Weihnachten in Zeiten der DSGVO

News

Weihnachten – das bedeutet für die meisten von uns Besinnlichkeit, Christbäume, Wunschzettel und Geschenke. Lesen Sie hier, weshalb das Teile von Bayern in diesem Jahr verunsichert hat.

Kein Weihnachtsgeld mehr für Bedürftige in Holzkirchen

Bezieher von Grundsicherungsleistungen (Arbeitslosengeld II/Sozialhilfe) in der oberbayrischen Marktgemeinde Holzkirchen müssen nach einer aktuellen Meldung in diesem Jahr wohl ohne „Weihnachtsgeld“ aus der Gemeindekasse auskommen. Denn die dort seit 30 Jahren gepflegte Tradition, Bedürftigen einen Zuschuss von mindestens 20,00 Euro in bar zukommen zu lassen, wurde in diesem Jahr erstmalig ausgesetzt.

Grund: die Information, wer aufgrund seiner Bedürftigkeit in den Genuss der weihnachtlichen Unterstützung kommen soll, erhielt die Gemeinde vom Sozialamt beim Landratsamt Miesbach. Dort ist man aber jetzt der Ansicht, dass man diese Daten unter Geltung der DSGVO nicht mehr herausgeben dürfe, auch nicht für einen guten Zweck. Zwischen 250 und 350 Einwohner sollen betroffen sein.

Um das Problem zu lösen, sollen 2019 nachträglich an alle Grundsicherungsempfänger, die im Besitz der HolzKirchenKarte sind, anstatt Weihnachtsgeld Gutscheine ausgegeben werden.

Weihnachtsbaum in Roth trägt in diesem Jahr keine Wunschzettel mehr

Ähnlich nervös wurden nach einer weiteren Meldung unlängst die Väter und Mütter der Stadt Roth: dort durften Kinder anders als in den letzten Jahren ihre an den Weihnachtsmann adressierten Wunschzettel nicht mehr an den Christbaum auf dem Weihnachtsmarkt hängen. Auch hier hieß es, die DSGVO sei schuld. Denn die Zettelchen würden neben den Wünschen der Kinder auch deren vollständigen Namen sowie Privatanschrift und damit erkennbar personenbezogene Daten tragen.

Diese werden deshalb abgefragt, damit die Stadtverwaltung weiß, welchem Kind sie welchen Wunsch erfüllen soll. Für die Weitergabe dieser Daten an die Wunscherfüller sei nach Auffassung der Verantwortlichen eine Einwilligung erforderlich, die die Kinder aber nicht wirksam selbst abgeben könnten. Um nun eine Zettelwirtschaft unterm Baum zu vermeiden, entschied man sich schließlich dafür, das Formular um ein Feld für das ausdrückliche elterliche Einverständnis zu ergänzen und außerdem eine Box aufzustellen, in der die Wunschzettel datenschutzkonform eingeworfen werden können.

DSGVO = Grinch?

Ganz so fatal scheint die Rechtslage aber nicht zu sein. Zutreffend ist, dass die Übermittlung der Daten von Bedürftigen vom Sozialamt an die Gemeinde Holzkirchen einer gesetzlichen Ermächtigung bedarf, denn im Datenschutzrecht ist grundsätzlich jede Verarbeitung verboten, solange sie nicht ausdrücklich gesetzlich erlaubt ist.

Sofern eine Einwilligung der Betroffenen nicht vorliegt, könnte sich eine solche Ermächtigung hier aber aus § 69 Abs. 1 Nr. 1 SGB X ergeben (zur Anwendbarkeit des SGB neben der DSGVO: Bieresborn, NZS 2017, 926, 927). Danach ist die Übermittlung von Sozialdaten zulässig, soweit sie erforderlich ist für die Erfüllung der Zwecke, für die sie erhoben worden sind. Als ursprünglicher Zweck könnte hier die öffentliche Daseinsvorsorge und Existenzsicherung gesehen werden.

Für die Stadt Roth gilt: sofern man nicht schon im Anbringen der Wunschzettel eine konkludente Einwilligung der Eltern in die Datenverarbeitung erblickt, dürfte die Wunschzettelaktion zumindest von den bayrischen Landesdatenschutzgesetzen gedeckt sein. Art. 4 Abs. 1 BayDSG erlaubt die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle, wenn dies zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Betrachtet man den Weihnachtsmarkt etwa als Teil der Selbstverwaltung, öffentlichen Daseinsfürsorge, Tourismusförderung und Pflege des örtlichen Zusammenhalts, dürfte zumindest die Datenerhebung in Form des Anbringens der Wunschzettel an den Christbaum davon erfasst sein. Für die Weiterverarbeitung und Übermittlung der Daten an die „Wunscherfüller“ sind sogar mehrere Erlaubnistatbestände im BayDSG denkbar (Art. 5, 6 BayDSG).

