Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat den Tätigkeitsbericht für Jahr 2019 veröffentlicht – nachfolgend finden sich Hinweise auf einige der darin angesprochenen Punkte (Auswahl):
Beschwerden und Beratungen
Zunächst war 2019 erneut ein starker Anstieg der Beschwerden und “Kontrollanregungen” (Berichte über Datenschutzverletzungen durch davon nicht betroffene Personen) zu verzeichnen, die rascher eingehen, als sie abgearbeitet werden können:
Demgegenüber ist das Beratungsaufkommen nach einer Spitze 2018 stark gesunken, möglicherweise aufgrund der online verfügbaren Ressourcen:
Was ebenfalls stark zunahm, waren die Datenschutzverletzungen:
Personalausstattung im Vergleich mit dem EDÖB
Interessant ist auch die Personalentwicklung beim BaylDA:
- Bis 31.12.2016: 16 Planstellen
- Bis 31.12.2017: 20 Planstellen
- Bis 31.12.2018: 24 Planstellen
- Bis 31.12.2019: 33 Planstellen
Zum Vergleich die Personalentwicklung beim EDÖB gemäss seinem letzten Tätigkeitsbericht, soweit es um den Bereich DSG (exkl. BGÖ) geht:
- 2005: 22 Stellen
- 2010: 23 Stellen
- 2018: 24 Stellen
- 2019: 24 Stellen
Der EDÖB hat derzeit also rund 27% weniger Stellen im Bereich des Datenschutzes (exkl. BGÖ) als das BayLDA. Allerdings hat Bayern annähernd doppelt so viele Einwohner wie die Schweiz. Gleichzeitig kümmert sich das BayLDA anders als der EDÖB ausschliesslich um den privaten Datenschutz (für öffentliche Stellen ist eine andere Behörde zuständig, der Landesbeauftragte für Datenschutz).
Man darf weiter annnehmen, dass die Tätigkeit des EDÖB innerhalb des Datenschutzes (exkl. BGÖ) zu vielleicht 35% den Privatbereich betrifft.[mfn]Gestützt auf den Tätigkeitsbericht 2019. Im Bereich der Beratung entfällt rund die Hälfte des Aufwands auf den Privatbereich, doch betreffen einige DSG-Tätigkeitsgebiete nur den öffentlichen Bereich, z.B. die Mitwirkung bei Gesetzgebungen oder die Zusammenarbeit mit den Kantonen. Allerdings schlüsselt der Tätigkeitsbericht die Tätigkeiten insgesamt nicht nach dem Privat- und dem öffentlichen Bereich auf, und einige Zahlen erscheinen widersprüchlich.[/mfn] Demnach verfügt der EDÖB für den Privatbereich über annähernd die gleiche Personalausstattung wie das BayLDA für vergleichbare Aufgabenbereiche, aber mit wohl erheblich weniger Aufgaben, nachdem der EDÖB heute keine Verfügungskompetenz hat und im Privatbereich auch wenige Meldungen von Datenschutzverletzungen zu bewältigen hat. Vielleicht erklärt dies, dass sich der EDÖB trotz der Ressourcenknappheit[mfn]Dem EDÖB sind insgesamt zehn weitere Stellen zugesagt, doch sind diese bisher nicht genehmigt.[/mfn] Zeit nimmt, sich im Privatbereich auch um Aufgaben zu kümmern, die eigentlich nicht in seinen Zuständigkeitsbereich fallen, sondern – nicht aus dogmatischen, sondern aus rechtspolitischen Anliegen – dem dahennahen Konsumentenschutz zuzurechnen sind. Dazu gehört die auch etwa die Forderung nach Transparenz in Konstellationen, in denen es um anonyme Daten geht, ebenso wie das (rechtlich nicht begründete) Anliegen, bei der Bearbeitung besonders schützenswerter Personendaten und von Persönlichkeitsprofilen sei eine Einwilligung erforderlich. Interessant wäre jedenfalls auch die Veröffentlichung der durchschnittlichen Aufgaben pro Mitarbeiter bzw. pro Stelle, wie dies das BayLDA tut.
