Datenschutzbericht 2022
Neben vielen telefonischen Auskünften, Besprechungen, Beratungen, der Schnellbearbeitung von Routinefällen, und dem Erstellen und Prüfen vieler üblicher Dokumente gab es auch in diesem Jahr einige Fälle, die genauer beschrieben werden sollen. Hier entstand nicht ein Zeitprotokoll, sondern eine Beschreibung einer Auswahl an m. E. interessanteren Fällen aus dem Datenschutz des Jahres 2022, die auch in die Akten aufgenommen wurden.
Inhaltsverzeichnis
- 1 Fall 01/2022: Verfahren nach dem Informationsfreiheitsgesetz NRW
- 2 Fall 02/2022: Datenschutzerklärung und Einwilligung zusammenfassen
- 3 Fall 03/2022: Ermitteln von weiteren Bewerbungsunterlagen
- 4 Fall 04/2022: Auskunft über Mitglieder der Freiwilligen Feuerwehr
- 5 Fall 05/2022: Aktualisierung der Satzung der Stadtbücherei
- 6 Fall 06/2022: Landesgesellschaft - wer ist verantwortlich?
- 7 Fall 07/2022: Teilnehmerliste im Beirat für Menschen mit Behinderungen
- 8 Fall 08/2022: Eingeschränkter Zugriff auf Einwohnermeldewesen für Statistiken
- 9 Fall 09/2022: Unfallkasse möchte den Namen eines Kindes erfahren
- 10 Fall 10/2022: Auskunft nach dem IFG
- 11 Fall 11/2022: Jugendparlament auf Instagram
- 12 Fall 12/2022: Vollständiges Löschen von Bewerberdaten
- 13 Fall 13/2022: Erfassung von Besucherdaten
- 14 Fall 14/2022: Auskunft über ein entferntes Grundstück
- 15 Fall 15/2022: Auslagerung von Ticketverkäufen
- 16 Fall 16/2022: Aufruf zu Bürgerwerkstätten
- 17 Fall 17/2022: Adressenermittlung von Abschlussschülern zwecks Gratulation
- 18 Fall 18/2022: Mitarbeiterumfrage zur psychischen Belastung
- 19 Fall 19/2022: Impfunterlagen im Jugendamtssystem
- 20 Fall 20/2022: Wie lange dürfen Aufzeichnungen aufbewahrt werden?
- 21 Fall 21/2022: Dürfen die Gesundheitsdaten von Feuerwehrleuten verarbeitet werden?
- 22 Fall 22/2022: Illegaler Abruf von Meldedaten
Fall 01/2022: Verfahren nach dem Informationsfreiheitsgesetz NRW
Es wurde eine Anfrage gestellt, ob eine Dienstanweisung auch das Verfahren nach dem Informationsfreiheitsgesetz NRW regeln muss. § 5 IFG NW regelt allerdings (ziemlich detailliert) das Verfahren nach einer Anfrage. Daher halte ich eine zusätzliche Regelung in einer Dienstanweisung nicht für notwendig. Beantwortet werden die Anfragen i. d. R. von den Fachämtern, die auch Detailkenntnisse haben. Eine zentrale Anfragestelle ist mir nicht bekannt.
Fall 02/2022: Datenschutzerklärung und Einwilligung zusammenfassen
Kann man Datenschutzerklärung und Einwilligung zusammenfassen? Ich habe folgenden Vorschlag gemacht:
DATENSCHUTZERKLÄRUNG (Art. 14 EU-DSGVO) Ihre folgenden personenbezogenen Daten sollen bei Ihnen erhoben/aus dem Register [...] abgerufen und an XYZ übermittelt werden: Name, Adresse...(?). Zweck ist die Feststellung der Eignung ihres Hauses für ein Bürgerzentrum. Eine weitere Übermittlung der Daten, sowie eine weitere Verarbeitung der Daten findet nicht statt. Verantwortlich für die Verarbeitung ist ... Der Datenschutzbeauftragte ist unter datenschutz@... oder telefonisch unter ... erreichbar. EINWILLIGUNG (Art. 7 EU-DSGVO) Ich habe die oben aufgeführten Angaben verstanden und willige dieser Verarbeitung ein. Mir ist bekannt, dass ich diese Einwilligung jederzeit widerrufen kann und dass ab dem Widerruf diese Daten nicht mehr verarbeitet werden dürfen. Mir ist auch bekannt, dass ich ein Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Löschung habe, sofern keine gesetzlichen Regelungen entgegenstehen.