Geschenketipp (nicht nur) für öffentliche Stellen

Die beiden Nachrichtenmeldungen zeigen, dass es bisweilen schwierig sein kann, Fragen über den Anwendungsbereich der DSGVO rechtssicher zu beantworten. Deshalb am besten eine Schulung durch einen im Datenschutz erfahrenen Berater auf den Wunschzettel setzen und Weihnachten kann kommen – auch in Zeiten der DSGVO.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

10 Kommentare zu diesem Beitrag

  1. Handelt es sich beim Weihnachstbaum der Stadt Roth um ein Dateisystem ;-)? Nach meinem Verständnis trifft dies nicht zu, daher ist die DS-GVO zunächst nicht anwendbar – zumindest für das Anbringen handgeschriebener Wunschzettel.
    Sofern die Wunschzettel oder die pbD darauf digitalisiert werden, mag eine Rechtsgrundlage notwendig sein. Werden sie, was wahrscheinlicher ist, in eine Pappschachtel geworfen und dem Sponsor übergeben, kann ich allerdings immer noch kein Dateisystem erkennen.

    • Bei dieser Subsumption haben Sie zunächst Recht. Es handelt sich um mehrere Verarbeitungsvorgänge und der Weihnachtsbaum ist sicherlich kein Dateisystem. Der Anwendungsbereich der DSGVO wäre also zunächst nicht eröffnet.

      Wie sich vll. schon an der von uns zitierten Norm erahnen lässt, steckt der Teufel hier im bayerischen Landesdatenschutzgesetz. Art 2 Satz 1 erweitert den Anwendungsbereich der DSGVO für die öffentlichen Stellen in Bayern auch auf alle Verarbeitungen personenbezogener Daten.

      • Vielen Dank für die Klarstellung. Ich finde im sachlichen Anwendungsbereich der DS-GVO Art. 2 DS-GVO allerdings keine Öffnungsklausel – oder ich sehe den Tannenwald vor lauter Weihnachtsbäumen nicht mehr? Die einzige logische Erklärung für mich ist, dass im BayDSG das Schutzziel der DS-GVO eben nicht unterschritten, sondern „erhöht“ wurde. Weswegen eine Erweiterung zulässig sein könnte. Ich mag mich irren?

        • Eine Öffnungsklausel (oder besser Konkretisierungsklausel) bietet dem Gesetzgeber die Möglichkeit (oder verpflichtet ihn) innerhalb des Rahmens der Datenschutz-Grundverordnung gestaltend tätig zu werden. Wie bereits festgestellt befinden wir uns nicht im Anwendungsbereich der DSGVO.

          Art. 2 BayDSG regelt vielmehr die Fälle, die in nationalen Vorbehaltsbereichen ohne EU-Bezug liegen. Grundsätzlich haben hier die Länder das Recht der Gesetzgebung, soweit das Grundgesetz nicht dem Bunde Gesetzgebungsbefugnisse verleiht (Art. 70 I GG). Anstatt von dieser Kompetenz Gebrauch zu machen und für die Bereiche ohne EU-Bezug umfassende eigenständige Datenschutzregelungen zu treffen, hat sich Bayern dafür entschieden auch dort die DSGVO für anwendbar zu erklären.

  2. Unabhängig davon, dass im Falle der Weihnachtsbaumaktion in Roth das BayDSG anwendbar ist: Wäre unter Anwendung der DS-GVO überhaupt die Voraussetzung von Art. 8 Abs. 1 S. 1 DS-GVO erfüllt? Zum einen geht es in Art. 8 doch um Angebote von Diensten der Informationsgesellschaft, was bei der Weihnachtsbaumaktion meines Erachtens nicht gegeben ist, zum anderen muss die Verarbeitung überhaupt nicht zwingend auf eine Einwilligung gestützt werden. Infrage kommt die Vertragserfüllung und das berechtigte Interesse, was man sicher beides begründen kann. Damit einher gehen natürlich Informationspflichten, die aber auch umsetzbar erscheinen.

    • Danke für den Hinweis. Unsere Formulierung war etwas ungünstig. Der Text wurde insoweit angepasst. Im ursprünglichen Zeitungsbericht gingen die Verantwortlichen davon aus, dass die DSGVO eine explizite Einwilligung fordert und bezogen sich damit wohl auf Art. 8 DSGVO. Dieser dürfte hier, wie Sie richtig bemerkt haben, nicht einschlägig sein. (Dennoch können auch Anforderungen an Einwilligung von Kindern bestehen, wenn die Angebote keine Dienste der Informationsgesellschaft betreffen, siehe hier). Im Übrigen wird dort mit Art. 4, 5 und 6 BayDSG auf die zutreffenden Rechtsgrundlagen für die Datenverarbeitung hingewiesen.

