Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes 

Bei der Anwen­dung der DSGVO warnt das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein vor „Schnell­schüs­sen“. Viel­mehr sei hier­bei sorg­fäl­tig zu eva­lu­ie­ren. Bei der ger­ne dis­ku­tier­ten Fin­dung der rich­ti­gen Rechts­grund­la­ge für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten läge das Augen­merk ins­be­son­de­re auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maß­ga­ben und berech­tig­te Inter­es­sen — sowie wei­ter­füh­ren die Ein­wil­li­gung nach Buch­sta­ben a der zitier­ten Vorschrift. 

Daten­schutz­be­auf­trag­ten einer Ein­rich­tung kämen ins­be­son­de­re Beratungs‑, Unterrichtungs‑, Über­wa­chungs- und Prüf­auf­ga­ben zu. Die den Ver­ant­wort­li­chen per Gesetz oblie­gen­den Daten­schutz-Pflich­ten dürf­ten jenen nicht über­ge­hol­fen werden. 

Poli­ti­sche Ansich­ten sind nach EU-Daten­schutz­recht beson­ders sen­si­ble Infor­ma­tio­nen, die „immer einer spe­zi­fi­schen Rechts­grund­la­ge“ bedürf­ten. Eben­so geschützt sei­en pri­va­te Adressdaten. 

Ein zwin­gend zu beach­ten­des Pos­tu­lat ange­sichts der fort­schrei­ten­den Digi­ta­li­sie­rung einer­seits und der teils recht ein­sei­tig ergrif­fe­nen Schutz­maß­nah­men von Privatdaten. 

Bei jed­we­der Her­stel­lung von Ton­auf­zeich­nun­gen müs­sen Rechtsgrundlage(n) und ange­mes­se­ne Trans­pa­renz für die Betrof­fe­nen impli­zit sein. 

Im Rah­men der Ver­ar­bei­tung zur werb­li­chen Anspra­che sind die Maß­ga­ben von Treu und Glau­ben ein­schlä­gig und der Adres­sat muss den werb­li­chen Cha­rak­ter leicht erken­nen können. 

Daten­schutz in Online-Prä­sen­zen 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein hat an sämt­li­che Web­sei­ten­be­trei­ber in Form einer Pres­se­mit­tei­lung appel­liert, genutz­te Ana­ly­se­diens­te wie Goog­le Ana­ly­tics u.ä. sowie deren im Daten­schutz rechts­kon­for­men Ein­satz zu prüfen. 

Zu Face­book Fan­page Betrei­bern und Face­book selbst wur­de klar­ge­stellt, dass bei­de Grup­pen die Anfor­de­run­gen der Gemein­sa­men Ver­ant­wort­lich­keit nach Art. 26 DSGVO nicht erfül­len. Die Pflicht zum Abschluss einer ent­spre­chen­den Ver­ar­bei­tungs­ver­ein­ba­rung betref­fe sowohl Face­book als auch die hie­si­gen Fan­page Betreiber. 

Künst­li­che Intel­li­genz = Arti­fi­cial Intel­li­gence 

Bei Ent­wick­lung, Imple­men­tie­rung und Anwen­dung von KI sol­le auf eine ange­mes­se­ne Imple­men­tie­rung von grund­rechts- und wer­te-rele­van­ten Momen­ten geach­tet wer­den. Ent­spre­chen­de Anrei­ze könn­ten bei­spiels­wei­se durch För­der­ge­ber gesetzt werden. 

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men 

  • ver­trau­li­che Infor­ma­ti­on sei im Fax­ver­sand nur bedingt geschützt. Bei Trans­port und Emp­fang wer­den „erheb­li­che Risi­ken für die Ver­trau­lich­keit der Inhal­te“ gese­hen. In jedem Fall muss der kon­kre­te und rich­ti­ge Emp­fän­ger sicher­ge­stellt werden 
  • Ver­ant­wort­li­che sei­en dar­auf ver­wie­sen, „peni­bel“ zu beach­ten, dass per­so­nen­be­zo­ge­ne Daten von Beschäf­tig­ten aus­schließ­lich auf Basis von und in den Gren­zen der Erfül­lung ihrer Auf­ga­ben erfolgt. Ein pas­sen­des und detail­lier­tes Berech­ti­gungs­kon­zept sind der Grund­stein für rich­ti­gen Beschäf­tig­ten­da­ten­schutz — u.a. Bestand­teil des Daten­scchutz Quick-Checks 
  • auch der Trans­port von Daten im Wagen soll­te durch ein gewis­ses Maß an tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) gesi­chert sein 
  • Kre­dit­in­sti­tu­te rief das ULD auf, bei der Wei­ter­ga­be per­so­nen­be­zo­ge­ner Bank­da­ten Trans­port- sowie Inhalts­ver­schlüs­se­lung zu implementieren 

