Das BayLDA hat seinen 12. Tätigkeitsbericht 2022 veröffentlicht.
Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.
Hinweis: Im Folgenden wird in der männlichen Form gesprochen. Wegen dem einfacheren Lesefluss unterscheiden wir nicht. Es sind aber natürlich alle Geschlechter angesprochen.
Inhaltsverzeichnis
Auf den Punkt gebracht: Tätigkeitsbericht des BayLDA
- Die Beschwerden beim BayLDA hatten in den letzten Jahren kontinuierlich zugenommen. Im Jahr 2022 ging die Gesamtzahl der Beschwerden um 35 % zurück.
- Auch die Anzahl der Beratungsanfragen durch Verantwortliche selbst sank ebenfalls.
Allgemeines / Betroffenenrechte (Seite 24 ff.)
Reichweite der Haushaltsausnahme gem. Art. 2 Abs. 2 lit. c DSGVO (Seite 24)
- Das BayLDA stellt klar, dass die DSGVO auch bei Privatpersonen anwendbar sein kann.
- Die Haushaltsausnahme greift nicht bei folgenden Fällen: Datenveröffentlichung im Internet, insbesondere in sozialen Netzwerken oder Datenweitergabe per WhatsApp.
- Dies ist vor allem dann der Fall, wenn die Beiträge geteilt werden können. Durch das Teilen der Beiträge kann nicht sichergestellt werden, ob eine Veröffentlichung auf der persönlichen Ebene beschränkt bleibt.
- Folgendes Beispiel wird seitens der Behörde genannt: Bei einem Facebook-Account mit 20 Freunden, die dem Account-Inhaber bekannt sind, wird dies im Regelfall unter die Haushaltsausnahme zu fassen sein. Schwieriger ist die Abgrenzung dagegen bei zwar eingeschränkt einsehbaren Profilen, welche jedoch beispielsweise 500 „Freunde“ haben, die die Veröffentlichung wahrnehmen können.
- Bei WhatsApp-Gruppen ist ebenfalls zu prüfen, wer die Empfänger der Daten sind und ob diese zum persönlichen und familiären Kreis zählen.
Anmerkung der Datenbeschützerin
Es ist immer im Einzelfall zu prüfen, ob die Haushaltsausnahme zutrifft. Insbesondere ist abzuwägen, welcher Personenkreis die Daten erhält.
Wann liegt eine Beschwerde bei der Aufsichtsbehörde vor? (Seite 24 ff.)
- Das BayLDA stellt nochmals klar, wann die Beschwerde nach gesetzlichen Vorgaben als Beschwerde anerkannt wird.
- Folgende Mindestanforderungen müssen hierzu erfüllt sein:
- Ausreichende konkrete Beschreibung des Sachverhalts und behaupteten Verstoß seitens des Beschwerdeführers. Der Sachverhalt ist so zu formulieren, dass die Behörde den Fall möglichst ohne viele Rückfragen einschätzen kann.
- Benennung des Verantwortlichen (Beschwerdegegners)
- Das Beschwerdeformular des BayLDA hat formulierte Fragen bei Eingaben des Sachverhalts vorbereitet, welche notwendigerweise zu beantworten sind, um den Fall einordnen und nachvollziehen zu können.
- Aus der Erfahrung des BayLDA sind Eingaben meist unvollständig oder nur plakativ beschrieben wie z.B. „Daten weitergegeben“ – also ohne eine konkrete Erläuterung des genauen Sachverhalts und an wen die Daten weitergegeben wurden.
- In einem konkreten Fall wurde das BayLDA in einer Mail im „An“-Feld neben zwei weiteren Unternehmen gesetzt. Der Beschwerdeführer schrieb überwiegend die beiden Unternehmen an und beschwerte sich bezüglich der Cookies auf der Webseite jedoch ohne konkrete Nennung der URL. Das BayLDa wurde nicht direkt in der Mail angesprochen; lediglich am Ende der Mail verwies der Beschwerdeführer, dass der Einfachheit halber die Mail auch an die Behörde übermittelt wird. Die Mail wurde seitens des BayLDA nicht als Beschwerde anerkannt, da keine ausreichende Beschreibung des Sachverhalts vorliegend waren.
Anmerkung der Datenbeschützerin
Bitte prüfen Sie bei Eingabe einer Beschwerde den Sachverhalt auf Vollständigkeit. Stellen Sie sich immer die Frage: Würde ich den Sachverhalt verstehen, wenn ich nicht wüsste, um was es geht? Die formulierten Fragen im Beschwerdeformular beim BayLDa geben Ihnen hierzu bereits gute Ansätze, um eine konkrete Beschreibung anzufertigen.
