Datenschutzbericht 2021: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 1: | Zeile 1: | ||
− | == Fall | + | == Fall 01/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation == |
''' DATENSCHUTZRECHTLICHE STELLUNGNAHME ''' | ''' DATENSCHUTZRECHTLICHE STELLUNGNAHME ''' | ||
Zeile 31: | Zeile 31: | ||
Frank Werner | Frank Werner | ||
− | == Fall | + | == Fall 02/2021: Anzeige gegen Hühnerhalter == |
Im zweiten '''Sachverhalt''' fühlten sich die Nachbarn eines Hühnerhalters vom Lärm der Tiere gestört und zeigten ihn an. Der wiederum wollte wissen, wer ihn angezeigt hat. Und erbat Auskunft nach dem Informationsfreiheitsgesetz von der Kommune. | Im zweiten '''Sachverhalt''' fühlten sich die Nachbarn eines Hühnerhalters vom Lärm der Tiere gestört und zeigten ihn an. Der wiederum wollte wissen, wer ihn angezeigt hat. Und erbat Auskunft nach dem Informationsfreiheitsgesetz von der Kommune. | ||
Zeile 38: | Zeile 38: | ||
Das '''Ergebnis''' ist klar: eine Auskunft über Personen ist nicht möglich. Natürlich könnte der Hühnerhalter die Akte einsehen. Namen müssten jedoch vorher geschwärzt werden. | Das '''Ergebnis''' ist klar: eine Auskunft über Personen ist nicht möglich. Natürlich könnte der Hühnerhalter die Akte einsehen. Namen müssten jedoch vorher geschwärzt werden. | ||
− | == Fall | + | == Fall 03/2021: Auftragsverarbeitung bei Auslagerung? == |
'''Sachverhalt:''' Eine Gemeinde möchte die Berechnung und Auszahlung von Beihilfen an eine Krankenkasse auslagern. Reicht ein Vertrag zur Auftragsverarbeitung? | '''Sachverhalt:''' Eine Gemeinde möchte die Berechnung und Auszahlung von Beihilfen an eine Krankenkasse auslagern. Reicht ein Vertrag zur Auftragsverarbeitung? | ||
Zeile 88: | Zeile 88: | ||
Bei der ledliglichen Verfügbarkeit von Bildern ist das kein Problem. | Bei der ledliglichen Verfügbarkeit von Bildern ist das kein Problem. | ||
− | == Fall | + | == Fall 11/2021: (Noch in Arbeit) == |
− | == Fall | + | == Fall 12/2021: Wie werden die Daten von Berechtigten für FFP2-Masken ermittelt? == |
Im Zuge der Erteilung von Berechtigungsscheinen für die FFP2-Masken im Januar wurde die Frage gestellt, wie denn diese Daten ermittelt werden und ob die Bundesregierung eine Statistik aufstellen könnte. | Im Zuge der Erteilung von Berechtigungsscheinen für die FFP2-Masken im Januar wurde die Frage gestellt, wie denn diese Daten ermittelt werden und ob die Bundesregierung eine Statistik aufstellen könnte. | ||
Die Antwort ist: Nein, denn die Bundesregierung erfährt die Daten der berechtigten Empfänger gar nicht. Die Krankenkassen meldeten ihren Bedarf durch eine Erhebung ihrer eigenen Daten und meldeten lediglich die ''Anzahl'' der notwendigen Masken. Die Ausgabe der Bezugsscheine erfolgte ebenfalls durch die Krankenkassen, so dass keine Daten nach Berlin gemeldet werden mussten. | Die Antwort ist: Nein, denn die Bundesregierung erfährt die Daten der berechtigten Empfänger gar nicht. Die Krankenkassen meldeten ihren Bedarf durch eine Erhebung ihrer eigenen Daten und meldeten lediglich die ''Anzahl'' der notwendigen Masken. Die Ausgabe der Bezugsscheine erfolgte ebenfalls durch die Krankenkassen, so dass keine Daten nach Berlin gemeldet werden mussten. | ||
− | == Fall | + | == Fall 13/2021: Dürfen zur Identitätsermittlung auch Fotos erstellt werden? == |
Ein Ordnungsamt wies eine Gruppe von Störern auf eine Ordnungswidrigkeit hin. Diese entzogen sich daraufhin durch Flucht der drohenden Ordnungsstrafe. Die Mitarbeiter/-innen des Ordnungsamtes fotografierten die Störer aber mit einer Digitalkamera und konnten durch Nachfragen die Identität der Störer feststellen. Diese erhoben Datenschutzbeschwerde. | Ein Ordnungsamt wies eine Gruppe von Störern auf eine Ordnungswidrigkeit hin. Diese entzogen sich daraufhin durch Flucht der drohenden Ordnungsstrafe. Die Mitarbeiter/-innen des Ordnungsamtes fotografierten die Störer aber mit einer Digitalkamera und konnten durch Nachfragen die Identität der Störer feststellen. Diese erhoben Datenschutzbeschwerde. | ||
Die Beschwerde ist abzuweisen. Zur Identitätsfeststellung sind regelmäßig auch Fotos erlaubt, sofern sie nur der Identifizierung von Personen dienen. Da eine Digitalkamera und kein Handy benutzt wurde, bestand auch nicht die Gefahr der verdeckten Datenübermittlung. Fotos von Betroffenen sind z. B. auch bei der automatischen Geschwindigkeitskontrolle schon lange möglich. | Die Beschwerde ist abzuweisen. Zur Identitätsfeststellung sind regelmäßig auch Fotos erlaubt, sofern sie nur der Identifizierung von Personen dienen. Da eine Digitalkamera und kein Handy benutzt wurde, bestand auch nicht die Gefahr der verdeckten Datenübermittlung. Fotos von Betroffenen sind z. B. auch bei der automatischen Geschwindigkeitskontrolle schon lange möglich. | ||
− | == Fall | + | == Fall 14/2021: Erlass des Innenministeriums NRW zur Identifizierung bei Impfungen == |
Das Ministerium für Arbeit, Gesundheit und Soziales NRW (MAGS NRW) teilt mit, dass zur Identifizierung in Impfzentren grundsätzlich ein Lichtbildausweis notwendig ist. Der könne im Einzelfall auch abgelaufen sein, müsse jedoch immer ein Foto tragen. Ferner sollen die Impfzentren Zugriff auf die Einwohnermeldedaten erhalten. Eine Bürgerin fragt, ob das "rechtens" sei. | Das Ministerium für Arbeit, Gesundheit und Soziales NRW (MAGS NRW) teilt mit, dass zur Identifizierung in Impfzentren grundsätzlich ein Lichtbildausweis notwendig ist. Der könne im Einzelfall auch abgelaufen sein, müsse jedoch immer ein Foto tragen. Ferner sollen die Impfzentren Zugriff auf die Einwohnermeldedaten erhalten. Eine Bürgerin fragt, ob das "rechtens" sei. | ||
Die Corona-Pandemie gilt grundsätzlich als "schwerwiegende grenzüberschreitende Gesundheitsgefahr" i. S. d. Art. 9 Abs. 2 Bst. i EU-DSGVO. Damit ist sogar eine systematischere Verarbeitung von Gesundheitsdaten möglich als bisher vom Staat durchgeführt. Der Datenschutz, das sei hier nochmals erwähnt, steht einem besseren Schutz vor Pandemien '''nicht''' entgegen. | Die Corona-Pandemie gilt grundsätzlich als "schwerwiegende grenzüberschreitende Gesundheitsgefahr" i. S. d. Art. 9 Abs. 2 Bst. i EU-DSGVO. Damit ist sogar eine systematischere Verarbeitung von Gesundheitsdaten möglich als bisher vom Staat durchgeführt. Der Datenschutz, das sei hier nochmals erwähnt, steht einem besseren Schutz vor Pandemien '''nicht''' entgegen. | ||
− | == Fall | + | == Fall 15/2021: Verbandbucheinträge == |
Seit einiger Zeit muss jeder "Erste Hilfe"-Schrank in Gewerbebetrieben und Behörden mit einem "Verbandbuch" ausgestattet sein. Dort soll eingetragen werden, wer welche medizinische Behandlung durch den Schrank erhalten hat. Sinn der Sache ist es, mögliche Folgeschäden früh zu erkennen. Die Daten sind besondere Kategorien personenbezogener Daten i. S. d. Art. 9 EU-DSGVO. | Seit einiger Zeit muss jeder "Erste Hilfe"-Schrank in Gewerbebetrieben und Behörden mit einem "Verbandbuch" ausgestattet sein. Dort soll eingetragen werden, wer welche medizinische Behandlung durch den Schrank erhalten hat. Sinn der Sache ist es, mögliche Folgeschäden früh zu erkennen. Die Daten sind besondere Kategorien personenbezogener Daten i. S. d. Art. 9 EU-DSGVO. | ||
Zeile 114: | Zeile 114: | ||
