Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwendung der DSGVO

Datenschutz / IT-Sicherheit – Allgemeines 

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO – (vor)vertragliche Maßgaben und berechtigte Interessen – sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift. 

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs-, Unterrichtungs-, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden. 

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten. 

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten. 

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein. 

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können. 

Datenschutz in Online-Präsenzen 

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen. 

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber. 

Künstliche Intelligenz = Artificial Intelligence 

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden. 

TOM – technische und organisatorische Maßnahmen 

  • vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden 
  • Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz – u.a. Bestandteil des Datenscchutz Quick-Checks 
  • auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein 
  • Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren 

Datenschutz bei Gesundheitsinformationen 

Das ULD konstatierte, dass 

  • Krankenhäuser und Kliniken 
  • Arzt-, Zahnarztpraxen 
  • Pflegeeinrichtungen, -dienste 
  • Apotheken und vergleichbare Einrichtungen 

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben – insbesondere bei mobilen Devices und Speichermedien. 

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen. 

Videoüberwachung und Datenschutz 

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten. 

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus. 

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben. 

AV – Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag 

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen – siehe auch das Thema Informationspflichten. 

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist. 

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen. 

Website des ULD 

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht. 

Für die weiterführende Lektüre des Originals bitte hier klicken. 

Social Distancing

In Zeiten von Notlagen muss man auch manchmal zu kreativen Maßnahmen greifen. Doch ein kurzfristig geplanter Gesetzesentwurf ruft teils kritische Reaktionen hervor, wie die derzeit geplante Handyortung zur Corona-Bekämpfung.

… zurecht oder nicht? Lassen Sie es uns wissen – in der Kommentarbox.

Handyortung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Handyortung über Funkmasten

Laut Gesetzesentwurf des Bundesgesundheitsministeriums soll den Gesundheitsbehörden das Recht eingeräumt werden, Kontaktpersonen von Infizierten mittels Handyortung nachvollziehen und zeitsparend kontaktieren zu können. Informationsquelle sollen hierfür die diversen Mobilfunkanbieter sein. Standortdaten der Kontaktpersonen sollen Aufschluss über den Aufenthaltsort geben.

Bundesdatenschutzbeauftragter äußert Skepsis

Vor wenigen Stunden äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem  Twitter Beitrag Bedenken zur Wirksamkeit der geplanten Maßnahme. „Alle Maßnahmen der Datenverarbeitung“ hätten laut Kelber die öffentlich-rechtlichen Schlüsselkriterien der Erforderlichkeit, Geeignetheit und Verhältnismäßigkeit zu erfüllen. „Bisher“ fehle „jeder Nachweis, dass die individuellen Standortdaten der Mobilfunkanbieter einen Beitrag leisten könnten, Kontaktpersonen zu ermitteln, dafür sind diese viel zu ungenau.“ Anders stelle sich dies bei entsprechender Analyse von Bewegungsströmen in anonymisierter Form dar. Auf der Basis von Funkzellen Handyortung ist lediglich ein Radius von allenfalls 100 Metern erfassbar. In ländlichen Regionen können es durchaus mehrere Kilometer sein. Also alles viel zu ungenau, um potentielle Kontakte möglicher Infizierter ausreichend konkret aus der Datenmenge herausfiltern zu können. Im Rahmen der Ressortbeteiligung war die oberste Bundesbehörde für Datenschutz und die Informationsfreiheit BfDI beim Entwurf des Infektionsschutzgesetzes involviert.

Alternative der freiwilligen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Freiwillige Handyortung mittels App

In Italien ist sie bereits im Einsatz – die App-Lösung zur Ortung potenziell Infizierter Kontaktpersonen. Für Deutschland befindet sich das hier bekannteste Projekt derzeit noch in der crowdfunding Phase. Die Aktivierung der Geräte von freiwilligen Testpersonen in der Beta-Phase soll Ende diesen / Anfang kommenden Monats erfolgen.

Auf anonymisierter und freiwilliger Basis soll es den Handynutzern möglich sein, präziser geortet und kontaktiert zu werden als dies durch die reine Auswertung von Verkehrsdaten zur Ermittlung vom Standort möglich erscheint.

In Südkorea sind solche Modelle bereits im Kampf der Eindämmung eingesetzt worden. Dort stabilisiert sich die einst massiv eskalierende Lage. In einem Beitrag der BBC unterstreicht die Außenministerin im Kampf gegen das Virus und mit panikbedingten Problemen die Notwendigkeit schneller behördlicher Entscheidungen und zugleich, diesen wissenschaftliche Erkenntnisse und Beweisbares zu Grunde zu legen.

