lfdi bidib bildungszentrum

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit – LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit. 

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen. 

Zukunftsweisende Aspekte

Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg 

Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden. 

BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwendung der DSGVO

Datenschutz / IT-Sicherheit – Allgemeines 

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO – (vor)vertragliche Maßgaben und berechtigte Interessen – sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift. 

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs-, Unterrichtungs-, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden. 

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten. 

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten. 

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein. 

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können. 

Datenschutz in Online-Präsenzen 

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen. 

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber. 

Künstliche Intelligenz = Artificial Intelligence 

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden. 

TOM – technische und organisatorische Maßnahmen 

  • vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden 
  • Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz – u.a. Bestandteil des Datenscchutz Quick-Checks 
  • auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein 
  • Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren 

Datenschutz bei Gesundheitsinformationen 

Das ULD konstatierte, dass 

  • Krankenhäuser und Kliniken 
  • Arzt-, Zahnarztpraxen 
  • Pflegeeinrichtungen, -dienste 
  • Apotheken und vergleichbare Einrichtungen 

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben – insbesondere bei mobilen Devices und Speichermedien. 

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen. 

Videoüberwachung und Datenschutz 

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten. 

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus. 

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben. 

AV – Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag 

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen – siehe auch das Thema Informationspflichten. 

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist. 

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen. 

Website des ULD 

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht. 

Für die weiterführende Lektüre des Originals bitte hier klicken. 

Schraubzwinge Geldbeutel

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

Meerschweinchen Geburtstag

Als aktuelle Kurzinformation zum Datenschutz unter der DSGVO hat der BayLfD jetzt die Nummer 26 veröffentlicht, Thema

„Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen.“

Jetzt könnte man als Unternehmen oder Verein versucht sein, darüber hinwegzulesen. Schließlich handelt es sich bei diesen Organisationen um sog. nicht-öffentliche Stellen. Doch der Inhalt betrifft durchaus beide Bereiche. Ob das Thema Geburtstagsliste aktuell einer der Brennpunkte der DSGVO ist, steht auf einem anderen Blatt. Aber zur Auffrischung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zeiten gab es dazu immer wieder Nachfragen.

Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?

Nun, das ist recht einfach erklärt. Wenn abteilungsbezogen oder für die gesamte Organisation eine öffentlich einsehbare Liste der Geburtstage der Mitarbeiter  durch den Arbeitgeber veröffentlicht wird, dann verarbeitet dieser personenbezogene Daten seiner Mitarbeiter und gibt diese an Dritte (alle anderen Mitarbeiter) weiter. Wie wir nun hinlänglich wissen, ist dafür einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Einwilligung: liegt im Zweifel keine vor, sofern es hierzu keinen geregelten Prozess im Rahmen der Einstellung gibt.
  • b) Notwendigkeit für die Durchführung, in diesem Fall des Arbeitsvertrages: Für das eigentliche Beschäftigtenverhältnis sicherlich, für die Veröffentlichung an alle Mitarbeiter sicher nicht.
  • c) Rechtsvorschrift: Uns ist zumindest keine Rechtsvorschrift bekannt, welche das Veröffentlichen von Geburtstagslisten der Mitarbeiter vorschreibt. Kann ja aber noch kommen im Zuge der aktuellen Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebenswichtige Interessen zum Schutz der Mitarbeiter wird man hier nicht annehmen können.
  • e) Wahrnehmung öffentliches Interesse oder Ausübung öffentlicher Gewalt scheidet aus.
  • f) Ob das sog. berechtigte Interesse anwendbar ist, wird aktuell kontrovers diskutiert. Eine Mehrheit findet sich hierfür keine. Für öffentliche Stellen in Bayern ist Buchstabe f zumindest in der Ausübung der öffentlichen Aufgaben ausgeschlossen.

Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?

Am Ende des Tages wird es wohl wie früher darauf hinauslaufen. Doch ist das Einholen von schriftlichen Einwilligungen samt deren Ablage in der Personalakte und regelmäßigen Prüfung und Bearbeitung von Widerrufen wirklich jetzt der Königsweg. Nein, war es nie und wird es nach unserem Dafürhalten auch nie sein. Auch wenn dies durch die oben genannte Kurzinformation suggeriert wird. Klar kann man dieses Thema nun mit viel Papier im Rahmen des Einstellungsprozesses für neue Mitarbeiter lösen. Alleine von den bereits vorhandenen Mitarbeitern die Einwilligung nachträglich einzuholen und zu dokumentieren, ist sicher auch kein zu unterschätzender Aufwand. Selbst wenn man die Einwilligung mittlerweile auch elektronisch einholen und dokumentieren kann. Es geht auch einfacher:

KISS – keep it short and simple: Der Geburtstagsliste-Self-Service

Egal, ob organisationsweit oder nur abteilungsbezogen: Wenn sich ein Mitarbeiter freiwillig in einen Geburtstagskalender (zentral in Outlook oder in Papierform in der Teeküche) einträgt, jederzeit die Möglichkeit des Wiederaustragens besteht, dann können Sie sich das ganze Klimbim sparen. Aber auch das ist nun nichts Neues aus der DSGVO, sondern wurde schon früher so pragmatisch gehandhabt.

Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber

Sollten Sie sich als Arbeitgeber das Procedere mit schriftlicher Einwilligung dennoch antun wollen, dann achten Sie darauf, dass in Ihren Angaben zu den Informationspflichten gem. Art. 13 DSGVO für Mitarbeiter die Geburtstagsliste Erwähnung findet. Der dazugehörige Eintrag in Ihrem Verzeichnis für Verarbeitungstätigkeiten darf ebenfalls nicht fehlen.

Übrigens zwei Punkte, die Sie sich durch den Geburtstagsliste-Self-Service ebenfalls je nach Umsetzung erübrigen können. Zumindest wenn nicht seitens der Organisation der Anstoß für diese Geburtstagslisten und deren Verwaltung / Durchführung kommt, also die Mitarbeiter den Kalender in der Teeküche selbst aufhängen (wäre aber sicher im Detail zu diskutieren). Stellt die Organisation den Geburtstagskalender zentral in Outlook o.ä. Programmen zur Verfügung, macht es Sinn, einen Eintrag im VVT und in den Infopflichten vorzuhalten (danke für den Hinweis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrieden und das Thema Datenschutz wird nicht erneut als Störfaktor wahrgenommen (was es eigentlich auch gar nicht ist, entsprechend pragmatische Umsetzung vorausgesetzt). So und jetzt „KUCHEN“