> externer Datenschutzbeauftragter > Datenschutz Satire / Humor

Kein Recht am eigenen Bild – Zigarettenhersteller planen personalisierte Schockfotos (Achtung Datenschutz-Satire)

Recht am eigenen BildDie EU-Kommission plant, angesichts der Unwirksamkeit der seit Mai 2016 eingeführten Schockfotos für Zigarettenschachteln, das Thema „Recht am eigenen Bild“ in den Hintergrund zu rücken und mittels personalisierter Schockbilder zu warnen. Eine Sprecherin der EU-Kommission sagte diesbezüglich: „Nachdem wird festgestellt haben, dass verfaulte Zähne, abgestorbene Füße und schwarze Lungen ohne das dazugehörende Gesicht nicht zu dem gewünschten Effekt geführt haben, starteten wir vor einigen Wochen einen Testlauf mit personalisierten Bildern und der gewünschte Effekt trat bei den betroffenen Rauchern ein. Endlich konnten wir schockieren.“  Neben der EU-Kommission zeigte sich vor allem der Chef eines sozialen Netzwerkes hellauf begeistert: „Endlich haben wir Abnehmer für die hochgeladenen Bilder unserer User gefunden.“

Bei den Schockbildern auf Zigarettenschachteln soll es allerdings nicht bleiben. Nächstes Jahr plant die Kommission vor den Gefahren des Alkoholmissbrauchs zu warnen. Auch für alkoholische Getränke sind personalisierte Schockbilder geplant. Auf die Frage nach der Herkunft der Schockfotos erläuterte die Sprecherin: „Ausreichend Material sollten wir zunächst von Unternehmen erhalten, die ihre Betriebsfeiern umfangreich festhalten und Bildmaterial veröffentlichen. Neben den Betriebsfeiern hat uns der Veranstalter eines bedeutenden Volksfestes „feuchtfröhliches“ Bildmaterial versprochen. Seiner Ansicht bietet die Wiese in der Nähe des Volksfestes, der sogenannte „Kotzhügel“, der bereits letztes Jahr von vielen „Gaffern“ und „Hobbyfotografen“ in sozialen Netzwerken als (Groß-)Event gefeiert wurde, ausreichend Material, um vor „so ziemlich allem“ zu warnen, so der Veranstalter.

Nun zur Aufklärung des vorstehenden satirischen Beitrags:

Recht am eigenen Bild – Was sagen Datenschützer und Datenschutzbeauftrage?

Datenschützer und Datenschutzbeauftragte warnen vor der unbefugten Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Auch bei Bildern handelt es sich um sogenannte personenbezogene Daten, da auf diesen Bildern Merkmale erkennbar sind, die auf eine Person zurückschließen lassen.

Ein Datenschutzbeauftragter erklärte zum Thema „Recht am eigenen Bild“: „Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt oder der Betroffene einwilligt hat. Das Heranziehen vom Kunsturheberrechtsgesetz ist unabdingbar.“

Zum Thema „Recht am eigenen Bild“ steht im Kunsturhebergesetz, dass die Verbreitung von Bildern erlaubt ist, wenn der Abgebildete eingewilligt hat. Die Einwilligung gilt auch als erteilt, wenn der Abgebildete entlohnt wurde. Zudem legt das Kunsturheberrechtsgesetz Ausnahmen fest, wann das Verbreiten von Bilder erlaubt ist. Eine Ausnahme, gemäß § 23 Kunsturheberrechtsgesetz, stellt das Erfassen und Verbreiten von Versammlungen dar.

Nun wieder etwas Humor:

Datenschutz SatireUm das Recht am eigenen Bild, trotz der Pläne der EU-Kommission zu schützen, geben Datenschützer und Datenschutzbeauftragte schützen folgende Sicherheitsmaßnahmen raus:

  • Mit dem Rauchen und Trinken aufhören
  • Keine Versammlungen oder andere Veranstaltungen mit großem Menschenaufkommen besuchen
  • Nicht vor schönen Landschaften/Sehenswürdigkeiten rauchen oder trinken
  • Tragen von Sturmhauben, Masken oder Burkas

Recht am eigenen Bild – Was sagt die Politik?

Politiker in aller Welt reagierten prompt. Ein Politiker verkündete: „Als großer Fan vom Datenschutz, insbesondere der Datensparsamkeit, sperre ich bis auf weiteres sämtliche sozialen Medien. Sie glauben nicht, was die Menschen tagtäglich für einen Quatsch veröffentlichen.“

Ein Anderer reagierte wiederrum völlig gegensätzlich und erklärte: „Das Rauchen und Trinken stellt seit Jahren eine Gefahr für die innere Sicherheit unseres Landes dar. Einzig illegal eingeschleuste Überraschungseier seien für das Land gefährlicher. Aus diesem Grund habe man beschlossen, die EU-Kommission zu unterstützen.“ Aus Insiderkreisen hört man, dass sämtliche Geheimdienste mit der Aufspürung von Rauchern und mit der Übermittlung von Fotos beschäftigt seien.

