earjob.pages.dev

Sanktionsgebühr gdpr gemeinde


Die erste Sanktionsgebühr, die von der schwedischen Datenschutzbehörde erhoben

wurde Text: Katarina Ladenfors

Das Pilotprojekt an der Turnhalle in Anderstorps dauerte drei Wochen und umfasste eine Klasse von 22 Schülern, und jetzt verhängt die schwedische Datenschutzbehörde eine Verwaltungsgebühr von 200.000 SEK und eine Verwarnung gegen eine fortgesetzte Behandlung.

sanktionsavgift gdpr kommun

Die schwedische Datenschutzbehörde stellte fest, dass die derzeitige Verarbeitung sensibler personenbezogener Daten von Kindern in einer Position der Abhängigkeit gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.

Bei der Gesichtserkennung wurden die Schülerinnen und Schüler bei der Ankunft in einem Klassenzimmer gefilmt und die Bilder daraus mit bereits registrierten Bildern der Gesichter der Schülerinnen und Schüler in Kombination mit dem Vor- und Nachnamen der Schülerinnen und Schüler verglichen.

Die Daten wurden auf einem lokalen Rechner gespeichert, ohne dass Internetverbindung, die in einem verschlossenen Schrank aufbewahrt wurde. Die ausdrückliche Zustimmung der Erziehungsberechtigten war eingeholt worden und es war möglich, auf die Registrierung zu verzichten.

 

Einfach und effektiv

Ziel des Projekts war es, die Anwesenheit im Unterricht in der Sekundarstufe II einfacher und effizienter zu erfassen.

Nach Angaben der Behörde der Sekundarstufe II dauerte die Anwesenheitserfassung auf herkömmliche Weise zehn Minuten pro Unterrichtsstunde und durch den Einsatz von Gesichtserkennungstechnologie zur Anwesenheitskontrolle würden an der betreffenden Schule 17.280 Stunden pro Jahr eingespart.

Die schwedische Datenschutzbehörde wurde über die Medien auf das Pilotprojekt aufmerksam und führte daher eine Inspektion des Projekts durch, um zu überprüfen, ob die Verarbeitung personenbezogener Daten durch die Behörde der Sekundarstufe II die in Übereinstimmung mit der DSGVO durchgeführt werden.

Die schwedische Datenschutzbehörde kam zu dem Schluss, dass die Gemeinde Skellefteå gegen mehrere Bestimmungen der DSGVO verstoßen hat.

Unter anderem fehlte es an einer gültigen Einwilligung für die Verarbeitung. Unter Gesichtserkennung versteht man die Verarbeitung sogenannter biometrischer Daten, die als sensible personenbezogene Daten gelten. Die Verarbeitung sensibler Daten ist verboten, es sei denn, die DSGVO enthält eine explizite Ausnahme. Eine Ausnahme kann vorliegen, wenn die betroffene Person ausdrücklich ihre Einwilligung in die Verarbeitung erteilt hat.

Damit die Einwilligung nach der Verordnung gültig ist, muss sie freiwillig erteilt worden sein.

 

Die

schwedische Datenschutzbehörde ist der Ansicht, dass der Spielraum für eine freiwillige Einwilligung im öffentlichen Sektor begrenzt ist. Die schwedische Datenschutzbehörde betont, dass sie Es wird deutlich, dass der Schüler in Bezug auf Noten, Studienbeihilfe, Bildung und damit die Möglichkeit für eine spätere Arbeit oder ein weiterführendes Studium auf die Schule angewiesen ist.

Zudem geht es oft um Kinder. Die schwedische Datenschutzbehörde stellt daher fest, dass die Einwilligung nicht freiwillig erteilt wurde. Es wird jedoch darauf hingewiesen, dass es in der Schule andere Situationen gibt, in denen die Einwilligung als Rechtsgrundlage in der Beziehung zwischen dem Vormund eines Kindes und einer Schule oder dem Schüler selbst herangezogen werden könnte, zum Beispiel im Fall der Schulfotografie.

Die Entscheidung macht deutlich, dass der Spielraum für freiwillige Einwilligungen in der Öffentlichkeit begrenzt ist.

Die schwedische Datenschutzbehörde hat bereits erklärt, dass die Einwilligung nicht als Grundlage für die Verwendung von Bildern von Mitarbeitern verwendet werden sollte. Ein Arbeitnehmer gilt als abhängig von seinem Arbeitgeber, was in seiner Pracht bedeutet, dass es schwierig ist, die Zustimmung als freiwillig zu betrachten.

 

Ein klares Signal

In dem betreffenden Fall wurde es auch als erschwerend angesehen, dass die schwedische Datenschutzbehörde durch Informationen in den Medien von der Verarbeitung erfahren hatte, dass die Gemeinde Skellefteå keine Vorabkonsultation eingereicht hatte, sondern selbst fälschlicherweise eingeschätzt hatte, dass eine Risikobewertung nicht erforderlich war, und zum Ausdruck brachte, dass sie beabsichtigt, mit der Verarbeitung fortzufahren.

Behandlung.

Mit der Entscheidung signalisiert die schwedische Datenschutzbehörde deutlich, dass eine solche Verarbeitung, die mit neuen Technologien erfolgt und sensible personenbezogene Daten von Kindern betrifft, Anlass zu einer vorherigen Konsultation der schwedischen Datenschutzbehörde geben muss. Die Behörde hat auch eine Warnung ausgesprochen, um sicherzustellen, dass das Projekt nicht fortgesetzt wird.