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen 

Das ULD kon­sta­tier­te, dass 

  • Kran­ken­häu­ser und Kliniken 
  • Arzt‑, Zahn­arzt­pra­xen 
  • Pfle­ge­ein­rich­tun­gen, ‑diens­te 
  • Apo­the­ken und ver­gleich­ba­re Einrichtungen 

durch ihren Umgang mit beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten die­se gene­rell zu ver­schlüs­seln haben — ins­be­son­de­re bei mobi­len Devices und Speichermedien. 

Exter­nen Dienst­leis­tern zur Ver­nich­tung von Pati­en­ten­un­ter­la­gen sind mit­tels einer AVV „detail­lier­te Vor­ga­ben zur beab­sich­tig­ten Daten­ver­ar­bei­tung“ auf­zu­er­le­gen und eine schrift­li­che Ver­pflich­tung auf das Daten­ge­heim­nis mit Durch­griff auf den Auf­trags­ver­ar­bei­ter der ärzt­li­chen Schwei­ge­pflicht nach § 203 StGB durchzuführen. 

Video­über­wa­chung und Daten­schutz 

Video­über­wa­chung soll­te nur in den Gren­zen der recht­li­chen Zuläs­sig­keit und auf der Grund­la­ge einer ange­mes­se­nen Sach­kennt­nis erfol­gen. Die Daten­schutz­be­auf­trag­ten und Lan­des­da­ten­schutz­be­hör­den kön­nen hier­zu beraten. 

Die Video­über­wa­chung muss in Umklei­de­be­rei­chen grund­sätz­lich aus­blei­ben. Auch für Berei­che, in denen das Ver­hal­ten von Per­so­nen über län­ge­re Zeit auf­ge­zeich­net wird, wie in Trai­nings­be­rei­chen, schloss das ULD eine Zuläs­sig­keit aus. 

Aller­dings dürf­te es aller Vor­aus­sicht nach auch für die­se Fall­ge­stal­tun­gen Schran­ken geben, die eine Video­über­wa­chung im Rah­men einer stren­gen Rechts­gü­ter­ab­wä­gung erlauben. 

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag 

Die Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter ist dem Betrof­fe­nen zum Zeit­punkt der Erhe­bung sei­ner per­so­nen­be­zo­ge­nen Daten mit­zu­tei­len — sie­he auch das The­ma Informationspflichten. 

Die Ein­hal­tung der Mel­de­pflich­ten obliegt regel­mä­ßig dem Ver­ant­wort­li­chen. Die­ser kann den Auf­trags­ver­ar­bei­ter aller­dings zu den ent­spre­chen­den Mel­dun­gen zuläs­si­ger­wei­se auto­ri­sie­ren, sofern die Auto­ri­sie­rung aus der Mel­dung für Auf­sichts­be­hör­de „klar und beweis­bar“ nach­voll­zieh­bar ist. 

Es emp­fiehlt sich, Dienst­leis­ter und deren TOM regel­mä­ßig zu kon­trol­lie­ren oder nach­prü­fen zu lassen. 

Web­site des ULD 

Die­se und vie­le wei­te­re sehr auf­schluss­reich gestal­te­te The­men zum Daten­schutz, der IT-Sicher­heit und Poli­tik hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein mit dem vor­lie­gen­den Bericht veröffentlicht. 

Für die wei­ter­füh­ren­de Lek­tü­re des Ori­gi­nals bit­te hier klicken. 

Datenschutz 2020 - Bericht des ULD Schleswig-Holstein

Das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein hat sei­nen Tätig­keits­be­richt 2020 für den Berichts­zeit­raum 2019 veröffentlicht. 