Die Forderung des EDÖB nach mehr Ressourcen ist dennoch nicht unberechtigt (mit der Durchsetzung des DSG ist dem Datenschutz jedenfalls mehr geholfen als mit der blossen Verschärfung des Gesetzes), aber sie würde auf mehr Verständnis stossen, würde der EDÖB in seiner Tätigkeit mehr Gewicht auf die Abgrenzung seiner Tätigkeiten entlang dem Anwendungsbereich des DSG legen und ebenso risikobasiert vorgehen, wie es von den Datenverarbeitern verlangt wird – und weniger Gewicht legen auf den gefühlten Daten- und auf den Konsumentenschutz, auf das Allheilmittel der Sensibilisierung und auf die Reaktion auf Berichte der Medien und bestimmter Aktivisten mit politischen Anliegen. Medienberichterstattung und öffentliches Interesse sind nicht dasselbe, und je stärker die Reaktion auf Medienberichte ausfällt, desto grösser ist eine gewisse Gefahr der Instrumentalisierung und damit eine Gefährung der Unabhängigkeit.
Kontrollen und Prüfungen
- In diesem Bereich hat sich das BayLDA u.a. auf Cybersicherheit und Online-Tracking konzentriert, weil diese Themen häufiger Beschwerdegegenstand waren (d.h.: was gegen aussen sichtbar ist, ist nicht überraschend eher Gegenstand von Beschwerden). Hierzu sagt das BayLDA:
Obwohl wir ausschließlich Websites von größeren Unternehmen, zum Teil börsennotierte Großkonzerne, hinsichtlich längst bekannter Sicherheitsanforderungen untersuchten, mussten wir feststellen, dass zahlreiche Defizite vorhanden waren. Die getroffenen Sicherheitsmaßnahmen mussten oft als unzureichend eingestuft werden. […] Auch im Bereich Tracking fiel das Ergebnis unserer Prüfung desolat aus: Keine der geprüften Websites erfüllte die Anforderung an eine zulässige Einwilligung nach der DS-GVO, obwohl die Websites Tracking-Tools von Drittanbietern eingebunden hatten und somit eine Datenverarbeitung durch fremde Dienste veranlassten.
Weitere Angaben zu diesen Prüfungsergebnissen finden sich hier.
- Im Bereich der Rechenschaftspflicht (“Accountability”; Art. 5 Abs. 2 DSGVO; im E‑DSG ohne Gegenstück) stellt das BayLDA fest:
Trotz dieser und der zahlreichen Veröffentlichungen der Aufsichtsbehörden insgesamt waren viele Verantwortliche in puncto Rechenschaftsplicht überfordert. Einige Unternehmen waren der Ansicht, es sei damit getan, wenn man der Aufsichtsbehörde die Datenschutzbestimmung der Website ausdruckt oder erklärt, „Werbung ist ein berechtigtes Interesse und
deshalb darf man das“.Zu den erforderlichen Nachweisen gehörten vielmehr:
- Verzeichnis über Verarbeitungstätigkeiten (Art. 30 DS-GVO),
- Datenschutz-Folgenabschätzung (Art. 35 DS-GVO),
- genehmigte Verhaltensregeln (Art. 40 DS-GVO),
- Zertifizierung (Art. 42 DS-GVO),
- Meldungen über Datenschutzverletzungen (Art. 33 DS-GVO) sowie
- Verträge zur Auftragsverarbeitung (Art. 28 Abs. 3 DS-GVO)
Darüber hinaus könne die Rechenschaftspflicht durch sonstige Datenschutzdokumentation erfolgen, z.B. hierdurch:
-
- Vertragsmanagement
- Konzepte zur Sicherstellung der Betroffenenrechte
- Prozesse der Datenschutzorganisation
- Einführung von Datenschutzrichtlinien
- Interne oder externe Audits
- Mitarbeiterschulungen
- Rechtsgutachten
- Zertifizierungen nach DIN- und ISO-Normen
- Sonstige Aufzeichnungen wie z.B. Berichte, Vermerke oder Protokolle
Der Prüfkatalog des BayLDA zur Rechenschaftspflicht und damit eine gute Checkliste zur Umsetzung der DSGVO findet sich hier: Link.