Allerdings ist der Erfolg von freiwilligen Präventionsmaßnahmen auch stets von der individuellen Einsichtsbereitschaft abhängig, die im Rahmen der Coronapandemie mancherorts täglich Anlass zur Besorgnis zu geben scheint. Dies wurde gerade durch die Notwendigkeit zur Verschärfung bzw. Einführung einer bundesweiten Ausgehbeschränkung (wohlgemerkt nicht Ausgangssperre) am 22.03.2020 erneut deutlich.

Stand Sonntagabend 22.03.2020

Infolge deutlicher Kritik wurde davon abgerückt, den Gesetzentwurf bereits am 23.03.2020 ins Bundeskabinett zu geben. So lauten übereinstimmende Agenturmeldungen. Man wolle vorerst auf Handyortung verzichten und einen betreffenden Gesetzentwurf nun bis Ostern überarbeiten. Näheres dazu in einem Tagesschau Beitrag vom Sonntagabend.

Fazit und Hinweise zur geplanten Handyortung

Die Risiken eingreifender Normen wie etwa der geplanten Handyortung entstehen nicht per se aus dem Rechtseingriffs als solchem, sondern aus dem Missbrauchspotenzial in der täglichen Anwendung. Im Eifer des Gefechts kann erfahrungsgemäß nicht gänzlich ausgeschlossen werden, dass Fehler passieren, die Neugier bei dem einen oder anderen sich durchsetzt oder u.U. sogar vereinzelt gezielt manipuliert wird.

Umso wichtiger sind technische und organisatorische Maßnahmen (TOM) auch bei Erlass solcher Gesetze, wie

  • das Personal bei der Auswertung von und dem Umfang mit den auszuwertenden Standort Daten lückenlos und fachlich fundiert zu schulen,
  • auf diese Weise sicherzustellen, dass die Daten ausschließlich in dem Kontext der bezweckten Verarbeitung verbleiben und nicht auf Zuruf offengelegt werden, wie dies immer wieder – etwa in Telefonaten anfragender, vermeintlich autorisierter Stellen – vorkommt,
  • detaillierte und technisch verbindlich umgesetzte Berechtigungskonzepte zu etablieren,
  • auf diese Weise den Personenkreis, die Zugriff auf die Daten haben, in einem konkreten und stets überschaubaren Rahmen zu halten und dies auch zu protokollieren / zu prüfen,
  • den Anwender transparent zu informieren, ohne die ordnungsgemäße Verfolgung der Einsatzzwecke zu untergraben.

Druckfrisch zu berichten – die Landesbeauftragte für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland (UZD) hat dieser Tage den 28. Tätigkeitsbericht im Datenschutz für das Saarland vorgelegt (Landtagsdrucksache Saarland 16/1200). Darin wurde unter anderem auf konkrete, einzelfallbezogene Entwicklungen und Maßnahmen, erfolgte Vorträge, Verfahren und Beratungen sowie auf fachliche Aspekte der DSGVO-Vorgaben und -umsetzungen und Rechtsprechung detailliert eingegangen.

News in 2019

Im Jahr 2019 wurden zwei neue Stellen für Mitarbeiter im UDZ vom Landtag Saarland bewilligt, die erfolgreich besetzt wurden, allerdings sieht das UDZ hier quantitativen Optimierungsbedarf.

Die Website des UDZ wurde mit einem neuen CMS angebunden und hat ein neues Design bekommen mit Optimierung auf Barrierefreiheit, der Melde- und Kontaktformulare sowie für Mobilgeräte.

Vor dem Hintergrund der Notwendigkeit, wachsenden Anforderungen, rechtlichen Vorgaben und einer effektiven, angemessenen Abwehr von Cyber-Angriffen kosteneffizient nachzukommen, wurde in dem Bericht die Einführung eines ISMS erläutert und dabei insbesondere ISIS12 „als pragmatisches und leicht skalierbares Vorgehensmodell“, das auch gerade Kommunen eine gute Verbindung von den Vorgaben und realen Ressourcen ermögliche.

Der gesamte Prozess von der Sensibilisierung der Mitarbeiter, Einschätzung der Gefährdungslage bis hin zur Abwehr von Angriffen kann durch ein ISMS wie ISIS12 gesteuert und überwacht werden.

Nach der Implementierung und einem TOM-bezogenen Audit wurde das UDZ zum 09.10.2019 zertifiziert.

Beratungen und Öffentlichkeitsarbeit

Das UDZ hat im Berichtsjahr 50 Veranstaltungen zur Information und Sensibilisierung zum Datenschutz und der DSGVO ausgerichtet, bei denen es unter anderem schwerpunktmäßig um Auslegungsfragen der DSGVO ging. Insgesamt sieht man auch bei der Öffentlichkeit ein steigendes Interesse an Datenschutzthemen und -fragen.