Es sei hier nochmal darauf hingewiesen, dass ein unberechtigter Datenabruf durch Administratoren bereits mehrfach zu berechtigten fristlosen Kündigungen geführt hat. | Es sei hier nochmal darauf hingewiesen, dass ein unberechtigter Datenabruf durch Administratoren bereits mehrfach zu berechtigten fristlosen Kündigungen geführt hat. | ||
− | == Fall | + | == Fall 16/2021: Bewerbungsbogen Kindertagespflege == |
Neben den städtischen (und kirchlichen bzw. freien) Kitas entlasten viele Tagesmütter und -väter (Tagespflegestellen) die Bürger bei der Erziehung und Versorgung von kleinen Kindern. Selbstverständlich werden an die Betreiber von Tagespflegestellen sehr hohe Ansprüche gestellt, um das Wohl der Kinder garantieren zu können. | Neben den städtischen (und kirchlichen bzw. freien) Kitas entlasten viele Tagesmütter und -väter (Tagespflegestellen) die Bürger bei der Erziehung und Versorgung von kleinen Kindern. Selbstverständlich werden an die Betreiber von Tagespflegestellen sehr hohe Ansprüche gestellt, um das Wohl der Kinder garantieren zu können. | ||
Wonach darf so ein Bogen fragen? Ich sehe hier die Frage nach Gesundheitsdaten und allgemeineren Daten durch den Art. 9 Abs. 2 Bst g) EU-DSGVO gedeckt, da sowohl der Verantwortliche (das Jugendamt der Gemeinde) als auch die Tageseltern ihren Verpflichtungen aus dem Kinderbildungsgesetz NRW ([https://recht.nrw.de/lmi/owa/br_vbl_detail_text?anw_nr=6&vd_id=18135&vd_back=N894&sg=0&menu=1 KiBiZ]) nachkommen können müssen. § 20 KiBiZ enthält eine generelle Ermächtigung zur Verarbeitung dieser Daten, § 21 regelt die Qualifikationsanforderungen. | Wonach darf so ein Bogen fragen? Ich sehe hier die Frage nach Gesundheitsdaten und allgemeineren Daten durch den Art. 9 Abs. 2 Bst g) EU-DSGVO gedeckt, da sowohl der Verantwortliche (das Jugendamt der Gemeinde) als auch die Tageseltern ihren Verpflichtungen aus dem Kinderbildungsgesetz NRW ([https://recht.nrw.de/lmi/owa/br_vbl_detail_text?anw_nr=6&vd_id=18135&vd_back=N894&sg=0&menu=1 KiBiZ]) nachkommen können müssen. § 20 KiBiZ enthält eine generelle Ermächtigung zur Verarbeitung dieser Daten, § 21 regelt die Qualifikationsanforderungen. | ||
− | == Fall | + | == Fall 17/2021: Auslesen des Logbuchs einer Alarmanlage == |
In einer Schule wurde wiederholt die Alarmanlage nicht eingeschaltet. Es ließ sich durch Befragungen nicht feststellen, ob das Einschalten regelmäßig oder versehentlich erfolgte. Die Amtsleitung fragt an, ob das Logbuch der Alarmanlage in diesen Fällen ausgelesen werden darf. Das Logbuch enthält personenbezogene Daten der Beschäftigten, die die Alarmanlage bedienen. | In einer Schule wurde wiederholt die Alarmanlage nicht eingeschaltet. Es ließ sich durch Befragungen nicht feststellen, ob das Einschalten regelmäßig oder versehentlich erfolgte. Die Amtsleitung fragt an, ob das Logbuch der Alarmanlage in diesen Fällen ausgelesen werden darf. Das Logbuch enthält personenbezogene Daten der Beschäftigten, die die Alarmanlage bedienen. | ||
Rechtsgrundlage ist hier, wie schon öfter, die Pflicht der Gemeinden, ihr Eigentum zu pflegen und zu schützen. Aus dieser rechtlichen Verpflichtung erwächst das Recht, eine möglicherweise vorsätzliche Erhöhung eines Einbruchsrisikos zu vermeiden. | Rechtsgrundlage ist hier, wie schon öfter, die Pflicht der Gemeinden, ihr Eigentum zu pflegen und zu schützen. Aus dieser rechtlichen Verpflichtung erwächst das Recht, eine möglicherweise vorsätzliche Erhöhung eines Einbruchsrisikos zu vermeiden. | ||
− | == Fall | + | == Fall 18/2021: Akteneinsicht für den Personalrat == |
Eine Akteneinsicht ist auch für den Personalrat sehr schwierig. Selbst Geburtstagslisten sind eigentlich mangels Rechtsgrundlage nicht erlaubt. Das ist schwer verständlich, weil der Personalrat natürlich auf Seiten der Arbeitnehmer ist. | Eine Akteneinsicht ist auch für den Personalrat sehr schwierig. Selbst Geburtstagslisten sind eigentlich mangels Rechtsgrundlage nicht erlaubt. Das ist schwer verständlich, weil der Personalrat natürlich auf Seiten der Arbeitnehmer ist. | ||
Zeile 131: | Zeile 131: | ||
Ferner besteht immer die Möglichkeit der ''Aktenauskunft''. Dabei wird eine konkrete Frage an die aktenführende Stelle gestellt, die beantwortet werden soll. Hierbei werden in aller Regel keine personenbezogenen Daten offengelegt. | Ferner besteht immer die Möglichkeit der ''Aktenauskunft''. Dabei wird eine konkrete Frage an die aktenführende Stelle gestellt, die beantwortet werden soll. Hierbei werden in aller Regel keine personenbezogenen Daten offengelegt. | ||
− | == Fall | + | == Fall 19/2021: Auftragsverarbeitungsvertrag vor 2018 == |
Im Falle eines Auftragsverarbeitungsvertrages, der erstmals vor 2018 geschlossen wurde, wurden noch Gesetzesstellen zitiert, die überholt sind. Der Vertrag muss nicht grundsätzlich neu verhandelt werden. Die falschen Zitierstellen wurden aber korrigiert. | Im Falle eines Auftragsverarbeitungsvertrages, der erstmals vor 2018 geschlossen wurde, wurden noch Gesetzesstellen zitiert, die überholt sind. Der Vertrag muss nicht grundsätzlich neu verhandelt werden. Die falschen Zitierstellen wurden aber korrigiert. | ||
− | == Fall | + | == Fall 20/2021: Zugangsmöglichkeit zu Daten noch keine Verarbeitung == |
Ist die Ermöglichung eines Zugangs zu einem Raum mit personenbezogenen Daten bereits eine Datenverarbeitung? Immerhin fällt ja auch eine Offenlegung durch Übermittlung unter die Definition von Datenverarbeitung. | Ist die Ermöglichung eines Zugangs zu einem Raum mit personenbezogenen Daten bereits eine Datenverarbeitung? Immerhin fällt ja auch eine Offenlegung durch Übermittlung unter die Definition von Datenverarbeitung. | ||
Zeile 141: | Zeile 141: | ||
Solange keine Daten offen gelegt wurden, also niemand konkret in den Räumen war und Daten abgerufen hat, liegt m. E. kein Datenschutzfall vor. Es wurden weder Daten noch Menschen geschädigt. Denn die Datenschutzgesetze definieren eine Datenschutzverletzung, wenn es eine „nicht rechtmäßige Datenverarbeitung“ gegeben hat. Hier fand aber (noch) keine Datenverarbeitung statt, weshalb es lediglich eine Bedrohungslage ist, die allein aber nicht meldepflichtig ist. | Solange keine Daten offen gelegt wurden, also niemand konkret in den Räumen war und Daten abgerufen hat, liegt m. E. kein Datenschutzfall vor. Es wurden weder Daten noch Menschen geschädigt. Denn die Datenschutzgesetze definieren eine Datenschutzverletzung, wenn es eine „nicht rechtmäßige Datenverarbeitung“ gegeben hat. Hier fand aber (noch) keine Datenverarbeitung statt, weshalb es lediglich eine Bedrohungslage ist, die allein aber nicht meldepflichtig ist. | ||
− | == Fall | + | == Fall 21/2021: Gefahr des Ausspähens von Daten beim Aktenumzug == |
Ein Archiv zieht um und die beauftragte Firma könnte in die Akten hineinsehen. Droht ein "Datenleck"? | Ein Archiv zieht um und die beauftragte Firma könnte in die Akten hineinsehen. Droht ein "Datenleck"? | ||
Ja. Es ist nicht auszuschließen, dass jemand absichtlich oder versehentlich (umgefallene Kartons) Daten einsehen kann. Da die Akten personenbezogene Daten enthalten, sind die Transportbehälter so zu sichern, dass sie nicht einsehbar sind. Sollte das nicht möglich sein, besteht immer noch die Möglichkeit, der Firma eine Vertraulichkeitserklärung abzuverlangen. | Ja. Es ist nicht auszuschließen, dass jemand absichtlich oder versehentlich (umgefallene Kartons) Daten einsehen kann. Da die Akten personenbezogene Daten enthalten, sind die Transportbehälter so zu sichern, dass sie nicht einsehbar sind. Sollte das nicht möglich sein, besteht immer noch die Möglichkeit, der Firma eine Vertraulichkeitserklärung abzuverlangen. | ||