Keine (ausreichende / fristgerechte) Reaktion auf Auskunftsersuchen gem. Art. 15 DSGVO (Seite 27 ff.)
- „Auskünfte sind grundsätzlich vollständig binnen Monatsfrist zu erteilen. „
- Die Frist beginnt an dem Tag, an dem das Auskunftsersuchen einging.
- Bestehen Zweifel an der Identität des Betroffenen und muss diese bestätigt werden, beginnt die Frist an dem Tag, an dem der Verantwortliche (welcher unverzüglich die erforderlichen Informationen erfragt hat) die Bestätigung / Gewissheit über die Identität hat.
- Sofern das Fristende auf einen Samstag, Sonntag oder Feiertag fällt, endet diese mit Ablauf des nächsten Werktags.
Beispiel von der Datenbeschützerin
Ein Betroffener reicht ein Auskunftsgesuch am 01.12.2023 ein. Seitens des Verantwortlichen bestehen allerdings aufgrund von Namensgleichheiten in der Kundendatei Zweifel an der Identität und er fragt noch am 01.12.2023 die erforderlichen Informationen zur Bestätigung der Identität an. Der Betroffene erteilt die vollständige Rückmeldung am 06.12.2023. Am diesem Tag hat der Verantwortliche die Gewissheit über die Identität. Die Frist für die Beantwortung beginnt somit am 06.12.2023. Fristende wäre somit der 06.01.2024. Dieser Tag ist allerdings ein Samstag und zugleich Feiertag, weshalb die Frist am nächsten Werktag, also am Montag, 08.01.2024 endet.
Somit hat der Verantwortliche bis spätestens Montag, den 08.01.2024, um die Auskunftsanfrage vollständig und ausreichend zu beantworten.
Erfahrungen seitens des BayLDA
- Seitens des BayLDA wurde immer wieder festgestellt, dass es regelmäßig zu Überschreitungen der Monatsfrist kam. Verschuldet wurde dies zum Teil, da das Gesuch nicht direkt an den Verantwortlichen, sondern an einen Auftragsverarbeiter gerichtet wurde. Nach Ansicht des BayLDa ist es möglich und zumutbar, dass die Anfragen unverzüglich an den Verantwortlichen weitergeleitet werden. „Geht also das Ersuchen beim Auftragsverarbeiter ein, bewirkt dies den Fristbeginn beim Verantwortlichen, nachdem diesen das Handeln des Auftragsverarbeiters insoweit zuzurechnen ist.“
- Die häufigsten Fälle von unvollständigen Auskunftserteilungen waren die pauschale Beantwortung der gespeicherten Stammdaten, ohne auf die geforderten Informationen einzugehen. Meist wurden auch nur Kategorien der Daten oder Kategorien von Empfängern genannt.
- Dem Betroffenen sind jedoch die konkreten Informationen zu nennen, damit dieser die Rechtmäßigkeit und die Richtigkeit der Verarbeitung überprüfen kann. Die Identität der Empfänger ist nach dem EuGH-Urteil (Urteil vom 12.01.2023, C- 154/21) gegenüber dem Betroffenen offenzulegen.
- Insbesondere sind daher folgende Informationen dem Betroffenen im Rahmen des Auskunftsgesuchs mitzuteilen:
- Angabe der konkreten personenbezogenen Daten,
- Welche konkreten personenbezogenen Daten an welche Empfänger ergehen.
Umfang des Auskunftsanspruchs (Seite 29)
- „Kopie der verarbeiteten personenbezogenen Daten bedeutet nicht die Vervielfältigung und Herausgabe aller vorhandenen Schriftstücke.“
- Das BayLDa erreichten zahlreiche Anfragen, inwieweit der Schriftverkehr (postalische Schreibe, E-Mails), Notizen und sonstige Dokumente bei einer Auskunftsanfrage herauszugeben sind.
- Kopie bedeutet gerade nicht, „dass Originaldokumente fotokopiert und zur Verfügung gestellt werden müssen, sondern dass die personenbezogenen Daten mitsamt den Informationen gem. Art. 15 Abs. 1 und Abs. 2 DS-GVO zu beauskunften sind.“
- Die Zusammenstellung muss dem Betroffenen ermöglichen, Kenntnis von ihren Daten zu erhalten und die Richtigkeit und Rechtmäßigkeit der Verarbeitung überprüfen zu können.
