Was hatten wir in der Vergangenheit nicht schon alles für Themen besprochen, deren Abstrusität jedes Mal auf die Europäische Datenschutzgrundverordnung (DSGVO) zurückzuführen ist oder sein soll. Genannt werden soll hier nur der Fall der geschwärzten Kindergesichter in Erinnerungsalben und die Aufregung über Namen auf Klingelschildern.
Nachdem sich viele dieser Fälle mit gesundem Menschenverstand und Pragmatismus lösen ließen, steht nun Weihnachten auf dem Prüfstand.
Worum geht’s?
Die Welt berichtet von einem Weihnachtsbrauch:
„Die beschauliche Kleinstadt Roth (nahe Nürnberg) blickt auf eine beliebte Tradition zurück: Jedes Jahr haben Kinder auf dem Weihnachtsmarkt ihre Wunschzettel an den Christbaum gehängt. Wünschte sich beispielsweise ein kleiner Fratz „Ich will mal Bürgermeister werden“ und hängte einen solchen Zettel an den Baum, arrangierte die Stadtverwaltung ein Treffen mit dem Bürgermeister, und eine Kindergruppe durfte ihn den ganzen Tag begleiten. […]
Wegen der Europäischen Datenschutzgrundverordnung (DSGVO) ist jetzt definitiv Schluss mit den Wunschzetteln. […]
Früher schrieben die Kinder ihre Wünsche zusammen mit Adresse und Namen auf die Wunschzettel, und sie wurden weitergeleitet. Laut DSGVO müssten aber jetzt die Eltern die ausdrückliche Einwilligung geben, dass die Daten der Kinder an die „Wunscherfüller“ weitergegeben werden dürfen. Papierkram unterm Christbaum – und das wäre noch nicht einmal das Schlimmste.
Gelingt es dem Unternehmen oder der Behörde nicht, die Daten zu schützen, drohen Bußgelder oder Schadenersatzforderungen. Und solchen Ärger will die Stadt Roth vermeiden. Nach Rücksprache mit dem Datenschutzbeauftragten der Stadtverwaltung beschloss sie das Aus.“
Die im Text genannten rechtlichen Ausführen finden sich so auch auf der Seite der Bundesregierung. Dieses gilt auch für folgende Äußerung:
„Haben Kinder das 16. Lebensjahr noch nicht vollendet, müssen Eltern der Datenverarbeitung zustimmen.“
Was ist dran?
Vorwegzunehmen ist, dass sich im Materiell-Rechtlichen, also bei der Frage, ob eine Datenverarbeitung erlaubt ist oder nicht, durch die DSGVO kaum etwas verändert hat. Datenverarbeitungen die vor der DSGVO zulässig bzw. unzulässig waren, sind in Deutschland auch unter der DSGVO grundsätzlich weiterhin zulässig bzw. unzulässig.
Die erste Frage, die sich stellt: Ist die DSGVO überhaupt anwendbar?
Nach Art. 2 Abs. 1 gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Der Begriff der Automatisierung umfasst die Verfahren, bei denen jedenfalls ein Teil eines Datenverarbeitungsprozesses anhand eines vorgegebenen Programms ohne weiteres menschliche Zutun selbsttätig erledigt wird (BeckOK DatenschutzR/Bäcker DS-GVO Art. 2 Rn. 1-5, beck-online).
Die Wunschzettelaktion erfolgt ohne jegliche Beteiligung eines (Software)Programms. Die Kinder bzw. deren Eltern hängen die Wunschzettel an den Baum. Ein Beschäftigter der Stadt Roth nimmt die Zettel ab, wertet sie aus und erfüllt die Wünsche.
Nach Art. 2 Abs. 1 gilt die DSGVO ferner für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Da der Begriff des Dateisystems nur niedrige Anforderungen an die Strukturierung der darin enthaltenen Daten stellt, erfasst die Verordnung praktisch alle geordneten manuellen Datensammlungen (BeckOK DatenschutzR/Bäcker DS-GVO Art. 2 Rn. 1-5, beck-online).
Dateisystem oder nicht?