Bitte ergänzen Sie die passenden Daten und bewahren Sie die Einwilligungen sicher auf.
Fall 03/2022: Ermitteln von weiteren Bewerbungsunterlagen
Eine Bewerberin für eine Kitastelle in den städt. Kitas hat im Bewerbungsgespräch mitgeteilt, dass Sie derzeit als Kindertagespflegeperson tätig ist und den Wohnsitz in der Stadt hat. Nun ist die Frage, ob ich mit den Daten aus der Bewerbung Kontakt zur bisherigen Arbeitsstelle aufnehmen darf, um nachzuhören, woher Sie die Pflegeerlaubnis hat.
Die Antwort ist ja. Sie dürfen diese Daten erheben und sogar speichern bis das Bewerbungsverfahren abgeschlossen ist. Grundlage ist die Vorbereitung eines (Arbeits-)Vertrages (Art. 6 Abs. 1 Bst. b DSGVO).
Fall 04/2022: Auskunft über Mitglieder der Freiwilligen Feuerwehr
Ein Ratsmitglied einer Kommune fordert eine namentliche Liste aller Mitglieder der Freiwilligen Feuerwehr der Gemeinde an. Es soll nachgewiesen werden, dass die Mitglieder überdurchschnittlich alt sind und weit von der Wache entfernt wohnen.
Eine Rechtsgrundlage zur Übermittlung der personenbezogenen Daten sah ich nicht. Es wurde auch keine genannt. Daher empfahl ich, die Anfrage abzulehnen. Die Anregung der Sachbearbeitung, stattdessen eine anonyme Alterspyramide zu erstellen, fand ich dagegen passend.
Fall 05/2022: Aktualisierung der Satzung der Stadtbücherei
Eine Stadtbücherei muss ihre Satzung an die aktuelle Rechtslage im Datenschutz anpassen. Neben alten Rechtsvorschriften (u. a. Datenschutzgesetz NRW von 2001) sollte die Satzung allerdings auch eine Rechtsgrundlage für die Verabeitung personenbezogener Daten bilden. Das ist allerdings nicht möglich. Eine Satzung reicht als Rechtsgrundlage nicht aus.
Stattdessen ist die Verarbeitung personenbezogener Daten aber möglich: als Grundlage eines Vertrages, des Benutzervertrages. Denn natürlich müssen diese Daten stimmen, schon um die Identität der Besucher/-innen festzustellen.
Fall 06/2022: Landesgesellschaft - wer ist verantwortlich?
Eine Kommune erteilt einen Umfrageauftrag an eine Landesgesellschaft. Die Gesellschaft soll Bürger zur Teilnahme aufrufen und deren Anregungen per E-Mail entgegen nehmen und auswerten. Wer ist verantwortlicher Datenverarbeiter?
Verantwortlich ist, wer über Zweck und Mittel der Datenverarbeitung bestimmt. Das ist, da die Landesgesellschaft die Ideen der Bürger selbst erfasst, nicht die Gemeinde. Sie benötigt also weder eine Einwilligung noch muss sie eine Datenschutzerklärung gegenüber den Bürgern abgeben. Die Landesgesellschaft allerdings schon.
Fall 07/2022: Teilnehmerliste im Beirat für Menschen mit Behinderungen
Eine Kommune fragt an, ob eine Teilnehmerliste aller Mitglieder des Beirats für Menschen mit Behinderung erstellt werden darf. Die Mitglieder möchten eine solche Liste erstellen und unter sich verteilen. Steht der Datenschutz dem entgegen?