- Nach dem EuGH-Urteil (4. Mai 2023, C-487/21) sind einzelne Schriftstücke nicht per se als personenbezogenes Datum einzustufen. Die Nennung eines konkreten Schriftstück ist auch nicht erforderlich, wenn sich der Kontext der Datenverarbeitung aus den benannten Daten ergibt.
Anmerkung der Datenbeschützerin
Es ist positiv anzumerken, dass es sich bei der Kopie um keine „echte Kopie“ der Daten handeln muss. Das heißt erst einmal großes Aufatmen bei allen Verantwortlichen 😊. Dennoch ist es wichtig, dass Sie im Rahmen der Bearbeitung der Auskunftsanfrage die geforderten Informationen vollständig und konkret zusammentragen.
Kontaktieren Sie hierzu Ihren Datenschutzbeauftragten, um die Bearbeitung der Auskunftsanfrage gemeinsam vornehmen zu können. Falls Sie keinen Datenschutzbeauftragten benannt haben, unterstützen wir Sie natürlich sehr gerne.
Geltendmachung des Auskunftsanspruchs durch Eltern (Seite 30 f.)
- Es stellte sich beim BayLDA die Frage, ob ein Elternteil eine alleinige Vertretungsbefugnis bezüglich der Geltendmachung einer Auskunftsanfrage der minderjährigen Kinder hat und auch die Auskunft erhalten darf.
- Nach Auffassung des BayLDA ist der Auskunftsanspruch nicht abtretbar oder vererbbar; die rechtliche Vertretung ist jedoch möglich.
- Im Bericht wird das Szenario bei getrenntlebenden bzw. geschiedenen Elternteilen betrachtet.
- Ausschlaggebend ist die zivilrechtliche Lage, in welcher Konstellation das Auskunftsrecht durch einen Elternteil gemacht werden kann:
- Gemeinsames Sorgerecht: Der Elternteil, bei dem das Kind seinen gewöhnlichen Aufenthalt hat, ist allein entscheidungsbefugt in täglichen Alltagsangelegenheiten. Bei erheblichen Bedeutungen für das Kind sind beide Elternteile entscheidungsbefugt.
- Alltagsentscheidungen sind z.B. Schulalltag, tägliche Pflege des Kindes (Nahrung, Kleidung, Hygiene), Routine-Erlaubnisse zur Freizeitgestaltung, gewöhnliche medizinische Versorgung bei leichteren Krankheiten.
- Erhebliche Bedeutungen sind verallgemeinert gesagt, wenn sie nur schwer oder gar nicht abzuändernde Auswirkungen auf die Entwicklung des Kindes haben z.B. Umgangsverbot, Aufenthaltsbestimmungen, Wechsel des Kindes in ein Heim, Entscheidung über das Vermögen des Kindes.
- Der Elternteil, bei dem das Kind nicht seinen gewöhnlichen Aufenthalt hat, ist nicht alleine vertretungsbefugt.
- Gemeinsames Sorgerecht: Der Elternteil, bei dem das Kind seinen gewöhnlichen Aufenthalt hat, ist allein entscheidungsbefugt in täglichen Alltagsangelegenheiten. Bei erheblichen Bedeutungen für das Kind sind beide Elternteile entscheidungsbefugt.
- Durch die rechtliche Konstellation kommt das BayLDA zu folgender Interpretation bezüglich des Auskunftsgesuchs: Wird ein Auskunftsgesuch beim behandelnden Arzt des Kindes geltend gemacht, so stellt dies in der Regel eine Alltagsangelegenheit dar. Somit ist nur der Elternteil befugt, bei dem das Kind seinen gewöhnlichen Aufenthalts hat.
- Bei anderen Betreuungsmodellen z.B. paritätische Wechselmodell, nach welchem die Betreuungsverantwortung zwischen den Eltern gleich verteilt ist und regelmäßig wechselt, ist es aus Sicht des BayLDA vertretbar, wenn beide Elternteile die Auskunft erhalten.
- Das BayLDA stellt im Bericht auch klar, dass der Verantwortliche zu prüfen hat, inwieweit das Elternteil vertretungsbefugt ist, wenn die Anfrage nur von einem Elternteil einreicht wird. Somit wird sichergestellt, dass die Auskunft nicht an das nichtberechtigte Elternteil erteilt wird.
Datenschutz im Internet (Seite 33 ff.)
Anforderung an Cookie-Banner (Seite 33)
- Das BayLDa stellt eine zunehmende Verbesserung bei der Einhaltung der Anforderungen von Cookie-Bannern fest. Insbesondere die Bereitstellung des Ablehnen-Buttons auf der ersten Ebene ist mittlerweile bei vielen Webseitenbetreibern angekommen.
