Kernpunkte:
- Coronamaßnahmen der Verwaltung – datenschutzgerecht
- Prüfung eines kommunalen Rechenzentrums
- Prüfungen der polizeilichen Datenverarbeitung
- Datenpannen im Medizinbereich
4 Datenschutz in der Verwaltung
Die Landesbeauftragte für Datenschutz nimmt mit ihrer Dienststelle die Aufsicht über den Datenschutz in der Verwaltung wahr. Dazu gehört es insbesondere, Beschwerden von Bürgerinnen und Bürgern nachzugehen. Außerdem werden immer wieder Prüfungen bei verschiedenen Verantwortlichen durchgeführt, im Jahr 2020 waren dies z. B. die Prüfung eines kommunalen Rechenzentrums, Prüfungen im Polizeibereich und eine Prüfung einer Gesundheitseinrichtung. Außerdem gibt die Landesbeauftragte für Datenschutz schriftlich und mündlich Stellungnahmen zu Gesetzgebungsvorhaben des Landtages ab.
In diesem Kapitel werden für das Berichtsjahr die Tätigkeiten der Landesbeauftragten für Datenschutz in den Bereichen der allgemeinen Verwaltung einschließlich Schule, Pflegeberufekammer und Feuerwehr (Tz. 4.1), Polizei (Tz. 4.2), Justiz (Tz. 4.3), Soziales (Tz. 4.4) und Medizin (Tz. 4.5) beschrieben. Wie überall spielten Fragen rund um die Coronapandemie eine große Rolle, sowohl bezüglich spezieller Maßnahmen (Tz. 4.1.1, Tz. 4.1.2 und Tz. 4.3.2) als auch in Bezug auf die zunehmende Digitalisierung (z. B. Tz. 4.1.5, siehe auch Kapitel 6).
4.1 Allgemeine Verwaltung
4.1.1 Verwendung eines Fragebogens zur Coronaprävention
Auf Grundlage des Hinweises eines Bürgers erhielt das ULD Kenntnis, dass eine Kommune den Zutritt zum Rathaus von der Ausfüllung eines Fragebogens abhängig machte. Vor dem Hintergrund der steigenden Infektionszahlen sollte der Hinweisgeber eine Selbsteinschätzung zu seinem Gesundheitszustand abgeben und hierzu verschiedene Fragen gewissenhaft beantworten. Der Zweck der Datenerhebung bestand nach den Angaben im Fragebogen allerdings nicht vordergründig darin, mögliche Infektionen in den Räumlichkeiten des Rathauses zu vermeiden, sondern es sollte die Ausbreitung des Coronavirus im Gemeindegebiet eingeschränkt und verlangsamt werden.
Die öffentliche Stelle bat die Besucherinnen und Besucher zunächst um Angaben zu Name, Vorname, Anschrift und Telefonnummer, was zusätzlich mit Datumsangabe und Unterschrift zu unterzeichnen war. Weiterhin wurde dazu aufgefordert, der Gemeinde mitzuteilen, ob in den letzten zwei Wochen ein Aufenthalt außerhalb von Deutschland erfolgte. Ferner erfragte die Kommune, ob wissentlich ein persönlicher Kontakt zu einer Person bestand, bei welcher ein Labor das Coronavirus nachwies. Schließlich sollte ein Ankreuzen mit „ja“ oder „nein“ erfolgen, ob derzeit grippeähnliche Symptome (z. B. Husten, Schnupfen, Kratzen im Hals, Fieber, Probleme beim Atmen) bestehen.
Sobald an einer Stelle „ja“ angekreuzt wurde, war es den Besucherinnen und Besuchern laut Hinweis im Fragebogen verwehrt, das Rathaus zu betreten.
Die Gemeinde erhielt in einem daraufhin eröffneten datenschutzrechtlichen Prüfverfahren die Gelegenheit, sich zu dem verwendeten Fragebogen zu äußern. Maßgeblich waren dabei vor allem folgende Punkte:
- Es blieb offen, zu welchem konkreten Zweck eine Erhebung der Daten mittels des Fragebogens erfolgte. Nach den datenschutzrechtlichen Vorgaben müssen aber die Verarbeitungszwecke eindeutig formuliert sein.
- Weiterhin blieb unklar, auf welcher Rechtsgrundlage die Daten erhoben wurden. Von Bedeutung war dabei, dass dort bei der Abfrage grippeähnlicher Symptome Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO erhoben werden, deren Verarbeitung nur auf Grundlage einer besonderen Ermächtigung nach Art. 9 Abs. 2 DSGVO zulässig ist.
- Bezüglich der Erhebung von Angaben zum Aufenthalt in den letzten zwei Wochen und den wissentlich persönlichen Kontakten mit Personen, bei denen das Coronavirus im Labor nachgewiesen wurde, ist ein Abstellen auf eine Befugnis nach Art. 6 Abs. 1 Buchst. c oder e DSGVO nicht möglich. Insbesondere ergeben sich die Verpflichtungen zur Erhebung von Kontaktdaten abschließend aus der jeweils gültigen Landesverordnung zur Bekämpfung des Coronavirus SARS-CoV-2 des Landes-Schleswig-Holstein (Corona-BekämpfV).
- Es blieb fraglich, ob die Verwendung eines Fragebogens zur Erreichung des verfolgten Zwecks geeignet ist. Dabei müssten zunächst ausschließlich wahrheitsgemäße Angaben in den Fragebögen enthalten sein. Weiterhin müsste die Gemeinde jede Zutrittsberechtigung einzeln prüfen und die Fragebögen sofort auswerten, was mit einem zusätzlichen Aufwand verbunden ist. Als weniger eingriffsintensive Maßnahme anstelle einer Erhebung persönlicher Angaben mittels Fragebogen wäre z. B. die Bereitstellung von Aushängen in Betracht zu ziehen, wo um ein Absehen von Besuchen gebeten wird, falls entsprechende Fragen innerlich mit „ja“ beantwortet werden müssten.
