Datenschutzbericht 2021: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 379: Zeile 379:
 
== Fall 51/2021: Personenbezogene Daten in E-Mails ==
 
== Fall 51/2021: Personenbezogene Daten in E-Mails ==
 
{{:Fall 51/2021: Personenbezogene Daten in E-Mails}}
 
{{:Fall 51/2021: Personenbezogene Daten in E-Mails}}
 +
 +
== Fall 52/2021: Aufzeichnung und Veröffentlichung einer Videokonferenz ==
 +
{{:Fall 52/2021: Aufzeichnung und Veröffentlichung einer Videokonferenz}}
 +
 +
== Fall 53/2021: Einwilligung zum Recht am eigenen Bild ==
 +
{{:Fall 53/2021: Einwilligung zum Recht am eigenen Bild}}
 +
 +
== Fall 55/2021: Verzeichnis von Straßen, die von der Flut betroffen sind ==
 +
{{:Fall 55/2021: Verzeichnis von Straßen, die von der Flut betroffen sind}}
 +
 +
== Fall 56/2021: Siedlungsflächenmanagement ==
 +
{{:Fall 56/2021: Siedlungsflächenmanagement}}
 +
 +
== Fall 57/2021: Versand von Akten per E-Mail ==
 +
{{:Fall 57/2021: Versand von Akten per E-Mail}}
 +
 +
== Fall 58/2021: Speicherung von Impfdaten von Ratsmitgliedern ==
 +
{{:Fall 58/2021: Speicherung von Impfdaten von Ratsmitgliedern}}
 +
 +
== Fall 59/2021: Betriebliches Eingliederungsmanagement und Personalrat ==
 +
{{:Fall 59/2021: Betriebliches Eingliederungsmanagement und Personalrat}}
 +
 +
== Fall 60/2021: Kann man Surveymonkey nutzen? ==
 +
{{:Fall 60/2021: Kann man Surveymonkey nutzen?}}
 +
 +
== Fall 61/2021: Gruppenauskunft für KiJuPa? ==
 +
{{:Fall 61/2021: Gruppenauskunft für KiJuPa?}}
 +
 +
== Fall 62/2021: Keine Impfumfrage nach Liste! ==
 +
{{:Fall 62/2021: Keine Impfumfrage nach Liste!}}
 +
 +
== Fall 63/2021: Videoüberwachung der Gemeinden ==
 +
{{:Fall 63/2021: Videoüberwachung der Gemeinden}}
 +
 +
== Fall 64/2021: Datenschutz in der CovPass-App ==
 +
{{:Fall 64/2021: Datenschutz in der CovPass-App}}

Aktuelle Version vom 5. Januar 2022, 11:47 Uhr

Inhaltsverzeichnis

Fall 01/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation

DATENSCHUTZRECHTLICHE STELLUNGNAHME

a. Sachverhalt

Bei der Organisation einer Impfung gegen das derzeit grassierende SARS-COV-2-Virus und den damit verbundenen Schutz der Bevölkerung gegen die Krankheit COVID-19 sollen besonders gefährdete Bürgerinnern und Bürger zuerst geimpft werden.

In einem ersten Schritt möchte das Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein Westfalen (MAGS NRW) die Daten von über 80 Jahre alten Einwohnern erhalten, um diese anzuschreiben und die Impftermine zu koordinieren. Angefordert wurden Name, Geburtsdatum, Meldeadresse der betroffenen Bürger.

b. Rechtslage

Die zuerst zu prüfende Datenschutzverordnung der Europäischen Union (EU-DSGVO) regelt die Übermittlung zwischen öffentlichen Stellen innerhalb der Europäischen Union nicht. Daher sind nationale Regelungen zu prüfen, die diese Lücke ausfüllen. Die Übermittlung zwischen öffentlichen Stellen innerhalb von Nordrhein Westfalen regelt das Landesdatenschutzgesetz NRW (DSG NW).

Bei der Datenverarbeitung im Sachverhalt handelt es sich um eine Übermittlung personenbezogener Daten zwischen öffentlichen Stellen (innerhalb der Europäischen Union). Besondere Kategorien personenbezogener Daten sind davon nicht betroffen. Fraglich ist die Zulässigkeit der Übermittlung.

Die Verarbeitung personenbezogener Daten (also auch die Übermittlung) ist grundsätzlich verboten. Jede Verarbeitung benötigt daher eine genau zu benennende Rechtsgrundlage. Rechtsgrundlage für die Übermittlung von personenbezogenen Daten ist das DSG selbst, sofern kein spezielleres Recht vorgreift.

Verantwortlich für die Prüfung ist in der Regel die übermittelnde Stelle, also die Kommune (§ 8 Abs. 1 Satz 1 DSG NW). Erfolgt die Übermittlung dagegen aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung (§ 8 Abs. 1 Satz 2 DSG NW). Das ist im Sachverhalt der Fall.

Die übermittelnde Stelle (Kommune) prüft dann lediglich, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt (§ 8 Abs. 1 Satz 3 DSG NW). § 20 Abs. 5 des Infektionsschutzgesetzes regelt, dass die obersten Landesgesundheitsbehörden bestimmen dürfen, dass die (kommunalen) Gesundheitsämter Impfungen durchführen. Davon hat der Landesgesundheitsminister Gebrauch gemacht; die Übermittlung liegt also im Rahmen der Aufgaben der Kreise.

Die Übermittlung des Geburtsdatums könnte dem Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. C EU-DSGVO) widersprechen. Da ein Stichtag angegeben wurde (31.01.2021) ist von einer verfeinerten Auswahl der zu Impfenden nicht auszugehen. Geimpft wird, wer am 31.01.2021 80 Jahre alt ist.

Die Rechtmäßigkeit des Ersuchens prüft die Kommune allerdings nur, „wenn hierzu im Einzelfall Anlass besteht“ (§ 8 Abs. 1 Satz 4 DSG NW)). Da das Thema der Pandemie, die Entwicklung und Freigabe des Impfstoffes und die Organisation der Impfung täglich in Presse und Funk thematisiert sind, dürfte allgemein bekannt sein, dass und wie die Impfungen organisiert werden.

c. Ergebnis

Der „Einzelfall“ des Gesetzes besteht m. E. nicht. Die Daten dürfen an den Kreis übermittelt werden.

Frank Werner

Fall 02/2021: Anzeige gegen Hühnerhalter

Im zweiten Sachverhalt fühlten sich die Nachbarn eines Hühnerhalters vom Lärm der Tiere gestört und zeigten ihn an. Der wiederum wollte wissen, wer ihn angezeigt hat. Und erbat Auskunft nach dem Informationsfreiheitsgesetz von der Kommune.

Die Rechtslage gestaltet sich nach § 9 des Informationsfreiheitsgesetzes NRW. Demnach sind personenbezogene Daten ebenfalls geschützt, es sei denn, die Person, deren Daten angefordert wurden, ist gutachtlich tätig. Das ist bei den leidenden Nachbarn natürlich nicht der Fall.

Das Ergebnis ist klar: eine Auskunft über Personen ist nicht möglich. Natürlich könnte der Hühnerhalter die Akte einsehen. Namen müssten jedoch vorher geschwärzt werden.

Fall 03/2021: Auftragsverarbeitung bei Auslagerung?

Sachverhalt: Eine Gemeinde möchte die Berechnung und Auszahlung von Beihilfen an eine Krankenkasse auslagern. Reicht ein Vertrag zur Auftragsverarbeitung?

Rechtslage: Hier werden besondere Kategorien personenbezogener Daten verarbeitet. Die EU-DSGVO stellt an eine solche Verarbeitung besondere Ansprüche (Art. 9). Die Verarbeitung solcher Daten ist grundsätzlich nur zulässig, wenn u. a. ein Sozialrecht wahrgenommen werden soll (was hier ja der Fall ist). Ferner wird, wie auch im Auftragsverarbeitungsvertrag (Art. 28), eine Verschwiegenheit gefordert.

Ergebnis: Der vorgelegte Auftragsverarbeitungsvertrag erfüllt die Voraussetzungen an die Verarbeitung besonderer Kategorien personenbezogener Daten und die Voraussetzungen des Art. 28 ebenfalls.

Fall 04/2021: Informationen des Arbeitsamtes bei Einstellung?

Im Sachverhalt geht es um die Einstellung eines schwerer zu vermittelnden Bewerbers. Diese Menschen erhalten Förderungen von Arbeitsamt. Dürfen dazu die personenbezogenen Daten des Bewerbers angefordert werden?

Rechtslage: Dass die Kommune nach der Zulässigkeit fragt, ist richtig. Denn nach § 8 Abs. 1 DSG NW trägt die Verantwortung für eine Übermittlung die anfragende Stelle dann, wenn es sich um eine öffentliche Stelle handelt. Ferner ist die Verarbeitung personenbezogener Daten auch erlaubt, wenn es sich um die Vorarbeiten zu einem Vertrag handelt. Der Vertrag ist der anstehende Arbeitsvertrag.

Ergebnis ist, dass die Anfrage und die Verarbeitung dieser Daten korrekt sind.

Fall 05/2021: Energieausweis eines öffentlichen Gebäudes per IFG?

