Schlagwort-Archive: Datenschutz

Art. 6 DS-GVO und die Vertragserfüllung

Artikel 6 Absatz 1 Buchstabe b erlaubt eine Verarbeitung personenbezogener Daten im Kontext einer Vertragserfüllung. Nun wurde am 10. April 2019 die Leitlinie dazu veröffentlicht.

Eine Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn sie im Rahmen einer Vertragserfüllung erfolgt. Die Leitlinie stellt klar, dass es sich hierbei nicht um einen Freifahrtschein für Unternehmen handelt. Die Verarbeitung ist immer im Kontext von Artikel 5 DS-GVO (Sparsamkeit, Fairness, Transparenz) zu bewerten.

Nur weil im Zuge einer Vertragserfüllung die E-Mail-Adresse gespeichert wurde, bedeutet dies nicht, dass Unternehmen diese dann auch für Werbezwecke verwenden dürfen. Abhilfe kann hier nur eine zusätzliche Einwilligung schaffen.

In diesem Zusammenhang vielleicht interessant: Einem polnischen Unternehmen wurde ein Bußgeld in Höhe von knapp 220.000 Euro auferlegt. Grund war die unrechtmäßige Benutzung vom 6 Mio. E-Mail-Adressen. Das Unternehmen sah es als unverhältnismäßig an, alle Betroffenen darüber zu informieren (Transparenz).

Datenschutz in Europa – Erste Resultate

Die DS-GVO ist Praxis geworden. Viele Aufsichtführende Behörden haben die Kuschelphase abgeschlossen und Bußgelder werden verhängt. Der Europäische Datenschutzausschuss zieht eine erste Bilanz.

Den aufsichtführenden Behörden wurden bisher etwa 200.000 Datenschutzberstöße gemeldet. In diesem Zusammenhang wurden Bußgelder in Höhe von 56 Mio. Euro verhängt. Bedenkt man die Tatsache, dass davon 50 Mio. Euro auf Google entfallen, bleiben noch etwa 6 Mio. Euro „normale“ Bußgelder.

Auch die Bußgelder in Höhe von etwa 6 Mio. Euro müssen relativiert werden. Von den 200.000 Datenschutzverstößen entfallen etwa 95.000 Fälle sind Beschwerden. Hier kann keine Aussage bezüglich der tatsächlichen Verstöße getroffen werden. Beschwerden können ja auch abgewiesen werden.

Fazit sollte sein, dass keine verantwortliche Stelle das Thema Datenschutz aus den Augen verlieren sollte. Dem Risiko einer Datenschutzverletzung kann durch Ein Datenschutzmanagement auf der Grundlage der DS-GVO begegnet werden.

Beschäftigtendatenschutz

Personenbezogene Daten von Beschäftigten unterliegen dem Datenschutz gemäß DS-GVO. Das ist einleuchtend. Was passiert allerdings mit Bewerberdaten? Hier kann es in der Praxis passieren, dass etwas „großzügiger“ verfahren wird. Es kann ja schließlich vorkommen, dass ein Bewerber heute zwar abgelehnt wird, aber vielleicht möchte man später doch noch einmal an ihn heran treten? 6 Monate gelten als akzeptable Aufbewahrungsfrist. Anschließend müssen die Bewerberdaten gelöscht werden. Soll ein Bewerberpool gebildet werden, bedarf es der Einwilligung der Bewerber. Die Kanzlei WBS hat dazu heute einen passenden Artikel publiziert.

Was Bodycams mit Amazon zu tun haben

Die Polizei, z. B. die Bundespolizei, darf Bodycams einsetzen. Die Aufnahmen sind dann auch als Beweismittel zulässig. Entsprechend urteilte unlängst das Landgericht Düsseldorf. Aber wie werden die Aufnahmen gespeichert, wie und an wen werden sie weitergegeben?

Und da kommt nun Amazon ins Spiel. Wie tagesschau.de berichtet, werden diese Aufnahmen auf Servern von Amazon gespeichert. Wenn ich Amazon-Kunde bin, dann gebe ich Amazon meine Daten freiwillig. Wenn ich von der Polizei gefilmt werde, geschieht das eher nicht freiwillig. Ich kann nicht nachvollziehen, wer Zugriff auf diese Daten erhält. Vielleicht sollte man von seinem Auskunftsrecht gegenüber der Bundespolizei Gebrauch machen?

Foto, Film und Datenschutz

Filme oder Videos, die Menschen abbilden, fallen unter das Datenschutzrecht. Das kann man so hinnehmen oder man kann sich fragen: Wo in der Datenschutz-Grundverordnung (DS-GVO) genau steht das denn?

Mit dem Urteil C-345/17 des Europäischen Gerichtshofes vom 14. Februar 2019 muss man sich diese Frage nicht mehr stellen.

Das Urteil ist diesbezüglich präzise: „In Anbetracht der Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit der Informationsgesellschaft bezüglich Techniken der Erfassung, Übermittlung, Veränderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen Ton- und Bilddaten muss diese Richtlinie auch auf die Verarbeitung dieser Daten Anwendung finden.

