BayL­DA: 9. Tätig­keits­be­richt 2019

Das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) hat den Tätig­keits­be­richt für Jahr 2019 ver­öf­fent­licht – nach­fol­gend fin­den sich Hin­wei­se auf eini­ge der dar­in ange­spro­che­nen Punk­te (Aus­wahl):

Beschwer­den und Bera­tun­gen

Zunächst war 2019 erneut ein star­ker Anstieg der Beschwer­den und “Kon­troll­an­re­gun­gen” (Berich­te über Daten­schutz­ver­let­zun­gen durch davon nicht betrof­fe­ne Per­so­nen) zu ver­zeich­nen, die rascher ein­ge­hen, als sie abge­ar­bei­tet wer­den kön­nen:

Dem­ge­gen­über ist das Bera­tungs­auf­kom­men nach einer Spit­ze 2018 stark gesun­ken, mög­li­cher­wei­se auf­grund der online ver­füg­ba­ren Res­sour­cen:

Was eben­falls stark zunahm, waren die Daten­schutz­ver­let­zun­gen:

Per­so­nal­aus­stat­tung im Ver­gleich mit dem EDÖB

Inter­es­sant ist auch die Per­so­nal­ent­wick­lung beim Bayl­DA:

  • Bis 31.12.2016: 16 Plan­stel­len
  • Bis 31.12.2017: 20 Plan­stel­len
  • Bis 31.12.2018: 24 Plan­stel­len
  • Bis 31.12.2019: 33 Plan­stel­len

Zum Ver­gleich die Per­so­nal­ent­wick­lung beim EDÖB gemäss sei­nem letz­ten Tätig­keits­be­richt, soweit es um den Bereich DSG (exkl. BGÖ) geht:

  • 2005: 22 Stel­len
  • 2010: 23 Stel­len
  • 2018: 24 Stel­len
  • 2019: 24 Stel­len

Der EDÖB hat der­zeit also rund 27% weni­ger Stel­len im Bereich des Daten­schut­zes (exkl. BGÖ) als das BayL­DA. Aller­dings hat Bay­ern annä­hernd dop­pelt so vie­le Ein­woh­ner wie die Schweiz. Gleich­zei­tig küm­mert sich das BayL­DA anders als der EDÖB aus­schliess­lich um den pri­va­ten Daten­schutz (für öffent­li­che Stel­len ist eine ande­re Behör­de zustän­dig, der Lan­des­be­auf­trag­te für Daten­schutz).

Man darf wei­ter ann­neh­men, dass die Tätig­keit des EDÖB inner­halb des Daten­schut­zes (exkl. BGÖ) zu viel­leicht 35% den Pri­vat­be­reich betrifft.1Gestützt auf den Tätig­keits­be­richt 2019. Im Bereich der Bera­tung ent­fällt rund die Hälf­te des Auf­wands auf den Pri­vat­be­reich, doch betref­fen eini­ge DSG-Tätig­keits­ge­bie­te nur den öffent­li­chen Bereich, z.B. die Mit­wir­kung bei Gesetz­ge­bun­gen oder die Zusam­men­ar­beit mit den Kan­to­nen. Aller­dings schlüs­selt der Tätig­keits­be­richt die Tätig­kei­ten ins­ge­samt nicht nach dem Pri­vat- und dem öffent­li­chen Bereich auf, und eini­ge Zah­len erschei­nen wider­sprüch­lich. Dem­nach ver­fügt der EDÖB für den Pri­vat­be­reich über annä­hernd die glei­che Per­so­nal­aus­stat­tung wie das BayL­DA für ver­gleich­ba­re Auf­ga­ben­be­rei­che, aber mit wohl erheb­lich weni­ger Auf­ga­ben, nach­dem der EDÖB heu­te kei­ne Ver­fü­gungs­kom­pe­tenz hat und im Pri­vat­be­reich auch weni­ge Mel­dun­gen von Daten­schutz­ver­let­zun­gen zu bewäl­ti­gen hat. Viel­leicht erklärt dies, dass sich der EDÖB trotz der Res­sour­cen­knapp­heit2Dem EDÖB sind ins­ge­samt zehn wei­te­re Stel­len zuge­sagt, doch sind die­se bis­her nicht geneh­migt. Zeit nimmt, sich im Pri­vat­be­reich auch um Auf­ga­ben zu küm­mern, die eigent­lich nicht in sei­nen Zustän­dig­keits­be­reich fal­len, son­dern – nicht aus dog­ma­ti­schen, son­dern aus rechts­po­li­ti­schen Anlie­gen – dem dahen­na­hen Kon­su­men­ten­schutz zuzu­rech­nen sind. Dazu gehört die auch etwa die For­de­rung nach Trans­pa­renz in Kon­stel­la­tio­nen, in denen es um anony­me Daten geht, eben­so wie das (recht­lich nicht begrün­de­te) Anlie­gen, bei der Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten und von Per­sön­lich­keits­pro­fi­len sei eine Ein­wil­li­gung erfor­der­lich. Inter­es­sant wäre jeden­falls auch die Ver­öf­fent­li­chung der durch­schnitt­li­chen Auf­ga­ben pro Mit­ar­bei­ter bzw. pro Stel­le, wie dies das BayL­DA tut.