- Allerdings sind die Anforderungen der Cookie-Banner noch nicht im Bereich der „Apps“ umgesetzt. Das BayLDA wird hierzu den Fokus auf App-Prüfungen legen.
- Das BayLDA verweist auch nochmals auf die OH der DSK für Telemedienanbieter: Microsoft Word – OH_Telemedien_2021 Version_1_1_Vorlage_104_DSK_final.docx (datenschutzkonferenz-online.de)
Anmerkung der Datenbeschützerin
Prüfen Sie Ihren Cookie-Banner bzw. Einwilligungsbanner, ob dieser die Voraussetzungen der Behörden erfüllt. Sofern Sie auch eine App betreiben, sollten Sie aufgrund der angekündigten Prüfungen ebenfalls den Einwilligungsbanner auf Richtigkeit und Vollständigkeit überprüfen.
„Bezahlen mit Daten“ (Seite 34 f.)
- Die BGB-Novellierung hinsichtlich der Verbraucherschutz-Vorschriften stellt keine neue datenschutzrechtliche Rechtsgrundlage dar.
- Nach § 312 Abs. 1a BGB und §§ 327 ff. BGB wird das Bereitstellen von Daten mit dem Bezahlen mit Geld gleichgesetzt.
- Die DSK hat diesbezüglich Ende November 2022 einen Beschluss gefasst. Darin wird klargestellt, dass das „Bezahlen mit Daten“ keine eigene datenschutzrechtliche Rechtsgrundlage darstellt. Es ist weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO zu definieren. Die Nennung der BGB-Norm ist nicht ausreichend. Im Webseitenkontext ist die Einwilligung, Vertragsgrundlage oder das berechtigte Interesse zu prüfen.
- Das BayLDA hat hierzu bereits einige Modell geprüft, welche jedoch noch nicht abschließend sind. Es wurde neben der Einwilligungsvariante auch die Vertragslösung vorgestellt. Es soll zwischen dem Betroffenen und dem Webseitenbetreiber ein Vertrag zur Nutzung der Webseite geschlossen werden.
- Die Nutzer haben die Wahl, ein Abo-Modell abzuschließen oder ihre Daten bereitzustellen. Diese Vorgehensweise ist auch nach Ansicht des EDSA und nach dessen Leitlinien zulässig. Für die datenschutzrechtliche Zulässigkeit des Modells ist es wichtig zu prüfen, ob ein überhaupt ein wirksamer Vertrag vorliegt bzw. geschlossen wird.
- Das BayLDA verweist wegen des Vertragsabschlusses auf die zivilrechtlichen Normen. Grundsätzlich sollten jedoch die Mindestanforderungen für den Nutzer erkennbar sein wie Vertragspartner, die Leistung und verlangte Gegenleistung (Geld oder Daten); bei Datenbereitstellung welche Daten, über welchen Zeitraum, welche Dritten Zugriff habe und wie die vertragliche Beziehung beendet werden kann. Daneben sind die Voraussetzungen des Art. 6 Abs. 1 lit. b DSGVO zu beachten, insbesondere die Zweckbeschreibung.
Versicherungswirtschaft (Seite 40)
Bearbeitung medizinischer Unterlagen innerhalb einer Versicherung
- Im Rahmen einer Beschwerde von einem Versicherungsnehmer wurde beanstandet, dass die im Rahmen einer Leistungsprüfung vorgelegten Unterlagen nicht nur von medizinischen Personal bearbeitet wurden.
- Das BayLDA tauschte sich mit anderen deutschen Aufsichtsbehörden sowie der Versicherungswirtschaft aus bezüglich des Sachverhalts aus. Im Ergebnis wurde festgehalten, dass die Sichtung von medizinischen Unterlagen auch von nicht medizinischen Personal im Rahmen der Beantwortung und Bearbeitung zulässig ist.
Internationaler Datenverkehr (Seite 46 ff.)
Was ist eine Datenübermittlung in ein Drittland (Seite 46 ff.)
- In der DSGVO ist der Begriff „Übermittlung in ein Drittland“ nicht definiert.
