Guten Tag und herzlich willkommen in meinem Datenschutz-Blog.
Spätestens seit dem 25. Mai 2018, dem Tag, an dem die Datenschutz-Grundverordnung der Europäischen Union in Kraft trat, ist das Thema Datenschutz zu einem festen Begleiter geworden.
Ich greife verschiedene Themen auf und stelle sie hier vor. Bei Fragen kann ich unter ulf.tschech@ihrdatenschutzbeauftragter.info kontaktiert werden.
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kelber gab in dieser Woche eine Stellungnahme zur Datenstrategie der Bundesregierung ab.
Bereits sein Einstieg regt zum Nachdenken an: „eine Datenstrategie innerhalb einer Digitalisierungsstrategie muss zwingend eine klare Linie beim Datenschutz beinhalten. Datenschutz ist in Europa von den Grundrechten abgeleitet und nicht optional.“ Datenschutzmaßnahmen sind in der Europäischen Union eben keine nette Nebensächlichkeit. Sie sind grundlegend. Das vergessen wir zu leicht. Hinterfragen wir wirklich immer unser Tun unter diesem Gesichtspunkt? Wie gehe ich mit Schülerdaten, mit Patienten- oder mit Kundendaten um? Sensibilisiere ich mein Umfeld zu Fragen des Datenschutzes?
„Bereits heute sind Daten nicht mehr auf ein paar Informationen über unsere Person beschränkt. Sie ermöglichen ein vollständiges Abbild des Menschen, seiner Familie und Freunde, seiner Ausbildung und Arbeit, seiner Hobbys, Krankheiten, Vorlieben und Schwächen, seines täglichen Bewegungsradius, seine Einkäufe, seine politischen und religiösen Einstellungen, seines Gemütszustands usw. Das ist angesichts der Verschränkung des digitalen und des nicht-digitalen Lebens von herausragender Bedeutung. heute sind Daten nicht mehr auf ein paar Informationen über unsere Person beschränkt. Sie ermöglichen ein vollständiges Abbild des Menschen, seiner Familie und Freunde, seiner Ausbildung und Arbeit, seiner Hobbys, Krankheiten, Vorlieben und Schwächen, seines täglichen Bewegungsradius, seine Einkäufe, seine politischen und religiösen Einstellungen, seines Gemütszustands usw. Das ist angesichts der Verschränkung des digitalen und des nicht-digitalen Lebens von herausragender Bedeutung.“
Stellungnahme des Bundesbeauftragten Ulrich Kelber
Zu oft wird Datenschutz als Hemmnis in Digitalisierungsprozessen gesehen. Dieser Logik folgend müsste das gesamte Silicon Valley in Aufruhr sein. Hat doch gerade erst Kalifornien in einem Alleingang ein Datenschutzrecht beschlossen, das in einigen Punkten schärfer eingreift, als die DS-GVO. Haben wir verzweifelte Aufschreie gehört? Droht eine gigantische Abwanderung von Konzernen aus Kalifornien? Nichts der Gleichen passiert.
Datenschutz und Informationsfreiheit müssen m. E. stärker im Unterricht eine Rolle spielen. Lehrer haben eine Vorbildfunktion auch unter diesen Gesichtspunkten. Wenn wir unsere Daten zu schätzen wissen, dann können wir auch den Schutz unserer Daten würdigen.
Der Bundesbeauftragte für Datenschutz und informationelle Selbstbestimmung hat gegenüber der 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.550.000 Euro verhängt. Die Telefonhotline von 1&1 gab umfangreiche Auskünfte zu Kundendaten. Eine Identifikation erfolgte lediglich über Name und Geburtsdatum. Obwohl sich 1&1 einsichtig zeigte und Maßnahmen ergriff („…bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren.“ aus der Kunden-E-Mail), fiel das Bußgeld doch bemerkenswert hoch aus.
Der Bundesbeauftragte dazu:
„Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden.“ (https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html)
Die Adventszeit soll uns eigentlich Besinnlichkeit bescheren. Gelichzeitig jedoch wollen wir Geschäftspartner mit einem weihnachtlichen Gruß erfreuen. An dieser Stelle nimmt das Drama seinen Anfang. Was ist schon ein herzerwärmender Weihnachtsgruß ohne persönliche Ansprache des Empfängers. Und schwupps – schon ist man von weihnachtlicher Beschaulichkeit bei der Datenschutz-Grundverordnung (DS-GVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) gelandet.
Weihnachtliche Grüße, die per E-Mail versandt werden, sind werbende Maßnahmen und unterliegen somit den Regelungen des UWG (§ 7 Abs. 2 Nr. 3). Ohne vorliegende und dokumentierte Einwilligung kann die Weihnachtspost abgemahnt werden. In Bezug auf den DS-GVO könnte man an dieser Stelle mit Art. 6 Abs. 1 Buchstabe f – berechtigtes Interesse – argumentieren. Schließlich will man sich ja den allgemeinen Gepflogenheiten der Weihnachtspost unterordnen. Das UWG hat man damit allerdings immer noch an den Hacken. Nutzt man E-Mail als Kommunikationsweg, sollte man die Gelegenheit nutzen und die Empfänger auf ihr Widerspruchsrecht hinweisen.
Die DS-GVO kommt dann ins Spiel, wenn man mit einem offenen E-Mail-Verteiler arbeitet. Klare Empfehlung an dieser Stelle: BCC-Feld für alle Empfänger nutzen. Das Thema „Offener E-Mail-Verteiler“ hatte ich schon mal ins Blickfeld gerückt.