Dieser Sachverhalt ist etwas ungewöhnlich: ein Bürger fordert die Einsicht in einen Energieausweis eines öffentlichen Gebäudes. Der Energieausweis ist nach § 80 des Gebäudeenergiegesetzes aber sowieso öffentlich auszuhängen. Daher kann der Ausweis wahlweise ausgehändigt oder auf den Aushang verwiesen werden.

Fall 06/2021: Homeoffice im Hotel?

Eine Kollegin fragte an, ob sie auch Homeoffice in einem Hotel belegen könnte. Hier ist das hoteleigene WLAN natürlich zu prüfen. Ideal sind Verbindungen per verschlüsseltem Tunnel, der das WLAN nur als "Straße" benutzt.

Fall 07/2021: Verspätete Weihnachtsgeschenke

Mal ein Sachverhalt aus der Korruptionsvorbeugung. Die Kolleginnen und Kollegen sind gut sensibilisert, fragen bei nahezu allen Geschenken nach. Oft sind es aber nur Geschenke ohne Vorbehalt zu jahreszeitlichen Anlässen. Da ihr Wert auch in aller Regel gering ist (Kugelschreiber, Kalender, Kekse etc.) ist das in den meisten Fällen in Orndung.

Einmal wurde allerdings ein Geschenk zu einem Antrag dazugelegt. Da sich hier eine direkte Verbindung zwischen Entscheidung und Belohnung aufdrängt, wurde das Geschenk zurück gesandt, der Antrag aber vorurteilsfrei bearbeitet.

Fall 08/2021: Akten zur Abschiebung

Ein nicht aufenthaltberechtigter, mehrfach krimineller Flüchtling sollte abgeschoben werden. Das wird in solchen Fällen allerdings auch dann ausgesetzt, wenn der Flüchtling (es ging wirklich um einen Mann) eine soziale Verbindung ins Inland hat und die auch "lebt".

Um festzustellen, ob der Abzuschiebende seine soziale Verbindung (die tatsächlich existierte) auch lebt, sind die Fachleute vom Jugendamt kompetent. Denn der Fragliche hatte mit einer Inländerin ein Kind. Daher wurde vom Ausländeramt die Akte angefordert.

In der Akte stehen allerdings personenbezogene Daten auch von anderen Personen. Die sollen natürlich nicht in das Verfahren einbezogen werden und müssen daher geschwärzt werden.

Die Alternative war hier eine Zusammenfassung seitens der Jugendamts-Sachbearbeiterin, die die Aktenlage in einem eigenen Bericht zusammenfasste. So konnte sich das Ausländeramt ein Bild machen und trotzdem die Daten schützen.

Ob und wie der Fall ausgegangen ist, weiß ich nicht. Datenschutz gilt selbstverständlich auch gegenüber dem Datenschutzbeauftragten.

Fall 09/2021: Personenbezogene Daten für den Brandschutzbedarfsplan

Sachverhalt: Alle fünf Jahre müssen die Kommunen einen Brandschutzbedarfsplan aufstellen. Darin wird u. a. festgehalten, wie viele Feuerwehrleute pro Tag bei Einsätzen zur Verfügung stehen. Dazu müssen die Feuerwehrleute individuell befragt werden, da es bei der Einsatzfähigkeit natürlich auch auf die beruflichen Gegebenheiten (Schichtdienst, entfernte Arbeitsstelle) ankommt.

Maßgeblich für die Rechtslage ist das Gesetz über den Brandschutz, der Hilfeleistung und des Katastrophenschutzes (BHKG). Im § 46 Absatz 2 BHKG ist festgelegt, dass personenbezogene Daten zur Vorbereitung vorbeugender Maßnahmen verarbeitet werden dürfen. Der Brandschutzbedarfsplan ist ohne Zweifel eine solche Maßnahme.

Im Ergebnis lässt sich feststellen, dass die Verarbeitung und auch die Übertragung an evtl. Organisationen zur Erstellung eines solchen Plans erlaubt ist. Das Gesetz schließt ausdrücklich "beteiligte Organisationen" mit ein.

Fall 10/2021: Sponsoring legitim?

Im Rahmen eines Förderprojekts wird eine Infobroschüre zur Mobilität vorbereitet, die allen Bürgern im Projektgebiet zugesandt werden soll. Das ortsansässige Carsharing-Unternehmen, das als Genossenschaft unter kommunaler Beteiligung organisiert ist, hat freundlicherweise Bilder zur Verfügung gestellt und wünscht sich in der Broschüre erwähnt zu werden. Dürfen wir das oder ist das unzulässige Werbung?

Die Regeln für Sponsoring sind üblicherweise in einer Korruptionsbekämpfungssatzung aufgeführt, da Sponsoring die Gefahr der Korruption beinhalten kann. Regeln sind beispielsweise, dass kein Geld fließen darf oder das gesponsorte Projekt (die Broschüre) nicht ausschließlich aus solchen Geldern finanziert wird.

Bei der ledliglichen Verfügbarkeit von Bildern ist das kein Problem.

Fall 11/2021: (Noch in Arbeit)

Fall 12/2021: Wie werden die Daten von Berechtigten für FFP2-Masken ermittelt?

Im Zuge der Erteilung von Berechtigungsscheinen für die FFP2-Masken im Januar wurde die Frage gestellt, wie denn diese Daten ermittelt werden und ob die Bundesregierung eine Statistik aufstellen könnte.

Die Antwort ist: Nein, denn die Bundesregierung erfährt die Daten der berechtigten Empfänger gar nicht. Die Krankenkassen meldeten ihren Bedarf durch eine Erhebung ihrer eigenen Daten und meldeten lediglich die Anzahl der notwendigen Masken. Die Ausgabe der Bezugsscheine erfolgte ebenfalls durch die Krankenkassen, so dass keine Daten nach Berlin gemeldet werden mussten.

Fall 13/2021: Dürfen zur Identitätsermittlung auch Fotos erstellt werden?

Ein Ordnungsamt wies eine Gruppe von Störern auf eine Ordnungswidrigkeit hin. Diese entzogen sich daraufhin durch Flucht der drohenden Ordnungsstrafe. Die Mitarbeiter/-innen des Ordnungsamtes fotografierten die Störer aber mit einer Digitalkamera und konnten durch Nachfragen die Identität der Störer feststellen. Diese erhoben Datenschutzbeschwerde.

Die Beschwerde ist abzuweisen. Zur Identitätsfeststellung sind regelmäßig auch Fotos erlaubt, sofern sie nur der Identifizierung von Personen dienen. Da eine Digitalkamera und kein Handy benutzt wurde, bestand auch nicht die Gefahr der verdeckten Datenübermittlung. Fotos von Betroffenen sind z. B. auch bei der automatischen Geschwindigkeitskontrolle schon lange möglich.

Fall 14/2021: Erlass des Innenministeriums NRW zur Identifizierung bei Impfungen

Das Ministerium für Arbeit, Gesundheit und Soziales NRW (MAGS NRW) teilt mit, dass zur Identifizierung in Impfzentren grundsätzlich ein Lichtbildausweis notwendig ist. Der könne im Einzelfall auch abgelaufen sein, müsse jedoch immer ein Foto tragen. Ferner sollen die Impfzentren Zugriff auf die Einwohnermeldedaten erhalten. Eine Bürgerin fragt, ob das "rechtens" sei.

Die Corona-Pandemie gilt grundsätzlich als "schwerwiegende grenzüberschreitende Gesundheitsgefahr" i. S. d. Art. 9 Abs. 2 Bst. i EU-DSGVO. Damit ist sogar eine systematischere Verarbeitung von Gesundheitsdaten möglich als bisher vom Staat durchgeführt. Der Datenschutz, das sei hier nochmals erwähnt, steht einem besseren Schutz vor Pandemien nicht entgegen.

Fall 15/2021: Verbandbucheinträge

Seit einiger Zeit muss jeder "Erste Hilfe"-Schrank in Gewerbebetrieben und Behörden mit einem "Verbandbuch" ausgestattet sein. Dort soll eingetragen werden, wer welche medizinische Behandlung durch den Schrank erhalten hat. Sinn der Sache ist es, mögliche Folgeschäden früh zu erkennen. Die Daten sind besondere Kategorien personenbezogener Daten i. S. d. Art. 9 EU-DSGVO.

Es muss daher darauf geachtet werden, dass diese Bücher nicht öffentlich einsehbar sind ("Erste Hilfe"-Schränke sind üblicherweise nicht verschlossen). Der Datenschutzbeauftragte ist selbstverständlich nicht berechtigt, diese Bücher aufzubewahren, da es hierfür keine Rechtsgrundlage gibt. Die Aufbewahrung muss an einer Stelle erfolgen, die derlei Rechtsansprüche bearbeitet (z. B. Personalamt).

Die Information der entsprechenden Stelle könnte durch eine (hausinterne) E-Mail erfolgen.

Es sei hier nochmal darauf hingewiesen, dass ein unberechtigter Datenabruf durch Administratoren bereits mehrfach zu berechtigten fristlosen Kündigungen geführt hat.

