10. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht

Knowledge Base der Datenbeschützerin

Das BayLDA hat seinen Tätigkeitsbericht 2020 veröffentlicht.

Der Bericht untergliedert sich in verschiedene Bereiche. Unter anderem wird das Thema internationaler Datentransfer behandelt.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.

Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Inhaltsverzeichnis

Auf den Punkt gebracht: Tätigkeitsbericht des BayLfD

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Einen wesentlicher Bestandteil des Tätigkeitsbericht des BayLDA nimmt das Thema des internationalen Datentransfers ein.

Corona (Seite 19 ff.)

Videokonferenzsysteme im Homeoffice

  • Werden Videokonferenzen der Mitarbeiter aus dem Homeoffice getätigt, ist als Rechtsgrundlage zur Datenverarbeitung § 26 Abs. 1 Satz 1 BDSG heranzuziehen. Eine Einwilligung der Beschäftigten zur Datenverarbeitung ist nicht notwendig.
  • Es ist jedoch zu prüfen, ob die Bildübermittlung erforderlich ist.
  • Die betroffenen Mitarbeiter sind über die Datenverarbeitung nach Art. 13 und Art. 14 DSGVO zu informieren.
  • Eine Aufzeichnung darf nur mit Einwilligung stattfinden.

Einsatz von externen Videokonferenzsystemen

  • Es ist zu prüfen, ob der Anbieter die Daten zu eigenen Zwecken verarbeitet. Wenn ja, ist eine Rechtsgrundlage für diese Verarbeitung bzw. Übermittlung zu definieren.
  • Sofern eine Datenübermittlung in Drittländer erfolgt, sind die Anforderungen nach Kapitel V der DSGVO einzuhalten.

Auftragsverarbeitung (Seite 24 ff.)

Auftragsverarbeitung, getrennte Verantwortlichkeit oder doch gemeinsame Verantwortlichkeit?

  • Das BayLDA nimmt Bezug auf das Leitlinienpapier Nr. 7/2020 des EDSA
  • Gemeinsame Verantwortlichkeit = wenn zwei oder mehr Verantwortliche die Zwecke und wesentlichen Mittel der Verarbeitung gemeinsam festlegen. Hiervon gibt es zwei Varianten:
    • Variante 1 „einfach“: Die Beteiligten verfolgen einen gemeinsamen Zweck.
    • Variante 2: Mehrere Beteiligte verfolgen unterschiedliche Zwecke; die Zwecke ergänzen sich aber, da nur so die Verarbeitung stattfinden kann (z.B. Social-Media-Button auf Webseite).
  • Ein wirtschaftliches Interesse an der Verarbeitung reicht nicht für die Begründung einer gemeinsamen Verantwortlichkeit aus.

Die Behörde sieht die größte Herausforderung darin, zwischen der getrennten und gemeinsamer Verantwortlichkeit zu unterscheiden.

Datenschutz im Internet (Seite 26 ff.)

Google Analytics

Der Einsatz von Google Analytics ist nur mit Einwilligung erlaubt.

  • Viele Webseiten berufen sich immer noch auf das berechtigte Interesse beim Einsatz von Google Analytics.
  • Die DSK hat mittels Beschluss vom 12.05.2020 klar gestellt, dass der Einsatz von Google Analytics in der Standardform ohne Einwilligung nicht möglich ist.
  • Auch trotz der IP-Kürzung bzw. -anonymisierung ist eine Einwilligung weiterhin erforderlich.

Anmerkung der Datenbeschützerin

Bitte prüfen Sie Ihren Webauftritt dahingehend, ob Sie einwilligungsbedürftige Cookies oder Tools nutzen. Wenn ja, ist die Einwilligung der Nutzer einzuholen. Eine Hilfestellung zur Webseitenprüfung haben wir hier veröffentlicht. Weiterhin wird das Setzten von Cookies und die Einholung von Einwilligung im TTDSG nun geregelt.

Steuerberater und Rechtsanwälte (Seite 31 ff.)

Klarstellende Regelung zur datenschutzrechtlichen Verantwortlichkeit und den Verarbeitungsbefugnissen von Steuerberatern im Steuerberatungsgesetz (StBerG)

Steuerberater sind keine Auftragsverarbeiter, sondern eigene Verantwortliche.

