Schlagwort: WhatsApp

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat seinen jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Umgang mit Fotografien

  • Durch die DSGVO hat sich nichts Wesentliches gegenüber den bestehenden Gesetzen geändert
  • Werden Bilder für private oder familiäre Zwecke angefertigt, gilt die DSGVO nicht (Familienfeier)
  • Findet die DSGVO Anwendung, können die Fotos aufgrund des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden
  • Faustregel: Je geringer der Eingriff in die Persönlichkeitsrechte, desto eher fällt die Interessensabwägung zu Gunsten des Fotografen aus
  • Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist notwendig, wenn z.B. Einzelporträts angefertigt werden
  • Fotoveröffentlichung von Versammlungen, Aufzügen (Volksfesten), Festumzügen etc. sind ohne Einwilligung nach dem Kunsturhebergesetz erlaubt

Hinweis der Datenbeschützerin

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat sich nach aktuellen Ereignissen ebenfalls mit dem Thema Fotoaufnahmen und deren Veröffentlichung beschäftigt.

Beschäftigtendatenschutz

  • Kritik: keine konkreten nationalen Regelungen zum Beschäftigtendatenschutz

Seitens des Bundesbeauftragten für den Datenschutz sind folgende Bereiche noch zu regeln:

  • Datenschutz beim Bewerbungsverfahren
  • Arbeitsverhältnisgestaltung und Compliance-Fragen
  • Personalentwicklung und Persönlichkeitsprofile
  • Umgang mit Gesundheitsdaten
  • Überwachungssysteme am Arbeitsplatz
  • Einsatz von biometrischen Daten und Big-Data
  • Private Nutzung dienstlicher Kommunikationsmittel
  • Dienstliche Nutzung privater Kommunikationsmittel
  • Transparenz der Datenverarbeitung
  • Übermittlung der Mitarbeiterdaten innerhalb einer Unternehmensgruppe
  • Whistleblowing

Anmerkung der Datenbeschützerin

Die oben genannten Themenbereiche (vor allem Bewerbungsverfahren, BOYD – Bring your own device, Private Nutzung und Überwachung am Arbeitsplatz) kommen vor allem bei der Bestandsaufnahme für das Verfahrensverzeichnis zur Sprache.

Nutzungen von dienstlichen Geräten zu privaten Zwecken werden meist über Nutzungsvereinbarungen oder Dienstanweisungen geregelt. Viele Verantwortliche untersagen, eben aufgrund der DSGVO bzw. der fehlenden Regelung, die private Nutzung. BOYD wird meist aus der Angst vor einer Datenschutzverletzung untersagt.

WhatsApp als Kommunikationsmittel

  • WhatsApp übermittelt Nutzerdaten ohne wirksame Einwilligung an Facebook weiter
  • Kontaktdaten des Nutzers werden verarbeitet, unabhängig davon, ob ein Kontakt selbst WhatsApp nutzt
  • WhatsApp wird als nicht datenschutzfreundlich eingestuft

Alternativen zu WhatsApp

  • Hoccer
  • Line
  • Signal
  • SIMSme
  • Skype
  • Telegram
  • Threema
  • Viber
  • Wire

Anmerkung der Datenbeschützerin

Auch das BayLDA betrachtet WhatsApp als nicht datenschutzkonform.

Datenlöschung nach der DSGVO

  • Der Bundesbeauftragte kontrollierte einen Telekommunikationsanbieter und stellte fest, dass Altdaten von ehemaligen Kunden nicht gelöscht wurden.
  • Die Daten wurden im SAP-System gespeichert.
  • Der internen Datenschutzabteilung war dieses Problem seit 2012 bekannt, jedoch wurden keine Maßnahmen zur Löschung getroffen
  • Mittlerweile wurden die Daten nach Angaben des Unternehmens gelöscht

Eine Speicherung von nicht mehr benötigten Daten ist ein Verstoß gegen die DSGVO. Es sollte jedoch zuvor geprüft werden, ob die Datensätze einer gesetzlichen Aufbewahrungsfrist unterliegen.

