30. Tätigkeitsbericht des BayLfD 2020

Knowledge Base der Datenbeschützerin

Der bayerische Datenschutzbeauftragte hat seinen Tätigkeitsbericht 2020 veröffentlicht.

Der Bericht setzt zwei Schwerpunktthemen:

  • Datenschutzrechtliche Themen im Zusammenhang mit Verkehrsordnungswidrigkeiten
  • und natürlich auch wieder Covid-19

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.

Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Inhaltsverzeichnis

Auf den Punkt gebracht: Tätigkeitsbericht des BayLfD

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Einen wesentlicher Bestandteil des Tätigkeitsbericht des BayLfD nimmt das Thema Verkehrsordnungswidrigkeiten sowie die Corona-Pandemie ein
  • Außerdem wird Stellung zu Microsoft365, Drittländertransfer und Cookies auf Webseiten bezogen

Microsoft Produkte und Datenschutz (Seite 17)

Der bayerische Landesbeauftragte möchte eine deutsche bzw. europäische, einheitliche Lösung zum Umgang mit Microsoft-Produkten (Windows 10 und Microsoft 365). Insbesondere verweist er auf den Beschluss der DSK vom 26.11.2020 für Windows 10 Enterprise.

Bei Microsoft365 wird auf eine Taskforce verwiesen. Ziel dieser Taskforce ist die Verhandlung mit Microsoft für mehr Datenschutz und Datensicherheit.

Microsoft Teams an bayerischen Schulen

„Erfreulicherweise hat das Kultusministerium im Sommer 2020 entschieden, die
bayerische Bildungsplattform mebis durch ein nachhaltig datenschutzkonformes Kommunikationswerkzeug zu ergänzen.“

Bis zur Abschaltung von Microsoft Teams ist die Nutzung des Tools wegen bestehender, offener datenschutzrechtlicher Fragen nur mit einer Einwilligung der betroffenen Person möglich. Die Schulen sind verpflichtet, echte Alternativangebote zu bieten, um die Freiwilligkeit der Einwilligung zu wahren – z. B. durch Zuschaltung per Telefon oder anonyme Nutzung (d.h. Erstellung anonymer Konten oder schulisches Endgerät).

Schwerpunkt I: Datenschutzrechtliche Themen im Zusammenhang mit Verkehrsordnungswidrigkeiten (Seite 19 ff.)

Im Bericht wird auf folgende Themen eingegangen:

  • Zuständigkeit
  • Zulässigkeit von Bildaufnahmen und ihre Grenzen
  • Fahrzeugführerermittlung
  • Anhörungs- und Zeugenfragebögen
  • Lichtbildanforderung, -übermittlung und -abgleich
  • Recherche des Fahrzeugführers im familiären Umfeld
  • Zustellung von Bescheiden
  • Speicherung der Daten sowie
  • Informationspflichten gegenüber den Betroffenen

Die fettgedruckten Themen werden in der Zusammenfassung nachstehend wiedergeben. Die weiteren Themen können Sie dem Bericht selbst entnehmen.

Bildaufnahmen zur Feststellung von Geschwindigkeits- und Abstandsverstößen

Bildaufnahmen im ruhenden Verkehr

Die Anfertigung von Lichtbildern zur Verfolgung von Parkverstößen findet ihre Rechtsgrundlage in § 100h Abs. 1 Satz 1 Nr. 1 Strafprozessordnung (StPO) in Verbindung mit § 46 Abs. 1 OWiG.

Bei der Bildaufnahmen ist auf folgendes zu achten:

  • Anfertigung der konkreten Verkehrssituation, die zur Verfolgung des Vorwurfs (z.B. Parkzeitüberschreitung) dient. Eine anlasslose Aufnahme ist nicht zulässig.
  • keine Aufnahmen von Personen oder Passanten, die in keinem Zusammenhang mit dem Verkehrsverstoß stehen
  • Sofern dies nicht möglich ist: Unkenntlichmachung / Schwärzung nicht relevanter Inhalte und Abbildungen (Passanten im Hintergrund, Kennzeichen unbeteiligter Fahrzeuge)

Die Anfertigung der Bilder kann auch zusätzlich neben einer Zeugenaussage erforderlich sein.

