FRANK WERNER
Behördlicher Datenschutzbeauftragter
Neues Anti-Korruption Datenschutz EDV-Sicherheit eGovernment Website Datenschutz Website Impressum
Datenschutz : Berichte

Datenschutzbericht 2018-01

Sehr geehrte Leser,
sehr geehrte Leserinnen,

Dieser Bericht wird der letzte Datenschutzbericht nach altem Recht sein (Datenschutzgesetz NRW). Ab dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung, die einige Fälle anders zu beurteilen erzwingt.

von Januar bis März 2018 war ich mit folgenden Datenschutzfällen beschäftigt.

1. Anfrage eines Bürgers auf Herkunft und Grundlage der Daten eines Wohngeldantrages

Sachverhalt
Ein Bürger ruft in der Verwaltung an und fragt, warum seine Adressdaten der Verwaltung bereits bekannt seien und aus welchem Abgleich diese Daten stammten.

Rechtslage
§ 33 (2) WoGG bestimmt, dass die Wohngeldbehörde einen regelmäßigen Datenabgleich durchführen darf, um Missbrauch zu verhindern.

Lösung
Der Datenabgleich ist rechtmäßig. Dies wurde dem Bürger mitgeteilt.

2. Ändern des Kennworts bei Abwesenheit

Diesen Fall gab es schon öfter. Lösung: wenn auf den Rechnern laut Dienstanweisung private Daten verboten sind, können die Kennwörter an stellvertretende oder nachfolgende Kollegen/-innen einfach herausgegeben werden.

3. Videoüberwachung Sportplatz

Sachverhalt
Das Tiefbauamt beabsichtigt, eine Sportanlage außerhalb der für die Öffentlichkeit (Schulen und Vereine) freigegebenen Zeit per Video überwachen zu lassen. Ziel soll es sein gegen Vandalismusschäden vorzugehen.

Rechtslage
§ 29b DSG NW regelt diese „optisch-elektronische Überwachung“: „Die nicht mit einer Speicherung verbundene Beobachtung öffentlich zugänglicher Bereiche mit optisch-elektronischen Einrichtungen ist zulässig, soweit dies der Wahrnehmung des Hausrechts dient und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen betroffener Personen überwiegen. Das ist bei privater bzw. öffentlicher Videoüberwachung regelmäßig der Fall.

Lösung
Die Überwachung ist also rechtmäßig, wenn drei Bedingungen eingehalten werden: Sie müssten nur bitte ein entsprechendes Schild aufhängen, dürfen nicht in private Bereiche filmen und müssen die Aufnahmen – sofern Sie niemanden auf frischer Tat filmen – nach vier Wochen löschen. Erwischen Sie jemanden, dürfen Sie die Aufnahmen natürlich bis zum Ende des Verfahrens behalten.

4. Ordnungsamt: Akteneinsicht mit Namen und Adressen von Zeugen?

Sachverhalt
Ein Bürger verlangt Akteneinsicht. Die Sachbearbeiterin ist unschlüssig, ob sie vorher die Namen anderer Beteiligter unkenntlich machen muss.

Rechtslage
Maßgeblich ist hier das IFG NW, namentlich der § 9 (3). Er ermöglicht die Bekanntgabe personenbezogener Daten nur im begrenzten Umfang und nur, wenn die betroffene(n) Person(en) als Amtsträger mitgewirkt hat, Gutachter, Sachverständiger oder ähnliches ist. Die Daten der Personen, die aufgedeckt werden sollten, waren aber nicht aus diesem Personenkreis.

Lösung
Es gibt keine Rechtsgrundlage für eine Offenlegung der in den Akten erwähnten Daten. Lediglich geschwärzte Akten dürfen gezeigt werden. Der Antragsteller hat nach negativem Bescheid seinen Antrag bezeichnenderweise kommentarlos zurückgezogen.

5. IFG-Anfrage: Wieviele Verfahren wegen GEZ?

Sachverhalt
Die Vollstreckungsstelle erhält eine Anfrage aus www.fragdenstaat.de. Vom Antragsteller wird verlangt, eine summarische Auskunft über die Anzahl der Verfahren in Sachen „GEZ-Gebühr“ (heute „Beitragsservice“) aufzustellen. Personenbezogene Daten sind nicht von Interesse.

Rechtslage
Das IFG NW ermöglicht es, solche Auskünfte zu erteilen. In § 1 heißt es „Zweck dieses Gesetzes ist es, den freien Zugang zu den bei den öffentlichen Stellen vorhandenen Informationen zu gewährleisten und die grundlegenden Voraussetzungen festzulegen, unter denen derartige Informationen zugänglich gemacht werden sollen.“

Lösung
Die Auskunft kann erteilt werden.