  3. Zur „Wunschzettelaktion in Roth“: Ich habe ein paar Ansichten, wo mich eure Meinung interessieren würde :)

    Die Wunschzettel werden doch explizit von den Eltern an den Weihnachtsbaum gehängt, oder nicht? Ich würde dadurch davon ausgehen, dass die Eltern somit eine bewusste Entscheidung dessen getroffen haben, dass der Name und die Adresse ihres Kindes öffentlich verhängt ist. Ihnen sollte demnach auch bewusst sein, dass ein Unbefugter (Angreifer/Risikoquelle) diese Zettel entwenden könnte. Hängen sie also die Daten ihres Kindes an den Baum, gehen sie ein solches Risiko bewusst ein. Dafür könnte man die Stadtverwaltung nicht verantwortlich machen, oder?

    Ich denke den Eltern ist auch bewusst, dass die abgegebenen Daten zur „Erfüllung der Wünsche“ verarbeitet werden. Ansonsten würden sie ihre Adresse nicht herausgeben. Von daher würde ich davon ausgehen, dass implizit einer Verarbeitung zugestimmt wird (selbst ohne Unterschrift). Damit Kinder jedoch nicht einfach ihre eigenen Daten weitergeben (ohne dass die Eltern davon mitbekommen) wäre eine Unterschrift denkbar.

    Zur Absicherung seitens der Stadtverwaltung von Roth sehe ich folgende beispielhafte Maßnahmen:
    1. Die verschlossene „Wunschtruhe“ (mit Einwurfschlitz) als sichere Alternative neben den Weihnachtsbaum stellen. Eltern können dann entscheiden, ob sie die Daten und Wünsche ihres Kindes lieber öffentlich zur Schau stellen oder in die Truhe legen, damit nur der Weihnachtsmann diese Wunschzettel einsehen (verarbeiten) kann. Immerhin hat er den Schlüssel für die Truhe :)
    2. Eine Datenschutzerklärung (für interessierte Eltern) kann in der Nähe des Baumes/ der Truhe platziert werden. Durch eine Unterschrift der Eltern am Ende des Wunschzettels kann dann der Verarbeitung der Daten ihres Kindes zugestimmt werden. Dadurch sichert sich das Team des Weihnachtsmannes auch dafür ab, dass eine Einwilligung bewusst abgegeben wurde.

    Was haltet ihr davon? Damit können Eltern weiterhin die Daten ihres Kindes für alle zugänglich machen (was ich nicht machen würde … aber das soll jeder selbst entscheiden können), aber sie haben auch eine sicherere Alternative. Die Stadt ist mit einer Datenschutzerklärung (die von Datenschutz-Bewussten gelesen werden kann) und durch eine Einwilligung durch Unterschrift der Eltern rechtlich abgesichert, die Daten an den Weihnachtsmann weitergeben zu dürfen.

    • Hallo,

      wir sehen das ähnlich. Wie im vorletzten Absatz angedeutet, halten wir das Anbringen der Zettel durch die Eltern für eine implizierte („konkludente“) Einwilligung in die Datenverarbeitung. Den Ansatz, das Problem durch Unterschrift der Eltern zu lösen, hat die Stadt Roth dann letztlich ja auch gewählt, indem sie die Wunschzettel um ein Feld für das elterliche Einverständnis ergänzt haben (steht im Text).

      Gegen die Veröffentlichung einer Datenschutzerklärung spricht im Prinzip auch nichts; hier ist nicht bekannt, ob überhaupt eine veröffentlicht wurde.

      Ansonsten vielen Dank für Ihre Anregungen, die Sie vielleicht auch an die Stadt Roth übermitteln sollten ;)

  4. Ich danke für den Beitrag der meines Erachtens insb. dazu einen wertvollen Beitrag leistet, Verantwortliche und deren Datenschutzbeauftragte zu motivieren bei Entscheidungen GEGEN eine Verarbeitung noch einmal nachzudenken und genauer zu prüfen ob die Verarbeitung nicht doch zulässig sein kann. Um diese Art von Artikeln auch zukünftig lesen zu können, empfehle ich Ihnen sich aus der Falle der „konkreten Rechtsberatung“ herauszuziehen und den Abschnitt „DSGVO = Grinch?“ zu überarbeiten, bspw. abstrakter als „Für die Stadt Roth gilt: sofern man nicht […]“ zu formulieren. Diesen Kommentar dürfen Sie herzlich gerne wieder löschen, bzw. garnicht erst veröffentlichen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.