8. Tätigkeitsbericht 2017/2018 BayLDA

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen. 

Die bayerische Aufsichtsbehörde hat ihren jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben. 

Auftragsverarbeitung

Datenschutzrechtliche Anforderungen an den Dienstleister

• Bei Verweigerung zum Abschluss des Vertrages nach Art. 28 DSGVO oder
• es erfolgt keine Anpassung an alte Verträge 

entfällt die datenschutzrechtliche Grundlage für die Verarbeitung

Konsequenz

• Auftragsentziehung durch Auftraggeber
• ggf. neuen Dienstleister mit datenschutzrechtlichen Anforderungen beauftragen

Informationspflichten

Informationspflichten in abgestufter Form

Möglichkeit zur Bereitstellung der Informationspflichten in zwei oder mehreren Stufen:

1. Stufe

• Informationen zur Identität des Verantwortlichen (Name, Adresse, Erreichbarkeit)
• Zweck der Verarbeitung (z.B. Kontaktaufnahme)
• optional: Hinweis auf Betroffenenrechte (je nach Art der Kontakts)

2. Stufe

• sämtliche restliche Informationen nach Art. 13 und Art. 14 DSGVO (
• diese Informationen können auf der Webseite hinterlegt sein und mittels Link darauf verwiesen werden oder
• Informationsblatt kann auch physisch ausgehändigt werden

Empfehlung der Datenbeschützerin

Die Informationspflicht im Internet in der Datenschutzerklärung zur Verfügung stellen und von sämtlichen Dokumenten für Kunden / Geschäftspartner darauf verweisen. 

Informationspflichten bei Ärzten

• Patienten müssen keine Unterschrift leisten, die Informationspflichten zur Kenntnis genommen zu haben
• Aushang im Wartezimmer oder bei der Anmeldung sind ausreichend

Datenschutz im Internet

Datenschutzbestimmungen auf Webseiten

• Die Datenschutzerklärung hat sich ebenfalls an Art. 12 bzw. Art. 13 und Art. 14 DSGVO zu orientieren
• Datenschutzgeneratoren dienen zur Formulierungshilfe
• Datenschutzerklärung ist jedoch auf die individuelle Webseite anzupassen

Anforderungen an Cookie-Banner

• beim erstmaligen Aufrufen der Webseite erscheint das Cookie-Banner (Inhalt: Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge z.B. Setzen von Cookies allgemein, Analyse Nutzerverhalten)
• es darf keine Vorauswahl getroffen sein; der Nutzer muss die Funktionen auswählen können
• Es darf keine Datenübertragung vor der Aktivierung stattfinden
• Erst nach Aktivierung (z.B. Häckchen setzen) dürfen die Daten übertragen werden
• Das Opt-In wird durch den Verantwortlichen gespeichert – das Cookie-Banner erscheint beim nächsten Aufruf nicht mehr
• Einwilligung muss jederzeit widerrufen werden können (Opt-Out-Möglichkeit)

Anmerkung der Datenbeschützerin

Das BayLDA hat ebenfalls einen Ergebnisbericht Webseitenprüfung veröffentlicht. 

Update 29.07.2019: Das EuGH urteilte Bezug auf Cookie Opt-In. Welche Konsequenzen das Urteil für die Webseitenbetreiber bedeutet, haben wir in unserem Blog veröffentlicht. 

WhatsApp

• WhatsApp ist nicht datenschutzkonform, da die Einwilligung zur Nutzung des Messenger unwirksam ist und keine Auskunft über gespeicherte Daten gegeben wird
• Die Nutzung von WhatsApp ist von Berufsgeheimnisträgern (Ärzten, Anwälten, Wirtschaftsprüfern etc.) nicht gestattet
• Messenger-Alternativen: Threema, Signal, Wire, Hoccer Chiffry

Wenn WhatsApp dennoch weiterhin eingesetzt wird sind folgende Anforderungen zu erfüllen:

• keine interne Kommuniktion über Geschäftsabläufe 
• keine Archivierung von den Nachrichtenverläufen
• Vermeidung von der automatischen Speicherung der Nachrichten im internen Speicher
• Betrieb von WhatsApp auf separaten Smartphone oder
• durch eine Container Lösung bzw. MDM (Mobile Device Management) getrennt werden
• Speicherung von den Kontakten im Telefonbuch, bei denen die Einwilligung vorliegt

Empfehlung der Datenbeschützerin

• Möglichkeit nutzen, einen datenschutzfreundlichen Messenger einzusetzen: Der Aufwand einen neuen Messenger zu installieren ist sehr gering; den Mitarbeitern und den Geschäftspartnern die Situation erklären
• Anlegen eines eigenen Adressbuchs für Kontakte, auf welches WhatsApp keinen Zugriff hat

