Autor: Jasmin Sturm

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat seinen jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Umgang mit Fotografien

  • Durch die DSGVO hat sich nichts Wesentliches gegenüber den bestehenden Gesetzen geändert
  • Werden Bilder für private oder familiäre Zwecke angefertigt, gilt die DSGVO nicht (Familienfeier)
  • Findet die DSGVO Anwendung, können die Fotos aufgrund des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden
  • Faustregel: Je geringer der Eingriff in die Persönlichkeitsrechte, desto eher fällt die Interessensabwägung zu Gunsten des Fotografen aus
  • Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist notwendig, wenn z.B. Einzelporträts angefertigt werden
  • Fotoveröffentlichung von Versammlungen, Aufzügen (Volksfesten), Festumzügen etc. sind ohne Einwilligung nach dem Kunsturhebergesetz erlaubt

Hinweis der Datenbeschützerin

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat sich nach aktuellen Ereignissen ebenfalls mit dem Thema Fotoaufnahmen und deren Veröffentlichung beschäftigt.

Beschäftigtendatenschutz

  • Kritik: keine konkreten nationalen Regelungen zum Beschäftigtendatenschutz

Seitens des Bundesbeauftragten für den Datenschutz sind folgende Bereiche noch zu regeln:

  • Datenschutz beim Bewerbungsverfahren
  • Arbeitsverhältnisgestaltung und Compliance-Fragen
  • Personalentwicklung und Persönlichkeitsprofile
  • Umgang mit Gesundheitsdaten
  • Überwachungssysteme am Arbeitsplatz
  • Einsatz von biometrischen Daten und Big-Data
  • Private Nutzung dienstlicher Kommunikationsmittel
  • Dienstliche Nutzung privater Kommunikationsmittel
  • Transparenz der Datenverarbeitung
  • Übermittlung der Mitarbeiterdaten innerhalb einer Unternehmensgruppe
  • Whistleblowing

Anmerkung der Datenbeschützerin

Die oben genannten Themenbereiche (vor allem Bewerbungsverfahren, BOYD – Bring your own device, Private Nutzung und Überwachung am Arbeitsplatz) kommen vor allem bei der Bestandsaufnahme für das Verfahrensverzeichnis zur Sprache.

Nutzungen von dienstlichen Geräten zu privaten Zwecken werden meist über Nutzungsvereinbarungen oder Dienstanweisungen geregelt. Viele Verantwortliche untersagen, eben aufgrund der DSGVO bzw. der fehlenden Regelung, die private Nutzung. BOYD wird meist aus der Angst vor einer Datenschutzverletzung untersagt.

WhatsApp als Kommunikationsmittel

  • WhatsApp übermittelt Nutzerdaten ohne wirksame Einwilligung an Facebook weiter
  • Kontaktdaten des Nutzers werden verarbeitet, unabhängig davon, ob ein Kontakt selbst WhatsApp nutzt
  • WhatsApp wird als nicht datenschutzfreundlich eingestuft

Alternativen zu WhatsApp

  • Hoccer
  • Line
  • Signal
  • SIMSme
  • Skype
  • Telegram
  • Threema
  • Viber
  • Wire

Anmerkung der Datenbeschützerin

Auch das BayLDA betrachtet WhatsApp als nicht datenschutzkonform.

Datenlöschung nach der DSGVO

  • Der Bundesbeauftragte kontrollierte einen Telekommunikationsanbieter und stellte fest, dass Altdaten von ehemaligen Kunden nicht gelöscht wurden.
  • Die Daten wurden im SAP-System gespeichert.
  • Der internen Datenschutzabteilung war dieses Problem seit 2012 bekannt, jedoch wurden keine Maßnahmen zur Löschung getroffen
  • Mittlerweile wurden die Daten nach Angaben des Unternehmens gelöscht

Eine Speicherung von nicht mehr benötigten Daten ist ein Verstoß gegen die DSGVO. Es sollte jedoch zuvor geprüft werden, ob die Datensätze einer gesetzlichen Aufbewahrungsfrist unterliegen.

Weitere Themengebiete im Tätigkeitsbericht

Folgende Ausschüsse werden im Bericht behandelt, welche in der Zusammenfassung nicht berücksichtigt wurden:

  • Ausschuss für Bildung, Forschung und Technikfolgenabschätzung
  • Ausschuss für Familie, Senioren und Jugend
  • Finanzausschuss
  • Ausschuss für Inneres und Heimat
  • Ausschuss für Kultur und Medien
  • Ausschuss für Recht und Verbraucherschutz
  • Ausschuss für Wahlprüfung, Immunität und Geschäftsordnung

27. Tätigkeitsbericht

Quelle

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit: https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2019/27.TB.html

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bayerische Landesbeauftragte für Datenschutz klärt in seinem Arbeitspapier die Fragen, wer förmlich verpflichtet werden muss.

Was bedeutet förmliche Verpflichtung?

  • Datenschutzrechtliche Verstöße können auch eine strafrechtliche Relevanz (§ 203 StGB) besitzen
  • Betroffen davon sind Beamte sowie Tarifbeschäftigte bayerischer öffentlicher Stellen
  • Förmliche Verpflichtung ist nicht gleich Verpflichtung auf das Datengeheimnis

Gibt es datenschutzrechtliche Regelung für eine förmliche Verpflichtung?

Ja, in mehreren Gesetzen ist eine förmliche Verpflichtung vorgesehen. Sofern der zu Verpflichtende kein Amtsträger (Beamter) ist, sind folgende Gesetze einschlägig:

  • Beschäftigte eines Auftragsverarbeiters, welcher Personalaktendaten verarbeitet (Art. 108 Abs. 3 Satz 2 BayBG)
  • Beschäftigte eines Versicherungsunternehmens, welches mit Beihilfestellung beauftragt ist (Art. 96 Abs. 4 Satz 5 HS 2 BayBG)
  • Öffentlich bestellte Dolmetscher (Art. 4 abs. 1 Dolmetschergesetz)
  • Evaluationsgruppen, die an der externen Evaluation an Schulen mitwirken (Art. 113 Abs. 2 Satz 3 Bayerisches Gesetz über Erziehungs- und Unterrichtswesen)
  • Nicht verbeamtete Administratoren für den elektronischen Personenstandsregister (§ 1 Abs. 4 Satz 2 Verordnung über das zentrale Personenstandsregister)

Müssen eigene Mitarbeiter förmlich verpflichtet werden?

  • Sofern der Mitarbeiter Beamter ist eine Verpflichtung nicht nötig, da er Amtsträger ist

Sind ehrenamtliche Gemeinderatsmitglieder zu verpflichten?

  • Grundsätzlich sind Gemeinderatsmitglieder keine Amtsträger (Beamte) (§ 11 Abs. 1 Nr. 2 StGB), auch keine Beschäftigten der Gemeinde oder in keinem Auftragsverhältnis mit der Gemeinde stehen
  • Voraussetzung für eine förmliche Verpflichtung wäre, dass die Mitglieder bei der Behörde/Gemeinde beschäftigt sind oder für sie Aufgaben übernimmt z.B. Leitung des Sportsamts durch den Sportreferenten des Stadtrats
  • Eine förmliche Verpflichtung würde dem Weisungsrecht unterfallen und gegen das freien Mandat der Mitglieder sprechen

Ist eine förmliche Verpflichtung auch ohne gesetzliche Rechtsgrundlage möglich?