Fall 16/2021: Bewerbungsbogen Kindertagespflege

Neben den städtischen (und kirchlichen bzw. freien) Kitas entlasten viele Tagesmütter und -väter (Tagespflegestellen) die Bürger bei der Erziehung und Versorgung von kleinen Kindern. Selbstverständlich werden an die Betreiber von Tagespflegestellen sehr hohe Ansprüche gestellt, um das Wohl der Kinder garantieren zu können.

Wonach darf so ein Bogen fragen? Ich sehe hier die Frage nach Gesundheitsdaten und allgemeineren Daten durch den Art. 9 Abs. 2 Bst g) EU-DSGVO gedeckt, da sowohl der Verantwortliche (das Jugendamt der Gemeinde) als auch die Tageseltern ihren Verpflichtungen aus dem Kinderbildungsgesetz NRW (KiBiZ) nachkommen können müssen. § 20 KiBiZ enthält eine generelle Ermächtigung zur Verarbeitung dieser Daten, § 21 regelt die Qualifikationsanforderungen.

Fall 17/2021: Auslesen des Logbuchs einer Alarmanlage

In einer Schule wurde wiederholt die Alarmanlage nicht eingeschaltet. Es ließ sich durch Befragungen nicht feststellen, ob das Einschalten regelmäßig oder versehentlich erfolgte. Die Amtsleitung fragt an, ob das Logbuch der Alarmanlage in diesen Fällen ausgelesen werden darf. Das Logbuch enthält personenbezogene Daten der Beschäftigten, die die Alarmanlage bedienen.

Rechtsgrundlage ist hier, wie schon öfter, die Pflicht der Gemeinden, ihr Eigentum zu pflegen und zu schützen. Aus dieser rechtlichen Verpflichtung erwächst das Recht, eine möglicherweise vorsätzliche Erhöhung eines Einbruchsrisikos zu vermeiden.

Fall 18/2021: Akteneinsicht für den Personalrat

Eine Akteneinsicht ist auch für den Personalrat sehr schwierig. Selbst Geburtstagslisten sind eigentlich mangels Rechtsgrundlage nicht erlaubt. Das ist schwer verständlich, weil der Personalrat natürlich auf Seiten der Arbeitnehmer ist.

Dennoch lässt die Rechtslage das nicht grundsätzlich zu. Ich empfehle, die Einwilligung der Betroffenen einzuholen. Vor der Akteneinsicht müssen die personenbezogenen Daten Dritter natürlich geschwärzt werden.

Ferner besteht immer die Möglichkeit der Aktenauskunft. Dabei wird eine konkrete Frage an die aktenführende Stelle gestellt, die beantwortet werden soll. Hierbei werden in aller Regel keine personenbezogenen Daten offengelegt.

Fall 19/2021: Auftragsverarbeitungsvertrag vor 2018

Im Falle eines Auftragsverarbeitungsvertrages, der erstmals vor 2018 geschlossen wurde, wurden noch Gesetzesstellen zitiert, die überholt sind. Der Vertrag muss nicht grundsätzlich neu verhandelt werden. Die falschen Zitierstellen wurden aber korrigiert.

Fall 20/2021: Zugangsmöglichkeit zu Daten noch keine Verarbeitung

Ist die Ermöglichung eines Zugangs zu einem Raum mit personenbezogenen Daten bereits eine Datenverarbeitung? Immerhin fällt ja auch eine Offenlegung durch Übermittlung unter die Definition von Datenverarbeitung.

Versehentlich wurde der Schlüssel zu einem Büro an eine Person vergeben, die nicht zur Verarbeitung (hier Abruf) von personenbezogenen Daten berechtigt war. Allerdings wurde der Schlüssel eingezogen, bevor die Person den Raum betreten konnte.

Solange keine Daten offen gelegt wurden, also niemand konkret in den Räumen war und Daten abgerufen hat, liegt m. E. kein Datenschutzfall vor. Es wurden weder Daten noch Menschen geschädigt. Denn die Datenschutzgesetze definieren eine Datenschutzverletzung, wenn es eine „nicht rechtmäßige Datenverarbeitung“ gegeben hat. Hier fand aber (noch) keine Datenverarbeitung statt, weshalb es lediglich eine Bedrohungslage ist, die allein aber nicht meldepflichtig ist.

Fall 21/2021: Gefahr des Ausspähens von Daten beim Aktenumzug

Ein Archiv zieht um und die beauftragte Firma könnte in die Akten hineinsehen. Droht ein "Datenleck"?

Ja. Es ist nicht auszuschließen, dass jemand absichtlich oder versehentlich (umgefallene Kartons) Daten einsehen kann. Da die Akten personenbezogene Daten enthalten, sind die Transportbehälter so zu sichern, dass sie nicht einsehbar sind. Sollte das nicht möglich sein, besteht immer noch die Möglichkeit, der Firma eine Vertraulichkeitserklärung abzuverlangen.

Fall 22/2021: Amtsinterne Weitergabe von Daten

Meldet jemand einen Hund an, sollen die Daten automatisiert an das Steueramt weitergegeben werden, damit die Hunde besteuert werden können. Ist das ohne Einwilligung rechtmäßig?

Eine Einwilligung ist natürlich immer eine sichere Sache. Jeder darf mit seinen Daten tun und lassen, was er will und wenn Ihnen jemand in eine Verarbeitung (hier: Übermittlung) einwilligt, sind Sie immer auf der sicheren Seite.

Die EU-DSGVO regelt die amtsinterne Weitergabe der Daten nicht. Daher hat das Land NRW diese Rechtslücke ausgefüllt und eine Regelung vorgenommen. Da im Landeshundegesetz eine entsprechende Regelung nicht getroffen wurde, gilt das Datenschutzgesetz (NRW).

In § 6 Datenschutzgesetz NRW ist geregelt, dass eine regelmäßige Übermittlung zwischen öffentlichen Stellen dann erlaubt ist, wenn die Verarbeitung (also hier die Übermittlung) zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

„Regelmäßig“ heißt hier aber nicht „immer wieder“ sondern „einer Regel entsprechend“. Die Übermittlung findet regelmäßig statt, wenn jemand seinen Hund anmeldet. Die rechtliche Verpflichtung liegt beim Steueramt darin, die Steuern für Hunde einzuziehen.

Die Übermittlung ist also rechtmäßig.

Fall 23/2021: ZOOM

Die Firma ZOOM, die ein Videokonferenzsystem zur Verfügung stellt, bietet eine "EU-Option" an, bei der die Technik nur über europäische Server abläuft. ZOOM ist dabei Auftragsverarbeiter! Eine entsprechende Datenschutzerklärung muss vom Veranstalter der Videokonferenzen gegenüber den Betroffenen abgegeben werden.

Die einzige Lösung, die mir in Bezug auf ZOOM einfällt, ist eine Vorschalt- oder Randnotiz.

Sofern man in ZOOM als Administrator einstellen kann, dass jedem Teilnehmer

  • vor der ZOOM-Sitzung oder
  • während der ZOOM-Sitzung

die Verweise auf die Datenschutzerklärung von ZOOM angezeigt werden, sollten diese auf folgende Links hinweisen:

Fall 24/2021: Verzeichnis der Verarbeitungstätigkeiten - ein Muster aus der Praxis

Das Baubetriebsamt einer Kommune hat mich beauftragt, ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 EU-DSGVO (kurz Verarbeitungsverzeichnis) zu erstellen. Ich möchte hier mal aufführen, wie ich bei dieser Aufgabe vorgegangen bin. Das Verarbeitungsverzeichnis enthält alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Für die Definitionen von "personenbezogenen Daten" und "verarbeiten" gelten die entsprechenden Artikel.

Eine Verarbeitungstätigkeit ist in der Betriebswirtschaftslehre allgemein als "Prozess" bekannt. Es gilt also diejenigen Prozesse des Amtes zu identifizieren, die die Verarbeitung von personenbezogenen Daten vorsehen. Hierzu empfiehlt es sich, zuerst die groben Prozesse zu identifizieren und diese dann detaillierter aufzuführen. Die groben Prozesse jedes Unternehmens sind in seinem Angebot zusammengefasst. Wenn wir wissen, was die Organisation nach außen anbietet, dann wissen wir, welche groben Prozesse in dieser Organisation vorhanden sind. Dieses Verfahren lässt sich auf alle Ebenen einer Organisation wiederholen.

Das Baubetriebsamt bietet an

  • Bestattungen für Menschen ohne bekannte Angehörige
  • Sondernutzungsgenehmigungen der Straße (Aufbruch, Plakatierung)
  • Patenschaft für Grünflächen
  • Verkauf von Waren (Sandsäcke, Schilder….)
  • Vermietung von Absperrungen
  • Tätigkeiten im Bereich Grünpflege (Baumrückschnitt auf Rechnung)
  • Tätigkeiten im Straßenbau (z.B. Bordesteinabsenkung auf Rechnung)

Die Herstelle der der eingesetzten Software wurden angeschrieben und übersandten verantwortungsbewusst ihre Datenschutzerklärungen bzw. Auftragsverarbeitungsverträge. Das scheint erfreulicherweise inzwischen üblich zu sein. Hier ist Vertraulichkeit natürlich selbstverständlich, auch wenn niemand anfragte, was die Konkurrenz wohl so regelt.