Die For­de­rung des EDÖB nach mehr Res­sour­cen ist den­noch nicht unbe­rech­tigt (mit der Durch­set­zung des DSG ist dem Daten­schutz jeden­falls mehr gehol­fen als mit der blo­ssen Ver­schär­fung des Geset­zes), aber sie wür­de auf mehr Ver­ständ­nis sto­ssen, wür­de der EDÖB in sei­ner Tätig­keit mehr Gewicht auf die Abgren­zung sei­ner Tätig­kei­ten ent­lang dem Anwen­dungs­be­reich des DSG legen und eben­so risi­ko­ba­siert vor­ge­hen, wie es von den Daten­ver­ar­bei­tern ver­langt wird – und weni­ger Gewicht legen auf den gefühl­ten Daten- und auf den Kon­su­men­ten­schutz, auf das All­heil­mit­tel der Sen­si­bi­li­sie­rung und auf die Reak­ti­on auf Berich­te der Medi­en und bestimm­ter Akti­vi­sten mit poli­ti­schen Anlie­gen. Medi­en­be­richt­erstat­tung und öffent­li­ches Inter­es­se sind nicht das­sel­be, und je stär­ker die Reak­ti­on auf Medi­en­be­rich­te aus­fällt, desto grö­sser ist eine gewis­se Gefahr der Instru­men­ta­li­sie­rung und damit eine Gefährung der Unab­hän­gig­keit.

Kon­trol­len und Prü­fun­gen

  • In die­sem Bereich hat sich das BayL­DA u.a. auf Cyber­si­cher­heit und Online-Tracking kon­zen­triert, weil die­se The­men häu­fi­ger Beschwer­de­ge­gen­stand waren (d.h.: was gegen aussen sicht­bar ist, ist nicht über­ra­schend eher Gegen­stand von Beschwer­den). Hier­zu sagt das BayL­DA:

    Obwohl wir aus­schließ­lich Web­sites von grö­ße­ren Unter­neh­men, zum Teil bör­sen­no­tier­te Groß­kon­zer­ne, hin­sicht­lich längst bekann­ter Sicher­heits­an­for­de­run­gen unter­such­ten, muss­ten wir fest­stel­len, dass zahl­rei­che Defi­zi­te vor­han­den waren. Die getrof­fe­nen Sicher­heits­maß­nah­men muss­ten oft als unzu­rei­chend ein­ge­stuft wer­den. […] Auch im Bereich Tracking fiel das Ergeb­nis unse­rer Prü­fung deso­lat aus: Kei­ne der geprüf­ten Web­sites erfüll­te die Anfor­de­rung an eine zuläs­si­ge Ein­wil­li­gung nach der DS-GVO, obwohl die Web­sites Tracking-Tools von Dritt­an­bie­tern ein­ge­bun­den hat­ten und somit eine Daten­ver­ar­bei­tung durch frem­de Dien­ste ver­an­lass­ten.

