Archiv für den Monat: November 2019

Oberster europäischer Datenschützer bestätigt

Das Europaparlament hat den Europäischen Datenschutzbeauftragten im Amt bestätigt. Wojciech Rafał WIEWIÓROWSKI, Jurist aus Polen, wird dieses Amt nun offiziell ausüben.

Zu seiner Anhörung als Kandidat schreibt er:

„Ich bin in einem undemokratischen Land in einer Zeit großer Umbrüche aufgewachsen. Ich werde nie vergessen, welche Auswirkungen ein Überwachungsstaat und das Kriegsrecht auf ganz normale Menschen haben: das schreckliche Gefühl, wenn man weiß, dass die Behörden die Privatkorrespondenz und Telefongespräche routinemäßig kontrollieren, und zwar im Namen der „Sicherheit“ und zum „Wohl der Allgemeinheit“. Ich schätze die Freiheit und Würde des Einzelnen aufgrund und meiner eigenen Erfahrungen, und mir ist bewusst, wie wertvoll und zerbrechlich sie sind.“ (https://www.europarl.europa.eu/cmsdata/189187/1192318DE-original.pdf, S. 1)

In der Beschreibung seiner Ziele können wir Dinge lesen wie:

  • „Eine gerechte Welt, in der die Würde des Menschen und kulturelle Vielfalt geachtet werden.“
  • „Die EU-Verwaltung sollte intelligent und innovativ sein.“

    „Das Unionsrecht – und zwar nicht nur die eigentlichen Datenschutzvorschriften, sondern der gesamte Besitzstand – sollte als Benchmark für alle neuen Vorschriften weltweit fungieren.“ (a. o. a. O., S. 2 f.)

    Ich wünsche mir, dass die Berufung Wiewiórowskis den Datenschutzbestrebungen der EU weiter Aufschwung verleiht. Große Themen kommen in den nächsten Jahren auf uns zu. Der Gesundheitsbereich wird weiter digitalisiert, Robotik und KI entwickeln sich weiter. Die Themen Biometrie und Gesichtserkennung stehen nicht mehr nur in den Startlöchern, die sind schon gut unterwegs. Ein möglicher ungeordneter Brexit und weitere Auseinandersetzungen mit den USA werden Europa fordern. Für all diese Themen ist es wichtig, eine kluge und kompetente Person an der Spitze der Europäischen Datenschutzbehörde zu haben.

    Geburtstagslisten in Unternehmen

    Spätestens seit Wirksamwerden der DS-GVO, aber eigentlich auch schon früher, sollte klar sein: Ich darf nicht einfach so Geburtstagslisten in Unternehmen oder in Einrichtungen führen und aushängen. Der Bayrische Landesbeauftragte für Datenschutz hat das Thema in seiner Kurzinformation 26 aufgegriffen.

    Ich möchte hier die wesentlichen Aussagen kurz zusammenfassen:

    1. Eine Geburtstagsliste wird geführt oder deren Führung wird veranlasst. Gemäß Artikel 4 Absatz 7 ist dann das Unternehmen, die Behörde oder die Einrichtung die verantwortliche Stelle.
    2. Geburtstagslisten unterliegen dem Personaldatenschutz.
    3. Da es keine gesetzliche Grundlage für Geburtstagslisten gibt und solche auch nicht zur Erfüllung von Arbeitsverträgen erforderlich sind, bleibt nur die Einwilligung der Betroffenen als Rechtsgrundlage für das Führen und Veröffentlichen einer Geburtstagsliste.
    4. Auch Geburtstagslisten unterliegen der Datenschutzdokumentation, d. h. das Verfahren „Geburtstagsliste“ ist in das Verzeichnis der verarbeitenden Tätigkeiten aufzunehmen. Es besteht den Mitarbeitern gegenüber eine Informationspflicht. Zum Führen von Geburtstagslisten und der damit einhergehenden Veröffentlichung sollte eine TOM (technisch-organisatorische Maßnahme) angelegt werden.

    Das ist ein ziemlich hoher Aufwand für das Führen und das betriebsinterne Veröffentlichen einer Geburtstagsliste. Ich finde es ok, wenn eine relativ hohe Schwelle für so eine Liste besteht.

    Der Gutscheintrick – aktuell „Rossmann“

    Um es gleich vorweg zu nehmen: Der aktuell kursierende Gutschein in Höhe von 75 Euro hat in etwa so viel mit der Unternehmensgruppe Rossmann zu tun, wie ich mit dem britischen Königshaus – nix!