  • Ja, öffentliche Stellen können auch unabhängig der gesetzlichen Vorgaben eine förmliche Verpflichtung anwenden
  • Grds. sollte eine förmliche Verpflichtung erfolgen, wenn externe (auch nicht öffentliche-Stellen) Personen/Stellen tatsächlich Zugang zu den personenbezogenen Daten hat

Wie ist der Ablauf einer förmlichen Verpflichtung?

  • Die Verpflichtung wird mündlich vorgenommen
  • Der Hinweis auf strafrechtliche Konsequenzen bei Verletzung hat zu erfolgen
  • Verpflichtende unterzeichnet eine Niederschrift und erhält eine Abschrift

Arbeitspapier förmliche Verpflichtung

Quelle

Der Bayerische Datenschutzbeauftragte für den Datenschutz (BayLfD): https://www.datenschutz-bayern.de/datenschutzreform2018/

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Landesbeauftragte für den Datenschutz von Baden-Württemberg hat eine Orientierungshilfe zum Thema „Fotografieren und Datenschutz“ veröffentlicht. In diesem Papier wird erläutert, wann die DSGVO überhaupt greift, welche Rechtsgrundlage greifen kann und wie die Betroffenen über die Aufnahmen zu informieren sind

Gilt die DSGVO für Privatpersonen?

  • Grundsätzlich nein, sofern durch Privatpersonen Fotos für familiäre und private Zwecke (z.B. Familienfeiern, angefertigt werden, gilt die DSGVO nicht
  • Aber ACHTUNG! Werden die Fotos veröffentlicht und einen uneingeschränkten Personenkreis zugänglich gemacht, kann die DSGVO in diesen Fällen Anwendung finden
  • Daher die Bilder nicht öffentlich teilen, sondern in einer geschützten Gruppe oder geschlossenem Forum nur bestimmten Personen zugänglich machen

Welche Rechtsgrundlage ist für die Fotoaufnahmen nach der DSGVO einschlägig?

Hier ist die juristische Antwort: „Es kommt drauf an!“ Es können bei Fotoaufnahmen eine von drei Möglichkeiten einschlägig sein.

Einwilligung

  • Der Betroffene hat eingewilligt, dass Fotoaufnahmen und veröffentlicht werden
  • Die Einwilligung ist nicht zwingend schriftlich einzuholen
  • Im Zweifel hat der Verantwortliche jedoch die Einwilligung nachzuweisen
  • Dem Betroffenen ist der Hinweis auf das Widerrufsrecht bereitzustellen

Berechtigtes Interesse

  • Fotoaufnahmen sind unproblematisch wenn das Ergebnis der Interessensabwägung zu Gunsten des Verantwortlichen ausfällt
  • D.h. wenn die Interessen von natürlichen Personen nicht überwiegen
  • Sofern jedoch Kinder fotografiert werden, kann sich nicht auf berechtigte Interesse gestützt werden

Dürfen auf großen und öffentlichen Veranstaltungen Fotos aufgenommen und veröffentlicht werden?

  • Bei großen / öffentlichen Veranstaltungen kann man die Erwartungshaltung dahin gehend auslegen, dass Fotos aufgenommen werden
  • D.h. „Wenn ich das Volksfest besuche, kann ich damit rechnen, dass Fotos für Presse oder Werbezwecke angefertigt und veröffentlicht werden.“

Erfüllung eines Vertrags

  • Sofern z.B. ein Fotograf mit der Dokumentation einer Hochzeit oder Veranstaltung beauftragt wird, erfüllt er den Vertrag mit den Fotoaufnahmen
  • Allerdings ist nur der Auftraggeber, also das Brautpaar, Bestandteil des Vertrags, .d.h. der Fotograf darf Fotos vom Brautpaar machen, jedoch nicht von der Gesellschaft
  • Für die Hochzeitsgesellschaft ist eine andere Rechtsgrundlage zu definieren (z.B. Einwilligung)

Welche anderen Gesetze müssen neben der DSGVO beachtet werden?

  • KUG (Kunsturhebergesetz)
  • APR (Allgemeines Persönlichkeitsrecht

Nach dem KUG bedarf es keiner Einwilligung der Betroffenen, wenn:

  • historische Bilder / Zeitgeschichte
  • die abgebildeten Personen nur Beiwerk sind
  • die Bilder auf Versammlungen, Aufzügen, Umzügen etc. aufgenommen wurden

Muss über die Fotoaufnahmen und die Veröffentlichung informiert werden?

  • Ja, der Verantwortliche hat die Informationspflichten nach Art. 13 DSGVO bereitstellen
  • Bei einer großen Menschenmenge akzeptiert das LfDI, dass durch einen Aushang an den Eingängen mit den wesentlichen Angaben nach Art. 14 Abs. 1 DSGVO die Betroffenen informiert werden
  • Auch die Möglichkeit der „abgestuften“ Informationsbereitstellung ist möglich: 1. Schritt Basisinformationen (Name und Kontaktdaten des Verantwortlichen, Zweck, Rechtsgrundlage, Speicherdauer, Betroffenenrechte) und 2. Schritt (übrige abgehende Informationen)

Dürfen Schulen das Fotografieren verbieten?

  • Die Schule hat das Hausrecht und kann somit Fotoaufnahmen der Eltern verbieten
  • Allerdings kann die DSGVO nicht als Begründung herangezogen werden, da Fotos für Privatzwecke erlaubt sind und nicht unter die DSGVO fallen (s.o.)

Fotografieren und Datenschutz

Quelle

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/09/Fotografieren-und-Datenschutz-September-2019.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Stiftung Datenschutz hat eine Orientierungshilfe zum Thema „Beschäftigtendatenschutz“ mit einigen Fallbeispielen veröffentlicht. Die Beispiele werden hier besonders hervorgehoben und vor allem wann die Daten der Mitarbeiter verarbeitet werden dürfen.

Bewerbungsverfahren

Welche Daten der Bewerber dürfen in einem Online-Fragebogen oder Bewerbungsbogen abgefragt werden?

Nur die Daten und Informationen, die für das Beschäftigungsverhältnis erforderlich sind z.B. Ausbildung, Zeugnisse, Name, Adresse, E-Mail/Telefon, Gehaltsvorstellungen (als freiwillige Angabe), Stundenkontingent (Vollzeit-, Teilzeit), etc.

Fragen nach Straftaten ist nur erlaubt, wenn es für den Arbeitsplatz erforderlich ist z.B. Kurierfahrer nach Verkehrsdelikten oder Buchhalter nach Betrugsdelikten.

Folgende Fragen dürfen nicht gestellt werden:

  • Sind Sie schwanger oder planen Sie in absehbarer Zeit schwanger zu werden?
  • Haben Sie eine körperliche oder geistige Behinderung?

Wie lange dürfen die Daten der Bewerber gespeichert werden?

  • Nicht länger als 4 Monate
  • Sofern der Bewerber für zukünftige Stellenangebote angeschrieben werden soll, benötigt man die Einwilligung

Hinweis der Datenbeschützerin

Die Datenbeschützerin empfiehlt eine Speicherdauer von 6 Monaten der Bewerberdaten. Der Bewerber hat im Rahmen des AGG (Allgemeinen Gleichbehandlungsgesetzes) zwei Monate Zeit den Anspruch auf Schadenersatz oder Entschädigung einzureichen. Zudem ist der Anspruch innerhalb von drei Monaten bei Gericht geltend zu machen. Insgesamt beträgt die Frist somit 5 Monate. Werden die Daten vorher gelöscht, kann ggf. kein Nachweis über die „korrekte“ Auswertung der Bewerberdaten erbracht werden.

Dürfen die Social-Media-Profile von den Bewerbern eingesehen und für den Bewerbungsprozess bewertet werden?