− | == Fall | + | == Fall 22/2021: Amtsinterne Weitergabe von Daten == |
Meldet jemand einen Hund an, sollen die Daten automatisiert an das Steueramt weitergegeben werden, damit die Hunde besteuert werden können. Ist das ohne Einwilligung rechtmäßig? | Meldet jemand einen Hund an, sollen die Daten automatisiert an das Steueramt weitergegeben werden, damit die Hunde besteuert werden können. Ist das ohne Einwilligung rechtmäßig? | ||
Zeile 159: | Zeile 159: | ||
Die Übermittlung ist also rechtmäßig. | Die Übermittlung ist also rechtmäßig. | ||
− | == Fall | + | == Fall 23/2021: ZOOM == |
Die Firma ZOOM, die ein Videokonferenzsystem zur Verfügung stellt, bietet eine "EU-Option" an, bei der die Technik nur über europäische Server abläuft. ZOOM ist dabei Auftragsverarbeiter! Eine entsprechende Datenschutzerklärung muss vom Veranstalter der Videokonferenzen gegenüber den Betroffenen abgegeben werden. | Die Firma ZOOM, die ein Videokonferenzsystem zur Verfügung stellt, bietet eine "EU-Option" an, bei der die Technik nur über europäische Server abläuft. ZOOM ist dabei Auftragsverarbeiter! Eine entsprechende Datenschutzerklärung muss vom Veranstalter der Videokonferenzen gegenüber den Betroffenen abgegeben werden. | ||
Zeile 174: | Zeile 174: | ||
* Anforderungen an ZOOM und Erfüllung: https://zoom.us/docs/doc/Zoom-Kommentar-DSK-Checkliste.pdf | * Anforderungen an ZOOM und Erfüllung: https://zoom.us/docs/doc/Zoom-Kommentar-DSK-Checkliste.pdf | ||
− | == Fall | + | == Fall 24/2021: Verzeichnis der Verarbeitungstätigkeiten - ein Muster aus der Praxis == |
Das Baubetriebsamt einer Kommune hat mich beauftragt, ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 EU-DSGVO (kurz [[Verarbeitungsverzeichnis]]) zu erstellen. Ich möchte hier mal aufführen, wie ich bei dieser Aufgabe vorgegangen bin. Das Verarbeitungsverzeichnis enthält alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Für die Definitionen von "[[personenbezogene Daten|personenbezogenen Daten]]" und "[[Verarbeitung|verarbeiten]]" gelten die entsprechenden Artikel. | Das Baubetriebsamt einer Kommune hat mich beauftragt, ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 EU-DSGVO (kurz [[Verarbeitungsverzeichnis]]) zu erstellen. Ich möchte hier mal aufführen, wie ich bei dieser Aufgabe vorgegangen bin. Das Verarbeitungsverzeichnis enthält alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Für die Definitionen von "[[personenbezogene Daten|personenbezogenen Daten]]" und "[[Verarbeitung|verarbeiten]]" gelten die entsprechenden Artikel. | ||
Zeile 198: | Zeile 198: | ||
(wird fortgesetzt) | (wird fortgesetzt) | ||
− | == Fall | + | == Fall 25/2021: Der (allzu tüchtige) Hausmeister == |
Ein Hausmeister einer Kommune kümmert sich um die Sammlung und Übergabe von Papiercontainern mit personenbezogenen Daten an ein qualifiziertes Unternehmen. Dabei öffnet der Mann die Container und optimiert die Füllung, so dass keine halbleeren Container abgegeben werden. Dies geschieht nicht aus böser Absicht sondern natürlich, um die Kosten zu optimieren. Die Vernichtung wird pro Container abgerechnet. Darf der Hausmeister die Container öffnen? | Ein Hausmeister einer Kommune kümmert sich um die Sammlung und Übergabe von Papiercontainern mit personenbezogenen Daten an ein qualifiziertes Unternehmen. Dabei öffnet der Mann die Container und optimiert die Füllung, so dass keine halbleeren Container abgegeben werden. Dies geschieht nicht aus böser Absicht sondern natürlich, um die Kosten zu optimieren. Die Vernichtung wird pro Container abgerechnet. Darf der Hausmeister die Container öffnen? | ||
Zeile 207: | Zeile 207: | ||
Da aber kein konkreter Fall eines Auslesens der Daten nachgewiesen werden konnte (keine Erwähnung von Akteninhalt im Kollegengespräch), reicht eine Ermahnung des Hausmeisters aus. Zeugen sagten aus, dass die Geschwindigkeit des Umräumens regelmäßig kein Lesen der Akten zulasse. | Da aber kein konkreter Fall eines Auslesens der Daten nachgewiesen werden konnte (keine Erwähnung von Akteninhalt im Kollegengespräch), reicht eine Ermahnung des Hausmeisters aus. Zeugen sagten aus, dass die Geschwindigkeit des Umräumens regelmäßig kein Lesen der Akten zulasse. | ||
− | == Fall | + | == Fall 26/2021: Befund in Heilpraktikerrechnung == |
Ein Heilpraktiker übersandte seinem Rechtsanwalt eine Rechnung, die er nicht eintreiben konnte. Obwohl die Rechnung nicht nur die volle Adresse sondern auch den Befund des Patienten enthielt, leitete der RA diese an eine Kommune weiter, um den Verbleib des Patienten zu erfahren. | Ein Heilpraktiker übersandte seinem Rechtsanwalt eine Rechnung, die er nicht eintreiben konnte. Obwohl die Rechnung nicht nur die volle Adresse sondern auch den Befund des Patienten enthielt, leitete der RA diese an eine Kommune weiter, um den Verbleib des Patienten zu erfahren. | ||
Der RA wurde darauf hingewiesen, dass besondere Kategorien personenbezogener Daten in diesem Fall nicht übermittelt werden durften. Die Übermittlung war für die Adressenabfrage irrelevant und entbehrte daher jeder Rechtsgrundlage. | Der RA wurde darauf hingewiesen, dass besondere Kategorien personenbezogener Daten in diesem Fall nicht übermittelt werden durften. Die Übermittlung war für die Adressenabfrage irrelevant und entbehrte daher jeder Rechtsgrundlage. | ||
− | == Fall | + | == Fall 27/2021: Übermittlung von Berechnungsergebnissen einer externe Behilfestelle == |
Eine externe Beihilfestelle hat Rechnungen und Befund vertragsgemäß an die beauftragende Kommune per E-Mail versandt. Zwar ist fraglich, ob diese Daten überhaupt übermittelt werden dürfen (immerhin darf der Arbeitgeber auch von Krankenkassen keine Befunde erhalten), die Daten wurden jedoch im Klartext übermittelt. | Eine externe Beihilfestelle hat Rechnungen und Befund vertragsgemäß an die beauftragende Kommune per E-Mail versandt. Zwar ist fraglich, ob diese Daten überhaupt übermittelt werden dürfen (immerhin darf der Arbeitgeber auch von Krankenkassen keine Befunde erhalten), die Daten wurden jedoch im Klartext übermittelt. | ||
Wenn man keine Möglichkeit hat, verschlüsselte E-Mails zu versenden, sollte man sensible Daten wenigstens in einem Dokument an die E-Mail anhängen und dieses Dokument vorher mit einem Kennwort versehen. Das Kennwort selbst kann entweder telefonisch oder in einer weiteren E-Mail mitgeteilt werden. Nicht ganz zeitgemäß aber besser als Klartext. | Wenn man keine Möglichkeit hat, verschlüsselte E-Mails zu versenden, sollte man sensible Daten wenigstens in einem Dokument an die E-Mail anhängen und dieses Dokument vorher mit einem Kennwort versehen. Das Kennwort selbst kann entweder telefonisch oder in einer weiteren E-Mail mitgeteilt werden. Nicht ganz zeitgemäß aber besser als Klartext. | ||
− | == Fall | + | == Fall 28/2021: TalkEvent == |
Eine Kommune möchte die Software TalkEvent nutzen, um interne und externe Videokonferenzen, Chats etc. durchzuführen. Gibt es datenschutzrechtliche Bedenken? | Eine Kommune möchte die Software TalkEvent nutzen, um interne und externe Videokonferenzen, Chats etc. durchzuführen. Gibt es datenschutzrechtliche Bedenken? | ||
