38. Tätigkeitsbericht LfDI Baden-Württemberg

Der baden-württembergische Datenschutzbeauftragte hat seinen Tätigkeitsbericht 2022 veröffentlicht.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.

Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Auf den Punkt gebracht: 38. Tätigkeitsbericht des LfDI

Datenschutz + Digitalisierung = nachhaltiger Fortschritt (Seite 9)

Beratung von Behörden: Regelung von Zugriffsrechten bei der E-Akte (Seite 14 ff.)

• Die E-Akte hält immer weiter Einzug in den baden-württembergischen Behörden. Dabei gilt es, einige Regelungen zum Datenschutz zu beachten.
• Vorteile der E-Akte:
  • Beschleunigung der Arbeit;
  • Kommunikation über einzelne Vorgänge können in E-Akte selbst erfolgen – somit ist die „doppelte“ Buchführung von Daten und Vorgängen vermeidbar,
  • Definition und Einrichten von Löschroutinen.
• Die Behörde sieht die Einrichtung von Rechte- und Rollenkonzepten für Nutzer als unentbehrlich an. Die Verantwortlichen haben sich die Frage zu stellen: Benötigen alle Bediensteten Zugriff auf alle Vorgänge?
• Die Zugriffsberechtigung auf die Daten und Vorgänge ist nicht nur organisatorisch, z.B. in Form von Arbeitsanweisungen, sondern auch technisch soweit einzuschränken, dass nur Mitarbeiter Zugriff auf die Vorgänge haben, die auch mit dem Vorgang betraut sind.
• Ist die technische Zugriffsbeschränkung technisch nicht möglich (nach Abwägung der Risiken und des Aufwands sowie des Standes der Technik), sind anderweitige technische und organisatorische Maßnahmen zu ergreifen, z.B. Protokollierung der Zugriffe unter Festlegung und Durchführung von Stichproben und Prüfroutinen.
• Nach Ansicht der Behörde ist es zulässig, wenn die bearbeitende Person sowie deren Vertretung und auch noch deren unmittelbarer Vorgesetzter Zugriff auf die Sachverhalte erhalten. Bei der Behördenleitung sowie deren Vertretung ist im Einzelfall abzuwägen, ob ein temporärer oder dauerhafter Zugriff auf die Vorgänge notwendig ist.
• Das Argument, über die weiten Zugriffsberechtigungen einen einheitlichen Maßstab für abteilungsübergreifende Meinungen bei Rechtsfragen zu erzielen, ist aus Sicht des LfDI nicht tragbar und somit unzulässig. Die Maßstäbe zur einheitlichen Kommunikation nach außen ist unabhängig von personenbezogenen Daten zu schaffen und zu definieren.

Corona Pandemie (Seite 31)

Die einrichtungsbezogene Impfpflicht (Seite 34 ff.)

• Zweck der einrichtungsbezogenen Impflicht: Erfassung nicht geimpfter oder nicht genesener Personen, die in vulnerablen Einrichtungen arbeiten, um die Meldung an das Gesundheitsamt vorzunehmen und um abzuwägen, ob eine Weiterbeschäftigung im Rahmen des Infektionsschutzes zulässig ist.
• Die Dokumentation und Prüfung der Impflicht war im § 20a IfSG definiert, ist jedoch zum 01.01.2023 außer Kraft getreten. Im Tätigkeitsbericht wird der § 20a noch näher beleuchtet und auch in Bezug auf offene Fragen aus der Vergangenheit erläutert und diskutiert. In der Zusammenfassung wird hier nicht näher darauf eingegangen.
• Nach dem Außerkrafttreten wird das LfDI gemeinsam mit dem Sozialministerium eine Aufarbeitung vornehmen, insbesondere, welche datenschutzrechtliche Probleme bei der Umsetzung der Vorschriften in der Vergangenheit aufkamen.

Nachlese bei Verantwortlichen (Seite 36 ff.)

Die Aufsichtsbehörde hat bei verschiedenen Einrichtungen (Hochschulen, Kindergärten, Apotheken) nach Beendigung der Pandemievorschriften bezüglich des Umgangs mit den (sensiblen) Daten nachgefragt -insbesondere was deren Löschung und Vernichtung betrifft. Ergebnis: Positive Rückmeldung, die nur wenige datenschutzrechtliche Defizite zurückließen. Die Befragungen und Auswertungen sind jedoch noch nicht gänzlich abgeschlossen.

