BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwendung der DSGVO

Datenschutz / IT-Sicherheit – Allgemeines 

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO – (vor)vertragliche Maßgaben und berechtigte Interessen – sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift. 

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs-, Unterrichtungs-, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden. 

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten. 

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten. 

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein. 

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können. 

Datenschutz in Online-Präsenzen 

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen. 

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber. 

Künstliche Intelligenz = Artificial Intelligence 

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden. 

TOM – technische und organisatorische Maßnahmen 

  • vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden 
  • Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz – u.a. Bestandteil des Datenscchutz Quick-Checks 
  • auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein 
  • Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren 

Datenschutz bei Gesundheitsinformationen 

Das ULD konstatierte, dass 

  • Krankenhäuser und Kliniken 
  • Arzt-, Zahnarztpraxen 
  • Pflegeeinrichtungen, -dienste 
  • Apotheken und vergleichbare Einrichtungen 

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben – insbesondere bei mobilen Devices und Speichermedien. 

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen. 

Videoüberwachung und Datenschutz 

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten. 

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus. 

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben. 

AV – Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag 

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen – siehe auch das Thema Informationspflichten. 

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist. 

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen. 

Website des ULD 

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht. 

Für die weiterführende Lektüre des Originals bitte hier klicken. 

Datenschutz 2020 - Bericht des ULD Schleswig-Holstein

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat seinen Tätigkeitsbericht 2020 für den Berichtszeitraum 2019 veröffentlicht. 

Insgesamt wurden 758 Beratungen durchgeführt und 959 Verfahren in der Zuständigkeit des ULD angelegt, davon 680 auf Grund von Beschwerden gegen Unternehmen und 279 gegen Behörden. 

Des Weiteren wurden 37 Warnungen, 26 Verwarnungen und 2 Anordnungen gegenüber Einrichtungen ausgesprochen. Auf Geldbußen wurde in dem Zeitraum 2019 verzichtet. In 26 Fällen führte man Prüfungen ohne zu Grunde liegende, anlassbezogene Beschwerden durch, 13 davon bei nichtöffentlichen Einrichtungen. 

Verletzungen von Datenschutz und Meldepflicht 

Die insgesamt 349 in Sachen Datenpannen eröffneten Verfahren stellen naturgemäß nur einen Anteil der täglich gemeldeten oder anderweitig dem ULD zur Kenntnis gelangten Datenschutz-Verletzungen dar. Ebenso naturgemäß, dass das ULD von der Dunkelziffer an Datenpannen, die nicht gemeldet, sondern im Nachhinein festgestellt werden, nicht angetan ist. 

hier würde ich als tipp ergänzen .. Daher auch in diesem Kontext der Tipp, nicht nur für unsere Kunden in Schleswig-Holstein J, den Sie von uns auch sicherlich aus Präsentationen und Vorortterminen kennen: Datenpannen immer dokumentieren und – zumindest intern an Ihren DSB – melden. Entwarnen lässt sich immer noch.  

Datenpannen – Informationssicherheit / Datenschutz 

Ebenfalls kritische Worte findet das ULD in Bezug auf das Umsetzungsniveau der Informationssicherheit. Es gebe hier noch viel Nachholbedarf, zumal Verletzungen der Informationssicherheit wie u.a. auch Cyberangriffe mangels personenbezogener Daten häufig nicht einmal in einer Meldung resultieren. 

Für eine „verantwortungsvolle Digitalisierung“ hält der vorliegende Bericht dazu an, dass sämtliche Einrichtungen das Schutzniveau in Sachen Informationssicherheit einschließlich Datenschutz auf den Prüfstand bringen mögen. Sensibilisierung der Mitarbeiter sei nicht zu vernachlässigen. 

Das ULD sah `über den Tellerrand´ 

Inspiration für Sensibilisierungen konnte man im Austausch mit einem unserer Nachbarländer erhalten: 

  • Aktionstage „Löschen/Schreddern“ 
  • „Gamification“ Ansätze von Datenschutz mit Preis (Obst/Schokoriegel) 
  • Datenschutzquiz und Datenpannensimulation 
  • anonymisiert realisierte Phishing-Tests 
  • Selbstdatenschutz mit Mehrwert für die Beschäftigten 
  • im Team produzierte Kurzvideos für Schulungszwecke  

gehörten dazu. Eine weitere Klarstellung, dass Datenschutz per se lebendig ist und unrichtigerweise manchmal als trocken und lästiges Beiwerk angesehen wird. 

