Was sagt der Datenschutz zur Nutzung einer Fahrzeugkamera?

Bei der Verwendung einer Fahrzeugkamera kann es nicht nur dazu kommen, dass man Beweise für einen selbst verschuldeten Unfall liefert, sondern auch ein Bußgeldbescheid wegen eines Datenschutzverstoßes erhält. Bei der sächsischen Datenschutzbeauftragten beliefen sich die auf Privatpersonen festgelegten Bußgelder auf bis zu 1.000 €; im gewerblichen Bereich können die Summen weitaus höher werden.
Tatsächlich bieten die wenigsten Dashcam-Typen einen datenschutzkonformen Betrieb.
Wir geben Ihnen hier einige Einblicke.

Dashcams werden eingesetzt, um Bildaufzeichnungen des (Verkehrs-)Geschehens vor bzw. hinter dem Fahrzeug, des Geschehens vor bzw. hinter dem Fahrzeug während des Parkens sowie des Innenraums, aber auch Audioaufzeichnungen in oder aus dem Fahrzeug aufzuzeichnen. Die neuesten Entwicklungen zeigen, dass noch deutlich mehr Überwachungspotenzial besteht – so können die Daten beispielsweise mit Fahrzeugkennzeichen, Datum oder GPS-Daten angereichert werden.

Beim Tesla Modell 3 besteht u.a. mit insgesamt acht Fahrzeugkameras die Möglichkeit einer Rundumüberwachung und der Speicherung in der (eigenen) Cloud. Außerdem ist auch der Fernabruf aktueller Überwachungsbilder beim Hersteller möglich. Ohne große Überlegungen – und meist auch komplett anlassfrei – werden die angebotenen Möglichkeiten genutzt und Videoaufzeichnungen erstellt und erst gelöscht, wenn der Speicherplatz an seine Grenzen stößt.

Die kritischen Punkte:

  • Unterstützung der Fahrzeugfunktionen
    In vielen Fahrzeugen sind fest installierte Kameras vorhanden, die dazu dienen verschiedene Funktionen (wie z.B. Verkehrszeichenerkennung, Rückfahrkamera oder Spurhalteassistent) zu unterstützen. Hier könnte die Verarbeitung personenbezogener Daten mit Art. 6 Abs. f) DSGVO gerechtfertigt werden, allerdings könnten die Funktionen regelmäßig auch ohne Aufzeichnung erfolgen.
  • Aufzeichnung des (Verkehrs-)Geschehens
    Aufzeichnungen dürfen grundsätzlich nur anlassbedingt erfolgen. Seitens der Aufsichtsbehörden wird eine Größenordnung von ein bis drei Minuten toleriert. Pre-Recording (=anlassfreie Aufzeichnung zur Nachvollziehung der Entstehung von Verkehrsereignissen) ist nur faktisch nur im unteren einstelligen Minutenbereich zulässig. Dennoch bieten die wenigsten Hersteller eine solche Einstellungsoption an, Selbst bei Tesla liegt die Schleifenlänge unzulässigerweise bei 60 Minuten.
    Die Auswahl der Kamera sollte unbedingt sorgfältig getroffen werden!
  • Aufzeichnungen im Fahrzeug
    Diese sind tatsächlich nur unkritisch, wenn der Fahrer das Fahrzeug alleine nutzt. Da auch eine Erforderlichkeit nicht ersichtlich ist, werden diese Aufnahmen regelmäßig als unzulässig eingestuft.
    Er wird daher empfohlen, die Innenkamera zu deaktivieren!
  • Audioaufzeichnungen
    Mit integrierten Mikrofonen besteht die Möglichkeit, im Fahrzeug geführte Gespräche, über die Freisprechanlage geführte Telefonate sowie Konversationen mit außerhalb des Fahrzeug stehenden Personen aufzuzeichnen. Allerdings ist auch hier eine Erforderlichkeit nicht ersichtlich. Sollte der Gesprächsteilnehmer nicht darauf hingewiesen worden sein, könnte sogar der Straftatbestand von § 201 Abs. 1 Nr. 1 StGB (= Verletzung der Vertraulichkeit des Wortes) in Betracht gezogen werden.
    Es wird daher dringend empfohlen, das Mikrofon zu deaktivieren!
  • Aufzeichnungen beim Parken
    Während das geparkte Fahrzeug auf selbstgenutztem und nicht-öffentlichen Gelände steht, ist der Kamerabetrieb tatsächlich unkritisch. Anders ist es allerdings auf öffentlichem Gelände, da dieser auch von Dritten genutzt wird, die ggf. anlassfrei auf Video aufgezeichnet werden könnten, deren Interesse hier tatsächlich regelmäßig überwiegt. Dementsprechend ist auch die Aktivierung der Aufzeichnung, sobald sich Personen mehr oder weniger weit entfernt am Fahrzeug vorbeibewegen (z.B. Tesla = Wächtermodus), nicht zulässig.
    Daher wird auch hier empfohlen, auf den Parkmodus zu verzichten!
  • Informationspflichten
    Die Umsetzung der Informationspflichten nach Art. 12 ff DSGVO gestaltet sich offensichtlich aus sehr schwierig. Unabhängig davon, ob es die Zulassung solcher Kameras zulässig ist oder sein sollte, wird wohl regelmäßig unter Betrachtung der Informationspflicht von einem Datenschutzverstoß auszugehen sein.