Digitale Bildungsplattformen (Seite 45)

Digitaler Arbeitsplatz für Lehrer (Seite 45)

• Im Berichtsjahr wurde das Pilotprojekt mit der dPhoenix-Suite des Anbieter Dataport gestartet. Die Software ist Open-Source basiert, beinhaltet Textverarbeitungs- und Tabellen- und Kalkulations- und Präsentationsprogramme.
• Für die E-Mails, Kalender und Kontakte wird die Software Open-Xchange getestet und zukünftig verwendet werden.
• Die Daten werden nach den ersten Erkenntnissen in Europa verarbeitet. Eine Datenübermittlung in Drittländer findet nicht statt. Das LfDI sieht aktuell keine datenschutzrechtliche Probleme bei der Nutzung der beiden Softwares.

Lernmanagementsysteme (Seite 45 f.)

• Neben Moodle ist die Verwendung von itslearning ebenfalls möglich. Auf itslearning ging die Behörde bereits in ihrem letzten Tätigkeitsbericht ausführlich ein. Auf diesen wird hier an der Stelle verwiesen.
• Der Einsatz von itslearning ist grundsätzlich möglich, jedoch ist die Einzelfallbetrachtung bezüglich der Drittlandsübermittlung, des Trackings und der technischen und organisatorischen Maßnahmen und der Dokumentation durchzuführen und abzuwägen.

Microsoft 365 an Schulen (Seite 46 ff.)

• Microsoft 365 ist nicht mehr Teil der Bildungsplattform in Baden-Württemberg aufgrund der datenschutzrechtlichen Bedenken des LfDI. In einer Stellungnahme an das Kultusministerium äußerte sich das LfDI ausführlich zu diesen Bedenken.
• Das LfDI teste im Rahmen eines Pilotversuchs mit einer speziell konfigurierten Version von Microsoft 365. Ein datenschutzkonformer Betrieb ist nicht aktuell nicht möglich, da zahlreiche Datenflüsse festgestellt wurden und die Übermittlung dieser personenbezogene Daten keiner Rechtsgrundlage nach Art. 6 DSGVO zuzuordnen sind.
• Trotz der Einschätzung des LfDI verwenden einige Schulen Microsoft 365 (vor allem Microsoft Teams). Im Berichtszeitraum erreichten die Behörde zahlreiche Beschwerden von Eltern und Schülern vor. Die Behörde schrieb daraufhin die Schulen an mit Bitte um Stellungnahme und Nachweis der Konfigurationseinstellungen zum datenschutzkonformen Betrieb von Microsoft 365.
• Ergebnis der Befragungen: Es war eine Beratung seitens der Schulen durch das LfDI notwendig. Schulen / Schulträger unterbreiteten Lösungsansätze für den Einsatz, welche jedoch nicht umsetzbar sind und die bestehenden Risiken nicht beheben können. Aussage- und beweiskräftige Nachweise konnten noch von keiner Schule an die Behörde vorgelegt werden.
• Das LfDI empfiehlt dringend die Umstellung auf datenschutzkonforme Systeme (im Rahmen der digitalen Bildungsplattformen)!

Ergänzung der Datenbeschützerin: Stellungnahme BayLfD zum Einsatz von Microsoft Teams an Schulen

Aufgrund der oben genannten Einschätzung des LfDI hat der Bayerische Rundfunk beim bayerischen Datenschutzbeauftragten Dr. Thomas Petri nachgefragt. Seine Einschätzung hierzu:

Bayerns Landesbeauftragter für den Datenschutz, Thomas Petri, will nicht so weit gehen wie seine Kollegen in Stuttgart. Er wolle die Schulen nicht noch mehr belasten und ihnen deshalb Office 365 auch nicht grundsätzlich verbieten, so Petri im Interview. Solange mit dem Einsatz des Programmes alle Beteiligten zufrieden sind, sieht auch er keinen Grund aktiv zu werden. Er werde selbst keine Nachforschungen in diese Richtung anstellen, so der oberste Datenschutzkontrolleur.

Klar ist aber auch: Wenn es Beschwerden gibt, weil sich jemand in seinen Rechten verletzt sieht, führt das zu Konsequenzen. Vor allem bei „Teams“ sieht Petri derzeit keine Möglichkeiten, das Programm datensicher einzustellen. Deshalb reicht es, wenn sich ein Schüler, eine Mutter oder eine Lehrerin beschwert, damit eingeschritten wird. Er werde die Nutzung dann an der jeweiligen Schule verbieten, so Petri. An ein paar Schulen ist das schon passiert. 

