3.11.2021
Hand aufs Herz: Wer von uns kann von sich sagen, dass sein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) noch aktuell ist? Enthält es alle notwendigen Angaben? Wenn es zu einer Schutzverletzung kommt, müssen der Behörde binnen 72 Stunden zahlreiche Unterlagen vorgelegt werden. Und die Behörde kann ohnehin jederzeit die Vorlage des Verzeichnisses verlangen. Im Fall von Schutzverletzungen wird sie das auch mit Sicherheit tun. Davon abgesehen: Wer das Verzeichnis gewissenhaft erstellt, entdeckt dabei zwangsläufig auch bisher unbemerkte Sicherheitslücken und kann sie schließen, ehe sie zu Schäden führen - sozusagen eine Impfung gegen gravierende Probleme. Natürlich kann es auch hier zu "Impfdurchbrüchen" kommen. Die Folgen sind aber weitaus weniger schlimm, weil mit der korrekten Anlage des Verzeichnisses ein robuster Schutz gegeben ist.
Hier eine verkürzte Beschreibung der sieben vorgeschriebenen Punkte, die das Verzeichnis enthalten muss:
Seit 2018 gab es zahlreiche Entscheidungen europäischer Behörden und Gerichte zur genauen Ausgestaltung des Verarbeitungsverzeichnisses. Die Datenschutzbehörden setzen voraus, dass diese Durchführungsvorschriften eingehalten werden. Ältere Standardvorlagen der verschiedenen Berufsverbände sind daher leider nicht mehr ausreichend. Es ist deshalb dringend anzuraten, wenigstens ein Mal ausgewiesene Datenschutzexperten heranzuziehen, um mit ihnen gemeinsam auf Grundlage der individuellen Situation und der Rechtsprechung die Unterlage zu überarbeiten.
Das Verarbeitungsverzeichnis ist einer der wichtigsten Punkte des gesetzlichen Datenschutzes. Ideato macht deshalb ein Sonderangebot, das bei Bestellung bis 31.12.2021 gültig ist: Die Unterstützung bei der Überarbeitung eines bestehenden Verarbeitungsverzeichnisses, um es auf den letzten Stand zu bringen, wird um EUR 100 pro Beratungsstunde zuzüglich 20% MWSt offeriert*). Grundsätzlich erfolgt die Beratung in einem Video-Call, kann deshalb kurzfristig erfolgen und hinsichtlich des Termines sehr flexibel gestaltet werden. Anmeldung bitte per Mail (buero[at]ideato.at) oder telefonisch (+43 664 356 37 62).
*) Mindestdauer 60 Minuten, darüber hinaus pro angefangene Viertelstunde EUR 25 zuzüglich 20% MWSt. Bestellungen per e-Mail gelten erst bei Erhalt einer Annahmeerklärung von Ideato.
Smarte Geräte werden deswegen verwendet, weil sie die Nutzer im höchstpersönlichen Lebensbereich unterstützen: Sie erzählen das heutige Fernsehprogramm, steuern die Heizung, saugen Staub, mixen den Kuchen, überwachen den Inhalt des Kühlschranks und schließen sogar das Haus ab - auch aus der Ferne, wenn man vergessen hat zuzusperren. Die dazu veröffentlichten Zahlen für Deutschland könnten aber widersprüchlicher kaum sein: Die Hamburger Statista-Gmbh veröffentlicht eine Umfrage vom Juli 2021, wonach 78 Prozent der Befragten smarte Haushaltsgräte aufgrund des höheren Komforts und der höheren Lebensqualität benutzen. Für 69 Prozent war der Umfrage zufolge die höhere Sicherheit ein Grund für die Nutzung von Smart-Home-Geräten. Einer Veröffentlichung des TÜV vom Februar 2021 zufolge haben hingegen 68 Prozent der Menschen in Deutschland große Sorge, dass smarte Geräte ihre persönlichen Daten missbrauchen. Egal welche der beiden Umfragen näher an den Tatsachen liegt: Wer seinen Hausschlüssel unter den Blumentopf neben der Eingangstür legt, darf sich nicht wundern, wenn eines Tages bei der Heimkehr der Picasso von der Wand verschwunden ist.
Ideato hat aus jeweils aktuellen Anlässen bereits auf die Probleme mit smarten Haushaltsgeräten in drei Klienteninformationen ausführlich hingewiesen (November 2018, März 2019, August 2019). Diese Probleme beruhen im Wesentlichen auf drei Umständen:
Soferne ihnen der Schutz ihrer Privatsphäre weniger wichtig ist, können Privatpersonen aus der Sicht des Datenschutzes sehr viele Ausnahmen und Privilegien für sich in Anspruch nehmen. Beim Einsatz smarter Helfer müssen sie deshalb weniger kritisch sein. Bei Tonaufnahmen oder Videos allerdings, die ohne Wissen der Betroffenen (z.B. von nichts ahnenden Gästen) angefertigt werden, kennen die Gerichte aber kein Pardon.
