Schlagwort-Archive: Datenschutzgrundverordnung

Ein Lehrer, eine Schule und das Recht am eigenen Bild

Am 6. September 2019 musste sich das Verwaltungsgericht Koblenz mit einer Situation aus dem Schulalltag beschäftigen, in der es um das Recht am eigenen Bild im Schulalltag ging.

Ein Lehrer fühlte sich in seinen Persönlichkeitsrechten missachtet. Eine Fotografin hatte von zwei Klassen Fotos gemacht, auf denen auch der Lehrer zu sehen ist. Diese beiden Fotos wurden im Schuljahrbuch veröffentlicht. Genau an dieser Stelle sah der Lehrer seine Persönlichkeitsrechte missachtet. Dabei berief er sich auf § 22 des Kunsturhebergesetzes (KUG): „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden…“

Das Verwaltungsgericht lehnte die Klage ab. Alle Lehrer waren über den Fototermin und über den Verwendungszweck der Fotos informiert. Beim Erzeugen der Fotos hätte der Lehrer die Chance gehabt, aus dem Bild zu treten. Hinzu kommt, so das VG Koblenz, dass in diesem Fall § 23 des KUG herangezogen werden kann: „(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der Zeitgeschichte…“ Und genau diesen Ausnahmetatbestand sieht das Gericht erfüllt.

Stellt sich noch die Frage: Warum hat der Lehrer nicht auf Grundlage der DS-GVO geklagt? Seine Klage richtete sich ausschließlich gegen die Veröffentlichung von Fotos, auf denen seine Person gezeigt wurde. Er forderte den Rückruf aller verkauften Jahrbücher, das Unkenntlich machen seiner Person und das Schwärzen seines Namens in der Bildunterschrift. Die Veröffentlichung von Personenbildnissen wird im KUG geregelt und ist kein Problem der DS-GVO.

Was kann man für den Schulalltag aus dieser Situation ableiten?

  • Eine dokumentierte, also schriftliche, Einwilligung vermeidet Stress. Dabei ist es unerheblich, ob man sich auf das KUG berufen kann. Die DS-GVO spielt zumindest im Hintergrund immer mit.
  • Für konkrete Fototermine bedarf es einer konkreten Ankündigung. Diese sollte Anlass, Verwendungszweck und Publikationsform enthalten.
  • Ist ein Bild erst einmal publiziert, kann es unmöglich sein, es zu entfernen.

Cookies mal wieder

Am 1. Oktober 2019 hat der EuGH ein wichtiges Urteil zum Umgang mit Cookies auf Websites erlassen. Bisher gab es diesbezüglich ja ein ziemliches Rumgewurschtel, zumindest in Deutschland.

Was bestimmt das Urteil?

  1. Nicht zulässig sind Checkboxen, die bereits aktiviert wurden. Um Cookies zu verhindern, müssten diese Checkbox erst deaktiviert werden.
  2. Zu den Pflichtangaben zählen Informationen zur Funktion der Cookies, zu ihrer Lebensdauer und zu etwaigen Zugriffen Dritter auf diese. Diese Informationen sind den Betroffenen leicht zugänglich verfügbar zu machen.
  3. Ausgenommen davon sind technische Cookies. Als solche werden gemeinhin Cookies verstanden, die dem Login-Status dienen, die Sprachwahl speichern und den Warenkorb abbilden.

Da werden einige Websitebetreiber wohl schnell handeln müssen.

Wie weit geht der Auskunftsanspruch Betroffener?

Die DS-GVO stärkt Betroffenenrechte. Das haben wir besonders um den 25. Mai 2018 herum sehr oft gehört. Daran kann man zweifeln. Man kann das Thema abtun. Die Praxis jedoch bestätigt die Tatsache, dass Betroffene und ihre Rechte ernst genommen werden.

Am 26. Juli diesen Jahres musste sich das OLG Köln mit der Frage befassen, wie weit Betroffenenrechte denn nun genau gehen. Im konkreten Fall ging es um Telefonnotizen, die eine Versicherung zu einem Kunden angelegt hatte. Der Kunde wollte gemäß Art. 15 DS-GVO Auskunft über diese Telefonnotizen. Die Versicherung wollte die aber nicht Beauskunften.

