Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. Mai 2020

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich hoffe, dass Sie weiterhin alle gesund sind und unbeschadet durch die derzeitige Krise kommen!

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Online Lernportale und der Datenschutz.
  2. Tätigkeitsbericht des Datenschutzzentrums Schleswig-Holstein für 2019
  3. Meldung von Datenpannen durch Behörden und öffentliche Einrichtungen.

1. Online Lernportale und der Datenschutz

Lernportale im Internet sind bei vielen Schülern in Zeiten der Corona-Krise eine Möglichkeit des digitalen Lernens. Viele werden auch aktiv von Lehrkräften empfohlen und nicht wenige Portale buhlen jetzt geradezu mit kostenlosen Angeboten um unsere Kinder. Natürlich stellt sich auch für die Lernportale die Frage nach dem Datenschutz auf deren Websites. Liest man die Datenschutzerklärungen der Portale, dann sind, den eigenen Angaben nach, alle konform mit der DSGVO. Das sagt jeder Website-Betreiber nur zu gerne von sich selbst. Ob es auch wirklich so ist, kann nur eine Analyse der tatsächlichen Gegebenheiten zeigen.

Für Lernportale gelten über die Bestimmungen des Art. 6 Abs. 1 lit. a.) DSGVO, der vorherigen Einwilligung Betroffener bei der Sammlung von Daten, noch besondere Bestimmungen, da sich die Angebote regelmäßig an Kinder unter 16 Jahren wenden. Nach Art. 8 DSGVO, Bedingungen für die Einwilligung eines Kindes in Bezug auf
Dienste der Informationsgesellschaft, wenn dem Kind das Angebot direkt gemacht
wird, was bei Betreten einer Website durch ein Kind der Natur der Sache nach der Fall
ist, ist die Sammlung und Verarbeitung personenbezogener Daten von Kindern unter
16 Jahren nur nach einer Zustimmung der die elterliche Sorge innehabenden
Personen gem. Art. 6 Absatz 1 lit. a.) DSGVO zulässig.

Das Fazit aus der vorgenannten Tatsache ist letztlich das, dass Lernportale grundsätzlich keine Daten von Kindern sammeln sollten oder geeignete Maßnahmen zur Sicherstellung des Alters, in Verbindung mit einer rechtskonformen Einwilligung, ergreifen müssen. In der Praxis ist das leider selten der Fall. Lernportale, die keine personenbezogenen Daten sammeln und konform mit dem Datenschutz sind, gibt es natürlich. Die Regel sind sie aber leider nicht. Gerade die Anbieter, die in der Corona-Krise jetzt mit kostenlosen Angeboten locken, verfehlen den Datenschutz meistens sehr deutlich. Eine Analyse hat gezeigt, dass viele dieser Portale personenbezogene Daten ohne jede Einwilligung überhaupt sammeln. In einem Fall wird sogar eine Einwilligung vorgetäuscht, die aber technisch gar nicht umgesetzt wird. Ein anderes Portal hat seine Server in den USA stehen und überträgt personenbezogene Daten, ohne jede Einwilligung und Information hierüber, dorthin. Der Artikel 8 DSGVO zum Schutz von Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft, wird meistens komplett ignoriert. Daher ist bei der Auswahl von Lernportalen, insbesondere wenn man diese anderen empfehlen will, vorab eine detaillierte Analyse des Datenschutzes unbedingt erforderlich, wenn nicht so gar die Einholung einer fachkundigen Expertise.

Bis Ende April habe ich bisher gegen acht in Bezug auf den Datenschutz besonders dreiste Anbieter von Lernportalen bei der zuständigen Aufsichtsbehörde ein Verfahren beantragt. Leider haben diese Verfahren eine lange Laufzeit, so dass erste Ergebnisse hieraus nicht vor Mitte 2021 zu erwarten sind.

2. Tätigkeitsbericht des Datenschutzzentrums Schleswig-Holstein für 2019


Aus dem Tätigkeitsbericht des Datenschutzzentrums Schleswig-Holsteins ist zu entnehmen, dass, obwohl Schleswig-Holstein etwas mehr Einwohner als Hamburg besitzt, hier im Vergleich deutlich weniger Beschwerden eingegangen sind. Insgesamt 959 Verfahren wurden von der Behörde 2019 eröffnet, wovon 680 Verfahren sich gegen die freie Wirtschaft und 279 Verfahren gegen Behörden richteten. Es wurden ferner 349 Verfahren wegen so genannter Datenpannen durch verantwortliche Stellen eingeleitet. Täglich erreichen die Datenschutzbehörde mehrere Meldungen von Datenpannen. Ob jede Meldung grundsätzlich zur Eröffnung eines Verfahrens führt, lässt die Behörde offen. Sie verweist aber sehr deutlich darauf, dass auch häufig Datenpannen durch Dritte zur Kenntnis gebracht werden, die nicht pflichtgemäß von der verantwortlichen Stelle gemeldet wurden, und dass ein solches Unterlassen konsequent geahndet wird.

