DSGVO

BayLDA: Wie rechtskonform ist Ihr Cookie-Banner? Einwilligungsmanagement auf Webseiten auf dem Prüfstand

von Sascha Kuhrau
18. Februar 202419. Februar 2024

BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) startet Prüfaktion für Cookie-Banner und Consent-Management

Das eine oder andere Unternehmen mit Sitz in Bayern hat bereits Post vom BayLDA erhalten. Hintergrund: In einem ersten Durchlauf zur Prüfung der Rechtskonformität von Cookie-Bannern und dem Consent-Management hat das BayLDA im ersten Schwung bei 350 Unternehmen konkrete Gründe gefunden, deren Umsetzung zu beanstanden. Dem BayLDA mißfiel dabei unter anderen, dass

bereits Prozesse rund um Cookies und Datenübertragungen in Gang gesetzt werden, sobald die Webseite aufgerufen wird, noch bevor mit dem Besucher im Hinblick auf notwendige Einwilligungen (Consent-Management) interagiert wird (§ 25 TTDSG) und
es auf der ersten Ebene im Consent-Management selten eine einfache Option zur Ablehnung (Nicht-Einwilligung) für den Besucher zur Verfügung steht bzw. durch dessen Fehlen nach Sichtweise des BayLDA keine rechtswirksame Einwilligung im Sinne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetzlich klar festgeschriebenen Einwilligungspflicht für Zugriffe auf Endeinrichtungen, also beispielsweise das Setzen von Cookies oder das Auslesen von Werbe-IDs und anderen Identifiern, erhalten wir weiterhin eine sehr hohe Anzahl an Beschwerden und Kontrollanregungen in diesem Bereich”, so das BayLDA zur Motivation für diese anlasslos Prüfaktion.

Im Zuge dessen wurden auch Apps und deren Verhalten im og. Kontext geprüft. Im Gegenzug zur automatisierten Prüfung der Umsetzung auf Webseiten, gestaltet sich die App-Prüfung lt. BayLDA deutlich aufwendiger.

“Die Prüfung knüpft zunächst am Einsatz einer sehr verbreiteten Consent-Management-Plattform (CMP) an, soll in weiteren Durchläufen aber auf weitere CMP-Anbieter und damit eine noch größere Zahl von Webseiten ausgedehnt werden”, schreibt das BayLDA in seiner Pressemitteilung vom 09.02.2024. Wer also als Unternehmen, Freiberufler oder Verein mit Sitz in Bayern bei den bisher 350 Beanstandungen noch nicht dabei war, hat gute Chancen, zukünftig doch noch Post vom BayLDA zu erhalten.

Anforderungen an verantwortliche Stellen sowie Ergebnisse aus dieser Prüfaktion werden sukzessive im Abschnitt “Datenschutzprüfungen” auf der Webseite des BayLDA veröffentlicht. Reinschauen lohnt sich.

Wer übrigens etwas zum Thema Cookies auf unserer Webseite erfahren möchte, bitte hier entlang.

Das Finanzamt darf Deine personenbezogenen Daten verarbeiten — trotz DSGVO :-)

von Sascha Kuhrau
14. Dezember 2023

Etwas Kurioses zum Jahresende gefällig? Dann haben wir hier was für Dich. In unseren Webinaren und Grundschulungen zum Thema Datenschutz weisen wir im Kontext der Betroffenenrechte scherzhaft immer wieder darauf hin, dass diese nicht uneingeschränkt gelten. Ein Widerruf der Verarbeitung personenbezogener Daten gegenüber dem Finanzamt wird nicht dazu führen, keine Steuern mehr bezahlen zu müssen 🙂 Eigentlich logisch. Dachten wir.

Entscheidung des Bundesfinanzhofs, Urteil vom 05. September 2023, IX R 32/21

Gegenstand: Zulässigkeit der Verarbeitung personenbezogener Daten im Besteuerungsverfahren gemäß § 29b AO