  • Aufsichtsbehörden sind der Ansicht, dass die Recherche in sozialen Netzwerken (Facebook, Twitter) datenschutzrechtlich unzulässig ist
  • Außer es handelt sich um „beruflich“ Netzwerke z.B. XING oder LinkedIn

Darf ich den Namen des Bewerbers „googeln“ und für die Bewerbungsentscheidung bewerten?

  • Nur, wenn die Informationsbeschaffung für die Einstellung erforderlich ist und die Informationen vom Fragerecht umfasst sind
  • Der Bewerber hat jedoch über die Informationsbeschaffung (Quelle, Rechtsgrundlage) spätestens innerhalb eines Monats informiert zu werden

Personalverwaltung

Fallen handschriftliche Notizen / Ordner über die Mitarbeiter unter die DSGVO?

Ja, da die Papierform (§ 26 Abs. 7 BDSG-neu) bereits ausreichend ist, um den Anwendungsbereich der DSGVO zu eröffnen.

Dürfen Vermerke über Krankheiten und Religionszugehörigkeit gemacht werden?

  • Die Daten können zur Erfüllung aus dem Arbeitsrecht oder Sozialschutz nötig sein
  • In diesem Fall ist keine Einwilligung der Mitarbeiter nötig, d.h. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO
  • Allerdings darf die Religionszugehörigkeit nur für die Abführung der Kirchensteuer verarbeitet werden

Darf ich die Mitarbeiter mittels GPS allgemein überwachen?

Nein, da es sich um eine unbegründete und anlasslose Überwachung handelt.

Anmerkung der Datenbeschützerin

Das Verwaltungsgericht Lüneburg urteilte im März 2019, welche Daten durch ein GPS-System verarbeitet werden dürfen und welche nicht.

Die Vearbeitung der Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) ist erlaubt.
Untersagt ist die Kontrolle der Privatfahrten und eine nicht angemessene Speicherdauer (im vorliegenden Fall wurden die Daten 150 Tage gespeichert).

Darf ich heimlich die Mitarbeiter videoüberwachen?

  • Nein, da es ein schwerer Eingriff in die Persönlichkeitsrechte darstellt
  • Das Bundesarbeitsgericht ließ die heimlich Überwachung nur im absoluten Ausnahmefall und als letztes Mittel zu
  • Auch bei offenen Videoüberwachungen ist eine Interessensabwägung durchzuführen
  • Es ist abzuschätzen, ob die Beschäftigten durch die Videoüberwachung einem Überwachungsdruck ausgesetzt sind und ob es Alternativen für die Überwachung gibt

Anmerkung der Datenbeschützerin

In einem weiteren Blogartikel können Sie sich über die „zulässige Speicherdauer und deren Verwertung von Videoaufnahmen“ informieren.

Benötigt man eine Einwilligung für die Veröffentlichung von Mitarbeiterbildern?

Ja, sofern die Bilder auf der Webseite oder in den sozialen Medien veröffentlicht werden sollen, ist eine Einwilligung nötig.

Sofern Personen jedoch nur als „Beiwerk“ auf den Fotos erscheinen, ist keine Einwilligung erforderlich.

Anmerkung der Datenbeschützerin

Die DSK beschreibt im Kurzpapier Nr. 20, wie eine Einwilligung zu gestalten ist.

Nutzung von Informations- und Kommunikationstechnik

Dürfen die Telefongespräche der Mitarbeiter mitgehört werden?

  • Strafrechtlich verfolgt wird die Aufnahme des nicht-öffentlich gesprochenen Wortes
  • Das reine Mithören ist nicht strafbar
  • ABER: Der Arbeitgeber verletzt die Vertraulichkeit der Kommunikation, wenn er ohne das Wissen der Mitarbeiter die Gespräche mithört
  • Zumal die Persönlichkeitsrechte der Beschäftigten dabei ebenfalls verletzt werden

Anmerkung der Datenbeschützerin

In diesem Fall sollten die Mitarbeiter transparent informiert werden über die Möglichkeit des Mithörens. Vor allem ist es abzuwägen, aufgrund welcher Rechtsgrundlage das Mithören statt finden soll.

Ist die geschäftliche Kommunikation über WhatsApp zulässig?

  • Die Nutzung von WhatsApp zu geschäftlichen Kommunikationszwecken ist nicht datenschutzkonform laut den deutschen Aufsichtsbehörden
  • Als datenschutzfreundliche Alternativen werden Threema, Signal oder Wire vorgeschlagen

Orientierungshilfe Beschäftigtendatenschutz

Quelle

Stiftung Datenschutz: https://stiftungdatenschutz.org/themen/beschaeftigtendatenschutz/

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das BSI in seinem Kurzbericht die Mindeststandards für die Verwendung von TLS mit. Der Bericht weist den Stand vom 05.04.2019 auf.

Sicherheitsanforderungen

Diese Sicherheitsanforderungen sind umzusetzen, wenn TLS verwendet wird.

Verwendung von TLS

  • Übertragung von Dateien: TLS Version 1.2 in Kombination mit Perfect Forward Secrecy (PFS) ODER
  • TLS Version 1.3 mit PFS
  • TLS Versionen die älter als 1.2 sind, werden als riskant eingestuft

Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS)

Quelle

Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards_Bund/TLS-Protokoll/TLS-Protokoll_node.html

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die Bayerische Landeszentrale für neue Medien (BLM) hat einen Leitfaden für den Schutz der persönlichen Daten veröffentlicht. Auch wir als Datenschutzbeauftragte, Geschäftsführer oder Mitarbeiter sind letztendlich Privatpersonen und wollen unsere ganz persönlichen Daten schützen. Tipps, Tricks und Klicks bietet dieser Leitfaden.

Technik und Geräte

  • Prüfung der Datenschutzeinstellung bei Anschaffung neuer Geräte
  • Einrichtung von Zugangssperren Z.B. Boot-Sperre; Display-Sperre, PIN-Schutz der SIM-Karte
  • Nicht benötigte Dienste, wie GPS, WLAN oder Bluetooth deaktivieren
  • Kamera und Mikrofon ausschalten / überkleben
  • Installation von Antivirenprogrammen und eine Firewall für die Endgeräte – regelmäßige Updates installieren

Einrichtung von Passwörtern

Sichere Passwörter sind der Schlüssel zum Schutz vor unbefugten Zugriff. Folgende Empfehlungen sollten daher berücksichtigt werden:

  • Mind. 10 Zeichen
  • Groß-, Kleinbuchstabe, Zahlen und Sonderzeichen
  • Keine Wörter aus dem Duden, keine Eigennamen, Geburtsdatum, ABC- und Zahlenfolge
  • Nicht in unbekannten Umgebungen einloggen (z.B. offenes WLAN)
  • Regelmäßige Passwortänderung
  • Passwörter nicht auf dem Gerät oder im Browser speichern
  • Keine Weitergabe der Passwörter

Anmerkung der Datenbeschützerin

  • Für jeden Dienst (z.B. Social-Media, Onlineshops etc.) ein eigenes Passwort wählen
  • Problem und Folge: Die Passwörter können sich nicht gemerkt werden und es wird vermutlich immer das gleiche Passwort gewählt
  • Lösung: Verwendung eines Passwortsafes

Kommunikation mit mobilen Geräten

Kommunikation findet neben den Telefonat an sich über verschiedene Kanäle statt. E-Mail, Messenger-Dienste, SMS etc. Für die meisten Dienste werden Apps bereitgestellt, bei denen sich folgende Fragen gestellt werden sollten:

  • Benötige ich die App wirklich?
  • Wenn ja, welche Berechtigungen benötigt die App? Auf welche Daten möchte die App zugreifen?
  • Welche Privatsphäre-Einstellungen sind bereits gewählt und welche kann ich ggf. selbst vornehmen und optimieren?