Fazit

Die Kameranutzung an Fahrzeugen ist ein zwar ein praktisches, aber dennoch auch kritisch zu betrachtendes Tool, bei dem Vorsicht geboten ist.

Sollten Sie weitere Fragen haben, melden Sie sich gerne bei uns.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Juli 2022

Metaverse und Datenschutz – nur ein Hype?

Im Herbst 2021 wurde aus „Facebook“ nun „Meta“ – zumindest was den Konzern angeht.
Auch im Zusammenhang mit der Übernahmeankündigung des Spieleentwicklers Blizzard durch Microsoft Anfang 2022 schwang der Begriff „Metaverse“ mit.
Was ist denn aber dieses Metaverse? Und was sagt der Datenschutz dazu?
Wir geben Ihnen einen kleinen Einblick.

Was ist das Metaverse?

Die Science-Fiction-Literatur ist Ideengeber für viele mittlerweile gängige Begriffe (z.B. Cyber). Der Begriff „Metaverse“ soll aus dem Roman „Snow Crash“ (1992) kommen, in dem es um virtuelle Welten geht, in denen Menschen mit Avataren, also dreidimensionalen Abbildern, in Kontakt treten. Das Potential lässt sich leicht erahnen: die Facebook-Kontakte können dann nicht mehr nur als Bildchen auf dem Smartphone-Bildschirm erscheinen, sondern in einer virtuellen Realität interagieren, nicht nur Vier-Augen-Gespräche führen, sondern beispielsweise auch gemeinsam ein virtuelles Konzert besuchen, gemeinsam virtuellen Sport betreiben oder bei epischen Schlachten die Teamfähigkeit verbessern.

Auch wichtig: DAS Metaverse gibt es (zumindest noch) nicht, was man auf der Suche nach einem Download-Link bzgl. Metaverse schnell bemerken kann.

Die Voraussetzungen

Zwar gibt es (noch) Metaversen, die ausschließlich über einen Browser funktionieren, doch das echte virtuelle Erleben kommt eigentlich erst durch die Verwendung einer aktuellen Virtual-Reality-Brille zum Tragen, denn so wird die virtuelle Umgebung zunehmend als real erlebt. Die meisten VR-Brillen benötigen derzeit noch einen leistungsstarken PC, doch Oculus (gehört Facebook/Meta) hat eine Technologie geschaffen, die auch ohne PC auskommt, sodass die VR-Brillen wohl bald auch ohne Facebook-Konto nutzbar sein können.

Technisch betrachtet wird der Zugang zu einem Metaverse also immer ein digitales Endgerät voraussetzen – künftig zunehmend in Form von VR-Brillen.

Metaverse und Blockchain

Auf den ersten Blick ist der Zusammenhang nicht unbedingt erkennbar. Doch die Blockchain-Technologie wird den Metaverse-Anwendungen wahrscheinlich zum großen Durchbruch verhelfen können: neben der Möglichkeit digitaler Zahlungen (mittels Bitcoin) wird auch der unteilbare Besitz an digitalen Gütern Wirklichkeit, was auch als NFT (Non-Fungible Token) bezeichnet wird und eine Art Besitzurkunde darstellt, die in einer Blockchain eingetragen ist. Die sich hier wahrscheinlich durchsetzende Blockchain-Technologie heißt Ethereum (mit der Währung Ether) und ist auch bereits als Bestandteil spekulativer Finanzpakete auf dem nicht virtuellen Markt zu finden.

Was sagt der Datenschutz?

TTDSG

Die VR-Brillen sind technologisch mit Smartphones vergleichbar. Somit wird das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) Anwendung finden. Gleichzeitig wird dasselbe auch die Diskussion weiter anfachen, welches Feature in den Metaversen wirklich unbedingt notwendig ist.

DSGVO

Wie auch bisher, wird die DSGVO ein flexibles Normengebilde für den Datenschutz bieten und durch das Marktortprinzip auf Metaversen Anwendung finden, die in EU angeboten werden.

Was sich schnell als Streitfall aufzeigen wird, wird die Datenportabilität sein, denn was passiert, wenn ein Nutzer seine teuer erworbenen NFTs (wie z.B. eine aufwendig erstelltes virtuelles Blockhaus mit Blick auf die Berge) in ein anderes Metaverse mitnehmen möchte, der Plattformbetreiber dies aber zu verhindern versucht? Zumindest technisch wäre es durch die Blockchain-Technologie grundsätzlich möglich.

Aufsichtsbehörden

Herausfordernd wird es für die Datenschutzaufsichtsbehörden. Um die Geschäftspraktiken in den Metaversen frühzeitig in die richtigen Bahnen lenken zu können, sollten sie mit Blick auf die Aufgabe technische Entwicklungen zu verfolgen (Art. 57 Abs. 1 i DSGVO), schnellstens in ein VR-Lab investieren.

Alles nur ein Hype?

Ob ein Hype Veränderungen in der Wirklichkeit mit sich bringt, weiß man erst, wenn es tatsächlich so weit ist. Die Kombination aus Metaverse und Blockchain und auch der Ausblick auf gute Verdienste sprechen jedoch schon jetzt für einen großen Erfolg.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Juni 2022

Microsoft-Cloud-Lösungen und die DSGVO

Viele Unsicherheiten gibt es, wenn es um das Thema Microsoft-Cloud geht, denn vor allem seitdem der Europäische Gerichthof 2020 den Privacy Shield gekippt hat, bieten die USA kein angemessenes Schutzschild mehr.
In diesem Beitrag möchten wir Ihnen einen Überblick zum aktuellen Stand und der Verwendung der MS-Cloud-Dienste geben.

