Hexen, Zauberer und Magie – in der heutigen „Walpurgisnacht“ wirkt all dies ein kleines Stück näher. Wir möchten an dieser Stelle einen kleinen humoristischen Lichtblick im ansonsten oft etwas tristen Homeoffice-Alltag bieten und begeben wir uns für einen kurzen Moment in die Haut des Datenschutzbeauftragten von Hogwarts – der berühmtesten Schule für Hexerei und Zauberei.
Der Inhalt im Überblick
- Die Karte des Rumtreibers
- Ist das Datenschutzrecht hier überhaupt anwendbar?
- Wer ist denn nun verantwortlich?
- Weitere Beteiligte – Ein Fall für Art. 28 DSGVO?
- Magische Massenüberwachung
- Einwilligung durch Schwur?
- Nur so viel Daten wie nötig
- Kein Hexenwerk: Die Datenschutz-Folgenabschätzung
- Abschied aus der magischen Welt
Die Karte des Rumtreibers
Die Jugendbuchreihe rund um den jungen Zauberer „Harry Potter“ fasziniert nach wie vor Millionen von Fans rund um den Globus. Unser Sprung ins magische Datenschutzrecht führt uns heute zu einem einzigartigen Schriftstück: der „Karte des Rumtreibers“.
Ursprünglich von Schülern erschaffen, die sich selbst als „Moony, Wurmschwanz, Tatze und Krone“ bezeichnen, zeigt die Karte auf dem Plan der Schule nicht nur die Namen aller dort befindlichen Personen (und teilweise auch Tieren), sondern auch deren Bewegung anhand entsprechend eingezeichneter Fußabdrücke. Die Karte befand sich zeitweise im Besitz des Schulpersonals, fand ihren Weg aber letztendlich über verschiedene Stationen in die Hände von Harry Potter und leistete diesem verschiedentlich gute Dienste.
Dass ein solches Instrument, welches zumindest potenziell geeignet ist, eine umfassende Überwachung natürlicher Personen durchzuführen, datenschutzrechtlich bewertet werden muss, versteht sich unter Datenschützern von selbst.
Ist das Datenschutzrecht hier überhaupt anwendbar?
Am Beginn jeder datenschutzrechtlichen Prüfung steht natürlich die eine wichtige Frage: Ist das Datenschutzrecht hier überhaupt anwendbar? Denn wofür ich nicht zuständig bin, das macht mich schließlich auch nicht heiß.
Sachlicher Anwendungsbereich, Art. 2 DSGVO
Die Datenschutz-Grundverordnung findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Auch bei nicht automatisierter Verarbeitung ist eine Anwendung denkbar, wenn die Speicherung in einem Dateisystem beabsichtigt ist.
Dass es sich bei dem Namen und dem Aufenthaltsort von Menschen um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt, dürfte auf der Hand liegen. Viel interessanter ist die Tatsache, dass auch Fußabdrücke eines jeden Betroffenen angezeigt werden. Die Vermutung, dass hier auch biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO verarbeitet werden könnten, liegt zumindest nicht fern. Allerdings deutet hier vieles darauf hin, dass lediglich generische Standardabdrücke verwendet wurden, weshalb die Hürde des Art. 9 Abs. 1 DSGVO an dieser Stelle wohl übersprungen werden kann.
Eine „ganz oder teilweise automatisierte Verarbeitung“ dürfte hier ebenfalls vorliegen. Zwar ist der Begriff der Automatisierung – anders als noch in § 3 Abs. 2 S.1 BDSG a.F. – nicht legaldefiniert, wohl aber weit zu verstehen. So sind hiervon üblicherweise Verfahren umfasst, die Datenverarbeitungsprozesse anhand eines vorgegebenen Programms ohne weiteres menschliches Zutun selbsttätig erledigen. Auf eine Digitalisierung dieser Automatisierung kommt es nicht zwingend an. Da die Karte keine wesentlichen Interaktionsmöglichkeiten bietet, sondern völlig alleine sämtliche Informationen bereitstellt, dürfte der Anwendungsbereich hier eröffnet sein.
Örtlicher Anwendungsbereich, Art. 3 DSGVO
Bekanntermaßen liegt die betroffene Schule in England. Nach dem Austritt des vereinigten Königreichs aus der EU im Zuge des sog. „Brexit“ stellt sich die Frage, ob die DSGVO überhaupt einzuhalten ist. Diese findet nämlich in erster Linie bei Tätigkeiten von Niederlassungen eines Verantwortlichen oder Auftragsverarbeiters innerhalb der EU Anwendung.
Hierzu lässt sich festhalten, dass die datenschutzrechtliche Verantwortlichkeit sich nach dem jeweiligen Verwender richtet und zumindest nicht ausgeschlossen werden kann, dass dieser innerhalb der EU sitzt.
Wer ist denn nun verantwortlich?
Mit der Überzeugung der Zuständigkeit in der Tasche gilt es nun herauszufinden, wer überhaupt für die Nutzung dieses Instruments verantwortlich ist. Schließlich ist es der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, den die datenschutzrechtlichen Pflichten der DSGVO treffen.
Anwendung durch Privatpersonen
Kenner der Materie wissen, die Karte wurde zu vielen Zeiten von unterschiedlichen Personen verwendet, die ganz überwiegend als Privatpersonen agierten. In diesen Fällen stellt sich datenschutzrechtlich oft die Frage: Gab es da nicht so etwas wie die „Haushaltsausnahme“?
Nach Art. 2 Abs. 2 lit. c DSGVO sind Tätigkeiten nicht von der Geltung der DSGVO umfasst, die „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ erfolgt. Ob dies auch die unterschiedlichsten Machenschaften der bisherigen Verwender umfasst, kann natürlich nicht gänzlich festgestellt werden. Möglicherweise hilft hier jedoch ein Urteil des EuGH aus dem Jahr 2003. Im sog. „Lindqvist“-Urteil traf dieser seinerzeit die Aussage, die Nutzung sozialer Netzwerke durch Privatpersonen sei „offensichtlich“ nicht Teil der Haushaltsausnahme. Auch hier werden umfassend Daten von Betroffenen in der Öffentlichkeit verarbeitet, wie auch bei dem hier betrachteten Instrument.
Dagegen könnte aber Erwägungsgrund 18 stehen, welcher eine Nutzung sozialer Dienste zumindest grundsätzlich als Beispiel für die Haushaltsausnahme nennt.
Da allerdings die ursprünglichen Entwickler der Karte unter anderem als „Hilfsmittel für den Magischen Tunichtgut GmbH“ auftraten, dürfte zumindest hier eine Haushaltsausnahme außer Diskussion stehen.
Anwendung durch Schulpersonal, insbesondere durch das Facility Management
Viel interessanter ist hingegen die Verwendung durch Schulpersonal. So war die Karte zeitweise in den Händen der Abteilung „Facility Management“ in Form des Hausmeisters Argus Filch. Soweit dieser die Karte – Redlichkeit unterstellt – in Ausübung seiner Tätigkeit zur Aufklärung von Straftaten oder Verstößen gegen die Hausordnung oder zum Auffinden verschwundener Schüler verwendet hat, dürfte hier regelmäßig eine Verantwortlichkeit der Schule selbst bestehen.
Weitere Beteiligte – Ein Fall für Art. 28 DSGVO?
Bei genauerer Prüfung der Karte fällt uns auf, dass zu Beginn sehr prominent der Name der Verfasser eingeblendet wird. Da diese teilweise sogar unter einem gemeinsamen Firmennamen agieren, liegt der Schluss nahe, an ein eventuelles Dienstleistungsverhältnis zu denken.
In Frage kommt hier insbesondere ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO, die Daten aus der Karte müssen ja schließlich irgendwo verarbeitet werden. Als Auftragsverarbeiter definiert Art. 4 Nr. 8 DSGVO jede Stelle, die personenbezogene Daten „im Auftrag“ des Verantwortlichen verarbeitet, beispielsweise im Rahmen von SaaS-Lösungen oder Cloud-Diensten.
Bei zweitem Hinschauen wird aber deutlich: Die Verfasser existieren überhaupt nicht mehr, die GmbH dürfte ebenfalls längst liquidiert worden sein. Auch nach intensiven Recherchen gelang es uns nicht, weitere Beteiligte oder Datenübermittlungen an Dritte festzustellen.
Daher können wir im Rahmen dieser Prüfung ruhigen Gewissens davon ausgehen, dass es sich bei der Karte des Rumtreibers um eine „on Premises“ betriebene Applikation handelt.
Magische Massenüberwachung
Zentrale Funktion der Karte ist – wie bereits eingehend geschildert – die Überwachung von Aufenthaltsort und Bewegungsprofil konkreter, namentlich bekannter Personen. Dabei wird nicht nur der Aufenthaltsort, sondern sogar Gehgeschwindigkeit und Gangart erfasst. Diese umfassende Dokumentation von Tätigkeiten stellt vor datenschutzrechtliche Herausforderungen, da nicht nur Schüler und Schülerinnen und Besuchende, sondern vor allem auch Beschäftigte (Lehrende) erfasst werden.
Der Lehrkörper
Uns allen sind öffentlichkeitswirksame Verfahren in Bezug auf Überwachung von Beschäftigten am Arbeitsplatz bekannt. So gab es wegen unzulässiger Videoüberwachung durch den Onlinehändler „notebooksbilliger.de“ ein sattes Bußgeld durch die LfD Niedersachsen.
Auch das BAG betont bis zuletzt, dass ein allgemeiner Überwachungsdruck, der die Beschäftigten in ihrer Gestaltungsfreiheit „erheblich hemmt“, vermieden werden muss.
Eine Rechtfertigung über ein wie auch immer geartetes berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO ist zwar für einzelne, begründete Fälle denkbar, beispielsweise beim Verdacht auf Straftaten. Jedoch dürfte die hier notwendige Interessenabwägung zumindest an der quasi nie vorliegenden transparenten Information nach Art. 13 und 14 DSGVO scheitern.
Schüler und Schülerinnen sowie sonstige Personen
Auch wenn – analog zur verdeckten Videoüberwachung – an bestimmten Orten und zu bestimmten Zeitpunkten eine Überwachung ggf. hinsichtlich der Verhinderung von Straftaten zulässig sein könnte, so ist dies zumindest für die Schlaf- und Waschräume kaum vertretbar. Da diese wohl auch nicht von der Überwachung ausgenommen werden können, und eine umfassende Information aller Besuchenden nach Art. 13 f. DSGVO kaum denkbar erscheint, ist auch hier eine Rechtsgrundlage nur schwer denkbar. Einzelfälle wie das Auffinden verletzter oder verlorener Schüler (das soll in dieser Schule ja mal vorkommen) ausgenommen.
Einwilligung durch Schwur?
Möglicherweise entspannt ein Kniff der Karte die Sachlage etwas: Die Inhalte werden lediglich dann sichtbar, wenn der Anwender einen entsprechenden Schwur leistet.
„Ich schwöre feierlich, ich bin ein Tunichtgut“
Erst dann werden die Inhalte und Bewegungen angezeigt. Der findige Datenschützer könnte hier auf die Idee kommen, dass es sich dabei um eine Einwilligung des Nutzers handelt. Da diese aber nach Art. 7 DSGVO nicht nur freiwillig, sondern auch informiert sein muss, dürfte auch dieses Argument ins Leere laufen. Auch würde diese „Einwilligung“ wohl lediglich den einzelnen Nutzer, nicht aber die Überwachten betreffen.
Anerkennen muss man jedoch, dass es sich hierbei zumindest um eine grundlegende technische Maßnahme handelt, um unbefugten Zugriff zumindest im Ansatz zu vermeiden.
Nur so viel Daten wie nötig
Auch das viel beschworene Prinzip der Datenminimierung stellt uns vor Herausforderungen. So dürfen nach Art. 5 Abs. 1 lit. c DSGVO nur die Daten verarbeitet werden, die für den jeweils verfolgten Zweck notwendig sind. Bei der Suche nach einem konkreten Schüler ist es somit nicht nötig, alle anderen Personen auf dem Gelände gleichwohl mit zu erfassen.
Da die Karte aber zumindest in Teilen auf den jeweiligen Nutzer reagiert und persönlich relevante Dinge anzeigt, deutet vieles darauf hin, dass mit entsprechender Konfiguration des Instruments eine Datenminimierung zumindest auf technischer Ebene realisiert werden könnte. Zum Zeitpunkt dieses Artikels war uns eine intensive Prüfung aber leider nicht möglich.
Kein Hexenwerk: Die Datenschutz-Folgenabschätzung
Zuletzt stellt sich die Frage, ob für die Nutzung der Karte gegebenenfalls eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein könnte. Diese in Art. 35 DSGVO normierte Prüfung schreibt für bestimmte, invasive oder umfassende Datenverarbeitungen eine intensive Befassung mit der Sache und insbesondere den Folgen für die Betroffenen vor.
Als Hilfestellung für die Frage, wann so eine Prüfung notwendig ist, sieht zunächst Art. 35 Abs. 3 DSGVO einige Regelfälle vor. Insbesondere der Buchstabe c fällt ins Auge. Danach ist eine Datenschutz-Folgenabschätzung insbesondere erforderlich bei der „systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche“.
Schon hier wird der sensible Datenschützer die rote Flagge hissen, sich von seinen Plänen fürs Wochenende verabschieden und sich auf schlaflose Nächte einstellen müssen: Eine Datenschutz-Folgenabschätzung ist wohl geboten.
Sollten tatsächlich noch Zweifel bestehen, so könnte einerseits die sogenannte „Negativliste“ der Datenschutzkonferenz herangezogen werden, auf der übliche Fälle relevanter Verfahren aufgezählt sind. Andererseits müsste die Notwendigkeit einer DSFA im Rahmen einer Schwellwertanalyse ermittelt werden. Hilfestellung liefert hier insbesondere Erwägungsgrund 91.
Abschied aus der magischen Welt
Nach diesem Rundflug und der Gewissheit, dass das Verschwinden der Karte aus dem Besitz der Schule datenschutzrechtlich nicht sonderlich tragisch sein dürfte, verabschieden wir uns aus der magischen Welt und kehren zurück in die Wirklichkeit. Hier sind die Dinge mitunter nämlich genauso spannend, einzigartig und herausfordernd. Die Welt des Datenschutzes versäumt nämlich selten einen Tag, um uns zu erstaunen und zu überraschen.
Somit bleibt uns an dieser Stelle nur eins zu sagen:
„Missetat begangen“
Herzlichen Dank für diesen Beitrag, ich habe sehr gelacht :-)
Nur zwei Fragen: Der Raum der Wünsche kann ja auf der Karte des Rumtreibers nicht gefunden werden. Liegt das am guten Berechtigungskonzept? Und wie sieht es da mit dem Löschkonzept aus, wenn dort doch so ziemlich alles landet? VG
Dass wir Ihren Tag etwas erheitern konnten, freut uns sehr! Die Unauffindbarkeit des Raums der Wünsche würden wir eher nicht am Berechtigungskonzept auf Seiten der Karte sehen, da die Unauffindbarkeit wohl aufgrund eines Zaubers entsteht, der auf dem Raum liegt, nicht auf der Karte. Daher wurden vom Anbieter des Raumes wohl entsprechend strikte technische Maßnahmen ergriffen, um eine Ortung – durch wen oder was auch immer – zu verhindern. Für ein Löschkonzept wäre zunächst interessant, ob die Karte die Daten tatsächlich speichert oder lediglich – ähnlich einer Live-Videoüberwachung ohne Speicherung – nur anzeigt. Im Arbeitsspeicher dürfte zwar zwischenzeitlich durchaus etwas gespeichert werden, eine dauerhafte Datenhaltung und eventuelle Datengräber sind aus unserer Sicht aber nicht zu erwarten.
Selbst die Antwort auf diesen Kommentar ist zauberhaft :). Dankeschön für die Abwechslung.
Ich hätte auch eine Frage dazu. Greift der Datenschutz auch für die Hausgeister oder die Maulende Myrte? Oder das Art.9 Datum von der Lykanthropie von Remus Lupin. Der ist ja im engeren Sinne auch kein Mensch sondern als Werwolf ein Kategorie ZM-Klasse XXXXX angehöriges magisches Wesen.
Danke auch für diese sehr sinnvolle Frage! Hinsichtlich der Hausgeister müsste man nach Erwägungsgrund 27 gehen, welcher konstatiert: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.“ Zwar können die Mitgliedstaaten spezielle Regelungen für die Daten Verstorbener aufstellen, im vorliegenden Fall dürften solche aber eher nicht einschlägig sein.
Sicherlich wäre die Lykantrophie von Remus Lupin als Gesundheitsdatum i.S.d. Art. 9 Abs. 1 DSGVO zu werten. Zudem steht sicherlich die „ethnische und rassische Herkunft“ als besonders sensibles Datum im Raum. Allerdings erfasst die Karte selbst unseres Wissens nach keine „rassenspezifischen“ Marker wie Beispielsweise Pfoten o.Ä., sondern bildet die Laufwege nur anhand standardisierter Fußabdrücke/Punkte ab. Somit dürfte zumindest hier der Datenschutz gewahrt worden sein.
Made my day, echt eine coole Idee :D
Bitte ins Englische übersetzen und an J. K. Rowling schicken ;)
Zu klären wäre noch, ob die Benennung eines Datenschutzbeauftragten erforderlich ist (evtl. nach Art. 37 Abs. 1 lit. b DSGVO), ob ein Eintrag in das Verfahrensverzeichnis erstellt wurde und ob Prozesse zur Bearbeitung von Betroffenenanfragen eingerichtet sind.
Da die magische Erfassung, Speicherung und Übermittlung von Daten durch einzelne Lehrkräfte, insbesondere Madame Pomfrey (Krankenstation) nicht ausgeschlossen werden kann, ist die Benennung eines DSB durchaus empfehlenswert. Zumindest für den Schulbetrieb selbst. In welcher Form die Schule ein VVT führt, ist uns leider unbekannt. Aufgrund der doch oft durchscheinenden „Hands on“-Mentalität, die seitens der Schulleitung oft gelebt wird, ist jedoch nicht von einer allzu strukturierten Arbeitsweise auszugehen, weshalb wir bezweifeln, dass ein vollständiges Verzeichnis existiert.
Betroffenenanfragen werden üblicherweise wohl mittels Eule oder „Heuler“-Briefsendungen übermittelt werden, fraglich ist bei letzteren jedoch die korrekte Dokumentation und Aufbewahrung.
Zur gleichen Einschätzung würde ich in diesen Punkten auch kommen. Angesichts der Schutzbedürftigkeit der ganz überwiegend minderjährigen Schülerinnen und Schüler ist hier dringend eine Sensibilisierung sowohl des Lehrkörpers als auch des übrigen Schulpersonals anzuraten. Damit würde Hogwarts auch seiner Rolle als Institution in der Ausbildung junger Hexen und Zauberer und seiner internationalen Vorbildwirkung gerecht.
Nach einem anstrengenden Tag die richtige Lektüre!
Vielen Dank für dieses Sahnestück!