Zeile 226: | Zeile 226: | ||
Da die Datenschutzeinstellungen korrekt regelbar sind, muss darauf geachtet werden, dass sie stets richtig gesetzt sind. GOOGLE und MICROSOFT verstoßen in diesen Fällen eigentlich gegen den Grundsatz der datenschutzfreundlichen Einstellungen von Beginn an ("Privacy by default"). | Da die Datenschutzeinstellungen korrekt regelbar sind, muss darauf geachtet werden, dass sie stets richtig gesetzt sind. GOOGLE und MICROSOFT verstoßen in diesen Fällen eigentlich gegen den Grundsatz der datenschutzfreundlichen Einstellungen von Beginn an ("Privacy by default"). | ||
− | == Fall | + | == Fall 29/2021: Dokumentenmanagementsystem == |
Ich wurde zu einer datenschutzrechtlichen Stellungnahme im Falle der Einführung eines Dokumentenmanagementsystems (DMS) gebeten. Ein DMS ist eigentlich ein normales Programm. Es gibt keine erhöhten Anforderungen an ein DMS als an andere Programme. Daher habe ich mich wie immer an folgende Liste gehalten: | Ich wurde zu einer datenschutzrechtlichen Stellungnahme im Falle der Einführung eines Dokumentenmanagementsystems (DMS) gebeten. Ein DMS ist eigentlich ein normales Programm. Es gibt keine erhöhten Anforderungen an ein DMS als an andere Programme. Daher habe ich mich wie immer an folgende Liste gehalten: | ||
Zeile 238: | Zeile 238: | ||
Erwähnenswert finde ich noch, dass die Verantwortlichen nicht die Ersteller oder Beschaffer des Programms sind, sondern die Nutzer. Denn diese entscheiden allein über Mittel und Zweck der Verarbeitung. | Erwähnenswert finde ich noch, dass die Verantwortlichen nicht die Ersteller oder Beschaffer des Programms sind, sondern die Nutzer. Denn diese entscheiden allein über Mittel und Zweck der Verarbeitung. | ||
− | == Fall | + | == Fall 30/2021: Zwangsinstallation einer App auf privatem Mobiltelefon? == |
Ein tüchtiger Mitarbeiter einer Kommune hat eine App erstellt, die eine Verbindung zwischen mobilen Telefonen und dem Netz der Kommune herstellt. Er stellt sich die Frage nach der erlaubten Datenverarbeitung und einer Möglichkeit, die Installation zu "erzwingen". | Ein tüchtiger Mitarbeiter einer Kommune hat eine App erstellt, die eine Verbindung zwischen mobilen Telefonen und dem Netz der Kommune herstellt. Er stellt sich die Frage nach der erlaubten Datenverarbeitung und einer Möglichkeit, die Installation zu "erzwingen". | ||
Zeile 245: | Zeile 245: | ||
Eine Möglichkeit, Mitarbeiter/-innen zu zwingen, die App zu nutzen, gibt es nicht. Schon gar nicht auf privaten Mobiltelefonen. | Eine Möglichkeit, Mitarbeiter/-innen zu zwingen, die App zu nutzen, gibt es nicht. Schon gar nicht auf privaten Mobiltelefonen. | ||
− | == Fall | + | == Fall 31/2021: Beerdigung als "Live-Stream" == |
Die Pandemie greift tief in das Privatleben ein. Die Teilnahme an Veranstaltungen ist stark eingeschränkt, um dem Virus weniger Möglichkeiten zu geben, sich zu verbreiten. Leider betrifft das auch sehr private Ereignisse wie Beerdigungen. | Die Pandemie greift tief in das Privatleben ein. Die Teilnahme an Veranstaltungen ist stark eingeschränkt, um dem Virus weniger Möglichkeiten zu geben, sich zu verbreiten. Leider betrifft das auch sehr private Ereignisse wie Beerdigungen. | ||
Zeile 252: | Zeile 252: | ||
Wir haben hier zwei Arten von Betroffenen: die Beerdigungsgäste und zufällige Friedhofsbesucher. Wenn die Gäste einzeln (!) eine Einwilligung abgeben und Friedhofsbesucher durch ein entsprechendes, vorübergehend installiertes Schild auf die Situation hingewiesen werden, steht einer "Live-Übertragung" des traurigen Anlasses nichts mehr im Wege. | Wir haben hier zwei Arten von Betroffenen: die Beerdigungsgäste und zufällige Friedhofsbesucher. Wenn die Gäste einzeln (!) eine Einwilligung abgeben und Friedhofsbesucher durch ein entsprechendes, vorübergehend installiertes Schild auf die Situation hingewiesen werden, steht einer "Live-Übertragung" des traurigen Anlasses nichts mehr im Wege. | ||
− | == Fall | + | == Fall 32/2021: Unverschlüsselte E-Mail mit Beihilfedaten == |
Eine ausgelagerte Beihilfestelle hat eine Kontrollliste an ein Sachgebiet der beauftragenden Kommune gesandt. Leider war die E-Mail unverschlüsselt. Beihilfedaten enthalten aber Daten über gesundheitliche Behandlungen und die sind personenbezogen über eine Personalnummer erfahrbar. | Eine ausgelagerte Beihilfestelle hat eine Kontrollliste an ein Sachgebiet der beauftragenden Kommune gesandt. Leider war die E-Mail unverschlüsselt. Beihilfedaten enthalten aber Daten über gesundheitliche Behandlungen und die sind personenbezogen über eine Personalnummer erfahrbar. | ||
Diese Offenlegung (gegenüber dem Mail-Anbieter) ist nicht rechtmäßig. Da die Einzelfälle nicht ermittelbar waren (auch der Datenschutzbeauftragte unterliegt dem Datenschutzrecht und darf nicht alles wissen), beliess ich es mit einem allgemeinen Hinweis an alle Sachbearbeitungen, solche empfindlichen Daten doch wenigstens in einem Kennwort-geschütztem Dokument zu versenden. | Diese Offenlegung (gegenüber dem Mail-Anbieter) ist nicht rechtmäßig. Da die Einzelfälle nicht ermittelbar waren (auch der Datenschutzbeauftragte unterliegt dem Datenschutzrecht und darf nicht alles wissen), beliess ich es mit einem allgemeinen Hinweis an alle Sachbearbeitungen, solche empfindlichen Daten doch wenigstens in einem Kennwort-geschütztem Dokument zu versenden. |
Version vom 6. Mai 2021, 19:31 Uhr
Inhaltsverzeichnis
- 1 Fall 01/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation
- 2 Fall 02/2021: Anzeige gegen Hühnerhalter
- 3 Fall 03/2021: Auftragsverarbeitung bei Auslagerung?
- 4 Fall 04/2021: Informationen des Arbeitsamtes bei Einstellung?
- 5 Fall 05/2021: Energieausweis eines öffentlichen Gebäudes per IFG?
- 6 Fall 06/2021: Homeoffice im Hotel?
- 7 Fall 07/2021: Verspätete Weihnachtsgeschenke
- 8 Fall 08/2021: Akten zur Abschiebung
- 9 Fall 09/2021: Personenbezogene Daten für den Brandschutzbedarfsplan
- 10 Fall 10/2021: Sponsoring legitim?
- 11 Fall 11/2021: (Noch in Arbeit)
- 12 Fall 12/2021: Wie werden die Daten von Berechtigten für FFP2-Masken ermittelt?
- 13 Fall 13/2021: Dürfen zur Identitätsermittlung auch Fotos erstellt werden?
- 14 Fall 14/2021: Erlass des Innenministeriums NRW zur Identifizierung bei Impfungen
- 15 Fall 15/2021: Verbandbucheinträge
- 16 Fall 16/2021: Bewerbungsbogen Kindertagespflege
- 17 Fall 17/2021: Auslesen des Logbuchs einer Alarmanlage
- 18 Fall 18/2021: Akteneinsicht für den Personalrat
- 19 Fall 19/2021: Auftragsverarbeitungsvertrag vor 2018
- 20 Fall 20/2021: Zugangsmöglichkeit zu Daten noch keine Verarbeitung
- 21 Fall 21/2021: Gefahr des Ausspähens von Daten beim Aktenumzug
- 22 Fall 22/2021: Amtsinterne Weitergabe von Daten
- 23 Fall 23/2021: ZOOM
- 24 Fall 24/2021: Verzeichnis der Verarbeitungstätigkeiten - ein Muster aus der Praxis
- 25 Fall 25/2021: Der (allzu tüchtige) Hausmeister
- 26 Fall 26/2021: Befund in Heilpraktikerrechnung
- 27 Fall 27/2021: Übermittlung von Berechnungsergebnissen einer externe Behilfestelle
- 28 Fall 28/2021: TalkEvent
- 29 Fall 29/2021: Dokumentenmanagementsystem
- 30 Fall 30/2021: Zwangsinstallation einer App auf privatem Mobiltelefon?