    Wei­te­re Anga­ben zu die­sen Prü­fungs­er­geb­nis­sen fin­den sich hier.

  • Im Bereich der Rechen­schafts­pflicht (“Accoun­ta­bi­li­ty”; Art. 5 Abs. 2 DSGVO; im E‑DSG ohne Gegen­stück) stellt das BayL­DA fest:

    Trotz die­ser und der zahl­rei­chen Ver­öf­fent­li­chun­gen der Auf­sichts­be­hör­den ins­ge­samt waren vie­le Ver­ant­wort­li­che in punc­to Rechen­schaft­s­plicht über­for­dert. Eini­ge Unter­neh­men waren der Ansicht, es sei damit getan, wenn man der Auf­sichts­be­hör­de die Daten­schutz­be­stim­mung der Web­site aus­druckt oder erklärt, „Wer­bung ist ein berech­tig­tes Inter­es­se und
    des­halb darf man das“.

    Zu den erfor­der­li­chen Nach­wei­sen gehör­ten viel­mehr:

    • Ver­zeich­nis über Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 DS-GVO),
    • Daten­­schutz-Fol­­gen­a­b­­schä­t­­zung (Art. 35 DS-GVO),
    • geneh­mig­te Ver­hal­tens­re­geln (Art. 40 DS-GVO),
    • Zer­ti­fi­zie­rung (Art. 42 DS-GVO),
    • Mel­dun­gen über Daten­schutz­ver­let­zun­gen (Art. 33 DS-GVO) sowie
    • Ver­trä­ge zur Auf­trags­ver­ar­bei­tung (Art. 28 Abs. 3 DS-GVO)

    Dar­über hin­aus kön­ne die Rechen­schafts­pflicht durch son­sti­ge Daten­schutz­do­ku­men­ta­ti­on erfol­gen, z.B. hier­durch:

      • Ver­trags­ma­nage­ment
      • Kon­zep­te zur Sicher­stel­lung der Betrof­fe­nen­rech­te
      • Pro­zes­se der Daten­schutz­or­ga­ni­sa­ti­on
      • Ein­füh­rung von Daten­schutz­richt­li­ni­en
      • Inter­ne oder exter­ne Audits
      • Mit­ar­bei­ter­schu­lun­gen
      • Rechts­gut­ach­ten
      • Zer­ti­fi­zie­run­gen nach DIN- und ISO-Nor­­men
      • Son­sti­ge Auf­zeich­nun­gen wie z.B. Berich­te, Ver­mer­ke oder Pro­to­kol­le

    Der Prüf­kata­log des BayL­DA zur Rechen­schafts­pflicht und damit eine gute Check­li­ste zur Umset­zung der DSGVO fin­det sich hier: Link.

Betrof­fen­rech­te

No-Gos” beim Aus­kunfts­recht

Mit Bezug auf das Aus­kunfts­recht hält das BayL­DA zunächst fol­gen­de “No-Gos” der Ver­ant­wort­li­chen, aber auch der Antrag­stel­ler fest:

  • Ver­ant­wort­li­che:
    • Igno­rie­ren von Aus­kunfts­be­geh­ren bei Iden­ti­täts­zwei­feln;
    • Aus­kunft über aus­schliess­lich Stamm­da­ten als per­so­nen­be­zo­ge­ne Daten;
    • Beru­fung auf unver­hält­nis­mä­ssi­gen Auf­wand ohne Dar­le­gung der Umstän­de;
  • betrof­fe­ne Per­son:
    • Ein­rei­chen der Beschwer­de durch die betrof­fe­ne Per­son vor Ver­strei­chen der Bear­bei­tungs­frist;
    • Zweck des Rechts auf Aus­kunft ausser Acht las­sen – hier hält das BayL­DA aus­drück­lich fest “Mit dem Recht auf Aus­kunft sol­len aus­schließ­lich Daten­schutz­zie­le ver­folgt wer­den. Die­ses Recht soll nicht zur Samm­lung von Bewei­sen für ande­re bestehen­de Kon­flik­te die­nen.” In der Schweiz ist die­ser Punkt noch nicht ganz klar, trotz des CS-Urteils des Bun­des­ge­richts. Es wäre nicht über­ra­schend, wenn die Gerich­te hier in Zukunft zu wei­te­ren Klä­run­gen auf­ge­ru­fen wer­den;
    • Gel­tend­ma­chung des Rechts auf Aus­kunft gegen­über dem Anwalt der Gegen­sei­te;
    • Beschwer­de ohne beweis­kräf­ti­ge Nach­wei­se.

Gestuf­te Aus­kunft bei pau­scha­len Aus­kunfts­be­geh­ren

Mit Bezug auf die Aus­kunfts­pflicht von Ver­si­che­rungs­un­ter­neh­men, in der Sache aber für Ver­ant­wort­li­che mit umfang­rei­chen Ver­ar­bei­tungs­tä­tig­kei­ten aber all­ge­mein­gül­tig (und auch für die Schweiz rich­tig) hält das BayL­DA fest, dass sich die Aus­kunfts­pflicht von Ver­si­che­rungs­un­ter­neh­men zwar nicht auf die Stamm­da­ten des Ver­si­che­rungs­neh­mers beschrän­ke, dass es bei pau­scha­len Aus­kunfts­er­su­chen aber zuläs­sig sei, in einem ersten Schritt nur über die Stamm­da­ten Aus­kunft zu ertei­len. Eine wei­ter­ge­hen­de Beaus­kunftung habe erst zu erfol­gen, wenn das Aus­kunfts­er­su­chen vom Ver­si­che­rungs­neh­mer ent­spre­chend prä­zi­siert wird.

Daten­schutz im Inter­net

Face­book Fan­pages

Ihr hält das BayL­DA lapi­dar fest,

Betrei­ber von Face­book Fan­pages haben nach der­zei­ti­gem Stand kei­ne Mög­lich­keit, die­se daten­schutz­kon­form zu betrei­ben und müs­sen des­halb damit rech­nen, Adres­sat von Anord­nun­gen der Auf­sichts­be­hör­den zu wer­den.

Der Betrei­ber der Fan­page kön­ne ohne hin­rei­chen­de Kennt­nis über die Ver­ar­bei­tungs­tä­tig­kei­ten nicht bewer­ten, ob die­se recht­mä­ssig erfol­gen.
Solan­ge Face­book hier nicht nach­bes­se­re, sei ein daten­schutz­kon­for­mer Betrieb einer Fan­page nicht mög­lich ist, trotz des „Page-Con­­trol­­ler-Adden­dums“ von Face­book (der Ver­ein­ba­rung i.S.v. Art. 26 DSGVO – zu wei­te­ren Infor­ma­tio­nen s. hier).

Tracking-Tools

Wie erwähnt hat das BayL­DA bei den Prü­fun­gen gro­sses Gewicht auf den Ein­satz von Tracking Tools im Inter­net gelegt. Hier ist die “Ori­en­tie­rungs­hil­fe der Auf­sichts­be­hör­den für Anbie­ter von Tele­me­di­en” (Stand: März 2019) zu beach­ten. Zu Goog­le Ana­ly­tics ist die Mei­nung des BayL­DA fol­gen­de:

Bei­spiels­wei­se ist die sog. „Daten­frei­ga­be“ an Goog­le stan­dard­mä­ßig akti­viert. Unter Berück­sich­ti­gung der „Ori­en­tie­rungs­hil­fe für Anbie­ter von Tele­me­di­en“ bedeu­tet das Fol­gen­des: Räumt der Web­­si­te-Betrei­­ber Goog­le die Mög­lich­keit ein, die Daten der Web­sei­ten­be­su­cher zu eige­nen Zwecken zu ver­wen­den, erfor­dert dies eine Ein­wil­li­gung der Nut­zer.