In der Schnellfassung: Telefon- und Gesprächsnotizen fallen unter das Auskunftsrecht. Im Ergebnis sollte man sich also sehr gut überlegen, wozu man auch Bemerkungsfelder nutzt.

Bundestag lockert Datenschutzvorgaben?

In seiner Sitzung am 27. Juni 2019 nahm der Bundestag den Gesetzesentwurf zur Anpassung des Datenschutzrechts an. Mit diesem Gesetzesentwurf soll eine Vereinfachung für Vereine, klein- und mittelständische Unternehmen sowie für ärztliche und therapeutische Praxen geschaffen werden.

Ein Datenschutzbeauftragter ist nach dieser Neufassung erst zu bestellen, wenn 20 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Na das klingt doch ganz nach einem großen Wurf. In der Realität ergeben sich aus meiner Sicht zwei bemerkenswerte Probleme. In die Ermittlung der Grenze von 20 Beschäftigten ist die Verarbeitung im Auftrag einzubeziehen. Worin aus meiner Erfahrung das viel größere Problem besteht: Eine rechtssichere Datenschutzdokumentation muss ja trotzdem erstellt werden. Das macht nun die verantwortliche Person selbst?

Ob es sich hierbei tatsächlich um eine Erleichterung für die Praxis handelt, bleibt abzuwarten.

Und noch einmal: DS-GVO und Fotos

Im 47. Tätigkeitsbericht des Hessischen Landesbeauftragten für Datenschutz findet man ab Seite 91 einen interessanten und klärenden Abschnitt zum Thema „Fotos und DS-GVO“. Professor Dr. Michael Ronellenfitsch klärt hier noch einmal über das Thema auf.

Digitale Fotos, auf denen einzelne Personen erkennbar und auch identifizierbar sind, fallen unter die Bestimmungen der DS-GVO. Digitales Fotografieren oder Filmen stellen Prozesse der Datenerhebung dar. Ein Veröffentlichen von solchen Fotos oder Videos fällt unter die Prozesse Datenverarbeitung und Datenweitergabe.

Zwei Situationen müssen hierbei allerdings aus der Betrachtung herausgehalten werden: Private Aufnahmen und Aufnahmen, solange diese nicht einem größeren Empfängerkreis (Website, Social Media,…) zugänglich gemacht werden sowie Aufnahmen, die zu journalistischen Zwecken erzeugt wurden. Hier gilt weiterhin der Kunsturhebergesetz (KUG).

Für alle anderen Situationen gilt die DS-GVO. Hierbei dürfte für die meisten Situationen eine Einwilligung als Erlaubnisgrund zur Anwendung kommen. Für das Erteilen einer Einwilligung gibt es verschiedene Möglichkeiten: schriftliches oder mündliches Erteilen sowie einwilligendes Verhalten.

Zum Problem werden alle nicht schriftlich erteilten Einwilligungen dann, wenn es um den Nachweis bezüglich des Erteilens der Einwilligung geht. In diesem Fall stellt die schriftlich erteilte Einwilligung eine sichere Lösung dar. Hinzu kommt, dass die einwilligende Person über ihr Widerspruchsrecht aufgeklärt werden muss. Auch dafür sollte die schriftliche Form der Einwilligung bevorzugt werden.

Kommt noch die Informationspflicht. Für Fotos oder Videos aufgenommene Personen müssen über Gründe für die Aufnahmen und über Verarbeitungsweisen informiert werden. Hier helfen in unübersichtlichen Situationen tatsächlich nur Handzettel, Aushänge oder Schilder.

Spannend wird es dann, wenn Fotos im Rahmen eines Beschäftigungsverhältnisses erzeugt und genutzt/veröffentlicht werden. § 26 Abs. 1 BDSG ist da sehr genau. Aufnahmen, die zur Erfüllung des Beschäftigungsverhältnisses zwingend erforderlich sind, sind zulässig. Nun sind allerdings die wenigsten Beschäftigten Fotomodels. Das heißt, hier kann man sich nur auf die Einwilligung verlassen.

In diesem Zusammenhang sei auf zwei Kriterien einer Einwilligung verwiesen: Freiwilligkeit und Widerspruchsrecht. Willigt ein Beschäftigter nicht in Foto- oder Videoaufnahmen ein, so dürfen ihm daraus keine Nachteile entstehen. Müsste er Nachteilen befürchten, wäre das Freiwilligkeitsgebot verletzt.