Messenger-Dienste und Alternativen

  • Alternative zu Skype: Jitsi
  • Alternative zu WhatsApp: Threema, Signal, Open Whisper Systems

Anmerkung der Datenbeschützerin

WhatsApp wird derzeit für die geschäftliche Kommunikation als nicht datenschutzkonforme eingestuft.

E-Mail-Kommunikation

  • Übertragungsweg verschlüsseln (z.B. TLS, SSL) – bereits vorhanden bei Outlook oder Thunderbird
  • Freemail-Anbieter verschlüsseln zwar den Weg, jedoch nicht in den Inhalt und werten diesen für Werbeeinblendungen und zur Abwehr von Spam aus
  • Bei sensiblen Inhalten der E-Mail z.B. Bankverbindungsnummer, Gesundheitsdaten sollte auch der Absender die E-Mail inhaltlich verschlüsseln

Spam und Phishing

  • Kein Öffnen von Anhängen und Links von unbekannten Absendern
  • Deaktivierung der HTML-Ansicht, um gefährliche Inhalte zu deaktivieren
  • Kein Versand oder Eingabe von persönlichen (sensiblen) Daten in beigefügten Links in der E-Mail

Hinweis der Datenbeschützerin

Beim Öffnen der E-Mail kann noch kein Schaden angerichtet werden. Um zu überprüfen, wo der Link in der E-Mail hinführt, ist es ratsam, einfach mit dem Mauspfeil über den Link zu fahren. Dabei wird die Empfängeradresse oberhalb des Mauszeigers angezeigt. Meist sind Spam- oder Phishing-Mails mit Links wie https://www.amazon.de versehen. Beim Überfahren des Links werden jedoch meist nicht zuordenbare Empfängeradressen angezeigt.

Schutzmaßnahmen beim Surfen im Internet

  • Browser-Cookies regelmäßig löschen oder
  • Speicherung durch Browser-Einstellungen verhindern – durch das Setzten von Cookies können Bewegungsprofile auf der Webseite erstellt werden
  • Surfen im Privat-Modus
  • Alternative Suchmaschinen verwenden z.B. Ixquick, DuckDuckGo, Startpage
  • Verschlüsselung von Dateien, die in der Cloud gespeichert sind
  • Hochgeladene Bilder / Videos z.B. in sozialen Netzwerken nicht für jeden öffentlich zugänglich machen

Hinweis der Datenbeschützerin

Was das soziale Netzwerk Facebook über einen gespeichert hat und wie man an seine Daten gelangt, kann in unserem Blogartikel „Facebook Datenschutz- was weiß Facebook über mich?“ nachgelesen werden.

Schutz beim Einkaufen und Bezahlen

  • Nutzung von Onlineshops, die ein Gütesiegel oder anderweitige Zertifikate nachweisen können
  • Bestellungen nur vom eigenen Gerät aus tätigen
  • Prüfung, ob bei Bestellvorgängen eine verschlüsselte Datenübertragung „https“ vorliegt
  • Bestellung als „Gast“ abwickeln – Daten werden nur für die jeweilige Datenabwicklung gespeichert
  • Bei Registrierung nur die Pflichtangaben ausfüllen
  • Webseiten zum Onlinebanking nicht über Suchmaschine aufrufen – Gefahr von Phishing-Seiten
  • Kontoabbuchungen regelmäßig prüfen und bei Unstimmigkeiten die Bank informieren

Anmerkung der Datenbeschützerin

Die oben genannten Tipps und Hilfestellungen können auch z.B. in Mitarbeiterschulungen mit einfließen. So können die Mitarbeiter auch was für ihr Privatleben mitnehmen.

Selbstdatenschutz! Tipps, Tricks und Klicks

Die Broschüre wird hier nicht zum Download angeboten. In der Broschüre wurde keine Aussage getroffen, ob das Papier anderweitig zum Download angeboten werden darf. Der Leitfaden kann sich im nachstehenden Quellenlink heruntergeladen werden.

Quelle

Bayerische Landeszentrale für neue Medien (BLM): https://www.blm.de/aktivitaeten/medienkompetenz/materialien/selbstdatenschutz.cfm

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlichte eine Orientierungshilfe für die Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Bitte beachten Sie, dass diese Orientierungshilfe für die öffentliche Stellen vorrangig gilt.

Folgende Vorgehensweise wird seitens der Behörde empfohlen:

  • Datenschutzverletzung als Ausgangspunkt
  • Risikobeurteilung
  • Meldepflicht ggü. der Aufsichtsbehörde
  • Benachrichtigung an die Betroffenen
  • Dokumentation des Vorfalls

Datenschutzverletzung als Ausgangspunkt für die Melde- und Benachrichtigungspflicht

Analyse des Verletzungsverhaltens

Hier ist die Angriffsart zu analysieren. Folgende Angriffsarten werden dabei erwähnt:

Nichtbeachtung der Vorgaben des Verantwortlichen

  • Nichtbeachtung kann durch Beschäftigte des Verantwortlichen oder Auftragsverarbeitern erfolgen

Beispiel: Privater USB-Stick wird an den dienstlichen/geschäftlichen Computer angeschlossen. Auf dem USB-Stick ist eine nicht bemerkbare Schadsoftware. Diese infiziert das gesamte Netzwerk. Die Nutzung privater Datenträger am dienstlichen Computer ist allerdings untersagt.

Überwindung technischer Vorkehrungen

  • Diese Überwindung findet meist von externen Angreifern statt
  • Diese sind nicht zugriffsberechtigt

Beispiel: Ein Angreifer schickt unter falschem Namen einen Befundbericht mit Bilddateien an ein Krankenhaus. Die Bilddateien werden geöffnet und die Datenträger durch die Schadsoftware verschlüsselt.

Organisatorisches Fehlverhalten

  • Nur der Verantwortliche kann ein organisatorisches Fehlverhalten versuchen, da er keine Maßnahmen nach Art. 32 DSGVO getroffen hat (z.B. Arbeits- oder Dienstanweisungen)

Beispiel: Bei einem Telefonat gibt die Hilfskraft die bereits mehrfach gewählte Telefaxnummer eines Arztes ein und versendet das Fax mit dem Befundbericht jedoch an den falschen Empfänger. Bei der Prüfung wird festgestellt, dass keine Regelungen zum Versand von Befunden per Telefax vorliegen.

Verletzungserfolg

Was ist das Resultat aus dem Verletzungsverhalten? Es werden drei Möglichkeiten genannt:

Beeinträchtigung der Datenverfügbarkeit

  • Nach einer Vernichtung können nicht mehr auf die Daten zugegriffen werden – Verletzungsverhalten: Löschen oder Überschreiben eines Datenträgers
  • Verlust führt dazu, dass die Daten erhalten bleiben, jedoch der Zugriff nicht mehr vorhanden ist – Verletzungsverhalten: Angriff von Externen
  • Auch bei vorübergehender eingeschränkter Verfügbarkeit kann eine meldepflichtige Datenpanne vorliegen

Beeinträchtigung der Datenintegrität

  • Veränderung der Daten
  • Zugriff auf die Daten bleibt unverändert, jedoch wurden die Daten geändert – Verletzungsverhalten: Austausch, Löschen und Hinzufügen von Daten

Beeinträchtigung der Datenvertraulichkeit

  • Unbefugte Offenlegung und unbefugter Zugang zu den Daten – Verletzungsverhalten: Fehlerhafte Adressierung eines Briefs oder E-Mail oder Ausspionieren von Passwörtern und Schlüsseln
  • Für den Verletzungserfolg ist es nicht erforderlich, dass Dritte von unbefugten offengelegten Kenntnis nehmen. Allein der Nachweis, dass die Möglichkeit besteht, ist ausreichend.

