Klingelgate in Wien, geschwärzte Kindergesichter im Erinnerungsalbum und ein Seniorennachmittag ohne Senioren – die DSGVO provoziert teils kuriose Reaktionen. Was passiert ist und was dran ist, haben wir einen gefragt, der es wissen muss.
Am 25. Mai vergangenen Jahres wurde die Datenschutzgrundverordnung (DSGVO) wirksam. Zumindest nach der berühmten Parallelwertung in der Laiensphäre hatte sich damit die Büchse der Pandora geöffnet: Nicht nur blieb kaum ein Verbraucher von der Flut der Einwilligungs-Mails in den darauffolgenden Wochen verschont, auch stellte sich bald allen die Frage, inwieweit sie im Alltag, etwa beim Fotografieren oder Selfie-Machen, von den neuen Regelungen betroffen sein könnte.
Noch bis heute geht das zunächst kritisch beäugte Regelwerk in Presse und sozialen Netzwerken viral, finden sich doch nach und nach immer weitere mehr oder weniger kuriose Auswüchse bei seiner Umsetzung. Einige davon haben wir uns herausgepickt, um sie von einem bewerten zu lassen, der es wissen muss:
Prof. Dr. Tobias Keber ist Professor für Medienrecht und -politik an der Hochschule für Medien in Stuttgart und referiert auf zahlreichen Veranstaltungen zur DSGVO. Die hat er sich auch gleich ausgedruckt in sein Büro gehängt. Auf Twitter (@datenreiserecht) initiierte er zudem den Hashtag "#XFilesGDPR", unter dem die Gemeinschaft seit vergangenem Oktober kuriose (Un-)Fälle bei der Umsetzung des Datenschutzregeln sammelt.
1/7: #Klingelgate - der "Klassiker"
Was bringt ein Klingelschild ohne Namen? Seinen Anfang hat das später in den Medien als "Klingelgate" bekannt gewordene Ereignis offenbar in der Wiener Magistratsabteilung MA 63 genommen. Die Beamten sind dort zuständig für Gewerberecht, Personenstand – und eben auch den Datenschutz. Mitte Oktober gab es aus dem Magistrat eine folgenschwere Einschätzung: Klingelschilder an der Haustür verstießen gegen die DSGVO.
Tatsächlich hatte sich ein Bewohner bei der Hausverwaltung Wiener Wohnen über mangelnden Datenschutz an der Haustür beschwert. Mit der Auskunft aus dem Magistrat waren plötzlich 220.000 städtische Klingelschilder in Gefahr, die aber – zumindest vorläufig - bleiben dürfen: Es gebe unterschiedliche Rechtsauffassungen zu der Frage, hieß es später.
Das sagt Prof. Dr. Keber:
Die Klingelschilder sind verdiente Punktemacher in dem von mir eigens entwickelten (nicht ganz ernst gemeinten) DSGVO-Mythen-Scoring-System (DMSS). Je höher der Score auf einer Skala von null bis zehn, desto eher handelt es sich um einen reinen Mythos, quasi ein Märchen, das juristisch nicht haltbar ist. Die Klingelschilder bekommen im DMSS eine herausragende 8/10. Um es kurz zu machen:
Die Klingelschilder dürfen bleiben - und zwar unabhängig davon, ob man mit einem nicht eröffneten Anwendungsbereich der DSGVO argumentiert, die Verarbeitung einwilligungsbasiert oder über die berechtigten Interessen des Verantwortlichen oder eines Dritten rechtfertigt.
Interessant sind die Schilder m.E. aus einem ganz anderen Grund. Sie zeigen nämlich, wie schräg die datenschutzrechtliche Debatte bisweilen geführt wird. Man muss sich das doch einmal klarmachen: Da beschweren wir uns (im öffentlich sichtbaren Diskurs) im Jahr 2018 darüber, dass Namen auf Klingelschildern am Hauseingang von Mehrfamilienhäusern (nicht) verschwinden sollen! Vor etwas mehr als zehn Jahren beschwerten wir uns dagegen über Google Street View.
