Startseite Presse Presseerklärung zur Vorstellung des 18. Tätigkeitsberichts für den öffentlichen sowie des 8. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Presseerklärung zur Vorstellung des 18. Tätigkeitsberichts für den öffentlichen sowie des 8. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Der Sächsische Datenschutzbeauftragte stellt die Tätigkeitsberichte für den öffentlichen und den nicht-öffentlichen Bereich vor.

Die Berichtszeiträume beginnen im Jahr 2015 und enden 2017 (April 2015 bis einschl. März 2017). Der neue Rechtsrahmen der erfolgten Datenschutzreform der Europäischen Union nimmt dabei einen großen Raum ein. Auf die datenverarbeitenden nicht-öffentlichen und öffentlichen Stellen und nicht zuletzt auch auf die Bürger kommen damit große Veränderungen zu. EU-Datenschutzrecht gilt unmittelbar in Sachsen. Daneben werden in den beiden Tätigkeitsberichten wieder viele grundsätzliche und interessante Einzelvorgänge dargestellt. Hierbei liegt der Schwerpunkt für den letzten Zeitraum dabei eher auf dem privaten Bereich, eine Konsequenz des stetig ansteigenden Arbeitsaufkommens, was den nicht-öffentlichen Sektor angeht. Schließlich enthalten die Tätigkeitsberichte Handlungsempfehlungen zu technischen und rechtlichen Fragen und für die Rechtsfindung wichtige Entschließungen der Datenschutzkonferenz des Bundes und der Länder.

Eine neue Zeitrechnung im Datenschutzrecht - Datenschutz-Grundverordnung und JI-Richtlinie der Europäischen Union in Kraft getreten, 18. TB 1.2 bis 1.7.

Mit der Datenschutz-Grundverordnung der EU und der Richtlinie für den Polizei- und Justizbereich1 wird das Datenschutzrecht auf EU-Ebene grundlegend neu geordnet und eine neue datenschutzrechtliche Architektur in der Union geschaffen. Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung unmittelbar und direkt in allen Mitgliedsstaaten der EU anwendbar sein. Bis zum 6. Mai 2018 muss die JI-Richtlinie in nationales Recht umgesetzt worden sein.

Durch die Datenschutz-Grundverordnung werden zum einen die subjektiven Datenschutzrechte des Einzelnen z. T. gestärkt und es werden auch neue Verfahren zum Schutz der Datenschutz-Grundrechte eingeführt, aber der freie Verkehr personenbezogener Daten in der Union wird auch erleichtert.

Die Änderungen durch die Verordnung betreffen auch den Sächsischen Datenschutzbeauftragten selbst. Datenverarbeitungen, die betroffene Personen tatsächlich oder vermeintlich belasten, werden erwartbar quantitativ zunehmen und damit auch die Zahl der Beschwerden, die von den Aufsichtsbehörden zu bearbeiten sind. Auch wird durch das Marktortprinzip (Art. 3 Datenschutz-Grundverordnung) die Zahl der von der Verordnung erfassten Datenverarbeitungsvorgänge – vor allem im Internet – erheblich ansteigen. Ohnehin – und das ist eine allgemein zu beobachtende Entwicklung – werden darüber hinaus die Digitalisierung aller Lebensbereiche, informationstechnischer Fortschritt und E-Government zu einer Vervielfachung der Verarbeitung personenbezogener Daten in der Privatwirtschaft, in der Verwaltung und auf Seiten der Bürger selbst führen. Der Sächsische Datenschutzbeauftragte erwartet als Aufsichtsbehörde daher, dass der (Haushalts-)Gesetzgeber in Sachsen, dem Rechnung tragend, für eine angemessene Sach- und Personalausstattung Sorge trägt. Insbesondere ein signifikanter Stellenaufwuchs ist dabei essentiell um eine wirkungsvolle Datenschutzaufsicht im Freistaat zu erhalten.    

Der Tätigkeitsbericht selbst enthält rechtliche Hinweise für öffentliche und auch für nicht-öffentliche Stellen, wie in Bezug auf besonders praxisrelevante Prozesse und Vorschriften nach der Datenschutz-Grundverordnung, bei internen Datenschutzbeauftragten, dem neuartigen Prüfverfahren „Datenschutz-Folgenabschätzung“, Datenverarbeitung im Auftrag und Datenverarbeitung auf Einwilligungsgrundlage zu verfahren ist und was sich ändert. Allen öffentlichen und nicht-öffentlichen Stellen rät der Sächsische Datenschutzbeauftragte grundsätzlich, unter Hinweis auf die den Rechtsvorschriften der Verordnung vorangestellten Erwägungsgründe, bestehende Rechts- und Datenverarbeitungsverhältnisse auf die neue Rechtslage hin zu überprüfen und ggf. Rechtsakte und Verträge zu erneuern und anzupassen, denn ab dem 25. Mai 2018 gilt ohne weitere Übergangszeit allein neues Recht.