Die Prozessanalyse gestaltete sich etwas schwierig. Von außen ist ein Einblick kaum möglich, da es örtliche Gegebenheiten gibt, die berücksichtigt werden müssen. Daher wurde ein Prozessheft angefragt.

Normalerweise würde jetzt ein Besuch vor Ort viele Fragen klären. Wegen der Pandemie-Situation muss aber natürlich darauf verzichtet werden. Eine Videokonferenz würde die Mitarbeiter/-innen wohl auch zeitlich zu sehr belasten. Daher wurde schriftlich angefragt.

(wird fortgesetzt)

Fall 25/2021: Der (allzu tüchtige) Hausmeister

Ein Hausmeister einer Kommune kümmert sich um die Sammlung und Übergabe von Papiercontainern mit personenbezogenen Daten an ein qualifiziertes Unternehmen. Dabei öffnet der Mann die Container und optimiert die Füllung, so dass keine halbleeren Container abgegeben werden. Dies geschieht nicht aus böser Absicht sondern natürlich, um die Kosten zu optimieren. Die Vernichtung wird pro Container abgerechnet. Darf der Hausmeister die Container öffnen?

Zunächst mal geht es hier um personenbezogene Daten und eine Verarbeitung (nämlich um ein Auslesen gem. Art. 4 Nr. 2 EU-DSGVO). Eine solche Verarbeitung benötigt bekanntlich immer eine Rechtsgrundlage. Eine Einwilligung liegt nach derzeitigem Wissen nicht vor. Der Vertrag mit der Entsorgungsfirma (Auftragsverarbeitung, da die Daten vernichtet werden) kann nicht als Grundlage dienen, da die Betroffenen nicht Teil des Vertrages sind. Andere Interessen sind hier auch auszuschließen, soweit bekannt. Auch das Landesdatenschutzgesetz bietet keine Ermächtigung zur Datenverarbeitung.

Der Hausmeister darf die Container also nicht öffnen, um eine bessere Auslastung zu schaffen. Dazu reicht das Interesse daran nicht aus. Das Schutzbedürfnis der Betroffenen ist hier höher zu bewerten.

Da aber kein konkreter Fall eines Auslesens der Daten nachgewiesen werden konnte (keine Erwähnung von Akteninhalt im Kollegengespräch), reicht eine Ermahnung des Hausmeisters aus. Zeugen sagten aus, dass die Geschwindigkeit des Umräumens regelmäßig kein Lesen der Akten zulasse.

Fall 26/2021: Befund in Heilpraktikerrechnung

Ein Heilpraktiker übersandte seinem Rechtsanwalt eine Rechnung, die er nicht eintreiben konnte. Obwohl die Rechnung nicht nur die volle Adresse sondern auch den Befund des Patienten enthielt, leitete der RA diese an eine Kommune weiter, um den Verbleib des Patienten zu erfahren.

Der RA wurde darauf hingewiesen, dass besondere Kategorien personenbezogener Daten in diesem Fall nicht übermittelt werden durften. Die Übermittlung war für die Adressenabfrage irrelevant und entbehrte daher jeder Rechtsgrundlage.

Fall 27/2021: Übermittlung von Berechnungsergebnissen einer externe Behilfestelle

Eine externe Beihilfestelle hat Rechnungen und Befund vertragsgemäß an die beauftragende Kommune per E-Mail versandt. Zwar ist fraglich, ob diese Daten überhaupt übermittelt werden dürfen (immerhin darf der Arbeitgeber auch von Krankenkassen keine Befunde erhalten), die Daten wurden jedoch im Klartext übermittelt.

Wenn man keine Möglichkeit hat, verschlüsselte E-Mails zu versenden, sollte man sensible Daten wenigstens in einem Dokument an die E-Mail anhängen und dieses Dokument vorher mit einem Kennwort versehen. Das Kennwort selbst kann entweder telefonisch oder in einer weiteren E-Mail mitgeteilt werden. Nicht ganz zeitgemäß aber besser als Klartext.

Fall 28/2021: TalkEvent

Eine Kommune möchte die Software TalkEvent nutzen, um interne und externe Videokonferenzen, Chats etc. durchzuführen. Gibt es datenschutzrechtliche Bedenken?

Die Firma TalkEvent setzt den Datenschutz mustergültig um. Allerdings scheint die Nutzung des Browsers CHROME von Google technisch notwendig zu sein. CHROME setzt aber gern Datenschutzregeln nach Updates außer Kraft bzw. schaltet Schutzfunktionen wieder aus.

Eine Anfrage zur Notwendigkeit von CHROME wurde abgesandt. Die Antwort lautete, dass auch MICROSOFT EDGE als Browser einsetzbar sei. Das ist nur bedingt eine Erleichterung, denn seit einiger Zeit verwendet EDGE den gleichen "Unterbau" wie CHROME.

Da die Datenschutzeinstellungen korrekt regelbar sind, muss darauf geachtet werden, dass sie stets richtig gesetzt sind. GOOGLE und MICROSOFT verstoßen in diesen Fällen eigentlich gegen den Grundsatz der datenschutzfreundlichen Einstellungen von Beginn an ("Privacy by default").

Fall 29/2021: Dokumentenmanagementsystem

Ich wurde zu einer datenschutzrechtlichen Stellungnahme im Falle der Einführung eines Dokumentenmanagementsystems (DMS) gebeten. Ein DMS ist eigentlich ein normales Programm. Es gibt keine erhöhten Anforderungen an ein DMS als an andere Programme. Daher habe ich mich wie immer an folgende Liste gehalten:

  • Gibt es eine rechtmäßige Datenschutzerklärung?
  • Werden die Daten an Dritte übermittelt?
  • Welche technischen und organisatorischen Maßnahmen gibt es?
  • Werden personenbezogene Daten ohne Erwähnung verarbeitet (IP-Adressen, Profile)?

Das Programm zeigt eine korrekte Datenschutzerklärung an und speichert die Daten lokal auf dem Server der Kommune. Es sorgt für eine automatische Datensicherheit (Integrität, Redundanz) und erstellt auch weder Leistungsprofile noch Identitätsverfolgung.

Erwähnenswert finde ich noch, dass die Verantwortlichen nicht die Ersteller oder Beschaffer des Programms sind, sondern die Nutzer. Denn diese entscheiden allein über Mittel und Zweck der Verarbeitung.

Fall 30/2021: Zwangsinstallation einer App auf privatem Mobiltelefon?

Ein tüchtiger Mitarbeiter einer Kommune hat eine App erstellt, die eine Verbindung zwischen mobilen Telefonen und dem Netz der Kommune herstellt. Er stellt sich die Frage nach der erlaubten Datenverarbeitung und einer Möglichkeit, die Installation zu "erzwingen".

Da es keine rechtliche Grundlage für diese Art der Verarbeitung gibt, eine Verarbeitung aber vermutlich stattfindet (IP-Adressen), sind Datenschutzerklärung und Einwilligung notwendig.

Eine Möglichkeit, Mitarbeiter/-innen zu zwingen, die App zu nutzen, gibt es nicht. Schon gar nicht auf privaten Mobiltelefonen.

Fall 31/2021: Beerdigung als "Live-Stream"

Die Pandemie greift tief in das Privatleben ein. Die Teilnahme an Veranstaltungen ist stark eingeschränkt, um dem Virus weniger Möglichkeiten zu geben, sich zu verbreiten. Leider betrifft das auch sehr private Ereignisse wie Beerdigungen.

Ein Bürger hatte eine Firma beauftragt, eine Beerdigung "live zu streamen". Während der Beerdigung sollte also eine Möglichkeit gegeben werden, die Beerdigung aus der Ferne über das Internet zu verfolgen und so wenigstens "virtuell" dabei zu sein. Der Kreis der Empfänger soll dabei eingeschränkt sein (geschlossene Gruppe) und gespeichert werden sollte die Übertragung auch nicht.

Wir haben hier zwei Arten von Betroffenen: die Beerdigungsgäste und zufällige Friedhofsbesucher. Wenn die Gäste einzeln (!) eine Einwilligung abgeben und Friedhofsbesucher durch ein entsprechendes, vorübergehend installiertes Schild auf die Situation hingewiesen werden, steht einer "Live-Übertragung" des traurigen Anlasses nichts mehr im Wege.

Fall 32/2021: Unverschlüsselte E-Mail mit Beihilfedaten

Eine ausgelagerte Beihilfestelle hat eine Kontrollliste an ein Sachgebiet der beauftragenden Kommune gesandt. Leider war die E-Mail unverschlüsselt. Beihilfedaten enthalten aber Daten über gesundheitliche Behandlungen und die sind personenbezogen über eine Personalnummer erfahrbar.

Diese Offenlegung (gegenüber dem Mail-Anbieter) ist nicht rechtmäßig. Da die Einzelfälle nicht ermittelbar waren (auch der Datenschutzbeauftragte unterliegt dem Datenschutzrecht und darf nicht alles wissen), beliess ich es mit einem allgemeinen Hinweis an alle Sachbearbeitungen, solche empfindlichen Daten doch wenigstens in einem Kennwort-geschütztem Dokument zu versenden.

