Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Datenschutz im Lehrerzimmer

Eine unglaubliche Geschichte berichtet News4teachers, danach soll ein stellvertretender Schulleiter eines Gymnasiums in Cottbus in mehreren Räumen der Schulleitung und des Lehrerrats Abhörvorrichtungen versteckt haben.

Ein solches Verhalten ist strafrechtlich relevant und nach § 201 Abs. 3 StGB mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Darüber hinaus kann eine Verurteilung aber zu erheblichen weiteren Probleme wie dem Verlust des Beamtenstatus und damit auch einer erheblich geringeren Rente führen.

§ 24 Beamtenstatusgesetz: Verlust der Beamtenrechte

(1) Wenn eine Beamtin oder ein Beamter im ordentlichen Strafverfahren durch das Urteil eines deutschen Gerichts
1. wegen einer vorsätzlichen Tat zu einer Freiheitsstrafe von mindestens einem Jahr oder
2. wegen einer vorsätzlichen Tat, die nach den Vorschriften über Friedensverrat, Hochverrat und Gefährdung des demokratischen Rechtsstaates, Landesverrat und Gefährdung der äußeren Sicherheit oder, soweit sich die Tat auf eine Diensthandlung im Hauptamt bezieht, Bestechlichkeit, strafbar ist, zu einer Freiheitsstrafe von mindestens sechs Monaten verurteilt wird, endet das Beamtenverhältnis mit der Rechtskraft des Urteils. Entsprechendes gilt, wenn die Fähigkeit zur Bekleidung öffentlicher Ämter aberkannt wird oder wenn die Beamtin oder der Beamte aufgrund einer Entscheidung des Bundesverfassungsgerichts nach Artikel 18 des Grundgesetzes ein Grundrecht verwirkt hat.

Aus diesem Grund lauten Verurteilungen von Lehrern häufig auf 11 Monate, weil die Folgen ansonsten erheblich sind. Das gilt auch, wenn die Strafe auf Bewährung ausgesetzt wird. Das Abhören ist - so verwerflich es auch sein mag - nicht zu den Delikten zu zählen, bei denen bereits nach sechs Monaten Verurteilung die oben genannten Folgen eintreten - das ist vor allem bei Taten mit Sexualbezug denkbar. Gleichwohl sollte der Lehrer - soweit schuldig - um eine Verurteilung zu einer Geldstrafe oder einer geringen Freiheitsstrafe kämpfen. Das ist im konkreten Fall auch realistisch.

Twitter im Sturm

Der amerikanische Präsident tut es, unsere Kanzlerin lässt es tun, viele Anwälte tun es, unsere Stars und Sternchen tun es und unzählige Unternehmen tun es: Twittern. Und nun kommen die Spielverderber (Datenschützer) und wollen das einschränken oder gar verbieten? 

Warum kann es problematisch sein Twitter zu nutzen?

Der EuGH (große Kammer) hatte bereits am 5. Juni 2018 zum Aktenzeichen C-210/16 entschieden, dass Betreiber von Facebook Seiten (Fanpages) für die Erhebung der Daten ihrer Besucher durch Facebook mitverantwortlich sind  05.06.2018 – C-210/16 „Wirtschaftsakademie”). Am 29. Juli 2019 bekräftigte die zweite Kammer des EuGH zum Aktenzeichen C- 40/17 diese Rechtsprechung mit Blick auf Social Plugins, die auf Webseiten eingebunden werden. Der Betreiber eines Twitter Profils ist damit für die Erhebung und Verarbeitung der Daten durch Twitter mitverantwortlich. Twitter und der Nutzer sind gemeinsam Verantwortliche im Sinne der DSGVO. Daher müsste Twitter also mit dem Nutzer einen Vertrag entsprechend Art. 26 DSGVO schließen, welcher die Verantwortlichkeiten regelt. Übrigens Facebook bietet einen solchen Vertrag mittlerweile an, aber eben nicht Twitter.

Was ist die Folge?