Spätestens seit Wirksamwerden der DS-GVO, aber eigentlich auch schon früher, sollte klar sein: Ich darf nicht einfach so Geburtstagslisten in Unternehmen oder in Einrichtungen führen und aushängen. Der Bayrische Landesbeauftragte für Datenschutz hat das Thema in seiner Kurzinformation 26 aufgegriffen.
Ich möchte hier die wesentlichen Aussagen kurz zusammenfassen:
Das ist ein ziemlich hoher Aufwand für das Führen und das betriebsinterne Veröffentlichen einer Geburtstagsliste. Ich finde es ok, wenn eine relativ hohe Schwelle für so eine Liste besteht.
Die Wohnung eines Drohnenbesitzers wurde von der Thüringer Polizei durchsucht. Dabei wurden Datenträger beschlagnahmt. Der Durchsuchung gingen Beschwerden von Nachbarn voraus. Diese hatten angegeben, dass die Drohne ohne Sichtkontakt vor allem in den Abendstunden geflogen wurde. Gärten wurden überflogen, Schlafzimmerfenster könnten gefilmt worden sein.
Die Gefahr von Eingriffen in die Privatsphäre sah der Landesbeauftragte für Datenschutz in Thüringen als so groß an, dass dem das zuständige Gericht folgte und die Durchsuchung veranlasste.
Am 6. September 2019 musste sich das Verwaltungsgericht Koblenz mit einer Situation aus dem Schulalltag beschäftigen, in der es um das Recht am eigenen Bild im Schulalltag ging.
Ein Lehrer fühlte sich in seinen Persönlichkeitsrechten missachtet. Eine Fotografin hatte von zwei Klassen Fotos gemacht, auf denen auch der Lehrer zu sehen ist. Diese beiden Fotos wurden im Schuljahrbuch veröffentlicht. Genau an dieser Stelle sah der Lehrer seine Persönlichkeitsrechte missachtet. Dabei berief er sich auf § 22 des Kunsturhebergesetzes (KUG): „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden…“
Das Verwaltungsgericht lehnte die Klage ab. Alle Lehrer waren über den Fototermin und über den Verwendungszweck der Fotos informiert. Beim Erzeugen der Fotos hätte der Lehrer die Chance gehabt, aus dem Bild zu treten. Hinzu kommt, so das VG Koblenz, dass in diesem Fall § 23 des KUG herangezogen werden kann: „(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der Zeitgeschichte…“ Und genau diesen Ausnahmetatbestand sieht das Gericht erfüllt.
Stellt sich noch die Frage: Warum hat der Lehrer nicht auf Grundlage der DS-GVO geklagt? Seine Klage richtete sich ausschließlich gegen die Veröffentlichung von Fotos, auf denen seine Person gezeigt wurde. Er forderte den Rückruf aller verkauften Jahrbücher, das Unkenntlich machen seiner Person und das Schwärzen seines Namens in der Bildunterschrift. Die Veröffentlichung von Personenbildnissen wird im KUG geregelt und ist kein Problem der DS-GVO.
Was kann man für den Schulalltag aus dieser Situation ableiten?
Am 1. Oktober 2019 hat der EuGH ein wichtiges Urteil zum Umgang mit Cookies auf Websites erlassen. Bisher gab es diesbezüglich ja ein ziemliches Rumgewurschtel, zumindest in Deutschland.
Was bestimmt das Urteil?
Da werden einige Websitebetreiber wohl schnell handeln müssen.
Die DS-GVO stärkt Betroffenenrechte. Das haben wir besonders um den 25. Mai 2018 herum sehr oft gehört. Daran kann man zweifeln. Man kann das Thema abtun. Die Praxis jedoch bestätigt die Tatsache, dass Betroffene und ihre Rechte ernst genommen werden.
Am 26. Juli diesen Jahres musste sich das OLG Köln mit der Frage befassen, wie weit Betroffenenrechte denn nun genau gehen. Im konkreten Fall ging es um Telefonnotizen, die eine Versicherung zu einem Kunden angelegt hatte. Der Kunde wollte gemäß Art. 15 DS-GVO Auskunft über diese Telefonnotizen. Die Versicherung wollte die aber nicht Beauskunften.
In der Schnellfassung: Telefon- und Gesprächsnotizen fallen unter das Auskunftsrecht. Im Ergebnis sollte man sich also sehr gut überlegen, wozu man auch Bemerkungsfelder nutzt.
In seiner Sitzung am 27. Juni 2019 nahm der Bundestag den Gesetzesentwurf zur Anpassung des Datenschutzrechts an. Mit diesem Gesetzesentwurf soll eine Vereinfachung für Vereine, klein- und mittelständische Unternehmen sowie für ärztliche und therapeutische Praxen geschaffen werden.
Ein Datenschutzbeauftragter ist nach dieser Neufassung erst zu bestellen, wenn 20 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Na das klingt doch ganz nach einem großen Wurf. In der Realität ergeben sich aus meiner Sicht zwei bemerkenswerte Probleme. In die Ermittlung der Grenze von 20 Beschäftigten ist die Verarbeitung im Auftrag einzubeziehen. Worin aus meiner Erfahrung das viel größere Problem besteht: Eine rechtssichere Datenschutzdokumentation muss ja trotzdem erstellt werden. Das macht nun die verantwortliche Person selbst?
Ob es sich hierbei tatsächlich um eine Erleichterung für die Praxis handelt, bleibt abzuwarten.