Wer­bung und Adress­han­del

Das BayL­DA sei 2019 mehr­fach auf Ban­ken auf­merk­sam gewor­den, die Kun­den­da­ten auch zur Bil­dung umfang­rei­cher Wer­be­pro­fi­le ver­ar­bei­ten, u.a. auf Basis von Daten aus Bera­tungs­ge­sprä­chen und von Nut­zungs­da­ten aus Online-Ban­­king und Ban­­king-Apps, vom Daten aus lau­fen­den Ver­trä­gen und von Zah­lungs­ver­kehrs­da­ten. Die­se Ver­ar­bei­tung sei jeweils auf eine Inter­es­sens­ab­wä­gung nach Art. 6 Abs. 1 lit. f DSGVO gestützt wor­den.

Aller­dings ist in aller Regel nicht davon aus­zu­ge­hen, dass bei einer der­art umfas­sen­den Pro­fil­bil­dung die werb­li­chen Inter­es­sen des Kre­dit­in­sti­tuts die berech­tig­ten Inter­es­sen der Kun­den an einem Aus­schluss der Ver­ar­bei­tung über­wie­gen. Daher sind wir der Ansicht, dass eine sol­che Ver­ar­bei­tung nur in Ver­bin­dung mit einer Ein­wil­li­gung des Kun­den rechts­kon­form zu ver­wirk­li­chen ist.

Dies gel­te beson­ders

hin­sicht­lich der teil­wei­se prak­ti­zier­ten Aus­wer­tung von Zah­lungs­ver­kehrs­da­ten, da z. B. die Anga­ben zum Ver­wen­dungs­zweck aus Über­wei­sun­gen und Last­schrif­ten oft­mals auch beson­de­re Kate­go­ri­en von per­so­nen­be­zo­ge­nen Daten ent­hal­ten kön­nen (z. B. bei Zah­lung von Mit­glieds­bei­trä­gen an poli­ti­sche Par­tei­en und Gewerk­schaf­ten oder Beglei­chung von Arzt­rech­nun­gen). Bei die­ser Art von beson­ders geschütz­ten Daten ver­bie­tet Art. 9 DS-GVO gene­rell, dass die­se auf Basis einer Inter­es­sens­ab­wä­gung im Sin­ne des Art. 6 Abs. 1 Buchst. f DS-GVO ver­ar­bei­tet wer­den.

Man hät­te sich hier aller­dings auch fra­gen kön­nen, ob tat­säch­lich eine Ver­ar­bei­tung von beson­de­ren Kate­go­ri­en von Daten vor­liegt, wenn zwar Roh­da­ten ver­wen­det wer­den, die ent­spre­chend geschütz­te Erkennt­nis­se erlau­ben, wenn die Roh­da­ten aber nicht im Hin­blick auf die­se Aus­sa­ge­kraftg ver­wen­det wer­den (wenn also bspw. kei­ne Kun­den­ka­te­go­rie “poli­tisch libe­ral” oder “Krank­heits­fall” gebil­det wird). Art. 9 Abs. 1 DSGVO schliesst die­se Sicht­wei­se nicht unbe­dingt aus, wes­halb bspw. bei Mit­ar­beiterfo­tos aner­kannt ist, dass sie auch bei Bril­len­trä­gern nicht als Gesund­heits­da­ten zu sehen sind, solan­ge sie nicht im Hin­blick auf die­ses Merk­mal aus­ge­wer­tet wer­den.