  • § 11 StBerG (vom 18.12.2019) stellt klar, dass Steuerberater bei Verarbeitung sämtlicher personenbezogener Daten eigene Verantwortliche sind.
  • Sämtliche Daten der Mandanten, auch die nach Art. 9 DSGVO, dürfen zur Aufgabenerfüllung nach dem StBerG verarbeitet werden.

Werbung und Adresshandel (Seite 40)

Kopplungsverbot bei Newsletter-Anmeldungen

  • Anmeldungen zu einem Newsletter im Gegenzug für ein kostenloses Produkt sind nur dann freiwillig, wenn das gleiche Produkt auf derselben Plattform kostenpflichtig und ohne Pflicht zur Newsletter-Anmeldung angeboten wird.

Internationaler Datenverkehr (Seite 44 ff.)

Binding Corporate Rules (BCR) – ein Wachstumsmarkt

Kurz gesagt, gesellschafts- oder konzerninterne Regelungen, die die Verarbeitung der Daten über verschiedene Organisationen hinweg regeln.

  • Das BayLDA war in zahlreiche Genehmigungsverfahren für BCRs involviert.
  • Unternehmen erhoffen sich durch die Regelungen mehr Rechtssicherheit, gerade bei der Datenübermittlung in Drittländer. BCRs unterliegen jedoch gleich hohen Anforderungen wie die Standardvertragsklauseln.
  • Wurden BCRs vor der DGSVO genehmigt, sind diese an die neue Regelungen anzupassen und ebenfalls der Aufsichtsbehörde vorzulegen.

Neue Standarddatenschutzklauseln für Übermittlung in Drittländer veröffentlicht

  • Bisher gab es keine Übermittlungskonstellation für EU-Auftragsverarbeiter an Unterauftragsverarbeiter in Drittländern.
  • Die Kommission hat nun jeweils Klauseln für folgende Konstellationen zur Verfügung gestellt:
    • Übermittlung durch Verantwortlichen an Verantwortlichen (Controller-Controller)
    • Übermittlung durch Verantwortlichen an Auftragsverarbeiter (Controller-Processor)
    • Übermittlung durch Auftragsverarbeiter an (Unter-)Auftragsverarbeiter (Processor-Processor)
    • Übermittlung durch Auftragsverarbeiter an Verantwortlichen (Processor – Controller)
  • In den neuen Standardvertragsklauseln ist keine „einfache“ Lösung zur Problematik möglicher Datenzugriffe von Behörden des Drittlandes implementiert. Behörden sind nicht an die vertraglichen Vereinbarungen zwischen dem Datenexporteur und -imorteur gebunden.
  • Der Datenexporteur hat zu prüfen, ob Behörden des Drittlandes Zugriff auf die Daten haben. Wenn ja, sind weitere Garantien zu definieren.
  • Die EU-Kommission möchte zeitnah auch noch FAQs für die Anwendung der neuen Standardvertragsklauseln veröffentlichen.

Das Schrems-II-Urteil: Datenübermittlung in Drittländer grundsätzlich nicht ohne Prüfung der Rechtslage im Empfängerland

  • EuGH hat erhöhte Prüfpflichten mit seinem Urteil erzielt.
  • Datenexporteure müssen prüfen, ob der Datenempfänger aufgrund der auf ihn anwendbaren Rechtsvorschriften des Drittlandes daran gehindert sein könnte, seine im vereinbarten Übermittlungsinstrument (z. B. Standarddatenschutzklauseln) übernommenen Verpflichtungen zum Schutz der Daten einzuhalten.

To Dos für Unternehmen / Vereine etc.

  1. Die Aufsichtsbehörde erwartet von jedem Unternehmen, eine Bestandaufnahme von Drittlandübermittlungen zu erstellen (sollte aus dem Verfahrensverzeichnis erkenntlich sein).
  2. Jedes Unternehmen hat zu prüfen,
    • welche Zugriffsmöglichkeiten für Behörden des Drittlands bestehen können und
    • inwieweit die Zugriffe aus Sicht des europäischen Datenschutzrechts problematisch sind.
  3. Das Unternehmen hat den Umfang und die Ergebnisse der Prüfung zu dokumentieren und auf Verlangen der Datenschutzbehörde vorzulegen. (Es genügt nicht, wenn die Standarddatenschutzklauseln „einfach“ unterzeichnet und ohne Prüfung abgelegt werden.)
  4. Wurde kein ausreichendes Schutzniveau bei der Prüfung festgestellt, dürfen die Daten grundsätzlich nicht übermittelt werden. Außer es werden noch zusätzliche Schutzmaßnahmen wie z.B. Verschlüsselung, Pseudonymisierung etc. getroffen.

Hilfestellung durch den EDSA

Der EDSA hat in einem Empfehlungspapier typische Übermittlungen für folgende Szenarien skizziert:

  • Übermittlung an Cloud-Dienstleister zwecks bloßer Speicherung
  • Übermittlung pseudonymisierter Daten
  • Übermittlung an Cloud Service Provider, der Zugriff auf Daten im Klartext benötigt
  • Fernzugriff aus einem Drittland z.B. für Wartung/Support

Unternehmen sollten diese Papiere sichten und auch umsetzten, sofern ein Szenario auf sie zutrifft.

Anmerkung der Datenbeschützerin

Die Datenbeschützerin beobachtet die aktuellen Entwicklungen in diesem Bereich. Sofern neue Erkenntnisse oder Informationen veröffentlicht werden, werde wir diese mit unseren Kunden und auf der Webseite kommunizieren.

Beschäftigtendatenschutz (Seite 50 ff.)

Aushang von Dienstplänen

  • Der Aushang von Dienstplänen ist im Rahmen des Beschäftigungsverhältnisses grundsätzlich möglich.
  • Im Dienstplan sind keine besonders schützenswerten Daten enthalten, weshalb das BayLDA es als unschädlich ansieht, wenn der Raum, in welchen der Dienstplan aushängt, gelegentlich von nicht abteilungszugehörigen Personen gesichtet wird.
  • Unzulässig ist der Aushang, wenn Externe (Kunden, Lieferanten, Patienten, Bewohner etc.) auf diesen Einsicht nehmen können.
  • Abwesenheitsgründe sind ebenfalls im Dienstplan nicht zulässig.

Datenschutzrechtlicher Auskunftsanspruch von (ehemaligen) Beschäftigten

  • Wird eine pauschale Auskunft verlangt, ist es im ersten Schritt ausreichend, wenn der Arbeitgeber eine konkrete Auskunft zu den Personalstammdaten und den Kategorien der verarbeiteten Daten erteilt.
    • Zu den Personalstammdaten zählen: Name, Vorname, Geburtstag, Adresse und Geburtsort.
  • Werden weitere Auskünfte begehrt, darf der Arbeitgeber um weitere Präzision bitten. Erst nach Mitteilung der weiteren Details ist der Arbeitgeber verpflichtet, entsprechende Auskünfte zu erteilen.

Corona-Tests von Beschäftigten

  • Die Testergebnisse stellen Gesundheitsdaten im Sinne von Art. 9 DSGVO dar.
  • Möchte der Arbeitgeber die Testergebnisse verarbeiten, ist dies nur aufgrund einer Einwilligung der Mitarbeiter möglich.

Zeiterfassung mittels Fingerabdruck

  • Biometrische Daten wie der Fingerabdruck zählen zu besonderen Datenkategorien nach Art. 9 DSGVO, sofern Sie zur Identifizierung verarbeitet werden.
  • Die Zeiterfassung mittels Fingerabdruck ist nicht zwingend erforderlich, da herkömmliche Zeiterfassungsysteme eine gute und datenschutzfreundliche Alternative darstellen.
  • Die Verwendung von Fingerabdruckdaten zu diesem Zweck ist daher nicht erforderlich und damit datenschutzrechtlich unzulässig.

Gesundheit und Soziales (Seite 54 ff.)

Nachweispflicht der Masernschutzimpfung

  • Die Anfertigung von Kopien des Impfausweises oder des Attests ist unzulässig.
  • Seit dem 01.03.20 haben Beschäftigte z.B. in Kitas, Horte, Schulen etc. einen Nachweis über den Masernschutz vorzulegen z.B. durch Impfausweis oder Attest.
  • Der Nachweis ist vom Verantwortlichen zu dokumentieren, jedoch ist keine Kopie zulässig.

Videosprechstunde beim Arzt

  • Seitens des Patienten wird die Einwilligung zur Durchführung einer Videosprechstunde benötigt.
  • Die Ärzte sollten wie bei einer persönlichen Sprechstunde Räumlichkeiten wählen, die die Privatsphäre des Patienten schützen.

Anforderungen an Videodienstanbieter

  • Videodienstanbieter müssen zur IT-Sicherheit und Datenschutz zertifiziert sein (gem. BMV-Ä)
  • Über die Zertifizierung und Erfüllung der Anforderungen muss eine Bescheinigung nach BMV-Ä an die KBV und beim GKV-Spitzenverband eingereicht werden.
  • Videodienste müssen während der gesamten Dauer Ende-zu-Ende-verschlüsselt sein.
  • Es darf zudem keine Werbung geschalten werden.
  • Der Serverstandort darf sich nur unter sehr eingeschränkten Voraussetzungen in einem Drittland befinden.

Anwendbarkeit der für öffentliche Schulen geltenden datenschutzrechtlichen Regelungen auf privaten Schulen

  • Das BayEUG unterscheidet zwischen Ersatz- und Ergänzungsschulen
    • Ersatzschulen entsprechen in ihren Bildungs- und Erziehungszielen den öffentlichen Schulen.
    • Ergänzungsschulen sind alle privaten Schulen, die keine Ersatzschulen darstellen.
  • Art. 85 BayEUG findet für beide Schularten Anwendung und regelt auch damit datenschutzrechtliche Anforderungen.
  • Für Ersatzschulen gelten die Regelungen der Bayerischen Schulordnung und somit noch weitere datenschutzrechtliche Regularien.

Einsatz digitaler Werkzeuge in pandemiebedingten Distanzunterricht

  • Es bedarf keiner Einwilligung der Schüler/Eltern, wenn der Einsatz von digitalen Werkzeugen zur Erfüllung der Anlage 2 der BaySchO dient. Was sich dahinter verbirgt, findet man sehr ausführlich in der hier hinterlegten Übersicht.
  • Die Freigabe von Videobildern ist jedoch weiterhin freiwillig und bedarf einer Einwilligung.
  • Beim Anlegen von personenbezogenen Nutzerkonten ist die Einwilligung ebenfalls notwendig. Dies ist insbesondere notwendig für Microsoft Teams Education.
  • Wird die Einwilligung widerrufen, sind Alternativangebote z.B. zur Verfügungstellung von Leihgeräten zu machen.

Videoüberwachung (Seite 66 f.)

Videoüberwachung von Privatpersonen

  • Eine Videoüberwachung außerhalb des eigenen Grundstücks ist unzulässig.
  • Weiterhin wird darauf hingewiesen, dass eine Videoüberwachung durch Privatpersonen nur zulässig ist, wenn sie zur Wahrung des berechtigtes Interesse erforderlich ist und sofern nicht die Rechte der betroffenen Personen überwiegen.
  • Die Überwachung des eigenen Grundstücks ist ist zulässig; Videoaufnahmen des angrenzenden Grundstücks, Straßen, Plätzen oder Gehwegen ist nicht zulässig. Nur in Ausnahmenfällen kann ca. ein Meter hinter der Grundstückgrenze gefilmt werden (hier ist der Einzelfall abzuwägen).

Technischer Datenschutz und Informationssicherheit (Seite 73 ff.)

Windows 10 – Umgang mit Telemetriedaten

  • Seitens der Behörde und auch des BSI wurden Tests zur Datenübermittlung durch Windows 10 durchgeführt.
  • Nach jetzigem Kenntnisstand ist eine Unterbindung der Telemetriedatenfunktion bei der Enterprise-Edition mittels Telemetrielevels „Security“ als wirksam angesehen.
  • Die Behörde merkt an, dass eine Unterbindung nicht zwingend gefordert wird, sofern die Rechtmäßigkeit der Datenübermittlung an Microsoft nachgewiesen wird.

Bußgeldverfahren

Insgesamt wurden 230 Vorgänge bearbeitet – vier davon erhielten einen Bußgeldbescheid.

Folgende Beschwerden wurden im Berichtszeitraum mehrfach eingereicht:

  • Einsatz von Dashcams in KFZ-Fahrzeugen (insbesondere bei der Polizei) und Einsatz von Helmkameras bei Fahrradfahrern
  • Gastronomiemitarbeiter kontaktieren die Gäste per WhatsApp, nachdem die Handynummer für Corona-Kontaktnachverfolgungen hinterlassen wurde.

Quelle

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.