Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Die bayerische Aufsichtsbehörde hat ihren jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.
Inhaltsverzeichnis
Auftragsverarbeitung
Datenschutzrechtliche Anforderungen an den Dienstleister
- Bei Verweigerung zum Abschluss des Vertrages nach Art. 28 DSGVO oder
- es erfolgt keine Anpassung an alte Verträge
entfällt die datenschutzrechtliche Grundlage für die Verarbeitung
Konsequenz
- Auftragsentziehung durch Auftraggeber
- ggf. neuen Dienstleister mit datenschutzrechtlichen Anforderungen beauftragen
Informationspflichten
Informationspflichten in abgestufter Form
Möglichkeit zur Bereitstellung der Informationspflichten in zwei oder mehreren Stufen:
1. Stufe
- Informationen zur Identität des Verantwortlichen (Name, Adresse, Erreichbarkeit)
- Zweck der Verarbeitung (z.B. Kontaktaufnahme)
- optional: Hinweis auf Betroffenenrechte (je nach Art der Kontakts)
2. Stufe
- sämtliche restliche Informationen nach Art. 13 und Art. 14 DSGVO (
- diese Informationen können auf der Webseite hinterlegt sein und mittels Link darauf verwiesen werden oder
- Informationsblatt kann auch physisch ausgehändigt werden
Empfehlung der Datenbeschützerin
Die Informationspflicht im Internet in der Datenschutzerklärung zur Verfügung stellen und von sämtlichen Dokumenten für Kunden / Geschäftspartner darauf verweisen.
Informationspflichten bei Ärzten
- Patienten müssen keine Unterschrift leisten, die Informationspflichten zur Kenntnis genommen zu haben
- Aushang im Wartezimmer oder bei der Anmeldung sind ausreichend
Datenschutz im Internet
Datenschutzbestimmungen auf Webseiten
- Die Datenschutzerklärung hat sich ebenfalls an Art. 12 bzw. Art. 13 und Art. 14 DSGVO zu orientieren
- Datenschutzgeneratoren dienen zur Formulierungshilfe
- Datenschutzerklärung ist jedoch auf die individuelle Webseite anzupassen
Anforderungen an Cookie-Banner
- beim erstmaligen Aufrufen der Webseite erscheint das Cookie-Banner (Inhalt: Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge z.B. Setzen von Cookies allgemein, Analyse Nutzerverhalten)
- es darf keine Vorauswahl getroffen sein; der Nutzer muss die Funktionen auswählen können
- Es darf keine Datenübertragung vor der Aktivierung stattfinden
- Erst nach Aktivierung (z.B. Häckchen setzen) dürfen die Daten übertragen werden
- Das Opt-In wird durch den Verantwortlichen gespeichert – das Cookie-Banner erscheint beim nächsten Aufruf nicht mehr
- Einwilligung muss jederzeit widerrufen werden können (Opt-Out-Möglichkeit)
Anmerkung der Datenbeschützerin
Das BayLDA hat ebenfalls einen Ergebnisbericht Webseitenprüfung veröffentlicht.
Update 29.07.2019: Das EuGH urteilte Bezug auf Cookie Opt-In. Welche Konsequenzen das Urteil für die Webseitenbetreiber bedeutet, haben wir in unserem Blog veröffentlicht.
