31. Tätigkeitsbericht des BayLfD

Das BayLfD hat seinen 31. Tätigkeitsbericht 2021 veröffentlicht.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.

Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Auf den Punkt gebracht: Tätigkeitsbericht des BayLfD

Pandemiebekämpfung und Datenschutz (Seite 10 ff.)

Kontaktmanagement und Datenminimierung

• Im Jahr 2021 wurde eine Landeslizenz der Luca-App erworben, um die Kontaktnachverfolgung vor allem für die Gesundheitsämter zu vereinfachen.
• Jedoch warf die Luca-App nach kurzer Zeit bereits erhebliche Datenschutzfragen auf. Auf diese ging die DSK in einem gesonderten Papier ein. Wir haben das Statement zur Luca-App in einem eigenen Beitrag zusammengefasst.
• Ende 2021 stellte sich heraus, dass die Luca-App die Erwartungen nicht erfüllt.
• Die datenschutzfreundliche Corona-Warn-App (CWA) entlastete die Gesundheitsämter insbesondere bei hohen Inzidenzzahlen besser.
• Die CWA wird auch deshalb als datenschutzfreundlich eingestuft, da die infizierten Personen nicht an Gesundheitsämter meldet, sondern die betroffene Person selbst informiert.

Testungen an Schulen

• Insbesondere kam es immer wieder zu Beschwerden bei der Teststrategie an den bayerischen Schulen. Dort kamen Corona-Selbsttests zum Einsatz, die die Schüler unter Aufsicht einer Lehrkraft durchführten.
• Die Eltern sahen darin einen Verstoß in der informationellen Selbstbestimmung, da die Tests „vor aller Augen“ durchgeführt wurden und positive Fällen sofort bekannt waren.
• Die Beschwerden konnte die Behörde nachvollziehen. Allerdings ist die Durchführung des Tests zu Hause nicht so effektiv wie in den Schulen. Es kann zu Hause nicht gewährleistet werden, dass der Test ordnungsgemäß durchgeführt wird.
• Die Durchführung von den Tests an den Schulen wurde auch bereits von gerichtlicher Seite aus bestätigt.

Allgemeines Datenschutzrecht (Seite 17ff.)

Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen

• Die Behörde erreichten zahlreiche Anfragen insbesondere von Schulen zum Einsatz von Office-Anwendungen
• Problematik: Die Nutzung der Microsoft Produkte birgt oftmals eine Datenübermittlung in die USA. Diese Drittlandsübermittlungen sind seit der DSGVO streng reguliert.
• Nachstehend sind die Punkte zusammengefasst, die es zu prüfen gilt:

Datenschutz-Sicherheitskonzept

Vor Einführung einer Office-Anwendung aus einem Drittland ist ein Datenschutz-Sicherheitskonzept zu erstellen und folgende Fragen zu klären:

• Welches Produkt soll in welcher IT-Umgebung eingesetzt werden?
• Welche Kategorien personenbezogener Daten sollen mithilfe des Produkts verarbeitet werden?
• Welche nachteiligen Folgen können sich daraus für die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten ergeben? Wie sind diese Folgen und deren Eintrittswahrscheinlichkeiten zu bewerten und mit welchen Maßnahmen ist ihnen gegebenenfalls zu begegnen? Zur Beantwortung dieser Fragen kann zunächst auf den einschlägigen BSI-Standard10 zurückgegriffen werden.

Übermittlung personenbezogener Daten auf Grundlage von Art. 44 ff. DSGVO

Des Weiteren ist die Zulässigkeit zur Datenübermittlung in das Drittland zu prüfen. Die Vergleichbarkeit des Datenschutzniveaus im Drittland kann unter anderen durch einen

• Angemessenheitsbeschluss oder
• geeignete Garantien nach Art. 46 DSGVO (wie z.B. Standardvertragsklauseln).

festgestellt werden.

Es sind jedoch die Vorschriften des ausländischen Datenempfängers zu prüfen. Wird festgestellt, dass das Datenschutzniveau im Drittland nicht vergleichbar oder die Klauseln nicht vollumfänglich wirken, hat der Verantwortliche Maßnahmen in Form von zusätzlichen Maßnahmen z.B. Verschlüsselung / Pseudonymisierung umzusetzen.

