
- 1.11 Fall 10/2020: Wann dürfen Jungwähler angeschrieben werden?
- 1.12 Fall 11/2020: Darf eine Auskunft über eine Beerdigung erteilt werden?
- 1.13 Fall 12/2020: Ist eine DSE mit Formsolutions korrekt?
- 1.14 Fall 13/2020: Wie sieht ein Musterschild für eine Videoüberwachung aus?
- 1.15 Fall 14/2020: Aufnahmebogen Feuerwehr mit Gesundheitsangaben?
- 1.16 Fall 15/2020: Die Stunde des virtuellen Servers
- 1.17 Fall 16/2020: Datenschutz bei Seuchengefahr
- 1.18 Fall 17/2020: Datenschutz im Botendienst
- 1.19 Fall 18/2020: Homeoffice ab 23.03.2020
- 1.20 Fall 19/2020: Firmendaten wurden versandt
- 1.21 Fall 20/2020: Einrichtung einer “Corona”-Hotline
- 1.22 Nachbemerkung
Quartalsbericht Datenschutz 2020/I (01.01.2020 - 31.03.2020)
Vorbemerkung
Hier ist ein zusammengefasster Bericht über die Datenschutzfälle des ersten Quartals 2020. Dieser Bericht soll weiterhin regelmäßig quartalsweise erscheinen und Ihnen zugesandt werden. Mangels Aktenplan (und zur “Verwaltungsvereinfachung”) wurden die Fälle wie bisher einfach durchnummeriert. Ich habe mich bemüht, keine personenbezogenen Daten anzugeben. Auch keine Kommunen, da man dann von Funktionsträgern und Kommunen auf Personen schließen könnte.
Personenbezogene Nachfragen zu Fällen kann ich natürlich aufgrund der Geheimhaltungspflicht von Datenschutzbeauftragten (Art. 38 Abs. 5 EU-DSGVO) nicht beantworten. Zu den anderen Einzelheiten der Fälle gebe ich aber natürlich gern Auskunft. Bitte entschuldigen Sie die Verzögerung des Berichts. Ursprünglich sollte er bereits Anfang April erscheinen. Fragen zu Form und fehlende Angaben führten jedoch zu dieser Verzögerung.
Ich gelobe Besserung.
Frank Werner
Fall 1/2020: Der Kampfhund in Facebook
Eine Bürgerin veröffentlichte Bilder von ihrem Kampfhund auf Facebook. Der Hund war aber nicht gemeldet. Darf das Ordnungsamt aufgrund der Bilder eingreifen?
Ja, denn wer selbst etwas veröffentlicht, der muss damit rechnen, dass diese Daten verwendet werden. Jeder ist über die eigenen Daten verfügungsberechtigt. Für die Weiterverwendung von selbst veröffentlichten Fotos gilt das allerdings nicht.
Fall 2/2020: Notfallversorgungshinweis
Die Benutzung von Erste-Hilfe-Kästen muss seit dem 01.01.2020 protokolliert werden. Die Protokolle landen alle beim Datenschutzbeauftragten. Ist das richtig?
Auf keinen Fall. Derlei Daten sind Gesundheitsdaten, also besondere Kategorien personenbezogener Daten und haben beim Datenschutzbeauftragten nichts verloren. Daten müssen auch vor dem DSB geschützt werden.
Fall 3/2020: Einwohnerumfrage
Für ein Autobahn-Bauprojekt sollte eine Umfrage unter den Bürgern durchgeführt werden. Sind dazu Auszüge aus dem Einwohnermeldewesen statthaft?
Nein, es gilt die Zweckbindung. Zweck der Speicherung von Einwohnerdaten ist allerdings nicht das Erstellen von Umfragen. In solchen Fällen rate ich immer zu einem allgemeinen Aufruf.
Fall 4/2020: Bürger schicken Fotos von Falschparkern
Anfrage eines Ordnungsamtes: eine Bürgerin hat Fotos von falsch parkenden Autos an das Ordnungsamt gesandt. Dürfen diese Fotos verwendet werden?
Zwar sind Nummernschilder, da durch sie indirekt auf eine Person geschlossen werden kann, personenbezogene Daten. Ein Auto verfügt als Sache aber nicht über ein Recht auf informelle Selbstbestimmung.
Tatsächlich ist das Fotografieren eines im öffentlichen Raum stehenden Fahrzeugs (inkl. Nummernschild übrigens) von der “Panorama-Freiheit” gedeckt. Begründet wird das damit, dass es dem “Normalbürger” in aller Regel nicht möglich ist, aufgrund des Nummernschildes eine Halterermittlung durchzuführen.