Betroffenrechte
“No-Gos” beim Auskunftsrecht
Mit Bezug auf das Auskunftsrecht hält das BayLDA zunächst folgende “No-Gos” der Verantwortlichen, aber auch der Antragsteller fest:
- Verantwortliche:
- Ignorieren von Auskunftsbegehren bei Identitätszweifeln;
- Auskunft über ausschliesslich Stammdaten als personenbezogene Daten;
- Berufung auf unverhältnismässigen Aufwand ohne Darlegung der Umstände;
- betroffene Person:
- Einreichen der Beschwerde durch die betroffene Person vor Verstreichen der Bearbeitungsfrist;
- Zweck des Rechts auf Auskunft ausser Acht lassen – hier hält das BayLDA ausdrücklich fest “Mit dem Recht auf Auskunft sollen ausschließlich Datenschutzziele verfolgt werden. Dieses Recht soll nicht zur Sammlung von Beweisen für andere bestehende Konflikte dienen.” In der Schweiz ist dieser Punkt noch nicht ganz klar, trotz des CS-Urteils des Bundesgerichts. Es wäre nicht überraschend, wenn die Gerichte hier in Zukunft zu weiteren Klärungen aufgerufen werden;
- Geltendmachung des Rechts auf Auskunft gegenüber dem Anwalt der Gegenseite;
- Beschwerde ohne beweiskräftige Nachweise.
Gestufte Auskunft bei pauschalen Auskunftsbegehren
Mit Bezug auf die Auskunftspflicht von Versicherungsunternehmen, in der Sache aber für Verantwortliche mit umfangreichen Verarbeitungstätigkeiten aber allgemeingültig (und auch für die Schweiz richtig) hält das BayLDA fest, dass sich die Auskunftspflicht von Versicherungsunternehmen zwar nicht auf die Stammdaten des Versicherungsnehmers beschränke, dass es bei pauschalen Auskunftsersuchen aber zulässig sei, in einem ersten Schritt nur über die Stammdaten Auskunft zu erteilen. Eine weitergehende Beauskunftung habe erst zu erfolgen, wenn das Auskunftsersuchen vom Versicherungsnehmer entsprechend präzisiert wird.
Datenschutz im Internet
Facebook Fanpages
Ihr hält das BayLDA lapidar fest,
Betreiber von Facebook Fanpages haben nach derzeitigem Stand keine Möglichkeit, diese datenschutzkonform zu betreiben und müssen deshalb damit rechnen, Adressat von Anordnungen der Aufsichtsbehörden zu werden.
Der Betreiber der Fanpage könne ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten nicht bewerten, ob diese rechtmässig erfolgen.
Solange Facebook hier nicht nachbessere, sei ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist, trotz des „Page-Controller-Addendums“ von Facebook (der Vereinbarung i.S.v. Art. 26 DSGVO – zu weiteren Informationen s. hier).
Tracking-Tools
Wie erwähnt hat das BayLDA bei den Prüfungen grosses Gewicht auf den Einsatz von Tracking Tools im Internet gelegt. Hier ist die “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien” (Stand: März 2019) zu beachten. Zu Google Analytics ist die Meinung des BayLDA folgende:
Beispielsweise ist die sog. „Datenfreigabe“ an Google standardmäßig aktiviert. Unter Berücksichtigung der „Orientierungshilfe für Anbieter von Telemedien“ bedeutet das Folgendes: Räumt der Website-Betreiber Google die Möglichkeit ein, die Daten der Webseitenbesucher zu eigenen Zwecken zu verwenden, erfordert dies eine Einwilligung der Nutzer.
