Schlagwort-Archive: DS-GVO

Beschäftigtendatenschutz

Personenbezogene Daten von Beschäftigten unterliegen dem Datenschutz gemäß DS-GVO. Das ist einleuchtend. Was passiert allerdings mit Bewerberdaten? Hier kann es in der Praxis passieren, dass etwas „großzügiger“ verfahren wird. Es kann ja schließlich vorkommen, dass ein Bewerber heute zwar abgelehnt wird, aber vielleicht möchte man später doch noch einmal an ihn heran treten? 6 Monate gelten als akzeptable Aufbewahrungsfrist. Anschließend müssen die Bewerberdaten gelöscht werden. Soll ein Bewerberpool gebildet werden, bedarf es der Einwilligung der Bewerber. Die Kanzlei WBS hat dazu heute einen passenden Artikel publiziert.

Was Bodycams mit Amazon zu tun haben

Die Polizei, z. B. die Bundespolizei, darf Bodycams einsetzen. Die Aufnahmen sind dann auch als Beweismittel zulässig. Entsprechend urteilte unlängst das Landgericht Düsseldorf. Aber wie werden die Aufnahmen gespeichert, wie und an wen werden sie weitergegeben?

Und da kommt nun Amazon ins Spiel. Wie tagesschau.de berichtet, werden diese Aufnahmen auf Servern von Amazon gespeichert. Wenn ich Amazon-Kunde bin, dann gebe ich Amazon meine Daten freiwillig. Wenn ich von der Polizei gefilmt werde, geschieht das eher nicht freiwillig. Ich kann nicht nachvollziehen, wer Zugriff auf diese Daten erhält. Vielleicht sollte man von seinem Auskunftsrecht gegenüber der Bundespolizei Gebrauch machen?

Foto, Film und Datenschutz

Filme oder Videos, die Menschen abbilden, fallen unter das Datenschutzrecht. Das kann man so hinnehmen oder man kann sich fragen: Wo in der Datenschutz-Grundverordnung (DS-GVO) genau steht das denn?

Mit dem Urteil C-345/17 des Europäischen Gerichtshofes vom 14. Februar 2019 muss man sich diese Frage nicht mehr stellen.

Das Urteil ist diesbezüglich präzise: „In Anbetracht der Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit der Informationsgesellschaft bezüglich Techniken der Erfassung, Übermittlung, Veränderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen Ton- und Bilddaten muss diese Richtlinie auch auf die Verarbeitung dieser Daten Anwendung finden.

Da ist zu dem Thema doch alles gesagt.

Ein offener E-Mail-Verteiler und die Folgen

Etwas, vielleicht Elementares, vorweg: Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) ist zwar geltendes Recht, sie gilt aber nicht im privaten Bereich. Artikel 2 Absatz 1 Buchstabe c ist da ziemlich eindeutig: „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten… c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ Der Erwägungsgrund 18 formuliert Gleiches. Das „Zauberwort“ hierbei lautet „ausschließlich„.

Ich möchte einen Fall aus Sachsen-Anhalt zum Anlass nehmen, das Thema doch etwas genauer zu betrachten.

Was versteht man unter einem offenen E-Mail-Verteiler? Ich kann eine E-Mail an einen oder an mehrere Empfänger versenden. Um mit einer Mail mehrere Empfänger zu erreichen, stehen mir zwei Möglichkeiten zur Verfügung: das Feld „CC“ und das Feld „BCC“. Trage ich in die Felder „An“ oder „CC“ mehrere Empfänger ein, sind die Empfängerdaten (E-Mail-Adressen) für alle Empfänger sichtbar. Hierbei spricht man von einem „offenen Verteiler“. Nutze ich dagegen das Feld „BCC“, sind die Empfängerdaten verborgen.

Wann wird das Thema datenschutzrelevant? Kommuniziere ich ausschließlich im privaten Bereich, dann muss ich mir über das Thema „Datenschutz“ keine Gedanken machen (siehe oben). Kommuniziere ich als Privatperson mit Firmenmitarbeitern, mit Mitarbeitern im öffentlichen Bereich oder mit Mitgliedern in Vereinen, dann findet bereits die DS-GVO Anwendung. Zweitens geht es um die Frage: Ist ein Rückschluss auf eine natürliche Person möglich? E-Mail-Adressen in der Form info@… oder kontakt@… sind hierbei also nicht relevant. Haben E-Mail-Adressen aber die Form ulf.tschech@…, dann sieht die Welt anders aus. Hier greift die DS-GVO.

Im besagten Fall des Herrn aus Merseburg kamen zwei Sachverhalte zusammen: 1. Er benutzte einen offenen Verteiler. 2. Er schrieb hunderte Personen mit personenbezogenen E-Mail-Adressen an. Das Ergebnis: Ein Bußgeld in Höhe von über 2.500 Euro.

Wer als Mitarbeiter oder Vereinsmitglied E-Mail-Verteiler benutzt, muss diese immer als geschlossenen/verdeckten Verteiler gestalten. Die Adressen ins Feld „BCC“ kann ja nun wirklich kein Thema sein.

