Datenschutz 2020 - Bericht des ULD Schleswig-Holstein

Das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein hat sei­nen Tätig­keits­be­richt 2020 für den Berichts­zeit­raum 2019 veröffentlicht. 

Ins­ge­samt wur­den 758 Bera­tun­gen durch­ge­führt und 959 Ver­fah­ren in der Zustän­dig­keit des ULD ange­legt, davon 680 auf Grund von Beschwer­den gegen Unter­neh­men und 279 gegen Behörden. 

Des Wei­te­ren wur­den 37 War­nun­gen, 26 Ver­war­nun­gen und 2 Anord­nun­gen gegen­über Ein­rich­tun­gen aus­ge­spro­chen. Auf Geld­bu­ßen wur­de in dem Zeit­raum 2019 ver­zich­tet. In 26 Fäl­len führ­te man Prü­fun­gen ohne zu Grun­de lie­gen­de, anlass­be­zo­ge­ne Beschwer­den durch, 13 davon bei nicht­öf­fent­li­chen Einrichtungen. 

Ver­let­zun­gen von Daten­schutz und Mel­de­pflicht 

Die ins­ge­samt 349 in Sachen Daten­pan­nen eröff­ne­ten Ver­fah­ren stel­len natur­ge­mäß nur einen Anteil der täg­lich gemel­de­ten oder ander­wei­tig dem ULD zur Kennt­nis gelang­ten Daten­schutz-Ver­let­zun­gen dar. Eben­so natur­ge­mäß, dass das ULD von der Dun­kel­zif­fer an Daten­pan­nen, die nicht gemel­det, son­dern im Nach­hin­ein fest­ge­stellt wer­den, nicht ange­tan ist. 

hier wür­de ich als tipp ergän­zen .. Daher auch in die­sem Kon­text der Tipp, nicht nur für unse­re Kun­den in Schles­wig-Hol­stein J, den Sie von uns auch sicher­lich aus Prä­sen­ta­tio­nen und Vor­ort­ter­mi­nen ken­nen: Daten­pan­nen immer doku­men­tie­ren und — zumin­dest intern an Ihren DSB — mel­den. Ent­war­nen lässt sich immer noch. 

Daten­pan­nen — Infor­ma­ti­ons­si­cher­heit /​ Daten­schutz 

Eben­falls kri­ti­sche Wor­te fin­det das ULD in Bezug auf das Umset­zungs­ni­veau der Infor­ma­ti­ons­si­cher­heit. Es gebe hier noch viel Nach­hol­be­darf, zumal Ver­let­zun­gen der Infor­ma­ti­ons­si­cher­heit wie u.a. auch Cyber­an­grif­fe man­gels per­so­nen­be­zo­ge­ner Daten häu­fig nicht ein­mal in einer Mel­dung resultieren. 

Für eine „ver­ant­wor­tungs­vol­le Digi­ta­li­sie­rung“ hält der vor­lie­gen­de Bericht dazu an, dass sämt­li­che Ein­rich­tun­gen das Schutz­ni­veau in Sachen Infor­ma­ti­ons­si­cher­heit ein­schließ­lich Daten­schutz auf den Prüf­stand brin­gen mögen. Sen­si­bi­li­sie­rung der Mit­ar­bei­ter sei nicht zu vernachlässigen. 

Das ULD sah ‘über den Tel­ler­rand´ 

Inspi­ra­ti­on für Sen­si­bi­li­sie­run­gen konn­te man im Aus­tausch mit einem unse­rer Nach­bar­län­der erhalten: 

  • Akti­ons­ta­ge „Löschen/​Schreddern“ 
  • „Gami­fi­ca­ti­on“ Ansät­ze von Daten­schutz mit Preis (Obst/​Schokoriegel) 
  • Daten­schutz­quiz und Datenpannensimulation 
  • anony­mi­siert rea­li­sier­te Phishing-Tests 
  • Selbst­da­ten­schutz mit Mehr­wert für die Beschäftigten 
  • im Team pro­du­zier­te Kurz­vi­de­os für Schulungszwecke 

gehör­ten dazu. Eine wei­te­re Klar­stel­lung, dass Daten­schutz per se leben­dig ist und unrich­ti­ger­wei­se manch­mal als tro­cken und läs­ti­ges Bei­werk ange­se­hen wird. 