In Bezug auf das im Dezember 2019 beschlossene Justizvollzugsdatenschutzgesetz, bei dessen Entwürfen das UZD beratend involviert war, stellt der Bericht fest, dass man sich eine umfassende Modernisierung des Datenschutzrechts auch in diesem Bereich gewünscht hätte.

Die UDZ nahm an Beratungsgesprächen mit der Enquêtekommission „Digitalisierung im Saarland“ teil und führte hier unter anderem die wichtige Rolle des Datenschutzes in der Entwicklung des E-Government aus.

In Brüssel tauschte man sich bei der EU-Vertretung des Saarlandes über die innereuropäische Zusammenarbeit der Datenschutzbehörden aus. In den 154 Fällen nahm die Landesdatenschutzbehörde ihre Verfahrenszuständigkeit iSd. Art. 56 DSGVO in Bezug auf innereuropäische, länderübergreifende Verarbeitungen wahr. Die Behörde war an elf Rechtsetzungsvorhaben beteiligt.

Datenschutzverletzungen nach Art. 33 DSGVO

Dem Bericht zufolge wurden im vergangenen Jahr 286 Datenschutzverletzungen an die Landesdatenschutzbehörde gemeldet und elf amtliche Maßnahmen iSd. Art. 58 DSGVO zur Prävention von Datenpannen vorgenommen. Den Anstieg der Meldungen von Datenpannen wird auf höhere Kriterien durch die DSGVO, aber auch eine höhere Sensibilität für Datenschutzthemen gesehen.

Prüfungen

In seinem Bericht spricht das UZD von „mehreren Prüfungen“, die – meist anlassbezogen und oft im Kontext des Beschäftigtendatenschutzes – in 2019 in Einrichtungen sowohl angekündigt als auch unangekündigt durchgeführt wurden. Kriterium für die Frage der Vorabankündigung sei die Abwägung der Wahrscheinlichkeit eines Wegfalls des Prüfgegenstands durch Manipulation im Falle der Ankündigung. Im Vorfeld würden Prüfgegenstand und -ablauf klar definiert und im Regelfall zunächst die Vorlage von VVT, einer DSFA „oder zumindest [..] Risikobewertung“, der TOM, Dokumentationen zum Umgang mit Betroffenenrechten, Löschfristen und weitere Datenschutzkriterien vor Ort angefordert. Darauffolgend die Prüfung des konkreten Anlasses und Verfertigung einer Kurzzusammenfassung vor Ort, die zusammen mit dem Verantwortlichen erörtert wird.

Der eigentliche Prüfbericht wird der Einrichtung / dem Verantwortlichen zugestellt und dieser kann dazu Stellung nehmen. Gegebenenfalls erfolgen Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO und die Verhängung einer Geldbuße.

Das UZD führte nach der Einführung des Einsatzes von Body-Cams bei der Polizei Saarland Stichproben durch, bei denen es erhebliche Defizite bei der Einhaltung der Datenschutzvorgaben festgestellt hat.

Bei der Prüfung von BCR (Binding Corporate Rules) zur Datensicherheit innerhalb international agierdender Konzernstrukturen iSd. Art. 47 DSGVO war das UDZ in 2019 insgesamt zweimal beteiligt – bei 20 BCR-Verfahren europaweit.

Rechenschaftspflicht Großunternehmen

Ende 2018, Anfang 2019 wurden drei der größten Unternehmen des Saarlands um Rechenschaft ersucht hinsichtlich DSGVO Umsetzungsstand, VVT, Risikoabschätzungen und Prozesse und die datenschutzkonforme Verarbeitung von personenbezogener Daten im allgemeinen sowie im Detail.

Weitere Themen

Der Bericht enthält außerdem detaillierte Kapitel unter anderem zu Rechtsfragen, rechtlichen Auslegungen und Bewertungen sowie Rechtsanwendung der DSGVO, die interessante und wichtige Aspekte beleuchten:

  • Informationspflichten
  • Auskunftsrecht
  • Abgrenzung der klassischen AV zur Gemeinsamen Verantwortlichkeit
  • DSFA
  • Zertifizierung und Akkreditierung
  • Fashion ID
  • Planet49
  • Orientierungshilfe Telemedien der DSK
  • ePrivacy-Verordnung
  • Windows 10
  • Datenschutzkonforme Nutzung von WhatsApp im Rahmen kommunaler Bürgerdienste
  • Streaming von Ratssitzungen
  • Nutzung von Geodaten
  • Telearbeit bei der Polizei
  • Lichtbildabgleich in Ordnungswidrigkeitenver- fahren
  • Fotografieren an Schulen und Kindergärten
  • Videoüberwachung
  • Datenschutz im Verein
  • Datenschutzrechtliche Bewertung telefonischer Werbeansprachen
  • Einsicht in die Patientenakte

Den Bericht finden Sie im pdf Volltext auf der Website der Landesbeauftragten für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland – UZD.