Zur Erinnerung: Es ging bei dem Google-Dienst darum, dass das Anfertigen und Veröffentlichen digitaler Abbildungen des öffentlich einsehbaren Eingangsbereichs einer Wohnung (wohlgemerkt ohne, dass dort der Name der Bewohner sichtbar war, also ohne Namen auf Klingelschildern) datenschutzrechtlich unzulässig sei. Seit 2010 verpixelt man also aufgrund einer (dogmatisch übrigens fragwürdigen) Opt-out-Lösung in Deutschland Häuserfassaden. 2018 wollten wir hingegen unsere Klingelschilder mit Namen behalten. Merkwürdig, nicht?
2/7: Die Evolution des Fernkopierers: das Gegenfax
Per Fax forderte ein Absender die Twitter-Userin Miri auf, zu bestätigen und sicherzustellen, dass das nachfolgende Fax mit personenbezogenen Daten nur autorisierte Personen empfangen. Dazu sollte sie ein unterschriebenes "Gegenfax" schicken – und zwar aufgrund von "Bestimmungen des Bundesdatenschutzgesetzes". Sollte sich diese Praxis durchsetzen, dürfte der deutsche Faxverkehr ganz erheblich zulegen: Ankündigungsfax – Gegenfax – Fax.
Das sagt Prof. Dr. Keber:
Ja, gefaxt wird noch immer. Und zwar in gar nicht unerheblichem Maße und nicht nur zwischen (älteren) Anwälten, Gerichten und Behörden, sondern auch im Gesundheitsbereich (medizinische Befunde, Atteste etc.). Bemerkenswert oft geht es also um besonders sensible Daten, für die nicht nur die DSGVO (Art. 9, 32), sondern auch das Strafrecht (§ 203 StGB) besondere Schutzmechanismen vorsehen.
Die Vertraulichkeit als Aspekt der Datensicherheit und die Übermittlung personenbezogener Daten per Fax ist deshalb tatsächlich rechtlich gesehen ein Problem. Und zwar nicht erst seit Wirksamwerden der DSGVO. Vor diesem Hintergrund erklärt sich auch ein solches Ankündigungsfax. Beim Versand sensibler personenbezogener Daten per Fax bestehen nämlich viele Risiken: Es kann an die falsche Adresse (Faxnummer) gelangen, die Übertragung erfolgt in der Regel unverschlüsselt, auf modernere Faxgeräte kann man auch aus der Ferne zugreifen und nicht selten stehen Faxgeräte an zentralen Stellen im Büro, wo viele Menschen potenziell Zugriff darauf haben.
Mit dem Ankündigungsfax soll zumindest das Risiko einer Fehlleitung begrenzt und der Empfänger auf die Übermittlung eingestellt werden, so dass er gegebenenfalls zugriffsbeschränkende Maßnahmen ergreifen kann. Die Initiative #faxendicke, die das Fax in der Medizin abschaffen will, hat sich in der Praxis also noch nicht wirklich durchgesetzt.
Den DMSS würde ich hier bei 5/10 einordnen.
3/7: In Mittelfranken kommt das Christkind nicht
Viele Kinder schicken ihren Wunschzettel zum Nordpol. Im mittelfränkischen Roth werden die Wünsche hingegen an den Weihnachtsbaum auf dem örtlichen Christkindlmarkt gehängt, damit sich lokale Wohltäter der Sehnsüchte der Mädel und Buben annehmen können - so zumindest die langjährige Tradition.
Im vergangenen Jahr aber hat das zum ersten Mal seit langer Zeit nicht geklappt, weil die Stadt Bedenken wegen der DSGVO hatte. Die Zettel enthielten zwecks Wunscherfüllung nämlich Namen, Alter und Adresse des Absenders – "und waren offen für jeden einsehbar", zitiert das Online-Portal Wize life den Datenschutzbeauftragten Roths.
Nun sind zwischen Mai 2018, als die DSGVO wirksam wurde, bis zum vergangen Advent, an dem die Rother Kinderschar enttäuscht werden musste, Monate vergangen. Einen Vorwurf, sich nicht ausreichend vorbereitet zu haben, kann man der Stadt aber wohl nicht machen: Auf privater wie behördlicher Seite sorgte die DSGVO für massive Verunsicherung, die vielerorts bis heute anhält.
