Hauptseite
Wenn besondere Kategorien oder andere personenbezogene Daten verarbeitet werden, eine ausreichende Rechtsgrundlage vorliegt, die räumliche Anwendbarkeit gegeben ist, alle notwendigen Dokumente (Datenschutzerklärung, ggf. Einwilligung, Auftragsverarbeitungsvertrag, Verarbeitungsverzeichnis, Datenschutzfolgenabschätzung) vorliegen, falls erforderlich Datenschutzbeauftragte benannt ist und diese Verarbeitung durch ausreichende technische und organisatorische Maßnahmen ermöglicht wird, sind weder eine Meldung an die Aufsichtsbehörde, noch Klagen oder Schadensersatz notwendig, es sei denn, die Verarbeitung ist nicht rechtmäßig und verjährt.
Fall 61/2021: Gruppenauskunft für KiJuPa?
Für die Wahl zum Kinder- und Jugendparlament (KiJuPa) wird eine Gruppenauskunft angefordert. Das ist eine Auskunft über die Meldedaten einer fest definierten Gruppe. Darf für die Wahl des KiJuPa eine Liste aller Wahlberechtigten angefordert werden?
Diese Auskunft muss sich durch feste Kriterien definieren und sie muss im öffentlichen Interesse liegen (§ 46 Bundesmeldegesetz). Fraglos liegt die Jugendpartizipation im öffentlichen Interesse, denn man möchte natürlich Kinder und Jugendliche an die Politik heranführen, damit sie früh lernen, sich für ihre Interessen einzusetzen. Und die Gruppe der Wähler kann man aufgrund des Alters ebenfalls spezifizieren. Das Alter ist nach § 46 auch ein erlaubtes Kriterium zur Definition einer Gruppe.
Die Auskunft ist also datenschutzrechtlich einwandfrei.
Fall 60/2021: Kann man Surveymonkey nutzen?
Ist das Angebot von Surveymonkey datenschutzrechtlich legal nutzbar?
Da die Firma einen Sitz in den Niederlanden hat und eine ausreichend offene Datenschutzerklärung, sehe ich keinen Grund, warum das Angebot der Firma nicht genutzt werden soll.
Fall 59/2021: Betriebliches Eingliederungsmanagement und Personalrat
Ein Personalrat fordert Daten der Verwaltung an: welche Mitarbeiter/-innen sind länger als 42 Tage erkrankt? Ist die Datenübermittlung rechtmäßig?
Da es sich um personenbezogene Daten, nicht aber um besondere Kategorien personenbezogener Daten handelt (eine Diagnose wird weder angefragt noch übermittelt), wird eine Rechtsgrundlage benötigt.
Die befindet sich in § 167 Abs. 2 SGB IX. Dort ist die Interessenvertretung ausdrücklich aufgeführt.
Fall 58/2021: Speicherung von Impfdaten von Ratsmitgliedern
Zur Zeit dürfen Ratssitzungen nur stattfinden, wenn die 3G-Regel eingehalten wird. Jedes teilnehmde Ratsmitglied muss also geimpft, genesen oder getestet sein. Eine Kommune fragt an, ob zur Vereinfachung nicht die Daten der Ratsmitglieder gespeichert werden dürfen.
Hierbei handelt es sich, wie der geübte Leser bereits ahnt, um besondere Kategorien personenbezogener Daten, nämlich Gesundheitsdaten. Genauer gesagt um den Gesundheitsstatus der Ratsmitglieder. Unter welchen Bedingungen dürfen diese Art von Daten gespeichert, also verarbeitet werden? Das regelt der Art. 9 der EU-DSGVO - und der verbietet sie zunächst grundsätzlich. Glücklicherweise nennt er aber auch Ausnahmen.
- Zunächst erteilt er eine Erlaubnis, wenn eine explizite Einwilligung der Ratsmitglieder zur Speicherung vorliegt (Art. 9 Abs. 2 Bst. a EU-DSGVO). Das ist - man darf in einem Fall nichts hinzu dichten - hier offenbar nicht der Fall. Anderenfalls wäre das erwähnt worden.
- Eine weitere Rechtsgrundlage nennt der Buchstabe g: ein wichtiges öffentliches Interesse. Das ist bei Ratssitzungen sicher gegeben, aber die Verarbeitung ist nicht für jede Sitzung erforderlich. Nur für solche in einer Pandemie. Grundlage ist hier u. a. das Recht eines Mitgliedstaates.