Risikobeurteilung

Unterscheidung in drei Risikostufen:

  • (voraussichtliches) geringes Risiko
  • (voraussichtliches) Risiko
  • (voraussichtlich) hohes Risiko)

Eine Meldung an die Behörde bei Datenschutzverletzungen hat zu erfolgen, wenn ein (voraussichtlich) hohes Risiko für die Betroffenen besteht.

Schritt 1: Gewinnung Beurteilungsgrundlage

  • Erfassung der tatsächlichen Umstände, welche die Beurteilungsgrundlage bilden

Folgende Kriterien können zur Erfassung der tatsächlichen Umstände beitragen:

  • Datenschutzverletzung und Umgebungsbedingung: Handelt es sich wirklich um einen Datenschutzvorfall? Wer hat die Datenschutzverletzung auf welchem Weg bewirkt?
  • Art, Sensibilität und Umfang der betroffenen Daten: Welche Datenkategorien sind betroffen? Handelt es sich um Daten nach Art. 9 DSGVO?
  • Identifizierung der Betroffenen: Können Dritte was mit den Daten über die Betroffenen „anfangen“? Welche Merkmale führen zu der Identität der Betroffenen? Auch bei Pseudonymisierung können personenbezogene Daten noch identifizierbar sein
  • Besondere Eigenschaften des Verantwortlichen: Einbeziehung des Verarbeitungskontextes – welche Absicht und welche möglichen Nachteile können dabei entstehen?
  • Zahl der betroffenen Personen: Wie viele Datensätze von wie vielen natürlichen Personen sind betroffen?

Schritt 2: Risikoanalyse

Es erfolgt eine Zuordnung in:

  • geringes Risiko
  • (normales) Risiko
  • hohes Risiko

Risiko = Eintrittswahrscheinlichkeit x Schwere der Nachteile

Anmerkung der Datenbeschützerin

Hinweise zu einer detaillierten Risikoanalyse werden in der Orientierungshilfe genannt. Auch die DSK hat ein Papier für die Risikoanalyse veröffentlicht. Des Weiteren wird im Blogartikel „Risikoanalyse durchführen – mit Muster / Vorlage und Beispiel“ ebenfalls die Risikoanalyse mit Beispielen und Mustern näher erläutert.

Wann entsteht die Meldepflicht ggü. der Aufsichtsbehörde?

Wenn die Risikobeurteilung als Resultat ein datenschutzrechtliches, wenn nicht sogar hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat, ist eine Meldung an die Behörde zu tätigen.

Die Meldepflicht entsteht zu dem Zeitpunkt, zu welchem der Verantwortliche von dem meldepflichtigen Ereignis Kenntnis erlangt hat.

Was ist mit Zeitpunkt gemeint?

  • Es bedeutet nicht, dass ab der 1. Minute die Frist für die Meldung läuft
  • Vielmehr ist der Zeitpunkt gemeint, indem bemerkt wird, dass was „schief gelaufen ist“
  • Verantwortlicher benötigt erst einmal Zeit, um den Sachverhalt aufzuklären (Analyse Verletzungsverhalten / Verletzungserfolg)

Während dieser Aufklärungsphase besteht keine Meldepflicht. ACHTUNG: Die max. Frist für die Aufklärung wird auf 24 Stunden beschränkt.

Wie erfüllt man die Meldepflicht?

Die Meldung hat unverzüglich zu erfolgen (Art. 33 Abs. 1 Satz 1 DSGVO).

Wie wird die 72-Stunden-Frist berechnet?

  • Fristberechnung richtet sich nach europäischer Fristen-VO (Art. 2 ff.) , da die DSGVO eine europäische Verordnung ist – d.h. BGB ist nicht anwendbar

Fristbeginn (Art. 3 Abs. 1 Fristen-VO)

Beispiel: Wird das meldepflichtige Ereignis um 16:20 Uhr entdeckt, so beginnt die Frist um 17:00 Uhr zu laufen, da die Stunde, indem das Ereignis entdeckt wird, nicht mitgezählt wird

Fristende (Art. 3 Abs. 2 Fristen-VO)

Die 72-Stunden-Frist läuft auch an einem Feiertag, Sonntag oder Samstag weiter und kann auch nicht durch andere Rechtsvorschriften in die Länge gezogen werden.

Ablauf Fristenberechnung

Die Orientierungshilfe veranschaulicht den Ablauf der Fristenberechnung in einer Tabelle:

Quelle: Meldepflicht und Benachrichtungspflicht des Verantwortlichen - Orientierungshilfe; Herausgeber: Der Bayerische Landesbeauftragte für den Datenschutz; Version 1.0; Stand: 01. Juni 2019; RN 83, Seite 39
Fristenberechnung_Meldepflicht; Quelle: Meldepflicht und Benachrichtigungspflicht des Verantwortlichen – Orientierungshilfe; Herausgeber: Der Bayerische Landesbeauftragte für den Datenschutz; Version 1.0; Stand: 01. Juni 2019; RN 83, Seite 39

Hinweis der Datenbeschützerin

Wie Eingangs erwähnt, richtet sich die Orientierungshilfe an öffentliche Stellen.

Die Frist für nicht-öffentliche Stellen, die dem BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) unterliegen, wird folgendermaßen berechnet:

Wir zählen die 72 Stunden ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde. Dies bedeutet bspw., dass bei einer Verletzung, die am Donnerstag um 16:00 Uhr festgestellt wird, die 72-Stunden-Frist am Sonntag um 23:59 Uhr abläuft. Bei der Festlegung der 72 Stunden werden auch Wochenenden/Feiertage mitgezählt und nicht nur Arbeitstage beachtet.

https://www.lda.bayern.de/de/faq.html

Bitte unterscheiden Sie, ob es sich um eine öffentliche Stelle oder nicht-öffentliche Stelle handelt. Danach richtet sich die Fristberechnung.

Was muss in der Meldung mitgeteilt werden?

Der Umfang der Meldung richtet sich nach Art. 33 Abs. 3 DSGVO:

  • Beschreibung der Art der Verletzung
  • Angabe der betroffenen Kategorien
  • ungefähre Zahl der Betroffenen
  • Name und Kontaktdaten des DSB
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen Maßnahmen zur Behebung der Verletzung und ggf. zukünftige Maßnahmen zur Abmilderung

Wann entsteht die Meldepflicht ggü. den Betroffenen?

Nur, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person besteht, hat eine Meldung an die Betroffenen zu erfolgen.

Eine Meldung an die Betroffenen hat jedoch nicht zu erfolgen, wenn

  • eine vorsorgliche Risikoabschirmung getroffen wurde,
  • eine nachträgliche Risikominimierung erfolgt ist,
  • der Aufwand der unverhältnismäßig hoch ist oder
  • der Schutz bestimmter rechtlicher geschützter Belange erforderlich ist.

Wie wird die Meldepflicht an die Betroffenen erfüllt?

  • Meldungen sind grds. direkt an Betroffene zu richten
  • Übermittlungsweg kann Verantwortlicher selbst wählen (z.B. E-Mail oder Brief)
  • Benachrichtigung ist kurz und verständlich abzufassen, so dass Betroffener die Nachteile erkennen kann

Gibt es Ausnahmen von der Benachrichtigungspflicht?