Bayerischer Rundfunk, 13.02.2023: Microsoft Teams an Bayerns Schulen auf der Kippe | BR24

Das bedeutet, dass der Einsatz von Microsoft 365 zwar möglich, jedoch nicht gänzlich datenschutzkonform ist. Die Abwägung hat immer im Einzelfall zu erfolgen!

Europa ruft! (Seite 49)

Aktuelle Leitlinien des Europäischen Datenschutzausschusses

Das Auskunftsrecht nach Art. 15 DSGVO

• In den Leitlinien vom Januar 2022 wird klargestellt, dass das Recht auf Datenkopie nach Artikel 15 Abs. 3 DSVO kein zusätzliches Betroffenenrecht ist, sondern eine „Modalität“.
• Auskunft = grundsätzlich eine vollständige Information über alle Daten und keine bloße Zusammenfassung. Folgende Schritte sind dabei zu beachten:

1. Betrifft das Ersuchen personenbezogene Daten?
2. Bezieht sich das Ersuchen auf die ersuchende Person (oder deren Vollmachtgeber)?
3. Sind neben der DSGVO noch weitere spezielle Normen anwendbar?
4. Fällt das Ersuchen unter Artikel 15; handelt es sich um eine Teil- oder Vollauskunft?

• Es sind alle Anfragen zu beantworten, auch wenn diese über verschiedene Kanäle z.B. über E-Mail oder Post eingehen. Der EDSA empfiehlt, für die Anfragen nutzerfreundliche Kommunikationskanäle einzurichten.
• Die Verweigerung des Auskunftsgesuchs ist nach Art. 12 Abs. 2 DSGVO nur möglich, wenn die erfolglose Identifizierung durch den Verantwortlichen glaubhaft dargelegt wurde.
• Für die Identifizierung dürfen nicht mehr Daten angefordert werden als nötig. Kopien von Personal- oder Reisepässen sind grundsätzlich unzulässig und nur in Einzelfällen möglich. Es ist dann die Pflicht, nicht erforderliche Daten auf dem Pass zu schwärzen oder zu verbergen!

Die Nutzung sozialer Netzwerke durch öffentliche Stellen

• Bei der Nutzung von Social-Media-Kanälen zur vereinfachten Kommunikation werden in der Regel personenbezogene Daten von Besuchern wie IP-Adresse oder Cookies an die Plattformbetreiber und Drittanbieter von registrierten sowie nicht registrierten Besuchern übermittelt. Über die Insight-Funktionen werden die Daten der Besucher zur Erstellung von Nutzerprofilen, Seitenstatistiken über die Nutzung zu Werbezwecken verwendet.
• In der Vergangenheit gab es bereits viele Entscheidungen zu dieser Thematik. Der EuGH urteilte, dass der Seitenbetreiber im Social-Media Kanal und der Plattformbetreiber gemeinsam nach Art. 26 DSGVO verantwortlich sind.
• Auch die DSK hat sich dem Thema angenommen und kommt in der Stellungnahme ebenfalls zum Entschluss, dass die Datenverarbeitung weder mit der DSGVO noch mit dem TTDSG vereinbar ist.
• Ergebnis des LfDI: Nutzung von datenschutzkonformen Alternativkanälen wie z.B. Mastodon oder PeerTube!

Ergänzung der Datenbeschützerin: Bescheid des BfDI gegenüber dem Bundespresseamt

Das BfDI untersagt mit Bescheid vom 17.02.2023 gegenüber dem Bundespresseamt den Weiterbetrieb der Facebook-Fanpage. Das Bundespresseamt hatte hierfür vier Wochen Zeit, den Bescheid umzusetzen.

Statt dem Bescheid Folge zu leisten, erhob das Bundespresseamt Klage beim zuständigen Verwaltungsgericht Köln (Stand: 18.03.2023). Nun heißt es abwarten, bis ein (Teil-)Urteil den Sachverhalt hoffentlich endgültig klärt. Bis zum Urteil darf das Bundespresseamt die Facebook-Fanpage weiterbetreiben.

Internationaler Datentransfer – die neue Executive Order der USA

• Im Oktober 2022 hat Präsident Biden eine Executive Order erlassen, welche die Zugriffe auf die EU-Bürgerdaten durch US-Behörden auf ein erforderliches und angemessenen Maß reduziert.
• Zudem wurde ein zweistufiges Beschwerde- bzw. Rechtsbehelfsverfahren ergänzt: Auf erster Ebene wird ein Civil Liberties Protection Officer im Office of the Director of National Intelligence (CLPO) als unabhängige Beschwerdestelle eingerichtet. Auf der zweiten Ebene wird ein Data Protection Review Court (Datenschutzprüfungsgericht) installiert.
• Zum Zeitpunkt der Veröffentlichung der Executive Order waren noch viele Fragen offen und es gab Zweifel an der Umsetzbarkeit. Auf diese wird an der Stelle der Zusammenfassung nicht weiter im Detail eingegangen.

Ergänzung der Datenbeschützerin: Angemessenheitsbeschluss der EU-Kommission

Die EU-Kommission hat im Dezember 2022 einen Entwurf für einen Angemessenheitsbeschluss für die Datenübermittlung in die USA veröffentlicht. Der Angemessenheitsbeschluss wird als Privacy-Shield Nachfolger angesehen. Ziel des Angemessenheitsbeschlusses ist die vereinfachte Datenübermittlung in die USA und dass die USA ein angemessenes Datenschutzniveau vorweisen können.

Unternehmen können sich dem Angemessenheitsbeschluss annehmen, wenn sie sich zur Einhaltung der datenschutzrechtlichen Pflichten verpflichten (sprich vermutlich zertifizieren lassen). Der EDSA hat sich ebenfalls schon zu dem Entwurf geäußert und lobt insbesondere die positive Entwicklung zur Zugriffsregulierung seitens der US-Behörden.

Der Angemessenheitsbeschluss soll planmäßig im Juli 2023 in Kraft treten.

Aktuelles aus der Bußgeldstelle (Seite 73)

Umgang mit Gesundheitsdaten (Seite 73 ff.)

Apotheke

• Eine Apotheke verstieß bei der Entsorgung ihrer Unterlagen gegen die gesetzlichen Vorschriften und betrieb darüber hinaus eine unzulässige Videoüberwachung.
• Im Rahmen einer Vor-Ort-Kontrolle in der Apotheke konnten zahlreiche Unterlagen mit sensiblen Daten in einem Müllraum, welcher unter anderem für unberechtigte Dritte frei zugänglich war, entdeckt werden. Bei den Dokumenten handelte es sich insbesondere um Corona-Testergebnisse, Rezepte mit Diagnosen oder anderweitige Korrespondenz mit teilweise sensiblen Informationen.
• Zwar hatte die Apotheke an einzelnen Arbeitsplätzen einen Aktenvernichter installiert. Dennoch wurde eine hohe Anzahl an unzureichend vernichteten Dokumenten identifiziert.
• Des Weiteren wurde eine Videoüberwachung, welche den gesamten Geschäftsraum inkl. der Bedienplätze überwacht, festgestellt. Ein Hinweisschild fehlte gänzlich.
• Die Geschäftsleitung kooperierte während und nach der Prüfung entsprechend und setzte die geforderten technische und organisatorische Maßnahmen um. Daher beläuft sich das Bußgeld auf insgesamt 6.500,00 €.

Unternehmen

• Ein Unternehmen trug im Sommer 2022 den Status der Impfungen der Mitarbeiter zusammen. Zweck der Erfassung war die Optimierung des Bürobelegungsplans.
• Bei der Verteilung des Büroplans wurden einzelne Mitarbeiter farblich (rot, gelb, grün) markiert, je nach Impfstatus.
• Die Behörde veranlasste die Löschung der Impfdaten und erließ ein Bußgeld in Höhe von 20.000,00 €.

Datenschutz-Vielfalt (Fälle aus der Praxis) (Seite 81)

Gratulation zu Jubiläen im Amtsblatt (Seite 85 f.)

• Dürfen Einwohner im Gemeinde- bzw. Amtsblatt zu Jubiläen gratulieren?
• Nach Mitteilung des LfDI ist dies nur noch mit Einwilligung des Betroffenen zulässig.

Die Bilddatei im Seniorenstift (Seite 88 f.)

• Ein Heimbewohner eines Seniorenheim fragte an, ob eine Bilddatei mit dem Vor- und Nachnamen und Zimmernummer angelegt und allen Bewohnern zur Verfügung gestellt werden darf. Die Behörde antwortete dem Heimbewohner, dass dies nur mit einer ordentlichen Einwilligung der Heimbewohner möglich ist.
• Im Laufe des Verfahrens stellte sich heraus, dass nicht die Heimleitung das Vorhaben umsetzten wollte, sondern der Heimbewohner selbst. Hier stellte sich die Frage, ob die DSGVO überhaupt anwendbar ist, da der Bewohner eine Privatperson ist. Nach Abwägung und Prüfung kam die Behörde zum Entschluss, dass das Vorhaben aufgrund der Größe und der Anzahl der betroffenen Personen unter die DSGVO fiel. Somit war das Vorhaben nur mit Einwilligung nach Art. 7 DSGVO möglich.

Datenpanne im Alltagsbetrieb (Seite 89 f.)

• Bei einer Sozialversicherung kamen es in kurzen Zeitabständen zu gleichartigen Datenpannen. Die Datenpanne selbst lag im Fehlversand von Dokumenten an einen falschen Empfänger oder dem Verlust von Dokumenten auf dem Postweg. Es bestand die Gefahr, dass unberechtigte Dritte Zugriff und Einsicht auf die Dokumente nehmen und diese ggf. missbräuchlich nutzen.
• Hinsichtlich des Vorfalls gibt die Behörde folgende Tipps bezüglich des Postausgangs an die Hand:
  • Ordnungsgemäße Sortierung von ausgedruckten Dokumenten z.B. farbige Trennblätter und Sicherstellung der korrekten Zuordnung der Dokumente zu einem adressierten Kuvert.
  • Diese Vorgaben sollten turnusmäßig in Form von Stichprobenkontrollen überprüft werdenn.
  • Eine regelmäßige Sensibilisierung der Mitarbeiter ist unerlässlich.

Homeoffice in Drittstaaten (Seite 93 f.)

• Welche datenschutzrechtlichen Vorgaben für Beschäftigte von deutschen Unternehmen gelten, wenn diese im Homeoffice in einem Drittstaat arbeiten? Der Transferbegriff selbst wird derzeit durch den EDSA neu definiert, weshalb hier das LfDI seine Sichtweise darlegt.
• Sofern ein EU-Unternehmen einen unselbstständigen Standort betreibt und von dort aus personenbezogene Daten verarbeitet werden, welche aus der EU stammen, liegt nach Ansicht des LfDI ein Datentransfer vor.
• Liegt ein solches Konstrukt vor, sind neben den technischen und organisatorischen Maßnahmen noch weitere Vorgaben nach Kapitel 5 DSGVO z.B. Standardvertragsklauseln zu beachten und zu definieren.

Ein Funktionspostfach löst Probleme (Seite 95 f.)

• Ein Landrat veröffentlichte zur besseren Transparenz und Vereinfachung der Kontaktaufnahme der Bürger die Namen, Vornamen und Funktionsbezeichnungen auf der Webseite.
• Nach Eingang einer anonymen Beschwerde kam die Behörde zum Entschluss, dass für die Mehrheit der Mitarbeiter ein Funktionspostfach einzurichten ist.
• Ob die Veröffentlichung der oben genannten Daten nur mittels einer Einwilligung oder zur Erfüllung von den öffentlichen Aufgaben zählt, ist immer im Einzelfall abzuwägen. Bei der Verhältnismäßigkeitsprüfung sind folgende Aspekte zu berücksichtigten:

1. Durch die Angabe von Namen / Vornamen wird es Dritten erleichtert (und Hinzuziehung von anderen Medien z.B. Telefonbuch) die Mitarbeiter zu identifzieren und diese ggf. zu belästigen ode r zu bedrohen.
2. Die Anzahl der in den letzten Zeit gestiegenen Spams an persönliche Mailadressen kann unter Umständen ganze Serverbereiche zum erliegen bringen.

• Das LfDI empfiehlt, nicht die Vor- und Namen aller Mitarbeiter zu nennen, wenn diese nicht mit Außenwirkung tätig sind. Alternativ sollten hier Funktionsadressen wie z.B. Bürgerbüro, Servicestelle, Poststelle etc. genannt werden.

Quelle

38. Tätigkeitsbericht des LfDI 2022