Auch in Unternehmen und kommunalen Einrichtungen lassen sich solche Aktionen und Workshops durchführen. Für Anfragen und Anregungen nehmen Sie gerne Kontakt zu uns auf. 

Für eine Vereinheitlichung von Datenschutzstandards und Verständnisfragen sieht das ULD eine regelmäßige Kommunikation über Erfahrungen als sehr wichtig an. Im genannten Nachbarland Österreich ist dies bereits verbindliche Vorschrift. 

Informationsfreiheit und Datenschutz auf (inter)nationaler Ebene 

Das ULD stellt klar, dass auch die innerstaatliche Abstimmung unter Datenschutzbehörden auf Bundes- und Landesebene in Sachen Datenschutz und Informationsfreiheit in angemessenem Maße aufrecht zu erhalten ist. Bei der Informationsfreiheit existiere lediglich ein Gremium für die Zuarbeit der IFK. Noch seien nicht alle Bundesländer vertreten mangels entsprechender Informationsfreiheits- oder Transparenzportalen. 

Datenethik und Datensicherheit 

Die Datenethikkommission der Bundesregierung hat ein Gutachten erstellt, das sich insbesondere mit Algorithmen, KI und Big Data befasst. Betont werden unter anderem Möglichkeiten der Regulierung von algorithmischen Systemen. Das ULD fordert – weniger banal als es zunächst klingen mag – die Bundesregierung als Auftraggeberin des Gutachtens der Datenethikkommission auf, die Inhalte auswerten und in die weitere Planung einfließen zu lassen. In diesem Zusammenhang moniert das ULD ein teils inkonsistentes Agieren von Bund und Ländern für / wider eine grundwerteorientierte, zukunftsfähige Digitalisierung wie etwa Inhalte in Gesetzgebungsentwürfen, die „eine Kriminalisierung von Anbietern bestimmter datenschutzfreundlicher Techniken“ nahelegten. (§ 126a StGB). 

Man möchte eine „Chance auf bessere Sicherheit“ nicht vertan wissen. 

Die per Innenministerkonferenz 2019-06 in Planung gegebenen „Zugriffserleichterungen“ auf Messenger und Smart Home Anwendungen hält das ULD in dieser Form für nicht grundrechtsvereinbar. 

Behörden 

Die Landesdatenschutzbehörde Schleswig-Holstein fordert Behörden und sonstige öffentliche Stellen des Bundeslandes auf, einen behördlichen Datenschutzbeauftragten zu benennen und „mit den erforderlichen Ressourcen“ auszustatten,  sofern bislang nicht erfolgt. 

Handlungsbedarf sah die Landesdatenschutzbehörde bei der Weiterentwicklung von IT-Verfahren der Landespolizei. Diese müssten in der Lage sein, Auskünfte an Betroffene „umfassend und zeitnah“ zu erteilen. Unter dem Titel „Null Datenpannenmeldungen im Polizeibereich?!“ postuliert die Landesbeauftragte für Datenschutz Schleswig-Holstein, „gesetzliche Pflichten müssen ernst genommen werden.“ Auch für den Justizbereich gelte, dass Meldepflicht von Datenpannen umfassend zur Kenntnis genommen und umgesetzt werden sollte.

Schleswig-Holstein und die Kommunen seien – mit Unterstützung des ULD – in der Verantwortung einer datenschutzkonformen Umsetzung des Onlinezugangsgesetzes. 

Fortsetzung folgt ..

Meerschweinchen Geburtstag

Als aktuelle Kurzinformation zum Datenschutz unter der DSGVO hat der BayLfD jetzt die Nummer 26 veröffentlicht, Thema

„Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen.“

Jetzt könnte man als Unternehmen oder Verein versucht sein, darüber hinwegzulesen. Schließlich handelt es sich bei diesen Organisationen um sog. nicht-öffentliche Stellen. Doch der Inhalt betrifft durchaus beide Bereiche. Ob das Thema Geburtstagsliste aktuell einer der Brennpunkte der DSGVO ist, steht auf einem anderen Blatt. Aber zur Auffrischung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zeiten gab es dazu immer wieder Nachfragen.

Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?