- WhatsApp ist nicht datenschutzkonform, da die Einwilligung zur Nutzung des Messenger unwirksam ist und keine Auskunft über gespeicherte Daten gegeben wird
- Die Nutzung von WhatsApp ist von Berufsgeheimnisträgern (Ärzten, Anwälten, Wirtschaftsprüfern etc.) nicht gestattet
- Messenger-Alternativen: Threema, Signal, Wire, Hoccer Chiffry
Wenn WhatsApp dennoch weiterhin eingesetzt wird sind folgende Anforderungen zu erfüllen:
- keine interne Kommuniktion über Geschäftsabläufe
- keine Archivierung von den Nachrichtenverläufen
- Vermeidung von der automatischen Speicherung der Nachrichten im internen Speicher
- Betrieb von WhatsApp auf separaten Smartphone oder
- durch eine Container Lösung bzw. MDM (Mobile Device Management) getrennt werden
- Speicherung von den Kontakten im Telefonbuch, bei denen die Einwilligung vorliegt
Empfehlung der Datenbeschützerin
- Möglichkeit nutzen, einen datenschutzfreundlichen Messenger einzusetzen: Der Aufwand einen neuen Messenger zu installieren ist sehr gering; den Mitarbeitern und den Geschäftspartnern die Situation erklären
- Anlegen eines eigenen Adressbuchs für Kontakte, auf welches WhatsApp keinen Zugriff hat
Facebook-Fanpages
- Facebook-Seiten Betreiber sind gemeinsam mit Facebook für die sog. „Insight-Daten“ gemeinsam verantwortlich
- Verweis seitens der Behörde auf das DSK-Papier vom 05.09.2019
Empfehlung / Einschätzung der Datenbeschützerin
- Laut der DSK ist ein Betrieb einer Facebook-Fanpage aktuell rechtswidrig
- Jeder Seitenbetreiber hat selbst entscheiden, ob er die Seite weiterbetreiben möchte oder offline (nicht löschen) nimmt
Steuerberater und Rechtsanwälte
Auftragsverarbeiter von Steuerberatern
- Der Steuerberater ist kein Auftragsverarbeiter
- Begründung: Steuerberater arbeiten selbstständig, weisungsunabhängig und unterliegen der gesetzlichen Geheimhaltungspflicht
- bei Übernahme der Lohnabrechnung (ohne Finanzbuchhaltung) haben sie ebenfalls aufgrund des Steuerrechts die Verantwortung zu übernehmen (Haftung)
Papier- und Aktenentsorgung
- Vernichtung richtet sich nach DIN 66399
- Einteilung in 3 Schutzklassen und 7 Sicherheitsstufen
- bei Papiervernichtung gelten die Sicherheitsstufen P4 bis P7
- bei interner Vernichtung ist Schredder mit der Sicherheitsstufe P5 erforderlich
Werbung und Adresshandel
Weihnachts-; Neujahrsglückwunschkarten
- Grußkarten sind nach der Rechtsprechung als Werbung anzusehen
- ABER: Art. 6 Abs. 1 lit. f DSGVO steht der Übermittlung der Grußkarten nicht entgegen; Werbewidersprüche sind jedoch zu beachten
- Kunden sind mittels der Informationspflicht nach Art. 13 und Art. 14 DSGVO auf die Zusendung bzw. auf Werbung hinzuweisen
Handel und Dienstleistung
Kopieren von Personalausweisen
- Eine Kopie ohne die Zustimmung des Inhabers ist nicht zulässig (§ 20 Abs. 2 PAusWG)
- Zur Bestimmung der Identität reicht eine Sichtprüfung aus
Anmerkung der Datenbeschützerin
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentliche im Juni 2019 eine Hilfestellung für den Umgang mit Personalausweisdaten.
Beschäftigtendatenschutz
Widerruf Einwilligung von veröffentlichten Mitarbeiterfotos
- Ausgangssituation: Ein Mitarbeiter widerruft seine Einwilligung. Die Fotos sind bereits den gedruckten Firmenbroschüren veröffentlicht.
- Der Widerruf hat Auswirkungen auf die Zukunft
- Eine Interessensabwägung ist durchzuführen -> Abwägung von Umfang und Kosten der Herstellung und des Drucks der Broschüren sowie der Position des Mitarbeiters
- Ergebnis: Aufgrund der hohen Kosten und des Aufwands des Neudrucks dürfen die Broschüren weiter verwendet werden
Anmerkung der Datenbeschützerin
Die DSK hat ebenfalls Stellung zur Verarbeitung von Mitarbeiterdaten genommen.
Gesundheit und Soziales
Rechtsgrundlage der Verarbeitung in Arztpraxen
- Es ist keine Einwilligung für die Erhebung und Speicherung der Patientendaten nötig
- Durch den Behandlungsvertrag und das Berufsgeheimnis liegt eine gesetzliche Grundlage zur Verarbeitung der Daten vor
- Bei Nichtvorliegen eines Behandlungsvertrages ist eine Einwilligung von Nöten
Abholung von Rezepten und Vereinbarung von Terminen durch den Ehepartner
- Ehepartner sind im datenschutzrechtlichen Sinne als Dritte anzusehen
- Eine Schweigepflichtentbindung bzw. Einwilligung des Patienten ist einzuholen (kann auch mündlich erfolgen z.B. am Telefon)
- Die Einwilligung sollte auch zukünftige Abholungen oder Vereinbarungen abdecken – ansonsten ist bei jedem Besuch die Einwilligung zu erneuern
Verarbeitung von Gesundheitsdaten bei Optikern und Sanitätshäusern
- Optiker oder Sanitätshäusern gehören dem Gesundheitshandwerk an
- Folge: Diese benötigen die Einwilligung des Kunden, damit dessen Gesundheitsdaten (z.B. Dioptrien) verarbeitet werden dürfen
Anmerkung der Datenbeschützerin
Die DSK hat sich ebenfalls mit der Thematik der Verarbeitung von besonderen personenbezogenen Daten beschäftigt.