Folgende Konsequenzen ergeben sich somit beim Einsatz von Office-Anwendungen:

• Ausgangspunkt aller Überlegungen sollte ein Datenschutz-Sicherheitskonzept sein, das eine datenschutzrechtliche Folgenbetrachtung vornimmt. Das Datenschutz-Sicherheitskonzept muss klare Aussagen darüber enthalten, welche Kategorien personenbezogener Daten von Beschäftigten sowie Bürgerinnen und Bürgern (in einer Schule etwa also von Schülerinnen, Schülern, Eltern, Lehrkräften und sonstigem Schulpersonal) in ein Drittland übermittelt werden oder Zugriffen von dort ausgesetzt werden sollen.
• Der Verantwortliche sollte das Rechtsverhältnis mit dem Vertragspartner in Ansehung von Datenübermittlungen in ein Drittland unter Einbezug der aktuellen Standarddatenschutzklauseln gestalten.
• Bei der Prüfung der tatsächlichen Wirksamkeit des vereinbarten Klauselwerks sind hinsichtlich des Drittlands USA zumindest diejenigen Vorgaben des US-amerikanischen Rechts zu berücksichtigen, die der Europäische Gerichtshof in seiner „Schrems II“-Entscheidung angesprochen hat.
• Lässt sich dieser Nachweis nicht führen, ist als Kompensation eine Verschlüsselung und/oder Pseudonymisierung der personenbezogenen Daten in Betracht zu ziehen. Der Verantwortliche muss in diesem Fall zudem den Nachweis erbringen, dass eine Aufhebung der Verschlüsselung und/oder Pseudonymisierung bei dem ausländischen Vertragspartner durch Behörden seines Heimatstaats ausgeschlossen werden kann.
• Speziell beim Betrieb eines Videokonferenz-Systems fallen zumindest temporär Bild- und Tondateien an. Nach aktuellem Kenntnisstand ist eine ausreichend starke Verschlüsselung und/oder Pseudonymisierung insofern derzeit noch nicht möglich; dies gilt jedenfalls für typische Nutzungsszenarien im Schulbereich.

• Bei anderen Office-Anwendungen außer Videokonferenzsystemen kann eine Pseudonymisierung wie folgt erreicht werden:
  • Angemessene starke Pseudonymisierungsmethode
  • Besonderer Schutz der Zuordnungsregel: Die Zuordnung pseudonymisierter Daten zu Identitätsinformationen und der Re-Identifizierung darf nur dem Verantwortlichen selbst oder dem Auftragsverarbeiter möglich sein.
  • Stand der Technik beachten und umsetzen

• Darüber hinaus sind folgende Anforderungen an eine ausreichend sicher gestaltete Verschlüsselung zu stellen:
  • Angemessene starke Verschlüsselungsmethode
  • Besonderer Schutz der Schlüssel
  • Stand der Technik beachten und umsetzen

Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?

• Es ist immer noch unklar, ob und inwieweit ein gesondertes Entgelt für Vor-Ort-Kontrollen beim Auftragsverarbeiter vertraglich vereinbar ist.
• Das BayLfDI empfiehlt den öffentlichen Stellen, kein gesondertes Entgelt verpflichten zu lassen!
• Die Behörde beruft sich für die Aussage auf die Leitlinie 7/2020 der EDSA (Abgrenzung Verantwortlicher und Auftragsverarbeiter)

Justiz (Seite 37 ff.)

Unzulässige Videobeobachtung eines Untersuchungsbeauftragten

• Ein Untersuchungsgefangener wurde für knapp zwei Wochen während seiner Einzelhaft versehentlich videoüberwacht. Es lag jedoch keinen Begründung bzw. die rechtlichen Voraussetzungen dafür vor. Der Vorfall fiel erst nach Verlegung des Inhaftierten auf.
• Ursache für den Fehler war die Einzelhaftunterbringung aus gesundheitlichen Gründen während der Corona-Pandemie. Der Inhaftierte kam in den dafür einzig verfügbaren Raum, welcher üblicherweise für Häftlinge vorgesehen ist, die besonderer Sicherungsmaßnahmen bedürfen und somit videoüberwacht werden.
• Der Inhaftierte wurde nach Bekanntwerden des Falls darüber informiert und die Behörde verständigt. Des Weiteren wurden die Mitarbeiter entsprechend auf die Einhaltung der Datenschutzvorschriften unterrichtet.
• Zur Vermeidung weitere Fälle wurde eine Abdeckungsvorrichtung für die Videokamera angebracht.

Allgemeine innere Verwaltung (Seite 43 ff.)

Bürgerversammlungen: Veröffentlichung von Anträgen

• Bürgerversammlungen dienen dem Austausch zwischen Kommune und Bürgern. In diesen können gemeindliche Angelegenheiten besprochen werden und auch Anträge durch die Bürger gestellt werden.
• Eine Gemeinde praktizierte die Veröffentlichung der Bürgeranträge über ihr Ratsinformationssystem (RIS). Bei dem vorliegenden Fall waren Daten des Antragstellers wie Anschrift, Telefonnummer und Nationalität enthalten.
• Eine Einwilligung zur Veröffentlichung im Internet lag zwar vor, jedoch war dem Bürger nicht bewusst, dass diese dauerhaft im Internet zugänglich sind. Er widerrief die Einwilligung und die Gemeinde löschte auch den Antrag. Allerdings übersahen sie, dass die Daten in einem weiteren Dokument enthalten waren, welches noch öffentlich zugänglich war.
• Das BayLfDI sieht hier einen datenschutzrechtlichen Verstoß und gab der Kommune folgende Hinweise an die Hand:

• Eine einmal eingeholte Einwilligung stellt keinen „Blanko-Scheck“ für die dauerhafte Veröffentlichung und Zurverfügungstellung im Internet dar.
• Im Rahmen der Zweckbindung und Datensparsamkeit sind nicht mehr erforderliche Daten wieder zu löschen. Ggf. ist die Einwilligung auch zu erneuern.
• Des Weiteren sind die betroffenen Personen über den Umfang ihrer erteilten Einwilligung zu informieren.
• Die Behörde wies auch nochmals darauf hin, dass die Veröffentlichung von Bürgeranträgen auf keiner gesetzlichen Grundlage basiert.

Personenbezogene Angaben auf Parkausweisen für Gewerbetreibende oder selbstständige Freiberufler

• Auf Parkausweisen sind personenbezogene Daten hinterlegt. Durch das Auslegen des Parkausweises hinter der Windschutzscheibe zu Kontrollzwecken können diese von sämtlichen Passanten eingesehen werden.
• Die Kenntnisnahme von anderen Personen ist eine hinzunehmende Nebenfolge. Diese sollte jedoch mit dem Grundsatz der Datenminimierung sehr gering sein.
• Die Offenlegung des vollständigen Namen sowie der genauen Art der selbstständigen oder gewerblichen Tätigkeit ist nicht erforderlich.

Soziales und Gesundheit (Seite 63 ff.)

Vollzug des Masernschutzgesetzes durch Kindergarteneinrichtungen und Gesundheitsämter

• § 20 Infektionsschutzgesetz besagt, dass Betreute und Beschäftigte einen Nachweis über die Masernimmunität erbringen müssen.
• Die Einrichtungsleitung hat die Nachweise zu prüfen und das Gesundheitsamt zu informieren.
• Der Nachweis kann wie folgt erbracht werden:
  • Vorlage eines Impfausweises oder ärztlichen Zeugnisses über Impfschutz
  • ärztliches Zeugnis über Immunität
  • ärztliches Zeugnis darüber, dass keine Impfung wegen dauerhaften medizinischer Kontraindikationen möglich ist

Datenschutzkonforme Vorlage bei der Kindertageseinrichtung – Dokumentation ohne Kopie des Nachweises

• Es ist ausreichend, wenn Einsicht in das Impfbuch bzw. U-Heft genommen wird oder
• die ärztliche Bescheinigung vorgelegt wird. Die vollständige Einsichtnahme in den Impfpass ist nicht erforderlich.
• Die Vorlage der Nachweise beschränkt sich grundsätzlich auf das Originaldokument. Scans oder geschwärzte Fotos müssen nicht akzeptiert werden.
• Eine Kopie der Nachweise ist nicht erforderlich und somit nicht zulässig. Die Sichtprüfung selbst ist nach § 20 Abs. 9 Infektionsschutzgesetz vorzunehmen.

Forschungsstudie ohne Einwilligung

• Im Rahmen einer Screeningstudie wurden Daten von ca. 45.000 Probanden für eine Zusatzstudie (Sexualstudie) verarbeitet. Es stellte sich heraus, dass die Einwilligung zur Teilnahme nicht ausreichend war.
• Folgende Anforderungen sind an die Einwilligung gestellt:
  • Transparenz der Verarbeitung
  • Für welchen Zweck werden die Daten verarbeitet?
  • Welche Datenverarbeitungen werden getätigt?
• Im Fragebogen wurden sehr sensible Fragen für die Sexualstudie verarbeitet, die jedoch für die Basisstudie relevant war.
• Für die Probanden war nicht eindeutig, dass es sich um eine Zusatzstudie handelte. Die Einwilligungserklärung wurde dahingehend nicht erweitert.
• Im Ergebnis löschte das Forschungsinstitut die Daten der Zusatzstudie und zog die Veröffentlichung der Studie zurück.

Datenverarbeitung im Zusammenhang mit Kindeswohlgefährung

Sachverhalt

Das Jugendamt und das Veterinäramt führten einen gemeinsamen Hausbesuch bei einer Familie durch. Es stand der Verdacht der Kindeswohlgefährdung sowie auch der nicht artgerechten Hundehaltung im Raum. Das Jugendamt nahm die Kinder beim Termin in Obhut.

Das Veterinäramt fertigte Fotos vom Zustand der Umgebung an und stellte diese dem Jugendamt auf Nachfrage zur Verfügung.

Bewertung / Einschätzung der Aufsichtsbehörde

• Nach dem 8. Sozialgesetzbuch ist zwar die Datenverarbeitung zur Prüfung einer Kindeswohlgefährdung zulässig. Allerdings erlaubt das Gesetz keine Fotodokumentation über die häuslichen Umstände.
• Eine Fotoanfertigung der häuslichen Umgebung ist nur mit Einwilligung der Betroffenen zulässig.
• Anders im Tierschutzgesetz: Hier dürfen die Umstände auch fotografisch dokumentiert werden. Somit lag ein Verstoß zur Datenverarbeitung in Bezug auf die Fotos vor.

Personalverwaltung (Seite 91 ff.)

Verlängerung der Aufbewahrungsfristen für Beihilfeunterlagen

• Seit dem 01.01.2022 sind die Unterlagen über Beihilfen auch für 5 Jahre aufzubewahren, wenn aus den Unterlagen die Art der Erkrankung ersichtlich ist.

Bewerbungsunterlagen im Ratsinformationssystem (RIS)

• Eine Gemeinde fragte an, ob Bewerbungsunterlagen für die Ratsmitglieder zur Sitzungsvorbereitung im RIS hochgeladen werden dürfen.
• Die zur Verfügungstellung der Bewerbungsunterlagen im RIS gemeinsam mit der Tagesordnung ist nach Ansicht der Behörde nicht erforderlich und damit unzulässig. Personalangelegenheiten und deren erforderliche Unterlagen sind lediglich für die Dauer der Sitzung zur Verfügung zu stellen und anschließend wieder einzusammeln.
• Das Risiko, dass die eingestellten Unterlagen heruntergeladen und offline verwendet werden können und somit ein ggf. weitere Zugriff möglich ist, ist nach Ansicht der Behörde einfach zu hoch.

Technik und Organisation (Seite 124 ff.)

Beschäftigtendatenschutz bei Ablage von E-Mails

• Eine öffentliche Stelle druckte E-Mails aus und nimmt diese zu den Papierakten. Es stellte sich die Frage, wie mit den Daten der (ehemaligen) Mitarbeiter in den E-Mails umzugehen ist. Bei einer späteren Einsicht in die Akten können dann die Daten (Name, E-Mail-Adresse des Empfängers und Absenders) offengelegt werden.
• Gemäß § 18 Allgemeinen Geschäftsordnung für Behörden des Freistaates Bayern müssen die wesentliche Schritte eines Geschäftsvorgangs nachvollziehbar, vollständig und dauerhaft erkennbar sein. Seitens der Behörde sind also bei dem Vorgehen keine datenschutzrechtlichen Einwände gegeben.

Quelle

• 31. Tätigkeitsbericht des Bayerischen Landesdatenschutzbeauftragten für den Datenschutz