Einzelfälle des Berichtszeitraums:

• Öffentlicher Bereich

Sozialwesen18. TB 10.2.5 (Unzulässiger Anamnesefragebogen für Krippen-und Kindergartenkinder)

Kurios ist zum Teil die Datensammelwut öffentlicher Stellen und wenig zweckrational (vgl. auch 18. TB 1.1). Bei einer Kindertageseinrichtung einer sächsischen Gemeinde kam ein Anamnesefragebogen für Krippen- und Kindergartenkinder zum Einsatz, auf dessen Grundlage neben personenbezogenen Angaben zu Namen und Anschriften, Geburtsdatum und Staatsangehörigkeit der Eltern und des Kindes noch weitere Daten verlangt wurden, die den Intimbereich der Betroffenen betrafen. So wurden Informationen zum Geburtsverlauf, zur Wehentätigkeit, Medikamentation, zum Geburtsgeschehen und Eingriffen, zur Anwesenheit des Vaters bei der Geburt und weitere Einzelheiten zur Schwangerschaft, Erkrankungen, Suchterkrankungen und Drogenmissbrauch erwartet. Weitere erkennbar ungeeignete Fragen zu Informationen wie zu Totgeburten, Abtreibung und Altersbezügen der Mutter kamen hinzu. Zudem wurden die Erziehungsberechtigten um die Abgabe einer Schweigepflichtentbindungserklärung gebeten.

Das Datenschutzrecht erlaubt Kindertageseinrichtungen, für bestimmte Zwecke Daten von Erziehungsberechtigten und vom Kind zu erheben. Die Erhebung ist auf die zur Umsetzung des Betreuungsverhältnisses und die für die Aufgaben erforderlichen Daten zu beschränken. Die Datenverarbeitung war im konkreten Fall einzustellen. Anamnesebögen und Schweigepflichtentbindungserklärungen kamen auf mein Verlangen hin nicht mehr zum Einsatz. Bereits ausgefüllte Unterlagen wurden datenschutzgerecht vernichtet.

Justizbereich18. TB 8.1 (Übersendung von Austrittsmitteilungen zu Gefangenen durch eine Justizvollzugsanstalt)

Zum Teil ist das Verfahren öffentlicher Stellen auch nur fahrlässig, aber ohne Rücksichtnahme auf den Einzelnen. Ein Beispiel im letzten Berichtszeitraum war das Handeln einer sächsischen Justizvollzugsanstalt, die dem Absender – einer nicht-öffentlichen Stelle – einer an einen ehemaligen Gefangenen gerichteten Postsendung eine Mitteilung übersandte. Als die Zuschrift eintraf, war der Haftinsasse schon entlassen worden und kein Gefangener mehr. Die automatisiert erstellte sogenannte „Austrittsmitteilung“ enthielt personenbezogene Angaben zu Name, Vorname, Geburtsdatum, Staatsangehörigkeit, Geburtsland und Geschlecht des ehemaligen Gefangenen. Darüber hinaus informierte sie über den genauen Termin seiner Entlassung und seine Adresse nach der Entlassung. Eine Einwilligung zu dieser Informationsweitergabe hatte der Betroffene nicht abgegeben.

Es handelte sich, wegen der automatisierten Versendung naheliegend, nicht lediglich um einen Einzelfall. Das zuständige Ministerium, das meine Einschätzung der Unzulässigkeit der Informationsweitergabe teilte, wies in seinem Bereich die Anstalten an, dass nicht-öffentliche Stellen Informationen zur Entlassung und Anschrift nach der Haft lediglich auf Antrag unter Glaubhaftmachung der Berechtigung des Anliegens erhalten sollen. Es wird nicht ohne weiteres im Interesse eines (ehemaligen) Gefangenen sein, dass private Dritte von seiner ersten Wohnanschrift nach Haftentlassung erfahren.