Fall 33/2021: Meldung an Tierschutzverein

Wenn man ein Tier aus einem Tierheim befreit, muss man, neben einem Kostenersatz, in aller Regel einen "Pflegevertrag" unterschreiben. In diesem Vertrag wird festgelegt, wie das Tier zu behandeln ist. Es darf z. B. nicht weiterverkauft werden. Im Falle eines Vertragsverstoßes behält sich das Tierheim vor, das Tier zurück zu holen.

Auch wenn diese Regelung im Sinne der Tiere ist, ist sie rechtlich fraglich. Der Kostenersatz ist eigentlich eine Vermittlungsgebühr, auch wenn niemand etwas daran verdient. Sie belohnt rechtlich die Vermittlung des Tieres und natürlich auch die Futterkosten. Das Wichtige dabei ist aber, dass mit der Bezahlung der Gebühr und der Übergabe des Tieres die Vermittlung erfolgt ist.

Eine Zurückforderung ist daher nicht oder nur sehr schwer möglich. Natürlich gilt nach wie vor der Tierschutz. Sollte das Tier also falsch behandelt werden, kann man nach wie vor bestraft werden. Ein Eigentumsvorbehalt dagegen dürfte rechtlich nicht haltbar sein. Eigentum ist Eigentum und auch wenn es merkwürdig klingt, kann man ein Eigentum auch an einem Tier erwerben.

Warum steht das alles hier? Eine Ordnungsamtsmitrbeiterin hat dienstlich erfahren, dass ein Tier, welches durch ein Tierheim vermittelt wurde, von der Halterin weiter verkauft wurde. Obwohl das klar einen Verstoß gegen den Pflegevertrag darstellt, darf die tierliebe Mitarbeiterin die Daten der Halterin, der neuen Halter und die Tatsache des vermutlichen Verkaufs nicht an das Tierheim melden. Es gibt nämlich keine Rechtsgrundlage dafür.

Zwar ist ein Vertrag im Spiel, das Ordnungsamt ist jedoch kein Partner des Vertrages. Leider sind ihr rechtlich alle Möglichkeiten verwehrt, das Tierheim zu informieren. Sollte sie dagegen auf einem Spaziergang den Hund mit einem neuen Halter oder einer neuen Halterin sehen, steht es ihr als Privatperson frei, sich bei dem Tierheim zu melden.

Fall 34/2021: Weitergabe der Daten von Fahrradboxen-Mietern an neuen Anbieter

Die Fahrradboxen einer Kommune werden zukünftig von einem anderen Anbieter bewirtschaftet. Es besteht mit 6 Leuten ein Mietverhältnis und eine Interessentenliste von mehreren Leuten. Die Mieter haben die Kommune gebeten, ihre Daten an den neuen Anbieter weiterzugeben, die anderen haben sich nicht gemeldet. Dürfen diese Daten an den neuen Anbieter weitergegeben werden?

Grundsätzlich besteht ein Verbot der Verarbeitung (hier: Übermittlung) personenbezogener Daten an Dritte. Die Daten dürfen also erstmal nicht weitergegeben werden. Da jedoch ein Übermittlungsauftrag der Mieter besteht, müssen die Daten sogar weitergegeben werden. Diese gebietet das Recht auf Datenübertragbarkeit des Art. 20 EU-DSGVO.

Es könnte sich im Falle der Daten der Interessenten um vorvertragliche Maßnahmen handeln (Art. 6 Abs. 1 Bst b EU-DSGVO), was eine Übertragung rechtfertigen könnte. Erwägungsgrund 44 (EWG 44) erklärt, dass die Übermittlung der Daten zur Erfüllung eines Vertrages erforderlich sein muss. Das könnte bei einer Interessentenliste der Fall sein.

Ich wäge dabei allerdings die Interessen des neuen Anbieters und den Schutz der Daten der Interessenten ab. Die Interessentenliste ist recht alt. Es ist daher nicht mehr so sicher, ob die Interessenten wirklich noch interessiert sind. Ich habe mich dahe dafür entschieden, von der Übermittlung der Daten der Interessenten an den neuen Anbieter abzuraten.

Stattdessen wird der Anbieterwechsel in der örtlichen Zeitung veröffentlicht und die Interessenten gebeten, ihre Einwilligung zur Übermittlung der Daten einzureichen. Damit bestehen klare Willenserklärungen.

Fall 35/2021: Widerspruch in die Verarbeitung durch "Luca"

Eine Bürgerin reicht einen Widerspruch bei einer Kommune ein. Ihre Daten sollen nicht in die "Luca"-App zur Nachverfolgung von Infektionsmöglichkeiten eingegeben werden.

Für die „LUCA“-App werden im Gesundheitsamt m. W. nach keine personenbezogenen Daten erfasst. Eine Einwilligung von Bürgern gegenüber der Verwaltung ist daher gar nicht notwendig.

Die App funktioniert m. W. folgendermaßen: freiwillige Benutzer laden die App auf ihr Mobiltelefon (und willigen gegenüber dem Hersteller und dem Veranstalter in eine Verarbeitung ihrer Daten ein). Besuchen Sie eine Veranstaltung, buchen sie sich mit der App ein. Die Daten werden dann - verschlüsselt – beim Veranstalter und beim Hersteller der App gespeichert.

Eine Entschlüsselung erfolgt erst, wenn das Gesundheitsamt diese Daten anfordert. Erst dann werden die Datensätze zusammengesetzt und entschlüsselt, so dass sie lesbar werden. Das Gesundheitsamt erhält dann vom Veranstalter eine Liste aller Teilnehmer (mit Luca-App). Erst dann beginnt eine Verarbeitung personenbezogener Daten im öffentlichen Bereich.

Wenn die Bürgerin ihre Daten nicht in die Luca-App eingibt, nicht einwilligt oder die App gar nicht erst lädt, werden ihre Daten auch nicht verarbeitet (wie denn auch?).

Insofern ist weder ein Widerspruch noch eine Einwilligung notwendig.

Die Verarbeitung der Daten im Gesundheitsamt ist durch die frühere Einwilligung der Luca-App-Nutzer rechtmäßig.

Fall 36/2021: Ehrungen

Kommunen ehren gern ihre Bürger. Besonders zu Jubiläen, bei Ehe und im Alter, melden sie sich gern bei den Bürgern, um Glückwünsche zu übermitteln. Und meist kommt das auch gut an. Nur in Einzelfällen fragen sich Jubilare und Jubilarinnen, woher die Verwaltung denn die Daten hätte.

Zumindestens in Nordrhein Westfalen ist man da auf der sicheren Seite. Das Landesdatenschutzgesetz bestimmt in § 22 ganz klar, dass zu Zwecken von öffentlichen Ehrungen und Auszeichnungen die Datenverarbeitung, also hier der Abruf, ausdrücklich erlaubt ist. Ein vorheriger Anruf wäre ja auch keine Überraschung mehr.

Fall 37/2021: Der "Wegedetektiv" hat eine mangelhafte Datenschutzerklärung

Die Website Wegedetektiv bietet Kommunen die Möglichkeit ihren Bürgern das Melden von Handlungsbedarf bei Radwegen zu melden. Zwar ist die Datenschutzerklärung in meinen Augen mangelhaft (z. B. werden alle möglichen Rechtsgrundlagen benannt - nur keine für die aktuelle Verarbeitung). Man kann allerdings auch Handlungsbedarf melden, ohne personenbezogene Daten anzugeben.

Fall 38/2021: Keine personenbezogene Datenerhebung bei reiner Mengenanfrage

Komplizierter Titel. Aber eigentlich war es ganz einfach. Ein Verkehrsplanungsbüro fragte nach der Anzahl von Bürgern eines bestimmten Alters pro Wohnplatz (Stadtteil). Pflichtbewusste Kollegen und Kolleginnen fragte daraufhin nach dem Datenschutz. Da keine personenbezogenen Daten erfragt wurden, konnte die Zahl gemeldet werden.

Fall 39/2021: Eine Fraktion fragt nach dem Krankenstand

Eine Ratsfraktion erfragte - in guter Absicht - den Krankenstand in einer bestimmten Kindertagesstätte (Kita). Da die Anzahl der Mitarbeiter/-innen allerdings sehr gering war, hielt ich einen Rückschluss auf einzelne Personen für möglich und riet davon ab. Dafür gab es keine Rechtsgrundlage.

Fall 40/2021: Bauherren und Architekten historischer Gebäude

Zur Ergänzung einer Chronik wollte ein Hobby-Historiker Namen von Architekten und Bauherren von historischen Gebäuden veröffentlichen. Dieser, sicher sehr interessante Ansatz ist m. E. leider nicht vom Datenschutzrecht gedeckt, sofern die Damen und Herren noch leben. Daher musste ich leider abraten. Verstorbene dürfen allerdings genannt werden, sofern die Hinterbliebenen keinen Widerspruch erheben. Auch wenn es sich bei den Damen und Herren um Personen der Zeitgeschichte handelte, durfte der Name veröffentlicht werden.

