Datenschutzbericht 2021
Inhaltsverzeichnis
- 1 Fall 1/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation
- 2 Fall 2/2021: Anzeige gegen Hühnerhalter
- 3 Fall 3/2021: Auftragsverarbeitung bei Auslagerung?
- 4 Fall 04/2021: Informationen des Arbeitsamtes bei Einstellung?
- 5 Fall 05/2021: Energieausweis eines öffentlichen Gebäudes per IFG?
- 6 Fall 06/2021: Homeoffice im Hotel?
- 7 Fall 07/2021: Verspätete Weihnachtsgeschenke
- 8 Fall 08/2021: Akten zur Abschiebung
- 9 Fall 09/2021: Personenbezogene Daten für den Brandschutzbedarfsplan
- 10 Fall 10/2021: Sponsoring legitim?
- 11 Fall 10/2021: (Noch in Arbeit)
- 12 Fall 11/2021: Wie werden die Daten von Berechtigten für FFP2-Masken ermittelt?
- 13 Fall 12/2021: Dürfen zur Identitätsermittlung auch Fotos erstellt werden?
- 14 Fall 13/2021: Erlass des Innenministeriums NRW zur Identifizierung bei Impfungen
- 15 Fall 14/2021: Verbandbucheinträge
- 16 Fall 15/2021: Bewerbungsbogen Kindertagespflege
- 17 Fall 16/2021: Auslesen des Logbuchs einer Alarmanlage
- 18 Fall 17/2021: Akteneinsicht für den Personalrat
- 19 Fall 18/2021: Auftragsverarbeitungsvertrag vor 2018
- 20 Fall 19/2021: Zugangsmöglichkeit zu Daten noch keine Verarbeitung
- 21 Fall 20/2021: Gefahr des Ausspähens von Daten beim Aktenumzug
- 22 Fall 21/2021: Amtsinterne Weitergabe von Daten
- 23 Fall 22/2021: ZOOM
- 24 Fall 23/2021: Verzeichnis der Verarbeitungstätigkeiten - ein Muster aus der Praxis
- 25 Fall 24/2021: Der (allzu tüchtige) Hausmeister
- 26 Fall 25/2021: Befund in Heilpraktikerrechnung
- 27 Fall 26/2021: Übermittlung von Berechnungsergebnissen einer externe Behilfestelle
- 28 Fall 27/2021: TalkEvent
Fall 1/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation
DATENSCHUTZRECHTLICHE STELLUNGNAHME
a. Sachverhalt
Bei der Organisation einer Impfung gegen das derzeit grassierende SARS-COV-2-Virus und den damit verbundenen Schutz der Bevölkerung gegen die Krankheit COVID-19 sollen besonders gefährdete Bürgerinnern und Bürger zuerst geimpft werden.
In einem ersten Schritt möchte das Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein Westfalen (MAGS NRW) die Daten von über 80 Jahre alten Einwohnern erhalten, um diese anzuschreiben und die Impftermine zu koordinieren. Angefordert wurden Name, Geburtsdatum, Meldeadresse der betroffenen Bürger.
b. Rechtslage
Die zuerst zu prüfende Datenschutzverordnung der Europäischen Union (EU-DSGVO) regelt die Übermittlung zwischen öffentlichen Stellen innerhalb der Europäischen Union nicht. Daher sind nationale Regelungen zu prüfen, die diese Lücke ausfüllen. Die Übermittlung zwischen öffentlichen Stellen innerhalb von Nordrhein Westfalen regelt das Landesdatenschutzgesetz NRW (DSG NW).
Bei der Datenverarbeitung im Sachverhalt handelt es sich um eine Übermittlung personenbezogener Daten zwischen öffentlichen Stellen (innerhalb der Europäischen Union). Besondere Kategorien personenbezogener Daten sind davon nicht betroffen. Fraglich ist die Zulässigkeit der Übermittlung.
