Aus der Reihe: "Die Aufsichtsbehörde antwortet..."
Die GDD bildet gemäß § 12 ihrer Satzung zur Durchführung ihrer Aufgaben Erfahrungsaustauschkreise (Erfa-Kreise). Aufgabe der Erfa-Kreise ist es insbesondere, in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und sonstigen Fachleuten für Fragen des Datenschutzes und der Datensicherheit, die Teilnehmer bei der Lösung und Klärung bestehender Datenschutzprobleme zu unterstützen. In den über das ganze Bundesgebiet verteilten, z.Z. 30 Erfa-Kreisen werden aktuelle Datenschutz- und Datensicherheitsprobleme diskutiert.
Insbesondere der direkte Kontakt und die Einbindung der Aufsichtsbehörden in die Erfa-Kreise bringt für alle Beteiligten einen großen Mehrwert. So kann der interessierte Leser im Tätigkeitsbericht des BayLDA (7. TB 2015/2016, S.18) folgendes lesen “Einen ganz besonderen Stellenwert genießen nach wie vor die ERFA-Kreise, die von der Gesellschaft für Datenschutz und Datensicherheit (GDD) in Verbindung mit den zuständigen Industrie- und Handelskammern [in München, Nürnberg, Würzburg, Bayreuth und Coburg] angeboten werden. Bei diesen Veranstaltungen sind überwiegend betriebliche Datenschutzbeauftragte anwesend, mit denen ein Austausch über aktuelle Fragen für beide Seiten gewinnbringend ist.“
Zuletzt wurden an dieser Stelle in unregelmäßigen Abständen die ausgewählten Fragestellungen des aus den GDD-Erfa-Kreisen Nürnberg, Würzburg, Coburg, Bayreuth und die dazugehörigen Antworten des Bayrischen Landesamts für Datenschutzaufsicht vorgestellt. Nachfolgend werden einige der ausgewählten Fragen und Antworten vorgestellt, die in den besagten GDD-Erfa-Kreisen Diskussion mit dem Landesamt für Datenschutzaufsicht und dem Teilnehmerkreis standen.
Fragen des Erfa-Kreises Coburg:
1. Frage:
Sind auf einem PC lokal gespeicherte Bonitätsauskünfte von bzw. über Einzelpersonen als relevantes Datum im Sinne des § 42 a Ziff. 4 BDSG (personenbezogene Daten zu Bank- oder Kreditkartenkonten) zu klassifizieren, so dass die unbefugte Kenntnisnahme(- möglichkeit) Dritter ein meldepflichtiger Vorfall wäre?
Antwort BayLDA: Enthält die Auskunft die Kontonummer und Bankleitzahl bzw. IBAN oder die Kreditkartennummer, liegt ein Fall des § 42a Nr.4 BDSG vor. Dies ist so, wenn die Bonitätsauskunft eine Bankauskunft ist oder wenn die Auskunft einer Wirtschaftsauskunftei die angesprochenen Daten enthält. Dagegen erfüllt eine Bonitätsauskunft einer Auskunftei ohne diese Bank- bzw. Kreditangaben die Voraussetzung des § 42a Nr.4 BDSG nicht.
2. Frage: Grundproblem der Social Media Wall:
Ein Hashtag-Grabber lädt aus sozialen Medien Inhalte herunter die unter einem definierten Hashtag gepostet werden. Dabei handelt es sich hauptsächlich um Fotos. Unserer Einschätzung nach ist der Einsatz eines solchen Tools datenschutzrechtlich nicht zulässig, da im Regelfall keine Einwilligung des Betroffenen eingeholt werden kann und es auch nicht möglich ist an der notwendigen Stelle eine transparente Datenschutzerklärung zu platzieren. Der Betroffene kann auch nicht über die Datenerhebung informiert werden. Unserer Ansicht nach muss der Betroffene auch nicht damit rechnen, dass die Bilder die er auf einer sozialen Plattform hoch lädt von einem Dritten abgefangen und genutzt werden. Wird unsere Einschätzung von der Aufsicht geteilt? (Der ggfs. bestehende Verstoß gegen die Nutzungsbedingungen der sozialen MedienPlattformen und eine entgegenwirkende Sicherungspflicht des Betreibers der sozialen Medien kann dahin gestellt bleiben.)
Antwort BayLDA: Eine Datenverarbeitung ohne Einwilligung ist nicht zulässig. Fotos aus sozialen Medien sind in der Regel nicht allgemein zugängliche Daten, da es sich um anmeldepflichtige Kommunikationsplattformen handelt. Andere Rechtsgrundlagen sind nicht ersichtlich.
3. Frage:
Ist – falls der Betroffene die Möglichkeit hat, z. B. auf einem Flyer (Preisausschreiben), Webseite oder App, in ein Textfeld, das mit „*freiwillig“ markiert ist, personenbezogene Daten von sich einzugeben, z. B. Adresse und Geburtsdatum, noch eine explizite Einwilligung des Betroffenen zur Datenverarbeitung notwendig oder reicht ein erklärender Datenschutzhinweis? Die persönliche Eingabe würde dann als konkludente Einwilligung gewertet werden.
Antwort BayLDA: Wenn zu einem deutlich als „freiwillige Angabe“ gekennzeichneten Feld auch klar der beabsichtigte Verwendungszweck erläutert wird, z. B. Geburtsdatum für interessen- /altersgerechte Werbepost, etc., würden wir bei einem Dateneintrag durch den Betroffenen darin das Einverständnis des Betroffenen mit der angekündigten Datenverwendung sehen.
(Foto: © vege/Fotolia.com)