Fall 41/2021: Darf die Kämmerei erfahren, wer verstorben ist?

Eine Kämmerei fragte an, ob sie regelmäßig die Daten Verstorbener erfahren darf, um entsprechende Bescheide (nicht) zu versenden.

Eine so genannte „regelmäßige Datenübermittlung“ ist im § 6 Datenschutzgesetz NRW geregelt. Sie ist erlaubt, wenn sie „der Erfüllung von Zwecken nach Art. 6 Abs. 1 Bst. c oder e EU-DSGVO erfolgt und eine Rechtsvorschrift dies zulässt“. Die erwähnten „Buchstaben c oder e“ erlauben die Verarbeitung (Übermittlung) zur Erfüllung einer rechtlichen Verpflichtung, im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.

Da nicht genau spezifiziert wurde, welche Daten zu welchem Zweck übermittelt werden sollten, riet ich ab. Die Kämmerei möchte nun Einwilligungen der Hinterbliebenen einholen.

Fall 42/2021: Versicherungskonfusion

Ein Bürger fällt über einen Gegenstand auf der Rumpelstraße. Er muss ins Krankenhaus und seine Krankenkasse hätte gern die Kosten für die Behandlung erstattet. Daher wendet sie sich an die Stadtverwaltung. Es könnte sein, dass das Grundstück auf dem der Sturz stattfand, der Stadt gehört. Die Stadt meldet den Anspruch ihrer Versicherung.

Die Stadt ermittelt, dass das Grundstück einer Eigentümergemeinschaft gehört, jedenfalls nicht der Stadt. Die Versicherung der Stadt möchte wissen, wer der Eigentümer ist, um diese Information der Krankenkasse mitzuteilen. Darf die Stadt beiden Versicherungen die Eigentümerdaten übermitteln?

Das Mitteilen von Eigentümerdaten ist eine Übermittlung personenbezogener Daten. Dies ist u. a. nur zulässig, wenn die Verarbeitung im berchtigten Interesse des Empfängers liegt. Im Falle der Krankenkasse ist das sicher der Fall, da sie die Kosten von den Eigentümern zurück fordern können muss. Die Versicherung der Stadt darf dagegen die Daten nicht erfahren, da keine Rechtsgrundlage vorliegt.

Fall 43/2021: Kontaktadresse einer Bürgerbewegung

Eine Bürgerbewegung beschwerte sich, dass ihre Kontaktadresse veröffentlicht wurde. Sie tauchte in den Ratsunterlagen des Tagesordnungspunktes auf, in dem ihr Anliegen besprochen werden sollte. Nur wer das Ratsinformationssystem der Gemeinde startete und sich in den öffentlichen Teil einbuchte, der sah die Adresse im Kopf eines Anhangs.

Natürlich ist das zunächst nicht statthaft, da es sich auch bei E-Mail-Adressen um personenbezogene Daten handelt (es ist die namentliche Adresse des Vorsitzenden der Bürgerbewegung). Andererseits könnte eine Kontaktadresse immer öffentlich sein, da sie ja als Kontaktmöglichkeit gewollt ist.

Wir konnten das nicht klären und haben die Adresse vorsichtshalber geschwärzt. Besser ist es immer, eine Mailadresse einzurichten, die nur für die Bürgerbewegung gedacht ist.

Fall 44/2021: Einwilligung zur Veröffentlichung des eigenen Fotos

Eine Kommune fragt an, wie eine Einwilligung aussehen müsste, die die Veröffentlichtung von Fotos neuer Mitarbeiter/-innen im internen Mitteilungsdienst und ggf. auf der Website ermöglicht. Ich habe folgenden Text empfohlen:

„Ich bin über 16 Jahre alt und willige gem. Art. 7 EU-DSGVO ein, dass mein Foto und folgende Informationen ... (hier Name, Alter etc. eintragen) im Infodienst der [Gemeinde] [und im Intranet] veröffentlicht werden. Mir ist bekannt, dass ich diese Einwilligung jederzeit widerrufen kann. Für den Widerruf reicht eine E-Mail an datenschutz@... Der Widerruf gilt ab dem Zeitpunkt des Widerrufs und nicht für dann bereits verarbeitete bzw. veröffentlichte Daten. Wenn ich nicht einwillige, hat das keinerlei Folgen für mein Beschäftigungsverhältnis.“

Bemerkenswert ist hier, dass das Mindestalter 16 lautet, da das Bundesdatenschutzgesetz zwar 13 festgelegt hat, es aber hier nicht für Kommunen gilt. Also gilt hier das Datenschutzgesetz NRW und das legt kein Mindestalter von 13 fest, weshalb das Mindestalter der EU-DSGVO gilt, welches 16 ist. Ferner müssen natürlich alle Zwecke angegeben werden!

Fall 45/2021: Können Adressdaten von Bürgern für eine Verkehrsbefragung erhoben werden?

Eine Kommune möchte eine Übersicht über die Verkehrsströme erstellen und daher eine Bürgerbefragung durchführen.Zunächst habe ich mich natürlich als Datenschützer gefragt, ob die Erhebung möglich ist. Ich bin zu dem Schluss gekommen, dass es sich bei der Kommunalen Verkehrsplanung um einen Teil der Stadtentwicklungsplanung handelt. Diese obliegt den Kommunen, weshalb die Erhebung der Adressdaten im Bürgerbüro in meinen Augen rechtmäßig ist.

Und genau so würde ich empfehlen, die Datenschutzerklärung (das Merkblatt) zu verfassen. Ein gutes Muster habe ich hier gefunden.

Fall 46/2021: Auftragsverarbeitungsvertrag für eine Druckerei

Dieser Vertrag unterscheidet sich nicht von anderen Auftragsverarbeitungsverträgen. Einen rechtmäßigen Auftragsverarbeitungsvertrag wird eine Druckerei sicher anbieten können. Wir sind nicht die ersten, die den brauchen. Zur Vollständigkeit erwähne ich hier nur, was da drinstehen muss:

  • Die Druckerei beauftragt keine weitere Druckerei ohne unsere Genehmigung
  • Die Verarbeitung der überlassenen personenbezogenen Daten erfolgt nur für die vereinbarten Zwecke
  • Sie dürfen insbesondere keinen Dritten überlassen werden
  • Die verarbeitenden Personen unterliegen einer Schweigepflicht
  • Die Druckerei unterstützt uns bei der Einhaltung des Datenschutzes
  • Nach erfülltem Auftrag werden die personenbezogenen Daten unserer Bürger gelöscht
  • Die Druckerei hat alle technischen und organisatorischen Maßnahmen zu diesen Punkten ergriffen

Das sollte eine rechtmäßige Verarbeitung ermöglichen.

Fall 47/2021: Anfrage der Bundesagentur für Arbeit

Wenn eine Kommune Arbeitslose einstellt, fragt die Bundesagentur für Arbeit an, wer wann eingestellt wurde. Dürfen die Daten der BA mitgeteilt werden?

§ 8 Ans. 1 DSG NW bestimmt, dass personenbezogene Daten an andere öffentliche Stellen weitergegeben werden dürfen, wenn diese Daten im Zuständigkeitsbereich der empfangenden Stelle liegen. Da die BA ihr Register aktuell führen muss, ist die Übermittlung zulässig.

Fall 48/2021: Anfrage von Grundstücksdaten eines Eigenbetriebes an das Steueramt

Muss das Steueramt Eigentümer von Grundstücken an einen Eigenbetrieb übermitteln?

Das Datenschutzgesetz NRW (DSG NRW) regelt im § 5 Abs. 5, dass sein Teil 2 für Eigenbetriebe nicht gilt. Daher gilt unser Eigenbetrieb nicht als öffentliche Stelle im Sinne des DSG.

Eine Übermittlung an den Eigenbetrieb wäre dann eine Übermittlung von einer öffentlichen an eine nicht-öffentliche Stelle. Dafür hat das DSG eine *Erlaubnis* (keine Pflicht) vorgesehen, wenn u. a. die Daten zur Aufgabenerfüllung des Steueramtes erforderlich sind.

Da das nicht der Fall ist, gehe ich davon aus, dass Sie die Daten nicht übermitteln dürfen. Sofern der Eigenbetrieb keine deutlichere Rechtsgrundlage nennt, würde ich die Daten nicht übermitteln.

Fall 49/2021: Verschwiegenheitserklärung für Helfer der Hochwasser-Katastrophe

Flood.jpg

Wer in den Hochwassergebieten hilft, der erfüllt eine wichtige Aufgabe. Sollen Dokumente geborgen werden, besteht allerdings die Möglichkeit, dass die Helfer Einsicht in personenbezogene Daten nehmen, die in diesen Akten aufgeführt sind. Sollten Hlfer daher eine Verschwiegenheitserklärung unterschreiben müssen?

Eine solche Erklärung könnte folgende Sätze beinhalten:

* Über alle mir im Rahmen der Rettungsaktion bekannt werdenden personenbezogenen Daten werde ich, auch im persönlichen und familiären Bekanntenkreis Stillschweigen bewahren.

* Alle von mir angefertigten Fotos von Akten mit personenbezogenen Daten werde ich vernichten, sobald diese Fotos dem Archiv vollständig zur Verfügung stehen. Dies gilt besonders für erstellte Fotos von Akten auf privaten Mobiltelefonen.