Was Microsoft auch ohne Privacy Shield selbst tun möchte

  • Der U.S. CLOUD Act ist eines der Hauptprobleme, da er den US-Behörden umfassenden Zugriff auf die in der Cloud von US-Unternehmen gespeicherten Daten ermöglicht. Microsoft kann daran zwar nicht viel ändern, garantiert aber, in einem solchen Fall die angefragten Daten nicht ohne weiteres herauszugeben, sondern alle Anfragen uneingeschränkt anzufechten bis zur gerichtlichen Entscheidung tatsächlich keine Wahl mehr bleibt. Außerdem hat Microsoft eine finanzielle Entschädigung angekündigt, wenn es durch den CLOUD Act die DSGVO verletzten muss und ein europäisches Unternehmen dadurch Schaden erleidet.
  • (In DE gilt dies übrigens ebenso für deutsche Behörden, wenn es um die nationale Sicherheit geht, Art. 2 Abs. 2d) DSGVO).
  • Unter „EU Data Boundary for the Microsoft Cloud“ möchte Microsoft mit der Speicherung in EU-Rechenzentren generell sicherstellen, dass US-Behörden nicht noch einfacher an die genannten Daten gelangen; verhindert wird es dennoch nicht.
  • Ende 2022 möchte Microsoft garantieren können, dass die Daten aller in der EU angebotenen Cloud-Dienste nicht in den USA zur Speicherung gelangen. Die entsprechend notwendigen Prozesse befinden sich noch in Abstimmung.
  • Auf der Seite „Verfügbare Produkte nach Region“ bietet Microsoft eine ganz transparente Liste an. Diese zeigt, welche Dienste in welchen Regionen zur Verfügung stehen und wo deren Dienste gespeichert werden. Diese gilt für die Dienste in Microsoft 365, Dynamics365 und Azure.
  • Bei der Nutzung von Azure und Microsoft365 kann man für die meisten Dienste eine Auswahl treffen, wo die Daten gespeichert werden sollen.
  •  In Zusammenarbeit mit externen Dienstleistern verpflichtet Microsoft seine Partner (mindestens) zur Einhaltung der DSGVO.
  •  Auch eine Verschlüsselung ist möglich:
    Zum einen gibt Microsoft Dritten keinen Zugriff auf den selbst verwendeten Verschlüsselungs-Schlüssel.
    Zum anderen besteht die Möglichkeit, die Daten mit von Microsoft selbst angebotenen Verschlüsselungsfunktionen verschlüsselt zu speichern. So erhält selbst Microsoft keinen Zugriff auf die gespeicherten Daten.
    Außerdem kann man auch seinen eigenen Verschlüsselungs-Schlüssel verwenden. Weitere Informationen zur Erstellung finden Sie hier.

Die spannende Frage

Können / sollen / dürfen wir die Cloud-Dienste von Microsoft nutzen?

Tatsächlich investiert Microsoft hohe Summen für den Datenschutz in der EU (Ausbau der Rechenzentren in der EU) und erfüllt derzeit die meisten Anforderungen der EU an den Datenschutz – auch ganz ohne Privacy Shield.
 

Unter Berücksichtigung der Risikominimierung durch die Möglichkeit der Daten-Verschlüsselung ergibt sich ein sehr geringes Risiko einer Verletzung der DSGVO.
Vor diesem Hintergrund ist die Verwendung von M365 aus datenschutzrechtlicher Sicht in Ordnung.

Sollten Sie sich dennoch unsicher sein oder weitere Fragen haben, melden Sie sich gerne bei uns!

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe April 2022

Kundendatenschutz – Zufriedenheit per Mail abfragen?

„Wie zufrieden waren Sie?“ + ein Link zur Mitteilung der eigenen Meinung – was ist denn hier mit dem Kundendatenschutz?
Sicherlich kennen Sie solche E-Mails auch: Sie haben ein Produkt oder eine Dienstleistung gekauft und bekommen nun eine E-Mail, in der Sie nach Ihrer Zufriedenheit gefragt werden.
Doch unter welchen Voraussetzungen ist das eigentlich zulässig?

Wir schaffen Klarheit.

Wieso bekomme ich solche E-Mails?

Durch Befragungen der Kunden erlangen Organisationen Hinweise auf Fehler und Probleme und können sich ebenso an den Wünschen orientieren und verbessern. Werden die Optimierungsmaßnahmen daraufhin umgesetzt, können Dienstleistungen und Produkte die Ansprüche und Erwartungen besser erfüllen und die Kundenbindung langfristig steigern. So profitiert nicht nur die Organisation an sich, sondern auch bestehende sowie künftige Kunden.

E-Mail-Adressen als personenbezogene Daten

In den meisten Fällen erfolgt diese Befragung per Mail, wenn diese im Rahmen der Kaufabwicklung ohnehin angegeben wurde.
Wie Sie sicherlich wissen, handelt es sich bei E-Mail-Adressen um personenbezogene Daten, weshalb für deren Verarbeitung eine Rechtsgrundlage notwendig ist (Art. 5 Abs. 1a + Art. 6 Abs.1 DSGVO).