Wichtig ist, dass das Fahrzeug im öffentlichen Raum steht. Müssen zur Bildherstellung Hindernisse überwunden (Zäune, Mauern, Vorhänge) oder Luftfahrzeuge eingesetzt werden (Drohnen!), ist die Aufnahme selbstverständlich verboten!
Nachtrag: Inzwischen gibt es sogar eine App namens “Wegeheld” (vermutlich eine Anspielung auf “Wegegeld”), die diese Meldungen bündelt und an das Ordnungsamt sendet.
Fall 5/2020: Verarbeitungsverzeichnis MP-FEUER
Die Beschaffung eines Programms ist seit der EU-DSGVO stets mit einem Eintrag im Verarbeitungsverzeichnis verbunden. Das Verarbeitungsverzeichnis löste das frühere Verfahrensverzeichnis ab.
Der Unterschied besteht in der höheren Genauigkeit. Ein Verarbeitungsverzeichnis enthält, neben Namen und Kontaktdaten von Verantwortlichen, Vertretern und Datenschutzbeauftragten, die Zwecke der Verarbeitungen sowie die Kategorien der verarbeiteten Daten und der betroffenen Personen.
Artikel 30 EU-DSGVO schreibt ferner vor, Übermittlungen außerhalb der EU und die Empfänger der Daten anzugeben. Ferner sind Löschfristen und technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung anzugeben. Es empfiehlt sich übrigens, die Hersteller von Software zu fragen. Das spart nicht nur Arbeit, inzwischen gibt es viele Hersteller, die vorgefertigte Anträge angefertigt haben, die der Datenschutzbeauftragte in das Verarbeitungsverzeichnis einarbeiten kann.
Fall 6/2020: DSE Feuerwehr
Eine Feuerwehr fragte sich, ob in einer Datenschutzerklärung unter “Verantwortliche” der Name der Feuerwehr eingetragen werden muss.
Verantwortlich ist immer diejenige Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 EU-DSGVO). Da die Feuerwehren von der Kommune verwaltet werden, muss dort der Bürgermeister stehen.
Fall 7/2020: Dienstanweisung Datenschutz
Unangenehme “Nachforschungen” nach einer jungen Kollegin von jungen Männern haben eine Kommune letztendlich dazu bewogen, eine “Dienstanweisung Datenschutz” zu erlassen. Die Herren riefen über ein Meldeportal ab, wo die junge Dame wohnt und wer noch dort wohnt.
Natürlich ist das Verarbeitung personenbezogener Daten ohne Rechtsgrundlage auch ohne eine Dienstanweisung verboten. Es gibt sogar eine passende Vorschrift für genau diese Fälle. § 33 Absatz 1 Nummer 2 des Datenschutzgesetzes Nordrhein Westfalen bedroht genau diese Abrufe mit einer saftigen Geldstrafe bis zu 50.000.- €.
Die Kommune war jedoch der Meinung, eine entsprechende Dienstanweisung würde einer notwendigen Sensibilisierung nützen, was zu hoffen ist. Zwar werden gegen öffentliche Stellen keine Strafen verhängt (§ 33 Absatz 4), jedoch ist für illegale Abrufe nicht der Dienstherr haftbar. Denn die Verarbeitung veranlassten die jungen Kollegen, was sie selbst zu Verantwortlichen macht. Die Dienstanweisung selbst darf die Regelungen der EU-DSGVO nicht wiederholen, sondern nur auf sie verweisen (Wiederholungsverbot). Insofern entstand eine Dienstanweisung, die lediglich “Lücken” auffüllen konnte, also genauere Regelungen für Verhältnisse, die die EU-DSGVO offen gelassen hat (“Öffnungsklauseln”).
Zur Sensibilisierung wurde der Kommune empfohlen, allen Zugriffsberechtigten zum Meldeportal eine Erklärung unterschreiben zu lassen. Damit erklären die Mitarbeiter, dass sie eine Belehrung über den § 33 erhalten und verstanden haben. Dass man anderen mit dienstlichen Mitteln nicht “hinterher forscht” sollte sich eigentlich - zumal im Öffentlichen Dienst - eigentlich von selbst verstehen.
Fall 8/2020: Darf den Nachbarn der Eigentümer eines Grundstücks übermittelt werden?
Ein Grundstücksbesitzer wollte, dass sein Nachbar seine Pflanzen zurück schneidet. Diese Pflanzen nahmen dem Beet des Grundstücksbesitzers das Licht.