Auch in Unter­neh­men und kom­mu­na­len Ein­rich­tun­gen las­sen sich sol­che Aktio­nen und Work­shops durch­füh­ren. Für Anfra­gen und Anre­gun­gen neh­men Sie ger­ne Kon­takt zu uns auf. 

Für eine Ver­ein­heit­li­chung von Daten­schutz­stan­dards und Ver­ständ­nis­fra­gen sieht das ULD eine regel­mä­ßi­ge Kom­mu­ni­ka­ti­on über Erfah­run­gen als sehr wich­tig an. Im genann­ten Nach­bar­land Öster­reich ist dies bereits ver­bind­li­che Vorschrift. 

Infor­ma­ti­ons­frei­heit und Daten­schutz auf (inter)nationaler Ebe­ne 

Das ULD stellt klar, dass auch die inner­staat­li­che Abstim­mung unter Daten­schutz­be­hör­den auf Bun­des- und Lan­des­ebe­ne in Sachen Daten­schutz und Infor­ma­ti­ons­frei­heit in ange­mes­se­nem Maße auf­recht zu erhal­ten ist. Bei der Infor­ma­ti­ons­frei­heit exis­tie­re ledig­lich ein Gre­mi­um für die Zuar­beit der IFK. Noch sei­en nicht alle Bun­des­län­der ver­tre­ten man­gels ent­spre­chen­der Infor­ma­ti­ons­frei­heits- oder Transparenzportalen. 

Daten­ethik und Daten­si­cher­heit 

Die Daten­ethik­kom­mis­si­on der Bun­des­re­gie­rung hat ein Gut­ach­ten erstellt, das sich ins­be­son­de­re mit Algo­rith­men, KI und Big Data befasst. Betont wer­den unter ande­rem Mög­lich­kei­ten der Regu­lie­rung von algo­rith­mi­schen Sys­te­men. Das ULD for­dert — weni­ger banal als es zunächst klin­gen mag — die Bun­des­re­gie­rung als Auf­trag­ge­be­rin des Gut­ach­tens der Daten­ethik­kom­mis­si­on auf, die Inhal­te aus­wer­ten und in die wei­te­re Pla­nung ein­flie­ßen zu las­sen. In die­sem Zusam­men­hang moniert das ULD ein teils inkon­sis­ten­tes Agie­ren von Bund und Län­dern für /​ wider eine grund­wer­te­ori­en­tier­te, zukunfts­fä­hi­ge Digi­ta­li­sie­rung wie etwa Inhal­te in Gesetz­ge­bungs­ent­wür­fen, die „eine Kri­mi­na­li­sie­rung von Anbie­tern bestimm­ter daten­schutz­freund­li­cher Tech­ni­ken“ nahe­leg­ten. (§ 126a StGB). 

Man möch­te eine „Chan­ce auf bes­se­re Sicher­heit“ nicht ver­tan wissen. 

Die per Innen­mi­nis­ter­kon­fe­renz 2019-06 in Pla­nung gege­be­nen „Zugriffs­er­leich­te­run­gen“ auf Mes­sen­ger und Smart Home Anwen­dun­gen hält das ULD in die­ser Form für nicht grundrechtsvereinbar. 

Behör­den 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein for­dert Behör­den und sons­ti­ge öffent­li­che Stel­len des Bun­des­lan­des auf, einen behörd­li­chen Daten­schutz­be­auf­trag­ten zu benen­nen und „mit den erfor­der­li­chen Res­sour­cen“ aus­zu­stat­ten,  sofern bis­lang nicht erfolgt. 