-> im Rahmen eines Ver-/Kaufs ergibt sich die Rechtsgrundlage hierfür meist aus der Erfüllung eines Vertrags (Art. 6 Abs. 1 b DSGVO)

-> bei Support-Anfragen kommt das berechtigte Interesse in Betracht (Art. 6 Abs. 1 f DSGVO)

Die Kundenbefragung und der Datenschutz

Grundsätzlich sei hier anzumerken, dass unterschiedliche Auffassungen der Aufsichtsbehörden existieren.

Unter Berücksichtigung des § 7 Abs. 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) stufte der Bundesgerichtshof 2018 (Az. VI ZR 225/17) beispielsweise eine per E-Mail verschickte Kundenzufriedenheitsbefragung als „elektronische Ansprache“ als Direktwerbung und damit auch als unzulässig ein. Es handele sich dabei um eine unzumutbare Belästigung.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit beispielsweise vertrat 2019 hingegen die Ansicht, dass hier § 7 Abs. 3 UWG Anwendung finden könne. Es handele sich damit eben nicht um ein unzumutbare Belästigung. In einem zeitlichen Zusammenhang mit dem Kauf eines Produktes / einer Dienstleistung sei eine Zufriedenheitsbefragung somit auch einwilligungsfrei möglich, wenn die Organisation zuvor auf die Datenverarbeitung zu diesen Zwecken hinweisen und auf das Widerspruchsrecht hinweisen. Das sollten Sie in jedem Fall also tun – keine E-Mail dieser Art ohne den Hinweis auf das Widerspruchsrecht des E-Mail-Empfängers.

Risiken minimieren

Grundsätzlich sollte die Datenschutzerklärung (auf die Sie in der E-Mail natürlich verweisen :-)) einwandfrei sein und konkret auf den Zweck der Datenverarbeitung hinweisen. Es empfiehlt sich außerdem, eine Zufriedenheitsbefragung immer in einem zeitlichen Zusammenhang mit dem Kauf / der Korrespondenz mit dem Kunden durchzuführen, sofern er vorab nicht schon widersprochen hat.

Sollten Sie Fragen darüber hinaus haben oder sonstige Unterstützung benötigen, zögern Sie nicht, sich bei uns zu melden!

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe April 2022

IT-Grundschutz-Profil

Mit dem „IT-GRUNDSCHUTZ-PROFIL“ hat die das Land eine Basis-Absicherung für Kommunalverwaltungen anlässlich eines aktuellen Cyber-Angriffs auf eine baden-württembergische Kommune herausgegeben.

Darin wird auf die Herausforderungen im kommunalen Umfeld hingewiesen und Handlungsempfehlungen zu fundamentalen Themen der Cyber- und Informationssicherheit an die Hand gegeben. Es enthält eine Definition der Mindestsicherheitsmaßnahmen und richtet sich vor allem an die Verantwortlichen der Verwaltung, welche für die Umsetzung und Aufrechterhaltung der Informationssicherheit zuständig sind.

Wir haben hier die wichtigsten Punkte für Sie zusammengefasst.

Auf Basis datenschutzrechtlicher Anforderungen (u. a. EU-DSGVO) und dem Grundsatz des rechtmäßigen Verwaltungshandelns (Rechtsstaatsprinzip Art. 20 Abs. 3 GG) besteht für Kommunalverwaltungen die Pflicht, ihre IT-Systeme und Verwaltungsvorgänge ausreichend durch technische und organisatorische Maßnahmen zu schützen. Daneben sind außerdem auch die erheblichen Investitionen der Kommunalverwaltungen in die IT-Ausstattungen über angemessene Sicherheitsvorkehrungen zu schützen.

Ziel ist also ein umfassendes und ausreichendes Sicherheitskonzept, um den Anforderungen gerecht werden zu können – ein IT-Grundschutz-Profil.

Aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) sollten daher die folgenden Bausteine für eine vollständige Basisabsicherung umgesetzt werden:

Bei jeglicher Arbeit mit personenbezogenen Daten sollten die genannten Punkte beachtet werden. Gerade auch vor dem Hintergrund der Menge an Daten in den Kommunen sollte dem Thema eine große Wichtigkeit zugeschrieben werden!

Bei Fragen können Sie sich natürlich jederzeit auch an uns wenden!

Richtig Löschen

Artikel 17 der DSGVO legt Gründe zur Löschung fest. Dazu zählen u.a. der Fall, dass der Verarbeitungszweck erfüllt ist und die Daten nicht mehr benötigt werden oder die betroffene Person ihre Einwilligung widerruft. Stehen keine anderen Gründe wie beispielsweise die gesetzliche Aufbewahrungspflicht entgegen, hat der Verantwortliche die Daten zu löschen. Auf die Löschung kann nur dann verzichtet werden, wenn die Daten vollständig anonymisiert werden und kein Rückbezug auf die Person (wieder-) hergestellt werden kann.