Facebook-Fanpages

• Facebook-Seiten Betreiber sind gemeinsam mit Facebook für die sog. „Insight-Daten“ gemeinsam verantwortlich
• Verweis seitens der Behörde auf das DSK-Papier vom 05.09.2019

Empfehlung / Einschätzung der Datenbeschützerin 

• Laut der DSK ist ein Betrieb einer Facebook-Fanpage aktuell rechtswidrig
• Jeder Seitenbetreiber hat selbst entscheiden, ob er die Seite weiterbetreiben möchte oder offline (nicht löschen) nimmt

Steuerberater und Rechtsanwälte

Auftragsverarbeiter von Steuerberatern

• Der Steuerberater ist kein Auftragsverarbeiter
• Begründung: Steuerberater arbeiten selbstständig, weisungsunabhängig und unterliegen der gesetzlichen Geheimhaltungspflicht
• bei Übernahme der Lohnabrechnung (ohne Finanzbuchhaltung) haben sie ebenfalls aufgrund des Steuerrechts die Verantwortung zu übernehmen (Haftung)

Papier- und Aktenentsorgung

• Vernichtung richtet sich nach DIN 66399
• Einteilung in 3 Schutzklassen und 7 Sicherheitsstufen
• bei Papiervernichtung gelten die Sicherheitsstufen P4 bis P7
• bei interner Vernichtung ist Schredder mit der Sicherheitsstufe P5 erforderlich

Werbung und Adresshandel

Weihnachts-; Neujahrsglückwunschkarten

• Grußkarten sind nach der Rechtsprechung als Werbung anzusehen
• ABER: Art. 6 Abs. 1 lit. f DSGVO steht der Übermittlung der Grußkarten nicht entgegen; Werbewidersprüche sind jedoch zu beachten
• Kunden sind mittels der Informationspflicht nach Art. 13 und Art. 14 DSGVO auf die Zusendung bzw. auf Werbung hinzuweisen

Handel und Dienstleistung

Kopieren von Personalausweisen

• Eine Kopie ohne die Zustimmung des Inhabers ist nicht zulässig (§ 20 Abs. 2 PAusWG)
• Zur Bestimmung der Identität reicht eine Sichtprüfung aus

Anmerkung der Datenbeschützerin

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentliche im Juni 2019 eine Hilfestellung für den Umgang mit Personalausweisdaten. 

Beschäftigtendatenschutz

Widerruf Einwilligung von veröffentlichten Mitarbeiterfotos

• Ausgangssituation: Ein Mitarbeiter widerruft seine Einwilligung. Die Fotos sind bereits den gedruckten Firmenbroschüren veröffentlicht. 
• Der Widerruf hat Auswirkungen auf die Zukunft
• Eine Interessensabwägung ist durchzuführen -> Abwägung von Umfang und Kosten der Herstellung und des Drucks der Broschüren sowie der Position des Mitarbeiters
• Ergebnis: Aufgrund der hohen Kosten und des Aufwands des Neudrucks dürfen die Broschüren weiter verwendet werden

Anmerkung der Datenbeschützerin

Die DSK hat ebenfalls Stellung zur Verarbeitung von Mitarbeiterdaten genommen. 

Gesundheit und Soziales

Rechtsgrundlage der Verarbeitung in Arztpraxen

• Es ist keine Einwilligung für die Erhebung und Speicherung der Patientendaten nötig
• Durch den Behandlungsvertrag und das Berufsgeheimnis liegt eine gesetzliche Grundlage zur Verarbeitung der Daten vor
• Bei Nichtvorliegen eines Behandlungsvertrages ist eine Einwilligung von Nöten

Abholung von Rezepten und Vereinbarung von Terminen durch den Ehepartner

• Ehepartner sind im datenschutzrechtlichen Sinne als Dritte anzusehen
• Eine Schweigepflichtentbindung bzw. Einwilligung des Patienten ist einzuholen (kann auch mündlich erfolgen z.B. am Telefon)
• Die Einwilligung sollte auch zukünftige Abholungen oder Vereinbarungen abdecken – ansonsten ist bei jedem Besuch die Einwilligung zu erneuern

Verarbeitung von Gesundheitsdaten bei Optikern und Sanitätshäusern

• Optiker oder Sanitätshäusern gehören dem Gesundheitshandwerk an
• Folge: Diese benötigen die Einwilligung des Kunden, damit dessen Gesundheitsdaten (z.B. Dioptrien) verarbeitet werden dürfen

Anmerkung der Datenbeschützerin

Die DSK hat sich ebenfalls mit der Thematik der Verarbeitung von besonderen personenbezogenen Daten beschäftigt. 

