Vor 2 Jahren wurde die Datenschutz-Grundverordnung (DSGVO) zum 25.05.2018 wirksam. Bereits zu diesem Zeitpunkt wurde die europäische Verordnung stark kritisiert und von einige Experten als „wirkungslos“ betitelt.

Große Boulevard-Blätter schrieben in der Zwischenzeit über den „Datenschutz-Wahnsinn“ im Hinblick auf geschwärzte Fotoalben in Kitas und Schulen oder die Namen auf Klingelschildern. Doch vor allem den Aufsichtsbehörden im Datenschutz wurde bzw. wird oftmals das Fehlen einer gewissen Realitätsnähe vorgeworfen.

Mittlerweile bietet sich ein etwas anderes Bild: Die Aufsichtsbehörden zeigen sich an vielen Stellen der Beratung sowie auch in ihren Ausführungen erfreulich praxisnah und versperren sich nicht der Digitalisierung. Und derzeit, während der Corona-Pandemie, lassen sie sogar zeitweise „Milde walten“, indem beispielsweise zurzeit in Hamburg keine Bußgelder erlassen werden oder andernorts der Einsatz von Videokonferenztools in Schulen nicht beanstandet wird. In NRW heißt es in einer Pressemitteilung der Aufsichtsbehörde vom 18. Mai 2020 sogar sehr verständnisvoll:

„Die Corona-Krise ist nicht der richtige Zeitpunkt, um abschließende Lösungen zum Einsatz privater Endgeräte im Schulbereich zu finden. Gerade auch hier ist die Aufrechterhaltung der Arbeitsfähigkeit und der Kommunikationsmöglichkeiten trotz dieses außergewöhnlichen, in diesen Auswirkungen nicht vorhersehbaren Ereignisses essentiell, da ansonsten andere Risiken für die Rechte und Freiheiten natürlicher Personen drohen.“

Es gibt noch weitere positive Beispiele, die Erwähnung finden sollten und ein wenig die Furcht vor dem „Datenschutz-Monster“ nehmen sollten.

Schriftformerfordernis beim AVV

Anfänglich wurde diskutiert, ob ein AV-Vertrag von den Vertragsparteien schriftlich zu unterschreiben ist und das (strenge) deutsche Schriftformerfordernis gilt.

Im 48. Tätigkeitsbericht führt der LfDI Hessen zur Schriftform des Vertrages über die Auftragsverarbeitung nach Art. 28 DSGVO aus:

„Mit der in der DS-GVO angeordneten Schriftform soll sichergestellt werden, dass die Beteiligten die Möglichkeit haben, sich dauerhaft und zuverlässig über den Inhalt des Auftragsverarbeitungsvertrages oder einer einseitigen Verpflichtungserklärung zu informieren. Diese dauerhafte Informationsfunktion erfüllt auch die Textform, wie sie in § 126b BGB geregelt ist (Palandt, a.a.O.).
Der Austausch von Computerfaxe oder E-Mails mit oder ohne PDF-Anhang genügt daher dem Schriftformerfordernis des Art. 28 Abs. 9 DS-GVO. Der Auftragsverarbeiter könnte auch einen Vertragstext auf seiner Webseite einstellen und der Verantwortliche die Annahmeerklärung durch Anklicken eines Kästchens wirksam abgeben (vgl. entsprechend für die Abgabe einer Einwilligungserklärung EG. 32 DS-GVO). In diesem Fall müsste sichergestellt sein, dass der Verantwortliche den Vertrag speichern und ausdrucken kann. Die DS-GVO verlangt nicht, dass ein Download tatsächlich erfolgt. [..]“
(Quelle: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2019_48_TB.pdf, 48. TB Hessen, S. 14 f.).

Danach sind also übliche Vorgänge des Geschäftslebens und elektronische Konzepte zulässig, die insgesamt die Abwicklung der AVV vereinfachen.

Umsetzung eines Löschkonzepts?