- 31 Fall 31/2021: Beerdigung als "Live-Stream"
- 32 Fall 32/2021: Unverschlüsselte E-Mail mit Beihilfedaten
Fall 01/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation
DATENSCHUTZRECHTLICHE STELLUNGNAHME
a. Sachverhalt
Bei der Organisation einer Impfung gegen das derzeit grassierende SARS-COV-2-Virus und den damit verbundenen Schutz der Bevölkerung gegen die Krankheit COVID-19 sollen besonders gefährdete Bürgerinnern und Bürger zuerst geimpft werden.
In einem ersten Schritt möchte das Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein Westfalen (MAGS NRW) die Daten von über 80 Jahre alten Einwohnern erhalten, um diese anzuschreiben und die Impftermine zu koordinieren. Angefordert wurden Name, Geburtsdatum, Meldeadresse der betroffenen Bürger.
b. Rechtslage
Die zuerst zu prüfende Datenschutzverordnung der Europäischen Union (EU-DSGVO) regelt die Übermittlung zwischen öffentlichen Stellen innerhalb der Europäischen Union nicht. Daher sind nationale Regelungen zu prüfen, die diese Lücke ausfüllen. Die Übermittlung zwischen öffentlichen Stellen innerhalb von Nordrhein Westfalen regelt das Landesdatenschutzgesetz NRW (DSG NW).
Bei der Datenverarbeitung im Sachverhalt handelt es sich um eine Übermittlung personenbezogener Daten zwischen öffentlichen Stellen (innerhalb der Europäischen Union). Besondere Kategorien personenbezogener Daten sind davon nicht betroffen. Fraglich ist die Zulässigkeit der Übermittlung.
Die Verarbeitung personenbezogener Daten (also auch die Übermittlung) ist grundsätzlich verboten. Jede Verarbeitung benötigt daher eine genau zu benennende Rechtsgrundlage. Rechtsgrundlage für die Übermittlung von personenbezogenen Daten ist das DSG selbst, sofern kein spezielleres Recht vorgreift.
Verantwortlich für die Prüfung ist in der Regel die übermittelnde Stelle, also die Kommune (§ 8 Abs. 1 Satz 1 DSG NW). Erfolgt die Übermittlung dagegen aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung (§ 8 Abs. 1 Satz 2 DSG NW). Das ist im Sachverhalt der Fall.
Die übermittelnde Stelle (Kommune) prüft dann lediglich, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt (§ 8 Abs. 1 Satz 3 DSG NW). § 20 Abs. 5 des Infektionsschutzgesetzes regelt, dass die obersten Landesgesundheitsbehörden bestimmen dürfen, dass die (kommunalen) Gesundheitsämter Impfungen durchführen. Davon hat der Landesgesundheitsminister Gebrauch gemacht; die Übermittlung liegt also im Rahmen der Aufgaben der Kreise.
Die Übermittlung des Geburtsdatums könnte dem Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. C EU-DSGVO) widersprechen. Da ein Stichtag angegeben wurde (31.01.2021) ist von einer verfeinerten Auswahl der zu Impfenden nicht auszugehen. Geimpft wird, wer am 31.01.2021 80 Jahre alt ist.
Die Rechtmäßigkeit des Ersuchens prüft die Kommune allerdings nur, „wenn hierzu im Einzelfall Anlass besteht“ (§ 8 Abs. 1 Satz 4 DSG NW)). Da das Thema der Pandemie, die Entwicklung und Freigabe des Impfstoffes und die Organisation der Impfung täglich in Presse und Funk thematisiert sind, dürfte allgemein bekannt sein, dass und wie die Impfungen organisiert werden.
c. Ergebnis
Der „Einzelfall“ des Gesetzes besteht m. E. nicht. Die Daten dürfen an den Kreis übermittelt werden.
Frank Werner
Fall 02/2021: Anzeige gegen Hühnerhalter
Im zweiten Sachverhalt fühlten sich die Nachbarn eines Hühnerhalters vom Lärm der Tiere gestört und zeigten ihn an. Der wiederum wollte wissen, wer ihn angezeigt hat. Und erbat Auskunft nach dem Informationsfreiheitsgesetz von der Kommune.
Die Rechtslage gestaltet sich nach § 9 des Informationsfreiheitsgesetzes NRW. Demnach sind personenbezogene Daten ebenfalls geschützt, es sei denn, die Person, deren Daten angefordert wurden, ist gutachtlich tätig. Das ist bei den leidenden Nachbarn natürlich nicht der Fall.
Das Ergebnis ist klar: eine Auskunft über Personen ist nicht möglich. Natürlich könnte der Hühnerhalter die Akte einsehen. Namen müssten jedoch vorher geschwärzt werden.
Fall 03/2021: Auftragsverarbeitung bei Auslagerung?
Sachverhalt: Eine Gemeinde möchte die Berechnung und Auszahlung von Beihilfen an eine Krankenkasse auslagern. Reicht ein Vertrag zur Auftragsverarbeitung?
Rechtslage: Hier werden besondere Kategorien personenbezogener Daten verarbeitet. Die EU-DSGVO stellt an eine solche Verarbeitung besondere Ansprüche (Art. 9). Die Verarbeitung solcher Daten ist grundsätzlich nur zulässig, wenn u. a. ein Sozialrecht wahrgenommen werden soll (was hier ja der Fall ist). Ferner wird, wie auch im Auftragsverarbeitungsvertrag (Art. 28), eine Verschwiegenheit gefordert.
Ergebnis: Der vorgelegte Auftragsverarbeitungsvertrag erfüllt die Voraussetzungen an die Verarbeitung besonderer Kategorien personenbezogener Daten und die Voraussetzungen des Art. 28 ebenfalls.
Fall 04/2021: Informationen des Arbeitsamtes bei Einstellung?
Im Sachverhalt geht es um die Einstellung eines schwerer zu vermittelnden Bewerbers. Diese Menschen erhalten Förderungen von Arbeitsamt. Dürfen dazu die personenbezogenen Daten des Bewerbers angefordert werden?
Rechtslage: Dass die Kommune nach der Zulässigkeit fragt, ist richtig. Denn nach § 8 Abs. 1 DSG NW trägt die Verantwortung für eine Übermittlung die anfragende Stelle dann, wenn es sich um eine öffentliche Stelle handelt. Ferner ist die Verarbeitung personenbezogener Daten auch erlaubt, wenn es sich um die Vorarbeiten zu einem Vertrag handelt. Der Vertrag ist der anstehende Arbeitsvertrag.
Ergebnis ist, dass die Anfrage und die Verarbeitung dieser Daten korrekt sind.
Fall 05/2021: Energieausweis eines öffentlichen Gebäudes per IFG?
Dieser Sachverhalt ist etwas ungewöhnlich: ein Bürger fordert die Einsicht in einen Energieausweis eines öffentlichen Gebäudes. Der Energieausweis ist nach § 80 des Gebäudeenergiegesetzes aber sowieso öffentlich auszuhängen. Daher kann der Ausweis wahlweise ausgehändigt oder auf den Aushang verwiesen werden.
Fall 06/2021: Homeoffice im Hotel?
Eine Kollegin fragte an, ob sie auch Homeoffice in einem Hotel belegen könnte. Hier ist das hoteleigene WLAN natürlich zu prüfen. Ideal sind Verbindungen per verschlüsseltem Tunnel, der das WLAN nur als "Straße" benutzt.
Fall 07/2021: Verspätete Weihnachtsgeschenke
Mal ein Sachverhalt aus der Korruptionsvorbeugung. Die Kolleginnen und Kollegen sind gut sensibilisert, fragen bei nahezu allen Geschenken nach. Oft sind es aber nur Geschenke ohne Vorbehalt zu jahreszeitlichen Anlässen. Da ihr Wert auch in aller Regel gering ist (Kugelschreiber, Kalender, Kekse etc.) ist das in den meisten Fällen in Orndung.
Einmal wurde allerdings ein Geschenk zu einem Antrag dazugelegt. Da sich hier eine direkte Verbindung zwischen Entscheidung und Belohnung aufdrängt, wurde das Geschenk zurück gesandt, der Antrag aber vorurteilsfrei bearbeitet.