Lehrer und WhatsApp

Messenger erlauben eine schnelle und unkomplizierte Kommunikation mit einzelnen Personen oder mit Personengruppen. Für Lehrer scheint das eine attraktive Möglichkeit zu sein, mit Schülern und Eltern in Kontakt zu bleiben. Der in Deutschland am häufigsten genutzte Messenger-Dienst ist WhatsApp. Und damit beginnen auch schon die Schwierigkeiten.

Weine Meinung dazu vorweg: Finger weg!

Das größte Problem aus meiner Sicht ist der Datenschutz. Sicherlich ist die von WhatsApp verwendete Ende-zu-Ende-Verschlüsselung toll. Damit werden die Kommunikationsinhalte geschützt. Ich sehe eher den Umgang mit Adressdaten als Problem. Ohne dass es eine aktive Einwilligung gibt, können Personen in eine Gruppe aufgenommen werden. Natürlich kann man die Gruppe wieder verlassen. Aber einmal drin in der Gruppe, stehen die Kontaktdaten allen zur Verfügung. Das Adressbuch wird auf Servern gespeichert, die sich in einem unsicheren Drittstaat (USA) befinden. Die DS-GVO verbietet das.

Mein zweites Problem ist eher „weicher“ Natur. Eine WhatsApp-Kommunikation bringt permanente Erreichbarkeit mit sich. Es erfordert schon ein hohes Maß an Konsequenz, Nachrichten nicht sofort zu beantworten. Eine Trennung zwischen Arbeitswelt und Privatem fällt schwer.

Ich habe mir im Titel Lehrer ausgewählt, weil das der Arbeitsbereich ist, in dem ich meine Brötchen verdiene. Meine Argumente gelten jedoch genau so für Ätzte, Therapeuten und andere Berufsgruppen, die mit Menschen im beruflichen Umfeld kommunizieren.

Öffentlichkeitsarbeit und Fotos

Die unterschiedlichsten Maßnahmen aus dem Bereich Öffentlichkeitsarbeit werden heute meist von Fotos begleitet. Fotos, die in sozialen Netzwerken gepostet oder auf Websites veröffentlicht werden.

Zunächst einmal gilt: Digitale Fotos, die natürliche Personen abbilden, fallen unter die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO). Ich möchte ausdrücklich darauf hinweisen, dass es hierbei nicht um Fotos im privaten Umfeld geht. Für solche Fotos gilt lt. Art. 2 Abs. 2 Buchstabe c DS-GVO die Datenschutz-Grundverordnung nicht. Kindern (natürliche Personen vor vollendetem 14. Lebensjahr) wird im Zusammenhang mit Fotos für Öffentlichkeitsarbeit ein besonderes Schutzbedürfnis zuerkannt.

Bei Kindern kann davon ausgegangen werden kann, dass die Betroffeneninteressen überwiegen. Sie sollten weder fotografiert noch die erzeugten Fotos online veröffentlicht werden. Für alle anderen Fotos mit natürlichen Personen bedarf es einer Rechtsgrundlage. Hierbei hilft uns Art. 6 Abs. 1 DS-GVO weiter.

Eine einfache Möglichkeit besteht darin, die Einwilligung der abgebildeten Personen einzuholen (Art. 6 Abs. 1 Buchstabe a DS-GVO). Die Einwilligung muss aus freien Stücken erfolgen und sie muss dokumentiert sein. Das kann durch ein kleines Formular geschehen, welches die abgebildeten Personen unterschreiben. Eine Einwilligung kann z. B. bei Tagen der offenen Tür eingesetzt werden.

Bei Messen kommt es immer wieder vor, dass der Messestand mit Besuchern fotografiert wird. In solchen Situationen sollte eine Interessenabwägung (nach Art. 6 Abs. 1 Buchstabe a DS-GVO) vorgenommen werden. Bei dieser muss von den „vernünftigen Erwartungen“ der betroffenen Personen ausgegangen werden (Erwägungsgrund 47 DS-GVO). Kann ich als Messebesucher davon ausgehen, dass hier Fotos gemacht werden? Diese Frage kann mit „Ja“ beantwortet werden. Auf Messen ist also eine Einwilligung nicht erforderlich. Wenn Besucher auf dem Messestand allerdings nicht fotografiert werden möchten, muss diesem Wunsch entsprochen werden. Bereits erzeugte Fotos müssen demzufolge dann auch gelöscht werden.

Abgebildete Personen können überhaupt immer von ihrem Widerrufsrecht gebrauch machen. Die entsprechenden Fotos müssen dann zeitnah (innerhalb von 72 Stunden) gelöscht werden.

Zusammenfassend kann man also sagen, dass weiterhin Fotos im Rahmen von Öffentlichkeitsarbeit erzeugt und verwendet werden können. Allerdings müssen einige Rahmenbedingungen beachtet werden.