Angehörigen von Berufen, die einer gesetzlichen Verschwiegenheitspflicht unterliegen, drohen sogar gravierende Konsequenzen bis zum Verlust ihrer Zulassung, wenn Klientendaten in Schrift, Ton oder Bild den geschützen Bereich verlassen. Staubsaugerroboter mit Kameras, Siri, Alexa und ähnliche Dinge haben z.B. in den Kanzleien von Anwälten und Steuerberatern oder in den Praxen von Ärzten und Therapeuten nichts zu suchen. Für alle übrigen Berufe gilt es zu bedenken, dass die Preisgabe von Geschäftsgeheimnissen von Geschäftspartnern, Kunden oder Klienten ruinöse Schadenersatzforderungen nach sich ziehen kann. Diesen Nachteil kann kein Vorteil smarter Helfer wettmachen.
Quellen:
https://www.heise.de/news/Warum-smarte-Heizungen-wenig-gefragt-sind-6221662.html?utm_source=pocket-newtab-global-de-DE
(21.10.2021)
https://de.statista.com/statistik/daten/studie/1168810/umfrage/smart-home-gruende-fuer-die-nutzung/#statisticContainer
(25.10.2021)
https://www.tuev-verband.de/pressemitteilungen/verbraucherinnen-fuerchten-cyberangriffe-auf-vernetzte-produkte
(25.10.2021)
Zwar ergeben die Zeitungsmeldungen in wesentlichen Fragen kein präzises Bild - so viel ist aber unstrittig: Der Datenschutzbeauftragte von Thürigen, Lutz Hasse, reagierte auf eine Elternbeschwerde (mutmaßlich von Impfgegnern) und leitete Ende August 2021 ein Prüfverfahren gegen eine Lehrerin ein, die in einer Klassendiskussion die Frage gestellt hatte, ob sich die Schüler impfen lassen würden. Ganz allgemein gefragt: Kann unter Berufung auf den Datenschutz ein Diskussionsverbot ausgesprochen werden?
Ein wenig erinnert die Sache an den Unfug, den die Stadtverwaltung in Wien zu verantworten hat: In der falschen Annahme, die Namensschilder an den Türklingeln widersprechen dem Datenschutz, hat die Hausverwaltung der Gemeinde im Herbst 2018 alle Namenshinweise bei 220.000 Wohnungen entfernen lassen. Anlass war auch hier eine unkundige und überzogene Beschwerde. Erst nachdem die verantwortlichen Juristen der Stadt eines Besseren belehrt wurden, wurde die Sache mit großem Aufwand wieder gerade gebogen.
Der Datenschutz dient oft als billige Ausrede. Eine juristische Begründung für das Vorgehen der Thüringer Datenschutzbehörde wird man nämlich schwerlich finden, sofern nicht die Lehrerin einen geordneten Katalog der Antworten der Schüler gemacht und vielleicht sogar aufbewahrt hat. Lutz Hasse ruderte allerdings ohnehin sehr bald zurück und meinte, dass die Antworten der Schüler möglicherweise den weltanschaulichen Bereich berührt haben und daher allenfalls die Einwilligung der Eltern nötig gewesen wäre. Dieses "Argument" - so es denn Geltung hätte - geht aber inhaltlich über den Bereich des Datenschutzes weit hinaus und fällt daher mit hoher Wahrscheinlichkeit nicht in die Verantwortung des Datenschutzbeauftragten.
Fazit: Datenschutz regelt nur die Verarbeitung von Daten. Diskussionen oder der Meinungsaustausch sind davon unberührt. Niemand kann gezwungen werden, seine höchstpersönliche Meinung zu äußern. Wer es aber tut, verstößt niemals gegen den Datenschutz. Ob diese Person allenfalls gegen andere Rechtsnormen verstößt, wäre gesondert zu klären.
Quellen:
https://www.derstandard.at/story/2000130503802/mit-schuelern-ueber-corona-impfung-diskutiert-lehrerin-soll-gegen-datenschutz
(17.10.2021)
https://www.zeit.de/news/2021-10/15/datenschuetzer-geht-gegen-lehrerin-wegen-impfgespraech-vor?utm_referrer=https%3A%2F%2Fwww.derstandard.at%2F
(15.10.2021)
https://www.merkur.de/thueringen/impfdiskussion-datenschuetzer-geht-gegen-lehrerin-vor-zr-91054507.html
(16.10.2021)
https://www.tlv.de/inhalt/uploads/2021/03/2101-ThSch_Daten-schuetzen-1.pdf
(28.02.2021)