Inter­na­tio­na­ler Daten­ver­kehr

Zum Pri­va­cy Shield fin­den sich fol­gen­de Aus­sa­gen:

Hin­zu­wei­sen ist auch dar­auf, dass der Pri­va­cy Shield, jeden­falls mit­tel­bar, auch Gegen­stand eines der­zeit vom Euro­päi­schen Gerichts­hof ver­han­del­ten Vor­la­ge­ver­fah­rens („Schrems II“) [dazu hier] ist, bei dem für die ersten Mona­te 2020 mit einem Urteil zu rech­nen ist. Auch wenn das kon­kre­te Ver­fah­ren nicht unmit­tel­bar die Gül­tig­keit der Pri­­va­­cy-Shield-Ent­­schei­­dung zum Gegen­stand hat, ist es nicht aus­ge­schlos­sen, dass der EuGH in sei­nem Urteil auch rele­van­te Aus­sa­gen zum Pri­va­cy Shield tref­fen könn­te. Selbst eine Ungül­tig­erklä­rung des Pri­va­cy Shield durch den EuGH im Rah­men des anste­hen­den Urteils kann nach Ansicht eini­ger Beob­ach­ter zumin­dest nicht völ­lig aus­ge­schlos­sen wer­den. Im Rah­men des vor­ge­nann­ten vom EuGH ver­han­del­ten Ver­fah­rens („Schrems II“) ist der EuGH auf­grund einer Vor­la­ge des ober­sten Gerichts aus Irland (Irish High Court) auf­ge­ru­fen, über die Gül­tig­keit der EU-Stan­­dar­d­­da­­ten­­schut­z­­klau­­seln für Über­mitt­lun­gen an Auf­trags­ver­ar­bei­ter (Kom­mis­si­ons­be­schluss 2010/87/EU vom 15.02.2010) zu ent­schei­den.

Mit­ar­bei­ter­da­ten­schutz

Im Bereich des – beson­ders stark durch natio­na­les Recht gepräg­ten – Mit­ar­bei­ter­da­ten­schut­zes hält das BayL­DA zum Zugriff auf E‑Mails aus­ge­schie­de­ner Mit­ar­bei­ter fol­gen­des fest:

Sofern, wie im kon­kret vor­lie­gen­den Fall, die pri­va­te Nut­zung von Inter­net und E‑Mail unter­sagt ist, rich­tet sich die Zuläs­sig­keit von Zugrif­fen des Arbeit­ge­bers auf das E‑Mail-Post­­fach des aus­ge­schie­de­nen Mit­ar­bei­ters nach § 26 Abs. 1 Satz 1 BDSDG. Danach ist der Umgang des Arbeit­ge­bers mit Mit­ar­bei­ter­da­ten für Zwecke des Beschäf­ti­gungs­ver­hält­nis­ses zuläs­sig, wenn er für die Durch­füh­rung oder Been­di­gung des Beschäf­ti­gungs­ver­hält­nis­ses erfor­der­lich ist. Die dienst­li­chen E‑Mails ste­hen dem Arbeit­ge­ber zu, so dass er dar­über nach Aus­schei­den des betref­fen­den Mit­ar­bei­ters ver­fü­gen kann. Wenn zudem E‑Mails aus dem Post­fach für die wei­te­re Bear­bei­tung von Geschäfts­vor­gän­gen benö­tigt wer­den, muss dem Arbeit­ge­ber der Zugriff mög­lich sein. Soll­te er auf eine E‑Mail mit pri­va­tem Inhalt sto­ßen, dürf­te er die­se aller­dings nicht zur Kennt­nis neh­men und müss­te sie ent­we­der an den aus­ge­schie­de­nen Mit­ar­bei­ter über­mit­teln oder löschen. Eine Ein­wil­li­gung des aus­ge­schie­de­nen Mit­ar­bei­ters ist in einem sol­chen Fall nicht erfor­der­lich.