Ins­ge­samt wur­den 758 Bera­tun­gen durch­ge­führt und 959 Ver­fah­ren in der Zustän­dig­keit des ULD ange­legt, davon 680 auf Grund von Beschwer­den gegen Unter­neh­men und 279 gegen Behörden. 

Des Wei­te­ren wur­den 37 War­nun­gen, 26 Ver­war­nun­gen und 2 Anord­nun­gen gegen­über Ein­rich­tun­gen aus­ge­spro­chen. Auf Geld­bu­ßen wur­de in dem Zeit­raum 2019 ver­zich­tet. In 26 Fäl­len führ­te man Prü­fun­gen ohne zu Grun­de lie­gen­de, anlass­be­zo­ge­ne Beschwer­den durch, 13 davon bei nicht­öf­fent­li­chen Einrichtungen. 

Ver­let­zun­gen von Daten­schutz und Mel­de­pflicht 

Die ins­ge­samt 349 in Sachen Daten­pan­nen eröff­ne­ten Ver­fah­ren stel­len natur­ge­mäß nur einen Anteil der täg­lich gemel­de­ten oder ander­wei­tig dem ULD zur Kennt­nis gelang­ten Daten­schutz-Ver­let­zun­gen dar. Eben­so natur­ge­mäß, dass das ULD von der Dun­kel­zif­fer an Daten­pan­nen, die nicht gemel­det, son­dern im Nach­hin­ein fest­ge­stellt wer­den, nicht ange­tan ist. 

hier wür­de ich als tipp ergän­zen .. Daher auch in die­sem Kon­text der Tipp, nicht nur für unse­re Kun­den in Schles­wig-Hol­stein J, den Sie von uns auch sicher­lich aus Prä­sen­ta­tio­nen und Vor­ort­ter­mi­nen ken­nen: Daten­pan­nen immer doku­men­tie­ren und — zumin­dest intern an Ihren DSB — mel­den. Ent­war­nen lässt sich immer noch. 

Daten­pan­nen — Infor­ma­ti­ons­si­cher­heit /​ Daten­schutz 

Eben­falls kri­ti­sche Wor­te fin­det das ULD in Bezug auf das Umset­zungs­ni­veau der Infor­ma­ti­ons­si­cher­heit. Es gebe hier noch viel Nach­hol­be­darf, zumal Ver­let­zun­gen der Infor­ma­ti­ons­si­cher­heit wie u.a. auch Cyber­an­grif­fe man­gels per­so­nen­be­zo­ge­ner Daten häu­fig nicht ein­mal in einer Mel­dung resultieren. 

Für eine „ver­ant­wor­tungs­vol­le Digi­ta­li­sie­rung“ hält der vor­lie­gen­de Bericht dazu an, dass sämt­li­che Ein­rich­tun­gen das Schutz­ni­veau in Sachen Infor­ma­ti­ons­si­cher­heit ein­schließ­lich Daten­schutz auf den Prüf­stand brin­gen mögen. Sen­si­bi­li­sie­rung der Mit­ar­bei­ter sei nicht zu vernachlässigen. 

Das ULD sah ‘über den Tel­ler­rand´ 

Inspi­ra­ti­on für Sen­si­bi­li­sie­run­gen konn­te man im Aus­tausch mit einem unse­rer Nach­bar­län­der erhalten: 

  • Akti­ons­ta­ge „Löschen/​Schreddern“ 
  • „Gami­fi­ca­ti­on“ Ansät­ze von Daten­schutz mit Preis (Obst/​Schokoriegel) 
  • Daten­schutz­quiz und Datenpannensimulation 
  • anony­mi­siert rea­li­sier­te Phishing-Tests 
  • Selbst­da­ten­schutz mit Mehr­wert für die Beschäftigten 
  • im Team pro­du­zier­te Kurz­vi­de­os für Schulungszwecke 

gehör­ten dazu. Eine wei­te­re Klar­stel­lung, dass Daten­schutz per se leben­dig ist und unrich­ti­ger­wei­se manch­mal als tro­cken und läs­ti­ges Bei­werk ange­se­hen wird. 

Auch in Unter­neh­men und kom­mu­na­len Ein­rich­tun­gen las­sen sich sol­che Aktio­nen und Work­shops durch­füh­ren. Für Anfra­gen und Anre­gun­gen neh­men Sie ger­ne Kon­takt zu uns auf. 