Bleiben wir einen Moment bei dieser Formulierung. Regelt die Coronaverordnung nicht, wie Ratssitzungen abzulaufen haben? Nein, das tut sie nicht. Zwar wird dort (aktuelle Fassung) eine 2G-Regelung für Ratssitzungen vorgeschrieben (§ 4 Abs. 6 CoronaSchVO v. 17.08.2021), aber keine Ermächtigung zur Datenverarbeitung.
- Buchstabe i regelt, dass die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, erforderlich ist.
Die Erhebung, die Erfassung und die Speicherung vom Impfdaten ist m. E. von dieser Regelung gedeckt. § 16 Abs. 1 Nr. 3 des Datenschutzgesetzes entspricht m. E. dieser Praxis ebenfalls.
Fall 57/2021: Versand von Akten per E-Mail
Eine Amtsleiterin fragte an, ob das Versenden von Akten (mit personenbezogenen Daten) an Gerichte per E-Mail möglich ist. Die Bemühungen der vergangenen Jahrzehnte, E-Mails abzusichern in Bezug auf Identität und Vertraulichkeit zeigen, dass E-Mail ohne diese Möglichkeiten weitgehend als unsicher angesehen wird. Man muss daher davon ausgehen, dass der Versand personenbezogener Daten nicht rechtmäßig ist. Ein Urteil ist mir allerdings nicht bekannt.
Was kann man tun? Zunächst kann man sich bemühen, E-Mails mit einer identitätssicheren und vertraulichen Verschlüsselung zu versehen (z. B. mit PGP oder MIME). Man könnte auch einfach DE-MAIL nutzen, welches alles gleichzeitig bietet und für Behörden seit 2016 Pflicht ist.
Fall 56/2021: Siedlungsflächenmanagement
Das Verkehrsministerium NRW betreibt ein "Siedlunsgflächenmonitoring (SFM)". Damit werden Verkehrsstrecken aller Art bewertet. Das Ministerium bat die Kommunen, ihre im Ministerium hinterlegten Flächendaten für dieses Projekt freizugeben. Allerdings handelt es sich bei diesen Daten nicht um personenbezogene Daten, weshalb einer Weitergabe nichts im Wege steht.
Prüfschema Datenschutz 2021: Arbeiten wir nach der EU-DSGVO?
- Geben Sie dem Fall ein eindeutiges Aktenzeichen und einen eindeutigen Titel.
- Beschreiben Sie den Sachverhalt (ohne personenbezogene Daten zu erfassen, da dies selbst ein Datenschutzfall sein könnte).
- Prüfen Sie dann die folgenden Verhältnisse:
- Fand der Sachverhalt nach dem 28.05.2018, 0:00 Uhr statt?
- Sind personenbezogene Daten betroffen? Wenn ja, welcher Art?
- Werden diese Daten verarbeitet und brauchen Sie eine Datenschutzerklärung!
- Ist die EU-DSGVO räumlich anwendbar?
- Besteht eine Rechtsgrundlage oder müssen Sie eine Einwilligung einholen?
- Werden besondere Kategorien personenbezogener Daten verarbeitet?
- Besteht eine legale Auftragsverarbeitung, sind alle Betroffenenrechte gewährleistet?
- Muss ein Verarbeitungsverzeichnis durch Verantwortliche erstellt werden?
- Müssen Datenschutzbeauftragte benannt werden?
- Muss eine Datenschutzfolgenabschätzung abgegeben werden?
- Sind geeignete technische und organisatorische Maßnahmen ergriffen worden?
- Eventuell muss eine Meldung an die Aufsichtsbehörde erfolgen.
- Es droht u. U. ein Bußgeld.
- Es besteht möglicherweise ein Anspruch auf Schadensersatz.
Weitere Angebote
- 👩🎓 Einführung in die EU-DSGVO
- 📜 Datenschutzberichte
- 📓 Datenschutzlexikon
- 🎈 Eine Liste weiterer interessanter Links
- 👓 Prüfschema für Datenschutzfälle
- 💸 Korruptionsschutz
Letzte Änderungen
Programme (Windows, Beta)
- 😀 KURT - Programm zur Prüfung der Korruptionsvorbeugung (Version 21.07.2020)
- 😁 EUGEN - Programm zur Prüfung von Datenschutzfällen (Version 24.06.2020)
- 🍕 Pizza 2000 - Einfaches Programm für Lieferdienste (Version 14.08.2020, Freizeitspaß)