Weitere Themengebiete im Tätigkeitsbericht

Folgende Ausschüsse werden im Bericht behandelt, welche in der Zusammenfassung nicht berücksichtigt wurden:

  • Ausschuss für Bildung, Forschung und Technikfolgenabschätzung
  • Ausschuss für Familie, Senioren und Jugend
  • Finanzausschuss
  • Ausschuss für Inneres und Heimat
  • Ausschuss für Kultur und Medien
  • Ausschuss für Recht und Verbraucherschutz
  • Ausschuss für Wahlprüfung, Immunität und Geschäftsordnung

27. Tätigkeitsbericht

Quelle

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit: https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2019/27.TB.html

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die bayerische Aufsichtsbehörde hat ihren jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Auftragsverarbeitung

Datenschutzrechtliche Anforderungen an den Dienstleister

  • Bei Verweigerung zum Abschluss des Vertrages nach Art. 28 DSGVO oder
  • es erfolgt keine Anpassung an alte Verträge

entfällt die datenschutzrechtliche Grundlage für die Verarbeitung

Konsequenz

  • Auftragsentziehung durch Auftraggeber
  • ggf. neuen Dienstleister mit datenschutzrechtlichen Anforderungen beauftragen

Informationspflichten

Informationspflichten in abgestufter Form

Möglichkeit zur Bereitstellung der Informationspflichten in zwei oder mehreren Stufen:

1. Stufe

  • Informationen zur Identität des Verantwortlichen (Name, Adresse, Erreichbarkeit)
  • Zweck der Verarbeitung (z.B. Kontaktaufnahme)
  • optional: Hinweis auf Betroffenenrechte (je nach Art der Kontakts)

2. Stufe

  • sämtliche restliche Informationen nach Art. 13 und Art. 14 DSGVO (
  • diese Informationen können auf der Webseite hinterlegt sein und mittels Link darauf verwiesen werden oder
  • Informationsblatt kann auch physisch ausgehändigt werden

Empfehlung der Datenbeschützerin

Die Informationspflicht im Internet in der Datenschutzerklärung zur Verfügung stellen und von sämtlichen Dokumenten für Kunden / Geschäftspartner darauf verweisen.

Informationspflichten bei Ärzten

  • Patienten müssen keine Unterschrift leisten, die Informationspflichten zur Kenntnis genommen zu haben
  • Aushang im Wartezimmer oder bei der Anmeldung sind ausreichend

Datenschutz im Internet

Datenschutzbestimmungen auf Webseiten

  • Die Datenschutzerklärung hat sich ebenfalls an Art. 12 bzw. Art. 13 und Art. 14 DSGVO zu orientieren
  • Datenschutzgeneratoren dienen zur Formulierungshilfe
  • Datenschutzerklärung ist jedoch auf die individuelle Webseite anzupassen

Anforderungen an Cookie-Banner

  • beim erstmaligen Aufrufen der Webseite erscheint das Cookie-Banner (Inhalt: Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge z.B. Setzen von Cookies allgemein, Analyse Nutzerverhalten)
  • es darf keine Vorauswahl getroffen sein; der Nutzer muss die Funktionen auswählen können
  • Es darf keine Datenübertragung vor der Aktivierung stattfinden
  • Erst nach Aktivierung (z.B. Häckchen setzen) dürfen die Daten übertragen werden
  • Das Opt-In wird durch den Verantwortlichen gespeichert – das Cookie-Banner erscheint beim nächsten Aufruf nicht mehr
  • Einwilligung muss jederzeit widerrufen werden können (Opt-Out-Möglichkeit)

Anmerkung der Datenbeschützerin

Das BayLDA hat ebenfalls einen Ergebnisbericht Webseitenprüfung veröffentlicht.

Update 29.07.2019: Das EuGH urteilte Bezug auf Cookie Opt-In. Welche Konsequenzen das Urteil für die Webseitenbetreiber bedeutet, haben wir in unserem Blog veröffentlicht.

WhatsApp

  • WhatsApp ist nicht datenschutzkonform, da die Einwilligung zur Nutzung des Messenger unwirksam ist und keine Auskunft über gespeicherte Daten gegeben wird
  • Die Nutzung von WhatsApp ist von Berufsgeheimnisträgern (Ärzten, Anwälten, Wirtschaftsprüfern etc.) nicht gestattet
  • Messenger-Alternativen: Threema, Signal, Wire, Hoccer Chiffry

Wenn WhatsApp dennoch weiterhin eingesetzt wird sind folgende Anforderungen zu erfüllen:

  • keine interne Kommuniktion über Geschäftsabläufe
  • keine Archivierung von den Nachrichtenverläufen
  • Vermeidung von der automatischen Speicherung der Nachrichten im internen Speicher
  • Betrieb von WhatsApp auf separaten Smartphone oder
  • durch eine Container Lösung bzw. MDM (Mobile Device Management) getrennt werden
  • Speicherung von den Kontakten im Telefonbuch, bei denen die Einwilligung vorliegt

Empfehlung der Datenbeschützerin

  • Möglichkeit nutzen, einen datenschutzfreundlichen Messenger einzusetzen: Der Aufwand einen neuen Messenger zu installieren ist sehr gering; den Mitarbeitern und den Geschäftspartnern die Situation erklären
  • Anlegen eines eigenen Adressbuchs für Kontakte, auf welches WhatsApp keinen Zugriff hat