- Der EDSA hat sich auch mit der Interpretation auseinandergesetzt. Eine Datenübermittlung in ein Drittland liegt nach dem EDSA vor, wenn
- ein Verantwortlicher oder Auftragsverarbeiter, der mit der in Rede stehenden Verarbeitung unter die DS-GVO fällt („Datenexporteur“),
- personenbezogene Daten an einen anderen Verantwortlichen, gemeinsam Verantwortlichen oder Auftragsverarbeiter offenlegt oder bereitstellt,
- und zwar dergestalt, dass sich der empfangende Verantwortliche, gemeinsam Verantwortliche oder Auftragsverarbeiter in einem Drittland befindet („Datenimporteur“), und zwar auch dann, wenn er für die betreffende Verarbeitung selbst unter den Anwendungsbereich der DS-GVO nach Art. 3 DS-GVO fällt.
- „So ist etwa ein Fernzugriff eines/einer auf Geschäftsreise in einem Drittland befindlichen Beschäftigten auf eine bei seinem Arbeitgeber in der EU befindliche Datenbank mit personenbezogenen Daten keine „Übermittlung in ein Drittland“, weil der/die Zugriff nehmende Beschäftigte kein (von seinem Arbeitgeber) separater Verantwortlicher oder Auftragsverarbeiter ist. Ebenso liegt eine „Übermittlung in ein Drittland“ nicht vor, wenn die betroffene Person ihre Daten selbst dem in einem Drittland befindlichen Verantwortlichen bereit-stellt, etwa durch Direkteingabe in ein Online-Formular; denn in einem solchen „Direkterhebungsfall“ ist nur ein einziger Verantwortlicher an dem Datenfluss beteiligt, es gibt also keinen vom Datenimporteur zu unterscheidenden Datenexporteur.“
- Eine Drittlandsübermittlung ist demnach zu bejahen, wenn etwa ein US-Unternehmen (etwa eine als „Inc.“ in den USA eingetragene Gesellschaft) personenbezogene Daten zur Verarbeitung (auch) außerhalb des EU-Territoriums erhält. Handelt es sich hingegen beim Empfänger um ein „EU-/EWR-Unternehmen“ und verarbeitet dieser die Daten geographisch (einschließlich etwaiger Fernzugriffe) ausschließlich innerhalb des EWR, liegt nach der Interpretation des EDSA keine Übermittlung in ein Drittland vor.
Prüfung Vertragsdokumente von Microsoft 365 durch die DSK (Seite 49 f.)
- Die DSK prüfte in der Vergangenheit den Einsatz von Microsoft 365 und prüfte insbesondere auch den Auftragsverarbeitungsvertrag von Microsoft bzw. den Nachtrag von Microsoft 365.
- Ende November 2022 fasst die DSK daher folgenden Beschluss:
- Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“
- Das BayLDa merkt noch an, dass die identifizierten Prüf- und Kritikpunkte wegen der unterschiedlichen Ausrichtungen und Herkunftsländer typische Datenschutzkonflikte beim Einsatz von Cloud-Anwendungen darstellen. Verantwortliche haben daher regelmäßig die Thematik zu beachten und zu prüfen.
Anmerkung der Datenbeschützerin
Im Rahmen eines Webinars im Dezember 2023 zwischen der IITR und dem Präsidenten des BayLDA Michael Will wurde auch die Frage herangetragen, ob man nun Microsoft 365 einsetzten darf. Michael Will beantwortete die Frage, indem er darauf verwies, dass kein Verbot zum Einsatz von Microsoft 365 herrscht. Michael Will wies auch nochmal daraufhin, dass derzeit technische Untersuchungen seitens Baden-Württemberg laufen und auch laufende Diskussionen zu Microsoft-Cloud-Diensten, Passwortübermittlungen, etc. laufen.
- Verantwortliche, die Microsoft365 nutzen möchten, müssen sich sorgfältig über den Einsatz und die Risiken informieren und sich nicht nur auf DSK-Positionspapiere (insbesondere aus 2020) berufen. Meine Interpretation: Es dürfen / sollen auch andere Quellen und Prüfungsergebnisse für die Evaluierung und Risikoanalyse für Microsoft herangezogen werden.
Follow Up zum Einsatz von Google Analytics (Seite 50 ff.)
- Bereits 2021 hat das BayLDA den Einsatz von Google Analytics geprüft. Auch weitere europäische Datenschutzbehörden haben sich mit der Thematik beschäftigt. Das Ergebnis lautet, dass die Datenübermittlung durch die Google Dienste gegen Kapitel V der DSGVO verstößt.
- Google hat 2021 seinen Auftragsverarbeitungsvertrag geändert und hat auch die neuen SCC im Auftragsverarbeitungsvertrag aufgenommen. Google gibt auch an, eine Reihe von zusätzlichen Maßnahmen ergriffen zu haben, damit ein angemessenes Schutzniveau für die Datenübermittlung hergestellt werden kann.
