Am 25. Mai 2018 wurde die DSGVO wirksam, also gibt es die DSGVO bereits mehr als zwei Jahre.
Große Boulevard-Blätter schrieben in der Zwischenzeit über den „Datenschutz-Wahnsinn“ im Hinblick auf geschwärzte Fotoalben in Kitas und Schulen oder die Namen auf Klingelschildern.
Doch vor allem den Aufsichtsbehörden im Datenschutz wurde bzw. wird oftmals das Fehlen einer gewissen Realitätsnähe vorgeworfen.
Mittlerweile bietet sich ein etwas anderes Bild:
Die Aufsichtsbehörden zeigen sich an vielen Stellen der Beratung und in ihren Ausführungen erfreulich praxisnah.
Und während der Corona-Pandemie lassen sie sogar zeitweise „Milde walten“, indem beispielsweise zurzeit in Hamburg keine Bußgelder erlassen und andernorts der Einsatz von Videokonferenztools in Schulen nicht beanstandet wird.
In NRW heißt es in einer Pressemitteilung der Aufsichtsbehörde vom 18. Mai 2020 sogar sehr verständnisvoll:
„Die Corona-Krise ist nicht der richtige Zeitpunkt, um abschließende Lösungen zum Einsatz privater Endgeräte im Schulbereich zu finden.
Gerade auch hier ist die Aufrechterhaltung der Arbeitsfähigkeit und der Kommunikationsmöglichkeiten trotz dieses außergewöhnlichen, in diesen Auswirkungen nicht vorhersehbaren Ereignisses essentiell, da ansonsten andere Risiken für die Rechte und Freiheiten natürlicher Personen drohen.“
Es gibt noch weitere positive Beispiele, die Erwähnung finden und ein wenig die Furcht vor dem „Datenschutz-Monster“ nehmen sollten.
Schriftformerfordernis beim AVV
Anfänglich wurde diskutiert, ob ein AV-Vertrag von den Vertragsparteien schriftlich zu unterschreiben ist und das (strenge) deutsche Schriftformerfordernis gilt.
Im 48. Tätigkeitsbericht führt der LfDI Hessen zur Schriftform des Vertrages über die Auftragsverarbeitung nach Art. 28 DSGVO aus:
„Mit der in der DSGVO angeordneten Schriftform soll sichergestellt werden, dass die Beteiligten die Möglichkeit haben, sich dauerhaft und zuverlässig über den Inhalt des Auftragsverarbeitungsvertrages oder einer einseitigen Verpflichtungserklärung zu informieren. Diese dauerhafte Informationsfunktion erfüllt auch die Textform, wie sie in § 126b BGB geregelt ist (Palandt, a.a.O.).
Der Austausch von Computerfaxen oder E‑Mails mit oder ohne PDF-Anhang genügt daher dem Schriftformerfordernis nach Art. 28 Abs. 9 DS-GVO.
Die Auftragsverarbeiter:innen könnten auch einen Vertragstext auf ihrer Webseite einstellen.
Die Verantwortlichen könnten dann die Annahmeerklärung durch Anklicken eines Kästchens wirksam abgeben.
In diesem Fall müsste sichergestellt sein, dass die Verantwortlichen die Verträge speichern und ausdrucken können. Die DS-GVO verlangt nicht, dass ein Download tatsächlich erfolgt. [..]“
Danach sind also übliche Vorgänge des Geschäftslebens und elektronische Konzepte zulässig, die insgesamt die Abwicklung der AVV vereinfachen.
Umsetzung eines Löschkonzepts?
