34. Tätigkeitsbericht 2018 LfDI Baden-Württemberg

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat seinen jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung des Datenschutzbeauftragten zum jeweiligen Thema hervorgehoben.

Beschäftigtendatenschutz

  • Kritik des Datenschutzbeauftragten: keine eindeutigen nationalen Regelungen für den Beschäftigtendatenschutz

Informationspflicht gegenüber den Beschäftigten

  • Die Informationspflichten sind nach Art. 13 und/oder Art. 14 DSGVO zu gestalten
  • Empfehlung des DSB Baden-Württemberg: Informationspflicht gegenüber den Mitarbeitern in solch einer Form anbieten, die es den Beschäftigten jederzeit ermöglicht, darauf zuzugreifen (z.B. im Intranet, zentraler Aushang am schwarzen Brett, E-Mail an alle Mitarbeiter)
  • keine Unterschrift oder Empfangsbestätigung der Informationspflicht nötig

Hinweis der Datenbeschützerin

Es bietet sich an, die Informationspflicht für die neuen Mitarbeiter als Anlage zum Arbeitsvertrag beizufügen.

Auch können die Informationspflichten an die Mitarbeiter z.B. als Anhang an die Lohnabrechnung angebracht werden.

Wenn das Foto weg muss…

  • Auf einem Gruppenfoto einer Unternehmensseite war ein ehemaliger Angestellter mit abgebildet
  • Er widerruf seine Einwilligung und verlangte, dass Foto zu löschen
  • Statt der Fotolöschung wurde eine andere Person mit Foto-Retusche hineingeschnitten
  • Die Aufsichtsbehörde kam zum Ergebnis, dass durch das Gruppenfoto keine einzelne Person herausstehen sollte, sondern das Unternehmen allgemein repräsentiert wird
  • Durch die Retusche war der Betroffenen nicht mehr eindeutig identifizierbar und das Recht auf Löschung bestand nicht mehr
  • Zwei Möglichkeiten sofern ein Widerruf seitens der Mitarbeiter ausgesprochen wird: Fotos sind zu löschen oder zu retuschieren, um eine Identifizierung auszuschließen

Ärzte und die DSGVO

Ärztliche Behandlung nur das datenschutzrechtlicher Einwilligung?

  • Nein, da ein Behandlungsvertrag zwischen Patienten und dem Arzt besteht (Art. 6 Abs. 1 lit. b DSGVO)
  • Nur in bestimmten Fällen braucht der Arzt die Einwilligung z.B. bei privatärztlichen Verrechnungsstellen oder vergleichbare Empfänger

Anmerkung der Datenbeschützerin

Das Thema der Einwilligung sorgt immer wieder für Kopfschütteln. Im Blogbeitrag „Warum die Einwilligung die DSGVO kaputt macht“ wird diese Thematik aufgegriffen.

Müssen Patienten mit ihrer Unterschrift den Empfang der Datenschutzinformation einer Arztpraxis quittieren?

  • Nein, da keine Empfangsbestätigung seitens der DSGVO gefordert wird
  • Die Informationen sind zur Verfügung zu stellen z.B. durch Aushang im Wartezimmer oder am Empfang

Technische-Organisatorische Maßnahmen (TOMs)

Datenträgerverschlüsselung

  • Häufigste Datenpanne: Verlust von USB-Sticks, Speicherkarten, externen Festplatten, Laptops oder PCs
  • Wichtige und einfache Maßnahme: Verschlüsselung der gesamten Datenträger
  • Empfehlung: „Full Disk Encryption“ oder für Windows BitLocker; für macOS FileVault; Linux: dm-crypt oder LUKS

Hinweise zum Umgang mit Passwörtern

  • Risiko: Passwörter können von Dritten erraten werden
  • Nutzer sind selbst in der Pflicht starke Passwörter zu wählen
  • Aber auch Hersteller und Administratoren sollten sichere Vorgaben machen

Eine Reihe von Regelungen hat sich dadurch etabliert:

  1. Starke Passwörter wählen
  2. Passwörter niemals doppelt verwenden
  3. Keine Passwörter aus dem Wörterbuch verwenden
  4. Passwörter nicht weitergeben
  5. Passwort-Safe verwenden
  6. Nur bei Kompromittierung ändern
  7. Software-Entwickler dürfen Passwörter keinesfalls im Klartext speichern
  8. Sichere Passwörter auf Smartphones
  9. Standard-Passwörter immer ändern

Anmerkung der Datenbeschützerin

Auch das BayLDA hat prominente Webseiten geprüft und das Ergebnis in seinem Webseitenbericht veröffentlicht. Auch dort wird der Punkt der Passwortsicherheit angesprochen.

Steuerberater und Lohnbuchhaltung

  • Frage: Ist der Steuerberater mit Übernahme der Lohnbuchhaltung Auftragsverarbeiter oder nicht?
  • Sofern der Steuerberater neben seiner eigentlichen Tätigkeit (Hilfe in Steuersachen) zusätzliche weitere Aufgaben übernimmt, handelt es sich um eine Auftragsverarbeitung

Anmerkung der Datenbeschützerin

Das BayLDA nimmt in seinem 8. Tätigkeitsbericht ebenfalls Stellung zu dieser Thematik und gibt an, dass der Steuerberater auch bei Übernahme der Lohnbuchhaltung kein Auftragsverarbeiter ist. Begründet wird dies damit, dass dieser selbstständig arbeitet, weisungsunabhängig ist und der gesetzlichen Schweigepflicht unterliegt.

Es ist jedoch empfehlenswert, dass die Verantwortlichen, die ihren Sitz in Baden-Württemberg haben, der Ansicht der Aufsichtsbehörde folgen oder nochmals nachfragen.