- Bezüglich der Fragebögen hätte die Gemeinde auch eine konkrete Frist für die Aufbewahrung der Fragebögen bestimmen müssen. Personenbezogene Daten sind insbesondere dann zu löschen, wenn der jeweilige Erhebungszweck erfüllt ist.
- Im Falle der Verwendung von Fragebögen müssten die Besucherinnen und Besucher auch pflichtgemäß nach Artikel 13 DSGVO unterrichtet werden, d. h., die Gemeinde hat die Verpflichtung, vor allem die Zwecke der Verarbeitung, die Aufbewahrungsdauer für die Fragebögen, etwaige Empfänger der Daten und z. B. Angaben zur Wahrnehmung von Rechten nach der DSGVO mitzuteilen.
Die Gemeinde hat im datenschutzrechtlichen Prüfverfahren umgehend Stellung genommen und mitgeteilt, dass künftig auf die Verwendung des Fragebogens verzichtet wird und vorhandene Fragebögen vernichtet werden. Das ULD hat der Gemeinde Hinweise zum datenschutzkonformen Umgang mit Fragebögen erteilt.
Was ist zu tun?
Die Verwendung eines Fragebogens in der geschilderten Form entspricht nicht den datenschutzrechtlichen Anforderungen. Im konkreten Fall war dieses Vorgehen nicht geeignet, der Ausbreitung des Coronavirus präventiv entgegenzuwirken. Den Kommunen wird empfohlen, bei der Konzipierung von Präventionsmaßnahmen stets die behördliche Datenschutzbeauftragte oder den behördlichen Datenschutzbeauftragten einzubeziehen.
4.1.2 Temperaturmessung bei Rathausbesuchen
Im Rahmen einer Beschwerde wurde vorgetragen, dass am Eingang des Rathauses einer Gemeinde ein Temperaturmessgerät aufgestellt worden sei. Personen, bei denen eine Körpertemperatur von über 37 Grad festgestellt wird, würde der Zutritt zum Rathaus versagt werden. Hintergrund sei eine Maßnahme zur Coronaprävention. Zudem würde das Gerät einen Signalton absetzen, sodass umstehende Personen Kenntnis von der erhöhten Körpertemperatur der getesteten Person erhielten.
Im eingeleiteten Beschwerdeverfahren führte die Gemeinde aus, dass ein Temperaturscanner zur Messung der Körpertemperatur im Eingangsbereich des Rathauses bereitstehe. Die Nutzung des Geräts erfolge aber nur auf freiwilliger Basis. Personen, die von dieser freiwilligen Möglichkeit keinen Gebrauch machten, werde der Zutritt zum Rathaus nicht versagt. Der Einsatz einer akustischen Warnanlage mit Signalton wurde zwar bestätigt, jedoch sei der Warnton nur für den freiwilligen Nutzer hörbar gewesen. Die Tonfunktion schaltete die Gemeinde vorsorglich ab. Weiterhin erläuterte die Gemeinde, dass nach der Nutzung des Temperaturscanners keine Speicherung von Messergebnissen erfolge. Es gebe auch keine manuelle Protokollierung gemessener Temperaturen oder einen Mitschnitt per Videoaufzeichnung.
Die Aufstellung des Temperaturmessgeräts begründete die Gemeinde mit Fürsorgepflichten gegenüber den Bürgerinnen und Bürgern sowie den Mitarbeiterinnen und Mitarbeitern des Rathauses im Zusammenhang mit der Coronapandemie. Die Sicht auf das Temperaturmessgerät schränkte die Gemeinde durch Aufstellung einer Stellwand ein, wodurch nur der freiwillige Nutzer Kenntnis von dem Messergebnis erhält. Das Gerät wird zwischenzeitlich von der Gemeinde nicht weiter eingesetzt.
Anlass zur Prüfung gab vor allem die Frage, ob es sich bei der Gemeinde um den datenschutzrechtlich Verantwortlichen handelt. Der Verantwortliche muss eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorweisen können; zudem entstehen Informationspflichten gegenüber den Nutzerinnen und Nutzern des Messgeräts. Die Verantwortlichkeit ist nicht davon abhängig, dass Zugriffsmöglichkeiten für die personenbezogenen Daten bestehen oder die Gemeinde von den Testergebnissen Kenntnis erhält. Weiterhin ist die fehlende Speicherung der Daten unerheblich. Es erfolgt zumindest eine zurechenbare Datenerhebung. Ausreichend ist eine Handlung, die eine Temperaturmessung bei den Personen ermöglicht, wobei die Gemeinde auch ein Interesse daran hat, dass den Nutzerinnen und Nutzern ihre Testergeb-
nisse bekannt gegeben werden. Die Gemeinde hat durch die Bereitstellung des Messgeräts die Erhebung personenbezogener Daten erst ermöglicht. Die Gemeinde verfolgte mit der Ermittlung der Testergebnisse auch einen Zweck, in diesem Fall die Erfüllung von Fürsorgepflichten. Auch wenn die Gemeinde die Ergebnisse nicht einsehen konnte, überließ diese das Messgerät am Eingang des Rathauses nicht ohne eine eigene Intention einem Dritten zur Eigennutzung. Vor diesem Hintergrund ist die Annahme einer datenschutzrechtlichen Verantwortlichkeit nicht ausgeschlossen.