Mit seinen eigenen Daten kann man praktisch machen, was man will. Listen haben allerdings immer den Nachteil, dass jeder Interessent die Daten aller Teilnehmer einsehen kann. Bei öffentlichen Listen kann es sich gar um eine Offenlegung handeln. In einem solchen Fall sollte schon erklärt werden, welche Daten zu welchem Zweck erfasst werden und eine Einwilligung eingeholt werden. Wenn das getan ist, steht einer entsprechenden Liste nichts entgegen.
Es handelt sich auch nicht um besondere Kategorien personenbezogener Daten. Denn der Nachteil einer Behinderung ist nicht Voraussetzung für eine Mitgliedschaft im Beirat.
Fall 08/2022: Eingeschränkter Zugriff auf Einwohnermeldewesen für Statistiken
Um mögliche Gefährdungslagen frühzeitig zu erkennen, soll eine Leiterin eines Jugendamtes Zugriff auf das Einwohnermeldewesen erhalten. Da der Zugriff auf die Erstellung von Statistiken beschränkt ist, bestehen keine datenschutzrechtlichen Bedenken.
Fall 09/2022: Unfallkasse möchte den Namen eines Kindes erfahren
Eine Unfallkasse schrieb eine Kita-Leiterin an. Sie bat um den Namen eines Kindes, das eine Erzieherin mit Covid-19 angesteckt haben könnte. Vermutlich ging es um Schadensersatz.
Eine Rechtsgrundlage nannte die Unfallkasse nicht. Ich selbst habe auch keine gefunden und den Fall abgelehnt. Da das keine Folgen hatte, sieht die Unfallkasse die Sache vermutlich inzwischen auch so.
Fall 10/2022: Auskunft nach dem IFG
Die Anwohner einer Pizzeria leiden unter dem hohen Schornstein, der auch ein Ordnungsamts-Verfahren ausgelöst hat. Zwecks gemeinsamen Vorgehens verlangen sie nach dem Informationsfreiheitsgesetz Auskunft darüber, wie das Ordnungsamt zu entscheiden gedenkt. Da das IFG den laufenden Entscheidungsprozess schützt (§ 4 IFG) ist eine Auskunft nicht möglich.
Fall 11/2022: Jugendparlament auf Instagram
Ein Jugendparlament einer Kommune möchte Informationen an ihr Publikum auch über Instagram veröffentlichen. Stehen datenschutzrechtliche Bedenken entgegen?
Zunächst muss man berücksichtigen, dass Instagram zum Facebook-Konzern META gehört und daher möglicherweise nicht wirklich transparent erklärt, ob und wie es den Datenschutz einhält. Auch kann eine Instagram-Information nur abgerufen werden, wenn man angemeldet ist. Es drängt sich daher der Schluss auf, die Verwendung von Instagram bei Jugendlichen nicht zu empfehlen.
Allerdings sind zwei Aspekte für Instagram zu berücksichtigen. Zum Einen kann das Profil des Jugendparlaments öffentlich geschaltet werden und die Information kann so ohne Anmeldung abgerufen werden. Zum Zweiten ist Instagram nur ein Kanal zur Information. Man kann, muss aber nicht Instagram verwenden, um informiert zu sein.
Im Zweifel spricht also nichts gegen einen Instagram-Account für ein Jugendparlament.
Fall 12/2022: Vollständiges Löschen von Bewerberdaten
Ein Bewerber musste leider abgelehnt werden. In einem letzten Schreiben verlangt er die vollständige Löschung seiner Daten. Er beruft sich auf seine Betroffenenrechte, konkret auf das "Recht auf Vergessenwerden" gemäß Art. 17 EU-DSGVO.
Der Bewerber hat Recht. Zur Löschung reicht aber nicht die Löschung der aktuellen Dokumente des entsprechenden Ordners. Das "Recht auf Vergessenwerden" impliziert auch das Löschen aller Datensicherungen. Da das Bewerbungsverfahren länger als einen Tag gedauert hat, ist von einer Sicherung seiner Daten auf einen anderen Datenträger auszugehen.
