Was hatten wir in der Vergangenheit nicht schon alles für Themen besprochen, deren Abstrusität jedes Mal auf die Europäische Datenschutzgrundverordnung (DSGVO) zurückzuführen ist oder sein soll. Genannt werden soll hier nur der Fall der geschwärzten Kindergesichter in Erinnerungsalben und die Aufregung über Namen auf Klingelschildern.

Nachdem sich viele dieser Fälle mit gesundem Menschenverstand und Pragmatismus lösen ließen, steht nun Weihnachten auf dem Prüfstand.

Worum geht’s?

Die Welt berichtet von einem Weihnachtsbrauch:

„Die beschauliche Kleinstadt Roth (nahe Nürnberg) blickt auf eine beliebte Tradition zurück: Jedes Jahr haben Kinder auf dem Weihnachtsmarkt ihre Wunschzettel an den Christbaum gehängt. Wünschte sich beispielsweise ein kleiner Fratz „Ich will mal Bürgermeister werden“ und hängte einen solchen Zettel an den Baum, arrangierte die Stadtverwaltung ein Treffen mit dem Bürgermeister, und eine Kindergruppe durfte ihn den ganzen Tag begleiten. […]

Wegen der Europäischen Datenschutzgrundverordnung (DSGVO) ist jetzt definitiv Schluss mit den Wunschzetteln. […]

Früher schrieben die Kinder ihre Wünsche zusammen mit Adresse und Namen auf die Wunschzettel, und sie wurden weitergeleitet. Laut DSGVO müssten aber jetzt die Eltern die ausdrückliche Einwilligung geben, dass die Daten der Kinder an die „Wunscherfüller“ weitergegeben werden dürfen. Papierkram unterm Christbaum – und das wäre noch nicht einmal das Schlimmste.

Gelingt es dem Unternehmen oder der Behörde nicht, die Daten zu schützen, drohen Bußgelder oder Schadenersatzforderungen. Und solchen Ärger will die Stadt Roth vermeiden. Nach Rücksprache mit dem Datenschutzbeauftragten der Stadtverwaltung beschloss sie das Aus.“

Die im Text genannten rechtlichen Ausführen finden sich so auch auf der Seite der Bundesregierung. Dieses gilt auch für folgende Äußerung:

„Haben Kinder das 16. Lebensjahr noch nicht vollendet, müssen Eltern der Datenverarbeitung zustimmen.“

Was ist dran?

Vorwegzunehmen ist, dass sich im Materiell-Rechtlichen, also bei der Frage, ob eine Datenverarbeitung erlaubt ist oder nicht, durch die DSGVO kaum etwas verändert hat. Datenverarbeitungen die vor der DSGVO zulässig bzw. unzulässig waren, sind in Deutschland auch unter der DSGVO grundsätzlich weiterhin zulässig bzw. unzulässig.

Die erste Frage, die sich stellt: Ist die DSGVO überhaupt anwendbar?

Nach Art. 2 Abs. 1 gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Der Begriff der Automatisierung umfasst die Verfahren, bei denen jedenfalls ein Teil eines Datenverarbeitungsprozesses anhand eines vorgegebenen Programms ohne weiteres menschliche Zutun selbsttätig erledigt wird (BeckOK DatenschutzR/Bäcker DS-GVO Art. 2 Rn. 1-5, beck-online).

Die Wunschzettelaktion erfolgt ohne jegliche Beteiligung eines (Software)Programms. Die Kinder bzw. deren Eltern hängen die Wunschzettel an den Baum. Ein Beschäftigter der Stadt Roth nimmt die Zettel ab, wertet sie aus und erfüllt die Wünsche.

Nach Art. 2 Abs. 1 gilt die DSGVO ferner für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Da der Begriff des Dateisystems nur niedrige Anforderungen an die Strukturierung der darin enthaltenen Daten stellt, erfasst die Verordnung praktisch alle geordneten manuellen Datensammlungen (BeckOK DatenschutzR/Bäcker DS-GVO Art. 2 Rn. 1-5, beck-online).

Dateisystem oder nicht?

Wenn die Kinder Ihre Wunschzettel selbst gestalten können und die Angaben nicht systematisch bzw. formularmäßig abschreiben müssen, kann dies gegen die Annahme eines Dateisystems sprechen. Stellt die Stadt ein Wunschzettelformular zur Verfügung, kann man durchaus für ein Dateisystem argumentieren. Genauso gut kann jedoch dagegen argumentiert werden.

Hilft das der Stadt Roth?

Leider nein. Als öffentliche Stelle im Freistaat Bayern gilt für diese ergänzend das Bayerische Datenschutzgesetz. Dieses erweitert den Anwendungsbereich des Datenschutzgesetzes dahingehend, dass die Ausführungen des Art. 2 Abs. 1 DSGVO nicht gelten. Kurzum, sobald ein personenbezogenes Daten durch eine bayerische öffentliche Stelle verarbeitet wird, sind die Datenschutzgesetze anzuwenden. (eine entsprechende Regelung findet sich auch in § 1 Abs. 8 BDSG). Das Problem würde sich nicht stellen, wenn die Weihnachtsbaumaktion durch eine nicht-öffentliche Stelle durchgeführt werden würde, etwa durch den Gewerbering der ortsansässigen Gewerbetreibenden.

Selbst wenn die DSGVO Anwendung findet, ist das „Problem“ lösbar!

Wie leider so häufig rufen alle nach einer Einwilligung der Eltern. Ohne diese sei die Wunschzettelaktion nicht durchführbar. Im Gegensatz zur Darstellung in der „Welt“ ist die Einwilligung nicht die einzige Möglichkeit einer datenschutzkonformen Datenverarbeitung, sondern eine von sechs Verschiedenen. Gleichwohl wird hier die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO die einschlägige Grundlage sein.

Da die Einwilligung nicht zwangsläufig schriftlich zu erfolgen hat, kann bereits in der Anbringung des Wunschzettels am Weihnachtsbaum eine Einwilligung in die Datenverarbeitung gesehen werden. Hierbei kann grundsätzlich angenommen werden, dass das Anbringen der Wunschzettel in Kenntnis und mit Willen der Sorgeberechtigten erfolgt.

Aber selbst, wenn man von keiner Einwilligung der Sorgeberechtigten ausgehen möchte, müssen die Weihnachtswünsche nicht automatisch zum Problem werden. Die Sorgeberechtigten müssen insbesondere bei Diensten, die elektronisch, gegen Entgelt und individuell für den Betroffenen erbracht werden (z. B. Facebook, Instagram und Verwendung der Daten für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen) zustimmen (Art. 8 Abs. 1 S. 2 DSGVO sowie Erwägungsgrund 38 zur DSGVO). Diese Punkte greifen bei der Wunschzettelaktion nicht, so dass auch jüngere Kinder eigenverantwortlich ihren Wunsch aufhängen können.

Zusammenfassung

Die geäußerten Bedenken sind ebenso wenig nachvollziehbar, wie das Ende dieser tollen Tradition. Bereits beim Punkt „Anwendbarkeit der DSGVO“ kann die maßgebliche Weichenstellung erfolgen, indem die Aktion durch eine nicht-öffentliche Stelle fortgeführt wird. Wenn für die Wunschzettel dann kein Formular bereitgestellt wird, spricht vieles dafür, dass die DSGVO außen vor bleibt.

Update 20.11.2018:

Der Artikel wurde bzgl. des Anwendungsbereichs der DSGVO für öffentliche Stellen angepasst.