Bezüglich der Körpertemperatur handelt es sich um Gesundheitsdaten, die einem besonderen Schutz unterliegen. Das ULD empfahl der Gemeinde insbesondere, im Falle der weiteren Nutzung des Geräts die Erfüllung der Informationspflichten mithilfe eines Aushangs umzusetzen. Hierdurch könnten die Besucherinnen und Besucher des Rathauses u. a. darüber unterrichtet werden, dass keine Speicherung der Daten erfolgt und ausschließlich eine freiwillige Nutzung des Temperaturmessgeräts vorgesehen ist. Außerdem könnten sie per Aushang über die konkreten Zwecke für den Einsatz des Geräts und die zugrunde liegende Rechtsgrundlage für eine Messung der Körpertemperatur informiert werden.
Was ist zu tun?
Bei Maßnahmen zur Coronaprävention mit Verarbeitung personenbezogener Daten müssen die Verantwortlichen insbesondere eine Rechtsgrundlage für die verfolgten Zwecke benennen können und die Transparenzpflichten umsetzen.
4.1.3 Ton- und Videoaufnahmen in kommunalen Sitzungen
Das ULD erhielt im Berichtszeitraum Anfragen von Gemeinden hinsichtlich der Umsetzung von Ton- und Videoaufnahmen in kommunalen Sitzungen. Ausgangspunkt sind gesetzliche Bestimmungen in der Gemeindeordnung und in der Kreisordnung, die zur Thematik eine Regelung enthalten. Erforderlich ist damit eine Bestimmung in der Hauptsatzung. Sollte eine solche Regelung geschaffen werden, so müssten zusätzlich die Vorgaben nach der DSGVO beachtet werden. Diese Vorgaben könnten durch Satzungsrecht nicht beschränkt werden.
§ 32 Abs. 4 Gemeindeordnung
Unbeschadet weiter gehender Berechtigungen aus anderen Rechtsvorschriften kann die Hauptsatzung bestimmen, dass in öffentlichen Sitzungen Film- und Tonaufnahmen durch die Medien oder die Gemeinde mit dem Ziel der Veröffentlichung zulässig sind.
Sind Medienvertreter die Verantwortlichen für die Datenverarbeitung, so müssen diese vor allem eine Rechtsgrundlage für die Datenverarbeitung belegen können, gegebenenfalls datenschutzrechtliche Transparenzpflichten einhalten und Widersprüche gegen die Anfertigung von Filmaufnahmen beachten. Vorschriften der Gemeindeordnung können deren Datenverarbeitung nicht pauschal legitimieren.
Erfolgt die Verarbeitung durch die Gemeinde als Verantwortliche, so müssen insbesondere die Anwesenden vorab u. a. über die Aufzeichnungszwecke, die Rechtsgrundlagen und die Veröffentlichungs- sowie Speicherdauer (Art. 13 Abs. 1 und 2 DSGVO) aufgeklärt werden, da eine Datenerhebung bei den betroffenen Personen erfolgt. Es müsste außerdem festgelegt werden, zu welchem konkreten Zweck (Art. 5 Abs. 1 Buchst. b DSGVO) die Anfertigung und Veröffentlichung der Aufnahmen erfolgen soll (z. B. Kenntnisnahme von den Beratungen und Beratungsergebnissen bis zur Anfertigung des Sitzungsprotokolls).
In § 35 Abs. 4 GO wird keine Aussage zur Veröffentlichungs- und Speicherdauer getroffen. Zu beachten ist der Datenschutzgrundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO). Demnach müssen personenbezogene Daten dem Zweck angemessen und erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Damit korrespondiert auch das Gebot einer möglichst frühzeitigen Löschung (Art. 5 Abs. 1 Buchst. e DSGVO). Eine Löschung von Film- und Tonaufnahmen muss erfolgen, wenn der Aufzeichnungszweck erfüllt ist (z. B. Fertigstellung/Bestätigung des Protokolls in der nächsten Sitzung).
Geregelt werden sollte daher auch eine möglichst kurze Veröffentlichungsfrist, die den Bürgerinnen und Bürgern noch eine angemessene Kenntnisnahme ermöglicht, wobei im Falle der zwischenzeitlichen Einstellung eines Sitzungsprotokolls eine frühzeitigere Beendigung der Veröffentlichung in Betracht kommt. Eine darüber hinausgehende Speicherung von Film- und Sprachaufnahmen wird nach der Zweckerfüllung nicht zulässig sein.
Zu beachten ist, dass § 35 Abs. 4 GO nur öffentliche Sitzungen erwähnt. Nichtöffentliche Sitzungen werden nicht erfasst.
In § 35 Abs. 4 GO wird dem Wortlaut nach keine Verpflichtung zur Anfertigung von Aufnahmen aus öffentlichen Sitzungen mit dem Ziel der Veröffentlichung eingeführt. Vielmehr wird eine allgemeine Zulässigkeit solcher Veröffentlichungen angesprochen. Die Gemeinde benötigt für die beabsichtigte Datenverarbeitung Rechtsgrundlagen, die sich aus der DSGVO in Verbindung mit dem LDSG ergeben können. Zu diesen Rechtsgrundlagen zählt etwa die Einwilligung. Hierfür sind die Vorgaben nach Artikel 7 DSGVO einzuhalten, was auch die Freiwilligkeit der Erklärung und die Belehrung über die jederzeitige Widerrufbarkeit der Einwilligung umfasst. Zusätzlich sind u. a. auch hier die Pflichtinformationen nach Art. 13 Abs. 1 und 2 DSGVO zu erteilen.
Bei der Suche nach einer Rechtsgrundlage kommen außerdem Art. 6 Abs. 1 Buchst. c und e DSGVO in Betracht: Art. 6 Abs. 1 Buchst. c DSGVO wäre maßgeblich, wenn die Gemeinde auf Grundlage einer Bestimmung die Verpflichtung hätte, bestimmte Aufnahmen mit dem Ziel der Veröffentlichung anzufertigen. Nach Art. 6 Abs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn diese für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Aufgabe müsste allerdings näher erläutert werden, wobei wiederum der Zweck der Anfertigung und Veröffentlichung der Aufnahmen konkret zu beschreiben ist. Die Vorschrift allein reicht als Rechtsgrundlage nicht aus. Vielmehr muss sich die konkrete Aufgabenbeschreibung aus einer anderen Norm ergeben.