Facebook-Fanpages

  • Facebook-Seiten Betreiber sind gemeinsam mit Facebook für die sog. „Insight-Daten“ gemeinsam verantwortlich
  • Verweis seitens der Behörde auf das DSK-Papier vom 05.09.2019

Empfehlung / Einschätzung der Datenbeschützerin

  • Laut der DSK ist ein Betrieb einer Facebook-Fanpage aktuell rechtswidrig
  • Jeder Seitenbetreiber hat selbst entscheiden, ob er die Seite weiterbetreiben möchte oder offline (nicht löschen) nimmt

Steuerberater und Rechtsanwälte

Auftragsverarbeiter von Steuerberatern

  • Der Steuerberater ist kein Auftragsverarbeiter
  • Begründung: Steuerberater arbeiten selbstständig, weisungsunabhängig und unterliegen der gesetzlichen Geheimhaltungspflicht
  • bei Übernahme der Lohnabrechnung (ohne Finanzbuchhaltung) haben sie ebenfalls aufgrund des Steuerrechts die Verantwortung zu übernehmen (Haftung)

Papier- und Aktenentsorgung

  • Vernichtung richtet sich nach DIN 66399
  • Einteilung in 3 Schutzklassen und 7 Sicherheitsstufen
  • bei Papiervernichtung gelten die Sicherheitsstufen P4 bis P7
  • bei interner Vernichtung ist Schredder mit der Sicherheitsstufe P5 erforderlich

Werbung und Adresshandel

Weihnachts-; Neujahrsglückwunschkarten

  • Grußkarten sind nach der Rechtsprechung als Werbung anzusehen
  • ABER: Art. 6 Abs. 1 lit. f DSGVO steht der Übermittlung der Grußkarten nicht entgegen; Werbewidersprüche sind jedoch zu beachten
  • Kunden sind mittels der Informationspflicht nach Art. 13 und Art. 14 DSGVO auf die Zusendung bzw. auf Werbung hinzuweisen

Handel und Dienstleistung

Kopieren von Personalausweisen

  • Eine Kopie ohne die Zustimmung des Inhabers ist nicht zulässig (§ 20 Abs. 2 PAusWG)
  • Zur Bestimmung der Identität reicht eine Sichtprüfung aus

Anmerkung der Datenbeschützerin

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentliche im Juni 2019 eine Hilfestellung für den Umgang mit Personalausweisdaten.

Der Datenschutzbeauftragte äußerte sich dazu, wann eine Kopie des Personalausweises erlaubt ist.

Beschäftigtendatenschutz

Widerruf Einwilligung von veröffentlichten Mitarbeiterfotos

  • Ausgangssituation: Ein Mitarbeiter widerruft seine Einwilligung. Die Fotos sind bereits den gedruckten Firmenbroschüren veröffentlicht.
  • Der Widerruf hat Auswirkungen auf die Zukunft
  • Eine Interessensabwägung ist durchzuführen -> Abwägung von Umfang und Kosten der Herstellung und des Drucks der Broschüren sowie der Position des Mitarbeiters
  • Ergebnis: Aufgrund der hohen Kosten und des Aufwands des Neudrucks dürfen die Broschüren weiter verwendet werden

Anmerkung der Datenbeschützerin

Die DSK hat ebenfalls Stellung zur Verarbeitung von Mitarbeiterdaten genommen.

Gesundheit und Soziales

Rechtsgrundlage der Verarbeitung in Arztpraxen

  • Es ist keine Einwilligung für die Erhebung und Speicherung der Patientendaten nötig
  • Durch den Behandlungsvertrag und das Berufsgeheimnis liegt eine gesetzliche Grundlage zur Verarbeitung der Daten vor
  • Bei Nichtvorliegen eines Behandlungsvertrages ist eine Einwilligung von Nöten

Abholung von Rezepten und Vereinbarung von Terminen durch den Ehepartner

  • Ehepartner sind im datenschutzrechtlichen Sinne als Dritte anzusehen
  • Eine Schweigepflichtentbindung bzw. Einwilligung des Patienten ist einzuholen (kann auch mündlich erfolgen z.B. am Telefon)
  • Die Einwilligung sollte auch zukünftige Abholungen oder Vereinbarungen abdecken – ansonsten ist bei jedem Besuch die Einwilligung zu erneuern

Verarbeitung von Gesundheitsdaten bei Optikern und Sanitätshäusern

  • Optiker oder Sanitätshäusern gehören dem Gesundheitshandwerk an
  • Folge: Diese benötigen die Einwilligung des Kunden, damit dessen Gesundheitsdaten (z.B. Dioptrien) verarbeitet werden dürfen

Anmerkung der Datenbeschützerin

Die DSK hat sich ebenfalls mit der Thematik der Verarbeitung von besonderen personenbezogenen Daten beschäftigt.