Beschäftigtendatenverarbeitung18. TB 5.1.2 (Abgleich der IBAN von Bediensteten zum Zwecke der Korruptionsprävention)

Im Berichtszeitraum wandte sich ein Landkreis an den Sächsischen Datenschutzbeauftragten mit der Frage, ob und inwieweit ein Abgleich der dem Personalreferat aus den Gehaltsabrechnungen bekannten IBAN (International Bank Account Number) der Beschäftigten des Landkreises mit den IBAN von Sozialleistungsempfängern des an den Landkreis angegliederten „Jobcenters“ rechtmäßig sei. Hintergrund war, dass ein Beschäftigter neben seinem Arbeitsentgelt auch ihm nicht zustehende Sozialleistungen nach SGB II bezogen hatte, ein Fall des Sozialleistungsmissbrauchs.

Den entsprechenden Datenabgleich sollte das Rechnungsprüfungsamt des Landkreises durchführen, um etwaigen weiteren Missbrauch aufdecken zu können. Allerdings lagen konkrete Anhaltspunkte für vergleichbare Fälle hierfür gar nicht vor. Die Datenverarbeitung sollte auf eine kommunalrechtliche Bestimmung zur vorbeugenden Korruptionsprävention gestützt werden. Im Fall eines positiven „Treffers“ beim Abgleich sollte der Einzelfall durch die Rechnungsprüfer genauer untersucht werden. Der Sächsische Datenschutzbeauftragte sah den Zugriff auf Beschäftigtendaten gemäß § 37 SächsDSG auf dieser Grundlage als nicht zulässig an. Die IBAN als personenbezogenes Datum zur Verdachtsgewinnung („ins Blaue“) zu verwenden, war aus Sicht der Dienststelle auch nicht verhältnismäßig.

• Einzelfälle und -probleme im nicht-öffentlichen Bereich

Im nicht-öffentlichen Bereich gibt es Sachgebiete, die immer wieder rechtlich und praktisch eine besonders relevante Rolle spielen. Hierzu zählt u. a. die Videografie und hier insbesondere die immer weiter verbreiteten „Dashcams“ oder andere „On-Board-Cameras“.

Privatnutzung8. TB 8.1.1 (Dashcams)

Der Sächsische Datenschutzbeauftragte hatte sich mit der Thematik Dashcams erneut intensiver auseinanderzusetzen (siehe dazu bereits 7. TB 8.1.1). Mehrere Hinweisgeber wandten sich auch im letzten Berichtszeitraum an die Aufsichtsbehörde. Nutzer der On-Board-Videokameras sind sich häufig nicht darüber im Klaren, dass deren Einsatz im öffentlichen Straßenverkehr gegen Datenschutzrecht verstoßen kann. Im Kontext mit der Entscheidung des Europäischen Gerichtshofs vom 11. Dezember 2014 (Az. C-212/13, Rdnr. 29 ff.), wonach Videoüberwachung, die sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, nicht als eine ausschließlich persönliche oder familiäre Tätigkeit angesehen werden kann und verwaltungsgerichtlichen Entscheidungen, des Verwaltungsgerichts Ansbach (Urt. v. 12. August 2014 – AN 4 K 13.01634) und des Verwaltungsgerichts Göttingen (Beschl. v. 12. Oktober 2016 – 1 B 171/16), die von der Rechtswidrigkeit des Einsatzes von Dashcams durch Private im öffentlichen Straßenverkehr ausgehen, beurteilt der Sächsische Datenschutzbeauftragte entsprechende Handlungen als rechtswidrig. Der Einzelne ist danach nicht befugt, den öffentlichen Verkehrsraum anlass- und schrankenlos mittels Kameras zu überwachen.

Zu differenzieren ist im Übrigen zwischen der datenschutzrechtlichen Frage der Zulässigkeit der Video-Datenverarbeitung und der häufig entgegengehaltenen Verwertbarkeit von dennoch angefertigten und gespeicherten Aufnahmen als Beweismittel in gerichtlichen Verfahren, die nach der Rechtslage in Deutschland in jedem Einzelfall zu entscheiden ist.

Privatnutzung8. TB 16.1.3 (Nutzung von Kameradrohnen durch Private)

Kameradrohnen werden immer häufiger von Privaten für die Freizeitbeschäftigung angeschafft. Sie sind in jedem Elektronikmarkt erhältlich. 