Was ist zu tun?
Die Gemeinden und Kreise müssen in Bezug auf die Anfertigung und Weiterverarbeitung von Ton- und Videoaufnahmen die Vorgaben der DSGVO einhalten. Die Vorschriften der Gemeindeordnung und der Kreisordnung ersetzen nicht die datenschutzrechtlichen Verpflichtungen, wonach auch angemessene technische und organisatorische Maßnahmen zu treffen sind.
4.1.4 Veröffentlichung der Kontaktdaten von Gemeindevertreterinnen und -vertretern
In einer Gemeinde stellte sich die Frage, ob im kommunalen Webauftritt die Veröffentlichung von Kontaktdaten der Gemeindevertreterinnen und Gemeindevertreter, eingeschlossen Wohnadresse sowie private Telefonnummer und E-Mail-Adresse, zulässig ist.
Die Gemeinde ist die Betreiberin des Webauftritts und damit datenschutzrechtlich Verantwortlicher für die betroffene Verarbeitung personenbezogener Daten. Damit muss die Gemeinde die Rechenschaftspflichten nach der DSGVO einhalten und belegen können, auf welcher rechtlichen Grundlage sie die Kontaktdaten der Gemeindevertreterinnen und Gemeindevertreter öffentlich zugänglich bereitstellt.
§ 32 Abs. 4 Satz 1 und 2 Gemeindeordnung
Die Mitglieder der Gemeindevertretung, der Ortsbeiräte und der Ausschüsse haben der oder dem Vorsitzenden der Gemeindevertretung ihren Beruf sowie andere vergütete oder ehrenamtliche Tätigkeiten mitzuteilen, soweit dies für die Ausübung ihres Mandats von Bedeutung sein kann. Die Angaben sind zu veröffentlichen.
Die Namen von Gemeindevertreterinnen und Gemeindevertretern und Angaben zu deren beruflicher Tätigkeit sind bereits nach den Vorschriften der Gemeindeordnung zu veröffentlichen.
Der Veröffentlichungsort wird gesetzlich nicht geregelt. Es liegt aber nahe, dass die Veröffentlichung (auch) im Webauftritt der Gemeinde erfolgt. Mit dem Vorsitz der Gemeindevertretung könnte aber Rücksprache gehalten werden, ob gegebenenfalls nähere Regelungen in der Geschäftsordnung der Gemeindevertretung getroffen wurden. Bestand Einigkeit, dass der Webauftritt der Gemeinde hierfür in Anspruch zu nehmen ist, so wäre die Veröffentlichung der Namen der Gemeindevertreterinnen und Gemeindevertreter in diesem Medium nicht zu beanstanden.
Bezüglich der Angaben zu privaten Anschriften, Telefonnummern und E-Mail-Adressen besteht keine gesetzliche Befugnis. Soweit daher keine solchen Vorschriften eine Veröffentlichung vorsehen, wäre eine Einwilligung der Gemeindevertreterinnen und Gemeindevertreter zur Veröffentlichung dieser zusätzlichen Daten einzuholen. Datenschutzrechtliche Einwilligungen bedürfen keiner Schriftform. Allerdings sollte die Gemeinde beim Verzicht auf eine schriftliche Einwilligungserklärung das mündliche Einverständnis dokumentieren. Auf diese Weise kann die Gemeinde bestehende Rechenschaftspflichten einhalten. Bei Einwilligungserklärungen ist schließlich auch darauf zu achten, dass der Zweck und das bestimmte Veröffentlichungsmedium sowie die konkreten einzelnen Daten bezeichnet werden. Die Gemeinde muss auch auf die Freiwilligkeit einer Einwilligung und deren jederzeitige Widerruflichkeit hinweisen.
Was ist zu tun?
Hinsichtlich der Verarbeitung von Kontaktinformationen der Gemeindevertretung ist zu differenzieren. Bezüglich der Veröffentlichung privater Anschriften, Telefonnummern und E-Mail-Adressen sind die Voraussetzungen einer Einwilligung zu prüfen.
4.1.5 Digitale Schule – ja, aber datenschutzkonform
Mit den Mitteln aus dem Digitalpakt beschleunigt sich auch in den Schulen in Schleswig-Holstein die Digitalisierung des Unterrichts. Bedingt durch die Coronapandemie und das dadurch ausgelöste Distanzlernen mussten das Bildungsministerium und auch das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein (IQSH) schnell für leidlich funktionierende Ad-hoc-Lösungen sorgen, statt – wie eigentlich geplant – die Ausstattung der Schulen mit digitalen Mitteln wie z. B. Lernmanagementsystemen, Online-Speichern und anderen Online-Angeboten von Anfang an unter vollständiger Beachtung aller (datenschutz-)rechtlichen Vorgaben zu konzipieren.
So wurde ein Lernmanagementsystem zunächst für ein Jahr beschafft, das allen Schulen vom Bildungsministerium kostenfrei zur Nutzung zur Verfügung gestellt wird. Der zentrale Datenschutzbeauftragte für die öffentlichen Schulen hat dabei auf die Datenschutzkonformität dieses Systems geachtet. Die Medienberatung des IQSH hat dafür gesorgt, dass auf die Schnelle Empfehlungen für andere digitale Produkte gegeben wurden. Eine Schwierigkeit bestand allerdings nicht nur in Schleswig-Holstein darin, bei den sich ständig in Funktionalität, Sicherheit und Datenschutzaspekten verändern-
den Dienstleistungen und Softwareprodukten alles ausreichend im Blick zu haben.