Hand­lungs­be­darf sah die Lan­des­da­ten­schutz­be­hör­de bei der Wei­ter­ent­wick­lung von IT-Ver­fah­ren der Lan­des­po­li­zei. Die­se müss­ten in der Lage sein, Aus­künf­te an Betrof­fe­ne „umfas­send und zeit­nah“ zu ertei­len. Unter dem Titel „Null Daten­pan­nen­mel­dun­gen im Poli­zei­be­reich?!“ pos­tu­liert die Lan­des­be­auf­trag­te für Daten­schutz Schles­wig-Hol­stein, „gesetz­li­che Pflich­ten müs­sen ernst genom­men wer­den.“ Auch für den Jus­tiz­be­reich gel­te, dass Mel­de­pflicht von Daten­pan­nen umfas­send zur Kennt­nis genom­men und umge­setzt wer­den sollte.

Schles­wig-Hol­stein und die Kom­mu­nen sei­en — mit Unter­stüt­zung des ULD — in der Ver­ant­wor­tung einer daten­schutz­kon­for­men Umset­zung des Onlinezugangsgesetzes. 

Fort­set­zung folgt ..

Prüfliste abgehakt

Ein­satz­zweck der Check­lis­te zur Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maßnahmen

Wir haben die erst­mals im Juni 2019 hier ver­öf­fent­lich­te Check­lis­te zur Prü­fung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) über­ar­bei­tet. Mit­tels die­ser Check­lis­te kön­nen Sie

  1. Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men prü­fen und grob doku­men­tie­ren (kein Ersatz für eine Detaildokumentation),
  2. das Schutz­ni­veau Ihrer Dienst­leis­ter im Rah­men von Art. 28 DSGVO Auf­trags­ver­ar­bei­tung und deren tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne des Art. 32 DSGVO grob prüfen,
  3. die Prü­fung des Schutz­ni­veaus bei Ihren Dienst­leis­tern doku­men­tie­ren oder
  4. sich ein­fach einen ers­ten Über­blick über die eige­nen inter­nen Schutz­maß­nah­men ver­schaf­fen (Was fehlt? Was ist schon vorhanden?).

Wie­so Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

“Erfolgt eine Ver­ar­bei­tung im Auf­trag eines Ver­ant­wort­li­chen, so arbei­tet die­ser nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewährleistet.”

https://​dsgvo​-gesetz​.de/​a​r​t​-​2​8​-​d​s​g​vo/

Mit­tels die­ser Check­lis­te kön­nen Sie sich schon mal grob einen ers­ten Über­blick ver­schaf­fen. Je nach Detail­grad beim Aus­fül­len der Prüf­punk­te kann das Doku­ment jedoch auch als Ersatz für eine zusätz­li­che und aus­führ­li­che­re Doku­men­ta­ti­on her­an­ge­zo­gen wer­den. Dafür haben wir bewußt zahl­rei­che Frei- und Kom­men­tar­fel­der vor­ge­se­hen, um hier auch ins Detail gehen zu können.

Wel­che The­men behan­delt die Checkliste?

Wir haben uns beim Auf­bau sowohl an den Anfor­de­run­gen der DSGVO ori­en­tiert als auch bewähr­tes aus den frü­he­ren Anfor­de­run­gen bzw. Über­schrif­ten des Bun­des­da­ten­schutz­ge­set­zes ori­en­tiert. Der Auf­bau ist wie folgt:

  • Ver­trau­lich­keit
    • Zutritts­kon­trol­le
    • Zugangs­kon­trol­le
    • Zugriffs­kon­trol­le
    • Tren­nungs­kon­trol­le
    • Pseud­ony­mi­sie­rung (lit a)
  • Inte­gri­tät
    • Wei­ter­ga­be­kon­trol­le
    • Ein­ga­be­kon­trol­le
  • Ver­füg­bar­keit und Belastbarkeit 
    • Ver­füg­bar­keits­kon­trol­le
  • Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Evaluierung 
    • Daten­schutz-Manage­ment
    • Inci­dent Respon­se Management
    • Daten­schutz­freund­li­che Voreinstellungen
    • Auf­trags­kon­trol­le

Was hat sich gegen­über der vor­he­ri­gen Ver­si­on der Check­lis­te geändert?