Fall 08/2021: Akten zur Abschiebung
Ein nicht aufenthaltberechtigter, mehrfach krimineller Flüchtling sollte abgeschoben werden. Das wird in solchen Fällen allerdings auch dann ausgesetzt, wenn der Flüchtling (es ging wirklich um einen Mann) eine soziale Verbindung ins Inland hat und die auch "lebt".
Um festzustellen, ob der Abzuschiebende seine soziale Verbindung (die tatsächlich existierte) auch lebt, sind die Fachleute vom Jugendamt kompetent. Denn der Fragliche hatte mit einer Inländerin ein Kind. Daher wurde vom Ausländeramt die Akte angefordert.
In der Akte stehen allerdings personenbezogene Daten auch von anderen Personen. Die sollen natürlich nicht in das Verfahren einbezogen werden und müssen daher geschwärzt werden.
Die Alternative war hier eine Zusammenfassung seitens der Jugendamts-Sachbearbeiterin, die die Aktenlage in einem eigenen Bericht zusammenfasste. So konnte sich das Ausländeramt ein Bild machen und trotzdem die Daten schützen.
Ob und wie der Fall ausgegangen ist, weiß ich nicht. Datenschutz gilt selbstverständlich auch gegenüber dem Datenschutzbeauftragten.
Fall 09/2021: Personenbezogene Daten für den Brandschutzbedarfsplan
Sachverhalt: Alle fünf Jahre müssen die Kommunen einen Brandschutzbedarfsplan aufstellen. Darin wird u. a. festgehalten, wie viele Feuerwehrleute pro Tag bei Einsätzen zur Verfügung stehen. Dazu müssen die Feuerwehrleute individuell befragt werden, da es bei der Einsatzfähigkeit natürlich auch auf die beruflichen Gegebenheiten (Schichtdienst, entfernte Arbeitsstelle) ankommt.
Maßgeblich für die Rechtslage ist das Gesetz über den Brandschutz, der Hilfeleistung und des Katastrophenschutzes (BHKG). Im § 46 Absatz 2 BHKG ist festgelegt, dass personenbezogene Daten zur Vorbereitung vorbeugender Maßnahmen verarbeitet werden dürfen. Der Brandschutzbedarfsplan ist ohne Zweifel eine solche Maßnahme.
Im Ergebnis lässt sich feststellen, dass die Verarbeitung und auch die Übertragung an evtl. Organisationen zur Erstellung eines solchen Plans erlaubt ist. Das Gesetz schließt ausdrücklich "beteiligte Organisationen" mit ein.
Fall 10/2021: Sponsoring legitim?
Im Rahmen eines Förderprojekts wird eine Infobroschüre zur Mobilität vorbereitet, die allen Bürgern im Projektgebiet zugesandt werden soll. Das ortsansässige Carsharing-Unternehmen, das als Genossenschaft unter kommunaler Beteiligung organisiert ist, hat freundlicherweise Bilder zur Verfügung gestellt und wünscht sich in der Broschüre erwähnt zu werden. Dürfen wir das oder ist das unzulässige Werbung?
Die Regeln für Sponsoring sind üblicherweise in einer Korruptionsbekämpfungssatzung aufgeführt, da Sponsoring die Gefahr der Korruption beinhalten kann. Regeln sind beispielsweise, dass kein Geld fließen darf oder das gesponsorte Projekt (die Broschüre) nicht ausschließlich aus solchen Geldern finanziert wird.
Bei der ledliglichen Verfügbarkeit von Bildern ist das kein Problem.
Fall 11/2021: (Noch in Arbeit)
Fall 12/2021: Wie werden die Daten von Berechtigten für FFP2-Masken ermittelt?
Im Zuge der Erteilung von Berechtigungsscheinen für die FFP2-Masken im Januar wurde die Frage gestellt, wie denn diese Daten ermittelt werden und ob die Bundesregierung eine Statistik aufstellen könnte.
Die Antwort ist: Nein, denn die Bundesregierung erfährt die Daten der berechtigten Empfänger gar nicht. Die Krankenkassen meldeten ihren Bedarf durch eine Erhebung ihrer eigenen Daten und meldeten lediglich die Anzahl der notwendigen Masken. Die Ausgabe der Bezugsscheine erfolgte ebenfalls durch die Krankenkassen, so dass keine Daten nach Berlin gemeldet werden mussten.
Fall 13/2021: Dürfen zur Identitätsermittlung auch Fotos erstellt werden?
Ein Ordnungsamt wies eine Gruppe von Störern auf eine Ordnungswidrigkeit hin. Diese entzogen sich daraufhin durch Flucht der drohenden Ordnungsstrafe. Die Mitarbeiter/-innen des Ordnungsamtes fotografierten die Störer aber mit einer Digitalkamera und konnten durch Nachfragen die Identität der Störer feststellen. Diese erhoben Datenschutzbeschwerde.
Die Beschwerde ist abzuweisen. Zur Identitätsfeststellung sind regelmäßig auch Fotos erlaubt, sofern sie nur der Identifizierung von Personen dienen. Da eine Digitalkamera und kein Handy benutzt wurde, bestand auch nicht die Gefahr der verdeckten Datenübermittlung. Fotos von Betroffenen sind z. B. auch bei der automatischen Geschwindigkeitskontrolle schon lange möglich.
Fall 14/2021: Erlass des Innenministeriums NRW zur Identifizierung bei Impfungen
Das Ministerium für Arbeit, Gesundheit und Soziales NRW (MAGS NRW) teilt mit, dass zur Identifizierung in Impfzentren grundsätzlich ein Lichtbildausweis notwendig ist. Der könne im Einzelfall auch abgelaufen sein, müsse jedoch immer ein Foto tragen. Ferner sollen die Impfzentren Zugriff auf die Einwohnermeldedaten erhalten. Eine Bürgerin fragt, ob das "rechtens" sei.
Die Corona-Pandemie gilt grundsätzlich als "schwerwiegende grenzüberschreitende Gesundheitsgefahr" i. S. d. Art. 9 Abs. 2 Bst. i EU-DSGVO. Damit ist sogar eine systematischere Verarbeitung von Gesundheitsdaten möglich als bisher vom Staat durchgeführt. Der Datenschutz, das sei hier nochmals erwähnt, steht einem besseren Schutz vor Pandemien nicht entgegen.
Fall 15/2021: Verbandbucheinträge
Seit einiger Zeit muss jeder "Erste Hilfe"-Schrank in Gewerbebetrieben und Behörden mit einem "Verbandbuch" ausgestattet sein. Dort soll eingetragen werden, wer welche medizinische Behandlung durch den Schrank erhalten hat. Sinn der Sache ist es, mögliche Folgeschäden früh zu erkennen. Die Daten sind besondere Kategorien personenbezogener Daten i. S. d. Art. 9 EU-DSGVO.
Es muss daher darauf geachtet werden, dass diese Bücher nicht öffentlich einsehbar sind ("Erste Hilfe"-Schränke sind üblicherweise nicht verschlossen). Der Datenschutzbeauftragte ist selbstverständlich nicht berechtigt, diese Bücher aufzubewahren, da es hierfür keine Rechtsgrundlage gibt. Die Aufbewahrung muss an einer Stelle erfolgen, die derlei Rechtsansprüche bearbeitet (z. B. Personalamt).
Die Information der entsprechenden Stelle könnte durch eine (hausinterne) E-Mail erfolgen.
Es sei hier nochmal darauf hingewiesen, dass ein unberechtigter Datenabruf durch Administratoren bereits mehrfach zu berechtigten fristlosen Kündigungen geführt hat.
Fall 16/2021: Bewerbungsbogen Kindertagespflege
Neben den städtischen (und kirchlichen bzw. freien) Kitas entlasten viele Tagesmütter und -väter (Tagespflegestellen) die Bürger bei der Erziehung und Versorgung von kleinen Kindern. Selbstverständlich werden an die Betreiber von Tagespflegestellen sehr hohe Ansprüche gestellt, um das Wohl der Kinder garantieren zu können.
Wonach darf so ein Bogen fragen? Ich sehe hier die Frage nach Gesundheitsdaten und allgemeineren Daten durch den Art. 9 Abs. 2 Bst g) EU-DSGVO gedeckt, da sowohl der Verantwortliche (das Jugendamt der Gemeinde) als auch die Tageseltern ihren Verpflichtungen aus dem Kinderbildungsgesetz NRW (KiBiZ) nachkommen können müssen. § 20 KiBiZ enthält eine generelle Ermächtigung zur Verarbeitung dieser Daten, § 21 regelt die Qualifikationsanforderungen.