Datenschutz in der Pflege

Datenschutzrechtliche Probleme in Pflegeeinrichtungen

Hier werden einige Fälle aus der Praxis seitens des Landesdatenschutzbeauftragten vorgestellt.

  • Der Geschäftsführer einer Pflegeeinrichtung hatte gleichzeitig die Funktion als DSB – dieser wurde auf den Interessenskonflikt hingewiesen
  • Keine Einwilligung seitens der Heimbewohner für die Veröffentlichung von Bildern in digitalen Fotorahmen – Angabe der Veröffentlichungsorte (Zeitung, Aushang am schwarzen Brett etc.) sind in der Einwilligungserklärung mit abzufragen z.B. durch Ja/Nein-Kästchen
  • Eine Attrappe einer Videokamera wurde im Eingangsbereich eines Pflegeheims angebracht – bloße Attrappen sind ebenfalls datenschutzrechtlich unzulässig, da sich die Betroffenen dennoch beobachtet fühlen können
  • Abfrage von nicht benötigten Daten zukünftiger Bewohner z.B. Religionszugehörigkeit, Staatsangehörigkeit – nur für den Behandlungs- bzw. Pflegevertrag benötigte Daten dürfen abgefragt werden. Weitere Datenerhebungen sind nur mittels einer Einwilligung zulässig. Vertragsvordrucke ggf. mit Hinweisen versehen, dass bestimmte Daten „freiwillige Angaben“ sind.

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat ein FAQ für Pflegeeinrichtungen zusammengestellt.

Bußgelder

Kriterien für die Einleitung eines Bußgeldverfahrens

Folgende Kriterien werden beim Erlass eines Bußgeldes mit eingebracht:

  • Schlechte / keine Zusammenarbeit mit der Aufsichtsbehörde im Verwaltungsverfahrens
  • Grobe Fahrlässigkeit oder Vorsatz
  • Besondere Datenarten
  • Mehrfachverstöße
  • Großer Betroffenenkreis / Große Datenmengen
  • Datenhändler

Datenschutz bei Rechtsanwälten

  • Häufige Beschwerde: E-Mail-Kommunikation ohne Verschlüsselung
  • Pflicht nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO: Ende-zu-Ende-Verschlüsselung

Gesundheit und Soziales

Diskretion in Arztpraxen

  • Empfangstresen und Wartezimmer sollten durch eine verschlossene Tür getrennt werden
  • Eine akustische Schalleindämmung sind bei offenen Räumlichkeiten durch Raumteiler oder Diskretionsbeschallung möglich
  • Telefone sollten mobil tragbar sein, um vertrauliche Telefonate in einem separaten Raum zu führen

Hinweis der Datenbeschützerin

Die Landeszahnärztekammer von Baden-Württemberg veröffentlichte im März 2019 eine Merkblatt zu den TOMs in Arztpraxen. .

Privater Datenschutz

Adresshandel

Zwei Möglichkeiten, um Adresshandel durchzuführen:

  • Einwilligung oder
  • berechtigtes Interesse (Interessensabwägung)

Einwilligung

  • Unproblematisch, wenn Betroffener vorher ausdrücklich und informiert in Adresshandel eingewilligt hat
  • Sofern die Einwilligung auf weitere Unternehmen gelten soll, sind dies namentlich mit Adresse in der Einwilligungserklärung mit anzugeben
  • Pauschale Einwilligungserklärungen sind ungültig
  • Auch wenn die Daten neben den Adresshandel für weitere Zwecke verwendet werden sollen, sind diese mit anzubringen

Interessensabwägung (berechtigtes Interesse)

Es müssen drei Voraussetzungen erfüllt sein, um den Adresshandel auf das berechtigte Interesse stützen zu können:

  • Der für die Verarbeitung Verantwortliche oder ein Dritter haben ein berechtigtes Interesse (rechtlich, wirtschaftlich, tatsächlich oder ideell)
  • Die Verarbeitung ist zur Wahrung des berechtigten Interesse erforderlich
  • Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erforderlich, überwiegen nicht. Insbesondere, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer Verarbeitung rechnen muss

Beispiel: Bei geschäftlichen Beziehungen geht der Betroffenen nicht davon aus, dass seine Kundendaten ungefragt an fremde Unternehmen verkauft oder vermietet werden. Zudem hat der Betroffene ein sehr starkes Interesse daran, dass seine Daten nicht zu einer grenzenlos gehandelten Ware verkommt. Auch könne er sich im Sinne der Transparenz keinen Überblick mehr verschaffen bzw. würde dies erschwert werden.

  • Unzulässig ist auch, die Informationen über den Adresshandel „bösgläubig“ in der Informationspflicht nach Art. 13 und Art. 14 DSGVO bereit zu stellen
  • Art. 13 und Art. 14 DSGVO sollen über die tatsächlichen Datenverarbeitungen informieren und nicht als Erlaubnisbestand gelten oder das Ergebnis der Interessensabwägung vorwegnehmen

Auf Erwägungsgrund 47 kann ein Adresshändler sich nicht stützen, da es hier um Direktwerbung, jedoch nicht um Adresshandel, geht.

Ergebnis: Die Interessensabwägung fällt zugunsten der Betroffenen aus und das berechtigte Interesse fällt somit als Rechtsgrundlage weg.

Ausblick: Der Adresshandel wird wohl nur noch möglich sein, wenn eine Einwilligung seitens der Betroffenen eingeholt wird.

Anmerkung der Datenbeschützerin

Der Tätigkeitsbericht wurde wohl zeitnah nach Inkrafttreten der DSGVO erstellt. Sofern neue Informationen seitens der Behörden bekannt werden, werden diese in der Knowledge-Base veröffentlicht.

34. Tätigkeitsbericht des LfDI

Quelle

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.