Zudem waren die schulrechtlichen Regelungen nicht auf komplette oder partielle Schulschließungen und die Notwendigkeit, zur Kompensation des fehlenden Präsenzunterrichts digitale Lehr- und Lernmittel einzusetzen, vorbereitet. So enthält das Schulgesetz Schleswig-Holstein bisher keine Vorschriften im Hinblick auf digitale Lehr- und Lernmittel, sondern kennt z. B. lediglich analoge Schulbücher.
Auch wenn sich das Bildungsministerium bemüht hat, bei der Bereitstellung und Förderung digitaler Lehr- und Lernmittel die datenschutzrechtlichen Vorschriften nicht aus dem Blick zu verlieren, besteht die Gefahr, dass sich ungeordnet in einigen Schulen IT-Verfahren zum Distanzlernen etabliert haben, die einer datenschutzrechtlichen Überprüfung nicht standhalten würden. Es ist deshalb dringend geboten, eine Bestandsaufnahme durchzuführen, um zu gewährleisten, dass in allen Schulen die datenschutzrechtlichen Vorschriften eingehalten werden und es nicht zu einer rechtswidrigen Verarbeitung personenbezogener Daten von Schülerinnen, Schülern und Lehrkräften kommt.
Was
ist zu tun?
Das Bildungsministerium sollte sich durch eine Abfrage bei allen Schulen einen Überblick darüber verschaffen, welche digitalen Lehr- und Lernmittel im Jahre 2020 beschafft wurden und noch beständig eingesetzt werden. Sofern Schulen IT-Verfahren einsetzen, die einer datenschutzrechtlichen Überprüfung nicht standhalten, muss dies unverzüglich beendet werden. Im Schulgesetz Schleswig-Holstein sollten Regelungen zum Einsatz von digitalen Lehr- und Lernmitteln aufgenommen werden.
4.1.6 Einheitliche Schulverwaltung und Schulportal
Auf Initiative des Bildungsministeriums und gestützt auf einen Landtagsbeschluss aus dem Jahr 2019 wird den Schulverwaltungen ein IT-Verfahren (School-SH) zur Verarbeitung der Daten der Schülerinnen, Schüler und Eltern kostenfrei zur Verfügung gestellt. Ziel ist es, dass alle Schulen in Schleswig-Holstein dieses Verfahren nutzen, damit die Uneinheitlichkeit der bisher an den Schulverwaltungen eingesetzten Verwaltungsverfahren beendet wird. Standardisierte Lösungen bieten den Vorteil, dass sie mit weniger Aufwand betrieben und weiterentwickelt werden können. Dies betrifft auch die notwendigen Anpassungen, wenn Fehler oder Sicherheitslücken gefunden werden.
Wir haben den Aufbau des IT-Verfahrens zur einheitlichen Schulverwaltung auf Wunsch des Bildungsministeriums von Anfang an begleitet. Im Rahmen dieser konstruktiven Zusammenarbeit mit dem Projektmanagement konnten wir sicherstellen, dass die datenschutzrechtlichen Vorschriften des Schulgesetzes, der Schul-Datenschutzverordnung und der DSGVO umfassend berücksichtigt wurden.
Eine ähnliche datenschutzrechtliche Begleitung konnten wir bezüglich des Schulportals leisten. Das Schulportal wird den Schülerinnen, Schülern und Lehrkräften webbasiert den Zugang zu digitalen Lehr- und Lernmitteln, wie z. B. Lernmanagementsystemen, ermöglichen. Zusätzlich wird darüber hinaus der Zugang der Lehrkräfte zu ihren dienstlichen E-Mail-Postfächern möglich sein. Ferner soll über das Schulportal für die Lehrkräfte auch ein Zugang zu den Daten der von ihnen unterrichteten Schülerinnen und Schüler in School-SH ermöglicht werden. Dieser Zugang wird mit einer Zwei-Faktor-Authentifizierung abgesichert.
Das ULD wird sich mit diesen Schulverfahren weiterhin intensiv beschäftigen.
4.1.7 Datenschutz in der Pflegeberufekammer Schleswig-Holstein – vergessen?
Mit dem Gesetz über die Kammer und die Berufsgerichtsbarkeit für die Heilberufe in der Pflege vom 16.07.2015 wurde auch die Errichtung der Pflegeberufekammer als Körperschaft des öffentlichen Rechts eingeleitet. Damit trat der seltene Fall ein, dass eine neue öffentliche Stelle geschaffen wurde, die in großem Umfang personenbezogene Daten betroffener Personen verarbeiten soll. Man hätte zu diesem Zeitpunkt erwarten können, dass beim Aufbau der Verwaltung der Pflegeberufekammer von vornherein die seinerzeit bestehenden datenschutzrechtlichen Vorgaben insbesondere im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen beachtet würden. Man hätte insbesondere die Möglichkeit gehabt, von Anfang an die gesamte Verwaltungsorganisation datenschutzkonform auszurichten.
Beim Aufbau der Pflegeberufekammer Schleswig-Holstein wurde der Datenschutz augenscheinlich jedoch komplett vergessen. Das ULD war mit einer Vielzahl von Beschwerden gegen die Datenverarbeitung der Pflegeberufekammer befasst. Insbesondere wurden keine oder keine vollständigen Auskünfte nach Artikel 15 DSGVO erteilt. In einem aufsichtsbehördlichen Verfahren überprüften wir einige grundsätzliche Vorgaben der Datenverarbeitung.