Dummerweise war das Nachbargrundstück nicht bebaut und daher auch weder Briefkasten noch Klingel verfügbar. Bevor er sich zum Grundbuchamt begab, rief er den Datenschutzbeauftragten an.
Der ist zwar eigentlich für Bürgeranfragen nicht zuständig (Privatrecht = Bund), aber benannte Datenschützer werden trotzdem schon mal gebeten, eine Einschätzung abzugeben, um den Bürgern zu helfen. Da das auch durch das Gesetz gedeckt ist (§ 5 Rechtsdienstleistungsgesetz), ist Ärger mit örtlichen Anwälten nicht zu befürchten. Grundsätzlich sind die Kontaktdaten des Nachbarn natürlich personenbezogene Daten, jedenfalls, wenn das Grundstück einer Privatperson gehört (und nicht etwa einer Firma). Damit muss für die Herausgabe - eine Verarbeitungsart - eine Rechtsgrundlage bestehen (Erlaubnisvorbehalt).
Diese besteht in § 12 Absatz 1 der Grundbuchordnung. Hier ist geregelt, dass jeder eine Eigentümerauskunft erhält, der ein “berechtigtes Interesse” darlegt. Da die Güter des Antragstellers (Pflanzen) durch die wuchernden Pflanzen in Gefahr waren, sollte ein berechtigtes Interesse vorliegen.
So “bewaffnet” machte sich der Bürger auf den Weg zum Grundbuchamt und erhielt diese Auskunft.
Fall 9/2020: Unterschriftenpad: Wohin gehen die Daten?
Ein kritischer Bürger wollte wissen, was mit seiner Unterschrift passiert, die er auf einem “Pad”, einem Gerät mit Stift und druckempfindlichem Bildschirm (“Touchscreen”), geleistet hat.
Gemäß Artikel 15 wurde ihm sein Auskunftsrecht gewährt. Die Unterschrift wird verschlüsselt in seinem Datensatz des Einwohnermeldewesens gespeichert.
Fall 10/2020: Wann dürfen Jungwähler angeschrieben werden?
Im Fall 3/2020 wurde ermittelt, dass die EU-DSGVO es leider nicht erlaubt, die Meldedaten für andere administrative Zwecke zu verwenden. Als eine Anfrage aus der Politik kam, Jungwähler anzuschreiben und zur Kommunalwahl zu motivieren, schien dieselbe Antwort notwendig.
Tatsächlich ist das nicht der Fall. Das Bundesmeldegesetz erlaubt in § 50 die Auskunft über Jungwähler in den letzten sechs Monaten vor einer Wahl. Erlaubte Auskünfte sind Namen und Anschriften. Das genaue Geburtsdatum ist geheim. Die Anfrage darf aber alle Personen einschließen, die im entsprechenden Zeitraum volljährig werden (sog. qualifizierte Abfrage).
Fall 11/2020: Darf eine Auskunft über eine Beerdigung erteilt werden?
Eine Frau hatte sich mit ihren Eltern verkracht. Beide waren inzwischen verstorben als sie eine Anfrage an die Friedhofsverwaltung stellte. Sie wollte wissen, wo ihre Eltern genau beerdigt sind, um das Grab zu besuchen.
Eine andere Frau war in Sorge, dass eine Verwandte, die die Übernahme der Kosten einer Beerdigung versprochen hatte, diese auch beglichen hat.
Ein Japaner schrieb eine Stadtverwaltung an. Als Fan einer über Deutschland hinaus bekannten Kabarettisten-Gruppe wollte er wissen, ob der Gründer dieser Gruppe in der Stadt beerdigt ist, da er gern sein Grab besuchen wolle. Dürfen diese Auskünfte erteilt werden?
Tote Menschen sind - schlimm genug, aber unvermeidlich - rechtlich “Sachen” und haben damit keine eigenen Rechte mehr. Eine Leiche ist für Juristen ein Gegenstand. Folglich gilt auch der Datenschutz nicht mehr für Verstorbene. Im Fall der Frau, die das Grab ihrer Eltern besuchen wollte, konnte die Auskunft gegeben werden. Die Daten der Eltern sind auf einem Grabstein vorhanden und damit ohnehin öffentlich einsehbar. Durch systematisches Abgehen der wenigen städtischen Friedhöfe wäre sie ohnehin auf das Grab gestoßen.