Das sagt Prof. Dr. Keber:
Die Lösung der Wunschzettel-Aktion der Stadt Roth haben wir bei Twitter rege diskutiert und es gibt dazu einen schönen Blog-Artikel des Kollegen Dr. Winfried Veil. Kurz gesagt kann man solche Aktionen jedenfalls mit Einwilligung der Teilnehmer durchführen, man muss den neuen Regelungen entsprechend aber ordentlich über die Verarbeitung informieren. In der praktischen Umsetzung ist das dann bisweilen schwierig. Was die Datensicherheit angeht, sind offen zugängliche Wunschzettel an einem Weihnachtsbaum auf dem Marktplatz natürlich auch nicht gerade ideal. Nach alledem gibt es für diesen Fall einen DMSS von 7/10.
Mit einiger Verwunderung habe ich in diesem Zusammenhang übrigens das Statement der Europäischen Kommission vom November 2018 zur Kenntnis genommen. Eine offizielle Klarstellung der Exekutive der Europäischen Union zu weihnachtlichen Wunschzettel-Aktionen in einzelnen Mitgliedstaaten sieht man schließlich nicht alle Tage. Rechtlich ist die Erklärung der Kommission freilich ohne jede Signifikanz, sie ist kein authentischer Interpret der DSGVO.
4/7: Keine Freunde im Kindergarten
Und wieder müssen die Kinder leiden – beziehungsweise ihre Erinnerungen. In Dormagen hat eine Kindertagesstätte (Kita) in den Erinnerungsbüchern, die die Kleinen am Ende ihrer Kindergartenzeit zum Abschied bekommen, auf Bildern die Gesichter der ehemaligen Spielkameraden und Erzieherinnen geschwärzt, berichteten der Kölner Standtanzeiger und die Hamburger Morgenpost im Sommer.
Schuld daran sei das "Gesetzesmonster", wie eines der Blätter die DSGVO nennt. Die Leiterin der Einrichtung habe sich wegen der massiven Unsicherheiten, die die neuen Regelungen brächten, zu diesem Schritt entschieden, und damit eine Weisung der katholischen Kirche befolgt, die die Kita trägt. Künftig soll es deswegen auch keine Gruppenfotos mehr zur Erinnerung geben.
Das sagt Prof. Dr. Keber:
Geschwärzte Kindergesichter in Kita-Erinnerungsalben müssen nicht sein (DMSS 8/10). Die rechtliche Würdigung ist aber nicht ganz einfach, denn man muss sich zunächst einmal anschauen, wer Träger der Kita ist, die den (vermeintlichen) Anonymisierungsfilzstift angesetzt hat. Soweit das wie in dem dokumentierten Fall ein kirchlicher Träger ist, sind wir, was die DSGVO nach Maßgabe des Art. 91 zulässt, im kirchlichen Datenschutzrecht unterwegs. Immerhin wurde dieses mit dem Kirchlichen Datenschutzgesetz (KDG) und dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) im Mai 2018 auf Linie mit der DSGVO gebracht.
Für die Anfertigung von Bildnissen der Kinder für die Erinnerungs-Alben bedarf es grundsätzlich der Einwilligung der Eltern, da die konkrete Art der Datenverarbeitung durch gesetzliche Erlaubnistatbestände (bspw. Bilder im Rahmen der Entwicklungsdokumentation) nicht gerechtfertigt ist. Eine Einwilligung hatte es den Medienberichten zufolge aber gegeben. Dass diese vor der datenschutzrechtlichen Zeitenwende am 25. Mai 2018 erteilt wurde, ist hier nicht das Problem (Alteinwilligungen können fortgelten). Aber: Die Zwecke der Datenverarbeitung müssen in der Einwilligungserklärung hinreichend klar dargestellt und der Vorgang muss dokumentiert werden.
5/7: "Anonymer Marder" bitte in Zimmer zwei
Im Prinzip besteht das Problem an der Fleischtheke und bei Starbucks genauso wie in der Arztpraxis, wie das Foto von Rechtsanwalt Niklas Plutte auf Twitter zeigt: Dürfen Wurst- und Kaffeekunden beziehungsweise Patienten noch mit ihrem Namen aufgerufen werden?