Das vielseits geforderte Löschkonzept, insbesondere dessen Umsetzung wirft nach wie vor viele Fragen auf. Der LfDI in Rheinland-Pfalz schreibt auf der Webseite der Aufsichtsbehörde in den FAQ für „Vereine“ hierzu jedoch sehr einleuchtend:

„Bezüglich des Löschens von Daten innerhalb einer bestehenden Datensicherung ist es ausreichend sicherzustellen, dass die möglicherweise nur noch in der Datensicherung vorhandenen personenbezogenen Daten im Rahmen der Datensicherungsstrategie nach einem festgelegten Zeitpunkt aus allen Backups entfernt werden. Die Datensicherungsstrategie sollte im Rahmen eines entsprechenden Konzeptes schriftlich dokumentiert sein. Datenträger bzw. deren Inhalte sind sicher aufzubewahren und nur Berechtigten im Rahmen ihrer Aufgabenerfüllung zugänglich zu machen.
So kann auf die regelmäßige Dokumentation einzelner Löschvorgänge verzichtet und die erneute Verarbeitung personenbezogener Daten im Rahmen eines Löschvorgangs vermieden werden.“

(Quelle: https://www.datenschutz.rlp.de/de/themenfelder-themen/vereine/ )

Hiermit wird ein praxisgerechter Weg aufgezeigt, der die Verantwortlichen nicht vor immensen Hürden stellt und das „Unmögliche“ fordert.

Datenschutz bei Fotoaufnahmen

In den ersten Wochen unter der DSGVO stürzten sich viele Medien und Kritiker auf die Rechtmäßigkeit, oder eher: Unrechtmäßigkeit der Anfertigung und Veröffentlichung von Fotoaufnahmen. Die DSGVO wurde so interpretiert, dass fortan Menschen nur nach (schriftlicher) Einwilligung abgebildet und deren Fotos verarbeitet werden dürften. Die Menschen ließen ihre Fotokameras lieber zuhause anstatt sie in den Urlaub mitzunehmen.

Allerdings präsentierte der LfDI aus Baden-Württemberg, Dr. Stefan Brink im September 2019 zu diesem Thema eine sehr gute Handreichung. Dort wurde erst einmal gut erklärt, wann für den Fotografen überhaupt erst die DSGVO gilt. Auch wird das berechtigte Interesse als Rechtsgrundlage der Verarbeitung der Fotos von größeren Veranstaltungen recht praxisnah verstanden, so dass in diesen Fällen keine Einwilligung des Betroffenen einzuholen sei:

Bei einer größeren Veranstaltung auf Einladung dürfte die Erwartungshaltung der Gäste und der an der Durchführung Beteiligten regelmäßig dahin gehen, dass eine Dokumentation in Form von Fotografien stattfinden wird. Die betroffene Person muss möglicherweise auch mit einer internen Verwendung der Fotos rechnen, jedoch gehen die vernünftigen Erwartungen nicht dahin, dass die Fotos anschließend veröffentlicht werden. Ebenso wenig muss die betroffene Person mit einer werblichen Verwendung der Fotos rechnen. Das kann bei öffentlich beworbenen Veranstaltungen anders zu bewerten sein.“ (S. 5 der Broschüre).“
(Quelle: Handreiche „Fotografieren und Datenschutz“ vom LfDI Baden-Württemberg). Mehr dazu findet sich in unserem Bericht.

Auch andere Datenschützer gehen diesen Weg und stützen die Fotoaufnahmen bei Massenveranstaltungen oder „Firmen-Feiern“ auf das berechtigte Interesse bzw. sehen ab von der Einwilligungslösung.

Social Media von öffentlichen Stellen

Alle Welt will in Social Media präsent sein, natürlich auch die Behörden und Ämter.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof Dr. Dieter Kugelmann veröffentlichte vor wenigen Tagen den aktualisierten „Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen“, den wir bereits im März bei uns im Blog vorgestellt hatten. Einige Fragen wurden hiermit geklärt und das Medium „Facebook“ weniger verteufelt als einst angenommen.

Apropos Social Media: Der LfDI von Rheinland-Pfalz hat vor wenigen Tagen Muster für die Datenschutzerklärung auf Facebook und Twitter sowie weitere Hinweise hierzu auf der entsprechenden Unterseite veröffentlicht. Hier darf sich jedermann bedienen, und es spekulieren viele Juristen bereits: Wären diese Anbieter verboten, würde es wohl keine offiziellen Muster geben, oder?

WhatsApp Business bei Behörden?

Zu einem weiteren, sehr relevanten Thema zählt seit geraumer Zeit der Einsatz von WhatsApp im Kontext der Kommunikation mit Kunden oder Interessenten.