6. Schule: Listen von Ehemaligen

Sachverhalt
Eine Schule möchte zum Zweck von öffentlichen Einladungen und öffentlichen Berichten eine Liste der ehemaligen Mitschüler veröffentlichen. Ist das statthaft?

Rechtslage
Daten sind „Angaben im Sachzusammenhang“. Ein Name „Klaus Müller“ ist, alleine genommen, noch kein Datum. Wird der Name jedoch in einem Zusammenhang genannt („Klaus Müller ist ehemaliger Schüler der XY-Schule“), entsteht ein schützenswertes, personenbezogenes Datum. Zur Veröffentlichung muss eine gesetzliche Grundlage oder eine Einwilligung existieren. Beides ist nicht der Fall.

Lösung
So gern man der Schule wünscht, mit dieser Liste zum Erfolg zu kommen, muss man als Datenschützer leider abraten. Die Schule setzte sich einer Regressforderung aus, sofern jemand klagen sollte. Diese Daten dürfen leider nicht veröffentlich werden. Die Schule behalf sich mit einem Zeitungsaufruf und einer Sammeladresse für Meldungen.

7. Tonbandaufzeichnung Ratssitzungen

Sachverhalt
Der Bereich „Ratsangelegenheiten“ fragt an, ob das Aufzeichnen von Tonbändern (oder vergleichbarer Technik) bei Ratssitzungen statthaft ist.

Rechtslage
Das Aufnehmen von Ratssitzungen auf Tonband ist recht problemlos und sehr üblich.

Es muss

1. in der Geschäftsordnung des Rates erwähnt werden, dass Sitzungen auf Tonband aufgezeichnet werden
2. die Bänder dürfen nur den berechtigten Personen (Schriftführern, Ratsmitgliedern) zugänglich sein
3. die Bänder müssen nach der (abgestimmten) Niederschrift unverzüglich gelöscht werden.

Lösung
Die Geschäftsordnung des Rates muss ergänzt werden, dann steht den Aufnahmen nichts mehr im Weg.

8. Kontaktaufnahme einer Firma mit den Nachbarn

Sachverhalt
Eine Firma fragt in der Verwaltung nach Namen und Anschriften ihrer Nachbarn. Sie möchte die Nachbarn schriftlich über bevorstehende Baumaßnahmen informieren und um Verständnis bitten.

Rechtslage
Das Offenlegen personenbezogener Daten ist nur möglich, wenn die betroffenen Personen ihre Einwilligung gegeben haben oder wenn ein Gesetz dies erlaubt. Eine entsprechende Grundlage zu diesem Zweck, z. B. im Baurecht, ist mir nicht bekannt, eine Einwilligung der Nachbarschaft liegt nicht vor.

Lösung
Die Daten dürfen nicht herausgegeben werden. Der Firma wurde empfohlen, einfach nicht adressierte Handzettel manuell in der nächsten Nachbarschaft zu verteilen, was dann m. W. auch gemacht wurde.

9. Illegale Gesprächaufzeichnung

Sachverhalt
In einem Infodienst weist die Stadtverwaltung darauf hin, dass von einzelnen Bürgern mit Mobiltelefonen Tonaufzeichnungen angefertigt wurden, ohne die Erlaubnis aller Beteiligten einzuholen. Abgesehen davon, dass das Persönlichkeitsrecht eines anderen dadurch verletzt wird, sieht das Datenschutzgesetz ebenfalls Strafen vor:

Rechtslage
§ 34 (Fn 9)
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer entgegen den Vorschriften über den Datenschutz in diesem Gesetz oder in anderen Rechtsvorschriften des Landes Nordrhein-Westfalen personenbezogene Daten, die nicht offenkundig sind,
1. erhebt, speichert, zweckwidrig verwendet, verändert, weitergibt, zum Abruf bereithält oder löscht,
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder andere veranlasst.
[…]
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 100.000 Deutschen Mark oder 50.000 Euro geahndet werden.

Lösung
Wenn neben illegalen Aufzeichnungen auch z. B. Akten abfotografiert oder Gesprächsinhalte veröffentlicht würden, könnten die Bürger auch nach dem Datenschutzgesetz belangt werden.

10. Videoüberwachung einer Kita

(siehe Punkt 3 Videoüberwachung Sportplatz)

11. Irreführende Werbung für die Musikschule?

Sachverhalt
Eine Firma wirbt damit, dass ihr Programm die Anforderungen der neuen EU-DSGVO einhält: "Recht auf Vergessen werden". Das "Recht auf Vergessen werden" heißt aber so, weil man verlangen kann, dass ausnahmslos *alle* Daten einer Person gelöscht werden. Das betrifft also auch andere Ämter und andere Verfahren.

