BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Datenpannen in Transparenz

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO. 

Vermeiden und kommunizieren 

Es ist bereits die halbe Miete, Datenpannen präventiv – u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien – auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes. 

Meldungen von Datenpannen 

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet. 

Dunkelziffer von Datenpannen 

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind. 

Aufsichtsbehörden 

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert. 

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden. 

Datenpannen bitte dokumentieren / melden 

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell – z.B. in Checklistenform – zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s. 

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung. 

Öffentliche Register - wie im vorliegenden Fall das der Lobbys

Die Deutsche Gesellschaft für Politikberatung (degepol) hat eine Verwarnung wegen Datenschutzverstoßes von der Berliner Beauftragten für Datenschutz und Informationsfreiheit erhalten. In diesem Zuge erfolgte die Klarstellung, dass die Gewinnung von Daten aus öffentlichen Registern nicht zu jedem Zweck – wie etwa dem Versand personalisierter Werbung – zulässig ist. Dies hat Auswirkungen sowohl auf die werbliche Kontaktaufnahme als solche als auch auf Umfragen, die mit Hilfe solcher Informationen durchgeführt werden, im vorliegenden Fall gegenüber Lobbys.

Beschwerde durch Betroffenen aus Lobbys 

Im vorliegenden Fall waren Verbände / deren Vertreter aus dem öffentlichen Register über Lobbys des Bundestags mittels Tabellenexport in Excel angeschrieben und zu Umfragen eingeladen worden. Die zugrunde liegende Beschwerde wurde durch einen Betroffenen Lobby-Angehörigen eingegeben. 

Quellenangaben 

Die Daten aus dem Lobby-Register seien von der degepol an den Dienstleister onlineumfragen.com weitergegeben worden für den Versand von Anschreiben mit personalisierter Anrede und ohne Hinweis auf Datenquellen. Unter anderem hierin wurde ein Datenschutzverstoß gesehen. Eine Quellenangabe habe mit dem ersten Anschreiben erfolgen müssen und wurde auch in der verlinkten Datenschutzerklärung vermisst – so die Datenschutzaufsicht.  

Namen von Lobbyisten

Die Berliner DSB zog ein berechtigtes Interesse der Deutschen Gesellschaft für Politikberatung in Zweifel, nach dem diese die Daten zur Anfertigung einer „aussagekräftigen Studie“ zu Honorarzahlungen in der Lobbywelt Deutschlands für erforderlich hielt. Ferner wurde moniert, dass in diesem Zusammenhang Namen Angehöriger von Lobbys ohne Notwendigkeit verarbeitet worden seien.

„Weitere aufsichtsrechtliche Mittel“, auch für einen Wiederholungfall, schloss die Datenschutzbehörde nicht aus. Generell gesprochen kann es sich bei solchen etwa um Vor-Ort-Prüfungen, die Anordnung von Maßnahmen oder die Verhängung von Bußgeldern handeln, um einige Befugnisse der unabhängigen Datenschutzbehörden zu nennen.

Register des Bundestags 

Der Bundestag hat bisher kein verbindliches Verzeichnis hierzu herausgegeben. Das Register des Bundestages über Lobbys umfasst momentan über 2300 Einrichtungen, „die eine Aufnahme von sich aus beantragt“ hätten, um ihre Tätigkeiten damit transparent machen zu wollen. 

Sicher auch aus Datenschutzsicht eine begrüßenswerte Intention. 

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How – Stichwort „Outsourcing“. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

  • Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
  • Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
  • Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
  • Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
  • Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

  • Outsourcing des Rechenzentrums (ganz oder teilweise).
  • Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
  • Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
  • Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
  • Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
  • Externe Lohn- und Gehaltsabrechnung.
  • Externe Rechnungsbearbeitung / Buchhaltung.
  • Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

  • Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
  • Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
  • Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
  • Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren – im Zweifel persönlich vor Ort beim Auftragnehmer.
  • Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
  • Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
  • Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber  von ihrer Leistungsfähigkeit zu überzeugen.
  • Wenig hilfreich: den Auftraggeber vor die Wahl stellen – entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

Mann mit Lupe - Unter Beobachtung

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 „nur“ 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder Fehlversendungen sind im Berichtszeitraum nahezu gleich geblieben. Eine vermehrte Zunahme wurde jedoch im Bereich Cybercrime festgestellt. Hacking von Webseiten, Datenklau in Webshops sowie Verschlüsselungstrojaner standen dabei ganz oben auf der Liste. Gerade die ersten beiden Punkte oft ausgelöst durch fehlende Sicherheitsupdates der Webseiten- und Shop-Software inklusive dazugehöriger Erweiterungen durch die verantwortlichen Unternehmen und Unternehmer.

Im weiteren Verlauf des Tätigkeitberichts wird ein Blick auf die ab Mai 2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) geworfen und welche Auswirkungen diese auf nicht-öffentliche Stellen haben wird. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten wird voraussichtlich in bekannter Weise fortgeführt. Neu ist jedoch die Meldepflicht der Bestellung an die Landesdatenschutzbehörde. Diese rechnet mit einem erheblichen Arbeitsaufwand aufgrund der zu erwartenden tausendfachen Meldungen. [Anmerkung des Autors: Diese Meldepflicht wird natürlich auch Auswirkungen auf Unternehmen haben, die bisher der Bestellpflicht unterlagen, sich aber eine Bestellung erspart haben. Eine Nichtmeldung kann im weiteren Verlauf unangenehme Nachfragen – und bei Verstößen auf Bußgelder auslösen.]

Eine kurze Zusammenfassung können Sie hier herunterladen. Der komplette Tätigkeitsbericht steht hier zum Download bereit.