Bildaufnahmen zur Feststellung von Geschwindigkeits- und Abstandsverstößen

Rechtsgrundlage für die Anfertigung solcher Aufnahmen – sowohl von statischen Lichtbildern als auch von Videos – ist § 100h Abs. 1 Satz 1 Nr. 1, Abs. 3 StPO in Verbindung mit § 46 Abs. 1 OWiG. Das BVerfG hat bereits im Jahr 2009 entschieden, dass eine anlasslose Video-Verkehrsüberwachung unzulässig ist.

Bei einer Lasermessung ist eine Bildaufnahme nicht erforderlich, da der Fahrzeugführer unmittelbar angehalten wird und seine Daten zur weiteren Verfolgung anzugeben hat.

Fazit

Ja, es dürfen Foto- und Videoaufnahmen zum Nachweis von Verkehrsverstößen angefertigt werden.

Ermittlung des Fahrzeughalters

Der Fahrzeughalter wird in der Regel mittels einer KFZ-Kennzeichen-Abfrage beim Kraftfahrtbundesamt ermittelt. Das Kraftfahrtbundesamt übermittelt sodann die die Daten des Halters für die Kontaktaufnahme.

Rechtsgrundlage für die Anfrage beim Kraftfahrtbundesamt und damit für eine Erhebung personenbezogener Daten durch die für die Ahndung der jeweiligen Verkehrsordnungswidrigkeit zuständige Verwaltungsbehörde ist die sogenannte Ermittlungsgeneralklausel in § 161 Abs. 1 StPO in Verbindung mit § 46 Abs. 1 und 2 OWiG. Eine Übermittlungsbefugnis für das Kraftfahrtbundesamt ergibt sich aus § 35 Abs. 1 Nr. 3 StVG. Danach ist eine Übermittlung an Behörden zulässig, wenn dies zur Verfolgung von Ordnungswidrigkeiten erforderlich ist.

Wurde die Person bereits vor Ort identifiziert, ist eine Übermittlung der Daten an das Kraftfahrtbundesamt nach Ansicht des bayerischen Datenschutzbeauftragten nicht nötig. Auch bei Verstößen im ruhenden Verkehr ist die Abfrage des Fahrzeughalters nicht immer notwendig; insbesondere dann, wenn das Verwarngeld innerhalb der angesetzten Frist bezahlt wird. Erst nach Ablauf der Zahlungsfrist ist die Abfrage zulässig.

Fazit

Ja, die Daten dürfen an das Kraftfahrtbundesamt übermittelt werden. Ausnahme: Die Person wurde bereits direkt vor Ort identifiziert oder die Zahlungsfrist ist noch nicht verstrichen.

Ermittlung des Fahrzeugführers

Anhörungs- und Zeugefragebogen

Ist die Feststellung der Person, die den Verstoß im fließenden Verkehr begangen hat, nötig, so wird der Anhörungs- oder Zeugefragebogen an den Fahrzeughalter versandt.

Unterschied Anhörungs- und Zeugefragebogen

Geht die Verwaltungsbehörde davon aus, dass es sich auf dem Bild oder Video um den Halter selbst handelt (etwa weil das Geschlecht und das Alter ungefähr übereinstimmen), wird der Anhörungsbogen versandt.

Bestehen dagegen bei einem Lichtbild oder einem Video Zweifel, dass der Halter die fahrzeugführende Person ist (dies ist in der Regel der Fall, wenn Geschlecht oder ungefähres Alter nicht übereinstimmen), wird an die Fahrzeughalterin oder den Fahrzeughalter ein sogenannter Zeugenfragebogen versendet.“

Rechtsgrundlage Anhörungsbogen

„Rechtsgrundlage hierfür ist § 55 OWiG. [Der Halter] erhält damit den Status einer oder eines Betroffenen im Ordnungswidrigkeitenverfahren.“

Dem Betroffenen steht es beim Anhörungsbogen frei, sich zur Anschuldigung zu äußern (§ 46 Abs. 1 OWiG i.V.m. § 136 Abs. 1 Satz 2 StPO). Nur die Angaben zur Person (Name) selbst sind verpflichtend (§ 111 OWiG).

Rechtsgrundlage Zeugenfragebogen

Hat der Fahrzeughalter das Fahrzeug zum Tatzeitpunkt nicht selbst geführt, so ist dieser grundsätzlich verpflichtet, wahrheitsgemäß anzugeben, wer das Kraftfahrzeug geführt hat (§ 46 Abs. 1, 2 OWiG i.V.m. § 161a Abs. 1 Satz 1 StPO).