  • Hin­zu­nah­me von Anla­gen, die bei­gefügt wer­den kön­nen wie 
    • Ver­zeich­nis zu den Kate­go­rien von im Auf­trag durch­ge­führ­ten Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 Abs. 2 DSGVO)
    • Lis­te der ein­ge­setz­ten Sub­un­ter­neh­mer mit Tätig­kei­ten für Sie als Auftraggeber
    • Richt­li­nie Datenschutz
    • Richt­li­nie Umgang mit Datenpannen
    • Über­sicht der Sen­si­bi­li­sie­rungs- und Schu­lungs­maß­nah­men der letz­ten 24 Monate
  • Kon­kre­ti­sie­rung bei vor­han­de­nen ISMS
  • Erhö­hung des Detail­grads bei der einen oder ande­ren Auswahl
  • For­ma­tie­run­gen

Ist die Check­lis­te kostenfrei?

Wie die frü­he­ren Ver­sio­nen die­ser Check­lis­te stel­len wir auch die aktu­el­le Check­lis­te wie­der kos­ten­frei zur Ver­fü­gung. Wir appel­lie­ren jedoch an die Fair­ness der Nut­zer und Down­loa­der: Wir möch­ten nicht, dass die­se Check­lis­te ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem käuf­lich zu erwer­ben­den Vor­la­gen­buch (ana­log oder digi­tal) wie­der­fin­det. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung der Check­lis­te übernommen.

Anre­gun­gen und Vor­schlä­ge für die Wei­ter­ent­wi­ckung der Check­lis­te ger­ne an info@​ask-​datenschutz.​de

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
7944 Downloads

Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Druck­frisch zu berich­ten — die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land (UZD) hat die­ser Tage den 28. Tätig­keits­be­richt im Daten­schutz für das Saar­land vor­ge­legt (Land­tags­druck­sa­che Saar­land 16/​1200). Dar­in wur­de unter ande­rem auf kon­kre­te, ein­zel­fall­be­zo­ge­ne Ent­wick­lun­gen und Maß­nah­men, erfolg­te Vor­trä­ge, Ver­fah­ren und Bera­tun­gen sowie auf fach­li­che Aspek­te der DSGVO-Vor­ga­ben und ‑umset­zun­gen und Recht­spre­chung detail­liert eingegangen.

News in 2019

Im Jahr 2019 wur­den zwei neue Stel­len für Mit­ar­bei­ter im UDZ vom Land­tag Saar­land bewil­ligt, die erfolg­reich besetzt wur­den, aller­dings sieht das UDZ hier quan­ti­ta­ti­ven Optimierungsbedarf.

Die Web­site des UDZ wur­de mit einem neu­en CMS ange­bun­den und hat ein neu­es Design bekom­men mit Opti­mie­rung auf Bar­rie­re­frei­heit, der Mel­de- und Kon­takt­for­mu­la­re sowie für Mobilgeräte.

Vor dem Hin­ter­grund der Not­wen­dig­keit, wach­sen­den Anfor­de­run­gen, recht­li­chen Vor­ga­ben und einer effek­ti­ven, ange­mes­se­nen Abwehr von Cyber-Angrif­fen kos­ten­ef­fi­zi­ent nach­zu­kom­men, wur­de in dem Bericht die Ein­füh­rung eines ISMS erläu­tert und dabei ins­be­son­de­re ISIS12 „als prag­ma­ti­sches und leicht ska­lier­ba­res Vor­ge­hens­mo­dell“, das auch gera­de Kom­mu­nen eine gute Ver­bin­dung von den Vor­ga­ben und rea­len Res­sour­cen ermögliche.