Fall 13/2022: Erfassung von Besucherdaten
Zur Koordination von Besuchergruppen sollen Name und Handynummer von Interessenten erfasst werden. Was ist zu beachten?
Besucher schließen einen Dienstvertrag mit der Kirche ab. Der könnte als Rechtsgrundlage genutzt werden (Art. 6 Abs. 1 Bst. b EU-DSGVO). Dennoch muss eine Datenschutzerklärung abgegeben werden (Art. 13 EU-DSGVO). In der müssen die üblichen Angaben gemacht werden.
Fall 14/2022: Auskunft über ein entferntes Grundstück
Die Anwohnerin eines Grundstücks möchte Informationen nach dem § 4 IFG über ein etwa 50 m entferntes Grundstück erhalten. Sie fragt insbesondere nach Verkaufsabsicht, Nutzung und umweltrechtlichen Aspekten. Personenbezogene Daten könnten ja geschwärzt werden. Ist die Anfrage datenschutzrechtlich in Ordnung?
Im Datenschutz gilt das Verbot mir Erlaubnisvorbehalt. Erlaubt also keine Rechtsvorschrift die Verarbeitung von personenbezogenen Daten, dann ist sie verboten. Der § 4 IFG erlaubt allerdings nur Informationen zu nicht laufenden Verfahren. Da das Grundstück Teil eines laufenden Verfahrens war, musste die Auskunft verweigert werden.
Fall 15/2022: Auslagerung von Ticketverkäufen
Sachverhalt: Eine Kommune möchte den Ticketverkauf für ihre kulturellen Veranstaltungen an ein Privatunternehmen auslagern. Die Kommune erfasst die Daten der Interessenten und das Privatunternehmen wickelt den Verkauf ab. Was ist zu beachten?
Datenschutzrechtliche Prüfung: Datenschutzrechtlich könnte es sich um eine Auftragsverarbeitung handeln. Zu klären ist dabei, wer Mittel und Zweck der Datenverarbeitung bestimmt: die Kommune oder das Privatunternehmen. Da es sich um einen Auftrag und nicht um eine Zusammenarbeit handelt, bestimmt das Privatunternehmen, welche Programme es wofür einsetzt. Die Kommune wird auch Daten erfassen und an das Unternehmen weitergeben müssen. Daher handelt es sich auch um eine [Datenerfassung] und eine [Datenübermittlung].
Prüfungsergebnis: Notwendig sind ein Auftragsverarbeitungsvertrag gemäß Artikel 28 EU-DSGVO und eine Datenschutzerklärung nach Art. 13 EU-DSGVO, die alle Verarbeitungsschritte aufführt und auch den Namen des Unternehmens nennt, das diese Daten verarbeitet.
Fall 16/2022: Aufruf zu Bürgerwerkstätten
Sachverhalt: Eine Kommune rief ihre Bürger dazu auf, sich zu Bürgerwerkstätten zusammen zu schließen. Diese Werkstätten sollen selbstständig arbeiten, aber von der Kommune organisiert und unterstützt werden. Eine Datenschutzerklärung ist nicht notwendig, da die Kommune öffentliches Interesse geltend macht (Artikel 6, Absatz 1, Buchstabe e EU-DSGVO).
Datenschutzrechtliche Einordnung: Das öffentliche Interesse berührt regelmäßig öffentliche Belange zur Ver- und Entsorgung. Es überspannt daher notwendige Einrichtungen wie Müllabfuhr, Wasserversorgung, nicht aber Bürgerwerkstätten zur Förderung von Tourismus. Der erwähnte Artikel 6 kann daher nicht als Rechtsgrundlage dienen.
Ergebnis der Prüfung: Die Rechtsgrundlage reicht nicht aus. Es sind Einwilligungen zur Datenverarbeitung von den Interessenten einzuholen.
Fall 17/2022: Adressenermittlung von Abschlussschülern zwecks Gratulation
Sachverhalt: Eine Kommune möchte den Schülern eines Abschlussjahrgangs schriftlich gratulieren. Dazu übermitteln alle Schulen, bis auf eine, die Namen und Adressen der betroffenen Schüler. Die nicht übermittelnde Schule beruft sich auf das Datenschutzrecht. Ist das richtig?