Ein Finanzamt (FA) ordnete bei einem Rechtsanwalt eine Außenprüfung zur Einkommen- und Umsatzsteuer an. Zugleich forderte das FA den Kläger auf, bis zum Prüfungsbeginn die Auszüge seines betrieblichen Bankkontos zu übersenden. Nachdem der Anwalt dieser Aufforderung nicht nachgekommen war, ersuchte das FA unter Hinweis auf die Abgabenordnung (AO) die kontoführende Bank um Vorlage der Kontoauszüge. Diesem Ersuchen kam die Bank nach. Der Anwalt war damit nicht einverstanden und begründete dies mit der Aussage, die Regelungen der AO genügen seiner Meinung nach nicht den Anforderungen des Art. 6 Abs. 3 der Datenschutz-Grundverordnung (DSGVO). Es fehle daher an einer rechtmäßigen Verarbeitung seiner personenbezogenen Daten durch das Finanzamt. Es kam zur Abweisung des Löschbegehrens des Anwalts durch das Finanzamt. Begründung: Die Verarbeitung diene der Ermittlung der Besteuerungsgrundlagen im Rahmen einer Außenprüfung. Das daraufhin vom Anwalt angerufene Finanzgericht zwecks Durchsetzung seines Rechts auf Löschung seiner personenbezogenen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hatte keinen Erfolg. Das Finanzgericht wies die Klage ab. Dies führte zur Revision am Bundesfinanzhof (BFH).

Das kam jetzt überraschend, oder doch nicht?

Der Anwalt beantragte beim BFH, das angefochtene Urteil aufzuheben und alle seine im Zusammenhang mit den Kontoauszügen stehenden personenbezogenen Daten zu löschen. Behelfsweise solle das angefochtene Urteil aufgehoben werden und alle im Zusammenhang mit den Kontoauszügen stehenden personenbezogenen Daten des Anwalts sollten nicht mehr durch das Finanzamt verarbeitet werden dürfen. Der Bundesfinanzhof wies die Revision als unbegründet ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genauen Ablauf und die Hintergründe erfahren möchte, hier geht es zur Entscheidung des BFH.

Mit diesem Schmankerl verabschieden wir uns in die Winterpause und wünschen allen Lesern und Empfängern sowie deren Lieben schöne Feiertage und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Frühjahrsputz für das Verzeichnis von Verarbeitungstätigkeiten (VVT)

von Sascha Kuhrau
20. April 202321. April 2023

Unter dem Titel “Frühjahrsputz im Verarbeitungsverzeichnis” hat der Der Bayerische Landesbeauftragte für den Datenschutz (kurz BayLfD) eine “Aktuelle Kurzinformation” mit der Nummer 47 in der Reihe seiner Kurzinformationen veröffentlicht. Auch wenn man mit den inhaltlichen Anforderungen an ein VVT seitens des BayLfD nicht unbedingt einverstanden sein muss (siehe auch unseren Beitrag unter https://bdsg-externer-datenschutzbeauftragter.de/datenschutz/verzeichnis-von-verarbeitungstaetigkeiten-vvt-sinnvoll-und-praktisch-erstellen-und-einsetzen/, was man in diesem Punkt besser machen kann), so ist die Idee dennoch mehr als gut, Prozesse zur Pflege und die Aktualität des Verzeichnisses von Verarbeitungstätigkeiten einer Frühjahrskur zu unterziehen.

Die Abschnitte der Kurzinformation gliedern sich wie folgt:

Organisation: Prüfen und bei Bedarf Festzurren von Verantwortlichkeiten und Prozessen zum Erstellen des VVT, Pflegen bzw. aktuell halten des VVT, Melden von Änderungen an bestehenden Verarbeitungen aber auch von nicht mehr vorhandenen Verarbeitungen: Hierbei sollte jedoch nicht nur auf die schriftliche Regelung hierzu geachtet werden. Diese muss zwar auch aktuell sein, womit der BayLfD vollkommen richtig liegt. Aber noch viel wichtiger ist, dass diese Regelungen dann auch nicht nur auf dem Papier existieren, sondern mit Leben erfüllt werden. Frage daher also: “Werden die dokumentierten Prozesse auch tatsächlich angestoßen und durchlaufen?”
Die Verzeichniseinträge an sich prüfen: Sind diese aktuell? Sind alle neuen Verarbeitungen enthalten? Wurden bisherige Veränderungen gemeldet und eingepflegt? Wurden beendete Verarbeitungen gemeldet und entfernt? Im Zweifel ist seit der erstmaligen Erstellung im Rahmen der DSGVO etwas Zeit vergangen und die Einträge sind etwas angestaubt. Prüfen ist besser als darauf vertrauen, dass Veränderungen schon irgendwie an den DSB gemeldet wurden.
Synergien heben: Schade, dass der BayLfD hier die Synergien z.B. zur Informationssicherheit nicht damit gemeint bzw. diese nicht inkludiert hat. Aber auch so ist der Punkt sehr wichtig, denn zahlreiche weitere Aufgaben im Datenschutz für die verantwortliche Stellen sind nur mit einem aktuellen VVT zu bewältigen. Das beginnt mit der richtigen und vollständigen Bearbeitung von Betroffenenrechten, geht über eine Liste aktueller Auftragsverarbeiter weiter und hört mit den Angaben zu den Informationspflichten aus Art. 13, 14 DSGVO noch lange nicht auf.