Erstellung eine Löschkonzepts

Neben der Aufforderung zur Löschung zählt Artikel 17 auch Fälle auf, in denen der Verantwortliche von sich aus tätig werden muss. Um diese Fälle abzudecken, sollten Sie ein geeignetes Löschkonzept verfolgen und nach diesem dann entweder manuell oder automatisiert löschen. Dieses Löschkonzept kann entweder im Spezifischen Teil des Verarbeitungsverzeichnisses oder ein separates Dokument sein. Weitere Hinweise finden Sie hier.

Backups

Auch bei Backups kommen einige Fragen auf: Müssen in diesem Zuge einzelne Datensätze ebenfalls gelöscht werden? Und funktioniert das technisch überhaupt? Erfüllt das Backup danach noch seinen Sinn?

Da wir hierzu in der DSGVO direkt keine Antwort finden und auch noch keine Gerichtsurteile vorhanden sind, bleibt die Betrachtung der rechtlichen Verpflichtungen und Interessensabwägung:
Egal in welchen Zeitabschnitten – ein Backup gewährleistet die Verfügbarkeit und ist damit ein Teil der technisch-organisatorischen Maßnahmen (nach Art. 32 DSGVO). Dem entgegen steht das Interesse der betroffenen Person zur vollständigen Löschung.

Daher unser Rat:
Weisen Sie betroffene Personen im Zuge einer Löschung darauf hin, dass in Backups noch Daten vorhanden sein können, die aber zu einem späteren Zeitpunkt durch die Erstellung neuerer Backups auch gelöscht werden.

Die Dokumentation

Nach Art. 5 Abs. 2 DSGVO unterliegen Verantwortliche der Rechenschaftspflicht. Es muss also auch ein Nachweis über die Löschung gepflegt werden. Wie? Darüber finden wir keine Hinweise in der DSGVO, wodurch es jedem Verantwortlichen selbst überlassen bleibt.

Wir empfehlen:

  • ein Löschprotokoll zu pflegen – entweder durch eine automatische Protokollierung im IT-System oder durch eine Pflege im Verzeichnis der Verarbeitungstätigkeiten. Doch aufgepasst: keinesfalls sollten die personenbezogenen Daten konkret genannt sein!
    Folgende Mindestangaben sollten enthalten sein:
    • Name d. Verantwortlichen (sowie ggf. Name der/s Beschäftigten, der/die für die Löschung verantwortlich ist)
    • Datum des Protokolls sowie Datum der Löschung
    • Grund der Löschung
    • Art der gelöschten Daten
    • Beschreibung der gelöschten Datenträger (z.B. Festplatte)
    • technische Durchführung der Löschung (z.B. Aktenvernichtung)
  • Das Löschprotokoll sollte getrennt von anderen Geschäftsvorgängen aufbewahrt sein.
  • Als Faustformel gilt es, Löschprotokolle für drei Jahre aufzubewahren. Vor der Vernichtung muss der Verantwortliche jedoch prüfen, ob eine Verjährungsunterbrechung erfolgt ist bzw. Umstände zur weiteren Aufbewahrung vorhanden sind.

Weitere nützliche Hinweise zur Löschung finden Sie auch hier.

Sollten Sie sich unsicher sein, melden Sie sich bei uns. Wir helfen Ihnen gerne weiter!

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe April 2022

Datenschutzrechtlich sicher im Umgang mit Social Media

Die Nutzung von Social Media ist heute weiter verbreitet als jemals zuvor und auch viele Unternehmen und öffentliche Stellen möchten trotz datenschutzrechtlicher Unsicherheiten nicht auf diese verzichten. Und das auch mit gutem Recht: Social Media bringt viele Vorteile mit sich; allerdings auch einige Risiken.
Wir schaffen Klarheit!

Die Vorteile:
  • Reichweite und Bekanntheit erhöhen
    Durch verschiedene interessante Informationen, Gewinnspiele, Kampagnen etc. kann mehr Reichweite generiert werden; die Produkte und Dienstleistungen können einer breiteren Masse angeboten und zur Verfügung gestellt werden. Die Bekanntheit kann wachsen.
     
  • Kontakte knüpfen / Kundennähe / Bürgernähe
    Beispielsweise durch die Kommentarfunktion auf Facebook oder Instagram können die Kunden und Bürger um direktes Feedback gebeten werden. Ebenso kann die Organisation auf Fragen des Kunden direkt eingehen.
     
  • Produktverbesserung
    Durch den direkten Kontakt, das Feedback und direkte Kritik kann eine Produktverbesserung nach den Vorstellungen des Kunden bzw. die Leistung für den Komfort des Bürgers schneller erfolgen. Gleichzeitig kann man das Angebot der Konkurrenz einfacher beobachten.
     
  • Mitarbeiter gewinnen
    Neben der klassischen Schalte von Stellenanzeigen erhöhen Portale wie LinkedIn und Facebook die Sichtbarkeit der Organisation und stellen ihre Attraktivität dar.
Die Risiken dabei:
  • PR-Katastrophe
    Schon durch kleine Fehler, die bei Menschen schnell mal passieren können, kann man leicht in einen Shitstorm geraten (= heftige geballte Kritik gegen Einzelpersonen oder Organisationen).
     
