Landesdatenschutzbehörde

Datenschutzaufsicht: Zentral oder dezentral?

von Sascha Kuhrau
17. September 20209. Dezember 2020

Unser Berufsverband der Datenschutzbeauftragten Deutschland (BvD) e.V. richtet heute, am 17.09.2020 eine sehr interessante Veranstaltung aus mit dem Titel “Föderal oder zentral – Wie sieht die Zukunft der Datenschutzaufsicht aus?”. Aufgrund der aktuellen Gegebenheiten rund um Corona kann die Veranstaltung mittels Live-Stream mitverfolgt werden und zwar unter der URL https://www.bvdnet.de/aufsicht-live/

Vor dem Hintergrund der Evaluierung des Bundesdatenschutzgesetzes steht der Vorschlag im Raum, die Datenschutzaufsicht für Unternehmen zukünftig in eine zentrale Hand zu legen statt auf 17 Aufsichtsbehörden (16 Land, 1 Bund) weiter verteilt zu lassen.

Start ist um 15 Uhr und besonders interessant wird es bei den Beiträgen ab 15:25 Uhr. “Standpunkte: Pro und Kontra Zentralisierung” und “Erfahrungen aus der Datenschutzpraxis”. Reinschauen bzw. Reinhören lohnt sich auf jeden Fall, wenn Vertreter der Landesdatenschutzbehörden auf Datenschutz-Anwälte und Praktiker aus der Wirtschaft treffen, um die Vor- und Nachteile der aktuell facettenreichen DSGVO Auslegungen und Meinungen in den verschiedenen Bundesländern zu diskutieren.

Vor- und Nachteile

Wer wie wir aufgrund der Kundenstruktur mit eigentlich allen Landesdatenschutzbehörden zu tun hat, kann den Wunsch nach einer Zentralisierung bzw. Vereinheitlichung durchaus nachvollziehen. Die nicht seltene weit gefächerte und divergierende Auslegung der DSGVO macht es nicht unbedingt leichter. Und selbst wenn es gemeinsame Stellungnahmen z.B. im Zuge der DSK (Datenschutzkonferenz) gibt, sind diese gelegentlich so vage, dass die Bedeutung für die Umsetzungspraxis durchaus gegen Null streben kann. Eine einheitliche Sichtweise wäre hier durchaus auch gegenüber Kunden sehr hilfreich. Es ist nicht immer leicht zu argumentieren, warum etwas in einem Bundesland ok ist, in einem anderen Bundesland von der Aufsicht nicht gerne gesehen wird. Ein prominentes Beispiel sind die doch sehr abweichenden Sichtweisen zur Art und Weise der Durchführung einer Datenschutzfolgenabschätzung (DSFA). Mittlerweile haben sich hier gefühlt zwei Lager gebildet, SDM vs. PIA. Ob man mit einer anderen Vorgehensweise aus Sicht der zuständigen Landesdatenschutzbehörde alles richtig macht, wird die Zeit zeigen.

Andererseits hat und kennt man durch die dezentrale Struktur seine Ansprechpartner, die bei Anfragen oft zeitnah und kompetent reagieren. Im Zuge einer Zentralisierung müsste durch ausreichende personelle Besetzung diese Beratungsfunktion auch zukünftig sichergestellt sein. Was einerseits ein Nachteil sein kann (unterschiedliche bis gegensätzliche Meinungen der Landesdatenschutzbehörden), stellt im Hinblick auf Meinungsvielfalt und Ideen für Umsetzungsmöglichkeiten andererseits durchaus auch einen Vorteil dar. Im Zuge einer Zentralisierung würde dies entfallen. Dann gibt es nur noch die eine Sichtweise der zentralen Instanz. Auch dies wäre dann erst mal eine Meinung, die andere Vorgehensweisen nicht zwingend ausschließen würde, aber der Pool zur Auswahl oder Entwicklung anderer Umsetzungsmöglichkeiten wäre stark reduziert bzw. nicht mehr vorhanden.

So haben beide Lösungen ein Für und Wider. Man darf auf die heutigen Diskussionen im Rahmen der Veranstaltung und im Hinblick auf die weitere Entwicklung sehr gespannt sein. Schauen Sie rein: https://www.bvdnet.de/aufsicht-live/ Start 15 Uhr.

Gesundheitsdaten gehen an die Polizei

von Sascha Kuhrau
30. April 20209. Dezember 2020

Nun auch Sachsen-Anhalt — das Innenministerium wies die Gesundheitsämter an, personenbezogene / Gesundheitsdaten aller Personen in Quarantäne den Polizeibehörden zur Verfügung zu stellen. Die Polizei erhielt somit personenbezogene Daten über Corona-Infizierte und Kontaktpersonen.