Baden Würtenbergs oberster Datenschützer Stefan Brink hat sich daher von Twitter zurückgezogen und fordert Behörden und Unternehmen auf, es ihm gleichzutun. Ferner möchte er Druck auf die Unternehmen ausüben, damit diese Twitter unter Druck setzen ein datenschutzkonformes Angebot aufzusetzen.

 

Fotografieren bei der Schulaufführung - Verboten durch die DSGVO?

Der Tätigkeitsbericht Datenschutz 2019 des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit setzte sich auch mit dem (angeblichen Fotografierverbot) in Schulen und Kitas auseinander und wies darauf hin, dass wenn die Bilder nicht in sozialen Netzwerken veröffentlicht werden, noch nicht einmal der Schutzbereich der DSGVO eröffnet ist.  

 (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

      (c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten..

Dies wird im Erwägungsgrund 18 der DSGVO weiter konkretisiert:

"Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten [...]"

Danach greift die DSGVO nicht, wenn Eltern die eigenen und/oder Dritte Kinder filmen/fotografieren soweit diese Bilder auch nur privat genutzt werden. Im Tätigkeitsbericht Datenschutz 2019 S, 135 wird dies wie folgt erläutert:

"Soweit das Foto in einem sozialen Netzwerk nur innerhalb einer geschlossenen Gruppe, die auf einen fest definierten Kreis von Personen aus dem sozialen Umfeld des Fotografierenden begrenzt ist, und zum Zweck der rein privaten Freundschaftspflege veröffentlicht wird, ist noch von einer persönlichen oder familiären Tätigkeit in diesem Sinne auszugehen. Wird das Foto hingegen zum Zweck einer auch beruflichen Kontaktpflege mit einer geschlossenen Gruppe geteilt, ist die Anwendungsausnahme des Art. 2 Absatz 2 lit. c DSGVO demgegenüber nicht mehr eröffnet." 
 

Beweislast bei Schadensersatzansprüchen nach DSGVO

Leider gibt es noch wenig Rechtsprechung in Deutschland zur DSGVO insbesondere zu den Schadensersatzansprüchen nach Art. 82 DSGVO, aber hier lohnt der Blick zu unseren Freunden nach Österreich. Dort hatte sich nämlich der Oberste Gerichtshof in Österreich (OGH) v. 27.1..2019 - AZ: 6 Ob217/19h zu den Beweislastregeln beim Schadensersatzbegehren von Betroffenen geäußert. In dem zugrundeliegenden Sachverhalt ging es um die Klage eines Betroffenen gegen eine Auskunftei, die falsche Informationen zum Schuldenstand lieferte, wodurch er - nach eigenem Vortrag nur eine ungünstigere Finanzierung erhalten hatte  Neben diesem materiellen Schaden begehrte er noch Ersatz seines immateriellen Schadens. Die Vorinstanz hatte den immateriellen Schaden in Höhe von 2.000,00 EUR zugesprochen, aber den Ersatz des materiellen Schadens verwehrt. Das hat das OGH, aaO bestätigt - der Kläger konnte nicht beweisen, dass ihm ein materieller Schaden entstanden war. Die Beweislast hatte der OGH sowohl hinsichtlich der Kausalität zwischen Datenschutzverstoß und Schaden als auch hinsichtlich des Eintritt des Schadens beim betroffenen Kläger verortet.

Der digitale Nachlass

Gestern hatte ich den Datenschutz nach dem Tod thematisiert und heute stoße ich auf das sehr lesenswerte Gutachten: Der digital Nachlass - Eine Untersuchung aus rechtlicher und technischer Hinsicht. Interessant fand ich den Ansatz einer Vorsorgevollmacht für digitale Angelegenheiten; bedenkenswert ist der Ansatz die Vorsorgevollmacht möglichst offen zu formulieren und nicht einzelne Dienste aufzunehmen, um keine Regelungslücken entstehen zu lassen, wenn ein neuer Dienst hinzukommt oder nicht bedacht wird. Andererseits stellt sich die Frage wie der Bevollmächtigte von einem Dienst erfahren will, wenn dieser nicht irgendwo in einer Liste aufgeführt ist. Es bestehen sicher erbliche Probleme in der Praxis wenn der Bevollmächtigte den Betreiber von Dropbox anschreibt, um zu erfahren ob der Bevollmächtigte dort ein Konto hat, zumal der Bevollmächtigte bei vielen Diensten auch nicht zwingend seine (vollständigen) zutreffenden Daten angegeben hat. 