Die Verweigerung der Fragen ist nur zulässig, wenn sich der Halter selbst oder einen Angehörigen z.B. Verlobte, Ehepartner, Lebenspartner etc. (§ 52 Abs. 1 StPO) mit der Beantwortung belastet. Es besteht somit ein Zeugnis- und Auskunftsverweigerungsrecht.

Zulässigkeit eines Personalausweis- oder Passbildabgleichs

Sendet der Fahrzeughalter den Anhörungsbogen nicht in der vorgesehen Frist zurück, so ist nach Ansicht des bayerischen Datenschutzbeauftragten der Abgleich des Bildes oder Videos mit dem Pass oder Ausweis ohne weitere Schritte zulässig.

Ist eine andere Person als der Fahrzeughalter betroffen, so hat die Behörde erst einmal die Kontaktdaten durch den Halter zu erfragen. Auch wenn der Verdacht z.B. gegen einen Arbeitnehmer besteht, bedarf es weiterer Ermittlungsversuche, bevor ein Lichtbildabgleich erfolgt.

„Aus datenschutzrechtlicher Sicht ist es daher erforderlich, dass […] der zuständige Sachbearbeiter einen entsprechenden Aktenvermerk fertigt, der die Voraussetzungen für eine Lichtbildübermittlung dokumentiert und aus dem sich ergibt, dass ein ernsthafter Kontaktversuch unternommen worden ist.“

„Zu beachten ist, dass eine Lichtbildübermittlung aus dem Pass- beziehungsweise Personalausweisregister per E-Mail ohne die Anwendung entsprechender Verschlüsselungsverfahren datenschutzrechtlich nicht zulässig ist.“

Speicherung und Speicherfristen

Speicherung der Personendaten bei Ordnungswidrigkeiten

Kurz gesagt: Es kommt darauf an! „Die konkret in Betracht kommenden Aufbewahrungsfristen richten sich nach verschiedenen Faktoren, wie beispielsweise der Art und Höhe der Ahndung.“

Für den Zweck des laufenden Verfahrens ist insbesondere § 489 Abs. 1 Satz 1 Nr. 1 StPO i.V.m. § 49c Abs. 1 OWiG heranzuziehen.

„Zum Zwecke der künftigen Verfolgung von Ordnungswidrigkeiten dürfen insbesondere die Personendaten der betroffenen Person, die zuständige Stelle und das Aktenzeichen sowie die nähere Bezeichnung der Verkehrsordnungswidrigkeit gespeichert werden. Nach festgesetzten Fristen ist zu prüfen, ob die gespeicherten Daten zu löschen sind. Diese Prüffristen betragen gem. § 49c Abs. 5 OWiG bei zum Tatzeitpunkt volljährigen Personen, gegenüber denen eine Geldbuße von mehr als 250 Euro ausgesprochen wurde, fünf Jahre und in allen übrigen Fällen zwei Jahre.

Speicherung von Fahrverboten

Die Speicherung der Fahrverbote erfolgt beim Kraftfahrtbundesamt. Die Speicherfrist richtet sich hier nach der sog. Tilgungsfrist nach § 29 StVG. Auch eine Speicherung im örtlichen Fahrerlaubnisregister kommt hier ebenfalls in Betracht (§ 50 Abs. 2 StVG).

Informationspflicht

Nach § 55 BDSG ist über folgende Datenverarbeitung im Rahmen eines Ordnungswidrigkeitsverfahrens zu informieren:

  • Zweck über die Verarbeitung
  • Rechte der betroffenen Person in Bezug auf die Datenverarbeitung
  • Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • Recht auf Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde und dessen Kontaktdaten für die Erreichbarkeit

Recht auf Akteneinsicht

Dem Betroffenen ist die Akteneinsicht nach § 49 OWiG nach Antrag zu gewähren.

Schwerpunkt II: Datenschutzrechtliche Themen im Zusammenhang mit der Covid-19-Pandemie (Seite 38 ff.)

Corona-Tests: Übermittlung von Ergebnissen an die Leitungen von Pflege und Behinderteneinrichtungen

„Eine unmittelbare Übermittlung von Testergebnissen an die Einrichtungsleitung halte ich grundsätzlich für zulässig, soweit sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (Art. 6 Abs. 1 UAbs. 1 Buchst. d, Art. 9 Abs. 2 Buchst. c DSGVO).