Die Verarbeitung personenbezogener Daten (also auch die Übermittlung) ist grundsätzlich verboten. Jede Verarbeitung benötigt daher eine genau zu benennende Rechtsgrundlage. Rechtsgrundlage für die Übermittlung von personenbezogenen Daten ist das DSG selbst, sofern kein spezielleres Recht vorgreift.
Verantwortlich für die Prüfung ist in der Regel die übermittelnde Stelle, also die Kommune (§ 8 Abs. 1 Satz 1 DSG NW). Erfolgt die Übermittlung dagegen aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung (§ 8 Abs. 1 Satz 2 DSG NW). Das ist im Sachverhalt der Fall.
Die übermittelnde Stelle (Kommune) prüft dann lediglich, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt (§ 8 Abs. 1 Satz 3 DSG NW). § 20 Abs. 5 des Infektionsschutzgesetzes regelt, dass die obersten Landesgesundheitsbehörden bestimmen dürfen, dass die (kommunalen) Gesundheitsämter Impfungen durchführen. Davon hat der Landesgesundheitsminister Gebrauch gemacht; die Übermittlung liegt also im Rahmen der Aufgaben der Kreise.
Die Übermittlung des Geburtsdatums könnte dem Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. C EU-DSGVO) widersprechen. Da ein Stichtag angegeben wurde (31.01.2021) ist von einer verfeinerten Auswahl der zu Impfenden nicht auszugehen. Geimpft wird, wer am 31.01.2021 80 Jahre alt ist.
Die Rechtmäßigkeit des Ersuchens prüft die Kommune allerdings nur, „wenn hierzu im Einzelfall Anlass besteht“ (§ 8 Abs. 1 Satz 4 DSG NW)). Da das Thema der Pandemie, die Entwicklung und Freigabe des Impfstoffes und die Organisation der Impfung täglich in Presse und Funk thematisiert sind, dürfte allgemein bekannt sein, dass und wie die Impfungen organisiert werden.
c. Ergebnis
Der „Einzelfall“ des Gesetzes besteht m. E. nicht. Die Daten dürfen an den Kreis übermittelt werden.
Frank Werner
Fall 2/2021: Anzeige gegen Hühnerhalter
Im zweiten Sachverhalt fühlten sich die Nachbarn eines Hühnerhalters vom Lärm der Tiere gestört und zeigten ihn an. Der wiederum wollte wissen, wer ihn angezeigt hat. Und erbat Auskunft nach dem Informationsfreiheitsgesetz von der Kommune.
Die Rechtslage gestaltet sich nach § 9 des Informationsfreiheitsgesetzes NRW. Demnach sind personenbezogene Daten ebenfalls geschützt, es sei denn, die Person, deren Daten angefordert wurden, ist gutachtlich tätig. Das ist bei den leidenden Nachbarn natürlich nicht der Fall.
Das Ergebnis ist klar: eine Auskunft über Personen ist nicht möglich. Natürlich könnte der Hühnerhalter die Akte einsehen. Namen müssten jedoch vorher geschwärzt werden.
Fall 3/2021: Auftragsverarbeitung bei Auslagerung?
Sachverhalt: Eine Gemeinde möchte die Berechnung und Auszahlung von Beihilfen an eine Krankenkasse auslagern. Reicht ein Vertrag zur Auftragsverarbeitung?
Rechtslage: Hier werden besondere Kategorien personenbezogener Daten verarbeitet. Die EU-DSGVO stellt an eine solche Verarbeitung besondere Ansprüche (Art. 9). Die Verarbeitung solcher Daten ist grundsätzlich nur zulässig, wenn u. a. ein Sozialrecht wahrgenommen werden soll (was hier ja der Fall ist). Ferner wird, wie auch im Auftragsverarbeitungsvertrag (Art. 28), eine Verschwiegenheit gefordert.
Ergebnis: Der vorgelegte Auftragsverarbeitungsvertrag erfüllt die Voraussetzungen an die Verarbeitung besonderer Kategorien personenbezogener Daten und die Voraussetzungen des Art. 28 ebenfalls.