Der Betrieb von Drohnen durch Privatpersonen zu Zwecken des Sports oder der Freizeitgestaltung bedarf regelmäßig bei handelsüblichen Drohnen für den Privatgebrauch keiner luft-verkehrsrechtlichen Erlaubnis und kann außerhalb des bundesdatenschutzrechtlichen Regelungsregimes erfolgen. Dennoch sind Verwendungen von Drohnen mit Videotechnik denkbar, die in den Anwendungsbereich des Bundesdatenschutzgesetzes fallen. Datenschutzrechtlich relevant sind nicht nur die Fälle, in denen Aufnahmen mit Personenbezug im Internet veröffentlicht werden, sondern auch zielgerichteter Drohneneinsatz zur kontinuierlichen Beobachtung öffentlich zugänglicher Räume (vgl. § 6b BDSG). Wenn Drohnen innerhalb des Anwendungsbereichs des Bundesdatenschutzgesetzes betrieben werden und dabei unbefugt Daten erhoben oder verarbeitet werden, kann ein Bußgeld von bis zu 300.000 Euro verhängt werden. Auch mögliche Strafbarkeit und zivilrechtliche Folgen sind zu beachten. 

Der Sächsische Datenschutzbeauftragte fordert Drohnenbetreiber auf, grundsätzlich niemanden ohne Einwilligung zu filmen und die Privatsphäre anderer zu achten. Private Nutzer dürfen Drohnen mit Foto- oder Videoausrüstung nur in solchen Bereichen einsetzen, in denen eine Verletzung von Rechten Dritter ausgeschlossen werden kann, vgl. auch 18. TB 5.5.5 für den öffentlichen Bereich.          

Gewerbliche Videografie8. TB 8.1.12 (Bäckereifilialen)

Auch der Einsatz von Videotechnik im gewerblichen Bereich ist eine immer wiederkehrende Streitfrage.

Mit der Videoüberwachung in den Produktionsräumen von Bäckereien (Backstuben) hatte sich der Sächsische Datenschutzbeauftragte bereits zurückliegend befasst, vgl. 6. TB 8.1.6. Nach einer entsprechenden Beschwerde hatte sich die Datenschutzaufsichtsbehörde mit der Zulässigkeit von Videokameras in den Verkaufsräumen auseinanderzusetzen.

Eine Großbäckerei hatte 34 seiner 69 Filialen mit jeweils einer Videokamera ausgerüstet, die nicht nur den eigentlichen Kassenbereich, sondern den gesamten verkäuferseitigen Geschäftsraum betraf. Diese weitgehende Beobachtung betrachtete der Sächsische Datenschutzbeauftragte im Rahmen einer Interessenabwägung als unverhältnismäßig.   

Freie Berufe8. TB 8.13.1 (Übermittlung von Schriftsätzen (von Rechtsanwälten) per E-Mail), 8. TB 8.4.7 (Bestellbestätigungen durch Versandapotheken)

Auch bei nicht-öffentlichen Stellen sind Daten- und Informationssicherheitsfragen häufig ein Thema, so z. B. bei Rechtsanwälten, mit denen die Datenschutzaufsichtsbehörde recht häufig zu tun hat. Freie Berufe, die einem immensen Zeit- und Kostendruck ausgesetzt sind, versuchen daher gelegentlich die Kommunikation mit dem Sächsischen Datenschutzbeauftragten unkonventionell per E-Mail abzuwickeln. Den unverschlüsselten E-Mail-Versand von anwaltlichen Schriftsätzen vor dem Hintergrund des § 203 StGB und des vertraulichen Verhältnisses zwischen Mandanten und Anwälten bzw. anderen einem Berufsgeheimnis unterliegenden Berufsgruppen betrachtet die Aufsichtsbehörde allerdings als eine nicht geeignete Kommunikationsform. Entsprechendes gilt auch für die Übermittlung von Bestellbestätigungen per E-Mail durch eine Versandapotheke. Der Sächsische Datenschutzbeauftragte erhielt dazu die Beschwerde eines Betroffenen. In der Bestellbestätigung war dabei der textliche Inhalt des Kaufs noch einmal wiederholt worden, so dass auf diese Weise besonders schützenswerte personenbezogene Daten (Gesundheitsdaten gemäß § 3 Abs. 9 BDSG) unverschlüsselt über das Internet übertragen wurden.

Es ist allgemein bekannt, dass der unverschlüsselte Versand von E-Mails vergleichbar mit dem Versand einer Postkarte ist. Eine derartige Kommunikation entspricht nicht mehr dem techni-schen Stand und ist als datenschutzwidrig einzuordnen.

Weitere Auskünfte erteilt Andreas Schneider, Tel. 0351/4935-401, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Andreas Schurig

1 Am 25. Mai 2016 ist die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/ EG (Datenschutz-Grundverordnung)“ und am 5. Mai 2016 die „Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016“ verabschiedet worden.

Druck/Download als PDF-Datei