Bei einem anonymen Grab hätte sie ein “berechtigtes Interesse” belegen müssen, was ihr als Tochter aber sicher gelungen wäre. Im zweiten Fall durfte das Friedhofsamt lediglich bestätigen, dass die Beerdigung bezahlt wurde. Von wem, ist nicht öffentlich. Auch hier liegt ein berechtigtes Interesse vor.
Im Falle des japanischen Fans hätte die Auskunft erteilt werden können, da, wie im ersten Fall, ein Grabstein mit vollem Namen vorhanden ist. Ferner handelt es sich um eine Person des öffentlichen Interesses wie bei vielen bekannten Künstlern. Der Künstler ist aber in seiner Heimatstadt nicht beerdigt, sondern in der nächsten Großstadt.
Friedhofsauskünfte sind immer ein unsicheres Terrain. Zwar haben die Verstorbenen selbst keine Rechte mehr, jedoch möglicherweise die Hinterbliebenen. Da ist im Einzelfall die Entscheidung schwierig. Einzelauskünfte werden i. d. R. gegeben. Gesamtauskünfte zum Aufbau von Datenbanken im Internet (z. B. Klaus Nerger oder Find-a-Grave) dagegen nicht.
Fall 12/2020: Ist eine DSE mit Formsolutions korrekt?
In einer Datenschutzerklärung erklärt der Verantwortliche, wie er welche Daten verarbeitet (Art. 13 EU-DSGVO). Das Programm “Formsolutions” ist ein Formulargenerator, der in vielen Kommunen eingesetzt wird. Eine Anfrage erreichte den Datenschutzbeauftragten, ob eine Datenschutzerklärung denn korrekt sei, wenn ihre “Anerkenntnis” elektronisch erfolgte.
Die Frage stellte sich eigentlich gar nicht. Denn eine Datenschutzerklärung muss nicht anerkannt werden, sondern nur erklärt. Das gilt nur für Einwilligungen, die hier aber gar nicht der Fall waren, da eine andere rechtliche Grundlage (Vertrag) bestand.
Fall 13/2020: Wie sieht ein Musterschild für eine Videoüberwachung aus?
Wer Gebiete per Video überwacht, greift gern auf vorgefertigte Schilder zurück. Diese sind z. B. in Baumärkten massenhaft vorhanden und werden auch gern gekauft und genutzt.
Leider reicht das nicht aus. Ein Kamerasymbol allein ist noch keine Datenschutzerklärung i. S. d. Art. 13 EU-DSGVO. Es fehlen z. B. Daten über die Verantwortlichen, den Zweck der Videoüberwachung und evtl. Übertragungen ins EU-Ausland.
Passende Schilder mit Erklärungen sind im Fachhandel zu finden. Ein einfaches Schild mit Kamera wird nicht mehr empfohlen. Auch wenn der Verantwortliche eine Übertragung ins EU-Ausland vehement bestritt, gab er doch zu, die Daten der Kamera gleich auf seine “Cloud” zu speichern und mit seinem Handy abzurufen. Er wollte die Bilder dadurch auch im Urlaub in Spanien abrufen können. Mit der Nutzung des Cloud-Dienstes und der Nutzung des Handys übermittelt er die Daten allerdings möglicherweise ins EU-Ausland. Die amerikanischen Firmen garantieren nämlich nicht, dass sie nur europäische Server nutzen.
Fall 14/2020: Aufnahmebogen Feuerwehr mit Gesundheitsangaben?
Nachwuchs für die Feuerwehr ist wichtig und so freute sich eine Freiwillige Feuerwehr über das Interesse einer ganzen Jugendgruppe. Als der Aufnahmeantrag vorlag, stutzte der Jugendgruppenleiter jedoch über die vielen Angaben zur Gesundheit seiner Mitglieder. “Zur Sicherheit” rief er beim Datenschutzbeauftragten an.
Angaben u. a. zur Gesundheit sind “Besondere Kategorien personenbezogener Daten” und besonders geschützt. Es bestehen besondere Anforderungen für Einwilligungen, rechtliche Grundlagen und Datenschutzerklärungen. Geht da alles mit rechten Dingen zu? Grundlage für die Verarbeitung von personenbezogenen Daten im Allgemeinen ist u. a. eine rechtliche Verpflichtung oder ein lebenswichtiges Interesse (Art. 6 Abs. 1 Bst. c und d EU-DSGVO). Für die Feuerwehren in Nordrhein Westfalen gilt das Gesetz über den Brandschutz, die Hilfeleistung und den Katastrophenschutz (BHKG).