„Falls diese Voraussetzungen nicht gegeben wären, könnte die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, gemäß Art. 9 Abs. 2 Buchst. i DSGVO zulässig sein, wenn dies erforderlich und in einem nationalen Gesetz vorgesehen ist, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht.“

Das Gesundheitsamt hat allerdings den Art. 30 GDVG zu berücksichtigen. Grundsätzlich dürfen die anvertrauten Daten an das Gesundheitsamt nicht veröffentlicht oder offenbart werden. Nur wenn die Betroffene Person eingewilligt hat oder eine Rechtsvorschrift die Verarbeitung erlaubt.

Die Datenübermittlung sollte jedoch ausschließlich an die Leitung der Pflege- oder Behinderteneinrichtung gerichtet sein.

Speicherdauer der Daten zur Kontaktnachverfolgung

Der bayerische Datenschutzbeauftragte hält die Speicherdauer von vier Wochen für gerechtfertigt und ausreichend. Die Daten sind nach Fristablauf zu vernichten.

Telearbeit in Zeiten von COVID-19, Nutzung von Privatgeräten (Bring your own Device)

Schwerpunkt dieses Abschnitts bezieht auf die Nutzung privater Endgeräte und Zugriff auf Fachverfahren. Der bayerische Datenschutzbeauftragte gibt hier eine Vorgehensweise für die Prüfung zum Einsatz mit an die Hand.

Prüfungsschritte Telearbeit

Seitens des Datenschutzbeauftragten wird empfohlen, sich bei der Vorgehensweise an die Prüfschritte wie bei der DSFA zu halten:

  • Welche Verarbeitung ist konkret geplant?
  • Welche Kategorien personenbezogener Daten werden verarbeitet?
  • Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Werden Daten in Drittländer, insbesondere außerhalb der EU übermittelt?
  • Mit Hilfe welcher Betriebsmittel erfolgt die Datenverarbeitung?
  • Wie wird die Erfüllung der Datensicherheitsziele gewährleistet?
  • Wie wird die Erfüllung der Schutzbedarfsziele gewährleistet?
  • Wie wird die Einhaltung der Datenschutz-Grundverordnung gewährleistet (Risikogesamtbewertung)?
  • Wie bewertet die oder der behördliche Datenschutzbeauftragte die Erforderlichkeit einer DSFA?

Prüfungsschritte BYOD

Auch beim Einsatz von privaten Geräten rät der Datenschutzbeauftragter zu einer ausführlichen Analyse mit den entsprechenden TOMs. Folgende Fragen sind bei der Analyse zu klären:

  • Werden Daten (auch nur temporär) auf dem privaten Endgerät gespeichert?
  • Welche Risiken bringt ein eventuell von Schadsoftware befallenes Endgerät in Hinblick auf die unbefugte Kenntnisnahme oder Angriffsmöglichkeit auf die IT mit sich?
  • Wie werden die Daten auf dem Endgerät vor unberechtigten Zugriff geschützt, wenn das Gerät von Familienmitgliedern genutzt wird?

Der Datenschutzbeauftragte verweist auf seinen Tätigkeitsbericht aus dem Jahr 2014, in welchem er bereits Stellung zum Thema BYOD bezogen hat.

Anmerkung der Datenbeschützerin

Sofern man zum Ergebnis gelangt, dass die TOMs entsprechend ausreichend sind, empfiehlt es sich, eine BYOD-Richtlinie auszugestalten. In dieser können vor allem die obigen Punkte z.B. Passwortschutz, Einwahl nur über VPN etc. geregelt werden.

Allgemeines Datenschutzrecht (Seite 51 ff.)

Post für den behördlichen Datenschutzbeauftragten: Zuleitung nur ungeöffnet?

Analoge Post

Nach Meinung des bayerischen Datenschutzbeauftragten sind die Briefe an den behördlichen Datenschutzbeauftragten unmittelbar und ungeöffnet weiterzuleiten. Insbesondere wenn im Adressfeld dessen Funktion genannt oder das Kuvert auch mit dem Vermerk „persönlich“ oder „verschlossen“ beschriftet wurde.