  • gemeinsame Verantwortlichkeiten
    Auf Basis der Entscheidung des Europäischen Gerichtshofs (EuGH) zu den Facebook-Fanseiten (Urteil vom 05.06.2018) muss sich jeder Verantwortlicher einer Fanpage im Klaren darüber sein, ob er die Besucher darüber aufklären kann, was mit ihren persönlichen Daten geschieht, da der EuGH eine gemeinsame Verantwortlichkeit von Fanpage-Betreiber und Facebook selbst festgestellt hat.
    Für den Besucher muss also klar erkennbar sein, welche seiner Daten wofür verarbeitet werden. Falls die Plattform Besucher einer Fanpage trackt, z.B. durch den Einsatz von Cookies, bräuchte man sogar seine Einwilligung.
    Die Herausforderung: Welche Organisation hat Einfluss darauf welche Tracking-Tools die Social-Media-Netzwerke einbinden?
    Möchte man die Fanpage dennoch weiterhin betreiben, muss ein leicht auffindbarer und möglichst ausführlicher Datenschutzhinweis platziert werden. Sollte nur ein Kurzhinweis möglich sein, muss mindestens in der Datenschutzerklärung des Onlineauftritts umfassend darüber informiert werden.
    Außerdem besteht eine Impressumspflicht.
     
  • Urheberrechte
    Mit der Veröffentlichung von Bildern, Fotos, Videos, Musik etc. sollte der Organisation bewusst sein, dass sie möglicherweise sämtliche Nutzungsrechte an das Netzwerk abtritt. Sollte die Organisation nicht Urheber / Rechteinhaber sein, kann es daher zu rechtlichen Konsequenzen kommen.
     
  • Plug-Ins
    Social-Media-Plug-ins erleichtern das Teilen, Liken usw. von Inhalten und lassen sich auf Websites einbinden. Dadurch besteht jedoch die Gefahr, dass beim Aufrufen einer Website zeitgleich auch die Inhalte einer externen Website geladen werden, ohne dass der Besucher dies selbst initiiert hat bzw. nicht einmal bemerkt. Ohne Einwilligung des Besuchers kann es also passieren, dass die externe Website personenbezogene Daten erhält.
    Um dies zu verhindern, gibt es zwei Lösungsansätze:
    1. Die Zwei-Klick-Variante = die Social-Media-Buttons sind standardmäßig inaktiv und müssen vom Besucher bewusst aktiviert werden, um sie zu nutzen. Der Klick auf den Button gilt als Zustimmung. Erst dann wird eine Verbindung zwischen Browser des Nutzers und den Servern des Social-Media-Dienstleisters aufgebaut.
    2. Shariff-Button = die Verbindung zwischen dem sozialen Netzwerk und dem Nutzer wird erst hergestellt, wenn dieser aktiv auf den Share-Button klickt.
     
  • Social Engineering
    Durch Social Engineering (z.B. Identitätsdiebstahl, Malware) werden nicht allgemein zugängliche Informationen durch das Spionieren derer, die diese Information tatsächlich besitzen, erlangt. Dies geschieht meist über Mitarbeiter und kann neben dem direktem Ansprechen, Telefon oder E-Mails beispielsweise auch über die Social-Media-Plattformen erfolgen.
     
Fazit

Es ist grundsätzlich wichtig, sich immer wieder vor Augen zu halten, dass die geposteten Informationen und Inhalte weltweit abrufbar und kaum mehr zu löschen sind. Die Verantwortlichen sollten unbedingt Regeln und Richtlinien aufstellen, die den Mitarbeitern das Veröffentlichen von personenbezogenen Daten sowie anderen vertraulichen Informationen (die Organisation, den Kunden, Geschäftspartner oder Lieferanten betreffend) untersagen und diese auch in (z.B. Datenschutz-)Schulungen kommunizieren.

Wenn Sie Unterstützung bei der Erstellung einer Social-Media-Richtlinie benötigen, melden Sie sich bei uns – wir unterstützen Sie gerne: info@sicher-hoch-drei.com.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Februar 2022

Fotos, Videos und die Sache mit dem Datenschutz

Was wir schon lange nicht mehr erlebt haben, wird bald hoffentlich wieder möglich sein: Firmenevents, Sommerfeste, Weihnachtsfeiern und andere Präsenzveranstaltungen.
Und spätestens dann werden wieder ganz andere Fragen zum Thema Datenschutz aufkommen.

Grundlage zur Beantwortung einiger dieser Fragen ist das Recht am eigenen Bild (§§ 22 und 23 Kunsturhebergesetz (KUG)). Im Wesentlichen geht es darum, dass jeder Mensch selbst bestimmen darf, ob er fotografiert oder gefilmt werden möchte und ob dieses Material gespeichert und veröffentlicht darf. Denn das Recht am eigenen Bild ist ein besonderes Persönlichkeitsrecht nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Folglich handelt es sich beim Anfertigen und Veröffentlichen von Bildmaterial um personenbezogene Daten des Betroffenen im Sinne der DSGVO und darf nur mit einer Rechtsgrundlage erfolgen.

Abgesehen von Modelverträgen (nach Art. 6 Abs. 1 b) DSGVO), was hier nicht ganz praxisnah ist, spielt bei Events und anderen Veranstaltungen neben dem überwiegenden berechtigten Interesse des Verantwortlichen ((Art. 6 Abs. 1 f) DSGVO) – im Öffentlichen Dienst ist hier anstelle oft von der öffentlichen Aufgabe nach lit. e) die Rede – vor allem die Einwilligung (Art. 6 Abs. 1 a) DSGVO) eine Rolle.