Nun, das ist recht einfach erklärt. Wenn abteilungsbezogen oder für die gesamte Organisation eine öffentlich einsehbare Liste der Geburtstage der Mitarbeiter  durch den Arbeitgeber veröffentlicht wird, dann verarbeitet dieser personenbezogene Daten seiner Mitarbeiter und gibt diese an Dritte (alle anderen Mitarbeiter) weiter. Wie wir nun hinlänglich wissen, ist dafür einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Einwilligung: liegt im Zweifel keine vor, sofern es hierzu keinen geregelten Prozess im Rahmen der Einstellung gibt.
  • b) Notwendigkeit für die Durchführung, in diesem Fall des Arbeitsvertrages: Für das eigentliche Beschäftigtenverhältnis sicherlich, für die Veröffentlichung an alle Mitarbeiter sicher nicht.
  • c) Rechtsvorschrift: Uns ist zumindest keine Rechtsvorschrift bekannt, welche das Veröffentlichen von Geburtstagslisten der Mitarbeiter vorschreibt. Kann ja aber noch kommen im Zuge der aktuellen Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebenswichtige Interessen zum Schutz der Mitarbeiter wird man hier nicht annehmen können.
  • e) Wahrnehmung öffentliches Interesse oder Ausübung öffentlicher Gewalt scheidet aus.
  • f) Ob das sog. berechtigte Interesse anwendbar ist, wird aktuell kontrovers diskutiert. Eine Mehrheit findet sich hierfür keine. Für öffentliche Stellen in Bayern ist Buchstabe f zumindest in der Ausübung der öffentlichen Aufgaben ausgeschlossen.

Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?

Am Ende des Tages wird es wohl wie früher darauf hinauslaufen. Doch ist das Einholen von schriftlichen Einwilligungen samt deren Ablage in der Personalakte und regelmäßigen Prüfung und Bearbeitung von Widerrufen wirklich jetzt der Königsweg. Nein, war es nie und wird es nach unserem Dafürhalten auch nie sein. Auch wenn dies durch die oben genannte Kurzinformation suggeriert wird. Klar kann man dieses Thema nun mit viel Papier im Rahmen des Einstellungsprozesses für neue Mitarbeiter lösen. Alleine von den bereits vorhandenen Mitarbeitern die Einwilligung nachträglich einzuholen und zu dokumentieren, ist sicher auch kein zu unterschätzender Aufwand. Selbst wenn man die Einwilligung mittlerweile auch elektronisch einholen und dokumentieren kann. Es geht auch einfacher:

KISS – keep it short and simple: Der Geburtstagsliste-Self-Service

Egal, ob organisationsweit oder nur abteilungsbezogen: Wenn sich ein Mitarbeiter freiwillig in einen Geburtstagskalender (zentral in Outlook oder in Papierform in der Teeküche) einträgt, jederzeit die Möglichkeit des Wiederaustragens besteht, dann können Sie sich das ganze Klimbim sparen. Aber auch das ist nun nichts Neues aus der DSGVO, sondern wurde schon früher so pragmatisch gehandhabt.

Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber

Sollten Sie sich als Arbeitgeber das Procedere mit schriftlicher Einwilligung dennoch antun wollen, dann achten Sie darauf, dass in Ihren Angaben zu den Informationspflichten gem. Art. 13 DSGVO für Mitarbeiter die Geburtstagsliste Erwähnung findet. Der dazugehörige Eintrag in Ihrem Verzeichnis für Verarbeitungstätigkeiten darf ebenfalls nicht fehlen.

Übrigens zwei Punkte, die Sie sich durch den Geburtstagsliste-Self-Service ebenfalls je nach Umsetzung erübrigen können. Zumindest wenn nicht seitens der Organisation der Anstoß für diese Geburtstagslisten und deren Verwaltung / Durchführung kommt, also die Mitarbeiter den Kalender in der Teeküche selbst aufhängen (wäre aber sicher im Detail zu diskutieren). Stellt die Organisation den Geburtstagskalender zentral in Outlook o.ä. Programmen zur Verfügung, macht es Sinn, einen Eintrag im VVT und in den Infopflichten vorzuhalten (danke für den Hinweis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrieden und das Thema Datenschutz wird nicht erneut als Störfaktor wahrgenommen (was es eigentlich auch gar nicht ist, entsprechend pragmatische Umsetzung vorausgesetzt). So und jetzt „KUCHEN“