Fotos aus Kindertagesstätten für Eltern

• Es ist weiterhin erlaubt, angefertigte Fotos über das Kindergartengeschehen zu verteilen
• Fotos dürfen für die interne Verwendung (Portfolios, Aushänge im Kindergarten, Vorträge für Eltern) ohne Einwilligung verwendet werden (berechtigtes Interesse)
• Sollen Fotos veröffentlicht werden (im Radio, Presse, Social-Media-Seiten, Internetseite) ist die Einwilligung der Eltern erforderlich

Kindernamen in Kindertagesstätten

• Kindernamen dürfen für die interne Organisation ersichtlich sein (z.B. an der Garderobe, am Waschplatz, „Postkasten“) 

Elternbeirat an Schulen

• der Elternbeirat ist kein eigener Verantwortlicher sondern die Schule selbst

Vereine und Verbände

Umgang mit Kontaktdaten von Vereinsmitgliedern

• Zum Zwecke der Kommunikation unter den Vereinsmitgliedern ist die Einwilligung der Mitglieder nötig, da Vereinsmitglieder untereinander trotzdem als Dritte anzusehen sind
• Den Mitgliedern sollte die Wahl ermöglicht werden, welche Daten für die Kommunikation genutzt werden können z.B. Telefonnummer oder Postanschrift
• Ausnahme: es bedarf keiner Einwilligung, wenn der Vereinszweck auf die Kontaktpflege gestützt wird

Fotos im Vereinsleben

• Vereine haben ein berechtigtes Interesse mittels Bilder über das Vereinsleben zu berichten (z.B. Mitgliederversammlungen, Tag der offenen Tür, Musikveranstaltungen etc.) 
• Annahme: Das berechtigte Interesse des Vereins überwiegt gegenüber des Betroffenen; dem Besucher kann zugerechnet werden bei Veranstaltungen (insbesondere bei öffentlichen) fotografiert zu werden
• ABER: Rechtsverletzung wenn Intimfotos oder sog. „Bierleichen-Bilder“ veröffentlicht werden

Videoüberwachung

Videoüberwachung durch Privatpersonen

• wird ein öffentlicher Raum durch die Videoüberwachung erfasst, unterliegt der private Betreiber ebenfalls der DSGVO
• berechtigtes Interesse für die Videoüberwachung: Schutz des Eigentums und Wahrung des Hausrechts
• Videoaufnahmen der öffentlichen Straße oder des Gehwegs sowie des Nachbargrundstücks unterliegen nicht mehr dem berechtigten Interesse

Folgende Möglichkeiten stehen für die Privatpersonen zur Verfügung: 

• Nachbesserung um einen datenschutzkonformen Zustand zu erreichen (z.B. Nachjustieren der Kameraausrichtung) oder
• Einhaltung der Videoüberwachung nach der DSGVO (Aushang von Hinweisschildern nach Art. 13 DSGVO) 

Empfehlung und Anmerkung der Datenbeschützerin

Die DSK nimmt Stellung zum Thema Videoüberwachung und gibt einen guten mit Handlungsempfehlungen mit auf den Weg. 

Blogbeitrag: Zulässige Verwertung und Speicherdauer bei der Videoüberwachung – DSGVO 

Technischer Datenschutz und Informationssicherheit

Risikoorientierter Ansatz unter der DSGVO

In folgenden Bereichen ist eine Auseinandersetzung mit der Risikoeinschätzung nötig: 

• Auswahl von Sicherheitsmaßnahmen zur Risikominderung (TOMs) 
• Möglichkeit einer Datenschutzfolgeabschätzung
• Notwendigkeit zur Erstellung eines Verfahrensverzeichnisses bei nicht regelmäßiger Verarbeitung von personenbezogenen Daten
• Meldung von Datenschutzverletzungen

Empfehlung der Datenbeschützerin

Blogbeitrag zum Thema Risikoanalyse mit Musterbeispiel 

Datenschutzfolgeabschätzung (DSFA)

• Eine DSFA ist durchzuführen, wenn ein „hohes Risiko“ für die Rechte und Freiheiten für die Betroffenen besteht
• Die Black-List der Verfahren, für welche eine DSFA vorgesehen wird, wurde seitens der DSK veröffentlich [Hinweis: hier auf die Black-List verweisen) 

Empfehlung der Datenbeschützerin

Blogbeitrag zum Thema Datenschutzfolgeabschätzung mit Mustervorlage

Quelle

Bayerisches Landesamt für Datenschutz: https://www.lda.bayern.de/media/baylda_report_08.pdf