Für eine Ver­ein­heit­li­chung von Daten­schutz­stan­dards und Ver­ständ­nis­fra­gen sieht das ULD eine regel­mä­ßi­ge Kom­mu­ni­ka­ti­on über Erfah­run­gen als sehr wich­tig an. Im genann­ten Nach­bar­land Öster­reich ist dies bereits ver­bind­li­che Vorschrift. 

Infor­ma­ti­ons­frei­heit und Daten­schutz auf (inter)nationaler Ebe­ne 

Das ULD stellt klar, dass auch die inner­staat­li­che Abstim­mung unter Daten­schutz­be­hör­den auf Bun­des- und Lan­des­ebe­ne in Sachen Daten­schutz und Infor­ma­ti­ons­frei­heit in ange­mes­se­nem Maße auf­recht zu erhal­ten ist. Bei der Infor­ma­ti­ons­frei­heit exis­tie­re ledig­lich ein Gre­mi­um für die Zuar­beit der IFK. Noch sei­en nicht alle Bun­des­län­der ver­tre­ten man­gels ent­spre­chen­der Infor­ma­ti­ons­frei­heits- oder Transparenzportalen. 

Daten­ethik und Daten­si­cher­heit 

Die Daten­ethik­kom­mis­si­on der Bun­des­re­gie­rung hat ein Gut­ach­ten erstellt, das sich ins­be­son­de­re mit Algo­rith­men, KI und Big Data befasst. Betont wer­den unter ande­rem Mög­lich­kei­ten der Regu­lie­rung von algo­rith­mi­schen Sys­te­men. Das ULD for­dert — weni­ger banal als es zunächst klin­gen mag — die Bun­des­re­gie­rung als Auf­trag­ge­be­rin des Gut­ach­tens der Daten­ethik­kom­mis­si­on auf, die Inhal­te aus­wer­ten und in die wei­te­re Pla­nung ein­flie­ßen zu las­sen. In die­sem Zusam­men­hang moniert das ULD ein teils inkon­sis­ten­tes Agie­ren von Bund und Län­dern für /​ wider eine grund­wer­te­ori­en­tier­te, zukunfts­fä­hi­ge Digi­ta­li­sie­rung wie etwa Inhal­te in Gesetz­ge­bungs­ent­wür­fen, die „eine Kri­mi­na­li­sie­rung von Anbie­tern bestimm­ter daten­schutz­freund­li­cher Tech­ni­ken“ nahe­leg­ten. (§ 126a StGB). 

Man möch­te eine „Chan­ce auf bes­se­re Sicher­heit“ nicht ver­tan wissen. 

Die per Innen­mi­nis­ter­kon­fe­renz 2019-06 in Pla­nung gege­be­nen „Zugriffs­er­leich­te­run­gen“ auf Mes­sen­ger und Smart Home Anwen­dun­gen hält das ULD in die­ser Form für nicht grundrechtsvereinbar. 

Behör­den 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein for­dert Behör­den und sons­ti­ge öffent­li­che Stel­len des Bun­des­lan­des auf, einen behörd­li­chen Daten­schutz­be­auf­trag­ten zu benen­nen und „mit den erfor­der­li­chen Res­sour­cen“ aus­zu­stat­ten,  sofern bis­lang nicht erfolgt. 

Hand­lungs­be­darf sah die Lan­des­da­ten­schutz­be­hör­de bei der Wei­ter­ent­wick­lung von IT-Ver­fah­ren der Lan­des­po­li­zei. Die­se müss­ten in der Lage sein, Aus­künf­te an Betrof­fe­ne „umfas­send und zeit­nah“ zu ertei­len. Unter dem Titel „Null Daten­pan­nen­mel­dun­gen im Poli­zei­be­reich?!“ pos­tu­liert die Lan­des­be­auf­trag­te für Daten­schutz Schles­wig-Hol­stein, „gesetz­li­che Pflich­ten müs­sen ernst genom­men wer­den.“ Auch für den Jus­tiz­be­reich gel­te, dass Mel­de­pflicht von Daten­pan­nen umfas­send zur Kennt­nis genom­men und umge­setzt wer­den sollte.

Schles­wig-Hol­stein und die Kom­mu­nen sei­en — mit Unter­stüt­zung des ULD — in der Ver­ant­wor­tung einer daten­schutz­kon­for­men Umset­zung des Onlinezugangsgesetzes. 