Ironischerweise gibt es noch einen vierten Abschnitt “Folgen fehlender Aktualität”. Bekanntermaßen sind öffentliche Stellen im Rahmen der Landesdatenschutzgesetze von spürbaren, sprich schmerzhaften Konsequenzen bei Mißachtung der Datenschutzrechtsvorschriften ausgenommen. Aber vielleicht hilft ja auch der Hinweis auf den erhobenen Zeigefinger aus München “Du, Du, Du! Du sollst Dich doch an die DSGVO und das BayDSG halten” 🙂

Aber ganz ungeachtet dessen, ob es sich bei der eigenen Organisation um eine öffentliche oder nicht-öffentliche Stelle handelt: Wie aktuell ist ihr VVT?

Checkliste Datenschutz im Home-Office

von Sascha Kuhrau
29. April 202229. April 2022
11 Kommentare

Checkliste Datenschutz im Home-Office

Ob Corona nun vorüber ist oder nicht, darüber sollen sich andere streiten. Was jedoch in vielen Organisationen nicht vorüber ist, ist das Thema Home-Office. Zu Beginn der Pandemie von dem einen oder anderen Arbeitgeber möglicherweise nur als Workaround gedacht, ist das Home-Office gekommen, um zu bleiben. Da viele Organisationen auf das Thema überhaupt nicht vorbereitet waren (Stichwort Notfallmanagement Unterpunkte Pandemie und Personalausfall 🙂 ), musste es 2020 schnell gehen. Interimslösungen bzw. Notnägel wurden geschaffen, Hauptsache erst mal arbeitsfähig sein. Datenschutz und Informationssicherheit standen dabei nicht immer so im Fokus, wie es den technischen und organisatorischen Risiken durch Home-Office angemessen gewesen wäre. Umso wichtiger ist es nun, sich in der aktuellen Verschnaufpause dem Thema aus Sicht des Datenschutzes und der Informationssicherheit systematisch zu nähern. Dabei gilt es, möglicherweise schon vorhandene Schutzmaßnahmen und Aspekte zur Risikovermeidung auf Wirksamkeit zu prüfen, aber auch noch bestehende organisatorische und technische Schwachstellen zu identifizieren und zu beseitigen. Wir haben unseren Kunden im Zuge der gerade durchstartenden Pandemie im Frühjahr 2020 eine Checkliste Datenschutz im Home-Office erstellt und zur Verfügung gestellt. Damit konnte zumindest schon mal grob geprüft werden, ob die wichtigsten Aspekte in all dem Drunter und Drüber berücksichtigt wurden. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das goldene Kalb Datenschutz getanzt, sondern das Thema gesamtorganisatorisch beleuchtet. Von daher sind in der Checkliste Datenschutz im Home-Office auch grundlegende Anforderungen der Informationssicherheit enthalten, die sinnigerweise keine Unterscheidung zwischen Personenbezug oder nicht machen, sondern generell das Schutzniveau für Informationen aller Art verbessern. Klar durfte dann auch das Thema Schulung und Sensibilisierung von Mitarbeitern nicht fehlen. Auch wenn es die eine oder andere Organisationsleitung oder Führungskraft nervt 😉

Systematik der Checkliste Datenschutz im Home-Office

Zu Beginn gab es nur eine Checkliste für alle uns in den Sinn gekommenen Prüfpunkte und Anforderungen aus Sicht des Datenschutzes und der Informationssicherheit. Prüfpunkte waren bzw. sind:

Hardware-Einsatz (Gestellung oder BYOD)
Anforderungen an den Arbeitsplatz zuhause
Umgang mit Papierdokumenten
Einsatz von Videokonferenzsystemen
Generelle Anforderungen technische Sicherheit
Nutzung von Cloud-Diensten z.B. Dateiablage oder Kollaborationstools
Nutzung von Messengern
Allgemeine organisatorische Anforderungen (Regelungen, Richtlinien, Schulung, Einweisung etc.)