Fall 17/2021: Auslesen des Logbuchs einer Alarmanlage
In einer Schule wurde wiederholt die Alarmanlage nicht eingeschaltet. Es ließ sich durch Befragungen nicht feststellen, ob das Einschalten regelmäßig oder versehentlich erfolgte. Die Amtsleitung fragt an, ob das Logbuch der Alarmanlage in diesen Fällen ausgelesen werden darf. Das Logbuch enthält personenbezogene Daten der Beschäftigten, die die Alarmanlage bedienen.
Rechtsgrundlage ist hier, wie schon öfter, die Pflicht der Gemeinden, ihr Eigentum zu pflegen und zu schützen. Aus dieser rechtlichen Verpflichtung erwächst das Recht, eine möglicherweise vorsätzliche Erhöhung eines Einbruchsrisikos zu vermeiden.
Fall 18/2021: Akteneinsicht für den Personalrat
Eine Akteneinsicht ist auch für den Personalrat sehr schwierig. Selbst Geburtstagslisten sind eigentlich mangels Rechtsgrundlage nicht erlaubt. Das ist schwer verständlich, weil der Personalrat natürlich auf Seiten der Arbeitnehmer ist.
Dennoch lässt die Rechtslage das nicht grundsätzlich zu. Ich empfehle, die Einwilligung der Betroffenen einzuholen. Vor der Akteneinsicht müssen die personenbezogenen Daten Dritter natürlich geschwärzt werden.
Ferner besteht immer die Möglichkeit der Aktenauskunft. Dabei wird eine konkrete Frage an die aktenführende Stelle gestellt, die beantwortet werden soll. Hierbei werden in aller Regel keine personenbezogenen Daten offengelegt.
Fall 19/2021: Auftragsverarbeitungsvertrag vor 2018
Im Falle eines Auftragsverarbeitungsvertrages, der erstmals vor 2018 geschlossen wurde, wurden noch Gesetzesstellen zitiert, die überholt sind. Der Vertrag muss nicht grundsätzlich neu verhandelt werden. Die falschen Zitierstellen wurden aber korrigiert.
Fall 20/2021: Zugangsmöglichkeit zu Daten noch keine Verarbeitung
Ist die Ermöglichung eines Zugangs zu einem Raum mit personenbezogenen Daten bereits eine Datenverarbeitung? Immerhin fällt ja auch eine Offenlegung durch Übermittlung unter die Definition von Datenverarbeitung.
Versehentlich wurde der Schlüssel zu einem Büro an eine Person vergeben, die nicht zur Verarbeitung (hier Abruf) von personenbezogenen Daten berechtigt war. Allerdings wurde der Schlüssel eingezogen, bevor die Person den Raum betreten konnte.
Solange keine Daten offen gelegt wurden, also niemand konkret in den Räumen war und Daten abgerufen hat, liegt m. E. kein Datenschutzfall vor. Es wurden weder Daten noch Menschen geschädigt. Denn die Datenschutzgesetze definieren eine Datenschutzverletzung, wenn es eine „nicht rechtmäßige Datenverarbeitung“ gegeben hat. Hier fand aber (noch) keine Datenverarbeitung statt, weshalb es lediglich eine Bedrohungslage ist, die allein aber nicht meldepflichtig ist.
Fall 21/2021: Gefahr des Ausspähens von Daten beim Aktenumzug
Ein Archiv zieht um und die beauftragte Firma könnte in die Akten hineinsehen. Droht ein "Datenleck"?
Ja. Es ist nicht auszuschließen, dass jemand absichtlich oder versehentlich (umgefallene Kartons) Daten einsehen kann. Da die Akten personenbezogene Daten enthalten, sind die Transportbehälter so zu sichern, dass sie nicht einsehbar sind. Sollte das nicht möglich sein, besteht immer noch die Möglichkeit, der Firma eine Vertraulichkeitserklärung abzuverlangen.
Fall 22/2021: Amtsinterne Weitergabe von Daten
Meldet jemand einen Hund an, sollen die Daten automatisiert an das Steueramt weitergegeben werden, damit die Hunde besteuert werden können. Ist das ohne Einwilligung rechtmäßig?
Eine Einwilligung ist natürlich immer eine sichere Sache. Jeder darf mit seinen Daten tun und lassen, was er will und wenn Ihnen jemand in eine Verarbeitung (hier: Übermittlung) einwilligt, sind Sie immer auf der sicheren Seite.
Die EU-DSGVO regelt die amtsinterne Weitergabe der Daten nicht. Daher hat das Land NRW diese Rechtslücke ausgefüllt und eine Regelung vorgenommen. Da im Landeshundegesetz eine entsprechende Regelung nicht getroffen wurde, gilt das Datenschutzgesetz (NRW).
In § 6 Datenschutzgesetz NRW ist geregelt, dass eine regelmäßige Übermittlung zwischen öffentlichen Stellen dann erlaubt ist, wenn die Verarbeitung (also hier die Übermittlung) zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
„Regelmäßig“ heißt hier aber nicht „immer wieder“ sondern „einer Regel entsprechend“. Die Übermittlung findet regelmäßig statt, wenn jemand seinen Hund anmeldet. Die rechtliche Verpflichtung liegt beim Steueramt darin, die Steuern für Hunde einzuziehen.
Die Übermittlung ist also rechtmäßig.
Fall 23/2021: ZOOM
Die Firma ZOOM, die ein Videokonferenzsystem zur Verfügung stellt, bietet eine "EU-Option" an, bei der die Technik nur über europäische Server abläuft. ZOOM ist dabei Auftragsverarbeiter! Eine entsprechende Datenschutzerklärung muss vom Veranstalter der Videokonferenzen gegenüber den Betroffenen abgegeben werden.
Die einzige Lösung, die mir in Bezug auf ZOOM einfällt, ist eine Vorschalt- oder Randnotiz.
Sofern man in ZOOM als Administrator einstellen kann, dass jedem Teilnehmer
- vor der ZOOM-Sitzung oder
- während der ZOOM-Sitzung
die Verweise auf die Datenschutzerklärung von ZOOM angezeigt werden, sollten diese auf folgende Links hinweisen:
- Datenschutzerklärung von ZOOM: https://zoom.us/de-de/privacy.html
- Anforderungen an ZOOM und Erfüllung: https://zoom.us/docs/doc/Zoom-Kommentar-DSK-Checkliste.pdf
Fall 24/2021: Verzeichnis der Verarbeitungstätigkeiten - ein Muster aus der Praxis
Das Baubetriebsamt einer Kommune hat mich beauftragt, ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 EU-DSGVO (kurz Verarbeitungsverzeichnis) zu erstellen. Ich möchte hier mal aufführen, wie ich bei dieser Aufgabe vorgegangen bin. Das Verarbeitungsverzeichnis enthält alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Für die Definitionen von "personenbezogenen Daten" und "verarbeiten" gelten die entsprechenden Artikel.
Eine Verarbeitungstätigkeit ist in der Betriebswirtschaftslehre allgemein als "Prozess" bekannt. Es gilt also diejenigen Prozesse des Amtes zu identifizieren, die die Verarbeitung von personenbezogenen Daten vorsehen. Hierzu empfiehlt es sich, zuerst die groben Prozesse zu identifizieren und diese dann detaillierter aufzuführen. Die groben Prozesse jedes Unternehmens sind in seinem Angebot zusammengefasst. Wenn wir wissen, was die Organisation nach außen anbietet, dann wissen wir, welche groben Prozesse in dieser Organisation vorhanden sind. Dieses Verfahren lässt sich auf alle Ebenen einer Organisation wiederholen.
Das Baubetriebsamt bietet an
- Bestattungen für Menschen ohne bekannte Angehörige
- Sondernutzungsgenehmigungen der Straße (Aufbruch, Plakatierung)
- Patenschaft für Grünflächen
- Verkauf von Waren (Sandsäcke, Schilder….)
- Vermietung von Absperrungen
- Tätigkeiten im Bereich Grünpflege (Baumrückschnitt auf Rechnung)
- Tätigkeiten im Straßenbau (z.B. Bordesteinabsenkung auf Rechnung)
Die Herstelle der der eingesetzten Software wurden angeschrieben und übersandten verantwortungsbewusst ihre Datenschutzerklärungen bzw. Auftragsverarbeitungsverträge. Das scheint erfreulicherweise inzwischen üblich zu sein. Hier ist Vertraulichkeit natürlich selbstverständlich, auch wenn niemand anfragte, was die Konkurrenz wohl so regelt.
Die Prozessanalyse gestaltete sich etwas schwierig. Von außen ist ein Einblick kaum möglich, da es örtliche Gegebenheiten gibt, die berücksichtigt werden müssen. Daher wurde ein Prozessheft angefragt.
Normalerweise würde jetzt ein Besuch vor Ort viele Fragen klären. Wegen der Pandemie-Situation muss aber natürlich darauf verzichtet werden. Eine Videokonferenz würde die Mitarbeiter/-innen wohl auch zeitlich zu sehr belasten. Daher wurde schriftlich angefragt.