Datenschutzrechtliche Prüfung: Grundsätzlich bedarf es immer einer Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. Möglicherweise hat die nicht übermittelnde Schule keine entsprechende Rechtsgrundlage gefunden. Es gibt sie aber. § 22 des Datenschutzgesetzes NRW bestimmt:
„Zur Vorbereitung öffentlicher Auszeichnungen und Ehrungen dürfen die zuständigen Stellen die dazu erforderlichen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Kenntnis der betroffenen Person verarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig.“
Ergebnis: Da es sich bei dem Glückwunschschreiben der Kommune um eine Ehrung handelt, darf die Schule die Namen und Adressen der zu ehrenden Schüler übermitteln.
Fall 18/2022: Mitarbeiterumfrage zur psychischen Belastung
Sachverhalt: Eine Kommune möchte von ihren Mitarbeitern wissen, ob und wie sich die Belastungen der Pandemie auf die Psyche der Mitarbeiter ausgewirkt haben. Dazu soll eine anonyme schriftliche Umfrage durchgeführt werden. Die Antwortzettel sollen in Kästen eingeworfen werden, die in den Ämtern stehen. Ist die Umfrage so datenschutzrechtlich einwandfrei durchführbar?
Prüfung: Es werden personenbezogene Daten besonderer Kategorien, nämlich Gesundheitsdaten, erhoben. Zwar ist jeder einzelne Fragebogen anonym. Durch die Verteilung auf einen Kasten pro Amt könnte die Anonymität jedoch aufgehoben sein. Wenn in einem Amt beispielsweise nur eine Person eines Geschlechts und eines Alters beschäftigt ist, könnte man ihren Fragebogen leicht ausfindig machen.
Ergebnis: Die Anonymisierung ist zu schwach. Gerade bei besonderen Kategorine personenbezogener Daten, wie hier der psychischen Belastung, muss man besondere Vorsicht walten lassen. Ich empfahl daher, die Umfrage so NICHT durchzuführen und stattdessen eine Rückgabe entweder zentral für alle Beschäftigten oder auf dem Postweg zu ermöglichen. Die Kommune hat die Umfrage gestoppt und erwägt eine andere Organisation.
Fall 19/2022: Impfunterlagen im Jugendamtssystem
Sachverhalt: Eine Kommune eröffnet den Zugang ihres Pflegestellensystems für Kinder den Tagespflegestellen außerhalb der Stadtverwaltung. Da das System es ermöglicht, sollen dort persönliche Unterlagen eingestellt werden. Das sind Erziehungsberichte über Kinder, aber auch beispielsweise die Impfnachweise der Betreuer/-innen. Ist das datenschutzrechtlich zulässig?
Prüfung: Personenbezogene Daten dürfen nur verarbeitet werden, wenn es eine Rechtsgrundlage dafür gibt (Art. 5 EU-DSGVO). Besondere Kategorien personenbezogener Daten (Gesundheitsdaten wie Impfstatus) dürfen darüber hinaus nur bei noch strengeren Kriterien verarbeitet werden (Art. 9 EU-DSGVO). Eine der Erlaubniskriterien ist, dass die Betroffenen die Möglichkeit haben müssen, ihren arbeitsrechtlichen Pflichten nachzukommen. Da Gesundheitsdaten der Betreuer/-innen von Kindern explizit verarbeitet werden dürfen, ist die Einstellung der Daten rechtmäßig (§ 23 a Infektionsschutzgesetz).
Ergebnis: Das Einstellen des Impfstatus der Betreung ist rechtmäßig.
Fall 20/2022: Wie lange dürfen Aufzeichnungen aufbewahrt werden?