Erläuterung: Personenbezogene Daten sind alle Daten (Namen, Eigenschaften, Adressen, Bilder, Fotos, Filme, Verhältnisse, Ereignisse), durch die eine natürliche Person eindeutig identifiziert werden kann.

Der gesunde Menschenverstand sagt einem da gleich zwei Dinge. Erstens gab es sicher dringendere Probleme als bei der Beseitigung der immensen Hochwasserschäden an den Datenschutz zu denken. Tatsächlich kennt der Datenschutz kaum Ausnahmesituationen, in denen er an Bedeutung verliert.

Zum Glück (auch für den Datenschutz) gelten Gesetze auch dann, wenn niemand erklärt hat, sich an sie zu halten. Bei der Führerscheinprüfung muss schließlich auch niemand eine Erklärung unterschreiben, dass er sich an die Straßenverkehrsordnung halten wird. Das muss jeder Verkehrsteilnehmer sowieso.

In meinem persönlichen Fall ging es außerdem um die Bergung von Akten eines öffentlichen Archivs. Die dort aufgeführten Daten waren teilweise so alt, dass kaum noch davn ausgegangen werden konnte, dass die Personen noch leben. Dennoch ist auch diese rechtliche Frage nicht von der Hand zu weisen.

In der Praxis wurde es dann so gelöst, dass ich auch als Datenschutzbeauftragter regelmäßig stichprobenartig überprüfte, ob in den Akten geblättert wird, ob alle Fotos nach der Verarbeitung tatsächlich gelöscht wurden und dass keine geborgenen Akten durch die Fenster des Lagers eingesehen werden konnten.

In den allermeisten Fällen wurde allerdings sorgsam mit den Daten umgegangen.

Fall 50/2021: Adressensammlung für Ideenbörse

Checklist.png

Für eine Ideenbörse sollte eine Liste von interessierten Bürgern angelegt werden. Diese Liste sollte "manuell" verwaltet werden, aber eben mit Hilfe eines Tabellenkalkulationsprogramms, was dann ja nicht mehr "manuelle Verwaltung" ist. Insofern befindet sich der Fall im sachlichen Anwendungsbereich der EU-DSGVO.

Die Ideenbörse ist mit einem Newsletter vergleichbar. Bei Newslettern ist ein "Double Opt-In" notwendig. Die Adressaten müssen einerseits mit Erlaubnis in eine Liste eingetragen werden, andererseits aber auch ihre E-Mail-Adresse nochmal bestätigen, damit niemand eine fremde Adresse angeben kann.

Die Datenschutzerklärung erklärt das ausreichend. Der Fall war datenschutzkonform.

Fall 51/2021: Personenbezogene Daten in E-Mails

Email.png

E-Mails sind bekanntlich einer mit Bleistift geschriebenen Postkarte gleichzustellen, was ihre Sicherheit angeht. Das warf die Frage auf, ob personenbezogene Daten überhaupt mittels E-Mail übermittelt werden können.

E-Mails sind technisch gesehen kleine Textdateien, die von Computer zu Computer geschoben werden. Diese Computer werden von irgendjemandem verwaltet, der, schon aus sicherheitstechnischen Gründen, auf jeden Bereich des Computers und eben auch auf E-Mails zugreifen können muss. E-Mails können auch verändert werden.

Personenbezogene Daten, die mittels E-Mail übertragen werden, könnten also Dritten offengelegt werden. Das widerspricht dem Datenschutz, wenn es sich um personenbezogene Daten handelt. Der Transport von personenbezogenen Daten mittels herkömmlicher E-Mail ist daher datenschutzrechtlich nicht erlaubt.

E-Mails könnten aber verschlüsselt werden oder man könnte ein grundsätzlich sicheres System wie DE-Mail nutzen. Behörden sind nach dem eGovernment-Gesetz ohnehin verpflichtet, ein DE-Mail-Konto zu betreiben.

Und wenn die Bürger ihre (!) Daten per Mail übermitteln? Jeder darf mit seinen Daten machen, was er will. Wenn jemand also seine personenbezogenen Daten per E-Mail versenden will, dann ist das natürlich erlaubt. Antworten darf der Adressat allerdings nicht über unverschlüsselte E-Mail. Geeignet wäre da das erwähnte DE-Mail-Konto oder der gute alte Brief.

Fall 52/2021: Aufzeichnung und Veröffentlichung einer Videokonferenz

Eine Kollegin fragt, ob und wie man eine Einwilligung braucht, wenn man eine Videokonferenz aufzeichnen und das Ergebnis online stellen möchte. Dass man eine Einwilligung braucht, ist klar, da es weder einen Vertrag zwischen den Videopartnern gab, noch dadurch eine gesetzliche oder öffentliche Aufgabe erfüllt wurde.

Die Anforderung an die Einwilligung (die "informierte" Einwilligung!) ist die Information der Betroffenen. Die Betroffenen müssen exakt wissen, welche ihrer Daten warum, wie und von wem verarbeitet werden (Art. 7 EU-DSGVO). Auch muss diese aufbewahrt werden, da sie nachweisbar sein und bleiben muss. Erschwerend kommt hinzu, dass man natürlich die Datenschutzerklärung des Anbieters der Videokonferenz-Software kennen muss, da diese Teil der Einwilligung wird.

Ich willige freiwillig ein, dass von mir erzeugte Bilder und Töne bei der Videokonferenz am ... zum Thema ... mit der Software ... aufgezeichnet und später [frei verfügbar] ins Internet gestellt wird. Die Datenschutzerklärung der Firma ... ist insofern Teil dieser Einwilligung, als dass ich sie gelesen und zugestimmt habe. 

Mir ist bekannt, dass ich diese Einwilligung jederzeit widerrufen kann, was Auswirkungen auf die Datenverarbeitung ab dem Widerruf hat.

Diese Einwilligung gilt nur für personenbezogene Daten, die nicht besondere Kategorien personenbezogener Daten sind. Anderenfalls gilt die Maßregel, dass zur Verarbeitung dieser Daten explizit zugestimmt werden muss!

Fall 53/2021: Einwilligung zum Recht am eigenen Bild

Fotoshooting.jpg

Das Recht am eigenen Bild ist zwar kein Datenschutzrecht, aber ich kann Ihnen vielleicht dennoch einen Tipp geben. Zur Einwilligung reicht ein Kreuzchen auf einem Formular. Mehr Ansprüche stellt das Kunsturheberrechtsgesetz nicht.

Eine Einwilligung brauchen Sie aber nur, wenn die Abgebildeten

  • nicht Teil einer Versammlung sind oder
  • nicht nur "Beiwerk" sind.

Dann muss die Abbildung ertragen werden.

Genaueres bietet der Wikipedia-Artikel, den ich ziemlich gut finde. Vielleicht, weil ich selbst mit daran gearbeitet habe: ;-)

https://de.wikipedia.org/wiki/Recht_am_eigenen_Bild_(Deutschland)

Eine Einwilligung einzuholen ist "politisch" immer am besten. Die Bürger/-innen fühlen sich dann ernst genommen und das soll ja auch so sein.

Fall 55/2021: Verzeichnis von Straßen, die von der Flut betroffen sind

Flood.jpg

Eine sehr löbliche Aktion privater Rundfunksender in NRW fragte bei einer Kommune an, ob sie ein Verzeichnis der Straßen erhalten könne, deren Bewohner von der Flut im Sommer betroffen sind. Es ging der Aktion ausdrücklich um die Namen der Straßen, die sie benutzt, um berechtigte Anfragen zu überprüfen.

Die Erlaubnis konnte schnell erteilt werden: es müssen keine personenbezogenen Daten übermittelt werden - nur Straßennamen. Ein sehr aufmerksamer Bürger wandte jedoch ein, dass es bei Straßen, in denen nur ein Haus stünde, welches nur von einem Menschen bewohnt würde, sehr wohl um personenbezogene Daten handeln könnte. Der Bürger hat da natürlich Recht. Allerdings gab es diese Kombination in der betreffenden Stadt nicht, so dass die Übermittlung kein Problem war.

Fall 56/2021: Siedlungsflächenmanagement

Houses.jpg

Das Verkehrsministerium NRW betreibt ein "Siedlunsgflächenmonitoring (SFM)". Damit werden Verkehrsstrecken aller Art bewertet. Das Ministerium bat die Kommunen, ihre im Ministerium hinterlegten Flächendaten für dieses Projekt freizugeben. Allerdings handelt es sich bei diesen Daten nicht um personenbezogene Daten, weshalb einer Weitergabe nichts im Wege steht.

Fall 57/2021: Versand von Akten per E-Mail

Email.png

Eine Amtsleiterin fragte an, ob das Versenden von Akten (mit personenbezogenen Daten) an Gerichte per E-Mail möglich ist. Die Bemühungen der vergangenen Jahrzehnte, E-Mails abzusichern in Bezug auf Identität und Vertraulichkeit zeigen, dass E-Mail ohne diese Möglichkeiten weitgehend als unsicher angesehen wird. Man muss daher davon ausgehen, dass der Versand personenbezogener Daten nicht rechtmäßig ist. Ein Urteil ist mir allerdings nicht bekannt.