- Trotz der Änderungen seitens Google bleibt die Einschätzung des BayLDA unverändert. Werden beim Einsatz von Google Analytics eindeutige Kennungen (IDs) an die Google Server übermittelt, liegt ein Verstoß gegen Kapitel V der DSGVO vor. Auch die „zusätzlichen Maßnahmen“ seitens Google reichen aus Sicht des BayLDa nicht aus.
- Zwar werden bei der Variante „Google Analytics 4“ in der Regel keine IP-Adressen übermittelt; jedoch führt dies zu keiner anderen Einschätzung des BayLDA, sofern auf den Rechner des Nutzers eindeutige Kennungen gesetzt werden und damit an den US-Server übermittelt werden.
- Das BayLDA stimmt dem Lösungsvorschlag der französischen Aufsichtsbehörde jedoch zu. Um den Verstoß zu vermeiden, ist die Nutzung eines Prox Servers möglich. Somit wird ein Datenfluss zwischen Nutzerrechner und Google Server durch die Zwischenschaltung des Proxy-Server unterbunden.
Anmerkung der Datenbeschützerin
Aktuell ist noch unklar, ob die Bewertung durch das Inkrafttreten des Data-Privacy-Frameworks (DPF) im Juli 2023 seitens des BayLDA anders ausfällt. Dies werden wir wohl erst im TB 2023 erfahren.
Google ist nach dem DPF zertifiziert und weist somit ein ähnliches Datenschutzniveau nach der DSGVO nach.
Hierzu möchte ich auch nochmal auf das Webinar zu sprechen kommen. Die Thematik um Datenübermittlung in die USA wurde ebenfalls kurz thematisiert. Michael Will findet es schade, dass nicht mehr Freude über das DPF herrscht 😀.
Beschäftigtendatenschutz (Seite 54 ff.)
Kontrolle von Beschäftigten im Homeoffice (Seite 54 f.)
- Das BayLDA erhielt Anfragen, ob eine Überprüfung der Beschäftigten im Homeoffice datenschutzrechtlich zulässig ist. Insbesondere ging es dabei um die Feststellung zur Einhaltung der vereinbarten Rahmenbedingungen (Ort, Zeit) und die arbeitsrechtlichen Pflichten.
- Es kam auch die Frage nach einer GPS-Überwachung auf. Das BayLDA sieht eine stichprobenartige Kontrolle mittels GPS unter folgenden Maßgaben für begründet:
- Zunächst sind mildere Maßnahmen zu prüfen und zu testen. Beispielsweise ein „Kontrollanruf“ auf der privaten Festnetznummer. Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. B DSGVO. Liegt die private Festnetznummer bereits vor Zeiten des Homeoffice vor, liegt eine Zweckänderung zur Durchführung von Kontrollanrufen vor.
- Eine vor Ort Kontrolle ist aufgrund der Unverletzlichkeit der Wohnung eher kritisch zu betrachten. Im Zuge dessen verweist das BayLDA auf die Ausführungen des BfDI bezüglich Telearbeit und Mobiles Arbeiten.
- Es sind geeignete TOMs zu definieren, insbesondere die Zugriffsberechtigungen auf die GPS-Daten während der Arbeitszeiten.
- Die Häufigkeit der Stichproben muss anhand der Erforderlichkeit und Verhältnismäßigkeit messbar sein.
- Ein Live-Zugriff währen der Arbeitszeiten ist aus Sicht des BayLDA ausreichend. Eine dauerhafte Protokollierung ist ebenfalls nicht erforderlich.
- Nur in begründeten Verdachtsfällen auf eine Straftat oder schwere Pflichtverletzung kann eine Protokollierung für einen bestimmten Zeitraum und die Einsichtnahme in das Bewegungsprofil zulässig sein.
- Der Einsatz von Keylogger-Anwendungen ist in der Regel nicht zulässig.
- Das BayLDA weist in diesem Abschnitt eindeutig darauf hin, dass die Beschäftigten in jedem Falle nach Art. 13 DSGVO über die Datenverarbeitung (Nutzung privater Telefonnummer, Installation entsprechender Programme etc.) zu informieren sind.