Das vielseits geforderte Löschkonzept, insbesondere dessen Umsetzung wirft nach wie vor viele Fragen auf. Der LfDI in Rheinland-Pfalz schreibt auf der Webseite der Aufsichtsbehörde in den FAQ für „Vereine“ hierzu jedoch sehr einleuchtend:
„Bezüglich des Löschens von Daten innerhalb einer bestehenden Datensicherung ist es ausreichend sicherzustellen, dass die möglicherweise nur noch in der Datensicherung vorhandenen personenbezogenen Daten im Rahmen der Datensicherungsstrategie nach einem festgelegten Zeitpunkt aus allen Backups entfernt werden.
https://www.datenschutz.rlp.de/de/themenfelder-themen/vereine/
Die Datensicherungsstrategie sollte im Rahmen eines entsprechenden Konzeptes schriftlich dokumentiert sein. Datenträger bzw. deren Inhalte sind sicher aufzubewahren und nur Berechtigten im Rahmen ihrer Aufgabenerfüllung zugänglich zu machen.
So kann auf die regelmäßige Dokumentation einzelner Löschvorgänge verzichtet und die erneute Verarbeitung personenbezogener Daten im Rahmen eines Löschvorgangs vermieden werden.“
Hiermit wird ein praxisgerechter Weg aufgezeigt, der die Verantwortlichen nicht vor immense Hürden stellt und das „Unmögliche“ fordert.
Datenschutz bei Fotoaufnahmen
In den ersten Wochen unter der DSGVO stürzten sich viele Medien und Kritiker:innen auf die Rechtmäßigkeit oder eher Unrechtmäßigkeit der Anfertigung und Veröffentlichung von Fotoaufnahmen. Die DSGVO wurde so interpretiert, dass fortan Menschen nur nach (schriftlicher) Einwilligung abgebildet und deren Fotos verarbeitet werden dürften. Die Menschen ließen ihre Fotokameras lieber zuhause, anstatt sie in den Urlaub mitzunehmen.
Allerdings präsentierte der LfDI aus Baden-Württemberg, Dr. Stefan Brink, im September 2019 zu diesem Thema eine sehr gute Handreichung.
Dort ist erst einmal klar erklärt, wann für Fotograf:innen überhaupt erst die DSGVO gilt.
Auch wird das berechtigte Interesse als Rechtsgrundlage der Verarbeitung der Fotos von größeren Veranstaltungen recht praxisnah verstanden, sodass in diesen Fällen keine Einwilligung der Betroffenen einzuholen sei:
„Bei einer größeren Veranstaltung auf Einladung dürfte die Erwartungshaltung der Gäste und der an der Durchführung Beteiligten regelmäßig dahin gehen, dass eine Dokumentation in Form von Fotografien stattfinden wird.
Handreiche „Fotografieren und Datenschutz“ vom LfDI Baden-Württemberg
Die betroffene Person muss möglicherweise auch mit einer internen Verwendung der Fotos rechnen, jedoch gehen die vernünftigen Erwartungen nicht dahin, dass die Fotos anschließend veröffentlicht werden.
Ebenso wenig muss die betroffene Person mit einer werblichen Verwendung der Fotos rechnen. Das kann bei öffentlich beworbenen Veranstaltungen anders zu bewerten sein.“ (S. 5 der Broschüre).“
Auch andere Datenschützer:innen gehen diesen Weg und stützen die Fotoaufnahmen bei Massenveranstaltungen oder „Firmen-Feiern“ auf das berechtigte Interesse bzw. sehen von der Einwilligungslösung ab.
Social Media von öffentlichen Stellen
Alle Welt will in Social Media präsent sein, natürlich auch die Behörden und Ämter.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof Dr. Dieter Kugelmann, veröffentlichte vor wenigen Tagen den aktualisierten „Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen“, den wir bereits im März bei uns im Blog vorgestellt hatten.
Einige Fragen sind hiermit geklärt und das Medium „Facebook“ weniger verteufelt als einst angenommen.
Apropos Social Media:
Der LfDI von Rheinland-Pfalz hat vor wenigen Tagen Muster für die Datenschutzerklärung auf Facebook und Twitter sowie weitere Hinweise hierzu auf der entsprechenden Unterseite veröffentlicht.
