Der sächsische Datenschutzbeauftragte hat seinen Tätigkeitsbericht für die Jahre 2017 und 2018 veröffentlicht. Er hält darin unter anderem folgendes fest:
- Immobilienverwalter sind nicht Auftragsverarbeiter der Wohneigentümer, sondern selbstständige Verantwortliche.
- Die Verwendung einer Dashcam liegt jedenfalls dann nicht im berechtigten Interesse, wenn das Verkehrsgeschehen permanent und anlasslos aufgezeichnet wird.
- Die Aufnahme von Fotos an öffentlichen Veranstaltungen können im berechtigten Interesse des Veranstalters liegen, soweit die Aufnahme der Fotos einen Bezug zur Veranstaltung hat, zumal die Teilnehmer der öffentlichen Veranstaltung davon ausgehen werden, dass fotografiert wird.
“Dies kann allerdings dann nicht mehr angenommen werden, wenn die aufzunehmenden Personen das Fotografieren offensichtlich ablehnen, Fotos verdeckt oder heimlich aufgenommen werden, Fotos die aufgenommenen Personen diskreditieren können oder aber die Intimsphäre der fotografierten Personen betroffen ist.”
Bei einer Aufnahme von Kindern ist die Interessenabwägung besonders sorgfältig durchzuführen. – Werden Fotos im Internet veröffentlicht, gilt nach § 23 KUG, dass eine Veröffentlichung ohne Einwilligung
“insbesondere dann zulässig [ist], wenn die Personen auf den Bildern nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen.”
Auch hier kann sich der Verantwortliche ggf. auf ein berechtigtes Interesse berufen, doch müssen die Veranstaltungsteilnehmer auf die geplante Veröffentlichung im Internet hingewiesen werden. – Fotos bspw. von Brillenträgern sind nicht grundsätzlich besondere Kategorien von Personendaten:
“Mit einem Foto, das eine Vielzahl von Personen und darunter z. B. auch Brillenträger auf einer öffentlichen Veranstaltung zeigt, vermittelt keine Gesundheitsinformationen über diese Personen sondern dokumentiert die Veranstaltung. Wird dagegen ein Foto mit einem Begleittext veröffentlicht, der auf ein bestimmtes Handicap der aufgenommenen Personen hinweist und dient das Foto z. B. dazu, mögliche Therapien aufzuzeigen, kann eine Verarbeitung von Gesundheitsdaten vorliegen.”
- Es finden sich Hinweise zum Datenschutz bei Sportwettkämpfen.
- Bei der Mitteilung der Informationen nach Art. 13 DSGVO (Datenschutzerklärung) gilt:
“Das „Mitteilen“ der Information setzt nicht ein aktives Herantreten an den Betroffenen voraus, sondern ist mit der englischen Fassung „provide“ als ein „Zur-Verfügung-Stellen“ zu verstehen. Dies kann „durch geeignete Maßnahmen“ des Verantwortlichen erfolgen (Artikel 12 Absatz 1 DSGVO), die sich gegenseitig ergänzen können (Aushang, Info-Blatt, Erklärung auf Webseite, Textteil im Vertrag, mündlicher Hinweis, …). Entscheidend ist, dass die Information des Betroffenen durch ihn zumutbar erlangt werden kann.”
Im Vertragsanbahnungsverhältnis kann es besonders schwierig sein, sämtliche der relevanten Informationen beim ersten Kontakt zu übermitteln.
“Sofern Informationen bei diesem ersten Erhebungsschritt fehlen (z. B. die Kontaktdaten des Datenschutzbeauftragten, Artikel 13 Absatz 1 Buchstabe b) DSGVO, oder die Benennung der Rechtsgrundlage, Artikel 13 Absatz 1 Buchstabe c) DSGVO), kann dies nach Auffassung der Aufsichtsbehörde bei einem späteren Erhebungs- oder Verarbeitungsschritt erfolgen (z. B. als Link in der Signatur einer E‑Mail-Antwort). Entscheidend ist dabei, ob die Umstände der ersten Erhebung „geeignet“ (bzw. nicht „geeignet“) sind, diese Information sachgerecht zu ermöglichen.”