Werbung und Adresshandel
Das BayLDA sei 2019 mehrfach auf Banken aufmerksam geworden, die Kundendaten auch zur Bildung umfangreicher Werbeprofile verarbeiten, u.a. auf Basis von Daten aus Beratungsgesprächen und von Nutzungsdaten aus Online-Banking und Banking-Apps, vom Daten aus laufenden Verträgen und von Zahlungsverkehrsdaten. Diese Verarbeitung sei jeweils auf eine Interessensabwägung nach Art. 6 Abs. 1 lit. f DSGVO gestützt worden.
Allerdings ist in aller Regel nicht davon auszugehen, dass bei einer derart umfassenden Profilbildung die werblichen Interessen des Kreditinstituts die berechtigten Interessen der Kunden an einem Ausschluss der Verarbeitung überwiegen. Daher sind wir der Ansicht, dass eine solche Verarbeitung nur in Verbindung mit einer Einwilligung des Kunden rechtskonform zu verwirklichen ist.
Dies gelte besonders
hinsichtlich der teilweise praktizierten Auswertung von Zahlungsverkehrsdaten, da z. B. die Angaben zum Verwendungszweck aus Überweisungen und Lastschriften oftmals auch besondere Kategorien von personenbezogenen Daten enthalten können (z. B. bei Zahlung von Mitgliedsbeiträgen an politische Parteien und Gewerkschaften oder Begleichung von Arztrechnungen). Bei dieser Art von besonders geschützten Daten verbietet Art. 9 DS-GVO generell, dass diese auf Basis einer Interessensabwägung im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO verarbeitet werden.
Man hätte sich hier allerdings auch fragen können, ob tatsächlich eine Verarbeitung von besonderen Kategorien von Daten vorliegt, wenn zwar Rohdaten verwendet werden, die entsprechend geschützte Erkenntnisse erlauben, wenn die Rohdaten aber nicht im Hinblick auf diese Aussagekraftg verwendet werden (wenn also bspw. keine Kundenkategorie “politisch liberal” oder “Krankheitsfall” gebildet wird). Art. 9 Abs. 1 DSGVO schliesst diese Sichtweise nicht unbedingt aus, weshalb bspw. bei Mitarbeiterfotos anerkannt ist, dass sie auch bei Brillenträgern nicht als Gesundheitsdaten zu sehen sind, solange sie nicht im Hinblick auf dieses Merkmal ausgewertet werden.
Internationaler Datenverkehr
Zum Privacy Shield finden sich folgende Aussagen:
Hinzuweisen ist auch darauf, dass der Privacy Shield, jedenfalls mittelbar, auch Gegenstand eines derzeit vom Europäischen Gerichtshof verhandelten Vorlageverfahrens („Schrems II“) [dazu hier] ist, bei dem für die ersten Monate 2020 mit einem Urteil zu rechnen ist. Auch wenn das konkrete Verfahren nicht unmittelbar die Gültigkeit der Privacy-Shield-Entscheidung zum Gegenstand hat, ist es nicht ausgeschlossen, dass der EuGH in seinem Urteil auch relevante Aussagen zum Privacy Shield treffen könnte. Selbst eine Ungültigerklärung des Privacy Shield durch den EuGH im Rahmen des anstehenden Urteils kann nach Ansicht einiger Beobachter zumindest nicht völlig ausgeschlossen werden. Im Rahmen des vorgenannten vom EuGH verhandelten Verfahrens („Schrems II“) ist der EuGH aufgrund einer Vorlage des obersten Gerichts aus Irland (Irish High Court) aufgerufen, über die Gültigkeit der EU-Standarddatenschutzklauseln für Übermittlungen an Auftragsverarbeiter (Kommissionsbeschluss 2010/87/EU vom 15.02.2010) zu entscheiden.