Der § 46 Absatz 2 erlaubt ausdrücklich die Verarbeitung auch besonderer Kategorien personenbezogener Daten. Ferner gilt natürlich eine Sorgfaltspflicht des Dienstherrn gegenüber den Feuerwehrleuten bei gesundheitlichen Beeinträchtigungen. Der Dienst in der Feuerwehr ist mit starker körperlicher Belastung verbunden und der Dienstherr muss schon wissen, wer z. B. Vorerkrankungen hat. Eine Einwilligung ist daher nicht notwendig.
Die EU-DSGVO gebietet bei der Verarbeitung dieser Daten allerdings, dass sie durch Personal durchgeführt wird, das einer Geheimhaltungspflicht unterliegt. Das war der Feuerwehrverwaltung neu, wurde aber sofort nachgeholt in dem der Sachbearbeiter eine entsprechende Unterschrift leistete.
Fall 15/2020: Die Stunde des virtuellen Servers
Am Ende des ersten Quartals 2020 bildete sich schon deutlich die Gefahr einer Pandemie durch das Virus SARS-COV-2 ab, das weltweit für Infektionen sorgte. Um dem Schutz der Mitarbeiter/-innen nachzukommen, schickten fast alle Kommunalverwaltungen ihre Mitarbeiter kurzerhand in das “Home-Office”, also einen Arbeitsplatz zuhause.
IT-Leute erstellten auch, quasi “über Nacht”, ausreichende Server-Kapazitäten und Leitungen. Insgesamt zeigte sich, dass die Kommunalverwaltungen schnell und nachhaltig ein Problem lösen können, auf das sie sich nur wenig und kurz vorbereiten konnten. Damit ergaben sich auch neue Situationen für den Datenschutz, denn natürlich darf der Bauantrag des Nachbarn (auch hier) kein Thema am Abendbrot-Tisch sein. Problematisch war auch, dass es nicht ausreichend viele mobile Geräte gab und eine Massenschaffung nicht zweckmäßig war.
Die Kommunen lösten dieses Problem ziemlich elegant, in dem sie private Geräte einsetzen ließen. Die Datenverarbeitung auf privaten Geräten ist allerdings problematisch, da sich die Berechtigungen dem Zugriff der IT-Abteilung (und des Datenschutzes) entzieht.
So schlug die Stunde des “Virtuellen Desktops”. Diese Technik verbindet zwar ein Gerät mit einem Server, eine Datenverarbeitung auf dem Gerät findet aber nicht statt. Alle Programme und Daten bleiben auf dem dienstlichen Server und hinterlassen auf dem privaten Gerät keine Spuren.
Die Heimarbeiter wurden ferner darüber belehrt, dass die Zugriffe abgesichert sein müssen, keine Akten offen herumliegen und niemand bei der Verarbeitung “über die Schulter” schauen darf.
Fall 16/2020: Datenschutz bei Seuchengefahr
Ein Bürgermeister stellte die grundsätzliche Frage, was denn bei Pandemien erlaubt sei und ob es bestimmte Vorschriften auch für den Datenschutz gibt.
Tatsächlich gibt es den Begriff der “schwerwiegenden grenzüberschreitenden Gesundheitsgefahr” in der EU-DSGVO, wie eine Pandemie dort genannt wird. Er steht im Art. 9, Absatz 2, Buchstabe i der sich mit den “Besonderen Kategorien personenbezogener Daten” befasst.
In diesen Fällen ist die Verarbeitung dieser empfindlichen Daten erlaubt (siehe auch Fall 20/2020). Natürlich müssen auch die weiteren Rahmenbedingungen erfüllt sein.
Fall 17/2020: Datenschutz im Botendienst
Zum Austausch von Dokumenten wurde in einer Kommune ein eigener Botendienst eingerichtet. Dieser sollte dringende Akten (z. B. Jugendamt, Sozialamt) schnell zwischen den “Home-Offices” transportieren. Ist datenschutzmäßig dagegen etwas einzuwenden? Grundsätzlich nicht. Wenn diese Akten allerdings unverschlossen transportiert würden, wäre theoretisch die Möglichkeit gegeben, dass der Bote in diese Akten hineinsieht. Das wäre eine “Übermittlung durch Offenlegung” (Art. 4 Nr. 2) und damit eine Verarbeitung.
Dafür besteht aber keine Rechtsgrundlage, da der Bote für den Transport und die Zustellung i. d. R. nicht den Inhalt der Akten kennen muss. Daher müssen die Akten verschlossen transportiert werden. Da das auch die Adressierung mehrerer Akten erleichterte, wurde der Vorschlag angenommen.