Darin waren sowohl Anforderungen für Datenschutz im Home-Office auf Arbeitgeberseite, aber auch aus Sicht des Arbeitnehmers im eigenen Zuhause enthalten. Schnell haben wir erkannt, dass dies nicht praktikabel ist und aus einer Checkliste Datenschutz im Home-Office zwei separate Listen gebastelt. Es gibt daher nun die Checkliste Datenschutz im Home-Office aus Sicht

des Arbeitgebers und
des Arbeitnehmers.

Checkliste Home-Office für Arbeitgeber

Diese etwas umfangreichere Checkliste für den Arbeitgeber befasst sich intensiv mit den Anforderungen an und Voraussetzungen für technische und organisatorische Sicherheit, die der Arbeitgeber sicherstellen bzw. erst mal schaffen muss, damit im Home-Office datenschutzkonform und aus Sicht der Informationssicherheit “sicher” gearbeitet werden kann. Darin sind u.a. auch Punkte wie die Auftragsverarbeitung nach Art. 28 DSGVO für externe Cloud-Services und auch administrative Voreinstellungen auf Seiten der genutzten Techniken enthalten, die für den Arbeitnehmer bei seiner Tätigkeit im Home-Office jetzt eher weniger spannend bzw. von Interesse sind.

Mittels der Checkliste Datenschutz im Home-Office kann schnell und einfach durch den Arbeitgeber geprüft werden, ob

die wichtigsten (technischen) Voraussetzungen für sicheres Arbeiten im Home-Office geschaffen sind,
die rechtlichen Anforderungen aus Sicht der DSGVO (wie Auftragsverarbeitung) berücksichtigt sind,
alles ordentlich geregelt, dokumentiert und für alle Beteiligten leicht verständlich beschrieben ist sowie
die Mitarbeiter ausreichend eingewiesen und sensibilisiert sind.

Wo ein Haken in der Checkliste fehlt, besteht im Zweifel noch Handlungsbedarf. Auch jetzt noch, 2 Jahre später 😉

ChecklisteHome-Office für Arbeitnehmer

Diese deutlich kürzere Checkliste befasst sich mit den Aspekten, die im Home-Office auf Seiten des Arbeitnehmers erfüllt sein sollten. Mittels der Prüfpunkte kann der Mitarbeiter checken, ob er “ready to go” ist im Home-Office und auch auf seiner Seite die Voraussetzungen für einen sicheren und datenschutzkonformen Einsatz im Home-Office gewährleistet sind. Möglicherweise ergeben die Prüfpunkte jedoch auch, dass noch es noch an gewissen Unterstützungsmaßnahmen seitens des Arbeitgebers fehlt. Diese können anhand der Checkliste identifiziert, protokolliert und an den Arbeitgeber mit der Bitte um Erledigung gesendet werden. Gleichzeitig dient die Checkliste für Arbeitnehmer als kleine Gedankenstütze für die notwendigen Sicherheitsmaßnahmen im Home-Office, die der Arbeitnehmer nicht nur einmalig, sondern über die ganze Zeit im Home-Office sicherstellen sollte.

Weiterer Benefit der Checklisten

Neben der Selbstüberprüfung, ob an alles Wichtige und Notwendige für einen sicheren und datenschutzkonformen Einsatz im Home-Office gedacht wurde, ist die Zweiteilung auch noch für etwas anderes gut. Clevere Kunden von uns haben die Checkliste Datenschutz im Home-Office für Arbeitnehmer von Ihren Mitarbeitern frühzeitig ausfüllen lassen, um festzustellen, was generell vom Arbeitgeber geschaffen / gestellt werden muss, damit Home-Office überhaupt erst sicher möglich ist. Im zweiten Schritt haben sie sich nach dem Rollout der Home-Offices über die Checkliste für Arbeitnehmer durch den Mitarbeiter noch mal protokollieren lassen, dass jetzt soweit alles zuhause im Home Office “passt”. Das Ganze natürlich erst mal nach entsprechender Einweisung und Schulung. Versteht sich von selbst 🙂

Vorteil: Als Arbeitgeber bzw. verantwortliche Stelle kann man damit gleich sehr schön belegen, seinen Sorgfaltspflichten auch außerhalb der eigenen Räumlichkeiten Genüge getan zu haben.