Eine einmal erteilte Einwilligung muss widerrufbar sein. Eine spannende Frage hierbei: Welche Löschfristen gelten. Die sollten bereits vorab festgelegt sein. Das kann die verantwortliche Stelle in ihrer Dokumentation tun oder Löschfristen sind in der Einwilligung enthalten. Eine Ausnahme stellen kostenintensive Kampagnen dar. In diesem Fall muss zwischen den Interessen der verantwortlichen Stelle (Kosten) und den Interessen der betroffenen Person abgewogen werden. Bereits veröffentlichte/genutzte Aufnahmen müssen dann unter Umständen nicht gelöscht werden. Der Widerruf kann sich dann nur auf das zukünftige Nutzen beziehen.

Neues zur Videoüberwachung

Die Videoüberwachung öffentlicher Räume durch Privatpersonen, Unternehmen oder Einrichtungen wird durch die DS-GVO geregelt. Am 27. März 2019 urteilte nun das Bundesverwaltungsgericht dazu.

Das Urteil bestätigte die doch sehr engen Grenzen der DS-GVO für Videoüberwachungen. Herangezogen können nur Gründe werden, die so schwerwiegend sind, dass sich ein Eingriff in die Privatsphäre der gefilmten Personen begründen lässt. Das Verhindern von Straftaten wie Eigentumsdelikten, Vandalismus, Brandstiftung u. A. kann als Argument dienen.

Sollte unter diesen Prämissen eine Videoüberwachung möglich und erforderlich sein, sollte das Kurzpapier der Datenschutzkonferenz berücksichtigt werden.

Datenschutztag 2019 in Berlin

Kommt das Thema Datenschutz zur Sprache, erlebe ich oft genervte Reaktionen: Was soll der Mist? Da hält sich doch eh keiner dran! Die Großen machen doch eh, was sie wollen. Ich empfinde das Thema als spannend und ich halte es für wichtig. Unsere Daten repräsentieren uns, sie machen uns zu einordbaren Individuen. Und werden wir nicht manchmal auch wegen unserer Daten stigmatisiert?

Ich sitze also im Park Inn am Alexanderplatz in Berlin. Die Tagung läuft und verspricht, spannend zu werden.

Die DS-GVO kann durchaus nach einem Jahr als Erfolgskonzept bewertet werden. Die Wirtschaft findet jetzt ein harmonisiertes Europäisches Recht vor. Der Binnenmarkt wird gestärkt. Personenbezogene Daten können frei innerhalb der EU übermittelt werden. Die Rechte der Aufsichtsbehörden sind gestärkt. Gleichzeitig wurde deren Aufgabenbereich erweitert. Besonders die Erhöhung der Bußgelder bewirkt einen Handlungsdruck bei den verantwortlichen Stellen. Die Rechte Betroffener wurden gestärkt. Hierbei seien nur das Recht auf Vergessen und und das Recht auf Datenübertragbarkeit zu nennen. Betroffene können sich jetzt an regionale Aufsichtsbehörden wenden, wenn ihre Rechte verletzt wurden. Ein Auseinandersetzen mit ausländischen und damit fremdsprachlichen Behörden entfällt jetzt. Im Land Berlin haben sich beispielsweise die Beschwerden Betroffener um den Faktor 3,5 erhöht.

Ein sehr spannendes Thema stellt der Brexit unter dem Gesichtspunkt von Datenübermittlungen dar. Beachtenswert hierbei ist eine Übermittlung von Daten aus der EU nach Großbritannien. Bei einem No-Deal-Brexit wird GB ab 31. Oktober 2019 zum Drittstaat. Interessanter Weise fällt dieser Schritt nach erneuter Verschiebung jetzt auf Halloween. Da werden wohl die Datengeister toben. Betroffene Stellen müssen Vorsorge treffen. Ein Angemessenheitsbeschluss der EU wird auf sich warten lassen. Warum auch sollte man GB entgegen kommen? Ein wirksames Werkzeug wäre dann Art. 46 Abs. 2 Buchstabe c. Hierbei können Standardvertragsklauseln der EU genutzt und als Vertragsgegenstand implementiert werden.