Die folgende Tabelle gibt einen Überblick über die verschiedenen Fallkonstellationen (öffentlich / intern):

Es ist empfehlenswert, Vorlagen zu erstellen, um den Anforderungen des Datenschutzes rechtssicher gerecht zu werden. Sofern also eine Einwilligung nötig ist, sollte diese folgende Punkte enthalten:

  • Persönliche Daten der einwilligenden Person (mindestens den vollständigen Namen)
  • Ausdrückliche Einwilligung z.B. durch Häkchensetzen (Vorsicht: ausdrückliche Einwilligung für jeden Verwendungszweck)
    • in die Anfertigung und / oder Veröffentlichung
    • von Foto- / Videoaufnahmen
  • Bezeichnung und Datum des Events
  • Nennung des Fotografen bzw. des Verantwortlichen
  • Ggf. Ausdrückliche Einwilligung zur Weitergabe an Dritte
  • Ggf. Hinweis auf mögliche Gefahren bei Veröffentlichung im Internet
  • Versicherung des Verantwortlichen, das entsprechende Material nicht missbräuchlich zu verwenden
  • Bestätigung der Freiwilligkeit und Hinweis auf das Widerrufsrecht der Einwilligung nach Art. 7 Abs. 3 DSGVO
  • Ort, Datum und Unterschrift der betroffenen Person

Wir wünschen viel Freude bei den Veranstaltungen!

Bei Fragen immer gerne melden unter info@sicher-hoch-drei.com

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Januar 2022

Hilfestellung zur Digitalisierung an Schulen für öffentliche Träger

Mit Herausgabe der Digitalisierungshinweise für Schulen in öffentlicher Trägerschaft in Baden-Württemberg hat das Ministerium für Kultus, Jugend und Sport Baden-Württemberg im Jahr 2019 eine Arbeitshilfe veröffentlicht, die Ihnen als Kommune als Träger von öffentlichen Schulen die Arbeit erleichtern soll.
Im Hinblick auf Ihre damit verbundenen Verantwortungen und Aufgaben haben wir im Folgenden die wichtigsten Punkte für Sie zusammengefasst.

Die Ausstattung der Schulen mit der erforderlichen Technik erfolgt durch die Träger; das Land sorgt für eine angemessene Qualifikation der Lehrkräfte zum pädagogischen Einsatz vorhandener Multimediatechnik im Unterricht.

  • Für den Einsatz digitaler Medien ist eine technische Vernetzung der Schule notwendig:
    • lokale Netzwerke sollten eingerichtet sein (Ethernet-Verkabelung (LAN), Funknetz (WLAN), Teilnetze (VLANs))
    • die Verbindung nach außen muss sichergestellt sein (Internetzugang, Firewall, Webfilter, Fernwartung/Fernzugriff)
  • Es sollte ein Medienentwicklungsplan erstellt werden (Schulen und Schulträger), um pädagogisch begründeten Ziele der Schule mit den finanziellen Möglichkeiten zu vereinbaren und die bedarfsgerechte Ausstattung und deren tatsächliche Nutzung und die Supportbarkeit der Ausstattung und Vernetzung zu sichern (s. auch: https://www.mep-bw.de/jw/web/userview/lmz_mep/mepprojekt/_/willkommen).
  • Einsatz- und Ausstattungsszenarien bezüglich Einfluss und Umfang des Einsatzes digitaler Medien können sich verschieden gestalten. Beachten Sie hierbei den Anhang der originalen Digitalisierungshinweise, zu denen Sie weiter unten den Link finden.
  • Generell ist darauf zu achten, dass
    • die Geräte (neben den Computern auch Druckern, Scannern, Beamern etc.) sowie ihre Verwendung und der Umgang standardisiert werden.
    • bei Sponsoring, Gebrauchtrechnern, Leasing o.ä. eine genaue und kritische Prüfung erfolgt.
    • eher die Hardwarebeschaffung sowie eine mindestens 3-jährige Vor-Ort-Garantie empfohlen werden und Umweltaspekte bei der Beschaffung zu beachten sind.
  • Da sich das Internet in den letzten Jahren zu einem wichtigen Werkzeug sowohl für das Lehren als auch für das Lernen entwickelt hat, sollte die Nutzung von Lern- und Arbeitsplattformen (auf Basis der Internetnutzung) gegeben sein (z.B. um virtuelle Lernräume zu gestalten, Medien und Materialien zu verwalten, Lernprozesse zu begleiten und auszuwerten, für Chats und Lerntagebücher etc.).
  • Falls Unterstützung im Bereich Beratung, Support und laufender Betrieb notwendig sein sollte, gibt es ein Beratungsangebot der Medienpädagogischen Berater und der Schulnetzberater an den Medienzentren sowie das Unterstützungsangebot des Landesmedienzentrums im Rahmen der paedML („pädagogische Musterlösung“) und darauf abgestimmte Lehrerfortbildungsangebote. Empfohlen sind ferner
    • ein Betriebskonzept (= die Summe aller Maßnahmen, die die Verfügbarkeit der in den Schulen bereitgestellten IT-Infrastruktur in einem vereinbarten Rahmen gewährleisten)
    • ein „Service Level Agreement“ (SLA) (= ein Vertrag/eine Vereinbarung zwischen Auftraggeber und Auftragnehmer für wiederkehrende Dienstleistungen zur Erreichung eines reibungslosen Ablaufs von Service und Support)
    • die Kategorisierung von Störungen nach Dringlichkeit (Severity Kategorien)
    • die Bestimmung fester AnsprechpartnerInnen in der Schule
    • die Beachtung der Aufgabenverteilung bezüglich der Tätigkeiten im laufenden Betrieb schulischer Netzwerke (beachten Sie hierzu die Auflistung auf den Seiten 19-25).
  • Es gibt außerdem weitere Unterstützungsangebote des Medienzentrenverbundes
    • in den Stadt- und Kreismedienzentren
    • durch Medienpädagogische Beratung und Schulnetzberatung an den Medienzentren
    • Landesmedienzentrum
  • Auf eine Qualifizierung der Lehrkräfte bei der Digitalisierung der Schulen sollte unbedingt geachtet werden. Fortbildungsangebote des Landes finden Sie z.B. hier: https://lfb.kultus-bw.de/Startseite.
  • Durch den Einsatz digitaler Technologien in Schulen gibt es u.a. Berührungspunkte mit dem Jugendmedienschutz, dem Datenschutz, dem Urheberrecht und dem Strafrecht. Falls Sie hier Unterstützung brauchen, stehen wir Ihnen gerne mit unserer Hilfe zur Seite. Zu beachten ist:
    • Für alle digitale Verfahren, bei denen personenbezogene Daten erhoben werden, ist ein Verzeichnis der Verarbeitungstätigkeiten durch die Schulleitung zu führen.
  • Weitere und detailliertere Informationen entnehmen Sie bitte den „Digitalisierungshinweise 2019“ direkt: https://www.lmz-bw.de/fileadmin/user_upload/Downloads/Handouts/Multimediaempfehlungen/2019_08_15-Digitalisierungshinweise.pdf