Download der Checkliste Datenschutz im Home-Office

Wer uns etwas näher kennt, weiß von unserer Ausbildungstätigkeit an der Bayerischen Verwaltungsschule für Informationssicherheitsbeauftragte. Im Nachgang sind alle Teilnehmer herzlich eingeladen am kostenfreien ISB Praxis-Forum als Austauschplattform im Alltag von Informationssicherheitsbeauftragten teilzunehmen. Da kam die Frage auf, ob es nicht für das Thema Home-Office geeignete Prüflisten gäbe oder ob man diese gemeinsam entwickeln wolle. Was liegt also näher, als die schon vorhandenen Checklisten aus unserem Fundus in leicht überarbeiteter Version für alle zur Verfügung zu stellen, bevor sich jeder einzeln die Mühe macht. Zeit ist zu wertvoll.

Unsere Bitte: Die beiden Checklisten erheben keinen Anspruch auf Vollständigkeit oder Korrektheit. Wer also Anregungen und Ergänzungen zur Weiterentwicklung oder Korrektur hat, immer her damit. Und es gilt “fair use”. Diese Vorlage kann daher gerne in der Praxis von Organisationen genutzt und verändert werden. Wir möchten jedoch nicht, dass sie ohne unsere Zustimmung auf anderen Internetseiten als Muster zum Download angeboten wird oder sich irgendwann in einem Fachbuch wiederfindet. Haftung: Die Checklisten stellen lediglich einen Vorschlag dar. Es wird keine Haftung für Schäden durch die Verwendung übernommen.

Checkliste Datenschutz im Home-Office für Arbeitgeber

Jetzt herunterladen!

Checkliste Datenschutz im Home-Office für Arbeitnehmer

Jetzt herunterladen!

Informationspflichten für Vereine nach Art. 13 DSGVO

von Sascha Kuhrau
15. März 202115. März 2021
3 Kommentare

Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Seit Mai 2018 kämpfen nicht nur Vereine mit den durch die Datenschutz-Grundverordnung neu hinzugekommenen Anforderungen. Aber gerade bei Vereinen mit oftmals vielen bzw. ausschließlich ehrenamtlich tätigen Mitgliedern macht sich hier nachvollziehbar schnell Unsicherheit im Umgang mit dem Datenschutz-Recht breit. Gerade die Informationspflichten für Vereine nach Art. 13 DSGVO gehören hier als Ursache oft dazu. Diesem Umstand trägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (kurz LfDI BW) schon aus Zeiten vor der DSGVO Rechnung.

Seit Februar 2021 steht nun für Vereine ein Generator für “Datenschutzinformationen” auf der Webseite des LfDI BW online. Eine begrüßenswerte Hilfestellung, wenn es um die Erfüllung der Informationspflichten für Vereine geht.

Nachdem einige Grundangaben in dem Online-Formular getätigt wurden, erhält der Nutzer einen Mustertext zum Kopieren und Einbinden in die Vereinswebseite.

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

So löblich dieser Generator ist, so gefährlich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever handelt es sich um eine Hilfestellung des LfDI Baden-Württemberg bei der Erstellung von Datenschutzinformationen für Vereine. Es werden nicht alle möglichen Datenverarbeitungen vollständig wiedergegeben. Prüfen Sie daher bitte vor der Veröffentlichung, an welchen Stellen Sie die Datenschutzinformationen noch ergänzen müssen.

Der erzeugte Mustertext stellt jedoch einen guten Einstieg für die spätere/n Datenschutzerklärung / Datenschutzhinweise der Vereinswebseite bzw. zur Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO dar.

Vor Veröffentlichung sollte man den Rat des LfDI BW jedoch wirklich beherzigen und den Text prüfen und ergänzen. So sind z.B. Login-Bereiche für Mitglieder nicht in der Musterbeschreibung enthalten, jedoch durchaus keine Seltenheit auf Vereinswebseiten.

Weitere Hilfestellungen für Vereine durch den LfDI BW

Bereits in der 2. Auflage ist der Praxisratgeber “Datenschutz im Verein nach der DS-GVO” (Grüße an das Team Bindestrich) erschienen. Auf 29 Seiten sind die grundlegenden Anforderungen an Vereine aus der DSGVO nachvollziehbar und auch für Nicht-Datenschutzbeauftragte verständlich dargestellt, abgerundet mit pragmatischen Tipps zur Umsetzung. Im Ratgeber finden sich dazu auch weitere Ausführungen zu den Informationspflichten für Vereine nach Art. 13 DSGVO.