Daten­si­cher­heit

Daten­schutz­ver­let­zun­gen

Der nbach dem Inkraft­tre­ten der DSGVO begin­nen­de Trend hat sich 2019 fort­ge­setzt – die Zahl der Mel­dun­gen über Daten­schutz­ver­let­zun­gen steigt wei­ter­hin stark an. Die häu­fig­sten Kate­go­ri­en betref­fen Cyber­an­grif­fe, Ver­schlüs­se­lungs­tro­ja­ner, Mal­wa­re, Ver­lust, Dieb­stahl, Sof­t­­wa­re- und Buchungs­feh­ler sowie Fehl­ver­sen­dun­gen. Weit über die Hälf­te der gemel­de­ten Daten­schutz­ver­let­zun­gen betref­fen aller­dings Sach­ver­hal­te, die
ein eher „nor­ma­les“ Risi­ko für die betrof­fe­nen Per­so­nen besit­zen und bei denen oft­mals kei­ne wei­te­ren Abhil­fe­mass­nah­men durch das BayL­DA zu tref­fen sind. Cyber­at­tacken kön­nen aber erheb­li­chen Scha­den für die Opfer dar­stel­len, wes­halb sich das BayL­DA ent­schie­den hat, den Schwer­punkt
„Cyber­si­cher­heit“ wei­ter zu ver­fol­gen und soweit mög­lich aus­zu­bau­en.

E‑Mail-Kom­­mu­­ni­­ka­­ti­on zwi­schen Berufs­ge­heim­nis­trä­gern und betrof­fe­nen Per­so­nen

Rechts­an­wäl­te und ande­re Berufs­ge­heim­nis­trä­ger kom­mu­ni­zie­ren mit dem Geheim­nis­herrn häu­fig per E‑Mail. was nach Art. 6 Abs. 1 lit. f DSGVO auch zuläs­sig ist (berech­tig­tes Inter­es­se an der effi­zi­en­ten Abwick­lung). Aller­dings müs­sen Berufs­ge­heim­nis­trä­ger nach Art. 32 DSGVO

unse­rer Auf­fas­sung nach beim Ver­sand von E‑Mails grund­sätz­lich auf das Vor­han­den­sein einer Trans­port­ver­schlüs­se­lung ach­ten. Bei einem hohen Risi­ko für die Rech­te und Frei­hei­ten ist zusätz­lich eine Inhalts­ver­schlüs­se­lung (bei­spiels­wei­se mit­tels PGP oder SMIME) vor­zu­se­hen.

Dar­aus geht u.a. her­vor, dass die Tat­sa­che des Berufs­ge­heim­nis­schut­zes allein nicht bedeu­tet, dass alle Geheim­nis­se als hoch­ris­kant zu betrach­ten sind, son­dern dass die daten­schutz­recht­li­chen Kri­te­ri­en des Risi­kos bei geheim­nis­ge­schütz­ten Per­so­nen­da­ten unver­än­dert anzu­wen­den sind.

Mit Ein­wil­li­gung der betrof­fe­nen Per­son kann auch bei hoch­ris­kan­ten Daten auf eine Inhalts­ver­schlüs­se­lung ver­zich­tet wer­den, wobei die Ein­wil­li­gung aller betrof­fe­nen Per­so­nen erfor­der­lich ist.

Zudem sei immer eine Inhalts­ver­schlüs­se­lung erfor­der­lich, wenn der E‑Mail-Pro­­­vi­­der des Emp­fän­gers Inhal­te der E‑Mail zu Wer­be­zwecken aus­wer­tet.

Buss­geld­ver­fah­ren

2019 hat das BayL­DA eine Zen­tra­le Buß­geld­stel­le (ZBS) geschaf­fen. Die bei­den Per­so­nen in der ZBS arbei­ten aus­schliess­lich in die­sem Bereich.

2019 hat das BayL­DA ca. 100 Buss­geld­ver­fah­ren abge­schlos­sen, eines mit einem Buss­geld­be­scheid nach der DSGVO (nicht mehr, weil für unter altem Recht began­ge­ne Ver­stö­sse nach dem Gün­stig­keits­prin­zip altes Recht gilt).