Was kann man tun? Zunächst kann man sich bemühen, E-Mails mit einer identitätssicheren und vertraulichen Verschlüsselung zu versehen (z. B. mit PGP oder MIME). Man könnte auch einfach DE-MAIL nutzen, welches alles gleichzeitig bietet und für Behörden seit 2016 Pflicht ist.

Fall 58/2021: Speicherung von Impfdaten von Ratsmitgliedern

Ratssitzung.jpg

Zur Zeit dürfen Ratssitzungen nur stattfinden, wenn die 3G-Regel eingehalten wird. Jedes teilnehmde Ratsmitglied muss also geimpft, genesen oder getestet sein. Eine Kommune fragt an, ob zur Vereinfachung nicht die Daten der Ratsmitglieder gespeichert werden dürfen.

Hierbei handelt es sich, wie der geübte Leser bereits ahnt, um besondere Kategorien personenbezogener Daten, nämlich Gesundheitsdaten. Genauer gesagt um den Gesundheitsstatus der Ratsmitglieder. Unter welchen Bedingungen dürfen diese Art von Daten gespeichert, also verarbeitet werden? Das regelt der Art. 9 der EU-DSGVO - und der verbietet sie zunächst grundsätzlich. Glücklicherweise nennt er aber auch Ausnahmen.

  • Zunächst erteilt er eine Erlaubnis, wenn eine explizite Einwilligung der Ratsmitglieder zur Speicherung vorliegt (Art. 9 Abs. 2 Bst. a EU-DSGVO). Das ist - man darf in einem Fall nichts hinzu dichten - hier offenbar nicht der Fall. Anderenfalls wäre das erwähnt worden.
  • Eine weitere Rechtsgrundlage nennt der Buchstabe g: ein wichtiges öffentliches Interesse. Das ist bei Ratssitzungen sicher gegeben, aber die Verarbeitung ist nicht für jede Sitzung erforderlich. Nur für solche in einer Pandemie. Grundlage ist hier u. a. das Recht eines Mitgliedstaates.

Bleiben wir einen Moment bei dieser Formulierung. Regelt die Coronaverordnung nicht, wie Ratssitzungen abzulaufen haben? Nein, das tut sie nicht. Zwar wird dort (aktuelle Fassung) eine 2G-Regelung für Ratssitzungen vorgeschrieben (§ 4 Abs. 6 CoronaSchVO v. 17.08.2021), aber keine Ermächtigung zur Datenverarbeitung.

  • Buchstabe i regelt, dass die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, erforderlich ist.

Die Erhebung, die Erfassung und die Speicherung vom Impfdaten ist m. E. von dieser Regelung gedeckt. § 16 Abs. 1 Nr. 3 des Datenschutzgesetzes entspricht m. E. dieser Praxis ebenfalls.

Fall 59/2021: Betriebliches Eingliederungsmanagement und Personalrat

Ein Personalrat fordert Daten der Verwaltung an: welche Mitarbeiter/-innen sind länger als 42 Tage erkrankt? Ist die Datenübermittlung rechtmäßig?

Da es sich um personenbezogene Daten, nicht aber um besondere Kategorien personenbezogener Daten handelt (eine Diagnose wird weder angefragt noch übermittelt), wird eine Rechtsgrundlage benötigt.

Die befindet sich in § 167 Abs. 2 SGB IX. Dort ist die Interessenvertretung ausdrücklich aufgeführt.

Fall 60/2021: Kann man Surveymonkey nutzen?

Ist das Angebot von Surveymonkey datenschutzrechtlich legal nutzbar?

Da die Firma einen Sitz in den Niederlanden hat und eine ausreichend offene Datenschutzerklärung, sehe ich keinen Grund, warum das Angebot der Firma nicht genutzt werden soll.

Fall 61/2021: Gruppenauskunft für KiJuPa?

Für die Wahl zum Kinder- und Jugendparlament (KiJuPa) wird eine Gruppenauskunft angefordert. Das ist eine Auskunft über die Meldedaten einer fest definierten Gruppe. Darf für die Wahl des KiJuPa eine Liste aller Wahlberechtigten angefordert werden?

Diese Auskunft muss sich durch feste Kriterien definieren und sie muss im öffentlichen Interesse liegen (§ 46 Bundesmeldegesetz). Fraglos liegt die Jugendpartizipation im öffentlichen Interesse, denn man möchte natürlich Kinder und Jugendliche an die Politik heranführen, damit sie früh lernen, sich für ihre Interessen einzusetzen. Und die Gruppe der Wähler kann man aufgrund des Alters ebenfalls spezifizieren. Das Alter ist nach § 46 auch ein erlaubtes Kriterium zur Definition einer Gruppe.

Die Auskunft ist also datenschutzrechtlich einwandfrei.

Fall 62/2021: Keine Impfumfrage nach Liste!

Impfung.jpg

Wegen der Bemühungen, die Corona-Pandemie unter Kontrolle zu bekommen, ist die jährliche Grippeschutzimpfung etwas aus dem Fokus geraten. Dennoch ist natürlich auch hier eine entsprechende Vorsorge notwendig, da die Grippe kein Grippaler Infekt sondern eine eigene, teilweise sehr gefährliche Krankheit ist.

Glücklicherweise sorgen sich auch gute Arbeitgeber um die Gesundheit ihrer Beschäftigten und bieten eine entsprechende Schutzimpfung an. Verlockend ist dabei, eine Liste herumgehen zu lassen, auf der sich die Impfwilligen eintragen können. Allerdings handelt es sich um Gesundheitsdaten, die unter die Besonderen Kategorien personenbezogener Daten fallen und nicht ohne ausreichende Rechtsgrundlage übermittelt werden dürfen.

Es empfiehlt sich daher eher, eine E-Mail-Adresse anzubieten, bei der sich Impfwillige melden können. So erfährt niemand von der Impfwilligkeit der anderen und die verarbeitende Stelle hat einen ausreichenden Grund für die Verarbeitung. Die Schweigepflicht ist dabei natürlich selbstverständlich.

Fall 63/2021: Videoüberwachung der Gemeinden

Video.png

Es tauchte die Frage auf, ob eine Kommune die eigenen Anlagen dauerhaft überwachen darf. Das meint keine öffentlichen Bereiche. Es gab auch öfter Einbrüche und Beschädigungen. Vorgesehen waren 10 Tage Speicherdauer der Filme...

Zur Klärung mal grundsätzlich

  • kann man sein eigenes Grundstück immer mit Video überwachen.
  • Es darf aber – wie gesagt – nur das eigene Grundstück sein, kein öffentlicher Bereich.
  • Wenn Mitarbeiter/-innen gefilmt werden, Kamera normalerweise ausschalten (= Arbeitsrecht!).
  • Wenn niemand erwischt wird, sind 10 Tage Speicherdauer etwas viel (48 Stunden max.).
  • Wenn jemand erwischt wird, können wir die Videos vorhalten, bis alles geklärt ist (keine Frist).
  • Einzige Voraussetzung ist eine Datenschutzerklärung, die einsehbar ist, bevor einen die Kamera erwischt:
VIDEOÜBERWACHUNG
Verantwortliche: (Name der Kommune), Der Bürgermeister
Datenschutzbeauftragter: (Telefonnummer) oder datenschutz@...de
Zweck: Vorbeugung von Vermögensschäden aller Art
Rechtsgrundlage: Art. 6 Abs. 1 Bst. c EU-DSGVO i. V. m. § 10 Gemeindeordnung Nordrhein Westfalen
Übermittlung: (hier evtl. eine Security-Firma eintragen)

Oft werden diese Datenschutzerklärungen noch mit einem Symbol gekennzeichnet:

Fall 64/2021: Datenschutz in der CovPass-App

Damit man nach Impfungen (derzeit gegen Covid-19) nicht ständig den Impfpass als Papier dabei haben muss, wurde eine digitalisierte Form des Impfpasses geschaffen. Neben der "Corona-Warn-App" gibt es eine reine Ausweismöglichkeit, die "CovPass-App". Letztere wird tatsächlich wortwörtlich in der Coronaschutzverordnung NRW vorgeschrieben.

Da die "CovPass"-App im Gegensatz zur "Corona-Warn"-App nicht quelloffen ist, also die eigentlichen Vorgänge im Programme nicht öffentlich eingesehen werden können, schlägt ihr naturgemäß ein höheres Misstrauen entgegen. Die Frage ist, ob die Datenverarbeitung in der "CovPass"-App trotzdem sicher ist.

Der Bundesdatenschutzbeauftragte hat sich mit dieser Frage beschäftigt und in einer viel beachteten Rede die Datenschutz- und Datensicherheitsfragen erwähnt. Er hat keine Bedenken, da die Daten lediglich lokal gespeichert werden. Ich kann das aus eigener Erfahrung bestätigen, da ich nach einem Wechsel des Mobiltelefons keine andere Möglichkeit hatte, als das Zertifikat nochmals einzulesen. Ein Server, an dem ich mich hätte anmelden können, existiert nicht.