Rechtslage
Das „Recht auf Vergessen werden“ des Art. 17 EU-DSGVO betrifft alle Verfahren einer Verwaltung – nicht nur eines.

Lösung
Was jemanden von dem neuen Verfahren überzeugt, kann fachlich begründet sein. Datenschutzrechtlich sehe ich hier keinen Vorteil.

12. Einrichtung von Daten in der Cloud

Sachverhalt
Zwecks „asynchroner Datenübertragung“ (nicht gleichzeitiger Bearbeitung einer Datei durch zwei Personen) soll eine Datei mit personenbezogenen Daten in die Cloud, genauer „Google Drive“, gestellt werden. Bestehen da datenschutzrechtliche Bedenken?

Rechtslage
GOOGLE ist sicher kein Muster an Datenschutz. Zwar wird ab dem 25.05.2018 mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) den USA ein „Freifahrtschein“ ausgestellt (formell durch ein sog. „Unbedenklichkeitsbeschluss“ der EU-Kommission), dennoch verstößt die Speicherung von personenbezogenen Daten derzeit noch gegen deutsches Datenschutzrecht, es sei denn, die betroffenen Personen haben zugestimmt.

Ein kleiner juristischer „Trick“ in diesem Zusammenhang ist die Speicherung per Kennwort. Privat nutze ich auch diesen Trick, denn ich habe nicht die Einwilligung meiner Freunde und Bekannten, jedoch stelle ich eine verschlüsselte Datei auch nicht „einfach zur Verfügung“ sondern schütze sie ja. Wer sie entschlüsselt, der „hackt“ ja juristisch und bewegt sich daher sowieso außerhalb der Gesetze.

Lösung
Speichern Sie also Office-Dokumente, die personenbezogene Daten beinhalten, einfach mit Kennwort ab und Sie bewegen sich datenschutzrechtlich auf sicherem Boden.

13. Anfrage einer Anwaltskanzlei auf Übermittlung der Anschrift eines Schuldners

Sachverhalt
Eine Rechtsanwaltskanzlei fragt an, ob wir die Anschrift eines Bürgers übermitteln, der erhebliche Schulden bei ihrer Mandantschaft hat. Eine Rechtsgrundlage hat die Kanzlei nicht angegeben. Stattdessen wird anwaltschaftlich versichert, dass die Daten nur zur Durchsetzung der Forderung genutzt werden.

Rechtslage
Es hat einen Grund, warum ausgerechnet eine Rechtsanwaltskanzlei mit fünf promovierten Anwälten keine Rechtsgrundlage für die Abfrage nennt: es gibt nämlich keine. Zwar können Daten übermittelt werden, um Forderungen zu begleichen. Das betrifft jedoch nur öffentliche Forderungen und keine privaten. Eine anwaltschaftliche Versicherung ist im Rechtsverkehr nur zur Erklärung einer Mandantschaft, nicht jedoch zur Durchsetzung einer Datenabfrage nutzbar.

Lösung
Der Kanzlei wurde mitgeteilt, dass keine Rechtsgrundlage für die Forderung bestünde. Die Kanzlei hat sich nicht mehr gemeldet.

14. Einrichten einer Seite im sozialen Netzwerk „Facebook“

Sachverhalt
Zur Steigerung der Kommunikation und Information mit den Bürgern möchte eine Stadt, wie andere Städte inzwischen auch, eine Facebookseite einrichten. Eine solche Seite ermöglicht es, mit Bürgern und Interessenten, die in der entsprechenden Abrufgruppe dieser Seite („Geschlossene Gruppe“) sind, zu kommunizieren und ihnen Informationen zu präsentieren. Bestehen datenschutzrechtliche Bedenken, insbesondere vor dem Hintergrund der jüngsten Ereignisse um „Facebook“?

Rechtslage
„Facebook“ ist ein amerikanisches Unternehmen, das in Deutschland seine Dienste anbietet. Wer „Facebook“ beitreten will, der muss die Kenntnis der Nutzungsbedingungen bestätigen. Diese Nutzungsbedingungen beschreiben, welche Daten gesammelt und wie sie verwendet werden. Personenbezogene Daten werden zwar auf den Facebook-Servern gespeichert, jedoch nicht herausgegeben. „Facebook“ verkauft nämlich keine Daten sondern Auswertungen. Alle personenbezogenen Datenübermittlungen erfordern – laut FB selbst – eine separate Erlaubnis:

„Wir geben ohne deine Erlaubnis keine Informationen an Werbe-, Mess- oder Analysepartner weiter, die dich persönlich identifizieren (solche sog. personenbezogenen Informationen sind Informationen wie Name oder E-Mail-Adresse, mit denen du eigenständig kontaktiert oder identifiziert werden kannst). Wir können diesen Partnern Informationen über die Reichweite und Wirksamkeit ihrer Werbung zur Verfügung stellen, ohne Informationen bereitzustellen, die dich persönlich identifizieren, oder wenn wir die Informationen zusammengefasst haben, so dass sie dich nicht persönlich identifizieren.