Einen konkreten Fall soll es im bayerischen Wolnzach, Kreis Pfaffenhofen gegeben haben. Beim Dorfmetzger soll eine Kundin mit Namen angesprochen worden sein, als sie an der Theke an der Reihe war. Diese protestierte, ihr Namen gehe hier niemanden etwas an.
Möglicherweise unangenehmer als die öffentliche Fleischbestellung mag der Aufruf mit Namen im Wartezimmer in einer Arztpraxis sein, die die Bestätigung verlangte, "die neue Datenschutz-Grundverordnung erhalten und gelesen" zu haben. Ob die Arztpraxis den Patienten einen Ausdruck des Regelwerks zur Verfügung stellte, wissen wir nicht.
Was wir allerdings wissen: Die "Unabhängige Patientenberatung", eine gemeinnützige Beratungsstelle, empfiehlt zwischenzeitlich, bei der Anmeldung gleich ein Pseudonym zu vereinbaren…
Das sagt Prof. Dr. Keber:
Ausdrucken kann man sich die DSGVO. Das geht sogar grafisch überaus ansprechend in 4-Punkt-Schrift und als Datenschutzfan hängt man sie sich anschließend natürlich ins Büro.
Der Sache nach muss man zu der getwitterten "Mainzer Einwilligungserklärung" wenig sagen. Redlich bemüht waren sie in der Arztpraxis; trotzdem gibt es dafür einen phänomenalen DMSS von 9/10.
Die Bedingungen der DSGVO gelten und zwar unabhängig davon, ob man das akzeptiert oder sie gelesen hat. So ist das wie wir wissen mit (europäischen) Gesetzen.
Und nun im Ernst: Datenschutz, gerade der in einer Arztpraxis, ist ein ebenso wichtiges wie hochkomplexes Thema. Hilfreich sind hier, wie in anderen Bereichen auch, die zahlreichen Praxispapiere und Leitfäden der Landesdatenschutzbehörden und Berufsverbände.
Dabei ist auch nun wirklich nicht alles neu: Mit den potenziell hohen Bußgeldern haben nur die öffentliche Wahrnehmung und die datenschutzrechtliche Sensibilität zugenommen. Schon vor der DSGVO war es keine gute Idee, die Computerbildschirme im Anmeldebereich der Praxis so zu positionieren, dass andere Patienten den Namen und Gesundheitsstatus des aktuell nebenan wurzelbehandelten Leidensgenossen einsehen konnten.
6/7: Ein Seniorennachmittag ohne Senioren
Schlechte Nachrichten für die älteren Semester in den schwäbischen Ortschaften Munderkingen, Rottenacker, Untermarchtal, Emerkingen und Hausen am Bussen; wobei viele von ihnen das noch nicht mal bemerkt haben dürften – und genau da liegt das Problem: Wie jedes Jahr organisierte der Ortsverband des Deutschen Roten Kreuzes (DRK) auch für den 9. Dezember 2018 einen Seniorennachmittag für Menschen über 70 Jahre. Zum ersten Mal kam den Veranstaltern und den Senioren hinsichtlich der persönlichen Einladungen die DSGVO in die Quere.
Bisher hatte der DRK-Ortsverein nämlich immer von den Ortsverwaltungen eine aktuelle Adressliste mit den lokalen Senioren im Alter von 70 Jahren oder höher erhalten – das war nun nicht mehr möglich.
"In den vergangenen Jahren haben wir immer persönliche Einladungen an die Senioren über 70 Jahre in den Mitgliedsgemeinden verschickt, das dürfen wir diesmal nicht", erklärte der Vorsitzende des DRK-Ortsvereins Paul Burger der Schwäbischen Zeitung. Und das nehmen wohl viele Senioren den Veranstaltern übel und kommen deshalb nicht. Die alten Listen aus dem Vorjahr wolle man aber auch nicht mehr verwenden, weil dort die "neuen" 70-Jährigen fehlten. "Wir wollen einfach keine Ungleichbehandlung", so Organisator Burger.
Das sagt Prof. Dr. Keber:
Diesmal ein niedriger DMSS von 2/10. Da ist was dran und die Bewertung der Story ist gar nicht so einfach. Das liegt einmal daran, dass hier nationales Recht und DSGVO unionsrechtskonform ineinandergreifen (müssen). Der insoweit erforderliche nationale Anpassungsprozess ist nicht beendet, das zweite Datenschutz-Anpassungsgesetz befindet sich noch in der Pipeline. Unter anderem geht es darin auch um Anpassungen im Bundesmeldegesetz (BMG), das in diesem Fall eine wichtige Rolle spielt.
Stark vereinfacht gesagt geht es hier einerseits um die Frage, ob die Weitergabe der Meldedaten durch die Gemeinden in Ordnung wäre und andererseits darum, ob die Nutzung der Daten (personalisierte Einladungen an Personen über 70) durch das DRK rechtmäßig wäre. Während sich Letztgenanntes gegebenenfalls über eine Interessenabwägung (Art. 6 Abs. 1 lit f DSGVO) rechtfertigen ließe (Nutzung der Meldedaten für die Veranstaltung und geselliges Beisammensein bei Kaffee und Kuchen), wird man den engen Anwendungsbereich einer Gruppenauskunft durch die Gemeinde im Sinne des § 46 BMG nur schwer bejahen können.
Daten nach dieser Regelung bekommt nämlich nur, wer sich auf ein öffentliches Interesse berufen kann. Und das wird man verneinen müssen, wenn der mit der Datennutzung beabsichtigte Zweck nicht auch (leicht) auf andere Weise erreicht werden kann, etwa durch Ankündigung der Veranstaltung in einer regionalen Zeitung.
7/7: Bierbestellung nach DSGVO – Hauptsache kalt!
Mit ihrer "Supergeil"-Kampagne erreichte die Supermarktkette Edeka ein Millionenpublikum. Mit seiner Bitte um "Einverständniserklärung" zur Datenverarbeitung nach der DSGVO erreicht das Unternehmen immerhin nicht nur einen Bierliebhaber, sondern letztlich auch einen Syndikusrechtsanwalt (@SyndikusFuzzi), der das Foto vom Papier über Twitter teilte.
Wie das Dokument beim Juristen landete und warum sich der Supermarkt für eine Zettel-Lösung entschieden hat, konnten wir nicht in Erfahrung bringen. Dafür aber immerhin vermuten, dass es sich beim Bestellenden um einen aufgeschlossenen Menschen handeln muss:
Schließlich verlangt er nach Bieren aus dem Ruhrgebiet und München und sogar nach Altbier – und das als Kölner! Vielleicht hat er auch deshalb nur kurz über den analogen Wisch gestutzt. Denn wichtig war ihm offenbar nur: Hauptsache kalt.
Das sagt Prof. Dr. Keber:
Ein Phänomen, das (nicht nur bei Twitter) unter "Einwilligeritis" diskutiert wird und den bestmöglichen DMSS 10/10 erhält – Glückwunsch!
Das Problem: Einer (gesonderten) Einwilligung bedarf es nicht, wenn die Datenverarbeitung anderweitig gerechtfertigt werden kann, etwa weil sie für die Erfüllung eines Vertrags erforderlich ist (Art. 6 Absatz 1 lit b) DSGVO). Eine (gesonderte) Einwilligung ist dabei nicht nur entbehrlich, sondern kann zu schwierigen Fragen führen.
So war es beispielsweise im Fall des Sperrmüll-Anmelde-Formulars der Stadt Dortmund. Auch hier wurde (noch einmal) um Zustimmung zur Datenverarbeitung gebeten. Richtigerweise erfolgt die Datenverarbeitung in diesen Fällen im Rahmen der Daseinsvorsorge auf Grundlage des Art. 6 Abs. 1 lit e) DSGVO. Umgekehrt konnte man in diesem Fall sonst fragen: Wenn die (gesonderte) Einwilligung zur Datenverarbeitung der Stadt nicht erteilt wird, bleibt der Sperrmüll dann einfach auf dem Bürgersteig liegen?
Zum Europäischen Datenschutztag: 7 DSGVO-Mythen im Rechtscheck . In: Legal Tribune Online, 28.01.2019 , https://www.lto.de/persistent/a_id/33489/ (abgerufen am: 20.04.2024 )
Infos zum Zitiervorschlag