Ja, folgende Kriterien können zu einem Ausschuss der Benachrichtigungspflicht führen:

  • vorsorgliche Risikoabschirmung – wenn geeignete TOMs nach dem Datenschutzvorfall angewandt wurden und somit kein hohes Risiko mehr besteht
  • nachträgliche Risikominimierung – zu Beginn des Datenschutzvorfalls wurde ein hohes Risiko festgestellt, welches jedoch jetzt nicht mehr besteht und das Risiko noch keinen Schaden verursachte
  • unverhältnismäßiger Aufwand – die Benachrichtigung an den Betroffenen wäre mit sehr hohem Aufwand verbunden (einfacher Mehraufwand oder Kostenaufwand können nicht als Grund angegeben werden)

Sind die Vorfälle zu dokumentieren?

Ja, Vorfälle, ganz gleich ob meldepflichtig oder nicht, sind zu dokumentieren.

Dokumentation bei meldepflichtigen Vorfällen

Die beiden bayerischen Aufsichtsbehörden bieten zwei Meldeformulare an: für öffentliche Stellen und private Stellen. In der Orientierungshilfe wird das Online-Meldeformular des Landesdatenschutzbeauftragten genauer erläutert.

Anmerkung der Datenbeschützerin

Beim Aufbau des Datenschutzmanagements ist unerlässlich, die Prozesse rund um einen Datenschutzvorfall genau definieren und abzustimmen.

Mitarbeiter, die mit Verarbeitungsanlagen arbeiten (z.B. PC) sollten auf die Risiken der Verarbeitung sensibilisiert werden. Auch wer bei einem Vorfall zu benachrichtigen ist, ist den Mitarbeiter z.B. im Rahmen einer Mitarbeiterschulung näher zu bringen. Weiterhin sind die Vorfälle so zu dokumentieren, dass sich Abhilfemaßnahmen ableiten lassen.

Orientierungshilfe Melde- und Benachrichtigungspflicht

Quelle

Der Bayerische Landesbeauftragte für den Datenschutz: https://www.datenschutz-bayern.de/datenschutzreform2018/

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat seinen jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung des Datenschutzbeauftragten zum jeweiligen Thema hervorgehoben.

Beschäftigtendatenschutz

  • Kritik des Datenschutzbeauftragten: keine eindeutigen nationalen Regelungen für den Beschäftigtendatenschutz

Informationspflicht gegenüber den Beschäftigten

  • Die Informationspflichten sind nach Art. 13 und/oder Art. 14 DSGVO zu gestalten
  • Empfehlung des DSB Baden-Württemberg: Informationspflicht gegenüber den Mitarbeitern in solch einer Form anbieten, die es den Beschäftigten jederzeit ermöglicht, darauf zuzugreifen (z.B. im Intranet, zentraler Aushang am schwarzen Brett, E-Mail an alle Mitarbeiter)
  • keine Unterschrift oder Empfangsbestätigung der Informationspflicht nötig

Hinweis der Datenbeschützerin

Es bietet sich an, die Informationspflicht für die neuen Mitarbeiter als Anlage zum Arbeitsvertrag beizufügen.

Auch können die Informationspflichten an die Mitarbeiter z.B. als Anhang an die Lohnabrechnung angebracht werden.

Wenn das Foto weg muss…

  • Auf einem Gruppenfoto einer Unternehmensseite war ein ehemaliger Angestellter mit abgebildet
  • Er widerruf seine Einwilligung und verlangte, dass Foto zu löschen
  • Statt der Fotolöschung wurde eine andere Person mit Foto-Retusche hineingeschnitten
  • Die Aufsichtsbehörde kam zum Ergebnis, dass durch das Gruppenfoto keine einzelne Person herausstehen sollte, sondern das Unternehmen allgemein repräsentiert wird
  • Durch die Retusche war der Betroffenen nicht mehr eindeutig identifizierbar und das Recht auf Löschung bestand nicht mehr
  • Zwei Möglichkeiten sofern ein Widerruf seitens der Mitarbeiter ausgesprochen wird: Fotos sind zu löschen oder zu retuschieren, um eine Identifizierung auszuschließen

Ärzte und die DSGVO

Ärztliche Behandlung nur das datenschutzrechtlicher Einwilligung?

  • Nein, da ein Behandlungsvertrag zwischen Patienten und dem Arzt besteht (Art. 6 Abs. 1 lit. b DSGVO)
  • Nur in bestimmten Fällen braucht der Arzt die Einwilligung z.B. bei privatärztlichen Verrechnungsstellen oder vergleichbare Empfänger

Anmerkung der Datenbeschützerin

Das Thema der Einwilligung sorgt immer wieder für Kopfschütteln. Im Blogbeitrag „Warum die Einwilligung die DSGVO kaputt macht“ wird diese Thematik aufgegriffen.

Müssen Patienten mit ihrer Unterschrift den Empfang der Datenschutzinformation einer Arztpraxis quittieren?

  • Nein, da keine Empfangsbestätigung seitens der DSGVO gefordert wird
  • Die Informationen sind zur Verfügung zu stellen z.B. durch Aushang im Wartezimmer oder am Empfang

Technische-Organisatorische Maßnahmen (TOMs)

Datenträgerverschlüsselung

  • Häufigste Datenpanne: Verlust von USB-Sticks, Speicherkarten, externen Festplatten, Laptops oder PCs
  • Wichtige und einfache Maßnahme: Verschlüsselung der gesamten Datenträger
  • Empfehlung: „Full Disk Encryption“ oder für Windows BitLocker; für macOS FileVault; Linux: dm-crypt oder LUKS

Hinweise zum Umgang mit Passwörtern

  • Risiko: Passwörter können von Dritten erraten werden
  • Nutzer sind selbst in der Pflicht starke Passwörter zu wählen
  • Aber auch Hersteller und Administratoren sollten sichere Vorgaben machen

Eine Reihe von Regelungen hat sich dadurch etabliert:

  1. Starke Passwörter wählen
  2. Passwörter niemals doppelt verwenden
  3. Keine Passwörter aus dem Wörterbuch verwenden
  4. Passwörter nicht weitergeben
  5. Passwort-Safe verwenden
  6. Nur bei Kompromittierung ändern
  7. Software-Entwickler dürfen Passwörter keinesfalls im Klartext speichern
  8. Sichere Passwörter auf Smartphones
  9. Standard-Passwörter immer ändern

Anmerkung der Datenbeschützerin

Auch das BayLDA hat prominente Webseiten geprüft und das Ergebnis in seinem Webseitenbericht veröffentlicht. Auch dort wird der Punkt der Passwortsicherheit angesprochen.

Steuerberater und Lohnbuchhaltung

  • Frage: Ist der Steuerberater mit Übernahme der Lohnbuchhaltung Auftragsverarbeiter oder nicht?
  • Sofern der Steuerberater neben seiner eigentlichen Tätigkeit (Hilfe in Steuersachen) zusätzliche weitere Aufgaben übernimmt, handelt es sich um eine Auftragsverarbeitung

Anmerkung der Datenbeschützerin

Das BayLDA nimmt in seinem 8. Tätigkeitsbericht ebenfalls Stellung zu dieser Thematik und gibt an, dass der Steuerberater auch bei Übernahme der Lohnbuchhaltung kein Auftragsverarbeiter ist. Begründet wird dies damit, dass dieser selbstständig arbeitet, weisungsunabhängig ist und der gesetzlichen Schweigepflicht unterliegt.