Offenlegung durch parlamentarische Nachfrage

Aus den Reihen des Landtags wurde am 22.04.2020 die Enthüllung bekannt, dass der Landesinnenminister vom 27. bis 31.03.2020 eine Verpflichtung zur Bereitstellung der Daten für alle Personen in Quarantäne des Bundeslandes verfügt habe. Seitdem würden Gesundheitsämter „nach eigenem Ermessen und im Einzelfall“ Daten von Personen in Quarantäne an die Polizei übermitteln. Bis 09.04.2020 über 800 Fälle in Sachsen-Anhalt — heißt es weiter in den zugehörigen Posts auf Twitter. Eine öffentliche Information über die Maßnahme durch das Innenministerium zur Erfüllung der DSGVO-gesetzlichen Transparenzpflicht war lange Zeit nicht erfolgt. Die kommunizierten Daten hätten Namen, Anschriften, Geburtsdaten, Wohnorte, Nationalitäten, Geschlechter sowie Beginn und Ende der behördlich definierten Quarantäne umfasst. Die Übermittlung, Verarbeitung und Speicherung auf Polizeidatenbanken von Gesundheitsdaten sei „rechtlich problematisch“ und der Landesbeauftragte für den Datenschutz sei thematisch zu involvieren. Weitere ~130 solcher Übermittlungen in Halle wurden zunächst laut Angabe der Stadtverwaltung wohl gar nicht erst gezählt.

Rechtmäßigkeitsfrage bei der Verarbeitung von Gesundheitsdaten

Auf Anfrage hatte das Landesinnenministerium gegenüber netzpolitik.org geleugnet, dass es derlei Gesundheitsdatenübermittlungen an die Polizei gegeben hatte. Später wurde bekannt, dass Gesundheits- / personenbezogene Daten auf der Fahndungsdatenbank des Landeskriminalamts gespeichert wurden. Zu direkten Anfragen von netzpolitik.org sei seitens der Polizei nicht Stellung genommen worden. Der Erlass sei dem Landesdatenschutzbeauftragtes Sachsen-Anhalts erst auf Nachfrage zur Verfügung gestellt worden, den dieser am 31.03.2020 für rechtswidrig erklärt habe. In seiner Haut möchte man jetzt eher nicht stecken. Aus DSB-Sicht stellt sich allerdings die Frage, aus welchem Grund keine Vorabinformation erfolgte und keine Datenschutzfolgeabschätzung in fachlicher Abstimmung mit dem Landes-DSB durchgeführt worden ist. l

Pauschale Übermittlung von Gesundheitsdaten in diversen Bundesländern

Auch in anderen Bundesländern wurden Datenübermittlungen von Infizierten und Kontaktpersonen eingeführt. Offiziell sei Ziel der Maßnahme die Überwachung der Einhaltung der Quarantäne und Schutz der Polizeibeamten.

Nach uns vorliegenden Informationen erklärte auch die niedersächsische Datenschutzbeauftragte Barbara Thiel die Maßnahme für ihr Bundesland als rechtswidrig. Allerdings hielt die Landesregierung an den Datenübermittlungen fest.

Die umstrittene Praxis wurde auch in weiteren Bundesländern eingeführt. In Folge vehementer Proteste wurde diese in Bremen aufgehoben. In Baden-Württemberg wird eine DSGVO konforme Verordnung zur Datenübermittlung positiv erwartet. In Mecklenburg-Vorpommern wurde das Procedere modifiziert. Hier wird bei der Übermittlung der Gesundheitsdaten nun auf den Bedarfsfall abgestellt. Ferner soll nun die Vorgabe sein, die Daten anonymisiert und verschlüsselt an einen definierten Personenkreis im Polizeidienst zu übermitteln. Es ist begrüßenswert, dass die tragenden Standards in der Informationssicherheit neben den Datenschutzanforderungen auch bei diesem Thema sukzessive Berücksichtigung finden.

Corona Prävention und die Verarbeitung von Gesundheitsdaten

Es besteht ein großes Spannungsfeld zwischen Datenschutz / Grundrechten und einer effektiven Pandemiebekämpfung. Dass Menschen und Pflegepersonal, der öffentliche Dienst und andere Arbeitskräfte mit notwendigem Publikumskontakt des Schutzes bedürfen, steht völlig außer Frage. Allerdings kann als auffällig bezeichnet werden, dass gerade in solchen grenzwertigen Maßnahmen der Dialog mit den Datenschutzbehörden und auch den behördlichen Datenschutzbeauftragten aktiv vermieden wird. Gerade in solchen Zeiten darf erwartet werden, dass man sich zwecks ganzheitlicher Krisenbewältigung bereichsübergreifend abstimmt. So kann dafür Sorge getragen werden, dass die Verarbeitungen und Übermittlungen der Behörden den zwingend erforderlichen, zeitgemäßen Vorgaben des Datenschutzes sowie der Informationssicherheit / IT-Sicherheit genügen.