Fall 04/2021: Informationen des Arbeitsamtes bei Einstellung?
Im Sachverhalt geht es um die Einstellung eines schwerer zu vermittelnden Bewerbers. Diese Menschen erhalten Förderungen von Arbeitsamt. Dürfen dazu die personenbezogenen Daten des Bewerbers angefordert werden?
Rechtslage: Dass die Kommune nach der Zulässigkeit fragt, ist richtig. Denn nach § 8 Abs. 1 DSG NW trägt die Verantwortung für eine Übermittlung die anfragende Stelle dann, wenn es sich um eine öffentliche Stelle handelt. Ferner ist die Verarbeitung personenbezogener Daten auch erlaubt, wenn es sich um die Vorarbeiten zu einem Vertrag handelt. Der Vertrag ist der anstehende Arbeitsvertrag.
Ergebnis ist, dass die Anfrage und die Verarbeitung dieser Daten korrekt sind.
Fall 05/2021: Energieausweis eines öffentlichen Gebäudes per IFG?
Dieser Sachverhalt ist etwas ungewöhnlich: ein Bürger fordert die Einsicht in einen Energieausweis eines öffentlichen Gebäudes. Der Energieausweis ist nach § 80 des Gebäudeenergiegesetzes aber sowieso öffentlich auszuhängen. Daher kann der Ausweis wahlweise ausgehändigt oder auf den Aushang verwiesen werden.
Fall 06/2021: Homeoffice im Hotel?
Eine Kollegin fragte an, ob sie auch Homeoffice in einem Hotel belegen könnte. Hier ist das hoteleigene WLAN natürlich zu prüfen. Ideal sind Verbindungen per verschlüsseltem Tunnel, der das WLAN nur als "Straße" benutzt.
Fall 07/2021: Verspätete Weihnachtsgeschenke
Mal ein Sachverhalt aus der Korruptionsvorbeugung. Die Kolleginnen und Kollegen sind gut sensibilisert, fragen bei nahezu allen Geschenken nach. Oft sind es aber nur Geschenke ohne Vorbehalt zu jahreszeitlichen Anlässen. Da ihr Wert auch in aller Regel gering ist (Kugelschreiber, Kalender, Kekse etc.) ist das in den meisten Fällen in Orndung.
Einmal wurde allerdings ein Geschenk zu einem Antrag dazugelegt. Da sich hier eine direkte Verbindung zwischen Entscheidung und Belohnung aufdrängt, wurde das Geschenk zurück gesandt, der Antrag aber vorurteilsfrei bearbeitet.
Fall 08/2021: Akten zur Abschiebung
Ein nicht aufenthaltberechtigter, mehrfach krimineller Flüchtling sollte abgeschoben werden. Das wird in solchen Fällen allerdings auch dann ausgesetzt, wenn der Flüchtling (es ging wirklich um einen Mann) eine soziale Verbindung ins Inland hat und die auch "lebt".
Um festzustellen, ob der Abzuschiebende seine soziale Verbindung (die tatsächlich existierte) auch lebt, sind die Fachleute vom Jugendamt kompetent. Denn der Fragliche hatte mit einer Inländerin ein Kind. Daher wurde vom Ausländeramt die Akte angefordert.
In der Akte stehen allerdings personenbezogene Daten auch von anderen Personen. Die sollen natürlich nicht in das Verfahren einbezogen werden und müssen daher geschwärzt werden.
Die Alternative war hier eine Zusammenfassung seitens der Jugendamts-Sachbearbeiterin, die die Aktenlage in einem eigenen Bericht zusammenfasste. So konnte sich das Ausländeramt ein Bild machen und trotzdem die Daten schützen.
Ob und wie der Fall ausgegangen ist, weiß ich nicht. Datenschutz gilt selbstverständlich auch gegenüber dem Datenschutzbeauftragten.