Elektronische Post

Der Verantwortliche hat einen „unbeobachteten“ Zugang z.B. für eingehende E-Mails an den Datenschutzbeauftragten sicherzustellen. Dies kann durch das Einrichten eines eigenen Postfachs (z.B. datenschutz@) erfolgen. Auf das Postfach darf lediglich der behördliche Datenschutzbeauftragte und ggf. eine zur Vertretung berufene Person Zugriff haben.

Allgemeine Innere Verwaltung (Seite 80 ff.)

Niederschriften in Gemeinderatssitzungen: Abwesenheitsgrund von Ratsmitgliedern nicht detailliert angeben

In den Gemeinderatssitzungen sind die Namen der Mitglieder sowie deren Begründung für die Abwesenheit nach Art. 54 Abs. 1 Satz GO.

Der bayerische Datenschutzbeauftragte hat sich dahingehend mit der Frage beschäftigt, ob z.B. „Abwesend wegen Krankheit“ zulässig ist. Allein die Nennung „Krankheit“ ist ein gesundheitliches Datum nach Art. 9 DSGVO und bedarf somit einer entsprechenden Rechtsgrundlage. Der Datenschutzbeauftragte wandte sich hier an das Bayerische Staatsministerium des Inneren, für Sport und Integration, um den Sachverhalt und die zukünftige Handhabung zu klären.

„Das Innenministerium hat meine Anregung aufgegriffen und die Gemeinden gebeten, in Niederschriften über Verhandlungen des Gemeinderats generell nur noch die Angabe „entschuldigt“ oder „unentschuldigt“ für jede Form der Abwesenheit aufzunehmen.“

E-Government und öffentliche Register (Seite 96 ff.)

Wiederholung: unberechtigte Zugriffe auf Meldedaten

Auch innerhalb von Behörden dürfen interne Mitarbeitern über das BayBIS nur insoweit auf die Meldedate zugreifen, wie es im Einzelfall für die Aufgabenerledigung erforderlich ist.

Die Vorgaben für den Zugriff auf die Meldedaten unterliegen folgenden Vorgaben:

  1. Der Zugriff ist mittels Rechte- und Rollenkonzepte zu protokollieren.
  2. Zugriffsberechtigte Personen sind z.B. durch Schulung datenschutzrechtlich zu belehren. Vor allem anlasslose oder private Abfragen sind zu unterlassen. Die Sensibilisierung ist regelmäßig zu wiederholen. Es ist darauf zu verweisen, dass stichprobenartige Kontrolle durchgeführt werden.
  3. Stichprobenartige Kontrollen sind regelmäßig durchzuführen. Insbesondere sind auf ungewöhnliche und häufige Anfragen zu bestimmten Personen zu achten.

Personalverwaltung (Seite 121 ff.)

Personalaktenrecht: Neuerungen für vertraglich Beschäftigte im bayerischen öffentlichen Dienst

Die Pflicht zur Führung einer Personalakte gilt nun nicht mehr für die Beamten allein, sondern auch für die vertraglich Beschäftigten im öffentlich Dienst (Art. 145 BayBG).

Für Beschäftigte von privatrechtlichen organisatorischen Unternehmen, ehrenamtliche Mitarbeiter von Körperschaften des öffentlichen Rechts ist die Vorschrift nicht geltend.

Recht auf Einsicht in die Personalakte, insbesondere Kopien

Den vertraglich Beschäftigten steht dem Bericht nach nicht ein allumfängliches Recht auf Kopie zu sondern nur auf einzelne Unterlagen aus ihrer Personalakte. Beamten haben ein vollumfängliches Recht auf Kopie ihrer Personalakte. Durch die Regelung des Art. 145 BayBG bleibt daher eine Unterscheidung der beiden Beschäftigtengruppen.

Der bayerische Datenschutzbeauftragte räumt ein, dass aus Datenschutzsicht keine nachvollziehbaren Gründe für die Unterscheidung zwischen den Beschäftigtengruppen für die Einsicht und das Recht auf Kopie entgegenstehen.

Beschäftigten-Geburtstagslisten in bayerischen öffentlichen Stellen

Sofern intern Geburtstaglisten angefertigt oder für die Mitarbeiter zugänglich sind, ist aus datenschutzrechtlicher Sicht folgendes zu beachten:

  • Klärung der Verantwortlichkeit: Wird die Liste seitens der Mitarbeiter in Eigenregie oder auf Basis einer dienstlichen Veranlassung geführt?
    • Die bayerische öffentliche Stelle ist für die Datenverarbeitung verantwortlich, wenn
      • Vorgesetzte die Listen führen oder führen lassen,
      • Vorgesetzte auf die Eintragung hinwirken oder Eintragungsanreize schaffen oder
      • die Liste von der Personalstelle gefüttert wird.

Rechtsgrundlage

Der bayerische Datenschutzbeauftragte kommt zum Schluss, dass es sich bei der Geburtstagsliste um ein anlassbezogenes Gemeinschaftserlebnis handelt. Diese Maßnahme ist jedoch nicht mit seinen gesetzlich verankerten organisatorischen, personellen oder sozialen Maßnahmen vereinbar.

Daher ist die Einwilligung für die Datenverarbeitung der Geburtstagsliste einschlägig. Den Mitarbeitern ist es freizustellen, ob sie in die Liste eingetragen werden möchten. Bei Eintragung ist darauf zu achten, dass neben Namen nur der Monat und der Tag aufgenommen werden.

Weitere rechtliche Themen

Telemedienrecht: Webseiten bayerischer öffentlicher Stellen und Nutzung von Cookies

Auch die bayerische Aufsichtsbehörde blieb nicht von Anfragen rund um das Thema Cookies verschont. Letztendlich ist es abhängig davon, welche Tools und Cookies auf der Webseite eingesetzt werden. Anhand diesen ist zu bestimmen, ob eine Einwilligung seitens der Nutzer einzuholen ist.

Der bayerische Datenschutzbeauftragte wünscht die einheitliche Regelung auf Europaebene mit der sog. „E-Privacy-Richtlinie“. Wann diese jedoch erlassen wird, ist derzeit noch unklar.

Internationaler Datentransfer: Übermittlung personenbezogener Daten in Drittländer, insbesondere die Vereinigten Staaten von Amerika

Das Schrems-II-Urteil macht auch vor bayerischen Behörden nicht Halt. Im Bericht erläutert der Datenschutzbeauftragte die aktuelle Situation, das Urteil und die Stellungnahme der DSK.

„Auch die Vielzahl von Beratungsanfragen, die bayerische öffentliche Stellen im Nachgang der Entscheidung an mich gerichtet haben, lässt einen erheblichen Anpassungsbedarf in der bayerischen Verwaltung erkennen. Ich gehe davon aus, dass die Aufarbeitung der durch das Urteil für die bayerischen öffentlichen Stellen aufgeworfenen Fragen von einer bayernweiten Koordinierung profitieren würde. Die Staatsregierung hat mich hierzu auch bereits kontaktiert. Bei allem Verständnis für die Komplexität der hier für die bayerische Verwaltung entstehenden Herausforderungen werde ich darauf achten, dass sie aus datenschutzrechtlicher Sicht zufriedenstellend gelöst werden.“

Sofern es hierzu neue Informationen gibt, teilen wir dies in Form eines Knowledge-Base Eintrags mit.

Eine Übersicht zur geplanten Prüfung der deutschen Datenschutzbehörden finden Sie unter diesem Link.

Technik und Organisation

Eingesetzte Videokonferenzsysteme

Im Bericht wird auf die „Orientierungshilfe Videokonferenzsysteme“ der DSK verwiesen.

Mit Hinblick auf das EuGH-Urteil zum Privacy-Shield empfiehlt der bayerische Datenschutzbeauftragte, den Einsatz von US-Anbietern mittels einer Risikoanalyse sorgfältig zu prüfen. Diese Prüfung ist auch durchzuführen, wenn der Anbieter eine europäische Tochtergesellschaft hat.

Löschung von Datenkopien aus Backup-System

Die Anforderung zur Löschung von Daten betrifft nicht nur die aktiven und produktiven Daten, sondern auch auch die Datenkopien, insbesondere die Backup-Systeme.

Es stellte sich die Frage, wie datenschutztechnisch die Löschung im Backup-System mit der eigentlichen Löschung in Einklang zu bringen ist. Der Datenschutzbeauftragte empfiehlt bei Neukonzeption der IT die Berücksichtigung von zeitgleichen Löschungen aus dem Backup.

Ist eine zeitgleiche Löschung der Daten nicht möglich, so dürfen die Daten zeitversetzt gelöscht werden, wenn folgende Voraussetzungen gesamtheitlich erfüllt sind:

  • Technische Unmöglichkeit oder Unzumutbarkeit: Die Löschung der Datensicherungskopie ist technisch nicht möglich oder im Hinblick auf den Schutzbedarf der Daten unverhältnismäßig aufwändig.
  • Löschfrequenz im Backup-System: Im Datensicherungskonzept werden die wichtigen Aspekte zum datenschutzrechtlichen Grundsatz (z.B. Erforderlichkeit der Backup-Systeme) genannt und auch begründet. Insbesondere ist auch der Löschrhythmus im Konzept zu berücksichtigen.
  • Verfügbarkeit nur mittels Wiederherstellung: Es ist sichergestellt, dass Datensicherungskopien nur über die vorgesehene Wiederherstellungsfunktion aus dem Backup gezogen werden können. Das Wiederherstellungssystem ist ebenfalls mit Sicherungsmaßnahmen z.B. kryptografischer Verschlüsselung gesichert.
  • Löschung bei Wiederherstellung: Bei der Wiederherstellung der Daten ist zu gewährleisten, dass bereits gelöschte Daten im Primärsystem nicht wieder aufgespielt werden.
  • Dokumentation und Umsetzungsnachweis: Der Vorgang ist zu dokumentieren und dessen wirksame Umsetzung nachzuweisen.

Umsetzen einer DSFA

Der bayrische Datenschutzbeauftragte verweist im Bericht auf die Orientierungshilfe „Datenschutz-Folgenabschätzung“. Im Bericht selbst wird mitgeteilt, dass es noch keine konkreten Beispiele für eine DSFA gibt. Eine Orientierung für andere Behörden wäre möglich, indem ein Verantwortlicher seine DSFA publiziert.

Anmerkung: Hier finden Sie unsere Zusammenfassung zur Erstellung einer DSFA.

Meldungen von Verletzungen des Schutzes personenbezogener Daten

Im Bericht werden die häufigsten Meldung von Datenschutzverletzungen zusammengefasst. Der Datenschutzbeauftragte teilt mit, dass es sich bei den Vorfällen zum Großteil wieder um die gleichen Probleme, wie im letzten Tätigkeitsbericht handelt:

  • Datenfehlübermittlung: Versand von Daten an unberechtigte Empfänger per Mail oder per Post.
  • Papierversand: Fehlerhafte oder unkorrekte Adressierung der Kuverts. Insbesondere auffällig in Krankenhäusern oft vorgekommen.
  • Falscheingabe der Telefaxnummer: Die Übermittlung von sensiblen personenbezogene Daten per Fax ist nur in Ausnahme- und Einzelfällen zulässig. Wenn ein solcher Einzelfall auftritt, ist dafür Sorge zu tragen, das die Daten exakt und kontrolliert (z.B. 4-Augen-Prinzip) übermittelt werden. Es ist stets zu prüfen, ob ein alternatives sicheres Kommunikationsmittel mit verschlüsselter Kommunikation eingesetzt wird.
  • (Unverschlüsselte) E-Mails an falsche Adressaten: Keine ausreichende Prüfung der Empfängeradresse und Nutzung der Autovervollständigung. Des Weiteren wurden E-Mails mit sensiblen Inhalt unverschlüsselt übermittelt.
  • „cc“ statt „bcc“: Es wurde bereits zahlreich auf diese Problematik hingewiesen. Kritisch ist der „cc“-Versand, wenn es sich dabei um nicht dienstliche Mail-Adressen handelt.
  • Hackangriff, Schadsoftware oder Systemausfälle: Gerade kleine Gemeinden oder freiwillige Feuerwehren wurde nicht verschont. Es wird daher geraten, das Personal entsprechend auf den Umgang mit verdächtigen Mails oder unbekannten Programmen zu schulen. Weiterhin ist ein funktionierendes Backup-System im Falle eines Verschlüsselungstrojaners goldwert.
  • „Neugiergzugriffe“: Vor allem in Krankenhäusern kam es immer wieder vor, dass Beschäftige „aus reinem Interesse“ Einsicht in Patientenakten nahmen. Zugriff auf die Akte darf auch nur dann erfolgen, wenn es für dienstliche Zwecke notwendig (z.B. Heilbehandlung) ist.

Quelle

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.