Auch hörte man verstärkt sowohl auf politischer als journalistischer Seite die Sätze: „Wir schaffen das!“, „Mit mir wird es das nicht geben!“ oder „Wir haben nichts gegen die Schockfotos, aber bitte nicht hier!“.

Möchten Sie mehr zum Thema „Recht am eigenen Bild“ erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Externer Datenschutzbeauftragter – „zehn Dinge“, die er niemals sagen würde!

Was würde ein externer Datenschutzbeauftragter NIE sagen? Jede Berufsgruppe / Branche hat ihre eigenen Probleme, Anforderungen, Merkmale und folglich Aussagen, die von den einzelnen Gruppen stammen können oder die einzelne Berufsgruppen niemals treffen würden. Im Folgenden erfahren Sie, was Sie nie aus dem Mund eines externen Datenschutzbeauftragten hören werden, wobei dies in den meisten Fällen auch auf den internen Datenschutzbeauftragten zutreffen dürfte.

Externer Datenschutzbeauftragter: „Hierfür übernehme ich die Verantwortung!“

1. Externer Datenschutzbeauftragter: „Hierfür übernehme ich die Verantwortung!“Die Aussage „Hierfür übernehme ich die Verantwortung!“ würde ein externer Datenschutzbeauftragter nicht tätigen, weil er sie üblicherweise auch nicht übernimmt.

Grund: Als Datenschutzbeauftragte haben wir die Pflicht auf die Einhaltung des Datenschutzes hinzuwirken. Das heißt unsere Aufgabe ist es „verantwortlichen Stellen“, wie Unternehmen und Vereinen, den richtigen Weg „auszuleuchten“ und sie bei der Umsetzung zu unterstützen, wobei die Umsetzung selbst bei der „verantwortlichen Stelle“, demzufolge bei der Geschäftsführung respektive Behördenleitung liegt. Mehr Infos zu Hinwirkungspflicht des Datenschutzbeauftragten erfahren Sie in unserem Datenschutz-Lexikon.

Externer Datenschutzbeauftragter: „Natürlich können Sie alle Daten in der Dropbox sichern.“

1. Externer Datenschutzbeauftragter: „Natürlich können Sie alle Daten in der Dropbox sichern.“Ein externer Datenschutzbeauftragter würde immer von einer Nutzung der Dropbox abraten.

Grund: Werden personenbezogene Daten in eine Cloud, so auch in die Dropbox, ausgelagert, so handelt es sich bereits um eine Datenübermittlung. Eine Übermittlung personenbezogener Daten bedarf allerdings grundsätzlich einer Rechtsgrundlage oder einer informierten Einwilligung.

Bei einer Auslagerung personenbezogener Daten an einen Cloud-Anbieter, der seinen Sitz innerhalb der europäischen Union (EU) / des europäischen Wirtschaftsraums (EWR) hat, ist die Ausgangslage etwas einfacher, da es sich bei Cloud-Diensten in den meisten Fällen um eine Auftragsdatenverarbeitung (ADV), gemäß § 11 Bundesdatenschutzgesetz (BDSG) handelt. Die Übermittlung an einen ADV-Dienstleister wird hingegen als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht notwendig ist. Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung, der die Rechte und Pflichten des Auftraggebers / Auftragnehmers klar regelt, ist allerdings unbedingt anzuraten.

Hat der Cloud-Anbieter seinen Sitz außerhalb der EU / EWR (Drittland), wie dies bei der Dropbox Inc. der Fall ist, so gilt nicht die Fiktion der „Nicht-Übermittlung“. Aus diesem Grund dürfen die Daten nur auf Basis einer Rechtsgrundlage respektive alternativer vertraglicher Regelungen zum klassischen ADV-Vertrag oder einer informierten Einwilligung in die Dropbox ausgelagert werden.

Externer Datenschutzbeauftragter: „Im Datenschutz ist alles erlaubt, außer es wird explizit verboten.“

1. Externer Datenschutzbeauftragter: „Im Datenschutz ist alles erlaubt, außer es wird explizit verboten.“Bei dieser Aussage wurden Satzteile bewusst verdreht und der Satz gewinnt eine neue, allerdings komplett falsche Bedeutung.

Grund: Im Datenschutz gilt, anders als in der Überschrift formuliert, das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass jegliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten VERBOTEN ist, außer eine Rechtsgrundlage oder informierte Einwilligungen der Betroffenen erlauben die Datenverarbeitung.