Wenn Sie Fragen zu Themen oder Begriffen des Berichts haben, nutzen Sie hierfür gerne die Kommentarfunktion – Ihr Team von a.s.k. Datenschutz.

Am 21.10.2015 findet das BVS Seminar „Rechtliche Aspekte der IT-Nutzung“ in Nürnberg mit Sascha Kuhrau als Referenten statt. Das Seminar richtet sich an IT-Führungskräfte, Administratoren, Datenschutzbeauftragte, Personalreferenten und Betriebsräte, aber auch an Geschäftsführung / Organisationsleitung.

Inhalte sind unter anderem:

Juristische Konsequenzen von Schäden und Fehlverhalten

  • Schadenersatz und Haftung
  • Straf- und Bußgeldvorschriften

IT-Arbeitsrecht/Mitarbeiterdatenschutz

  • Privatnutzung von E-Mail und Internet
  • IT-Protokollierung und Auswertung
  • Videoüberwachung
  • Heimarbeit
  • Bring your own device (BYOD)
  • Mitarbeiterfotos auf der Webseite
  • Einsichtnahme in persönliche E-Mail-Konten und Ablagen
  • Legale Kontrollen und interne Ermittlungen

Internet-Recht

  • Rechtliche Risiken sozialer Medien
  • Impressum und Datenschutzerklärung
  • Auftragsdatenverarbeitung (IT-Outsourcing und Cloud Computing)

Die Veranstaltung findet im BVS Bildungszentrum Nürnberg statt. Beginn ist um 9.00 Uhr, Ende voraussichtlich um 16.30 Uhr. Referent ist Herr Sascha Kuhrau von a.s.k. Datenschutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmeldung (Lehrgangsgebühr 170 Euro wird von der BVS erhoben)

Fotolia_40732264_XS_roundedDer Angriff war schnell und sorgte für fette Beute: Unbekannte haben am 11. April den Server namhafter Unternehmen im Bereich Reisebuchungen geknackt und eine bislang unbekannte Zahl an Kunden-Kreditkartendaten gestohlen! Wie sehen die weitreichenden Konsequenzen aus? Kaum ein Tag vergeht ohne Schlagzeilen in der Presse zu den Themen Datenschutz und Datensicherheit. Diese Meldungen können Sie als Verbraucher, genauso wie als Unternehmer oder Mitarbeiter betreffen.

Zu den größten Irrtümern im Datenschutz gehört die Auffassung, das eigene Unternehmen habe mit dem Bundesdatenschutzgesetz nichts zu tun. Das Bundesdatenschutzgesetz (BDSG) ist rechtliche Vorschrift für alle. Zusätzlich muss ab 9 Mitarbeiter/innen, die im  Unternehmen per PC mit personenbezogenen Daten (Daten von Kunden, Geschäftspartnern oder Personaldaten der eigenen Mitarbeiter) ein sog. Datenschutzbeauftragter bestellt werden.

Viele Fallstricke lauern im Umgang mit personenbezogenen Daten und den möglichen Fehlerquellen samt Rechtsverstößen. Geldbußen (50.000 – 300.000 EUR) für Verstöße gegen das Bundesdatenschutzgesetz sind vorgesehen – zuzüglich eventueller Schadenersatzforderungen! Und das nicht erst, wenn etwas schief gegangen ist.

Hahn Premium IT Lösungen SchwaigBesuchen Sie einen der für Sie kostenfreien Infoabende im Rahmen der Hahn IT Campusinitiative und informieren Sie sich in nur  zwei Stunden über dieses brisante Thema.

Das Programm für Sie :

  • Begrüßung mit Getränken & Snacks
  • Top Irrtümer zum Thema Datenschutz
  • Konsequenzen durch Nichteinhaltung
  • Aktuelle Infos zum Thema IT-Sicherheit
  • Lösungen zur gesetzeskonformen Umsetzung
  • Beispiele aus der Praxis in der Talkrunde
  • Zeit fur Gespräche beim Abendbuffet

+ Die Veranstaltung ist für Sie kostenfrei
+ Sie erhalten ein Teilnahmezertifikat

Referenten des Abends sind Herr Stefan Molter (Hahn IT) und Sascha Kuhrau (a.s.k. Datenschutz).

Termine:

  • 27. Juni 2013, 17.00 – 19.00 Uhr
  • 04. Juli 2013, 17.00 – 19.00 Uhr
  • 11. Juli 2013, 17.00 – 19.00 Uhr

Veranstaltungsort:

90571 Schwaig

Haben wir Ihr Interesse geweckt? Hier geht es zur Anmeldung.