Fort­set­zung folgt ..

Checkliste

Die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len (LDI NRW) hat ein Online-Mel­de­for­mu­lar für Daten­pan­nen nach Art. 33 DSGVO auf die Web­sei­te der Behör­de gestellt.

Das Online-For­mu­lar löst das bis­he­ri­ge Mel­de­for­mu­lar für Daten­pan­nen ab. Neben der nun kom­for­ta­ble­ren elek­tro­ni­schen Erfas­sung und Über­mitt­lung erhält der Absen­der direkt nach Absen­den des For­mu­lars eine Ein­gangs­be­stä­ti­gung sowie das Akten­zei­chen der Mel­dung mit­ge­teilt. In Ver­bin­dung mit dem Akten­zei­chen und dem Datum der Mel­dung kön­nen im Anschluss bei Bedarf noch ergän­zen­de Mel­dun­gen zur Daten­pan­ne vor­ge­nom­men wer­den. Auch ein Export der Mel­dung im PDF-For­mat ist möglich.

Die Mel­de­pflicht ans das LDI NRW besteht für nicht-öffent­li­che Stel­len (Unter­neh­men, Ver­ei­ne) mit Sitz in Nord­rhein-West­fa­len nach Art. 33 Daten­schutz-Grund­ver­ord­nung (DSGVO), sowie für öffent­li­che Stel­len (Behör­den, Kom­mu­nen) gege­be­nen­falls in Ver­bin­dung mit § 59 Daten­schutz­ge­setz NRW.

Das Online-For­mu­lar zur Mel­dung von Daten­pan­nen in Nord­rhein-West­fa­len fin­den Sie zusam­men mit einer FAQ und einer Anlei­tung zum Aus­fül­len auf der Web­sei­te des LDI NRW (direk­ter Link).

Druck­frisch zu berich­ten — die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land (UZD) hat die­ser Tage den 28. Tätig­keits­be­richt im Daten­schutz für das Saar­land vor­ge­legt (Land­tags­druck­sa­che Saar­land 16/​1200). Dar­in wur­de unter ande­rem auf kon­kre­te, ein­zel­fall­be­zo­ge­ne Ent­wick­lun­gen und Maß­nah­men, erfolg­te Vor­trä­ge, Ver­fah­ren und Bera­tun­gen sowie auf fach­li­che Aspek­te der DSGVO-Vor­ga­ben und ‑umset­zun­gen und Recht­spre­chung detail­liert eingegangen.

News in 2019

Im Jahr 2019 wur­den zwei neue Stel­len für Mit­ar­bei­ter im UDZ vom Land­tag Saar­land bewil­ligt, die erfolg­reich besetzt wur­den, aller­dings sieht das UDZ hier quan­ti­ta­ti­ven Optimierungsbedarf.

Die Web­site des UDZ wur­de mit einem neu­en CMS ange­bun­den und hat ein neu­es Design bekom­men mit Opti­mie­rung auf Bar­rie­re­frei­heit, der Mel­de- und Kon­takt­for­mu­la­re sowie für Mobilgeräte.

Vor dem Hin­ter­grund der Not­wen­dig­keit, wach­sen­den Anfor­de­run­gen, recht­li­chen Vor­ga­ben und einer effek­ti­ven, ange­mes­se­nen Abwehr von Cyber-Angrif­fen kos­ten­ef­fi­zi­ent nach­zu­kom­men, wur­de in dem Bericht die Ein­füh­rung eines ISMS erläu­tert und dabei ins­be­son­de­re ISIS12 „als prag­ma­ti­sches und leicht ska­lier­ba­res Vor­ge­hens­mo­dell“, das auch gera­de Kom­mu­nen eine gute Ver­bin­dung von den Vor­ga­ben und rea­len Res­sour­cen ermögliche.

Der gesam­te Pro­zess von der Sen­si­bi­li­sie­rung der Mit­ar­bei­ter, Ein­schät­zung der Gefähr­dungs­la­ge bis hin zur Abwehr von Angrif­fen kann durch ein ISMS wie ISIS12 gesteu­ert und über­wacht wer­den.

Nach der Imple­men­tie­rung und einem TOM-bezo­ge­nen Audit wur­de das UDZ zum 09.10.2019 zertifiziert.