Für einen ersten Überblick lohnt aber auch ein Blick in die FAQ für Vereine. In dieser sind einige Kernfragen zusammengestellt und beantwortet, die häufiger an den LfDI BW seitens von Vereinen herangetragen wurden.

Wenn alle Stricke reißen

Es ist vollkommen normal, wenn Vereinsverantwortliche trotz dieser Hilfestellungen unsicher sind in Bezug auf Anforderungen und Umsetzung. In diesem Fall: Sprechen Sie mit dem Datenschutz-Berater Ihres Vertrauens.

E‑Privacy und der gelebte Datenschutz

von Sascha Kuhrau
16. November 20209. Dezember 2020
2 Kommentare

Am 04.11.2020 wurde ein Entwurf für eine E‑Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von ‘visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig.

Ausnahmen dieser E-Privacy Aspekte

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E‑Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheit, fraud prevention, Direktwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels ‘präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit “Spiegel Online” an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne.

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E‑Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der ‘rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden.

E‑Privacy und das Nutzerverhalten

Hand aufs Herz — wer kennt die ‘do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E‑Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen.

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben.

Die vorgeschlagene E‑Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die ‘Funktionalitäten´ der hard- und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker — dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter.

Datenschutzaufsicht: Zentral oder dezentral?

von Sascha Kuhrau
17. September 20209. Dezember 2020

Unser Berufsverband der Datenschutzbeauftragten Deutschland (BvD) e.V. richtet heute, am 17.09.2020 eine sehr interessante Veranstaltung aus mit dem Titel “Föderal oder zentral – Wie sieht die Zukunft der Datenschutzaufsicht aus?”. Aufgrund der aktuellen Gegebenheiten rund um Corona kann die Veranstaltung mittels Live-Stream mitverfolgt werden und zwar unter der URL https://www.bvdnet.de/aufsicht-live/

Vor dem Hintergrund der Evaluierung des Bundesdatenschutzgesetzes steht der Vorschlag im Raum, die Datenschutzaufsicht für Unternehmen zukünftig in eine zentrale Hand zu legen statt auf 17 Aufsichtsbehörden (16 Land, 1 Bund) weiter verteilt zu lassen.

Start ist um 15 Uhr und besonders interessant wird es bei den Beiträgen ab 15:25 Uhr. “Standpunkte: Pro und Kontra Zentralisierung” und “Erfahrungen aus der Datenschutzpraxis”. Reinschauen bzw. Reinhören lohnt sich auf jeden Fall, wenn Vertreter der Landesdatenschutzbehörden auf Datenschutz-Anwälte und Praktiker aus der Wirtschaft treffen, um die Vor- und Nachteile der aktuell facettenreichen DSGVO Auslegungen und Meinungen in den verschiedenen Bundesländern zu diskutieren.

Vor- und Nachteile

Wer wie wir aufgrund der Kundenstruktur mit eigentlich allen Landesdatenschutzbehörden zu tun hat, kann den Wunsch nach einer Zentralisierung bzw. Vereinheitlichung durchaus nachvollziehen. Die nicht seltene weit gefächerte und divergierende Auslegung der DSGVO macht es nicht unbedingt leichter. Und selbst wenn es gemeinsame Stellungnahmen z.B. im Zuge der DSK (Datenschutzkonferenz) gibt, sind diese gelegentlich so vage, dass die Bedeutung für die Umsetzungspraxis durchaus gegen Null streben kann. Eine einheitliche Sichtweise wäre hier durchaus auch gegenüber Kunden sehr hilfreich. Es ist nicht immer leicht zu argumentieren, warum etwas in einem Bundesland ok ist, in einem anderen Bundesland von der Aufsicht nicht gerne gesehen wird. Ein prominentes Beispiel sind die doch sehr abweichenden Sichtweisen zur Art und Weise der Durchführung einer Datenschutzfolgenabschätzung (DSFA). Mittlerweile haben sich hier gefühlt zwei Lager gebildet, SDM vs. PIA. Ob man mit einer anderen Vorgehensweise aus Sicht der zuständigen Landesdatenschutzbehörde alles richtig macht, wird die Zeit zeigen.