- Bei umfassenden Auskunftsbegehren kann der Verantwortliche den betroffenen Fragen, ob ihm erste Auskünfte ausreichen, und er kann gebeten werden, andernfalls zu präzisieren, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht. Für die Antwort sollte eine angemessene Frist eingeräumt werden.
- Wenn online Anbieter die Möglichkeit bieten, angemeldet zu bleiben (durch ein Cookie), einen entsprechenden Button “angemeldet bleiben” aber vorankreuzen, verstossen sie dadurch gegen die Pflicht zu datenschutzfreundlichen Voreinstellungen (Art. 25 Abs. 1 DSGVO).
- Es finden sich Hinweise zur Interessenabwägung bei der Verwendung von online Tools.
- Der Einsatz von WhatsApp im geschäftlichen Umfeld ist “problembehaftet”. Weil WhatsApp standardmässig auf Kontaktdaten zugreift, wird der Grundsatz “privacy by design” verletzt. Zulässig sei der Einsatz von WhatsApp aber dann, wenn WhatsApp nicht auf Kontaktdaten von Kunden zugreifen kann, wenn Kunden zuvor auf die “datenschutzrechtliche Problematik” hingewiesen werden, wenn ihnen ein alternativer sicherer Kommunikationskanal zur Verfügung gestellt wird und WhatsApp nicht auf Daten von Kunden zugreifen kann, die nicht über WhatsApp kommunizieren (z.B. weil ihre Kontaktdaten nicht auf dem Gerät gespeichert werden).
- Bei der Behörde gingen nur wenige Anfragen zu gemeinsam Verantwortlichen ein.
- Wartungs- und Fernwartungsdienstleistungen seien auch nach Inkrafttreten der DSGVO grundsätzlich als Auftragsverarbeitung anzusehen, es sei denn, es geht “rein um eine technische Wartung der Infrastruktur einer IT durch Dienstleister”, z. B. “Arbeiten an Stromzufuhr, Kühlung, Heizung)” und wenn bei einer reinen Betreuungs- und Reparaturtätigkeit personenbezogene Daten nur „beiläufig“ zur Kenntnis genommen werden können.
- Bei Übersetzungsdienstleistungen sei zu differenzieren: Die Einordnung als Auftragsverarbeitung “hängt einerseits vom Inhalt der zu übersetzenden Texte, also der Frage, ob es sich dabei (auch bzw. vor allem) um personenbezogene Daten handelt, ab. Andererseits ist zu berücksichtigen, welche Freiräume der Übersetzer bei seiner Tätigkeit hat, er sich also – wie etwa bei der Übersetzung amtlicher Dokumente – streng und wortgetreu am Original halten muss oder ob es letztendlich nur um eine sinngemäße Übertragung geht, bei der dem Übersetzer entsprechende Spielräume zugestanden werden. Auch wenn eine Privatperson ausschließlich sie selbst betreffende Dokumente oder Texte zur Übersetzung vorlegt, wird man nicht von einer Auftragsverarbeitung ausgehen können”.
- Die Lohn- und Gehaltsabrechnung durch Steuerberater ist keine Auftragsverarbeitung.
- Bei Penetrationstests (Pentests) und bei Wartungsverträgen sei ”
die Verarbeitung der personenbezogenen Daten eigentlich nicht Kern des Vertrags. Gleichwohl weiß der Auftraggeber von der Möglichkeit der Offenlegung und beauftragt quasi ‘mit bedingtem Vorsatz’ ”. “So halte ich es für interessengerecht und erforderlich, den Auftraggeber für den Fall der Kenntnisnahme personenbezogener Daten aus dem Bereich des Auftraggebers zu binden, wie bei einer Auftragsverarbeitung.”
- Bei Datensicherheitsverletzungen steht der Fehlversand von Unterlagen im Vordergrund.
- Bei der Bezeichung von Datenschutzbeauftragten akzeptiert der Sächsische Datenschutzbeauftragten die Benennung von juristischen Personen. Zudem muss in der Datenschutzerklärung der Name des Datenschutzbeauftragten nicht angegeben werden; es genügt die Angabe einer Telefonnummer oder einer generischen E‑Mail-Adresse. Die Angabe eines Namens sei aber zulässig.