Bera­tun­gen und Öffentlichkeitsarbeit

Das UDZ hat im Berichts­jahr 50 Ver­an­stal­tun­gen zur Infor­ma­ti­on und Sen­si­bi­li­sie­rung zum Daten­schutz und der DSGVO aus­ge­rich­tet, bei denen es unter ande­rem schwer­punkt­mä­ßig um Aus­le­gungs­fra­gen der DSGVO ging. Ins­ge­samt sieht man auch bei der Öffent­lich­keit ein stei­gen­des Inter­es­se an Daten­schutz­the­men und ‑fra­gen.

In Bezug auf das im Dezem­ber 2019 beschlos­se­ne Jus­tiz­voll­zugs­da­ten­schutz­ge­setz, bei des­sen Ent­wür­fen das UZD bera­tend invol­viert war, stellt der Bericht fest, dass man sich eine umfas­sen­de Moder­ni­sie­rung des Daten­schutz­rechts auch in die­sem Bereich gewünscht hätte.

Die UDZ nahm an Bera­tungs­ge­sprä­chen mit der Enquête­kom­mis­si­on „Digi­ta­li­sie­rung im Saar­land“ teil und führ­te hier unter ande­rem die wich­ti­ge Rol­le des Daten­schut­zes in der Ent­wick­lung des E‑Government aus.

In Brüs­sel tausch­te man sich bei der EU-Ver­tre­tung des Saar­lan­des über die inner­eu­ro­päi­sche Zusam­men­ar­beit der Daten­schutz­be­hör­den aus. In den 154 Fäl­len nahm die Lan­des­da­ten­schutz­be­hör­de ihre Ver­fah­rens­zu­stän­dig­keit iSd. Art. 56 DSGVO in Bezug auf inner­eu­ro­päi­sche, län­der­über­grei­fen­de Ver­ar­bei­tun­gen wahr. Die Behör­de war an elf Recht­set­zungs­vor­ha­ben beteiligt.

Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO

Dem Bericht zufol­ge wur­den im ver­gan­ge­nen Jahr 286 Daten­schutz­ver­let­zun­gen an die Lan­des­da­ten­schutz­be­hör­de gemel­det und elf amt­li­che Maß­nah­men iSd. Art. 58 DSGVO zur Prä­ven­ti­on von Daten­pan­nen vor­ge­nom­men. Den Anstieg der Mel­dun­gen von Daten­pan­nen wird auf höhe­re Kri­te­ri­en durch die DSGVO, aber auch eine höhe­re Sen­si­bi­li­tät für Daten­schutz­the­men gesehen.

Prü­fun­gen

In sei­nem Bericht spricht das UZD von „meh­re­ren Prü­fun­gen“, die — meist anlass­be­zo­gen und oft im Kon­text des Beschäf­tig­ten­da­ten­schut­zes — in 2019 in Ein­rich­tun­gen sowohl ange­kün­digt als auch unan­ge­kün­digt durch­ge­führt wur­den. Kri­te­ri­um für die Fra­ge der Vor­ab­an­kün­di­gung sei die Abwä­gung der Wahr­schein­lich­keit eines Weg­falls des Prüf­ge­gen­stands durch Mani­pu­la­ti­on im Fal­le der Ankün­di­gung. Im Vor­feld wür­den Prüf­ge­gen­stand und ‑ablauf klar defi­niert und im Regel­fall zunächst die Vor­la­ge von VVT, einer DSFA „oder zumin­dest [..] Risi­ko­be­wer­tung“, der TOM, Doku­men­ta­tio­nen zum Umgang mit Betrof­fe­nen­rech­ten, Lösch­fris­ten und wei­te­re Daten­schutz­kri­te­ri­en vor Ort ange­for­dert. Dar­auf­fol­gend die Prü­fung des kon­kre­ten Anlas­ses und Ver­fer­ti­gung einer Kurz­zu­sam­men­fas­sung vor Ort, die zusam­men mit dem Ver­ant­wort­li­chen erör­tert wird.

Der eigent­li­che Prüf­be­richt wird der Ein­rich­tung /​ dem Ver­ant­wort­li­chen zuge­stellt und die­ser kann dazu Stel­lung neh­men. Gege­be­nen­falls erfol­gen Abhil­fe­maß­nah­men nach Art. 58 Abs. 2 DSGVO und die Ver­hän­gung einer Geldbuße.