Die bisher im Rahmen des durchgeführten Anhörungsverfahrens gewonnenen Erkenntnisse lassen ein unschönes Bild erkennen. Der Pflegeberufekammer war z. B. anscheinend noch nicht einmal bekannt, aufgrund welcher Rechtsgrundlagen die personenbezogene Datenverarbeitung ihrer Mitglieder und ihrer eigenen Mitarbeitenden erfolgt. Das ist aber Voraussetzung für jede Verarbeitung personenbezogener Daten. Für die verwendete elektronische Datenverarbeitung konnte die Pflegeberufekammer keine den datenschutzrechtlichen Anforderungen genügende Dokumentation vorlegen. Diese hätte jedoch bereits vor Inbetriebnahme vorliegen müssen.
Als Zwischenfazit ist die Feststellung zu treffen, dass sich bei der Einrichtung der Pflegeberufekammer augenscheinlich niemand mit Kompetenz und Fachwissen um die zu beachtenden datenschutzrechtlichen Vorschriften und deren Umsetzung gekümmert hat.
Was ist zu tun?
Die bisher festgestellten datenschutzrechtlichen Mängel sind unverzüglich abzustellen.
4.1.8 Wenn Berufsfeuerwehrleute zu Filmstars werden
Aufgrund einer Beschwerde ist uns bekannt geworden, dass eine in Schleswig-Holstein im Einsatz befindliche Berufsfeuerwehr bei ihren Einsätzen von einem Filmteam begleitet wird. Dieses Filmteam erstellt Aufnahmen vom Alltag der Berufsfeuerwehrleute und den damit einhergehenden Einsätzen. Augenscheinlich werden dabei auch Szenen aufgenommen, in denen Personen zunächst gefilmt und dann erst gefragt werden, ob sie offen oder in anonymisierter (verpixelter) Form im Filmbeitrag gezeigt werden dürfen. Um die Einsatzhandlungen der Feuerwehrleute noch intensiver und einsatznäher im Bild festzuhalten, trugen die Feuerwehrleute auch Bodycams, die der Filmfirma gehören. Diese Aufnahmen wurden ebenfalls von der Filmfirma ausgewertet und für die Einsatzstorys verwendet. Man stelle sich einen Einsatz im brennenden Haus vor, wenn die Personen, die zur Rettung der Bewohnerinnen und Bewohner herbeieilen, gleich jeden Schritt und Handschlag filmen und dabei natürlich auch verzweifelte Menschen und ihre Privaträume ins Bild geraten können.
Hinsichtlich der datenschutzrechtlichen Zulässigkeit solcher Filmaufnahmen, in denen erst aufgezeichnet und dann erst die betroffenen Personen gefragt werden, argumentiert die Berufsfeuerwehr dahin gehend, dass dies im Rahmen des Landespressegesetzes zulässig sei. Aus unserer Sicht ist es jedoch zweifelhaft, ob eine solche Datenverarbeitung auf die Pflicht zur Zusammenarbeit mit der Presse nach dem Landespressegesetz gestützt werden kann.
Wir haben einen Hinweis erteilt, dass eine zeitgleiche Begleitung der Berufsfeuerwehr durch das Filmteam einen Verstoß gegen die DSGVO darstellen kann, wenn dabei personenbezogene Daten betroffener Personen offenbar werden können. Im Hinblick auf den Einsatz von Bodycams haben wir eine Warnung ausgesprochen, weil keine Rechtsgrundlage ersichtlich ist, die einen Einsatz erlauben würde.
Was ist zu tun?
Das Datenschutzrecht gilt auch bei Feuerwehreinsätzen. Das bedeutet in diesem Fall: keine Bodycams im Feuerwehreinsatz, wenn Menschen davon betroffen sein können.
4.1.9 E-Mail-Versand von Gebührenbescheiden durch die Abfallwirtschaft
Ein von einem Kreis mit der Durchführung und Organisation der Abfallentsorgung beauftragter Betrieb plante die Versendung von Rechnungen und Abfallgebührenbescheiden per E-Mail. Der Kreis betraute den Abfallwirtschaftsbetrieb auch mit der Veranlagung und dem Versand der Gebührenbescheide. Die Bescheide enthalten erwartungsgemäß personenbezogene Daten der Gebührenschuldner, im Einzelnen Angaben zu Name, Vorname und Anschrift, gegebenenfalls Kontaktdaten eines Empfangsbevollmächtigten, Angaben dazu, welche Behälter mit welchem Leerungsrhythmus der Betrieb vorhält, die Höhe der Jahresgebühr oder des Jahresentgelts, Informationen zur Fälligkeit der Forderung und bei einem erteilten SEPA-Lastschriftmandat die letzten drei Ziffern der IBAN.
Der Kunde wird im Webauftritt des Abfallwirtschaftsbetriebs auf die Möglichkeit des Erhalts von Rechnungen oder Gebührenbescheiden per E-Mail hingewiesen. Zum Einsatz kommt eine Transportverschlüsselung. Entscheidet sich der Kunde für den Versand per E-Mail, wird dieser in einer Eingabemaske zur Bereitstellung einiger Daten gebeten, um sich zu verifizieren. Die Anmeldeprozedur soll die Übermittlung einer Bestätigungs-E-Mail enthalten, in welcher der Kunde zum Abschluss der Anmeldung einen Bestätigungslink anklicken muss.