Fall 09/2021: Personenbezogene Daten für den Brandschutzbedarfsplan
Sachverhalt: Alle fünf Jahre müssen die Kommunen einen Brandschutzbedarfsplan aufstellen. Darin wird u. a. festgehalten, wie viele Feuerwehrleute pro Tag bei Einsätzen zur Verfügung stehen. Dazu müssen die Feuerwehrleute individuell befragt werden, da es bei der Einsatzfähigkeit natürlich auch auf die beruflichen Gegebenheiten (Schichtdienst, entfernte Arbeitsstelle) ankommt.
Maßgeblich für die Rechtslage ist das Gesetz über den Brandschutz, der Hilfeleistung und des Katastrophenschutzes (BHKG). Im § 46 Absatz 2 BHKG ist festgelegt, dass personenbezogene Daten zur Vorbereitung vorbeugender Maßnahmen verarbeitet werden dürfen. Der Brandschutzbedarfsplan ist ohne Zweifel eine solche Maßnahme.
Im Ergebnis lässt sich feststellen, dass die Verarbeitung und auch die Übertragung an evtl. Organisationen zur Erstellung eines solchen Plans erlaubt ist. Das Gesetz schließt ausdrücklich "beteiligte Organisationen" mit ein.
Fall 10/2021: Sponsoring legitim?
Im Rahmen eines Förderprojekts wird eine Infobroschüre zur Mobilität vorbereitet, die allen Bürgern im Projektgebiet zugesandt werden soll. Das ortsansässige Carsharing-Unternehmen, das als Genossenschaft unter kommunaler Beteiligung organisiert ist, hat freundlicherweise Bilder zur Verfügung gestellt und wünscht sich in der Broschüre erwähnt zu werden. Dürfen wir das oder ist das unzulässige Werbung?
Die Regeln für Sponsoring sind üblicherweise in einer Korruptionsbekämpfungssatzung aufgeführt, da Sponsoring die Gefahr der Korruption beinhalten kann. Regeln sind beispielsweise, dass kein Geld fließen darf oder das gesponsorte Projekt (die Broschüre) nicht ausschließlich aus solchen Geldern finanziert wird.
Bei der ledliglichen Verfügbarkeit von Bildern ist das kein Problem.
Fall 10/2021: (Noch in Arbeit)
Fall 11/2021: Wie werden die Daten von Berechtigten für FFP2-Masken ermittelt?
Im Zuge der Erteilung von Berechtigungsscheinen für die FFP2-Masken im Januar wurde die Frage gestellt, wie denn diese Daten ermittelt werden und ob die Bundesregierung eine Statistik aufstellen könnte.
Die Antwort ist: Nein, denn die Bundesregierung erfährt die Daten der berechtigten Empfänger gar nicht. Die Krankenkassen meldeten ihren Bedarf durch eine Erhebung ihrer eigenen Daten und meldeten lediglich die Anzahl der notwendigen Masken. Die Ausgabe der Bezugsscheine erfolgte ebenfalls durch die Krankenkassen, so dass keine Daten nach Berlin gemeldet werden mussten.
Fall 12/2021: Dürfen zur Identitätsermittlung auch Fotos erstellt werden?
Ein Ordnungsamt wies eine Gruppe von Störern auf eine Ordnungswidrigkeit hin. Diese entzogen sich daraufhin durch Flucht der drohenden Ordnungsstrafe. Die Mitarbeiter/-innen des Ordnungsamtes fotografierten die Störer aber mit einer Digitalkamera und konnten durch Nachfragen die Identität der Störer feststellen. Diese erhoben Datenschutzbeschwerde.
Die Beschwerde ist abzuweisen. Zur Identitätsfeststellung sind regelmäßig auch Fotos erlaubt, sofern sie nur der Identifizierung von Personen dienen. Da eine Digitalkamera und kein Handy benutzt wurde, bestand auch nicht die Gefahr der verdeckten Datenübermittlung. Fotos von Betroffenen sind z. B. auch bei der automatischen Geschwindigkeitskontrolle schon lange möglich.
Fall 13/2021: Erlass des Innenministeriums NRW zur Identifizierung bei Impfungen
Das Ministerium für Arbeit, Gesundheit und Soziales NRW (MAGS NRW) teilt mit, dass zur Identifizierung in Impfzentren grundsätzlich ein Lichtbildausweis notwendig ist. Der könne im Einzelfall auch abgelaufen sein, müsse jedoch immer ein Foto tragen. Ferner sollen die Impfzentren Zugriff auf die Einwohnermeldedaten erhalten. Eine Bürgerin fragt, ob das "rechtens" sei.
Die Corona-Pandemie gilt grundsätzlich als "schwerwiegende grenzüberschreitende Gesundheitsgefahr" i. S. d. Art. 9 Abs. 2 Bst. i EU-DSGVO. Damit ist sogar eine systematischere Verarbeitung von Gesundheitsdaten möglich als bisher vom Staat durchgeführt. Der Datenschutz, das sei hier nochmals erwähnt, steht einem besseren Schutz vor Pandemien nicht entgegen.
Fall 14/2021: Verbandbucheinträge
Seit einiger Zeit muss jeder "Erste Hilfe"-Schrank in Gewerbebetrieben und Behörden mit einem "Verbandbuch" ausgestattet sein. Dort soll eingetragen werden, wer welche medizinische Behandlung durch den Schrank erhalten hat. Sinn der Sache ist es, mögliche Folgeschäden früh zu erkennen. Die Daten sind besondere Kategorien personenbezogener Daten i. S. d. Art. 9 EU-DSGVO.
Es muss daher darauf geachtet werden, dass diese Bücher nicht öffentlich einsehbar sind ("Erste Hilfe"-Schränke sind üblicherweise nicht verschlossen). Der Datenschutzbeauftragte ist selbstverständlich nicht berechtigt, diese Bücher aufzubewahren, da es hierfür keine Rechtsgrundlage gibt. Die Aufbewahrung muss an einer Stelle erfolgen, die derlei Rechtsansprüche bearbeitet (z. B. Personalamt).
Die Information der entsprechenden Stelle könnte durch eine (hausinterne) E-Mail erfolgen.
Es sei hier nochmal darauf hingewiesen, dass ein unberechtigter Datenabruf durch Administratoren bereits mehrfach zu berechtigten fristlosen Kündigungen geführt hat.
Fall 15/2021: Bewerbungsbogen Kindertagespflege
Neben den städtischen (und kirchlichen bzw. freien) Kitas entlasten viele Tagesmütter und -väter (Tagespflegestellen) die Bürger bei der Erziehung und Versorgung von kleinen Kindern. Selbstverständlich werden an die Betreiber von Tagespflegestellen sehr hohe Ansprüche gestellt, um das Wohl der Kinder garantieren zu können.
Wonach darf so ein Bogen fragen? Ich sehe hier die Frage nach Gesundheitsdaten und allgemeineren Daten durch den Art. 9 Abs. 2 Bst g) EU-DSGVO gedeckt, da sowohl der Verantwortliche (das Jugendamt der Gemeinde) als auch die Tageseltern ihren Verpflichtungen aus dem Kinderbildungsgesetz NRW (KiBiZ) nachkommen können müssen. § 20 KiBiZ enthält eine generelle Ermächtigung zur Verarbeitung dieser Daten, § 21 regelt die Qualifikationsanforderungen.
Fall 16/2021: Auslesen des Logbuchs einer Alarmanlage
In einer Schule wurde wiederholt die Alarmanlage nicht eingeschaltet. Es ließ sich durch Befragungen nicht feststellen, ob das Einschalten regelmäßig oder versehentlich erfolgte. Die Amtsleitung fragt an, ob das Logbuch der Alarmanlage in diesen Fällen ausgelesen werden darf. Das Logbuch enthält personenbezogene Daten der Beschäftigten, die die Alarmanlage bedienen.
Rechtsgrundlage ist hier, wie schon öfter, die Pflicht der Gemeinden, ihr Eigentum zu pflegen und zu schützen. Aus dieser rechtlichen Verpflichtung erwächst das Recht, eine möglicherweise vorsätzliche Erhöhung eines Einbruchsrisikos zu vermeiden.
Fall 17/2021: Akteneinsicht für den Personalrat
Eine Akteneinsicht ist auch für den Personalrat sehr schwierig. Selbst Geburtstagslisten sind eigentlich mangels Rechtsgrundlage nicht erlaubt. Das ist schwer verständlich, weil der Personalrat natürlich auf Seiten der Arbeitnehmer ist.
Dennoch lässt die Rechtslage das nicht grundsätzlich zu. Ich empfehle, die Einwilligung der Betroffenen einzuholen. Vor der Akteneinsicht müssen die personenbezogenen Daten Dritter natürlich geschwärzt werden.
Ferner besteht immer die Möglichkeit der Aktenauskunft. Dabei wird eine konkrete Frage an die aktenführende Stelle gestellt, die beantwortet werden soll. Hierbei werden in aller Regel keine personenbezogenen Daten offengelegt.
Fall 18/2021: Auftragsverarbeitungsvertrag vor 2018
Im Falle eines Auftragsverarbeitungsvertrages, der erstmals vor 2018 geschlossen wurde, wurden noch Gesetzesstellen zitiert, die überholt sind. Der Vertrag muss nicht grundsätzlich neu verhandelt werden. Die falschen Zitierstellen wurden aber korrigiert.
Fall 19/2021: Zugangsmöglichkeit zu Daten noch keine Verarbeitung
Ist die Ermöglichung eines Zugangs zu einem Raum mit personenbezogenen Daten bereits eine Datenverarbeitung? Immerhin fällt ja auch eine Offenlegung durch Übermittlung unter die Definition von Datenverarbeitung.
Versehentlich wurde der Schlüssel zu einem Büro an eine Person vergeben, die nicht zur Verarbeitung (hier Abruf) von personenbezogenen Daten berechtigt war. Allerdings wurde der Schlüssel eingezogen, bevor die Person den Raum betreten konnte.
Solange keine Daten offen gelegt wurden, also niemand konkret in den Räumen war und Daten abgerufen hat, liegt m. E. kein Datenschutzfall vor. Es wurden weder Daten noch Menschen geschädigt. Denn die Datenschutzgesetze definieren eine Datenschutzverletzung, wenn es eine „nicht rechtmäßige Datenverarbeitung“ gegeben hat. Hier fand aber (noch) keine Datenverarbeitung statt, weshalb es lediglich eine Bedrohungslage ist, die allein aber nicht meldepflichtig ist.
Fall 20/2021: Gefahr des Ausspähens von Daten beim Aktenumzug
Ein Archiv zieht um und die beauftragte Firma könnte in die Akten hineinsehen. Droht ein "Datenleck"?
Ja. Es ist nicht auszuschließen, dass jemand absichtlich oder versehentlich (umgefallene Kartons) Daten einsehen kann. Da die Akten personenbezogene Daten enthalten, sind die Transportbehälter so zu sichern, dass sie nicht einsehbar sind. Sollte das nicht möglich sein, besteht immer noch die Möglichkeit, der Firma eine Vertraulichkeitserklärung abzuverlangen.
Fall 21/2021: Amtsinterne Weitergabe von Daten
Meldet jemand einen Hund an, sollen die Daten automatisiert an das Steueramt weitergegeben werden, damit die Hunde besteuert werden können. Ist das ohne Einwilligung rechtmäßig?
Eine Einwilligung ist natürlich immer eine sichere Sache. Jeder darf mit seinen Daten tun und lassen, was er will und wenn Ihnen jemand in eine Verarbeitung (hier: Übermittlung) einwilligt, sind Sie immer auf der sicheren Seite.
Die EU-DSGVO regelt die amtsinterne Weitergabe der Daten nicht. Daher hat das Land NRW diese Rechtslücke ausgefüllt und eine Regelung vorgenommen. Da im Landeshundegesetz eine entsprechende Regelung nicht getroffen wurde, gilt das Datenschutzgesetz (NRW).
In § 6 Datenschutzgesetz NRW ist geregelt, dass eine regelmäßige Übermittlung zwischen öffentlichen Stellen dann erlaubt ist, wenn die Verarbeitung (also hier die Übermittlung) zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
„Regelmäßig“ heißt hier aber nicht „immer wieder“ sondern „einer Regel entsprechend“. Die Übermittlung findet regelmäßig statt, wenn jemand seinen Hund anmeldet. Die rechtliche Verpflichtung liegt beim Steueramt darin, die Steuern für Hunde einzuziehen.
Die Übermittlung ist also rechtmäßig.
Fall 22/2021: ZOOM
Die Firma ZOOM, die ein Videokonferenzsystem zur Verfügung stellt, bietet eine "EU-Option" an, bei der die Technik nur über europäische Server abläuft. ZOOM ist dabei Auftragsverarbeiter! Eine entsprechende Datenschutzerklärung muss vom Veranstalter der Videokonferenzen gegenüber den Betroffenen abgegeben werden.
Die einzige Lösung, die mir in Bezug auf ZOOM einfällt, ist eine Vorschalt- oder Randnotiz.
Sofern man in ZOOM als Administrator einstellen kann, dass jedem Teilnehmer
- vor der ZOOM-Sitzung oder
- während der ZOOM-Sitzung
die Verweise auf die Datenschutzerklärung von ZOOM angezeigt werden, sollten diese auf folgende Links hinweisen:
- Datenschutzerklärung von ZOOM: https://zoom.us/de-de/privacy.html
- Anforderungen an ZOOM und Erfüllung: https://zoom.us/docs/doc/Zoom-Kommentar-DSK-Checkliste.pdf
Fall 23/2021: Verzeichnis der Verarbeitungstätigkeiten - ein Muster aus der Praxis
Das Baubetriebsamt einer Kommune hat mich beauftragt, ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 EU-DSGVO (kurz Verarbeitungsverzeichnis) zu erstellen. Ich möchte hier mal aufführen, wie ich bei dieser Aufgabe vorgegangen bin. Das Verarbeitungsverzeichnis enthält alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Für die Definitionen von "personenbezogenen Daten" und "verarbeiten" gelten die entsprechenden Artikel.
Eine Verarbeitungstätigkeit ist in der Betriebswirtschaftslehre allgemein als "Prozess" bekannt. Es gilt also diejenigen Prozesse des Amtes zu identifizieren, die die Verarbeitung von personenbezogenen Daten vorsehen. Hierzu empfiehlt es sich, zuerst die groben Prozesse zu identifizieren und diese dann detaillierter aufzuführen. Die groben Prozesse jedes Unternehmens sind in seinem Angebot zusammengefasst. Wenn wir wissen, was die Organisation nach außen anbietet, dann wissen wir, welche groben Prozesse in dieser Organisation vorhanden sind. Dieses Verfahren lässt sich auf alle Ebenen einer Organisation wiederholen.
Das Baubetriebsamt bietet an
- Bestattungen für Menschen ohne bekannte Angehörige
- Sondernutzungsgenehmigungen der Straße (Aufbruch, Plakatierung)
- Patenschaft für Grünflächen
- Verkauf von Waren (Sandsäcke, Schilder….)