Der gesam­te Pro­zess von der Sen­si­bi­li­sie­rung der Mit­ar­bei­ter, Ein­schät­zung der Gefähr­dungs­la­ge bis hin zur Abwehr von Angrif­fen kann durch ein ISMS wie ISIS12 gesteu­ert und über­wacht wer­den.

Nach der Imple­men­tie­rung und einem TOM-bezo­ge­nen Audit wur­de das UDZ zum 09.10.2019 zertifiziert.

Bera­tun­gen und Öffentlichkeitsarbeit

Das UDZ hat im Berichts­jahr 50 Ver­an­stal­tun­gen zur Infor­ma­ti­on und Sen­si­bi­li­sie­rung zum Daten­schutz und der DSGVO aus­ge­rich­tet, bei denen es unter ande­rem schwer­punkt­mä­ßig um Aus­le­gungs­fra­gen der DSGVO ging. Ins­ge­samt sieht man auch bei der Öffent­lich­keit ein stei­gen­des Inter­es­se an Daten­schutz­the­men und ‑fra­gen.

In Bezug auf das im Dezem­ber 2019 beschlos­se­ne Jus­tiz­voll­zugs­da­ten­schutz­ge­setz, bei des­sen Ent­wür­fen das UZD bera­tend invol­viert war, stellt der Bericht fest, dass man sich eine umfas­sen­de Moder­ni­sie­rung des Daten­schutz­rechts auch in die­sem Bereich gewünscht hätte.

Die UDZ nahm an Bera­tungs­ge­sprä­chen mit der Enquête­kom­mis­si­on „Digi­ta­li­sie­rung im Saar­land“ teil und führ­te hier unter ande­rem die wich­ti­ge Rol­le des Daten­schut­zes in der Ent­wick­lung des E‑Government aus.

In Brüs­sel tausch­te man sich bei der EU-Ver­tre­tung des Saar­lan­des über die inner­eu­ro­päi­sche Zusam­men­ar­beit der Daten­schutz­be­hör­den aus. In den 154 Fäl­len nahm die Lan­des­da­ten­schutz­be­hör­de ihre Ver­fah­rens­zu­stän­dig­keit iSd. Art. 56 DSGVO in Bezug auf inner­eu­ro­päi­sche, län­der­über­grei­fen­de Ver­ar­bei­tun­gen wahr. Die Behör­de war an elf Recht­set­zungs­vor­ha­ben beteiligt.

Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO

Dem Bericht zufol­ge wur­den im ver­gan­ge­nen Jahr 286 Daten­schutz­ver­let­zun­gen an die Lan­des­da­ten­schutz­be­hör­de gemel­det und elf amt­li­che Maß­nah­men iSd. Art. 58 DSGVO zur Prä­ven­ti­on von Daten­pan­nen vor­ge­nom­men. Den Anstieg der Mel­dun­gen von Daten­pan­nen wird auf höhe­re Kri­te­ri­en durch die DSGVO, aber auch eine höhe­re Sen­si­bi­li­tät für Daten­schutz­the­men gesehen.

Prü­fun­gen

In sei­nem Bericht spricht das UZD von „meh­re­ren Prü­fun­gen“, die — meist anlass­be­zo­gen und oft im Kon­text des Beschäf­tig­ten­da­ten­schut­zes — in 2019 in Ein­rich­tun­gen sowohl ange­kün­digt als auch unan­ge­kün­digt durch­ge­führt wur­den. Kri­te­ri­um für die Fra­ge der Vor­ab­an­kün­di­gung sei die Abwä­gung der Wahr­schein­lich­keit eines Weg­falls des Prüf­ge­gen­stands durch Mani­pu­la­ti­on im Fal­le der Ankün­di­gung. Im Vor­feld wür­den Prüf­ge­gen­stand und ‑ablauf klar defi­niert und im Regel­fall zunächst die Vor­la­ge von VVT, einer DSFA „oder zumin­dest [..] Risi­ko­be­wer­tung“, der TOM, Doku­men­ta­tio­nen zum Umgang mit Betrof­fe­nen­rech­ten, Lösch­fris­ten und wei­te­re Daten­schutz­kri­te­ri­en vor Ort ange­for­dert. Dar­auf­fol­gend die Prü­fung des kon­kre­ten Anlas­ses und Ver­fer­ti­gung einer Kurz­zu­sam­men­fas­sung vor Ort, die zusam­men mit dem Ver­ant­wort­li­chen erör­tert wird.