Wenn die Kinder Ihre Wunschzettel selbst gestalten können und die Angaben nicht systematisch bzw. formularmäßig abschreiben müssen, kann dies gegen die Annahme eines Dateisystems sprechen. Stellt die Stadt ein Wunschzettelformular zur Verfügung, kann man durchaus für ein Dateisystem argumentieren. Genauso gut kann jedoch dagegen argumentiert werden.
Hilft das der Stadt Roth?
Leider nein. Als öffentliche Stelle im Freistaat Bayern gilt für diese ergänzend das Bayerische Datenschutzgesetz. Dieses erweitert den Anwendungsbereich des Datenschutzgesetzes dahingehend, dass die Ausführungen des Art. 2 Abs. 1 DSGVO nicht gelten. Kurzum, sobald ein personenbezogenes Daten durch eine bayerische öffentliche Stelle verarbeitet wird, sind die Datenschutzgesetze anzuwenden. (eine entsprechende Regelung findet sich auch in § 1 Abs. 8 BDSG). Das Problem würde sich nicht stellen, wenn die Weihnachtsbaumaktion durch eine nicht-öffentliche Stelle durchgeführt werden würde, etwa durch den Gewerbering der ortsansässigen Gewerbetreibenden.
Selbst wenn die DSGVO Anwendung findet, ist das „Problem“ lösbar!
Wie leider so häufig rufen alle nach einer Einwilligung der Eltern. Ohne diese sei die Wunschzettelaktion nicht durchführbar. Im Gegensatz zur Darstellung in der „Welt“ ist die Einwilligung nicht die einzige Möglichkeit einer datenschutzkonformen Datenverarbeitung, sondern eine von sechs Verschiedenen. Gleichwohl wird hier die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO die einschlägige Grundlage sein.
Da die Einwilligung nicht zwangsläufig schriftlich zu erfolgen hat, kann bereits in der Anbringung des Wunschzettels am Weihnachtsbaum eine Einwilligung in die Datenverarbeitung gesehen werden. Hierbei kann grundsätzlich angenommen werden, dass das Anbringen der Wunschzettel in Kenntnis und mit Willen der Sorgeberechtigten erfolgt.
Aber selbst, wenn man von keiner Einwilligung der Sorgeberechtigten ausgehen möchte, müssen die Weihnachtswünsche nicht automatisch zum Problem werden. Die Sorgeberechtigten müssen insbesondere bei Diensten, die elektronisch, gegen Entgelt und individuell für den Betroffenen erbracht werden (z. B. Facebook, Instagram und Verwendung der Daten für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen) zustimmen (Art. 8 Abs. 1 S. 2 DSGVO sowie Erwägungsgrund 38 zur DSGVO). Diese Punkte greifen bei der Wunschzettelaktion nicht, so dass auch jüngere Kinder eigenverantwortlich ihren Wunsch aufhängen können.
Zusammenfassung
Die geäußerten Bedenken sind ebenso wenig nachvollziehbar, wie das Ende dieser tollen Tradition. Bereits beim Punkt „Anwendbarkeit der DSGVO“ kann die maßgebliche Weichenstellung erfolgen, indem die Aktion durch eine nicht-öffentliche Stelle fortgeführt wird. Wenn für die Wunschzettel dann kein Formular bereitgestellt wird, spricht vieles dafür, dass die DSGVO außen vor bleibt.
Update 20.11.2018:
Der Artikel wurde bzgl. des Anwendungsbereichs der DSGVO für öffentliche Stellen angepasst.
Johannes Heigert
2. Dezember 2018 @ 16:32
Danke für die ausführliche Analyse, Herr Dr. Ertel!
Ich gehe mal davon aus, dass in Deutschland hunderte solcher Weihnachtswunschbäume aufgestellt werden. Und dann dazu von fachlicher Seite: „Wenn für die Wunschzettel dann kein Formular bereitgestellt wird, spricht vieles dafür, dass die DSGVO außen vor bleibt.“ Tja…
Wir sind ein ehrenamtlicher Verein, der eine ähnliche öffentliche Aktion veranstaltet (und für die (durchaus aufwändige) Abwicklung der Wünsche die Information sogar noch in einem Excel-Sheet speichert). Also, so etwas besser nicht mehr machen?