Mitarbeiterdatenschutz
Im Bereich des – besonders stark durch nationales Recht geprägten – Mitarbeiterdatenschutzes hält das BayLDA zum Zugriff auf E‑Mails ausgeschiedener Mitarbeiter folgendes fest:
Sofern, wie im konkret vorliegenden Fall, die private Nutzung von Internet und E‑Mail untersagt ist, richtet sich die Zulässigkeit von Zugriffen des Arbeitgebers auf das E‑Mail-Postfach des ausgeschiedenen Mitarbeiters nach § 26 Abs. 1 Satz 1 BDSDG. Danach ist der Umgang des Arbeitgebers mit Mitarbeiterdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn er für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die dienstlichen E‑Mails stehen dem Arbeitgeber zu, so dass er darüber nach Ausscheiden des betreffenden Mitarbeiters verfügen kann. Wenn zudem E‑Mails aus dem Postfach für die weitere Bearbeitung von Geschäftsvorgängen benötigt werden, muss dem Arbeitgeber der Zugriff möglich sein. Sollte er auf eine E‑Mail mit privatem Inhalt stoßen, dürfte er diese allerdings nicht zur Kenntnis nehmen und müsste sie entweder an den ausgeschiedenen Mitarbeiter übermitteln oder löschen. Eine Einwilligung des ausgeschiedenen Mitarbeiters ist in einem solchen Fall nicht erforderlich.
Datensicherheit
Datenschutzverletzungen
Der nbach dem Inkrafttreten der DSGVO beginnende Trend hat sich 2019 fortgesetzt – die Zahl der Meldungen über Datenschutzverletzungen steigt weiterhin stark an. Die häufigsten Kategorien betreffen Cyberangriffe, Verschlüsselungstrojaner, Malware, Verlust, Diebstahl, Software- und Buchungsfehler sowie Fehlversendungen. Weit über die Hälfte der gemeldeten Datenschutzverletzungen betreffen allerdings Sachverhalte, die
ein eher „normales“ Risiko für die betroffenen Personen besitzen und bei denen oftmals keine weiteren Abhilfemassnahmen durch das BayLDA zu treffen sind. Cyberattacken können aber erheblichen Schaden für die Opfer darstellen, weshalb sich das BayLDA entschieden hat, den Schwerpunkt
„Cybersicherheit“ weiter zu verfolgen und soweit möglich auszubauen.
E‑Mail-Kommunikation zwischen Berufsgeheimnisträgern und betroffenen Personen
Rechtsanwälte und andere Berufsgeheimnisträger kommunizieren mit dem Geheimnisherrn häufig per E‑Mail. was nach Art. 6 Abs. 1 lit. f DSGVO auch zulässig ist (berechtigtes Interesse an der effizienten Abwicklung). Allerdings müssen Berufsgeheimnisträger nach Art. 32 DSGVO
unserer Auffassung nach beim Versand von E‑Mails grundsätzlich auf das Vorhandensein einer Transportverschlüsselung achten. Bei einem hohen Risiko für die Rechte und Freiheiten ist zusätzlich eine Inhaltsverschlüsselung (beispielsweise mittels PGP oder SMIME) vorzusehen.
Daraus geht u.a. hervor, dass die Tatsache des Berufsgeheimnisschutzes allein nicht bedeutet, dass alle Geheimnisse als hochriskant zu betrachten sind, sondern dass die datenschutzrechtlichen Kriterien des Risikos bei geheimnisgeschützten Personendaten unverändert anzuwenden sind.
Mit Einwilligung der betroffenen Person kann auch bei hochriskanten Daten auf eine Inhaltsverschlüsselung verzichtet werden, wobei die Einwilligung aller betroffenen Personen erforderlich ist.
Zudem sei immer eine Inhaltsverschlüsselung erforderlich, wenn der E‑Mail-Provider des Empfängers Inhalte der E‑Mail zu Werbezwecken auswertet.
Bussgeldverfahren
2019 hat das BayLDA eine Zentrale Bußgeldstelle (ZBS) geschaffen. Die beiden Personen in der ZBS arbeiten ausschliesslich in diesem Bereich.
2019 hat das BayLDA ca. 100 Bussgeldverfahren abgeschlossen, eines mit einem Bussgeldbescheid nach der DSGVO (nicht mehr, weil für unter altem Recht begangene Verstösse nach dem Günstigkeitsprinzip altes Recht gilt).