Es ist jedoch empfehlenswert, dass die Verantwortlichen, die ihren Sitz in Baden-Württemberg haben, der Ansicht der Aufsichtsbehörde folgen oder nochmals nachfragen.

Datenschutz in der Pflege

Datenschutzrechtliche Probleme in Pflegeeinrichtungen

Hier werden einige Fälle aus der Praxis seitens des Landesdatenschutzbeauftragten vorgestellt.

  • Der Geschäftsführer einer Pflegeeinrichtung hatte gleichzeitig die Funktion als DSB – dieser wurde auf den Interessenskonflikt hingewiesen
  • Keine Einwilligung seitens der Heimbewohner für die Veröffentlichung von Bildern in digitalen Fotorahmen – Angabe der Veröffentlichungsorte (Zeitung, Aushang am schwarzen Brett etc.) sind in der Einwilligungserklärung mit abzufragen z.B. durch Ja/Nein-Kästchen
  • Eine Attrappe einer Videokamera wurde im Eingangsbereich eines Pflegeheims angebracht – bloße Attrappen sind ebenfalls datenschutzrechtlich unzulässig, da sich die Betroffenen dennoch beobachtet fühlen können
  • Abfrage von nicht benötigten Daten zukünftiger Bewohner z.B. Religionszugehörigkeit, Staatsangehörigkeit – nur für den Behandlungs- bzw. Pflegevertrag benötigte Daten dürfen abgefragt werden. Weitere Datenerhebungen sind nur mittels einer Einwilligung zulässig. Vertragsvordrucke ggf. mit Hinweisen versehen, dass bestimmte Daten „freiwillige Angaben“ sind.

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat ein FAQ für Pflegeeinrichtungen zusammengestellt.

Bußgelder

Kriterien für die Einleitung eines Bußgeldverfahrens

Folgende Kriterien werden beim Erlass eines Bußgeldes mit eingebracht:

  • Schlechte / keine Zusammenarbeit mit der Aufsichtsbehörde im Verwaltungsverfahrens
  • Grobe Fahrlässigkeit oder Vorsatz
  • Besondere Datenarten
  • Mehrfachverstöße
  • Großer Betroffenenkreis / Große Datenmengen
  • Datenhändler

Datenschutz bei Rechtsanwälten

  • Häufige Beschwerde: E-Mail-Kommunikation ohne Verschlüsselung
  • Pflicht nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO: Ende-zu-Ende-Verschlüsselung

Gesundheit und Soziales

Diskretion in Arztpraxen

  • Empfangstresen und Wartezimmer sollten durch eine verschlossene Tür getrennt werden
  • Eine akustische Schalleindämmung sind bei offenen Räumlichkeiten durch Raumteiler oder Diskretionsbeschallung möglich
  • Telefone sollten mobil tragbar sein, um vertrauliche Telefonate in einem separaten Raum zu führen

Hinweis der Datenbeschützerin

Die Landeszahnärztekammer von Baden-Württemberg veröffentlichte im März 2019 eine Merkblatt zu den TOMs in Arztpraxen. .

Privater Datenschutz

Adresshandel

Zwei Möglichkeiten, um Adresshandel durchzuführen:

  • Einwilligung oder
  • berechtigtes Interesse (Interessensabwägung)

Einwilligung

  • Unproblematisch, wenn Betroffener vorher ausdrücklich und informiert in Adresshandel eingewilligt hat
  • Sofern die Einwilligung auf weitere Unternehmen gelten soll, sind dies namentlich mit Adresse in der Einwilligungserklärung mit anzugeben
  • Pauschale Einwilligungserklärungen sind ungültig
  • Auch wenn die Daten neben den Adresshandel für weitere Zwecke verwendet werden sollen, sind diese mit anzubringen

Interessensabwägung (berechtigtes Interesse)

Es müssen drei Voraussetzungen erfüllt sein, um den Adresshandel auf das berechtigte Interesse stützen zu können:

  • Der für die Verarbeitung Verantwortliche oder ein Dritter haben ein berechtigtes Interesse (rechtlich, wirtschaftlich, tatsächlich oder ideell)
  • Die Verarbeitung ist zur Wahrung des berechtigten Interesse erforderlich
  • Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erforderlich, überwiegen nicht. Insbesondere, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer Verarbeitung rechnen muss

Beispiel: Bei geschäftlichen Beziehungen geht der Betroffenen nicht davon aus, dass seine Kundendaten ungefragt an fremde Unternehmen verkauft oder vermietet werden. Zudem hat der Betroffene ein sehr starkes Interesse daran, dass seine Daten nicht zu einer grenzenlos gehandelten Ware verkommt. Auch könne er sich im Sinne der Transparenz keinen Überblick mehr verschaffen bzw. würde dies erschwert werden.

  • Unzulässig ist auch, die Informationen über den Adresshandel „bösgläubig“ in der Informationspflicht nach Art. 13 und Art. 14 DSGVO bereit zu stellen
  • Art. 13 und Art. 14 DSGVO sollen über die tatsächlichen Datenverarbeitungen informieren und nicht als Erlaubnisbestand gelten oder das Ergebnis der Interessensabwägung vorwegnehmen

Auf Erwägungsgrund 47 kann ein Adresshändler sich nicht stützen, da es hier um Direktwerbung, jedoch nicht um Adresshandel, geht.

Ergebnis: Die Interessensabwägung fällt zugunsten der Betroffenen aus und das berechtigte Interesse fällt somit als Rechtsgrundlage weg.

Ausblick: Der Adresshandel wird wohl nur noch möglich sein, wenn eine Einwilligung seitens der Betroffenen eingeholt wird.

Anmerkung der Datenbeschützerin

Der Tätigkeitsbericht wurde wohl zeitnah nach Inkrafttreten der DSGVO erstellt. Sofern neue Informationen seitens der Behörden bekannt werden, werden diese in der Knowledge-Base veröffentlicht.

34. Tätigkeitsbericht des LfDI

Quelle

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier beschäftigt mit Frage, zu was die Mitarbeiter nach der DSGVO verpflichtet werden und wie diese zu unterrichten sind.

Was regelt die DSGVO?

  • Art. 29 DSGVO: Daten dürfen ausschließlich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeitet werden
  • Art. 32 Abs. 4 DSGVO: Maßnahmen zur Überprüfung, dass Vorgaben seitens des Verantwortlichen oder Auftragsverarbeiters durch die Beschäfigten eingehalten werden
  • Art. 28 Abs. 3 Satz 2 lit. b DSGVO (Auftragsverarbeitung): Verpflichtung zur Verschwiegenheit

Die Verschwiegenheitsverpflichtung betrifft zwar nur die Beschäftigten des Auftragsverarbeiters, allerdings betrifft die inhaltliche Verpflichtung auch den Verantwortlichen und seine Mitarbeiter. Ergo: Diese sind ebenfalls zu verpflichten.

Zu was soll verpflichtet werden?

Personenbezogene Daten müssen

  • auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Eine Musterverpflichtung ist dem DSK-Papier anhängig.

Wer muss verpflichtet werden?

  • reguläre Mitarbeiter
  • Auszubildende
  • Praktikanten
  • Referendare
  • Leiharbeiter
  • Ehrenamtliche Tätige

Wann muss die Verpflichtung erfolgen?

  • Bei Aufnahme der Tätigkeit
  • Spätestens am ersten Arbeitstag

Anmerkung der Datenbeschützerin

Es bietet sich an, die Verschwiegenheitserklärung als Anlage zum Arbeitsvertrag beizufügen.

Wie muss eine Verpflichtung erfolgen?

