Am 27.Oktober 2017 ist in Sachsen ein neuer Tätigkeitsbericht vom Sächsischen Datenschutzbeauftragten erschienen. In dem Dokument wird zuvörderst auf verschiedene Schlagwörter wie Datensparsamkeit und Datenreichtum eingegangen und die Gefahren und Risiken der Digitalisierung beleuchtet. Die Neuerungen durch die Europäische Datenschutz-Grundverordnung werden als „neue Zeitrechnung im Datenschutzrecht“ und „neue Datenschutzarchitektur“ bezeichnet. Interessant sind vor allem die Themen, die an den Datenschutzbeauftragten herangetragen wurden und einer Überprüfung der Datenschutzkonformität zur Folge hatten. Wir haben hier einige Sachverhalte (Auszug) für Sie stark vereinfacht dargestellt.

1. Einsatz von Zeiterfassungssystemen

Es sollten die erfassten Daten des Arbeitszeitsystems auch zu Controllingzwecken bezüglich der Wirtschaftlichkeit genutzt werden. Grundsätzlich darf keine Verhaltens- und Leistungskontrolle veranlasst werden, dies würde nur durch eine Anonymisierung und einer statistischen Verwendung erreicht. Kleinere Personaleinheiten, bei denen trotz Anonymisierung Rückschlüsse gezogen werden könnten müssen hochgerechnet werden.

2. Videoschaltungen bei Bewerbungsverfahren

Vor dem Hintergrund das es sich bei Bewerbungsdaten um sehr sensible Daten handelt, wurde in diesem Zusammenhang der Peer to Peer-Kommunikationstechnik-Anbieter Skype informationstechnisch begutachtet. Die Daten werden gemäß den Nutzungsbedingungen zumindest kurzzeitig auf zentralen Servern gespeichert. Eine Vertraulichkeit des Bewerbungsgesprächs kann so nicht gewährleistet werden. Es müsste der Bewerber im Vorfeld freiwillig einwilligen, um das Verfahren zu nutzen. Die Freiwilligkeit wäre grundsätzlich aber eingeschränkt, wenn keine Alternative zum Skype-Gespräch angeboten wird.

3. Wahl der Personalvertretung per E-Mail

Bei der Wahl der Personalvertretung sollte online per E-Mail über eine externe Firma abgestimmt werden. Es gab weder eine Rechtsgrundlage noch konnte sichergestellt werden, dass es sich um ein transparentes und revisionssicheres Verfahren handelt.

4. Veröffentlichug von Alters- und Ehejubiläen in kommunalen Amtsblättern

In vielen Gemeinden werden in Gemeindeblättern ältere Menschen zu Geburtstagen oder Ehejubiläen beglückwünscht. Viele Betroffene waren mit der Veröffentlichung nicht einverstanden und wandten sich an den Datenschutzbeauftragten. Mit dem Inkrafttreten des Bundesmeldegesetzes (BMG) können Bürger der Weitergabe Ihrer Daten widersprechen. Sofern eine Veröffentlichung der Daten nicht gewünscht ist, müssten die Betroffenen also nach aktueller Rechtslage entsprechend widersprechen.

5. Veröffentlichung von personenbezogenen Daten im Facebook-Profil der Polizei

Die Polizei erwähnte vor dem Hintergrund einer abgeschlossenen Täterermittlung einer Diebstahlserie das Alter und die Nationalität sowie das der Täter zuvor an einem Sportwettbewerb teilgenommen hatte. Durch diese Informationen der Polizei konnte man den Täter durch Internetrecherche ermitteln und der Beitrag musste umgehend gelöscht werden, da die Daten bestimmbar waren und den Täter identifizierten.

6. Fragebogen für Krippen- und Kindergartenkinder

Ein Fragebogen enthielt neben persönlichen Angaben zu Adresse, Geburtstag und Staatsangehörigkeit auch weitere unzulässige Fragen. Es wurde unter anderem nach dem Geburtsverlauf gefragt, insbesondere ob es ein Kaiserschnitt war, die Lage des Kindes und ob der Vater bei der Geburt anwesend war oder wie die Schwangerschaft abgelaufen ist. Die Fülle an Fragen und die Schweigepflichtentbindung gingen weit über die notwendigerweise abzufragenden Daten hinaus.