Beispielsweise können wir Werbetreibenden sagen, wie erfolgreich ihre Werbeanzeigen sind oder wie viele Personen ihre Werbeanzeigen aufgerufen oder eine App installiert haben, nachdem sie eine Werbeanzeige gesehen haben. Oder wir können diesen Partnern nichtpersonenbezogene demografische Informationen (wie z. B. eine 25 Jahre alte Frau in Madrid, die sich für Software Engineering interessiert) bereitstellen, damit sie ihre Zielgruppe bzw. ihre Kunden besser verstehen.“ (Nutzungsbedingungen, Datenschutzrichtlinien „Facebook“).

Der teilnehmende Bürger gibt also zunächst nur die Erlaubnis, seine persönlichen Daten dem Unternehmen FB anzuvertrauen. Dieses gewährt jedoch, die Daten nicht zu übermitteln. Sinn der Sache ist zu verhindern, dass andere Unternehmen der Konkurrenz („Instagram“, „Amazon“, „Google“ etc.) diese Daten ankaufen und auswerten könnten. Das kann nicht im Sinne von „Facebook“ sein, denn die Konkurrenz könnte dann ebenso zielgerichtete Werbung verkaufen. Und „Facebooks“ Daten dürften, aufgrund der vielen persönlichen und sachlichen Beziehungen seiner Mitglieder zu Freunden, Marken, Urlaubsorten etc., besonders umfassend, präzise und aktuell sein.

Der neuerliche „Facebook-Skandal“  wurde aufgrund eines Vorfalls ausgelöst, der genau diesen Richtlinien widerspricht. Eine Firma, die durch eine besondere „Facebook-App“ Daten automatisiert auswerten wollte, um Werbekunden zu generieren, entdeckte eine Sicherheitslücke, durch die der direkte Zugriff auf die personenbezogenen Daten von FB möglich wurde. Man konnte also nicht nur Auswertungen abrufen, sondern auch personenbezogene Daten der Kunden, die FB ja gerne hüten möchte. Der Schaden war auch für FB-Verhältnisse beträchtlich: betroffen waren wohl 50 Mio. Benutzerprofile (von insgesamt 980 Mio weltweit).

Die FB-Daten werden (vermutlich) nicht in Deutschland, wahrscheinlich nicht mal in Europa gespeichert. Das ist vor dem Hintergrund der kommenden EU-Datenschutzgrundverordnung zu prüfen. Denn diese bestimmt, dass Daten in ein Drittland (also ein Land außerhalb der EU) nur übermittelt werden dürfen, wenn ein sog. Unbedenklichkeitsbeschluss der EU-Kommission vorliegt. Die EU-DSGVO gilt allerdings in voller Breite erst ab dem 25.05.2018, 0:00 Uhr.

Derzeit gibt es bereits den „Datenschutz Entsprechungsbeschluss“ der EU-Kommission (https://www.privacyshield.gov/Program-Overview) vom 12.07.2016. Damit sind Datenübertragungen in die USA nach dem vollen Inkrafttreten der EU-DSGVO möglich.

Lösung
Der Erstellung einer „Facebook-Seite“ steht datenschutzrechtlich nichts im Wege. Das Angebot sollte – aus anderen Gründen – nicht nur auf Facebook beschränkt sein, damit die Bürger nicht Mitglied eines bestimmten sozialen Netzwerks sein müssen, um interaktiv mit ihrer Stadtverwaltung zu kommunizieren.

Ich danke Ihnen für Ihr Vertrauen und wünsche Ihnen und Ihrer Familie ein schönes Osterfest!

Mit freundlichen Grüßen
Im Auftrag

Frank Werner
Datenschutz
eGovernment
Korruptionsvorbeugung

Anonyme Korruptions-Hotline des LKA: 0800 567 7878



Zugehörige Projekte: KEINE (Dieser Eintrag ist keine Kategorie)
© Copyright 2016, 2018 Frank Werner, Kontakt: Frank Werner, Ihre IP: 54.144.14.134, Sprechhilfe, Verschlüsselung, Datenschutzprüfung