Der eigent­li­che Prüf­be­richt wird der Ein­rich­tung /​ dem Ver­ant­wort­li­chen zuge­stellt und die­ser kann dazu Stel­lung neh­men. Gege­be­nen­falls erfol­gen Abhil­fe­maß­nah­men nach Art. 58 Abs. 2 DSGVO und die Ver­hän­gung einer Geldbuße.

Das UZD führ­te nach der Ein­füh­rung des Ein­sat­zes von Body-Cams bei der Poli­zei Saar­land Stich­pro­ben durch, bei denen es erheb­li­che Defi­zi­te bei der Ein­hal­tung der Daten­schutz­vor­ga­ben fest­ge­stellt hat.

Bei der Prü­fung von BCR (Bin­ding Cor­po­ra­te Rules) zur Daten­si­cher­heit inner­halb inter­na­tio­nal agier­den­der Kon­zern­struk­tu­ren iSd. Art. 47 DSGVO war das UDZ in 2019 ins­ge­samt zwei­mal betei­ligt — bei 20 BCR-Ver­fah­ren europaweit.

Rechen­schafts­pflicht Großunternehmen

Ende 2018, Anfang 2019 wur­den drei der größ­ten Unter­neh­men des Saar­lands um Rechen­schaft ersucht hin­sicht­lich DSGVO Umset­zungs­stand, VVT, Risi­ko­ab­schät­zun­gen und Pro­zes­se und die daten­schutz­kon­for­me Ver­ar­bei­tung von per­so­nen­be­zo­ge­ner Daten im all­ge­mei­nen sowie im Detail.

Wei­te­re Themen

Der Bericht ent­hält außer­dem detail­lier­te Kapi­tel unter ande­rem zu Rechts­fra­gen, recht­li­chen Aus­le­gun­gen und Bewer­tun­gen sowie Rechts­an­wen­dung der DSGVO, die inter­es­san­te und wich­ti­ge Aspek­te beleuchten:

  • Infor­ma­ti­ons­pflich­ten
  • Aus­kunfts­recht
  • Abgren­zung der klas­si­schen AV zur Gemein­sa­men Verantwortlichkeit
  • DSFA
  • Zer­ti­fi­zie­rung und Akkreditierung
  • Fashion ID
  • Planet49
  • Ori­en­tie­rungs­hil­fe Tele­me­di­en der DSK
  • ePri­va­cy-Ver­ord­nung
  • Win­dows 10
  • Daten­schutz­kon­for­me Nut­zung von Whats­App im Rah­men kom­mu­na­ler Bürgerdienste
  • Strea­ming von Ratssitzungen
  • Nut­zung von Geodaten
  • Tele­ar­beit bei der Polizei
  • Licht­bild­ab­gleich in Ord­nungs­wid­rig­kei­ten­ver- fahren
  • Foto­gra­fie­ren an Schu­len und Kindergärten
  • Video­über­wa­chung
  • Daten­schutz im Verein
  • Daten­schutz­recht­li­che Bewer­tung tele­fo­ni­scher Werbeansprachen
  • Ein­sicht in die Patientenakte

Den Bericht fin­den Sie im pdf Voll­text auf der Web­site der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land — UZD.