- Vermietung von Absperrungen
- Tätigkeiten im Bereich Grünpflege (Baumrückschnitt auf Rechnung)
- Tätigkeiten im Straßenbau (z.B. Bordesteinabsenkung auf Rechnung)
(wird fortgesetzt)
Fall 24/2021: Der (allzu tüchtige) Hausmeister
Ein Hausmeister einer Kommune kümmert sich um die Sammlung und Übergabe von Papiercontainern mit personenbezogenen Daten an ein qualifiziertes Unternehmen. Dabei öffnet der Mann die Container und optimiert die Füllung, so dass keine halbleeren Container abgegeben werden. Dies geschieht nicht aus böser Absicht sondern natürlich, um die Kosten zu optimieren. Die Vernichtung wird pro Container abgerechnet. Darf der Hausmeister die Container öffnen?
Zunächst mal geht es hier um personenbezogene Daten und eine Verarbeitung (nämlich um ein Auslesen gem. Art. 4 Nr. 2 EU-DSGVO). Eine solche Verarbeitung benötigt bekanntlich immer eine Rechtsgrundlage. Eine Einwilligung liegt nach derzeitigem Wissen nicht vor. Der Vertrag mit der Entsorgungsfirma (Auftragsverarbeitung, da die Daten vernichtet werden) kann nicht als Grundlage dienen, da die Betroffenen nicht Teil des Vertrages sind. Andere Interessen sind hier auch auszuschließen, soweit bekannt. Auch das Landesdatenschutzgesetz bietet keine Ermächtigung zur Datenverarbeitung.
Der Hausmeister darf die Container also nicht öffnen, um eine bessere Auslastung zu schaffen. Dazu reicht das Interesse daran nicht aus. Das Schutzbedürfnis der Betroffenen ist hier höher zu bewerten.
Da aber kein konkreter Fall eines Auslesens der Daten nachgewiesen werden konnte (keine Erwähnung von Akteninhalt im Kollegengespräch), reicht eine Ermahnung des Hausmeisters aus. Zeugen sagten aus, dass die Geschwindigkeit des Umräumens regelmäßig kein Lesen der Akten zulasse.
Fall 25/2021: Befund in Heilpraktikerrechnung
Ein Heilpraktiker übersandte seinem Rechtsanwalt eine Rechnung, die er nicht eintreiben konnte. Obwohl die Rechnung nicht nur die volle Adresse sondern auch den Befund des Patienten enthielt, leitete der RA diese an eine Kommune weiter, um den Verbleib des Patienten zu erfahren.
Der RA wurde darauf hingewiesen, dass besondere Kategorien personenbezogener Daten in diesem Fall nicht übermittelt werden durften. Die Übermittlung war für die Adressenabfrage irrelevant und entbehrte daher jeder Rechtsgrundlage.
Fall 26/2021: Übermittlung von Berechnungsergebnissen einer externe Behilfestelle
Eine externe Beihilfestelle hat Rechnungen und Befund vertragsgemäß an die beauftragende Kommune per E-Mail versandt. Zwar ist fraglich, ob diese Daten überhaupt übermittelt werden dürfen (immerhin darf der Arbeitgeber auch von Krankenkassen keine Befunde erhalten), die Daten wurden jedoch im Klartext übermittelt.
Wenn man keine Möglichkeit hat, verschlüsselte E-Mails zu versenden, sollte man sensible Daten wenigstens in einem Dokument an die E-Mail anhängen und dieses Dokument vorher mit einem Kennwort versehen. Das Kennwort selbst kann entweder telefonisch oder in einer weiteren E-Mail mitgeteilt werden. Nicht ganz zeitgemäß aber besser als Klartext.
Fall 27/2021: TalkEvent
Eine Kommune möchte die Software TalkEvent nutzen, um interne und externe Videokonferenzen, Chats etc. durchzuführen. Gibt es datenschutzrechtliche Bedenken?
Die Firma TalkEvent setzt den Datenschutz mustergültig um. Allerdings scheint die Nutzung des Browsers CHROME von Google technisch notwendig zu sein. CHROME setzt aber gern Datenschutzregeln nach Updates außer Kraft bzw. schaltet Schutzfunktionen wieder aus.
Eine Anfrage zur Notwendigkeit von CHROME wurde abgesandt.