Ein heikles Thema beschäftigt sich mit Datenschutzvorfällen und den daraus u. U. resultierenden Meldepflichten. Ein meldepflichtiger Datenschutzvorfall liegt immer dann vor, wenn personenbezogene Daten betroffen sind und wenn daraus ein Risiko für die Betroffenen besteht. Die Datenschutzdokumentation sollte für diesen Fall Maßnahmen beschreiben. Der Vorfall muss zunächst intern gemeldet werden. Anschließend ist er zu analysieren und Sofortmaßnahmen müssen abgeleitet werden. Muss die aufsichtführende Behörde in Kenntnis gesetzt werden? Müssen betroffene Personen informiert werden? Jetzt können wiederherstellende Maßnahmen ergriffen werden. Abschließend sollte der gesamte Ablauf reflexiert werden. Welche Lehren vermittelt uns der Vorfall?

Art. 6 DS-GVO und die Vertragserfüllung

Artikel 6 Absatz 1 Buchstabe b erlaubt eine Verarbeitung personenbezogener Daten im Kontext einer Vertragserfüllung. Nun wurde am 10. April 2019 die Leitlinie dazu veröffentlicht.

Eine Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn sie im Rahmen einer Vertragserfüllung erfolgt. Die Leitlinie stellt klar, dass es sich hierbei nicht um einen Freifahrtschein für Unternehmen handelt. Die Verarbeitung ist immer im Kontext von Artikel 5 DS-GVO (Sparsamkeit, Fairness, Transparenz) zu bewerten.

Nur weil im Zuge einer Vertragserfüllung die E-Mail-Adresse gespeichert wurde, bedeutet dies nicht, dass Unternehmen diese dann auch für Werbezwecke verwenden dürfen. Abhilfe kann hier nur eine zusätzliche Einwilligung schaffen.

In diesem Zusammenhang vielleicht interessant: Einem polnischen Unternehmen wurde ein Bußgeld in Höhe von knapp 220.000 Euro auferlegt. Grund war die unrechtmäßige Benutzung vom 6 Mio. E-Mail-Adressen. Das Unternehmen sah es als unverhältnismäßig an, alle Betroffenen darüber zu informieren (Transparenz).

Datenschutz in Europa – Erste Resultate

Die DS-GVO ist Praxis geworden. Viele Aufsichtführende Behörden haben die Kuschelphase abgeschlossen und Bußgelder werden verhängt. Der Europäische Datenschutzausschuss zieht eine erste Bilanz.

Den aufsichtführenden Behörden wurden bisher etwa 200.000 Datenschutzberstöße gemeldet. In diesem Zusammenhang wurden Bußgelder in Höhe von 56 Mio. Euro verhängt. Bedenkt man die Tatsache, dass davon 50 Mio. Euro auf Google entfallen, bleiben noch etwa 6 Mio. Euro „normale“ Bußgelder.

Auch die Bußgelder in Höhe von etwa 6 Mio. Euro müssen relativiert werden. Von den 200.000 Datenschutzverstößen entfallen etwa 95.000 Fälle sind Beschwerden. Hier kann keine Aussage bezüglich der tatsächlichen Verstöße getroffen werden. Beschwerden können ja auch abgewiesen werden.

Fazit sollte sein, dass keine verantwortliche Stelle das Thema Datenschutz aus den Augen verlieren sollte. Dem Risiko einer Datenschutzverletzung kann durch Ein Datenschutzmanagement auf der Grundlage der DS-GVO begegnet werden.

Beschäftigtendatenschutz

Personenbezogene Daten von Beschäftigten unterliegen dem Datenschutz gemäß DS-GVO. Das ist einleuchtend. Was passiert allerdings mit Bewerberdaten? Hier kann es in der Praxis passieren, dass etwas „großzügiger“ verfahren wird. Es kann ja schließlich vorkommen, dass ein Bewerber heute zwar abgelehnt wird, aber vielleicht möchte man später doch noch einmal an ihn heran treten? 6 Monate gelten als akzeptable Aufbewahrungsfrist. Anschließend müssen die Bewerberdaten gelöscht werden. Soll ein Bewerberpool gebildet werden, bedarf es der Einwilligung der Bewerber. Die Kanzlei WBS hat dazu heute einen passenden Artikel publiziert.