Anmerkung der Datenbeschützerin
Es wird seitens der Datenbeschützerin angeraten, sich bezüglich der Kontrollen im Home-Office ganz genau auseinanderzusetzen. Auch wenn das BayLDA die GPS-Ortung unter bestimmten Voraussetzungen für möglich hält, sollten vorher sämtliche mildere Mittel ausgeschöpft und erprobt werden. Wenden Sie sich bitte hierzu an Ihren Datenschutzbeauftragten, um mit ihn die möglichen Maßnahmen durchzusprechen. Auf Wunsch stehen wir Ihnen natürlich auch mit unseren Expertenteam zur Seite.
Gesundheit und Soziales (Seite 62 f.)
Diskretion bei der Anmeldung und im Sprechzimmer
- Gespräche an der Anmeldung in Verbindung mit Namen und Gesundheitsdaten sollten nicht von andere Patienten mitgehört werden können.
- Auch sind an der Anmeldung keine Verordnungen oder Patientenunterlagen abzulegen, wenn anderen Patienten diese einsehen können. In einer Physiotherapiepraxis wurden die Unterlagen sogar bewusst ausgelegt, um die Unterschrift der Patienten einzuholen. Die Anmeldung war währenddessen auch nicht besetzt. Somit konnte nicht kontrolliert werden, welche Patienten auf welche Daten Zugriff haben.
- Ein gravierender Verstoß ist seitens des BayLDA nicht versperrte PCs im Behandlungszimmer! Das Versperren muss als Selbstverständlichkeit vom gesamten Praxispersonal umgesetzt werden.
- Anmeldung und Wartezimmer sollten (wenn bauliche Gegebenheiten vorhanden sind) voneinander getrennt sein, so dass Gespräche an der Anmeldung nicht hörbar sind. Ist dies nicht möglich, sollten bauliche Ergänzungen vorgenommen werden und sensible Telefongespräche in einem separaten Zimmer geführt werden.
Patientenunterlagen zur Abholung als Aushang vor der Praxistüre
- Mehrere Arztpraxen hatten Arbeitsunfähigkeitsbescheinigungen oder Rezepte den Patienten zur Abholung an der Außentüre der Praxis angebracht bzw. Auf einen Tisch vor der Praxis bereitgelegt. Somit waren die sensiblen Daten auch für unbefugte Dritte frei zugänglich.
- Die Arztpraxen verstießen damit vehement gegen die Pflicht zur Einhaltung eines angemessenen Schutzniveaus. Ärzte haben angemessene TOMs zu erlassen, damit die sensiblen Patientendaten vor allem vor unberechtigten Dritten geschützt sind.
- In dokumentieren Einzelfällen und auf ausdrücklichen Wunsch des Patienten können die getroffenen Maßnahmen nicht angewandt werden. Der Patient ist jedoch in diesem Fall auf das Risiko hinzuweisen.
Videoüberwachung (Seite 65 ff.)
Videoüberwachung in Fitnessstudios (Seite 65 f.)
- Videoüberwachung von Trainingsflächen in Fitnessstudios ist unzulässig!
- Nach einer Beschwerde wurde einem Fitnessstudio die Videoüberwachung der Trainingsflächen während der Öffnungszeiten untersagt. Es war keine Rechtsgrundlage für die Videoüberwachung erkennbar.
- Das Fitnessstudio argumentiere, dass mit dem Betreten der Räumlichkeiten die Einwilligung vorliegt. Des Weiteren wurde die Videoüberwachung auch auf Art. 6 Abs. 1 lit. B DSGVO gestützt. Das BayLDA konnte die Argumentationen nicht nachvollziehen, zumal die Videoüberwachung unabhängig von der Vertragsgestaltung ist.
- Es wurde auch angegebenen, dass Diebstähle, Sachbeschädigungen verhindert bzw. verfolgt werden können. Eine Erforderlichkeit diesbezüglich konnte seitens des BayLDA nicht festgestellt werden.
- Das Interesse der Fitnessstudio-Mitglieder überwiegt seitens des BayLDA.
- Der Fitnessstudio-Inhaber klagte gegen die Entscheidung beim bayerischen Verwaltungsgericht. Das Gericht entschied zu Gunsten des BayLDA. Betroffenen Personen müssen im Fitnessstudio nicht mit einer Videoüberwachung rechnen. Der Kläger hat gegen das Urteil Berufung eingelegt.
Videoüberwachung in der Gastronomie (Seite 67)
- Im Berichtszeitraum wurden erneut Beschwerden bezüglich der Videoüberwachung von Gaststättenräumen bzw. deren Außenanlagen eingereicht. Betroffenen sind davon die Gäste und das Personal.
- Eine Rechtsgrundlage zur Überwachung von Gästen ist in der Regel nicht gegeben. Auch liegt mit Aushang des Hinweisschilds keine wirksame Einwilligung vor.