Die skizzierte Verfahrensweise hat das ULD geprüft und keine durchgreifenden datenschutzrechtlichen Mängel an der Konzeption festgestellt. Zu diesem Ergebnis gelangte das ULD auch, weil der Entwurf eine Beachtung und Umsetzung der Vorgaben der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E‑Mail“ der DSK vorsah. Das entsprechende Dokument enthält insbesondere Ausführungen zu den technischen Anforderungen bei der Erbringung von E-Mail-Diensten, zu den Sorgfaltspflichten bei der Auswahl von Diensteanbietern, Fallgruppen des E‑Mail-Versands mit Risikoeinstufungen sowie Anforderungen an Verschlüsselungs- und Signaturverfahren. Die Orientierungshilfe ist unter dem folgenden Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf
Kurzlink: https://uldsh.de/tb39-4-19
Der Abfallwirtschaftsbetrieb erhielt für die weitere Konzeption noch Hinweise, wonach die Kunden einen geeigneten Zugang zu den Pflichtinformationen (Artikel 13 DSGVO) erhalten müssen. Ferner ist durch eine deutliche Hervorhebung sicherzustellen, dass eine echte Wahlmöglichkeit zwischen papiergebundenen Bescheiden bzw. Rechnungen und einer Übersendung per E-Mail verbleibt. Beabsichtigt war auch, dass der Kunde informiert wird, wenn die von ihm angegebene E-Mail-Adresse nebst Anhang nicht zugestellt werden kann, wenn dessen Provider keine Transportverschlüsselung anbietet. Hierzu empfahl das ULD die Einrichtung eines Testversands, gegebenenfalls in Kombination mit der Bestätigungs-E-Mail zur Nutzung des Angebots, um die Fähigkeit zur Transportverschlüsselung zu gewährleisten.
Was ist zu tun?
Nachdrücklich empfohlen wird den öffentlichen Stellen die Lektüre der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“. Nicht nur für die Konzeption neuer, sondern auch für bereits etablierte Verfahren können die dort formulierten Vorgaben eine Hilfestellung bieten.
4.1.10 Prüfung eines kommunalen Rechenzentrums im Jahr 2019 – Mängelbehebung dauert an
Die Anforderungen an kommunale Rechenzentren werden auch aufgrund der zunehmenden Digitalisierung von Verwaltungsaufgaben immer komplexer. Insbesondere Datenschutz und Informationssicherheit müssen deshalb einen hohen Stellenwert erhalten, damit die Verarbeitungstätigkeiten in einem Rechenzentrum datenschutzkonform umgesetzt werden können. Bei einer datenschutzrechtlichen Überprüfung eines kommunalen Rechenzentrums im Frühjahr 2019 stellte das ULD jedoch fest, dass sowohl die Verantwortlichen des Rechenzentrums als auch eine Zahl von Kommunen als Träger des Rechenzentrums für die personenbezogene Datenverarbeitung keine Datenschutzkonformität nachweisen konnten.
Noch während der Prüfung musste das ULD aufgrund der gravierenden Mängel und Datenschutzverstöße eine Anweisung nach Art. 58 Abs. 2 Buchst. d DSGVO gegenüber den Verantwortlichen des Rechenzentrums aussprechen. Hierzu gehörten u. a. folgende Punkte:
- Die Kennwörter der Administrationskonten der Beschäftigten des Rechenzentrums waren zum Teil trivial und wurden schon seit mehreren Jahren nicht geändert. Teilweise wurden Kennwörter für Fachverfahren und technische Komponenten bei der Übernahme im Rahmen der Migration der Kommunen übernommen und seither nicht geändert. Vereinzelt wurden Kennwörter wie z. B. „Geheim“ oder „12345“ oder Kennwörter, die identisch mit der Benutzerkennung waren, festgestellt. Darüber hinaus wurde für das Standardadministrationskonto „Administrator“, das auf allen Windows-Systemen vorhanden ist und über Vollzugriffsrechte verfügt, dasselbe Kennwort verwendet.
- In der Benutzer- und Gruppenkontenverwaltung (Active Directory) wurden mehr als 70 Administrationsbenutzerkonten festgestellt, die über vollständige administrative Berechtigungen auf IT-Systeme des Rechenzentrums und der mit ihnen verarbeiteten personenbezogenen Daten der Kommunen verfügten. Einem Mitarbeiter eines externen Dienstleisters wurde sogar ein Konto als „Superadministrator“ eingerichtet. Ferner wurde festgestellt, dass ein ausgeschiedener Beschäftigter des Rechenzentrums als Administrator noch immer über Berechtigungen verfügte, sodass er jederzeit unbemerkt über externe Zugänge auf IT-Systeme des Rechenzentrums und auf Daten der Kommunen hätte zugreifen können.
- Zahlreiche vom Rechenzentrum beauftragte Dienstleister konnten über eingerichtete Zugänge von ihrem Standort aus auf IT-Systeme des Rechenzentrums und auf personenbezogene Daten der Kommunen unkontrolliert zugreifen. Über Log-Dateien wurde festgestellt, dass innerhalb einer Woche über diese Zugänge mehr als 100 Zugriffe auf IT‑Systeme stattfanden.
Im weiteren Verlauf bemühten sich die Verantwortlichen des Rechenzentrums zwar, die eklatanten Mängel abzustellen, es wurden jedoch bei den nachfolgenden Prüfungsterminen weitere schwerwiegende Mängel festgestellt, sodass die Liste der Verstöße gegen die DSGVO immer länger wurde. Hierzu gehörten z. B.
- unzureichende Verträge nach den Anforderungen des Artikels 28 DSGVO zwischen Rechenzentrum und Kommunen,
- fehlende Nachweise über die Umsetzung technischer und organisatorischer Maßnahmen zum Schutze der personenbezogenen Daten gemäß der Artikel 5, 24 und 32 DSGVO,
- fehlende Zutrittskontrollmaßnahmen einschließlich einer nicht dokumentierten und nicht kontrollierten Schlüsselvergabe für Technikräume,
- nicht fachgerechte Installation von Hardwarekomponenten sowie eine nicht fachgerechte Verkabelung der einzelnen IT-Komponenten in Technikschränken,
- seit dem Jahr 2015 Einsatz von nicht aktualisierten Serverbetriebssystemen mit fehlenden Sicherheitspatches,
- nicht dokumentierte Firewall-Regeln der eingesetzten Firewall-Systeme,
- kein mandantenfähiges und segmentiertes Datenkommunikationsnetz zwischen den einzelnen Kommunen und dem Rechenzentrum,
- keine Protokollierung administrativer Aktivitäten der Beschäftigten des Rechenzentrums und ihrer beauftragten Dienstleister sowie
- ein fehlerhaftes Berechtigungsmanagement mit über 5.000 Benutzer- und Gruppenkonten, die aufgrund ihrer komplexen Strukturen nicht mehr vollständig prüffähig waren.