Datenschutz nach dem Tod

Was geschieht mit Ihren Daten nach ihrem Tod? Wer hat überhaupt Zugriff auf diese? Wollen Sie, dass Ihr Facebook Account weiterbesteht? Haben Sie vielleicht einen Blog, von dem Sie wünschen, dass dieser in einer bestimmten Art und Weise weitergeführt wird. Was passiert mit Fotos in der Amazon Photo Cloud? 
Zunächst sollte eine Bestandsaufnahme erfolgen und Sie sollten schauen wo Sie überall Kontos haben. Zur ersten Orientierung kann folgende Liste dienen

  • 1. E-Mail Dienste und Kommunikationsdienste zum Beispiel ein Google Mail Konto, Gmx Konto oder auch WhatsApp
  • 2 .Soziale Netzwerke
    • a.    privat z.B. Facebook, Twitch, Youtube, Twitter
    • b.    beruflich z.B, Xing, Youtube, Twitch
  • 3.    Cloud Dienste wie Amazon Photos, Wetransferm Dropbox, Microssoft One Drive; Google Drive, Samsung Cloud
  • 4.    Verkaufsplattformen z.B. Amazon, Ebay, Otto
  • 5.    Streaming Dienste wie Netflix, Amazon Prime

Dann sollten Sie Ihre Passwörter und Zugänge in dieser Liste vermerken sowie was mit den Diensten und den dort vorhandenen Inhalten geschehen soll. Diese Liste fügen Sie Ihrem Testament bei, welches Sie durch einen Notar beglaubigen lassen und dort hinterlegen. Dann müssen Sie nichts handschriftlich erstellen. Wenn Sie dabei sind, erstellen Sie gleich noch eine Patientenverfügung.

Damit ersparen Sie Ihren Erben eine Menge Stress.
 

Datenschutz und Arbeitsrecht

Der Datenschutz ist in der Praxis und besonders am Arbeitsplatz nicht immer optimal einzusetzen. Jeder Datenschutzbeauftragte wird wohl die verdrehten Augen der Mandanten erlebt haben, wenn einmal dargestellt wird, was alles erforderlich ist, um den Arbeitsplatz wirklich datenschutzkonform darzustellen.

Grund für die neue Aufregung kommt diesmal vom EuGH, nachdem nicht nur Überstunden erfasst werden soll, sondern die gesamte Arbeitszeit. Das stellt dann einige Probleme. Kommt nun die Totalüberwachung? Müssen Toilettenbesuche, der Gang zur Kaffeemaschine und Raucherpausen nun protokolliert werden? Und ist das mit dem Datenschutz vereinbar. Das Problem ist nach meiner Meinung ein Scheinproblem:

  • Toilettengänge sind grundsätzlich keine Arbeitszeitpausen, und müssen damit auch nicht dokumentiert werden. Und selbst eine halbe Stunde Aufenthalt auf der Toilette rechtfertigt keine Gehaltskürzung.
  • Zumindest der Gang zur Küche und zurück, um sich einen Kaffee zu holen ist keine Unterbrechung der Arbeitszeit

Nur die Raucherpause ist eine Pause während der Arbeitszeit, die als solche genehmigt werden muss. Wenn der Arbeitgeber aber ohnehin diese Pausen als Arbeitszeit verschenkt, dann besteht nach meinem Verständnis keine Notwendigkeit eine Unterbrechung der Arbeitszeit zu dokumentieren. Anders als viel andere Kommentatoren denke ich, dass der EuGH samt dem darauf fußenden noch zu verabschiedenden Gesetz bei der Arbeit im Betrieb wenig bis nichts ändert. Anders mag dies bei der Heimarbeitszeit aussehen.

DRK erstattet nach Sicherheitslücke Strafanzeige

Die Märkische Allgemeine berichtet, dass das Deutsche Kreuz (DRK) nach Bekanntwerden einer Sicherheitslücke auf der eigenen Webseite Strafanzeige erstattet hat. Gegen unbekannt natürlich. Mir stellt sich die Frage: Warum?

Nach den Medienberichten hatte die Internetseite eine Sicherheitslücke, die es Dritten ermöglichte mehr als 110.000 Einsatzdaten von Krankentransporten einzusehen. Mit derselben Logik könnte ein Hausbesitzer, der vergessen hat ein Fenster im Garten zu schließen, Strafanzeige gegen unbekannt stellen. Noch sonderbarer wird es, wenn man sich vorstellt, dass der Hausbesitzer damit herauszufinden sucht, ob jemand eingebrochen ist. Genauso wenig wird das LKA dem DRK dabei helfen, ob jemand Zugriff auf die Daten hatte.

Fotografierverbot bei Einschulungen der Kinder?

Immer wieder stellt sich die Frage, ob und wie auf  Schulveranstaltungen fotografiert werden darf. Nun beschäftigt sich ein lesenswerter Artikel auf MDR Aktuell mit genau dieser Frage: Dürfen auf einer Einschulung die Eltern fotografieren? Der Thüringer Datenschutzbeauftragter Lutz Hasse bejaht dies. Hier sollen seine Ausführungen ein wenig  erläutert werden. Die Rechtmäßigkeit der Verarbeitung  erkennt er offenbar in Art. 6 DSGVO Abs. 1 lit f):

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zur Auslegung dieser Norm ist der Erwägungsgrund 47 hinzuzuziehen, wo es heißt:

[,,,] Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann [...].

Mit anderen Worten die Abwägung aus Art. 6 Abs. 1 f. DSGVO wird davon beeinflusst, wenn die Betroffenen damit rechnen müssen fotografiert zu werden. Das - so der Thüringer Datenschutzbeauftragte - sei der Fall bei einer Einschulung, als jeder damit rechne dort fotografiert zu werden.

 

Kammergericht Berlin leidet immer noch am Hackerangriff

Das Kammergericht Berlin wurde nun schon einige Tage durch einen Hackerangriff lahmgelegt. Wie läuft so etwas in der Praxis ab? Oftmals beginnt es mit einer E-Mail. Aber nicht von irgendwem sondern von einer Person, mit der man kommuniziert hat. Es ist scheinbar eine Antwort E-Mail. Diese lautet etwa Guten Tag - automatische individuelle Anrede habe ich noch nicht gesehen, gibt es aber wahrscheinlich auch - in der Anlage mein Schreiben als Antwort. Dieses ist in einer RAR Datei als Attachement beigefügt. Für das Archiv gibt es ein Passwort. Das Passwort ist gleich in der E-Mail mit beigefügt (sicher nicht sinnvoll, aber nun ja). Nachdem man die Datei öffnet, öffnet sich "Word" und dort steht dann, man solle die Makros aktivieren, damit die ältere "Word" Version gelesen werden kann. Wenn letztgenanntes erfolgt, ist es zu spät. Dann wird der Rechner verseucht.

Welche Warn-Signale gab es:

  • 1. Keine individuelle Anrede

  • 2. Anhang "RAR-Datei"

  • 3. Passwort in derselben E-Mail

  • 4. Ältere Word Version nicht lesbar - das ist nicht korrekt, Word ist abwärtskompabtibel

  • 5. Aktiviere Makros (letzt genanntes ist tödlich!)

Seien Sie vorsichtig, dann können Sie weiterhin E-Mails empfangen und sind nicht über Monate eingeschränkt wie das Kammergericht Berlin.

 

 

 

 

 

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 3 Abstimmungen.