- Die Berufung auf das berechtigte Interesse liegt nach Ansicht des BayLDa ebenfalls nicht vor. Es können zwar häufig berechtigte Interessen des Inhabers erkannt werden, führen aber in der Interessensabwägung dazu, dass die Interessen der Betroffenen überwiegen.
- Zudem müssen die Gäste nicht damit rechnen, in öffentlich zugänglichen Bereichen überwacht zu werden, vor allem wenn dies für die Freizeit-, Erholung und Entspannung dient wie z.B. Sitzbereiche, Tische in Restaurant.
- Die Videoüberwachung von Bewirtungsflächen ist daher in der Regel unzulässig!
Cybersicherheitslage (Seite 69 ff.)
Im Berichtszeitraum wurden über 2900 Fälle von Cybervorfällen eingereicht. Folgende Entwicklungen festgestellt:
- Ransomwareangriffe bleiben weiterhin die Nummer 1 bei den Vorfällen.
- Angriffe auf Cloud-Dienste mit dem Zweck der missbräuchlichen Verwendung der E-Mail-Infrastruktur hat ein ernstzunehmendes Niveau erreicht.
- Supply-Chain-Angriffe wurden 2022 noch nicht systematisch erfasst. Es ist jedoch ein Risikopotential erkennbar.
- Diebstahl- und Verlustmeldungen betrafen insbesondere unverschlüsselte Datenträger und sind verschwindend gering. Es ist jedoch nicht auszuschließen, dass die Dunkelziffer höher sein wird.
- Fehlkonfigurationen oder fehlende Protokollierungen der IT-Systeme können keine Datenflüsse aufzeigen.
Fallbeispiele (Seite 71 f.)
Folgende Cybersicherheitsvorfälle sind exemplarisch im Bericht genannt:
- Ein DAX-Unternehmen im Bereich Mobilität wurde im Frühjahr 2022 Opfer der Gruppierung BlackBasta, die seit Frühjahr 2022 zunehmend durch spektakuläre Cyberangriffe auf sich Aufmerksam gemacht hat. Aufgrund der neuartigen Gruppierung und der hohen Komplexität des Angriffs haben wir eine umfangreiche Datenschutzkontrolle durchgeführt.
- Die Gruppierung Royal hat im Oktober ein Unternehmen aus dem Bereich Tourismus erfolgreich angegriffen. Die mehr als 100.000 betroffenen Endkunden hatten dabei wohl Glück im Unglück: Die Befürchtung eines Datenabflusses wurde in Rahmen der Aufarbeitung mit hoher Wahrscheinlichkeit nicht bestätigt.
- Die Gruppierung Hive hat im Frühsommer bei einem bayerischen IT-Dienstleister einen erfolgreichen Angriff mit Verschlüsselung und Datenausleitung durchgeführt. Dieser Angriff führte zu einer Reihe von Folgemeldungen durch Verantwortliche (alleine 40 im nicht-öffentlichen Bereich Bayern), die diesen Dienstleister im Rahmen einer Auftragsverarbeitung eingesetzt hat-ten. Derartige Supply-Chain-Angriffe sind durch die bereits bestehenden gesetzlichen Regelungen der DS-GVO zur Meldepflicht bei der Datenschutzaufsichtsbehörde gut abgedeckt.
- Ein Kunde einer Online-Apotheke hat seine beruflichen Fertigkeiten im Bereich IT-Sicherheit angewendet, als sein Registrierungsversuch auf einer neu gestarteten Webpräsenz fehlschlug, die Fehlermeldungen aber Hinweise auf authentifizierte Datenabrufmöglichkeiten offenbarte. Nachdem dieser Rezepte und Kopien mehrerer Versicherungsausweise ohne Überwindung einer Zugangssicherung abrufen konnte, wurden wir im Rahmen einer Beschwerde über den Sachverhalt informiert. Die Compliance-Prozesse der Apotheke haben im Nachgang gut funktioniert: Die Lücke wurde geschlossen und eine Auswertung der Log-Dateien ergab mit hoher Wahrscheinlichkeit keinen missbräuchlichen Zugriff auf die nicht angemessen gesicherten Kundendaten.
Anmerkung der Datenbeschützerin
Es wird in diesem Zuge auch auf den IT-Sicherheitslagebericht 2023 des BSI verwiesen. Wir haben diesen in einem weiteren Artikel für Sie zusammengefasst.
Quelle
12. Tätigkeitsbericht des BayLDA: 12. Tätigkeitsberich 2022 (bayern.de)