Hier darf sich jedermann bedienen und es spekulieren viele Jurist:innen bereits: wären diese Anbieter verboten, würde es wohl keine offiziellen Muster geben, oder?
WhatsApp Business bei Behörden?
Zu einem weiteren, sehr relevanten Thema zählt seit geraumer Zeit der Einsatz von WhatsApp im Kontext der Kommunikation mit Kund:innen oder Interessent:innen.
Im von der Landesbeauftragten für Datenschutz und Informationsfreiheit im Saarland, Frau Monika Grethel, veröffentlichten Tätigkeitsbericht des Saarlandes für das Jahr 2019 findet sich eine bemerkenswert klare und ausdifferenzierte Prüfung des Einsatzes von WhatsApp Business durch öffentlichen Stellen (siehe ab S. 75 ff.). Alle Kritikpunkte und Bedenken zum Datenschutz werden im mehrseitigen Bericht angesprochen.
Was umfasst alles die Auskunft nach Art. 15 DSGVO?
Die Betroffenenrechte der DSGVO, vor allem das Auskunftsgesuch nach Art. 15 DSGVO sollte vielen Verantwortlichen Schweißperlen auf die Stirn bringen. So kann der oder die Betroffene grundsätzlich eine „Kopie“ der personenbezogenen Daten, die ihn betreffen, einfordern. Die Frage lautet: Was fällt alles darunter? Jede E‑Mail oder sogar jede Notiz?
Im aktuellen Jahresbericht der Berliner Aufsichtsbehörde findet sich ein interessanter Fall eines Auskunftsersuchens einer ehemaligen Mit-Geschäftsführerin, die nach ihrem Ausscheiden unter anderem auch Auskunft über alle sie betreffende E‑Mails geltend gemacht hat.
Die LfDI in Berlin begrenzte dieses Vorhaben (zu Recht) und schreibt hierzu:
„Eine vollständige Herausgabe aller E‑Mails aus dem System des Unternehmens, in denen der Name der Beschwerdeführerin auftaucht, ist schon allein deshalb nicht möglich, weil das Recht auf Herausgabe einer Datenkopie durch die Rechte und Freiheiten anderer Personen beschränkt wird.
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2019-Web.pdf Jahresbericht 2019, S. 119f
In der von der Beschwerdeführerin verlangten E‑Mail-Kommunikation tauchten zahlreiche andere Personen (insbesondere andere Mitarbeitende des Unternehmens und Externe) auf, sodass hier umfangreiche Rückschlüsse auf personenbezogene Daten Dritter möglich gewesen wären, an denen die Beschwerdeführerin zudem kein konkretes Interesse vorgetragen hatte.
Des Weiteren wäre mit einer umfassenden Herausgabe auch die Kenntniserlangung über interne Abläufe, Betriebsgeheimnisse und Know-how des Unternehmens oder der mit ihm verbundenen Unternehmen verbunden gewesen. Dem standen berechtigte Unternehmensinteressen entgegen.“
Diese Eingrenzung ist zu begrüßen und könnte für Erleichterung auf Seiten der Unternehmen führen.
Im Übrigen haben auch mehrere Gerichte (z.B. LG Heidelberg, Az.: 4 O 6/19) bereits zu erkennen gegeben, dass der Auskunftsanspruch nicht uferlos ist und unter Umständen das ganze Unternehmen „lahm“ legen kann.
Alles gar nicht so schlimm?
Aber natürlich stellen die aufgezeigten Beispiele nur eine subjektive Auswahl dar. Es gibt auch weiterhin viele strenge Einschätzungen und Anordnungen der Aufsichtsbehörden.
Doch es lässt sich konstatieren, dass die Aufsichtsbehörden für praxisnahe Lösungen und zeitgemäße Situationen aufgeschlossen sind
Also lassen Sie sich gut beraten.
1 Kommentar