    Die Masche wird gern verwendet, um an personenbezogene Daten wie Postanschrift, E-Mail-Adresse oder Telefonnummer zu gelangen. Und das geht so:

    Zuerst bastelt man sich einen Gutschein. Der muss natürlich echt aussehen. Dann richtet man sich eine kleine Website ein und publiziert diese unter einer möglichst echt aussehenden Adresse, z. B. rossmann-de.com. Das ist – klar – nicht das Unternehmen Rossmann.

    Jetzt stellt man ein paar unverfängliche Fragen zum Einkaufverhalten, zu Alter und Geschlecht. Aus der änfänglichen Option, dass jeder Teilende den Gutschein erhält, wird jetzt eine mehrstufige Aufgabe. Zuerst muss man den Gutschein und die damit verbundene Aktion auf Facebook teilen. Dann muss man seine Daten angeben, damit man den Gutschein zugeschickt bekommt.

    Jetzt haben die Gauner mein Alter bzw. meine Altersgruppe und meine Kontaktdaten. Den Gutschein wird man wohl nie erhalten.

    Schöne Maschen, die muss ich mir merken. Wenn dass Geld mal knapp wird, verkaufe ich Daten.

    Hausdurchsuchung in Thüringen

    Der Landesbeauftragte für Datenschutz in Thüringen veranlasste eine Hausdurchsuchung bei einer Privatperson.

    Die Wohnung eines Drohnenbesitzers wurde von der Thüringer Polizei durchsucht. Dabei wurden Datenträger beschlagnahmt. Der Durchsuchung gingen Beschwerden von Nachbarn voraus. Diese hatten angegeben, dass die Drohne ohne Sichtkontakt vor allem in den Abendstunden geflogen wurde. Gärten wurden überflogen, Schlafzimmerfenster könnten gefilmt worden sein.

    Die Gefahr von Eingriffen in die Privatsphäre sah der Landesbeauftragte für Datenschutz in Thüringen als so groß an, dass dem das zuständige Gericht folgte und die Durchsuchung veranlasste.

    Ein Lehrer, eine Schule und das Recht am eigenen Bild

    Am 6. September 2019 musste sich das Verwaltungsgericht Koblenz mit einer Situation aus dem Schulalltag beschäftigen, in der es um das Recht am eigenen Bild im Schulalltag ging.

    Ein Lehrer fühlte sich in seinen Persönlichkeitsrechten missachtet. Eine Fotografin hatte von zwei Klassen Fotos gemacht, auf denen auch der Lehrer zu sehen ist. Diese beiden Fotos wurden im Schuljahrbuch veröffentlicht. Genau an dieser Stelle sah der Lehrer seine Persönlichkeitsrechte missachtet. Dabei berief er sich auf § 22 des Kunsturhebergesetzes (KUG): „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden…“

    Das Verwaltungsgericht lehnte die Klage ab. Alle Lehrer waren über den Fototermin und über den Verwendungszweck der Fotos informiert. Beim Erzeugen der Fotos hätte der Lehrer die Chance gehabt, aus dem Bild zu treten. Hinzu kommt, so das VG Koblenz, dass in diesem Fall § 23 des KUG herangezogen werden kann: „(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
    1. Bildnisse aus dem Bereiche der Zeitgeschichte…“ Und genau diesen Ausnahmetatbestand sieht das Gericht erfüllt.

    Stellt sich noch die Frage: Warum hat der Lehrer nicht auf Grundlage der DS-GVO geklagt? Seine Klage richtete sich ausschließlich gegen die Veröffentlichung von Fotos, auf denen seine Person gezeigt wurde. Er forderte den Rückruf aller verkauften Jahrbücher, das Unkenntlich machen seiner Person und das Schwärzen seines Namens in der Bildunterschrift. Die Veröffentlichung von Personenbildnissen wird im KUG geregelt und ist kein Problem der DS-GVO.

    Was kann man für den Schulalltag aus dieser Situation ableiten?

    • Eine dokumentierte, also schriftliche, Einwilligung vermeidet Stress. Dabei ist es unerheblich, ob man sich auf das KUG berufen kann. Die DS-GVO spielt zumindest im Hintergrund immer mit.
    • Für konkrete Fototermine bedarf es einer konkreten Ankündigung. Diese sollte Anlass, Verwendungszweck und Publikationsform enthalten.
    • Ist ein Bild erst einmal publiziert, kann es unmöglich sein, es zu entfernen.