Ich verstehe zwei Punkte nicht:
– Warum reagieren die Datenschutz-Aufsichtsbehörden auf solche Pressemeldungen nicht sofort und geben zumindest bekannt, dass Aktionen dieser Art nicht mit Bußgeld belegt werden?
– Warum greift Politik/Gesetzgebung all diese problematischen (und sicherlich unerwünschten) Auswirkungen der Datenschutzgesetze nicht auf und erarbeitet eine Gesetzesänderung, die hier klärend wirkt?
Holger Schanz
22. November 2018 @ 12:42
„Die geäußerten Bedenken sind ebenso wenig nachvollziehbar, wie das Ende dieser tollen Tradition. “
Nach dem Lesen des Artikels finde ich die Bedenken irgendwie schon nachvollziehbar. Man braucht jedenfalls ziemlich viele Winkelzüge und Wenn und Aber, um sich hier aus der DSGVO herauszureden. Das gelingt vielleicht irgendwelchen Profis, die sich beruflich mit Datenschutz beschäftigen aber nicht unbedingt Leuten, die nebenbei noch andere Aufgaben haben. Da bei der Auslegung der DSGVO zur Zeit überhaupt keine Rechtssicherheit besteht, wird man damit leben müssen, dass der ihr noch einige „tolle Traditionen“ zum Opfer fallen – auch wenn manche Datenschützer das nicht gern hören – und dass das die Akzeptanz des Themas Datenschutz und DSGVO unterminiert. Jedenfalls bei mir.
Kopfschüttler
22. November 2018 @ 11:04
So sehr ich es begrüße, wenn der Datenschutz ernst genommen wird und speziell bei Kindern höher Maßstäbe angelegt werden, stimme ich hier Herrn Dr. Ertel zu.
Mich erinnert das an den Streich des Magistrats in Wien bei den Namen auf den Klingelschild oder daran, daß jetzt Ärzte von ihren Patienten eine Einwilligung zur Datenverarbeitung verlangen. Trotz Behandlungsvertrag. Bäckereien auf Anraten derer Berater mit den Hotels, die sie mit Semmeln und Brot beliefern einen Auftragsverarbeitungsvertrag schließen wollen.
Leider sind noch immer in Unternehmen und Behörden Datenschutzbeauftragte bestellt, deren erforderlichen Fachkunde (ehemals § 4f Abs. 2 BDSG alt), juristischen Fähigkeiten und Kompetenz der richtigen Einschätzung der gesetzlichen Anforderung und des Risikos für den Betroffenen dem Sollzustand hinterherhinkt. Dank der vielen Halbwissenden werden die sinnvollen Vorschriften aus DS-GVO, BDSG, LDSG u.a. von den Bürgern nicht mehr ernst genommen und es besteht aus diesem Grund die Gefahr, dass sich die Situation im Datenschutz nicht verbessert, sondern verschlechtert.
Daniela Windelband
21. November 2018 @ 9:41
Aus gegebenem Anlass möchten wir darauf hinweisen, dass wir alle Kommentare prüfen, bevor wir diese freigeben. Wir freuen uns über Diskussionsbeiträge, Fragen, Anregungen, Kritik etc., aber was wir uns verbitten sind verbale Gewaltaufrufe, Aussagen die diffamieren und Ähnliches! In diesem Sinne auf eine faire Debattenkultur.
Mit freundlichen Grüßen
Daniela Windelband
Blogredaktion
Anonymous
20. November 2018 @ 9:51
Hier zu empfehlen ist der #XFilesGDPR auf Twitter, auf dem das ganze auch diskutiert wird. Dort ist man sich anscheinend nicht so einig, da: „Art. 2 I BayDSG unterwirft auch nichtautomatisierte DV dem #Datenschutz (§ 1 VIII BDSG ebenso)“, wobei ich der Argumentation noch nicht ganz folgen konnte.