Da ist zu dem Thema doch alles gesagt.

Ein offener E-Mail-Verteiler und die Folgen

Etwas, vielleicht Elementares, vorweg: Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) ist zwar geltendes Recht, sie gilt aber nicht im privaten Bereich. Artikel 2 Absatz 1 Buchstabe c ist da ziemlich eindeutig: „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten… c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ Der Erwägungsgrund 18 formuliert Gleiches. Das „Zauberwort“ hierbei lautet „ausschließlich„.

Ich möchte einen Fall aus Sachsen-Anhalt zum Anlass nehmen, das Thema doch etwas genauer zu betrachten.

Was versteht man unter einem offenen E-Mail-Verteiler? Ich kann eine E-Mail an einen oder an mehrere Empfänger versenden. Um mit einer Mail mehrere Empfänger zu erreichen, stehen mir zwei Möglichkeiten zur Verfügung: das Feld „CC“ und das Feld „BCC“. Trage ich in die Felder „An“ oder „CC“ mehrere Empfänger ein, sind die Empfängerdaten (E-Mail-Adressen) für alle Empfänger sichtbar. Hierbei spricht man von einem „offenen Verteiler“. Nutze ich dagegen das Feld „BCC“, sind die Empfängerdaten verborgen.

Wann wird das Thema datenschutzrelevant? Kommuniziere ich ausschließlich im privaten Bereich, dann muss ich mir über das Thema „Datenschutz“ keine Gedanken machen (siehe oben). Kommuniziere ich als Privatperson mit Firmenmitarbeitern, mit Mitarbeitern im öffentlichen Bereich oder mit Mitgliedern in Vereinen, dann findet bereits die DS-GVO Anwendung. Zweitens geht es um die Frage: Ist ein Rückschluss auf eine natürliche Person möglich? E-Mail-Adressen in der Form info@… oder kontakt@… sind hierbei also nicht relevant. Haben E-Mail-Adressen aber die Form ulf.tschech@…, dann sieht die Welt anders aus. Hier greift die DS-GVO.

Im besagten Fall des Herrn aus Merseburg kamen zwei Sachverhalte zusammen: 1. Er benutzte einen offenen Verteiler. 2. Er schrieb hunderte Personen mit personenbezogenen E-Mail-Adressen an. Das Ergebnis: Ein Bußgeld in Höhe von über 2.500 Euro.

Wer als Mitarbeiter oder Vereinsmitglied E-Mail-Verteiler benutzt, muss diese immer als geschlossenen/verdeckten Verteiler gestalten. Die Adressen ins Feld „BCC“ kann ja nun wirklich kein Thema sein.

Lehrer und WhatsApp

Messenger erlauben eine schnelle und unkomplizierte Kommunikation mit einzelnen Personen oder mit Personengruppen. Für Lehrer scheint das eine attraktive Möglichkeit zu sein, mit Schülern und Eltern in Kontakt zu bleiben. Der in Deutschland am häufigsten genutzte Messenger-Dienst ist WhatsApp. Und damit beginnen auch schon die Schwierigkeiten.

Weine Meinung dazu vorweg: Finger weg!

Das größte Problem aus meiner Sicht ist der Datenschutz. Sicherlich ist die von WhatsApp verwendete Ende-zu-Ende-Verschlüsselung toll. Damit werden die Kommunikationsinhalte geschützt. Ich sehe eher den Umgang mit Adressdaten als Problem. Ohne dass es eine aktive Einwilligung gibt, können Personen in eine Gruppe aufgenommen werden. Natürlich kann man die Gruppe wieder verlassen. Aber einmal drin in der Gruppe, stehen die Kontaktdaten allen zur Verfügung. Das Adressbuch wird auf Servern gespeichert, die sich in einem unsicheren Drittstaat (USA) befinden. Die DS-GVO verbietet das.

Mein zweites Problem ist eher „weicher“ Natur. Eine WhatsApp-Kommunikation bringt permanente Erreichbarkeit mit sich. Es erfordert schon ein hohes Maß an Konsequenz, Nachrichten nicht sofort zu beantworten. Eine Trennung zwischen Arbeitswelt und Privatem fällt schwer.

Ich habe mir im Titel Lehrer ausgewählt, weil das der Arbeitsbereich ist, in dem ich meine Brötchen verdiene. Meine Argumente gelten jedoch genau so für Ätzte, Therapeuten und andere Berufsgruppen, die mit Menschen im beruflichen Umfeld kommunizieren.

Öffentlichkeitsarbeit und Fotos

Die unterschiedlichsten Maßnahmen aus dem Bereich Öffentlichkeitsarbeit werden heute meist von Fotos begleitet. Fotos, die in sozialen Netzwerken gepostet oder auf Websites veröffentlicht werden.