Externer Datenschutzbeauftragter: „Den Ausweis können Sie bedenkenlos kopieren.“

Externer Datenschutzbeauftragter: „Den Ausweis können Sie bedenkenlos kopieren.“Das Kopieren von Personalausweisen ist ein Thema, das in der Praxis häufig zu Streitigkeiten führt, allerdings ist das Kopieren von Ausweisen, anderes als von vielen „verantwortlichen Stellen“ erwartet und gelebt, bis auf wenige Ausnahmen, verboten.

Grund: Im Personalausweisgesetz (PAuswG) findet man zu dem Kopierverbot zwar keinen Passus, jedoch geht dies aus der Gesetzesbegründung, aus Urteilen und allgemeinen Grundsätzen des Datenschutzes hervor. Grundsätzlich gilt, dass der Ausweis sogar bestmöglich nicht einmal aus der Hand gegeben werden sollte, wobei es Ausnahmen gibt, wie zum Beispiel in Banken gemäß Geldwäschegesetz (GwG).

Unternehmen und anderen „verantwortlichen Stellen“ ist deshalb von dem Kopieren von Personalausweisen ohne legitimen Zweck abzuraten.

Externer Datenschutzbeauftragter: „Es gibt kein Restrisiko!“

Externer Datenschutzbeauftragter: „Es gibt kein Restrisiko!“Auch den Satz werden Sie von einem externen Datenschutzbeauftragten nicht hören.

Grund: Der Grund ist ganz einfach, wo personenbezogene Daten erhoben, verarbeitet und genutzt werden, kann nie vollkommen ausgeschlossen werden, dass diese Daten von Unbefugten eingesehen werden.

„Verantwortliche Stelle“ sind allerdings dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (sogenannte TOM) zutreffen, um personenbezogene Daten zu schützen. Die Anforderungen sind in der Anlage zu § 9 BDSG aufgeführt. Erforderliche Maßnahmen sind unter anderem die Verpflichtung der Mitarbeiter auf das Datengeheimnis sowie sämtliche Maßnahmen, die den Zugriff auf Datenverarbeitungsanlagen (z. B. verschlossene Räume) und in Datenverarbeitungsprogramme (z. B. Passwörter) erschweren bzw. verhindern sollen. Daneben sind weitere Anforderungen umzusetzen.

Trotz der zahlreichen Maßnahmen, die getroffenen werden bzw. getroffenen werden sollten, verbleiben Restrisiken, da Unbefugte immer neue Wege finden könnten, um an sensible Informationen zu gelangen.

Externer Datenschutzbeauftragter: „Nein – die Datenerhebung benötigt keiner gesetzlichen Grundlage oder Einwilligung.“

Externer Datenschutzbeauftragter: „Nein - die Datenerhebung benötigt keiner gesetzlichen Grundlage oder Einwilligung.“Die Aussage, dass eine Datenerhebung keine gesetzliche Grundlage bzw. keine Einwilligung benötigt ist falsch.

Grund: Wie bereits unter Punkt 3 erläutert, bedarf jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer Rechtsgrundlage oder einer informierten Einwilligung.

Rechtliche Grundlagen für eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten findet man allerdings nicht nur im Bundesdatenschutzgesetz, sondern in anderen landesspezifischen Vorschriften, wie dem Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) oder in bereichsspezifischen Gesetzen, wie dem Telemediengesetz (TMG) oder Telekommunikationsgesetz (TKG). Liegt keine Rechtsgrundlage vor, die die Erhebung, Verarbeitung und/oder Nutzung erlaubt, so ist die „verantwortliche Stelle“ verpflichtet, informierte Einwilligungen einzuholen, wobei das Datenschutzrecht konkrete Anforderungen an die „Informiertheit“ der Einwilligungen stellt.

Zudem sollte der gesetzesübergreifende Grundsatz der Zweckbindung nicht außer Acht gelassen werden. Dies bedeutet, dass personenbezogene Daten ausschließlich für den Zweck erhoben, verarbeitet und genutzt werden dürfen, für den die Rechtsgrundlage bzw. die informierte Einwilligung vorliegt. Plant eine „verantwortliche Stelle“ die Daten für einen anderen Zweck zu verwenden, so bedarf es einer erneuten Prüfung der Rechtsgrundlage oder es müssen für den „neuen“ Zweck informierte Einwilligungen eingeholt werden.

Externer Datenschutzbeauftragter: „Kameraattrappen sind nie ein Problem!“

Externer Datenschutzbeauftragter: „Kameraattrappen sind nie ein Problem!“Kameraattrappen stellen für „verantwortliche Stelle“ zunächst ähnliche Probleme / Risiken  dar, wie „normale“ Videoanlagen.

Grund: Kameraattrappen sollten zunächst genauso behandelt werden, wie Videoanlagen mit denen Aufnahmen angefertigt werden können, da im Datenschutzrecht nicht nur der Inhalt oder die Bedeutung der Daten im Vordergrund steht, sondern das „informationelle Selbstbestimmungsrecht“.