Nach Abschluss der Prüfung bekundeten die Verantwortlichen über ihren mit der Sache beauftragten Rechtsanwalt gegenüber dem ULD, die Mängel zeitnah abzustellen. Darüber hinaus wurde das ULD in Wochenberichten über Pläne und Aktivitäten der Verantwortlichen des Rechenzentrums informiert.
Nachdem eineinhalb Jahre vergangen waren und die Berichte der Verantwortlichen keinen zufriedenstellenden Umsetzungsstand erkennen ließen, kündigte sich das ULD bei den Verantwortlichen des Rechenzentrums im Herbst 2020 mit einer Nachprüfung an. Bei dieser Prüfung wurde festgestellt, dass noch immer viele schwerwiegende Mängel und mithin Verstöße gegen die DSGVO vorlagen. Die dem ULD mitgeteilten geplanten Maßnahmen waren größtenteils nicht umgesetzt worden. Eine zum Jahresende vom Rechenzentrum beim ULD beauftragte Auditierung des Umsetzungsstands der Datenschutzmaßnahmen wurde von den Verantwortlichen des Rechenzentrums demzufolge abgesagt.
Im Ergebnis ist festzustellen, dass die Verantwortlichen seit Jahren keine Datenschutzkonformität für die Datenverarbeitung im Rechenzentrum gewährleisten und infolgedessen die Vorschriften der DSGVO nicht vollständig einhalten. Sonderbar ist auch, dass sie nach Erhalt des Prüfbescheids des ULD bei dem Verwaltungsgericht Schleswig-Holstein Klage erhoben haben.
Bußgelder können gegenüber öffentlichen Stellen nicht verhängt werden.
Was ist zu tun?
Die Verantwortlichen des Rechenzentrums sind aufgefordert, die schwerwiegenden Datenschutzmängel dringend abzustellen. Solange die Verantwortlichen des Rechenzentrums keine Datenschutzkonformität nachweisen können, sind die Kommunen in der Pflicht, ihre Datenverarbeitung im eigenen Hause datenschutzkonform zu gestalten oder für ihre Verarbeitungstätigkeiten ein Rechenzentrum zu beauftragen, das die Anforderungen der DSGVO erfüllt.
4.1.11 Gemeldete Datenpanne: Schadsoftware in der Kläranlage
Art. 4 Nr. 12 DSGVO
Im Sinne der DSGVO bezeichnet der Ausdruck „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Ein Versorgungsbetrieb meldete fristgerecht eine Verletzung des Schutzes personenbezogener Daten nach Artikel 33 DSGVO. Ein Virus hatte die Steuerung des Reinigungsprozesses beeinträchtigt. In diesem Zusammenhang war es den Mitarbeiterinnen und Mitarbeitern nur noch möglich, die Kläranlage manuell weiterzubetreiben. Durch den Virusbefall waren auch die Zugangsdaten der Mitarbeitenden zur Steuerungsanlage betroffen.
Im Zuge der Überprüfung analysierte der Versorgungsbetrieb den bestehenden Virenschutz, den Systemzugang und weitere getroffene technisch-organisatorische Maßnahmen. Befallene Rechner wurden umgehend vom Netz getrennt. Die mitgeteilten Maßnahmen waren angemessen. Insbesondere informierte der Versorgungsbetrieb unverzüglich alle Mitarbeiterinnen und Mitarbeiter über den Vorfall.
Was ist zu tun?
Eine Meldepflicht gegenüber der Aufsichtsbehörde besteht auch dann, wenn kein vorsätzliches oder fahrlässiges Verhalten des Verantwortlichen belegt ist. Ausgangspunkt ist das Bestehen einer Verletzung des Schutzes personenbezogener Daten unter Berücksichtigung eines Risikos für die Rechte und Freiheiten natürlicher Personen.
4.1.12 Gemeldete Datenpanne: Einbruch in Büroräume
Eine öffentliche Stelle unterrichtete das ULD fristgerecht über einen Einbruch in Büroräume. Die Täter beschädigten dabei auch Schränke, in denen Personalakten lagerten. Im Rahmen der Überprüfung, ob einzelne Personalakten oder Bestandteile hierin fehlen, konnte kein Verlust festgestellt werden.
Art. 4 Nr. 6 DSGVO
Im Sinne der DSGVO bezeichnet der Ausdruck „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
Auch papiergebundene Personalakten zählen zu den personenbezogenen Daten, deren Schutz in der DSGVO geregelt ist. Die Personalakten führte die öffentliche Stelle damit in Form einer nicht automatisierten Verarbeitung unter Nutzung eines Dateisystems.
Die getroffenen technisch-organisatorischen Sicherungsmaßnahmen waren angemessen und gaben keinen Anlass zur Beanstandung.
Da eine unbefugte Kenntnisnahme von Personalakten durch die Täter nicht ausgeschlossen werden konnte, unterrichtete die öffentliche Stelle auch sämtliche Mitarbeiterinnen und Mitarbeiter über den Einbruch und das in diesem Zusammenhang ermittelte Risiko. Die Unterrichtung war aus Sicht des ULD sachgerecht.
Was ist zu tun?
Eine Benachrichtigungspflicht gegenüber den betroffenen Personen besteht neben der Meldepflicht gegenüber der Aufsichtsbehörde dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |