DATENSCHUTZKONZEPTION IN FEUERWEHREN
In einer Feuerwehr werden personenbezogene Daten gespeichert und verarbeitet. Die Anforderungen an den Datenschutz umfassen die Prozesse der Datenerhebung, Datenverarbeitung, Datenverwaltung, Dokumentation der Prozesse, die Protokollierung von Verstößen gegen den Datenschutz sowie getroffene technisch organisatorische Maßnahmen.
Betroffener Personenkreis:
- Mitglieder der Wehr
- Betroffene von Einsätzen
- Verursacher von Einsätzen
Datenumfang:
- Namen
- Anschriften
- Fotos
- Kommunikationsdaten (Telefon, Email)
- Hinweise zum Einsatz
- gesundheitliche Merkmale und Erkrankungen
Grundsätze der Datenerhebung:
Die Erhebung und Verarbeitung von personenbezogenen Daten hat unter Beachtung des Artikels 5 der EU-DSGVO zu erfolgen. Die rechtliche Grundlage ist das Gesetz über den Brandschutz, die Hilfeleistung und den Katastrophenschutz des Landes Brandenburg (Brandenburgisches Brand- und Katastrophenschutzgesetz – BbgBKG) vom 24. Mai 2004 (GVBl.I/04, [Nr. 09], S.197) zuletzt geändert durch Gesetz vom 18. Juni 2018 (GVBl.I/18, [Nr. 12]). Im Zuge der EU-DSGVO ist für den Umfang der erfassten Daten, die Rechtmäßigkeit und die Notwendigkeit der Erfassung der Daten (Datenminimierung) zu prüfen und zu dokumentieren. Die erhobenen Daten sind nur zweckgebunden und für die in der Feuerwehr relevante Verarbeitung zu verwenden und nicht für Datenverarbeitungen außerhalb des Bereichs der Feuerwehr.
Die Verarbeitung personenbezogener Daten ist dann zulässig, wenn die Rechtmäßigkeit der Datenverarbeitung gegeben ist, also eine gesetzliche Grundlage vorhanden ist oder die betroffene Person ihre Einwilligung gegeben hat. Wenn keine der beiden Bedingungen zutrifft, bleibt die Verarbeitung verboten (Verbot mit Erlaubnisvorbehalt). Die erfassten Daten müssen sachlich richtig sein und müssen auf Verlangen bei Fehlerhaftigkeit korrigiert werden.
Es sind Aufbewahrungsfristen zu definieren und ihm Rahmen dieser Aufbewahrungsfristen nach Ablauf Daten zu löschen bzw. zu vernichten.
Die Sicherheit und die Vertraulichkeit der Daten muss zu jeder Zeit gewährleistet sein. Der Zugriff auf die Daten ist auf die zwingend notwendigen Personen einzuschränken. Der Zugang zu diesen Daten ist mit einem sicheren personenidentifizierbaren Zugang mit komplexem Passwort abzusichern. Der Zutritt zu Räumen mit personenbezogenen Daten bzw. der Zugriff auf Akten mit personenbezogenen Inhalten ist vor dem Zugriff Dritter zu schützen.
Es sind technisch-organisatorische Maßnahmen zu treffen und zu dokumentieren, die den Schutz der Daten gewährleisten. Die getroffenen technisch organisatorischen Maßnahmen sind in regelmäßigen Abständen auf ihre Wirksamkeit zu prüfen und auf die Aktualität nach dem technischen Standard zu überprüfen. Die Überprüfungen sind zu dokumentieren und eventuell daraus resultierende Änderungsvorschläge dem Datenschutzbeauftragten vorzulegen.
Für Feuerwehren weisen wir vor allem auf die Grundsätze Informationspflicht (Artikel 13 EU-DSGVO), Auskunftsrecht (Artikel 15 EU-DSGVO), Recht auf Berichtigen (Artikel 16 EU-DSGVO), Recht auf Löschen von Daten (Artikel 17 EU-DSGVO), Recht auf Einschränkung der Verarbeitung (Artikel 18 EU-DSGVO), Datenübertragung (Artikel 20 EU-DSGVO) und Widerspruchsrecht (Artikel 21 EU-DSGVO) hin.
Organisation des Datenschutzes:
Bei einem Großteil der Feuerwehren erfolgt die Datenspeicherung und Datenverarbeitung auf EDV Anlagen die nicht zum Bestand des örtlichen Trägers zählen. Von dieser Seite ergibt sich hier eine Vermischung von Daten der Ortswehr mit anderen Daten des Inhabers der EDV Anlage. In diesem Zuge kann der örtliche Träger nur auf den Datenschutz hinweisen und um Einhaltung des Datenschutz bitten. Der Ortswehrführer bzw. die entsprechenden Mitglieder die in die Datenerfassung und Datenverarbeitung involviert sind unterzeichnen eine Erklärung zum Datenschutz, dass Sie über den Datenschutz und des gesetzliche Regelungen informiert wurden und diese selbstverantwortlich einhalten.
Dokumentation:
- Aufstellung aller IT-Geräte der Feuerwehr
- Dokumentation der Zugriffsberechtigungen
- Verarbeitungsverzeichnis zu eingesetzten EDV-Verfahren (Artikel 30 DSGVO)
- Prozessablauf bei Auskunftsersuchen („Recht auf Auskunft“)
- Prozessablauf zu Datenlöschungen („Recht auf Vergessenwerden“)
- Prozessablauf zur Meldung von Verstößen gegen den Datenschutz
- Risikofolgeabschätzung und geeigneter Maßnahmen (Artikel 35 DSGVO)
- Beschreibung der technisch-organisatorischen Maßnahmen zum Datenschutz
Auftragsdatenverarbeitung:
Sofern externe Personen oder Firmen in Kontakt mit den personenbezogenen Daten kommen, sind diese zu dokumentieren. Für diese Fälle ist mit den betroffenen Personen und Firmen eine Auftragsdatenverarbeitung abzuschließen.
Einwilligungserklärung:
Daten die die Feuerwehr erhebt, benötigen eine Einwilligungserklärung des Eigentümers der Daten oder der Personensorgeberechtigten oder gesetzlicher Vertreter. Die Abgabe des Einverständnisses muss freiwillig geschehen. In der Einverständniserklärung muss auf das Rechts des Eigentümers auf Auskunft und Berichtigung hingewiesen werden. Die Einwilligungserklärung ist zu unterzeichnen.
Schutzbedarf:
Nach Artikel 32 der EU-DSGVO orientiert sich das Sicherheitsniveau am konkreten Schutzbedarf der Daten. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten muss ein dem Risiko angemessenes Schutzniveau geschaffen werden. Grundsätzlich müssen alle Mitglieder einer Feuerwehr über die Vertraulichkeit von Daten unterrichtet und regelmäßig unterwiesen werden. Die Unterweisungen sind zu dokumentieren und von den Beschäftigten als Nachweis gegenzuzeichnen.
Webseiten / Social Media:
Im Impressum der Webseiten von Feuerwehr ist als Ansprechpartner der Leiter der Feuerwehr zu benennen und entsprechend der zuständige benannte Verantwortliche für den Datenschutz der Feuerwehr inklusive Kontaktinformationen. Ebenso muss im Impressum der örtliche Träger der Feuerwehr inklusive Kontaktinformationen benannt sein.
Die Webseite muss den gesetzlichen Ansprüchen der EU-DSGVO und des Telemediengesetzes entsprechend und konform sein.
Wird eine Analyse-Software wie Google Analytics eingesetzt, muss der Grund der Nutzung genannt und ein Hinweis veröffentlicht werden, wie Besucher der Erhebung ihrer Daten widersprechen können. Ebenso muss der Webseiten-Benutzer auf den Einsatz von Cookies hingewiesen werden bzw. bedarf dies ebenso einer Zustimmung des Nutzers. Werden Daten über Kontaktformulare erhoben, bedarf es eines Hinweises auf die Datenschutzerklärung. Diese muss detailliert offenlegen, wo und zu welchem Zweck Daten erhoben werden, wie sie verarbeitet, wie lange und wo sie gespeichert und wann sie gelöscht werden. Und sie muss eine Kontaktmöglichkeit zum Datenschutzbeauftragten beinhalten.
Nach § 22 KUG (Kunsturhebergesetz) dürfen Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden lässt, eine Entlohnung erhielt. Wenn es sich um Fotos von Minderjährigen handelt, ist eine Einwilligung von allen Sorgeberechtigten erforderlich.
§ 23 KUG regelt ergänzend, dass
- Bildnisse aus dem Bereich der Zeitgeschichte,
- Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen und nicht direkt erkennbar sind
- Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben. Wesentlich ist jedoch, dass die dargestellten Personen gerade als Teilnehmer der betreffenden Veranstaltung abgebildet werden. Der Bezug zur Veranstaltung muss als klar zu erkennen sein. Das ist nicht mehr der Fall, wenn gezielt nur ein einzelner Teilnehmer fotografiert worden ist. Dann ist eine Einwilligung nötig.
ohne die nach § 22 KUG erforderliche Einwilligung verbreitet und zur Schau gestellt werden dürfen.
Im Sinne des Datenschutzes sind Bilder der Ortswehren so zu erstellen, das keine Personen abgebildet werden. Sind Personen abgebildet ist eine Einwilligung der abgebildeten Person erforderlich. Diese Zustimmung ist vorher einzuholen und sollte beweissicher nachweisbar sein.
Ebenso sollte es vermieden werden, Bilder von Fahrzeugen mit Kennzeichen oder auffälligen Merkmalen online zu stellen, die einen direkten Rückschluss auf Betroffene oder Verursacher zulassen.
Das Veröffentlichen von Bildern ist unter Einhaltung oben vorbenannter gesetzlicher Vorgaben zulässig und rechtsmöglich. Die Veröffentlichung lässt sich damit begründen, dass es sich um ein Ereignis des öffentlichen Interesses handelt. (§ 23 Abs. 1 Nr. 3 KUG)
Rechtsgrundlagen:
- Gesetz über den Brandschutz, die Hilfeleistung und den Katastrophenschutz des Landes Brandenburg (Brandenburgisches Brand- und Katastrophenschutzgesetz – BbgBKG) vom 24. Mai 2004 (GVBl.I/04, [Nr. 09], S.197) zuletzt geändert durch Gesetz vom 18. Juni 2018 (GVBl.I/18, [Nr. 12])
- EU Datenschutzgrundverordnung (EU-DSGVO)
- Bundesdatenschutzgesetz (BDSG)
ERKLÄRUNG ZUM DATENSCHUTZ
Der örtliche Träger der Feuerwehr _________________ hat mich am _____________ über den Datenschutz und deren Einhaltung informiert und auf entsprechende rechtlichen Erfordernisse hingewiesen.
Im Zuge der Eigenorganisation der Feuerwehr werden die Einhaltung des Datenschutzes und deren Umsetzung in die Verantwortung des Ortswehrführers übergeben.
Der Datenschutzbeauftragte des örtlichen Trägers steht für den Ortswehrführer als Ansprechpartner zur Verfügung und informiert den Ortswehrführer über Veränderungen an den gesetzlichen Regelungen zum Datenschutz.
Der Ortswehrführer informiert, belehrt und überwacht die entsprechenden Verantwortlichen der Datenerfassung und Datenverarbeitung der Ortswehr. Verstöße gegen den Datenschutz zeigt der Ortswehrführer umgehend beim Datenschutzbeauftragten des örtlichen Trägers an.
Die Datenschutzkonzeption des örtlichen Trägers ist Anlage dieser Erklärung.
Änderungen sind nur in Schriftform zulässig.
_______________________________ _______________________________
Datum, Unterschrift Ortswehrführer Datum, Unterschrift örtlicher Träger