Im Alltagsgeschehen und im Gesamtbild mit allen anderen Aufgaben, die Sie betreuen, kann dies recht herausfordernd sein. Bei Fragen und Wünschen bieten wir gerne unsere Unterstützung an!


Der Betriebsrat und der Datenschutz

Am 18. Juni 2021 ist das „Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt“ in Kraft getreten, bei dem es sich um ein sog. Artikelgesetz, das verschiedene Gesetze ändert, handelt, nicht aber um ein eigenständiges Gesetz.  

Die von der Änderung betroffenen Gesetze sind insbesondere das Betriebsverfassungsgesetz (BetrVG), das wesentliche Aufgaben und Rechte von Betriebsräten enthält, sowie das Kündigungsschutzgesetz (KSchG). 

Was ist neu? 

  • Nach § 30 BetrVG sind Betriebsratssitzungen per Video- bzw. Telefonkonferenzen nun ausdrücklich erlaubt, was der aktuellen pandemischen Lage entgegenkommt. Wie die Sitzungen in der virtuellen Form auszusehen haben, wird in §§ 33 und 34 BetrVG geregelt. Es ist insbesondere relevant, personenbezogene (z.B. Beschäftigungs-) Daten zu schützen und sicherzustellen, dass Dritte keinen Zugang zu der virtuellen Sitzung erlangen können. Auch eine Aufzeichnung der Sitzung ist untersagt. 
     
  • Darüber hinaus gibt es durch § 87 Abs. 1 Nr. 4 BetrVG nun das ausdrückliche Mitbestimmungsrecht des Betriebsrats bei der Gestaltung der mobilen Arbeit, welches es bisher nur auf Umwegen über die Mitbestimmung bei technischen Einrichtungen oder Verhütung von Arbeitsunfällen gab. 
     
  • Außerdem gibt es eine Neuregelung der Verantwortlichkeit: mit § 79a BetrVG gilt nunmehr der Betriebsrat datenschutzrechtlich als Teil des Verantwortlichen. Damit werden diesbezügliche Unsicherheiten aus dem Weg geräumt, wenngleich der Arbeitgeber grundsätzlich der Verantwortliche im Sinne des Datenschutzes ist und bleibt. 

Wichtig dabei 

Die Neuregelung und Erweiterung der Rechte des Betriebsrats führen zu vielen Berührungspunkten mit dem Datenschutz, insbesondere bei Gestaltung der technisch-organisatorischen Maßnahmen. Da der Datenschutzbeauftragte (DSB) einer Organisation auch für den Betriebsrat zuständig ist, kann (und sollte) der Betriebsrat nach Art. 39 Abs. 1 a) DSGVO die Beratungs- und Unterstützungsangebote in Anspruch nehmen. Ferner muss er dem DSB Zugang zu allen personenbezogenen Daten gewähren, da auch der Betriebsrat als Teil der Organisation zu sehen ist. 

Und dennoch… 

… ist noch nicht alles geklärt. Im Raum steht nun, ob nicht § 79a BetrVG gegen die DSGVO verstoße.  Zwar dürften die Mitgliedstaaten eigenständig bestimmen, wer für den Datenschutz verantwortlich ist, dies gelte jedoch nur, wenn der Verantwortliche die Mittel und Zwecke der Verarbeitung festlege (Art. 4 Nr. 7 Halbsatz 2 DSGVO). Der Betriebsrat entscheide allerdings alleine und wäre demnach eigentlich ein eigener Verantwortlicher. Unter Umständen werde dies von den Gerichten entschieden werden müssen. 

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Januar 2022