Sachverhalt: Eine Kommune zeichnet Sitzungen von Rat und Ausschüssen mit einem digitalen Aufzeichnungsgerät auf. Diese Aufzeichnungen werden benötigt, um Unstimmigkeiten im Protokoll zu klären. Eine Einwilligung aller Mitglieder liegt vor. Wie lange dürfen diese, doch sehr großen Aufzeichnungen aufbewahrt werden?
Prüfung: Eine Mindestfrist zur Aufbewahrung kennt das Datenschutzrecht nicht. Nach dem Gebot der Minimierung sollten die Daten allerdings nicht länger aufbewahrt werden als unbedingt nötig.
Ergebnis: Die Kommune hat ihre Aufbewahrungsrichtlinie dahingehend geändert, dass sie die Dateien nach der Kenntnisnahme des Protokolls der letzten Sitzung ersatzlos löscht.
Fall 21/2022: Dürfen die Gesundheitsdaten von Feuerwehrleuten verarbeitet werden?
Sachverhalt: Die Freiwillige Feuerwehr einer Kommune möchte die Daten ihrer Mitglieder elektronisch verarbeiten. Unter den zu verwaltenden Daten sind auch solche über den Gesundheitszustand (Allergien, Blutgruppe) der Feuerwehrleute, also besondere Kategorien personenbezogener Daten. Sinn der Sache ist, im Notfall schnell medizinisch notwendige Informationen bereitstellen zu können.
Prüfung: Die Verarbeitung von Daten wie Gesundheitsdaten muss u. a. im Sinne der Betroffenen sein, was ja hier zweifellos der Fall ist. Es fehlt aber eine materielle Rechtsgrundlage, die auch in der Datenschutzerklärung aufgeführt werden muss. Diese Rechtsgrundlage findet sich im § 46 des Gesetzes über Brandschutz, Hilfeleistungen und Katastrophenschutz (BHKG). Die Verarbeitung von Gesundheitsdaten ist dort explizit ermächtigt.
Ergebnis: Die Daten dürfen verarbeitet werden. Es ist aber eine Datenschutzerklärung abzugeben.
Fall 22/2022: Illegaler Abruf von Meldedaten
Sachverhalt: Manchmal lesen sich Datenschutzfälle auch wie kleine Krimis. Ein junger Mann interessierte sich für zwei Kolleginnen und hatte berufsbedingt Zugriff auf das Melderegister. Daraus ergab sich eine explosive Mischung, da der junge Mann die Meldedaten der beiden Kolleginnen abrief. Eine der Kolleginnen hatte allerdings eine Auskunftssperre, da sie durch ihre berufliche Position besonders geschützt werden musste. In solchen Fällen wird die Auskunft nicht elektronisch erteilt, sondern kommt auf Papier an das anfordernde Amt. Dadurch fiel der Abruf auf. Die Auskunft wurde dem jungen Mann aber nicht zugestellt, sondern seiner Chefin.
Prüfung: Natürlich handelt es sich um einen illegalen Abruf von personenbezogenen Daten. Hier greifen neben datenschutzrechtlichen auch strafrechtliche Vorschriften. Datenschutzrechtlich interessant ist, dass dieser Fall nach meinem Ermessen der Aufsichtsbehörde gemeldet werden musste. Es war der erste und bisher einzige Fall dieser Art.
Ergebnis: Als zuständiger Datenschutzbeauftragter bin ich die Verbindungsperson zur Aufsichtsbehörde (der Datenschutzbeauftragten des Landes). Die Sache wurde ordnungsgemäß gemeldet und eine Prüfung angeordnet. Nachdem ich alle Informationen und Unterlagen beigebracht habe, entschied die Landesbehörde, den Fall zu den Akten zu nehmen und auch im Landesbericht aufzuführen (natürlich anonym). Konsequenzen des Abrufs gab es für die Betroffenen zum Glück keine. Der Arbeitsvertrag des Täters lief ohnehin aus, so dass sich eine Kündigung erübrigte (selbstverständlich können illegale Abrufe zu einem Vertrauensverlust zwischen Arbeitgeber und Arbeitnehmer und damit zu einer fristlosen Kündigung führen). Die Kommune behält sich eine Strafanzeige vor.