Na dann werben wir mal

von Sascha Kuhrau
13. Februar 2014
1 Kommentar

Einen Satz, den ich in der Praxis gelegentlich zu hören bekomme — oder zumindest auf die dahinterstehende Grundhaltung bei Werbemaßnahmen oft aufgrund Unkenntnis stoße. Adreßdaten liegen zuhauf im Unternehmen vor, Quelle und zulässiger Einsatzzweck nicht zwingend bekannt. Unterscheidungsmerkmale zwischen Privat- oder Geschäftsadressen ad hoc nicht möglich, eine Klassifizierung ob personenbezogen oder nicht liegt nicht vor.

Nach dem Prinzip “Augen zu und durch” werden solche Datenbestände der internen oder externen Werbemaschinerie zugeführt. Die Quittung(en) liegen meist schnell auf dem Tisch. Beschwerden telefonisch oder per Email von “privaten” Betroffenen, Anfragen der zuständigen Landesdatenschutzbehörde aufgrund dort eingegangener Beschwerden und wenn nebem dem BDSG (Bundesdatenschutzgesetz) auch das UWG (Gesetz gegen den unlauteren Wettbewerb) betroffen ist, kostspielege Abmahnungen als Folge.

Die Crux an Werbung ist, es gilt nicht nur eines, sondern gleich mehrere Gesetze zu prüfen und einzuhalten. Und nicht immer sind die Abgrenzungen klar, was wie wo gilt je nach Art der Aussendung und des zu bewerbenden Angesprochenen. Diesem Umstand trägt der Düsseldorfer Kreis (als Zentralorgan der Landesdatenschutzbehörden) mit seiner Veröffentlichung mit Stand Dezember 2013 Rechnung

“Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke”

Das zwölfseitige Dokument kann als PDF heruntergeladen werden und ist das Ergebnis einer Arbeitsgruppe “Werbung und Adresshandel”, die das Bayerische Landesamt für Datenschutzaufsicht betreut hat. Im Fokus steht die praktische Umsetzung des § 28 BDSG.

Neben Hinweisen zur Definition und zum Umgang mit Listendaten wird auch der Aspekt beleuchtet, wie zu verfahren ist, wenn im Rahmen von B2B Werbung personenbezogene Daten angesprochen werden sollen. Das Thema Freundschaftswerbung wird kritisch beleuchtet (und abschließend mit fehlender datenschutzrechtlicher Grundlage bewertet), aber auch die notwendige Einwilligung wird präzisiert, sogar im Hinblick auf ihr Verfallsdatum.

Download der Anwendungshinweise im PDF Format (externer Link)

Etappensieg für Facebook: Klarnamenpflicht bleibt bestehen

von Sascha Kuhrau
18. Februar 2013

Das Verwaltungsgericht Schleswig hat entschieden: die Klarnamenpflicht für Facebook-Nutzer aus Deutschland bleibt (vorerst) bestehen! Das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD) hatte gegen diese Verpflichtung geklagt. Demnach wäre eine Pseudonymisierung der Nutzernamen aufgrund deutscher Rechtsvorschriften notwendig. Deutsches Recht sei anzuwenden, da Facebook eine GmbH mit Sitz in Hamburg habe.

Das Gericht ist der Argumentation des ULD nicht gefolgt. Nach dessen Sichtweise sei die europäische Niederlassung in Irland ausschlaggebend und somit gelte irisches Recht. Damit stellte das Gericht generell die Zuständigkeit deutscher Datenschutzbehörden in Frage. Das irische Datenschutzrecht kennt kein solches Anrecht auf Pseudonyme.

Thilo Weichert, Leiter des ULD zeigt sich überrascht: “Die Entscheidungen sind mehr als verblüffend und gehen in der Argumentation über das Vorbringen von Facebook hinaus, das die Nichtanwendbarkeit des deutschen Datenschutzrechtes damit begründete, Facebook Inc. in den USA sei nur der Auftragsdatenverarbeiter der Facebook Ireland Ltd. Sie sind in sich widersprüchlich, wenn sie die fehlende rechtliche Relevanz von Facebook Germany damit erklären, dass dort keine Daten verarbeitet würden, zugleich aber das Unternehmen in Irland für zuständig erklären, obwohl dort auch keine Daten verarbeitet werden.” Die Entscheidung sei auch im Hinblick auf das europäische Datenschutzrecht wenig nachvollziehbar.

Quelle:

“Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke” veröffentlicht

von Sascha Kuhrau
6. Dezember 2012
1 Kommentar

Das bayerische Landesamt für Datenschutzaufsicht hat einen Leitfaden für Werbetreibende als PDF veröffentlicht. Im Vorwort heißt es hierzu:

“Der Düsseldorfer Kreis als Gremium der Datenschutzaufsichtsbehörden nach § 38 BDSG hatte eine Ad-hoc-Arbeitsgruppe “Werbung und Adresshandel” unter Leitung des Bayerischen Landesamts für Datenschutzaufsicht eingerichtet und diese mit der Erarbeitung von Anwendungshinweisen zu den BDSG-Regelungen für den werblichen Umgang mit personenbezogenen Daten beauftragt. In einer Sitzung und im schriftlichen Austausch wurden Anwendungshinweise formuliert, die ‑soweit sie einstimmig oder von einer großen Mehrheit mitgetragen werden- nachstehend abgedruckt sind.”

Dieser Leitfaden ist aufgrund seines Ursprungs im Düsseldorfer Kreis in seiner Anwendung nicht auf Bayern beschränkt. Die Lektüre empfiehlt sich bundesweit für Werbetreibende aller Branchen und Richtungen.

Themenauszug:

Listenprivileg
Einwilligung
Nutzungsdauer / Verfallsdatum
Anreichern mit weiteren Informationen
Transparenzgebot
Quellenangabe
Widerspruchshinweis
Double Opt-In für Newsletter-Anmeldungen
Gewinnspiele
und viele mehr

Zum Download

Jetzt auch in Nordrhein-Westfalen: Webseitenbetreiber erhalten Post wegen Einsatz von Google Analytics

von Sascha Kuhrau
30. Mai 2012
4 Kommentare

Nachdem gerade die bayerische Landesdatenschutzbehörde offiziell das Vorgehen gegen bayerische Unternehmenswebseiten mit nicht korrekt umgesetzten Google Analytics Installationen kundgetan hat, versendet nun auch die Landesdatenschutzbehörde Nordrhein-Wetsfalen erste Anschreiben. Im Visier: Unternehmen mit Sitz im Bundesland und einem Webauftritt der als Tracking Tool das beliebte Google Analytics einsetzt.

Den angeschriebenen Unternehmen wird ausführlich die rechtliche Grundlage erklärt und die lt. Behörde korrekte Einsatzweise des Tools dargestellt. Ein mehrseitiger Fragebogen samt Bestätigung des Unternehmens über den nun korrigierten und beanstandungsfreien Einsatz von Google Analytics ist beigefügt und innerhalb einer angemessenen Frist ausgefüllt und unterschrieben zurückzusenden.

Unsere Empfehlung: nehmen Sie dieses Schreiben ernst und reagieren angemessen und zeitnah. Die Bußgelder für den nicht korrekten Einsatz des Tools sowie auf eine fehlende oder falsch erteilte Rückauskunft sind in dem Schreiben gleich benannt.

Die einfachste Lösung: stellen Sie doch gleich auf das Open Source Tool PIWIK um. Dieses steht Google Analytics als reines Tracking Tool in nichts nach und es gibt eine einfache Schritt für Schritt Anleitung, wie es rechtssicher installiert und konfiguriert wird. Eine Anleitung finden Sie auch hier im Blog.

Im Zweifel fragen Sie doch einfach Ihren externen Datenschutzbeauftragten. Sie haben keinen? Dann ist möglicherweise Zeit zum Handeln, falls die gesetzliche Bestellpflicht für Ihr Unternehmen vorliegt. Sonst droht das nächste Ungemach in Form von Bußgeldern. Fordern Sie doch einfach und schnell Ihr unverbindliches Angebot an.

Landesdatenschutzbehörde

Daten­schutz­auf­sicht: Zen­tral oder dezentral?

Vor- und Nachteile

Gesund­heits­da­ten gehen an die Polizei

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten

Na dann wer­ben wir mal

Etap­pen­sieg für Face­book: Klar­na­men­pflicht bleibt bestehen

“Anwen­dungs­hin­wei­se zur Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten für werb­li­che Zwe­cke” veröffentlicht

Jetzt auch in Nord­rhein-West­fa­len: Web­sei­ten­be­trei­ber erhal­ten Post wegen Ein­satz von Goog­le Analytics