Das UZD führ­te nach der Ein­füh­rung des Ein­sat­zes von Body-Cams bei der Poli­zei Saar­land Stich­pro­ben durch, bei denen es erheb­li­che Defi­zi­te bei der Ein­hal­tung der Daten­schutz­vor­ga­ben fest­ge­stellt hat.

Bei der Prü­fung von BCR (Bin­ding Cor­po­ra­te Rules) zur Daten­si­cher­heit inner­halb inter­na­tio­nal agier­den­der Kon­zern­struk­tu­ren iSd. Art. 47 DSGVO war das UDZ in 2019 ins­ge­samt zwei­mal betei­ligt — bei 20 BCR-Ver­fah­ren europaweit.

Rechen­schafts­pflicht Großunternehmen

Ende 2018, Anfang 2019 wur­den drei der größ­ten Unter­neh­men des Saar­lands um Rechen­schaft ersucht hin­sicht­lich DSGVO Umset­zungs­stand, VVT, Risi­ko­ab­schät­zun­gen und Pro­zes­se und die daten­schutz­kon­for­me Ver­ar­bei­tung von per­so­nen­be­zo­ge­ner Daten im all­ge­mei­nen sowie im Detail.

Wei­te­re Themen

Der Bericht ent­hält außer­dem detail­lier­te Kapi­tel unter ande­rem zu Rechts­fra­gen, recht­li­chen Aus­le­gun­gen und Bewer­tun­gen sowie Rechts­an­wen­dung der DSGVO, die inter­es­san­te und wich­ti­ge Aspek­te beleuchten:

  • Infor­ma­ti­ons­pflich­ten
  • Aus­kunfts­recht
  • Abgren­zung der klas­si­schen AV zur Gemein­sa­men Verantwortlichkeit
  • DSFA
  • Zer­ti­fi­zie­rung und Akkreditierung
  • Fashion ID
  • Planet49
  • Ori­en­tie­rungs­hil­fe Tele­me­di­en der DSK
  • ePri­va­cy-Ver­ord­nung
  • Win­dows 10
  • Daten­schutz­kon­for­me Nut­zung von Whats­App im Rah­men kom­mu­na­ler Bürgerdienste
  • Strea­ming von Ratssitzungen
  • Nut­zung von Geodaten
  • Tele­ar­beit bei der Polizei
  • Licht­bild­ab­gleich in Ord­nungs­wid­rig­kei­ten­ver- fahren
  • Foto­gra­fie­ren an Schu­len und Kindergärten
  • Video­über­wa­chung
  • Daten­schutz im Verein
  • Daten­schutz­recht­li­che Bewer­tung tele­fo­ni­scher Werbeansprachen
  • Ein­sicht in die Patientenakte

Den Bericht fin­den Sie im pdf Voll­text auf der Web­site der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land — UZD.

Wenn Sie Fra­gen zu The­men oder Begrif­fen des Berichts haben, nut­zen Sie hier­für ger­ne die Kom­men­tar­funk­ti­on — Ihr Team von a.s.k. Datenschutz.

aboutpixel.de / Geldwäsche © Rainer Sturm

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde weitergeleitet.

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che Unzulässigkeit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email- Adres­se sind per­so­nen­be­zo­ge­nen Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Übermittlung (nichts ande­res stellt eine Email dar) ist daher nur zulässig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Übermittlung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Empfänger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzulässigkeit ab. Statt­des­sen wur­de ein Buß­geld verhängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin verhängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt. Das BayL­DA teil­te jedoch mit, daß es in einem ähnlichen Fall in zu einem Buß­geld gegen ein wei­te­res Unter­neh­men kam. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat­te nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Um sol­che Vorfälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regelmäßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne können Sie hierfür die­sen Blog­bei­trag ein­set­zen. Was ist zu beach­ten? Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adres­sie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den sel­ben recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen auslösen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Zum rich­ti­gen Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men des Direkt­mar­ke­tings hilft Ihnen kom­pe­tent Ihr Daten­schutz­be­auf­trag­ter wei­ter. Sie haben kei­nen? Dann soll­ten Sie sich dar­um küm­mern, da eine gesetz­li­che Bestell­pflicht vor­lie­gen kann. Spre­chen Sie uns unver­bind­lich und kos­ten­frei an!