Wenn Sie Fra­gen zu The­men oder Begrif­fen des Berichts haben, nut­zen Sie hier­für ger­ne die Kom­men­tar­funk­ti­on — Ihr Team von a.s.k. Datenschutz.

Ein­fa­che Doku­men­ta­ti­on und Prü­fung der TOM (Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen)

Art. 28 DSGVO Auf­trags­ver­ar­bei­ter schreibt die Über­prü­fung exter­ner Dienst­leis­ter vor, ob aus­rei­chend Garan­tien (TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) für die siche­re Ver­ar­bei­tung im Sin­ne der DSGVO vor­lie­gen. Da wir für unse­re Kun­den zahl­rei­che Dienst­leis­ter im Rah­men der bis­he­ri­gen Auf­trags­da­ten­ver­ar­bei­tung und zukünf­ti­gen Auf­trags­ver­ar­bei­tung prü­fen, schla­gen hier nicht sel­ten ord­ner­wei­se Doku­men­ta­tio­nen über ein vor­han­de­nes oder ver­meint­li­ches Schutz­kon­zept beim Dienst­leis­ter auf. Nach dem Mot­to “Weni­ger ist oft­mals mehr” haben wir eine frü­he­re Check­lis­te für tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) vom Daten­schutz-Guru RA Ste­phan Han­sen-Oest ergänzt und im Hin­blick auf die Sor­tie­rung der DSGVO über­ar­bei­tet. Da Ste­phan wei­te Tei­le sei­ner genia­len Vor­la­gen und Mus­ter kos­ten­frei zur Nut­zung zur Ver­fü­gung stellt und auch beim The­ma Daten­schutz gilt “Gemein­sam sind wir stark”, wol­len wir da nicht hintenanstehen.

Mit­tels der anhän­gen­den Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men, kurz TOM, als aus­füll­ba­res Word-For­mu­lar kann jeder Dienst­leis­ter ohne all­zu gro­ßen Zeit­auf­wand die bei ihm getrof­fe­nen Schutz­maß­nah­men doku­men­tie­ren (click & dir­ty). Die­se Anga­ben über­prüft der Auf­trag­ge­ber, kann bei Bedarf nach­fra­gen oder Punk­te im Detail klä­ren. Mit der Ergeb­nis­pro­to­kol­lie­rung am Ende soll­te auch der Doku­men­ta­ti­ons- und Rechen­schafts­pflicht zu dem Punkt Genü­ge getan sein. Ein Auf­trag­ge­ber kann sei­nem Dienst­leis­ter die­se Check­lis­te auch direkt zusen­den, damit die­ser sei­ne Doku­men­ta­ti­on erstel­len und zurück­sen­den kann. Als Anhang zur Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung von Ste­phan eig­net sich das Doku­ment eben­so. Klei­ner Neben­ef­fekt: Wenn der Auf­trag­ge­ber damit sei­ne TOM doku­men­tiert, kann er auf die­se Stan­dard-TOM im Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten ver­wei­sen und muss dort die­se Anga­ben nicht erneut wiederholen.

Bit­te beach­ten: Die­se Check­lis­te ent­bin­det natür­lich nicht von der kon­kre­ten Prü­fung, ob die genann­ten Schutz­maß­nah­men für das ange­streb­te Schutz­ziel aus­rei­chend sind. Im Zwei­fel sind die Anga­ben mit wei­te­rer Doku­men­ta­ti­on, Inter­views oder Vor-Ort-Prü­fun­gen zu vertiefen.

Anre­gun­gen und Ideen zu Ergän­zun­gen sind ger­ne willkommen.

Auf­trags­ver­ar­bei­tung ist übri­gens nichts Neu­es. Bis­her hieß es Auf­trags­da­ten­ver­ar­bei­tung. Es sind jedoch eini­ge Ergän­zun­gen und höhe­re Doku­men­ta­ti­ons­an­for­de­run­gen hinzugekommen.

Bit­te nut­zen Sie die aktu­el­le Ver­si­on 3.1:

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
7944 Downloads