Im von der Landesbeauftragten für Datenschutz und Informationsfreiheit im Saarland, Frau Monika Grethel, veröffentlichten Tätigkeitsbericht des Saarlandes für das Jahr 2019 findet sich eine bemerkenswert klare und ausdifferenzierte Prüfung des Einsatzes von WhatsApp Business durch öffentlichen Stellen (siehe ab S. 75 ff.). Alle Kritikpunkte und Bedenken zum Datenschutz werden im mehrseitigen Bericht angesprochen.

In einem früheren Beitrag hatten wir hierzu resümiert:

„Die LfDI Saarland kommt zu einem praxistauglichen Ergebnis und lässt den grundsätzlichen Einsatz von WhatsApp (als Business-Konto) für die externe Kommunikation der Verwaltung im Saarland zu. Schon fast wohltuend stößt damit der LfDI Saarland ein erstes Fenster in Richtung WhatsApp auf, auch wenn die Rechtsausführungen – wie gesagt – nur die gesonderte Installation in einer virtuell isolierten Umgebung behandeln. Ob damit alle Bedenken aus der Welt geräumt worden sind, lässt sich bezweifeln. Es zeigt aber, dass lösungsorientierte Ansätze denkbar sind.“

Was umfasst alles die Auskunft nach Art. 15 DSGVO?

Die Betroffenenrechte der DSGVO, vor allem das Auskunftsgesuch nach Art. 15 DSGVO sollte vielen Verantwortlichen Schweißperlen auf die Stirn bringen. So kann der Betroffene grundsätzlich eine „Kopie“ der personenbezogenen Daten, die ihn betreffen, einfordern. Die Frage lautet: Was fällt alles darunter? Jede E-Mail oder sogar jede Notiz?

Im aktuellen Jahresbericht der Berliner Aufsichtsbehörde findet sich ein interessanter Fall eines Auskunftsersuchens einer ehemaligen Mit-Geschäftsführerin, die nach ihrem Ausscheiden unter anderem auch Auskunft über alle sie betreffende E-Mails geltend gemacht hat.

Die LfDI in Berlin begrenzte dieses Vorhaben (zu Recht) und schreibt hierzu:

„Eine vollständige Herausgabe aller E-Mails aus dem System des Unternehmens, in denen der Name der Beschwerdeführerin auftaucht, ist schon allein deshalb nicht möglich, weil das Recht auf Herausgabe einer Datenkopie durch die Rechte und Freiheiten anderer Personen beschränkt wird. In der von der Beschwerdeführerin verlangten E-Mail-Kommunikation tauchten zahlreiche andere Personen (insbesondere andere Mitarbeitende des Unternehmens und Externe) auf, sodass hier umfangreiche Rückschlüsse auf personenbezogene Daten Dritter möglich gewesen wären, an denen die Beschwerdeführerin zudem kein konkretes Interesse vorgetragen hatte. Des Weiteren wäre mit einer umfassenden Herausgabe auch die Kenntniserlangung über interne Abläufe, Betriebsgeheimnisse und Know-how des Unternehmens oder der mit ihm verbundenen Unternehmen verbunden gewesen. Dem standen berechtigte Unternehmensinteressen entgegen.“
(Quelle: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2019-Web.pdf  Jahresbericht 2019, S. 119f )

Diese Eingrenzung ist zu begrüßen und könnte für Erleichterung auf Seiten der Unternehmen führen.
Im Übrigen haben auch mehrere Gerichte (z.B. LG Heidelberg, Az.: 4 O 6/19) bereits zu erkennen gegeben, dass der Auskunftsanspruch nicht uferlos ist und das ganze Unternehmen „lahm“ legen kann.

Fazit

Alles gar nicht so schlimm? Aber natürlich stellen die aufgezeigten Beispiele nur eine subjektive Auswahl dar. Es gibt auch weiterhin viele strenge Einschätzungen und Anordnungen der Aufsichtsbehörden. Doch es lässt sich konstatieren, dass die Aufsichtsbehörden aufgeschlossen sind für praxisnahe Lösungen und zeitgemäße Situationen.

Und was meinen Sie?  Arbeiten die Datenschützer immer noch weltfremd oder zeigen sie Verständnis für aktuelle Probleme bzw. zeigen sie sich offen für praxisgerechte Lösungen? Schreiben Sie  uns gern Ihre Meinung in die Kommentare.