Fotos aus Kindertagesstätten für Eltern

  • Es ist weiterhin erlaubt, angefertigte Fotos über das Kindergartengeschehen zu verteilen
  • Fotos dürfen für die interne Verwendung (Portfolios, Aushänge im Kindergarten, Vorträge für Eltern) ohne Einwilligung verwendet werden (berechtigtes Interesse)
  • Sollen Fotos veröffentlicht werden (im Radio, Presse, Social-Media-Seiten, Internetseite) ist die Einwilligung der Eltern erforderlich

Kindernamen in Kindertagesstätten

  • Kindernamen dürfen für die interne Organisation ersichtlich sein (z.B. an der Garderobe, am Waschplatz, „Postkasten“)

Elternbeirat an Schulen

  • der Elternbeirat ist kein eigener Verantwortlicher sondern die Schule selbst

Vereine und Verbände

Umgang mit Kontaktdaten von Vereinsmitgliedern

  • Zum Zwecke der Kommunikation unter den Vereinsmitgliedern ist die Einwilligung der Mitglieder nötig, da Vereinsmitglieder untereinander trotzdem als Dritte anzusehen sind
  • Den Mitgliedern sollte die Wahl ermöglicht werden, welche Daten für die Kommunikation genutzt werden können z.B. Telefonnummer oder Postanschrift
  • Ausnahme: es bedarf keiner Einwilligung, wenn der Vereinszweck auf die Kontaktpflege gestützt wird

Fotos im Vereinsleben

  • Vereine haben ein berechtigtes Interesse mittels Bilder über das Vereinsleben zu berichten (z.B. Mitgliederversammlungen, Tag der offenen Tür, Musikveranstaltungen etc.)
  • Annahme: Das berechtigte Interesse des Vereins überwiegt gegenüber des Betroffenen; dem Besucher kann zugerechnet werden bei Veranstaltungen (insbesondere bei öffentlichen) fotografiert zu werden
  • ABER: Rechtsverletzung wenn Intimfotos oder sog. „Bierleichen-Bilder“ veröffentlicht werden

Videoüberwachung

Videoüberwachung durch Privatpersonen

  • wird ein öffentlicher Raum durch die Videoüberwachung erfasst, unterliegt der private Betreiber ebenfalls der DSGVO
  • berechtigtes Interesse für die Videoüberwachung: Schutz des Eigentums und Wahrung des Hausrechts
  • Videoaufnahmen der öffentlichen Straße oder des Gehwegs sowie des Nachbargrundstücks unterliegen nicht mehr dem berechtigten Interesse

Folgende Möglichkeiten stehen für die Privatpersonen zur Verfügung:

  • Nachbesserung um einen datenschutzkonformen Zustand zu erreichen (z.B. Nachjustieren der Kameraausrichtung) oder
  • Einhaltung der Videoüberwachung nach der DSGVO (Aushang von Hinweisschildern nach Art. 13 DSGVO)

Empfehlung und Anmerkung der Datenbeschützerin

Die DSK nimmt Stellung zum Thema Videoüberwachung und gibt einen guten mit Handlungsempfehlungen mit auf den Weg.

Blogbeitrag: Zulässige Verwertung und Speicherdauer bei der Videoüberwachung – DSGVO

Technischer Datenschutz und Informationssicherheit

Risikoorientierter Ansatz unter der DSGVO

In folgenden Bereichen ist eine Auseinandersetzung mit der Risikoeinschätzung nötig:

  • Auswahl von Sicherheitsmaßnahmen zur Risikominderung (TOMs)
  • Möglichkeit einer Datenschutzfolgeabschätzung
  • Notwendigkeit zur Erstellung eines Verfahrensverzeichnisses bei nicht regelmäßiger Verarbeitung von personenbezogenen Daten
  • Meldung von Datenschutzverletzungen

Empfehlung der Datenbeschützerin

Blogbeitrag zum Thema Risikoanalyse mit Musterbeispiel

Datenschutzfolgeabschätzung (DSFA)

  • Eine DSFA ist durchzuführen, wenn ein „hohes Risiko“ für die Rechte und Freiheiten für die Betroffenen besteht
  • Die Black-List der Verfahren, für welche eine DSFA vorgesehen wird, wurde seitens der DSK veröffentlich [Hinweis: hier auf die Black-List verweisen)

Empfehlung der Datenbeschützerin

Blogbeitrag zum Thema Datenschutzfolgeabschätzung mit Mustervorlage

8. Tätigkeitsbericht des LDA Bayern

Quelle

Bayerisches Landesamt für Datenschutz: https://www.lda.bayern.de/media/baylda_report_08.pdf