Neben ausführlichen Berichten zum Datenschutz im Landtag, den Behörden und der Verwaltung, insbesondere auch der Polizei, und hier gemachten Beanstandungen, führt das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, wie es korrekt heißt.) für die freie Wirtschaft einige Fälle aus. Hierunter zum Beispiel ein Verlagshaus, welches wegen irreführender Datensammlung für Werbung belangt wurde. In diesem Zusammenhang verweist das ULD auf drei Punkte, nämlich dass
  • bereits im Anschreiben explizit auf die Datenerhebung für Werbezwecke hingewiesen werden muss, 
  • die Kundinnen und Kunden darüber aufgeklärt werden, dass eine Verweigerung der Datenpreisgabe keinen Einfluss auf die bestehende Kundenbeziehung haben darf,
  • und eine vordergründige Zwecksetzung, nämlich die Nutzung der E-Mail-Adresse und der Telefonnummer für Werbezwecke, nicht erst am Ende der Anlage zum Anschreiben beiläufig aufgeführt werden darf.
In einem anderen Fall geht es um einen Sportverband, der Spielberechtigungen, im Rahmen eines neu eingeführten digitalen Spielerpasses, an die Erteilung einer Einwilligung zur Verarbeitung verschiedener personenbezogener Daten und eines digital bereitzustellenden Fotos über das Internet zur Pflicht macht. Wird die Einwilligung nicht gegeben, wird keine Spielerlaubnis erteilt. Einwilligungen müssen jedoch stets freiwillig und ohne Zwang erfolgen, um rechtens zu sein. Daran mangelt es in diesem Fall. Nach Hinweis des ULD auf die Rechtslage, hat sich der Verband umgehend einsichtig gezeigt und seine Satzung sowie Bestimmungen geändert.

Das ULD berichtet über eine Vielzahl an Meldungen von Sportlern, die immer wieder die Anmeldung zu Veranstaltungen bemängeln, bei welchen die Teilnahme an die Einwilligung zur Veröffentlichung von personenbezogenen Daten gebunden ist. Diese Praxis ist nicht rechtens, da die Koppelung an die Teilnahme keine freiwillige zwanglose Einwilligung darstellt. In vielen Fällen holt der Veranstalter nicht einmal eine Einwilligung ein, sondern beruft sich auf ein berechtigtes Interesse. Das ULD führt dazu aus, dass im Einzelfall ein berechtigte Interesse des Veranstalters gegenüber den schutzwürdigen Interessen der Betroffenen tatsächlich nur überwiegen kann, wenn die Bedeutung des Ereignisses und das daraus abzuleitende Informationsinteresse der Öffentlichkeit außerordentlich ist. Eine solche Veröffentlichung, ohne vorherige Einwilligung, ist dann jedoch nur auf die Nachnamen, Vornamen, Vereinszugehörigkeit und in begründeten Ausnahmefällen den Geburtsjahrgang zu beschränken. Darüber hinaus sind die Betroffenen im Vorwege entsprechend zu informieren und über Ihrer Widerrufsrecht zu informieren. Widerruft ein Sportler die Veröffentlichung, darf dieser nicht mit dem Ausschluss an der Veranstaltung oder mit anderweitigen Maßnahmen sanktioniert werden.

In einem anderen Fall hat ein Veranstalter Fotos einer Veranstaltung, auf welchen die Teilnehmer deutlich identifizierbar zu erkennen waren, auf seiner Facebook-Seite veröffentlicht. Eine Einholung einer ausdrücklichen informierten Einwilligung erfolgte nicht. Der Veranstalter gab lediglich einen Hinweis in den Veranstaltungsbedingungen auf seiner Website, das die Teilnehmer sich mit der Veröffentlichung einverstanden erklären und im Nachhinein eine Löschung der Bilder, wenn gewünscht, beim Veranstalter veranlassen können. Das ULD macht klar, dass dieses keine rechtswirksame Einwilligung im Sinne des Artikel 7 DSGVO darstellt. Der besagte Veranstalter zeigte sich einsichtig und änderte seine Verfahrensweise für eine Einwilligung zur Veröffentlichung von Fotos.