Fotos aus Kindertagesstätten für Eltern
- Es ist weiterhin erlaubt, angefertigte Fotos über das Kindergartengeschehen zu verteilen
- Fotos dürfen für die interne Verwendung (Portfolios, Aushänge im Kindergarten, Vorträge für Eltern) ohne Einwilligung verwendet werden (berechtigtes Interesse)
- Sollen Fotos veröffentlicht werden (im Radio, Presse, Social-Media-Seiten, Internetseite) ist die Einwilligung der Eltern erforderlich
Kindernamen in Kindertagesstätten
- Kindernamen dürfen für die interne Organisation ersichtlich sein (z.B. an der Garderobe, am Waschplatz, „Postkasten“)
Elternbeirat an Schulen
- der Elternbeirat ist kein eigener Verantwortlicher sondern die Schule selbst
Vereine und Verbände
Umgang mit Kontaktdaten von Vereinsmitgliedern
- Zum Zwecke der Kommunikation unter den Vereinsmitgliedern ist die Einwilligung der Mitglieder nötig, da Vereinsmitglieder untereinander trotzdem als Dritte anzusehen sind
- Den Mitgliedern sollte die Wahl ermöglicht werden, welche Daten für die Kommunikation genutzt werden können z.B. Telefonnummer oder Postanschrift
- Ausnahme: es bedarf keiner Einwilligung, wenn der Vereinszweck auf die Kontaktpflege gestützt wird
Fotos im Vereinsleben
- Vereine haben ein berechtigtes Interesse mittels Bilder über das Vereinsleben zu berichten (z.B. Mitgliederversammlungen, Tag der offenen Tür, Musikveranstaltungen etc.)
- Annahme: Das berechtigte Interesse des Vereins überwiegt gegenüber des Betroffenen; dem Besucher kann zugerechnet werden bei Veranstaltungen (insbesondere bei öffentlichen) fotografiert zu werden
- ABER: Rechtsverletzung wenn Intimfotos oder sog. „Bierleichen-Bilder“ veröffentlicht werden
Videoüberwachung
Videoüberwachung durch Privatpersonen
- wird ein öffentlicher Raum durch die Videoüberwachung erfasst, unterliegt der private Betreiber ebenfalls der DSGVO
- berechtigtes Interesse für die Videoüberwachung: Schutz des Eigentums und Wahrung des Hausrechts
- Videoaufnahmen der öffentlichen Straße oder des Gehwegs sowie des Nachbargrundstücks unterliegen nicht mehr dem berechtigten Interesse
Folgende Möglichkeiten stehen für die Privatpersonen zur Verfügung:
- Nachbesserung um einen datenschutzkonformen Zustand zu erreichen (z.B. Nachjustieren der Kameraausrichtung) oder
- Einhaltung der Videoüberwachung nach der DSGVO (Aushang von Hinweisschildern nach Art. 13 DSGVO)
Empfehlung und Anmerkung der Datenbeschützerin
Die DSK nimmt Stellung zum Thema Videoüberwachung und gibt einen guten mit Handlungsempfehlungen mit auf den Weg.
Blogbeitrag: Zulässige Verwertung und Speicherdauer bei der Videoüberwachung – DSGVO
Technischer Datenschutz und Informationssicherheit
Risikoorientierter Ansatz unter der DSGVO
In folgenden Bereichen ist eine Auseinandersetzung mit der Risikoeinschätzung nötig:
- Auswahl von Sicherheitsmaßnahmen zur Risikominderung (TOMs)
- Möglichkeit einer Datenschutzfolgeabschätzung
- Notwendigkeit zur Erstellung eines Verfahrensverzeichnisses bei nicht regelmäßiger Verarbeitung von personenbezogenen Daten
- Meldung von Datenschutzverletzungen
Empfehlung der Datenbeschützerin
Blogbeitrag zum Thema Risikoanalyse mit Musterbeispiel
Datenschutzfolgeabschätzung (DSFA)
- Eine DSFA ist durchzuführen, wenn ein „hohes Risiko“ für die Rechte und Freiheiten für die Betroffenen besteht
- Die Black-List der Verfahren, für welche eine DSFA vorgesehen wird, wurde seitens der DSK veröffentlich [Hinweis: hier auf die Black-List verweisen)
Empfehlung der Datenbeschützerin
Blogbeitrag zum Thema Datenschutzfolgeabschätzung mit Mustervorlage
Quelle
Bayerisches Landesamt für Datenschutz: https://www.lda.bayern.de/media/baylda_report_08.pdf