Zunächst einmal gilt: Digitale Fotos, die natürliche Personen abbilden, fallen unter die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO). Ich möchte ausdrücklich darauf hinweisen, dass es hierbei nicht um Fotos im privaten Umfeld geht. Für solche Fotos gilt lt. Art. 2 Abs. 2 Buchstabe c DS-GVO die Datenschutz-Grundverordnung nicht. Kindern (natürliche Personen vor vollendetem 14. Lebensjahr) wird im Zusammenhang mit Fotos für Öffentlichkeitsarbeit ein besonderes Schutzbedürfnis zuerkannt.

Bei Kindern kann davon ausgegangen werden kann, dass die Betroffeneninteressen überwiegen. Sie sollten weder fotografiert noch die erzeugten Fotos online veröffentlicht werden. Für alle anderen Fotos mit natürlichen Personen bedarf es einer Rechtsgrundlage. Hierbei hilft uns Art. 6 Abs. 1 DS-GVO weiter.

Eine einfache Möglichkeit besteht darin, die Einwilligung der abgebildeten Personen einzuholen (Art. 6 Abs. 1 Buchstabe a DS-GVO). Die Einwilligung muss aus freien Stücken erfolgen und sie muss dokumentiert sein. Das kann durch ein kleines Formular geschehen, welches die abgebildeten Personen unterschreiben. Eine Einwilligung kann z. B. bei Tagen der offenen Tür eingesetzt werden.

Bei Messen kommt es immer wieder vor, dass der Messestand mit Besuchern fotografiert wird. In solchen Situationen sollte eine Interessenabwägung (nach Art. 6 Abs. 1 Buchstabe a DS-GVO) vorgenommen werden. Bei dieser muss von den „vernünftigen Erwartungen“ der betroffenen Personen ausgegangen werden (Erwägungsgrund 47 DS-GVO). Kann ich als Messebesucher davon ausgehen, dass hier Fotos gemacht werden? Diese Frage kann mit „Ja“ beantwortet werden. Auf Messen ist also eine Einwilligung nicht erforderlich. Wenn Besucher auf dem Messestand allerdings nicht fotografiert werden möchten, muss diesem Wunsch entsprochen werden. Bereits erzeugte Fotos müssen demzufolge dann auch gelöscht werden.

Abgebildete Personen können überhaupt immer von ihrem Widerrufsrecht gebrauch machen. Die entsprechenden Fotos müssen dann zeitnah (innerhalb von 72 Stunden) gelöscht werden.

Zusammenfassend kann man also sagen, dass weiterhin Fotos im Rahmen von Öffentlichkeitsarbeit erzeugt und verwendet werden können. Allerdings müssen einige Rahmenbedingungen beachtet werden.

Digitalisierung im Gesundheitswesen

Die Bertelsmann Stiftung hat analysiert, wie Gesundheitswesen und Medizin digitalisiert sind. Positiv: Deutschland ist bei den 17 analysierten Staaten dabei. Negativ: Nur noch in Polen läuft es schlechter, als bei uns.

„Während Deutschland noch Informationen auf Papier austauscht und an den Grundlagen der digitalen Vernetzung arbeitet, gehen andere Länder schon die nächsten Schritte.“

Brigitte Mohn, Vorstand der Bertelsmann Stiftung
In Deutschland fehlt es am politischen Willen – da denke ich sofort an Jens Spahn. Neben der Bereitschaft, neue Wege zu gehen, bedarf es finanzieller Mittel, um diese Wege auch erfolgreich beschreiten zu können. Organisationsstrukturen müssen her. Und alle Betroffene müssen auf diesem Weg mitgenommen werden. Mediziner müssen Vorteile erkennen können. Patienten muss die Furcht vor Missbrauch ihrer medizinisch relevanten Daten genommen werden.

Zum Glück gibt es auch heute schon positive Beispiele, die hoffen lassen. Ambitionierte niedergelassene Ärzte beschreiten neue Wege in der Telemedizin. Sie warten nicht, bis die Politik die Rahmenbedingungen angepasst hat. In den Berichten der Landesbeauftragten für Datenschutz taucht das Thema Digitalisierung in der Medizin seit Jahren auf.

Wir bekommen einen neuen Bundesbeauftragten für Datenschutz

Andrea Voßhoff als unbeliebte Datenschützerin zu beschreiben, träfe es nicht so ganz. Sie fand einfach nicht statt. Doch genau das erwartet man doch von einer Person in diesem Amt. Mediale Präsenz ist es doch, die dieses Amt ausmacht. Ob mit der Wahl von Ulrich Kelber alles besser wird, bleibt abzuwarten. Dass alles anders wird hoffe ich. Seit dem Inkrafttreten der Europäischen Datenschutz-Grundverordnung hat das Thema Datenschutz eine stärker Beachtung in der Öffentlichkeit erfahren. Die Ladesbeauftragten für Datenschutz der Bundesländer fordern seit Jahren, die Themen Datenschutz und Informationelle Selbstbestimmung stärker in die Lehrpläne der Schulen einzubinden. Und – Ulrich Kelber ist Informatiker und kein Jurist, wie seine Vorgängerin.