Anhand eines weiteren Fallbeispiels befasst sich das ULD mit dem Status der Inkassounternehmen als Auftragsverarbeiter. Eine Auftragsverarbeitung zeichnet sich durch ein weisungsgebundenes Verarbeiten personenbezogener Daten durch einen Auftragnehmer aus, bei dem der Auftraggeber den Zweck der Verarbeitung bestimmt und für den Auftragnehmer nahezu kein eigener Entscheidungsspielraum zur Herstellung eines Verarbeitungsergebnisses verbleibt. In Bezug auf Inkassounternehmen ist hier immer der Einzelfall zu prüfen. Inkassounternehmen sind nicht zwingend Auftragsverwalter. In der Regel wird das Inkassounternehmen nicht als weisungsgebundener Auftragsverarbeiter, sondern vielmehr selbst als datenschutzrechtlich Verantwortlicher tätig, da mit diesem meistens ein weiter eigener Gestaltungsspielraum in der Verarbeitung der übermittelten Daten zur Herbeiführung eines Erfolgs vereinbart wird.

Als letzten Fall aus dem Bericht des ULD möchte ich noch auf den Fax-Versand schutzwürdiger Daten eingehen. Hier ging es konkret um einen Anwalt, der als Berufsgeheimnisträger sensible Dokumente an das allgemein zugängliche Fax-Gerät seines Kunden sandte, wo jeder Mitarbeiter Einsicht in das eingehende Fax nehmen konnte. Es obliegt hier nicht nur dem Empfänger geeignete Sorgfaltsplichten für den Fax-Empfang zu gewährleisten, sondern vor allem auch dem Versender, wenn er schutzwürdige Daten per Fax-Versand übermittelt, sicherzustellen, dass diese nicht in die Hände von Unbefugten gelangen, sondern den berechtigten Empfänger direkt erreichen. Der im konkreten Fall hiervon betroffene Anwalt zeigte sich jedoch unbeeindruckt von dieser Argumentation. Er vertrat die Auffassung, dass solche Maßnahmen von ihm als Absender nicht verlangt werden könnten und er sich darauf verlassen können muss, dass der Empfänger für die Sicherheit und Vertraulichkeit eingehender Faxe Sorge trägt. Dies wird, gemäß dem ULD, jedoch der Verantwortlichkeit des Absenders nicht gerecht, insbesondere dann nicht, wenn es sich beim Absender um einen Berufsgeheimnisträger handelt. Das ULD hat daher eine Verwarnung ausgesprochen. Der Verantwortliche hat hiergegen Klage erhoben. Das Gerichtsverfahren läuft noch.

Den gesamten Tätigkeitsbericht können Sie hier lesen:
https://www.datenschutzzentrum.de/tb/tb38/uld-38-taetigkeitsbericht-2020.pdf

3. Meldung von Datenpannen durch Behörden und öffentliche Einrichtungen

Der Datenschutz gilt gleichermaßen auch für alle Einrichtungen des öffentlichen Rechts, und die Vorschriften der DSGVO sind für diese ebenso verbindlich, wie für die Privatwirtschaft. Gegen eine Behörde kann zwar kein Bußgeld verhängt werden, was aber nicht die Pflicht zum Datenschutz in irgendeiner Form schmälert. Die Datenschutzbehörden aller Bundesländer weisen regelmäßig auf Mängel in den Prozessen rund um den Datenschutz von Behörden und Verwaltungen hin. Ein solcher Mangel liegt auch in der Meldung von Datenpannen. So werden Datenpannen sehr häufig deutlich verspätet oder gar nicht gemeldet. Insbesondere unterbleibt auch regelmäßig die Benachrichtigung der Betroffenen.

Die Tatsache, dass gegen eine Behörde kein Bußgeld verhängt werden kann, bedeutet dabei nicht, dass auch kein Schadenersatz seitens Betroffener verlangt werden kann. Insbesondere dann, wenn eine öffentliche Stelle keine geeigneten Schritte zur Abwehr des aus der Datenpanne für den Betroffenen möglichen Schadens umgehend einleitet, als auch den Betroffenen selbst nicht über die Datenpanne informiert, wodurch dem Betroffenen wegen Unkenntnis die Möglichkeit eigener Abwehrmaßnahmen genommen wird, kann hieraus ein Anspruch auf Schadenersatz entstehen. Tritt also ein Schaden für einen Betroffenen aus der Datenpanne ein, so kann dieser geltend gemacht werden. Und unter Umständen nicht nur gegen die öffentliche Stelle, sondern auch gegen den verantwortlichen Datenschutzbeauftragten (DSB) persönlich. Entsteht der Schaden durch eine schuldhafte Handlung des DSB ist eine deliktische Haftung nach § 823 BGB möglich und der DSB muss den Schaden ersetzen.

Die bisherige Einstellung vieler öffentlicher Einrichtungen, wonach diese sich für nicht belangbar bei Datenschutzpannen halten und einen derartigen Vorfall als Bagatelle ansehen, sollte daher seitens der Verantwortlichen überdacht werden. Öffentliche Einrichtungen und ihre Mitarbeiter sind nicht frei von Haftung bei Datenpannen.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren.

Thema des nächsten Newsletters wird Datenschutz von Patientendaten in Arztpraxen, Krankenhäusern und bei Pflegediensten sein.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com
twitter email custom