Andererseits hat und kennt man durch die dezentrale Struktur seine Ansprechpartner, die bei Anfragen oft zeitnah und kompetent reagieren. Im Zuge einer Zentralisierung müsste durch ausreichende personelle Besetzung diese Beratungsfunktion auch zukünftig sichergestellt sein. Was einerseits ein Nachteil sein kann (unterschiedliche bis gegensätzliche Meinungen der Landesdatenschutzbehörden), stellt im Hinblick auf Meinungsvielfalt und Ideen für Umsetzungsmöglichkeiten andererseits durchaus auch einen Vorteil dar. Im Zuge einer Zentralisierung würde dies entfallen. Dann gibt es nur noch die eine Sichtweise der zentralen Instanz. Auch dies wäre dann erst mal eine Meinung, die andere Vorgehensweisen nicht zwingend ausschließen würde, aber der Pool zur Auswahl oder Entwicklung anderer Umsetzungsmöglichkeiten wäre stark reduziert bzw. nicht mehr vorhanden.

So haben beide Lösungen ein Für und Wider. Man darf auf die heutigen Diskussionen im Rahmen der Veranstaltung und im Hinblick auf die weitere Entwicklung sehr gespannt sein. Schauen Sie rein: https://www.bvdnet.de/aufsicht-live/ Start 15 Uhr.

Patientendaten — neues Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

von Sascha Kuhrau
5. September 20209. Dezember 2020

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat.

Patientendaten als hochsensibles Schutzgut

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur ‘vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten ‘intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten

Es würden ‘aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) ‘ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien ‘weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA.

Patientendaten in Zeiten fragwürdiger ‘Digitalisierung´

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der ‘behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein.

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022 für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können — entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung.

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf.

Schutz vor allem für die Verursacher von Datenschutzverletzungen

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit ‘Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik ‘datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben ‘konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels ‘operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich.

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich — hinreichende Gesundheit vorausgesetzt — mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten.

Fazit und Statement

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter.

Das heißt also — verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

LfDI Baden-Württemberg — neues Bildungszentrum

von Sascha Kuhrau
20. Juli 20209. Dezember 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit — LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit.

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen.

Zukunftsweisende Aspekte

Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg

Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden.

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Sascha Kuhrau
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

1
2
3
…
5
Weiter »

DSGVO

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Das kam jetzt über­ra­schend, oder doch nicht?

Check­lis­te Daten­schutz im Home-Office

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Check­lis­te Home-Office für Arbeitgeber

Check­li­s­te­Home-Office für Arbeitnehmer

Wei­te­rer Bene­fit der Checklisten

Down­load der Check­lis­te Daten­schutz im Home-Office

Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Infor­ma­ti­ons­pflich­ten nicht ohne Ergän­zun­gen bzw. Anpas­sun­gen über­neh­men bzw. einsetzen

Wei­te­re Hil­fe­stel­lun­gen für Ver­ei­ne durch den LfDI BW

Wenn alle Stri­cke reißen

Aus­nah­men die­ser E-Priva­cy Aspek­te

Inte­gri­tät und Vertraulichkeit

E‑Privacy und das Nut­zer­ver­hal­ten

Vor- und Nachteile

Das BIDIB des LfDI als neu­es Forum der Bil­dung und Diskussion

Zukunfts­wei­sen­de Aspekte

Fazit und Kom­men­tar zum neu­en Bil­dungs­zen­trum des LfDI Baden-Würt­tem­berg

Eini­ge Zah­len zur Tätig­keit des BfDI

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger

Gre­mi­en­ar­beit und Gesetz­ge­bung

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich

Zusam­men­fas­sung

BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) startet Prüfaktion für Cookie-Banner und Consent-Management

Entscheidung des Bundesfinanzhofs, Urteil vom 05. September 2023, IX R 32/21

Das kam jetzt überraschend, oder doch nicht?

Checkliste Datenschutz im Home-Office

Systematik der Checkliste Datenschutz im Home-Office

Checkliste Home-Office für Arbeitgeber

ChecklisteHome-Office für Arbeitnehmer

Weiterer Benefit der Checklisten

Download der Checkliste Datenschutz im Home-Office

Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

Weitere Hilfestellungen für Vereine durch den LfDI BW

Wenn alle Stricke reißen

Ausnahmen dieser E-Privacy Aspekte

Integrität und Vertraulichkeit

E‑Privacy und das Nutzerverhalten

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Zukunftsweisende Aspekte

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg

Einige Zahlen zur Tätigkeit des BfDI

Empfehlungen des BfDI für Einrichtungen und Bürger

Gremienarbeit und Gesetzgebung

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

Zusammenfassung