Fall 18/2020: Homeoffice ab 23.03.2020
Auch der Datenschutzbeauftragte ging ins Home-Office, was ein paar Änderungen nach sich zog. Nachdem der Büroarbeitsplatz zu Hause durch neue Möbel und Geräte ein wenig “runderneuert” wurde, ging die Arbeit routiniert von der Hand. Durch die “Abgeschiedenheit” der heimischen Wohnung (ohne Mitbewohner) wurden Datenschutz-Telefonate länger und vertraulicher.
Eine Videokonferenz und mehrere Online-Seminare ließen sich technisch sehr gut darstellen. Angeschafft wurde ein neuer Monitor, der über eine schwenkbare Kamera verfügt. Auch eine “Freisprechanlage” erweiterte die Möglichkeiten des Dienstcomputers (eines kleinen Notebooks) erheblich. Kamera und Mikrofone lassen sich physikalisch verdecken bzw. abschalten.
Risikoloses Testen im eigenen Netzwerk erlaubten auch endlich die Fertigstellung von “EUGEN”, einem Programm, das durch Frage und Antwort versucht, einen Datenschutzfall einzuschätzen und einen kurzen Bericht zu generieren.
Die Website wurde im gesamten ersten Quartal überarbeitet und soll einen “Wissenscontainer” für Datenschutz werden. Grundlagen, Fälle und Urteile sollen dort mit aktuellen Entscheidungen kombiniert ein Nachschlagewerk bilden.
Fall 19/2020: Firmendaten wurden versandt
Aus einer Kommune wurde eine vermeintliche Datenpanne gemeldet. Eine Kollegin hatte in einer E-Mail an alle Firmen der Stadt irrtümlich allen alle E-Mail-Adressen offen gelegt. Eine solche Offenlegung ist eine Verarbeitung und sie entbehrt jeder Grundlage, erfordert also eine Einwilligung von allen Firmen.
Die Kollegin hatte aber tatsächlich keinen Datenschutz-Verstoß begangen. Die E-Mail-Adressen der Firmen waren durchgängig so genannte “Funktionsadressen”. Damit sind E-Mail-Adressen gemeint, die keine Namen, also keine personenbezogenen Daten enthalten. Anstatt also karin.muster@abc-gmbh.de zu adressieren, ging die E-Mail an Adressen wie sekretariat@... oder ähnliche. Keine der Adressen enthielt einen Namen. Firmen als juristische Personen genießen keinen Datenschutz. Die vermeintliche Datenpanne war also gar keine.
Dennoch gelobte die Kollegin künftig vorsichtiger zu sein und im E-Mail-Programm anstelle des Feldes “CC:” (“Carbon Copy”) lieber das Feld “BCC:” (“Blind Carbon Copy”) zu benutzen, welches die Adressen nicht offen legt.
Fall 20/2020: Einrichtung einer “Corona”-Hotline
Am Ende des ersten Quartals war auch “Corona” nochmal Thema. Eine Kommune rief beim Datenschutzbeauftragten an und fragte, ob die Einrichtung einer “Corona-Hotline” datenschutzrechtlich in Ordnung sei. Die Bürger sollten sich dort melden, wenn sie Krankheitssymptome haben oder einfach, wenn sie Informationen brauchten.
Die Erfassung der Symptome sollte in einer “Excel-Tabelle” erfolgen, also einem normalerweise ungeschützten Dokument. Die Verarbeitung dieser Gesundheitsdaten - wie erwähnt, “Personenbezogene Daten besonderer Kategorien” - sollte aber wenigstens verschlüsselt erfolgen.
Hier reicht ein einfaches Passwort beim Abspeichern nicht aus, da der Aufwand, diese einfach Verschlüsselung aufzubrechen in keinem Verhältnis zu den dann entdeckbaren Daten steht (nämlich “Wer hat alles möglicherweise Covid-19?”).
Man einigte sich darauf, als Sofortmaßnahme dennoch eine Speicherung per Kennwort (und viele Datensicherungen) zu erstellen. Spätere Maßnahmen sollten dann eine echte, verschlüsselte Datenbank entstehen lassen.
Nachbemerkung
Soweit der Bericht zu Fällen und Urteilen im ersten Quartal 2020. Der Bericht über das zweite Quartal ist in Arbeit und soll Anfang Juli erscheinen.
Frank Werner Behördlicher Datenschutzbeauftragter