(wird fortgesetzt)
Fall 25/2021: Der (allzu tüchtige) Hausmeister
Ein Hausmeister einer Kommune kümmert sich um die Sammlung und Übergabe von Papiercontainern mit personenbezogenen Daten an ein qualifiziertes Unternehmen. Dabei öffnet der Mann die Container und optimiert die Füllung, so dass keine halbleeren Container abgegeben werden. Dies geschieht nicht aus böser Absicht sondern natürlich, um die Kosten zu optimieren. Die Vernichtung wird pro Container abgerechnet. Darf der Hausmeister die Container öffnen?
Zunächst mal geht es hier um personenbezogene Daten und eine Verarbeitung (nämlich um ein Auslesen gem. Art. 4 Nr. 2 EU-DSGVO). Eine solche Verarbeitung benötigt bekanntlich immer eine Rechtsgrundlage. Eine Einwilligung liegt nach derzeitigem Wissen nicht vor. Der Vertrag mit der Entsorgungsfirma (Auftragsverarbeitung, da die Daten vernichtet werden) kann nicht als Grundlage dienen, da die Betroffenen nicht Teil des Vertrages sind. Andere Interessen sind hier auch auszuschließen, soweit bekannt. Auch das Landesdatenschutzgesetz bietet keine Ermächtigung zur Datenverarbeitung.
Der Hausmeister darf die Container also nicht öffnen, um eine bessere Auslastung zu schaffen. Dazu reicht das Interesse daran nicht aus. Das Schutzbedürfnis der Betroffenen ist hier höher zu bewerten.
Da aber kein konkreter Fall eines Auslesens der Daten nachgewiesen werden konnte (keine Erwähnung von Akteninhalt im Kollegengespräch), reicht eine Ermahnung des Hausmeisters aus. Zeugen sagten aus, dass die Geschwindigkeit des Umräumens regelmäßig kein Lesen der Akten zulasse.
Fall 26/2021: Befund in Heilpraktikerrechnung
Ein Heilpraktiker übersandte seinem Rechtsanwalt eine Rechnung, die er nicht eintreiben konnte. Obwohl die Rechnung nicht nur die volle Adresse sondern auch den Befund des Patienten enthielt, leitete der RA diese an eine Kommune weiter, um den Verbleib des Patienten zu erfahren.
Der RA wurde darauf hingewiesen, dass besondere Kategorien personenbezogener Daten in diesem Fall nicht übermittelt werden durften. Die Übermittlung war für die Adressenabfrage irrelevant und entbehrte daher jeder Rechtsgrundlage.
Fall 27/2021: Übermittlung von Berechnungsergebnissen einer externe Behilfestelle
Eine externe Beihilfestelle hat Rechnungen und Befund vertragsgemäß an die beauftragende Kommune per E-Mail versandt. Zwar ist fraglich, ob diese Daten überhaupt übermittelt werden dürfen (immerhin darf der Arbeitgeber auch von Krankenkassen keine Befunde erhalten), die Daten wurden jedoch im Klartext übermittelt.
Wenn man keine Möglichkeit hat, verschlüsselte E-Mails zu versenden, sollte man sensible Daten wenigstens in einem Dokument an die E-Mail anhängen und dieses Dokument vorher mit einem Kennwort versehen. Das Kennwort selbst kann entweder telefonisch oder in einer weiteren E-Mail mitgeteilt werden. Nicht ganz zeitgemäß aber besser als Klartext.
Fall 28/2021: TalkEvent
Eine Kommune möchte die Software TalkEvent nutzen, um interne und externe Videokonferenzen, Chats etc. durchzuführen. Gibt es datenschutzrechtliche Bedenken?
Die Firma TalkEvent setzt den Datenschutz mustergültig um. Allerdings scheint die Nutzung des Browsers CHROME von Google technisch notwendig zu sein. CHROME setzt aber gern Datenschutzregeln nach Updates außer Kraft bzw. schaltet Schutzfunktionen wieder aus.
Eine Anfrage zur Notwendigkeit von CHROME wurde abgesandt. Die Antwort lautete, dass auch MICROSOFT EDGE als Browser einsetzbar sei. Das ist nur bedingt eine Erleichterung, denn seit einiger Zeit verwendet EDGE den gleichen "Unterbau" wie CHROME.
Da die Datenschutzeinstellungen korrekt regelbar sind, muss darauf geachtet werden, dass sie stets richtig gesetzt sind. GOOGLE und MICROSOFT verstoßen in diesen Fällen eigentlich gegen den Grundsatz der datenschutzfreundlichen Einstellungen von Beginn an ("Privacy by default").
Fall 29/2021: Dokumentenmanagementsystem
Ich wurde zu einer datenschutzrechtlichen Stellungnahme im Falle der Einführung eines Dokumentenmanagementsystems (DMS) gebeten. Ein DMS ist eigentlich ein normales Programm. Es gibt keine erhöhten Anforderungen an ein DMS als an andere Programme. Daher habe ich mich wie immer an folgende Liste gehalten:
- Gibt es eine rechtmäßige Datenschutzerklärung?
- Werden die Daten an Dritte übermittelt?
- Welche technischen und organisatorischen Maßnahmen gibt es?
- Werden personenbezogene Daten ohne Erwähnung verarbeitet (IP-Adressen, Profile)?
Das Programm zeigt eine korrekte Datenschutzerklärung an und speichert die Daten lokal auf dem Server der Kommune. Es sorgt für eine automatische Datensicherheit (Integrität, Redundanz) und erstellt auch weder Leistungsprofile noch Identitätsverfolgung.
Erwähnenswert finde ich noch, dass die Verantwortlichen nicht die Ersteller oder Beschaffer des Programms sind, sondern die Nutzer. Denn diese entscheiden allein über Mittel und Zweck der Verarbeitung.
Fall 30/2021: Zwangsinstallation einer App auf privatem Mobiltelefon?
Ein tüchtiger Mitarbeiter einer Kommune hat eine App erstellt, die eine Verbindung zwischen mobilen Telefonen und dem Netz der Kommune herstellt. Er stellt sich die Frage nach der erlaubten Datenverarbeitung und einer Möglichkeit, die Installation zu "erzwingen".
Da es keine rechtliche Grundlage für diese Art der Verarbeitung gibt, eine Verarbeitung aber vermutlich stattfindet (IP-Adressen), sind Datenschutzerklärung und Einwilligung notwendig.
Eine Möglichkeit, Mitarbeiter/-innen zu zwingen, die App zu nutzen, gibt es nicht. Schon gar nicht auf privaten Mobiltelefonen.
Fall 31/2021: Beerdigung als "Live-Stream"
Die Pandemie greift tief in das Privatleben ein. Die Teilnahme an Veranstaltungen ist stark eingeschränkt, um dem Virus weniger Möglichkeiten zu geben, sich zu verbreiten. Leider betrifft das auch sehr private Ereignisse wie Beerdigungen.
Ein Bürger hatte eine Firma beauftragt, eine Beerdigung "live zu streamen". Während der Beerdigung sollte also eine Möglichkeit gegeben werden, die Beerdigung aus der Ferne über das Internet zu verfolgen und so wenigstens "virtuell" dabei zu sein. Der Kreis der Empfänger soll dabei eingeschränkt sein (geschlossene Gruppe) und gespeichert werden sollte die Übertragung auch nicht.
Wir haben hier zwei Arten von Betroffenen: die Beerdigungsgäste und zufällige Friedhofsbesucher. Wenn die Gäste einzeln (!) eine Einwilligung abgeben und Friedhofsbesucher durch ein entsprechendes, vorübergehend installiertes Schild auf die Situation hingewiesen werden, steht einer "Live-Übertragung" des traurigen Anlasses nichts mehr im Wege.
Fall 32/2021: Unverschlüsselte E-Mail mit Beihilfedaten
Eine ausgelagerte Beihilfestelle hat eine Kontrollliste an ein Sachgebiet der beauftragenden Kommune gesandt. Leider war die E-Mail unverschlüsselt. Beihilfedaten enthalten aber Daten über gesundheitliche Behandlungen und die sind personenbezogen über eine Personalnummer erfahrbar.
Diese Offenlegung (gegenüber dem Mail-Anbieter) ist nicht rechtmäßig. Da die Einzelfälle nicht ermittelbar waren (auch der Datenschutzbeauftragte unterliegt dem Datenschutzrecht und darf nicht alles wissen), beliess ich es mit einem allgemeinen Hinweis an alle Sachbearbeitungen, solche empfindlichen Daten doch wenigstens in einem Kennwort-geschütztem Dokument zu versenden.