Weiß einer Betroffener nicht, dass es sich um eine Kameraattrappe handelt, so wird er sich automatisch anpassen und ist in seinem Handeln eingeschränkt, was wiederrum das Grundrecht der freien Persönlichkeitsentfaltung und folglich das informationelle Selbstbestimmungsrecht verletzt.

Kameraattrappen sollten deshalb vor Anbringung durch einen Datenschutzbeauftragten geprüft werden, sogenannte Vorabkontrolle, die auch bei funktionierenden Anlagen ein absolutes MUSS ist.

Möchten Sie mehr zum Thema Videoüberwachung erfahren, dann lesen Sie unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten?

Externer Datenschutzbeauftragter: „Verstecken Sie Ihr Passwort ruhig unter der Tastatur, dort ist es sicher!“

Externer Datenschutzbeauftragter: „Verstecken Sie Ihr Passwort ruhig unter der Tastatur, dort ist es sicher!“Als externer Datenschutzbeauftragter sieht man in der Praxis häufig mehr oder weniger kreative Verstecke für Passwörter. Eines das weniger kreativ, allerdings fast überall zu finden ist, dürfte die Tastatur sein.

Sollten auch Sie sich beim Lesen ertappt fühlen, dann „nix wie weg damit“!

Grund: Sie sollten Ihr Passwort nicht unter der Tastatur verstecken, weil das Versteck einfach nicht sicher ist. Schafft es ein Unbefugter an Ihren Arbeitsplatz, so kann er sich schnell und einfach Zugriff auf personenbezogene Daten verschaffen. Der Datenklau ist allerdings nicht das einzige Risiko, da der Unbefugte ebenso Daten in Ihrem Namen manipulieren oder löschen kann. Dies könnte auch schnell für Sie selbst zu unschönen Konsequenzen führen.

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“„Mein Kollege ist krank“ oder „Mein Kollege ist für zwei Wochen im Urlaub auf Mallorca“ sind Informationen, die wir regelmäßig zuhören bekommen, wenn wir unter anderem in Unternehmen anrufen, allerdings würden Sie diese Informationen nicht von einem Datenschutzbeauftragten erhalten.

Grund: Bei diesen Informationen handelt es sich bereits um personenbezogene Daten, die wir ohne Rechtsgrundlage oder ohne informierter Einwilligung des Betroffenen nicht weitergeben sollten. Es kann zwar wie ein betriebliches Interesse klingen, sich nach dem Aufenthalt des Mitarbeiters eines Unternehmens zu erkundigen, aber dahinter mehr verbergen. Auch wenn es abstrakt klingt, könnten sich Anrufer nach Mitarbeitern erkundigen, erfahren, dass sich diese länger im Ausland befinden und diese Informationen dazu nutzen, um bei der Person einzubrechen. Auch sollten Privatadressen der Kollegen nicht einfach rausgegeben werden.

Bei der Angabe „Mein Kollege ist krank“ handelt es sich zumal um besonders sensiblen Angaben personenbezogener Daten. Für diese sogenannten besonderen Angaben personenbezogener Daten sieht der Gesetzgeber einen, wie das Wort schon sagt, „besonderen“ Schutz vor.

Externer Datenschutzbeauftragter: „WhatsApp können Sie jetzt ruhig verwenden, ist schließlich verschlüsselt.“

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“Ein externer Datenschutzbeauftragter würde Ihnen gegenwärtig von der Nutzung von WhatsApp abraten.

Grund: Schenkt man dem Anbieter von WhatsApp, was die Verschlüsselung angeht, Vertrauen, so verbleiben aus Datenschutzsicht Risiken, die „verantwortliche Stellen“ nicht bewältigen können.

Das Problem tritt üblicherweise bereits im Installationsprozess auf, denn – je nach Geräretyp – greift WhatsApp während oder nach der Installation auf die gespeicherten Kontakte des Telefonbuchs zu.  Diese Kontaktdaten werden an die Server in den USA übermittelt, wodurch, wie bereits unter Punkt 2 erläutert, informierte Einwilligungen der Betroffenen eingeholt werden müssten.

Möchten Sie mehr zum Einsatz von WhatsApp erfahren, dann lesen Sie „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?

Zudem sollte nicht außer Acht gelassen werden, dass die geänderte Nutzungsvereinbarung und damit die Datenübermittlung an Facebook sowie an weitere Unternehmen der Facebook-Unternehmensgruppe zu noch höheren Datenschutz-Risiken führt. Ihr externer Datenschutzbeauftragter informiert Sie in dem Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“ über die Datenübermittlung an Facebook und die „neuen“ Datenschutz-Risiken.

Möchten Sie weitere Informationen zu den einzelnen Themen erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.