  • Zuständig für die Verpflichtung: Unternehmensleitung, Inhaber der Firma oder ein Beauftragter
  • Keine Formvorschrift seitens der DSGVO
  • Empfehlung: Formular verwenden, dass schriftlich oder elektronisch ausgegeben wird
  • Zur Verpflichtung gehört auch die Belehrung der Pflichten (Beachtung bei der täglichen Arbeit)
  • Verschwiegenheitsverpflichtung ist kombinierbar mit anderen Geheimhaltungsvereinbarungen (Betriebs-, Telekommunikations- oder Steuergeheimnis)
  • Dokumentation der Verpflichtung für Nachweiszwecke

Reicht eine einmalige Verpflichtung?

  • Empfehlung: regelmäßige Schulungen oder schriftliche Hinweise, um Mitarbeiter auf die Verschwiegenheit und Pflichten aus der Verpflichtung zu sensibilisieren
  • Bei internen Arbeitsplatzwechsel mit Aufgabenwechsel sollte die Verschwiegenheitsverpflichtung geprüft und ggf. angepasst werden

Hinweis der Datenbeschützerin

Bei Schulungen sollte vermieden werden, den Datenschutz als Problem darzustellen, welches für die neuen Maßnahmen und Verpflichtung verantwortlich ist. Erklären Sie lieber, warum die Maßnahmen notwendig sind und welche Vorteile der Einzelne davon hat.

Beispiel:

Falsch: „Aufgrund des Datenschutzes müssen die PCs ab sofort beim Verlassen des Arbeitsplatzes gesperrt werden!“

Richtig: „Das Wissen unserer Fachabteilung ist für die Firma von höchster Bedeutung. Sollten die Daten ausspioniert oder gestohlen werden, wäre das absolut geschäftskritisch. Aufgrund des Kundenverkehrs in den Geschäftsräumen ist es deshalb notwendig, die PCs beim Verlassen des Arbeitsplatzes zu sperren.“

Falsch:  „Die neue Datenschutzgrundverordnung bringt für uns alle unverhältnismäßig viel Aufwand mit sich!“

Richtig: „Ein Großteil der aktuellen Datenschutzgrundverordnung galt in Deutschland bereits in den vorhergehenden Bundesdatenschutzgesetzen. Allerdings wurde die Umsetzung nicht besonders streng überwacht. Mit der DSGVO gilt nun EU-weit ein hohes Datenschutzlevel. Zudem hat nun Jeder von euch auch Rechte an „seinen“ Daten – nämlich die Betroffenenrechte, z.B. das Recht auf Vergessen werden. Das war bisher in der Praxis nur schwierig und mit viel Aufwand durchzusetzen.

DSK-Kurzpapier Nr. 19

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_19.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Dürfen die Daten der Mitarbeiter noch verarbeitet werden oder benötige ich ein Einwilligung, damit diese als Beschäftigte angemeldet werden dürfen? Wann wird zwingend eine Einwilligung benötigt und wann nicht? Das DSK-Papier beantwortet diese Fragen.

Rechtsgrundlage § 26 BDSG-neu

  • § 26 BDSG-neu gilt nicht für Beschäftigte bei Behörden, Kommunen und öffentlichen Stellen

Begriff „Beschäftigte“

  • Definition: § 26 Abs. 8 BDSG-neu
  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher;
  • Auszubildende;
  • Rehabilitanden;
  • Freiwillige nach dem Jugendfreiwilligendienstegesetz/Bundesfreiwilligendienstgesetz;
  • wirtschaftlich unselbstständige Personen;
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Inhalt § 26 BDSG-neu

Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses

  • Personenbezogene Daten dürfen von Beschäftigten dürfen nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern es für die Begründung, Durchführung oder Beendigung erforderlich ist
  • Die Verarbeitung ist auch aufgrund von Kollektivvereinbarungen (Tarifverträge, Betriebs- und Dienstvereinbarungen) zulässig (§ 26 Abs. 1 und 4 BDSG)
  • Es dürfen auch die Daten der Beschäftigten sofern es für die Rechte und Pflichten für die Beschäftigtenvertretung erforderlich ist unabhängig von Gesetzen, Verträgen, Vereinbarungen (§ 26 Abs. 1 Satz 1 HS 2 BDSG-neu)

Einwilligung

  • Keine Einwilligung für die Verarbeitung der Daten für das Beschäftigungsverhältnis nötig
  • Mitarbeiter können jedoch in eine Datenverarbeitung einwilligen, wenn diese einen rechtlichen oder wirtschaftlichen Vorteil erlangen
  • Dies ist auch möglich, wenn die Interessen zwischen Arbeitgeber und Beschäftigte übereinstimmen

Echte Freiwilligkeit des Beschäftigten?

  • Es wird die die Auffassung vertreten, dass eine Einwilligung der Mitarbeiter durch das Abhängigkeitsverhältnis zum Arbeitgeber nie vollständig unabhängig unterzeichnet wird
  • Die Einwilligung wird deshalb nicht direkt das Arbeitsverhältnis sondern eher Zusatzleistungen (Privatnutzung von Dienstfahrzeugen und EDV-Geräten, Einführung Gesundheitsmanagement, Aufnahme in Geburtstagslisten) betreffen

Anmerkung der Datenbeschützerin

Auch die Veröffentlichung von Mitarbeiterfotos (intern oder extern) bedürfen einer Einwilligung.

Besondere Kategorien personenbezogener Daten

  • Besondere Datenkategorien dürfen nur unter den Voraussetzungen des § 26 Abs. 3 BDSG-neu verarbeitet werden
  • Auch eine Einwilligung für die Verarbeitung der besonderen Datenkategorien ist möglich, sofern sich die Einwilligung ausdrücklich auf diese Daten beruft
  • Es müssen besondere Maßnahmen bei der Verarbeitung getroffen werden (§ 26 Abs. 5 BDSG-neu i.V.m. Art. 5 DSGVO)

Verarbeitung außerhalb von Dateisystemen

  • § 26 BDSG-neu gilt auch für die Verarbeitung außerhalb von Dateisystemen (§ 26 Abs. 7 BDSG-neu)
  • Somit fallen Papierdokumente, mündliche oder tatsächliche Handlungen (z.B. handschriftliche Notizen) unter die datenschutzrechtliche Bestimmungen

Ist die DSGVO überhaupt anwendbar?

  • Die Reichweite des § 26 BDSG-neu ist im Einzelfall zu prüfen
  • Des Weiteren ist Art. 88 DSGVO und § 24 BDSG zu berücksichtigen
  • Es muss jedoch ein Zusammenhang zwischen der Datenverarbeitung und Verwendungszwecken bestehen (Art. 6 Abs. 4 und 1 lit. f DSGVO)
  • Eine Verwendung zu anderen Zwecken (z.B. Verkauf an Dritte zu Werbezwecke) bleibt ausgeschlossen

Welche Folgen resultieren bei Nichtbeachtung des § 26 BDSG-neu?

Es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden. Es können auch strafrechtliche Folgen nach § 42 BDSG-neu drohen.

Anmerkung der Datenbeschützerin

Grundsätzlich sind alle Verarbeitungstätigkeiten in Bezug auf das Beschäftigungsverhältnis und freiwillige Einwilligungen in das Verfahrensverzeichnis aufzunehmen. Des Weiteren sind die Mitarbeiter über die Verarbeitungstätigkeiten zu informieren.

Freiwillige Einwilligungen sollten durch einen Vermerk (z.B. in der Personalakte) oder durch ein Formular schriftlich festgehalten werden.

DSK-Kurzpapier Nr. 14

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf