39. Tätigkeitsbericht des Landesdatenschutzbeauftragten für den Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW)

Das LfDI BW hat seinen 39. Tätigkeitsbericht 2023 veröffentlicht. 

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen. 

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor. 

Hinweis: Im Folgenden wird in der männlichen Form gesprochen. Wegen dem einfacheren Lesefluss unterscheiden wir nicht. Es sind aber natürlich alle Geschlechter angesprochen. 

Auf den Punkt gebracht: Tätigkeitsbericht des LfDI

Der LfDI in Europas digitaler Akte

The Digital Services Act package: DSA und DMA

• DSA = Digital Services Act
• DMA = Digital Markets Act

Ziele der beiden Gesetze:

• Schaffung eines sichereren digitalen Raums, indem die Grundrechte aller Nutzenden digitaler Dienste geschützt werden;
• Schaffung gleicher Wettbewerbsbedingungen für die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit sowohl im europäischen Binnenmarkt als auch weltweit

Der Digital Marketes Act und die Taskforce Consumer & Competition

• Der DMA ergänzt das Wettbewerbsrecht und soll das Verhalten großer Digitalkonzerne (insbesondere sog. „Torwächter“) regulieren.
• Torwächter = große digitale Plattformen, die zentrale Plattformdienste anbieten und gewerbliche und private Nutzer zusammenbringen, z.B. Online-Suchmaschinen, Messenger-Dienste
• Bei den Torwächtern werden zahlreiche personenbezogene Daten verarbeitet, weshalb die Rechtsbereiche des Datenschutzes, des Wettbewerbsrechts und des Verbraucherschutzes nicht einzeln, sondern einheitlich zu betrachten sind.
• Daraufhin hat der EDSA eine Taskforce ins Leben gerufen, die sich mit den drei Themengebieten beschäftigt. Das Hauptziel ist, die Verbindung zwischen den Rechtsgebieten zu klären und eine Synergie zu schaffen.

Der Digitale Service Act (DSA), Digital-Dienste-Gesetz-Entwurf und die Social-Media-Expert Subgroup

• Der DSA nimmt vor vor allem Vermittlungsdienste, Hosting-Diensteanbieter und Online-Plattformen für die Durchsetzung der Grund- und Verbraucherrechte in die Pflicht. Im DSA werden die Sorgfaltspflichten sowie die Haftungsausschlüsse geregelt.
• Die Anbieter müssen unter anderem Melde- und Abhilfemaßnahmen einrichten, um z.B. rechtswidrige Inhalte melden zu können. Im Gegenzug dazu müssen die Anbieter auf die Meldung reagieren und entsprechende Maßnahmen ableiten. Nutzer, die häufig und offensichtich rechtswidrige Inhalte teilen, sind für einen gewissen Zeitraum auszuschließen.
• Im DSA sind auch formelle Vorgaben für das Angebot der Dienste klar geregelt. Diese sind so zu gestalten, dass die Nutzer nicht getäuscht, manipuliert oder bei einer Entscheidung in die Irre geführt oder behindert werden.
• Zudem besteht eine Kennzeichnungspflicht für Werbung und es darf keine Werbung angezeigt werden, die auf Basis der Profilbildung von sensiblen Daten nach Art. 9 DSGVO beruht.
• Die Social Media Expert Subgroup wurde beauftragt, das Zusammenspiel zwischen DSA und DSGVO zu betrachten. Es wird ein entsprechendes Dokument entwickelt.

DDG-E

• Der Entwurf des Digitale-Dienste-Gesetzes (DDG-E) setzt die Vorgaben des DSA in nationales Recht um.
• Als nationale zuständige Koordinierungsstelle fungiert die Bundesnetzagentur.
• Das LfDI hebt im Bericht hervor, dass eine frühzeitige und stärkere Einbindung der Datenschutzbehörden erforderlich ist. Es sind die Schnittstellen zum Thema Datenschutz zu identifizieren und zu betrachten.

Datenschutz koordinieren: Deutsche und Europäische Zusammenarbeit

Koordinierte Durchsetzungsmaßnahmen zu Cloud-Diensten

• Im Jahr 2022 wurden von 22 Datenschutzbehörden ingesamt rund 100 öffentliche Stellen hinsichtlich des Einsatzes von Cloud-Diensten geprüft. Dabei ging es unter anderem um den Umgang mit Risiken für die Rechte und Freiheiten natürlicher Personen vor und während der Verarbeitung und insbesondere bei der Übermittlung personenbezogener Daten in Drittstaaten, die Verarbeitung von Telemetrie- oder Diagnosedaten durch eingesetzte Cloud-Dienstleister, die Vertragsgestaltung bei einer Auftragsverarbeitung und die Einbindung der behördlichen Datenschutzbeauftragten.
• Folgende Punkte sind zu beachten:
  • Prüfen, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss;
  • Sicherstellen, dass die Rollen der beteiligten Parteien klar und eindeutig definiert sind;
  • Sicherstellen, dass der Cloud-Dienstleister nur im Auftrag und gemäß den dokumentierten Anweisungen der öffentlichen Stelle handelt und dass jede mögliche Verarbeitung durch den Cloud-Dienstleister in eigener Verantwortung identifiziert wird;
  • Sicherstellen, dass es eine wirksame Möglichkeit gibt, gegen neue Unterauftragsverarbeiter Widerspruch einzulegen;
  • Sicherstellen, dass personenbezogene Daten in Bezug auf die Zwecke, für die sie verarbeitet werden, definiert werden;
  • Die Beteiligung der behördlichen Datenschutzbeauftragten fördern;
  • Zusammenarbeit mit anderen öffentlichen Stellen bei den Verhandlungen mit dem Cloud-Anbieter;
  • Durchführung einer Überprüfung, um festzustellen, ob die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung erfolgt;
  • Prüfen, ob die Rechtsvorschriften eines Drittlandes auf den Cloud-Dienstanbieter anwendbar sind und ob diese dazu führen würden, dass Anträge auf Zugang zu Daten, die der Cloud-Dienstanbieter in der EU gespeichert hat, nicht bearbeitet werden können;
  • Sorgfältiges Prüfen des Vertrags und gegebenenfalls neu verhandeln;
  • Überprüfen der Bedingungen, unter denen die öffentliche Einrichtung zu Überprüfungen und Kontrollen zugelassen ist und zu diesen beitragen kann, und sicherstellen, dass die Anforderungen aus Artikel 28 DS-GVO erfüllt werden können.

Datenschutz und KI

• Definition des Begriffs KI-System nach der OECD-Sachverständigengruppe für KI (AIGO):
  • „[KI ist] ein maschinenbasiertes System, das für bestimmte von Menschen definierte Ziele Vorhersagen anstellen, Empfehlungen abgeben oder Entscheidungen treffen kann. Es nutzt maschinelle und/oder von Menschen generierte Inputs, um ein reales und/oder virtuelles Umfeld zu erfassen, davon ausgehend (automatisch, z. B. mithilfe von ML [Maschinelles Lernen], oder manuell) Modelle zu erstellen und mittels Modellinferenz Informations- oder Handlungsoptionen zu ermitteln. KI-Systeme können mit einem unterschiedlichen Grad an Autonomie ausgestattet sein.“

Datenschutzrechtliche Würdigung beim Einsatz von KI

• Im Tätigkeitsbericht wird klar hervorgehoben, dass auch beim Einsatz von KI-Technologie keine Ausnahme hinsichtlich der datenschutzrechtlichen Anforderungen gelten. Aufgrund der Vielzahl der Neuronen ist das System äußerst komplex und es gibt kaum eine systembedingte Erläuterung, wie die KI zu ihren Ergebnissen kommt.
• Sofern eine automatisierte Entscheidungsfindung (Profiling) auf Basis von KI-Technologie erfolgt, ist die Entscheidung nicht eindeutig nachvollziehbar. Der EuGH hat dies ebenfalls in einem Urteil im Jahr 2022 festgestellt. Es müssen geeignete Rechtsmittel bereitstehen, die es den Betroffenen erlauben, die Entscheidung nachvollziehen zu können. Die Gründe für eine KI-Entscheidung sind dabei besonders hervorzuheben. Die aktuellen KI-Modelle lassen noch keine Transparenz und Nachvollziehbarkeit zu.
• In dem Entwurf der KI-Verordnung werden auch unter anderem Verarbeitungen in den Bereichen der öffentlichen Sicherheit und Gesundheit, des Umweltschutzes und der Sicherheit und Widerstandsfähigkeit von Verkehrssystemen und KRITIS berücksichtigt, welche ein öffentliches Interesse darstellen.

KI an Schulen

• Es wurde ein Moodle-Modul namens „fAIrchat“ entwickelt. Das Modul ist in Moodle eingebaut und dient als Vermittler zwischen Moodle-Nutzern und ChatGPT.
• Dadurch werden keine Metadaten an den Betreiber OpenAI versandt. Weiterhin wird die API entsprechend der Vertragsbedingungen von OpenAI genutzt, womit die eingegebenen Daten nicht zu Trainingszwecken und zur Weiterentwicklung genutzt werden. Des Weiteren wird die Verwendung von personenbezogenen Daten mittels Nutzungsordnung von fAIrchat untersagt. Allerdings kann die Lehrkraft selbst die Anfragen der Nutzer noch nachlesen.
• Nach Ansicht des LfDI kann fAIrchat unter folgenden Bedingungen genutzt werden:
  • Ausdrückliche und verständliche Aufklärung über den Umgang mit dem System (keine Eingabe von personenbezogenen Daten, Lehrer können Anfragen nachträglich dennoch einsehen);
  • Nachträgliche, stichprobenartige, am Risiko gemessene Kontrolle erfolgt

KI-basierte Software in der ärztlichen Behandlung

• Eine Praxis für Radiologie stellte eine Beratungsanfrage hinsichtlich des Einsatzes einer KI-basierten Software zur Unterstützung für medizinische Diagnostik.
• Folgende Fragen wurden seitens des LfDI gestellt:
  • Ist ein Auftragsverarbeitungsvertrag geschlossen?
  • Wie wird die Pflicht bezüglich der Informationspflichten umgesetzt? Wird die Funktion der KI-basierten Software gegenüber dem Patienten erklärt?
  • Wurde die Rechtsgrundlage zum Einsatz hinsichtlich der Trainingsdaten, der Verarbeitung und dem Einsatz definiert?
  • Werden die eingegebenen Daten für die Verbesserung des Modells genutzt? Wenn ja, wurden die Patienten darüber aufgeklärt und ist eine Rechtsgrundlage definiert?
  • Wurde eine DSFA mit der Besonderheit der KI durchgeführt? Wurden dahingehend die TOMs entsprechend angepasst? „Hierzu gehört, dass die Datenrichtigkeit bezüglich der Trainingsdaten z. B. in Gestalt der radiologischen Befunde und des trainierten Modells bewertet werden, was etwa die Kategorisierung, Aktualität, Repräsentativität und den von den Daten abgebildeten Wissensstand – also auch die Abwesenheit von verzerrenden Effekten (Bias) – betrifft. Schließlich hat sich die Bewertung auf die Qualität des von der KI-basierten Software generierten Ergebnisses im Hinblick auf potenzielle Schäden für die Individuen und Personengruppen zu erstrecken.“
• Wichtig ist, dass die Patienten in leicht verständlicher Sprache darüber informiert werden, inwieweit die Ergebnisse der Software als Unterstützung und ggf. personalisierte ärztliche Entscheidung dienen.
• Als Rechtsgrundlage für den Einsatz der Software kommt zum einen Art. 6 Abs. 1 lit. b iVm. Art. 9 Abs. 2 lit. h DSGVO iVm. dem Behandlungsvertrag nach § 630a BGB und einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Betracht.
  • Die Vertragsgrundlage würde für die Konstellation gelten, wenn die KI Software im Rahmen der medizinischen Behandlung zu den Haupt- oder Nebenpflichten des Behandlungsvertrags gehören. Aktuell ist dies (noch) nicht der übliche Stand.
  • Spätestens wenn die Patientendaten zur Verbesserung genutzt werden, ist dieser Teil nicht mehr vom Behandlungsvertrag gedeckt. In diesem Fall ist eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich.

Anmerkung der Datenbeschützerin

An der Stelle ein kleiner Werbeblock 🙂

Wir haben uns ebenfalls im Rahmen eines Webinars mit der Thematik KI & Datenschutz befasst. Im Webinar klären wir unter anderem die Fragen:

• Was heißt KI?
• Wie funktioniert eine KI (im ganz groben)?
• Welche Risiken gibt es beim Einsatz von KI?
• Bedarf es einer eigenen KI-Richtlinie im Unternehmen?

Sie können sich die Aufzeichnung des Webinars kostenlos ansehen. Wenn Sie Interesse daran haben, senden Sie uns einfach eine kurze Mail 🙂

Werbeblock Ende!

Aktuelle Entwicklung im Beschäftigtendatenschutz

FAQ zum Gerichtsurteil des EuGH vom 30.03.2023

• Das Urteil des EuGH ließ das deutsche Beschäftigtendatenschutzrecht ziemlich mau aussehen.
• Der deutsche Gesetzgeber hat die Öffnungsklausel nach Art. 88 DSGVO genutzt und die Thematik des Beschäftigtendatenschutz im § 26 BDSG verankert. Des Weiteren haben teilweise die Länder ebenfalls eigene Vorschriften zu dem Themengebiet erlassen.
• Das Verwaltungsgericht Wiesbaden hatte allerdings Zweifel, ob das hessische Datenschutzgesetz dem Art. 88 DSGVO genügt. Für die endgültigte Klärung wurde daher der EuGH angerufen.
• Der EuGH stellte fest, dass der § 26 BDSG die Voraussetzungen der Öffnungsklausel nach Art. 88 DSGVO bzw. Art. 6 Abs. 3 DSGVO nicht erfüllt. Das bedeutet, dass die Datenverarbeitung nach § 26 BDSG nicht mehr anwendbar ist.
• Die gültige Rechtsgrundlage ist bei Art. 6 Abs. 1 lit. b DSGVO, wenn die Verarbeitung zur Erfüllung des Arbeitsvertrags oder im Rahmen des Bewerbungsverfahrens erfolgt.

FAQ Schwerbehindertenvertretung

• Aufgaben der Schwerbehindertenvertretung (SBV): Interessensvertretung von schwerbehinderten oder gleichgestellter Personen im Betrieb; Förderung der Eingliederung und Beratung von den vorgenannten Mitarbeitern
• Datenschutzrechtlich müssen die Mitarbeiter darauf vertrauen können, dass ihre personenbezogenen Daten bei der SBV in Sicherheit sind. Des Weiteren hat die SBV auch die Aufgabe, sich bei ihrer Arbeit datenschutzkonform zu verhalten.
• Für die datenschutzkonforme Umsetzung im Arbeitsalltag hat das LfDI ein FAQ erstellt: FAQ Datenschutz in der Schwerbehinderten­vertretung (SBV) – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Nachstehend werden vereinzelte Fragen aus dem FAQ herausgegriffen und übernommen:

Benötigt die SBV zur Erledigung ihrer Aufgaben stets eine Einwilligung der betroffenen Personen?

Nein, eine Einwilligung ist nicht immer erforderlich, da zahlreiche weitere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten existieren und diese anderen Rechtsgrundlagen explizite Verarbeitungsmöglichkeiten vorsehen. […]

Darf die SBV Einsicht in sämtliche Personaldokumente nehmen?

Nein. Die Aufgaben der SBV sind u.a. in § 178 SGB IX geregelt. […] Das bedeutet, dass die SBV gewisse Kontrollaufgaben gegenüber Arbeitgebenden hat: Diese Kontrollaufgaben beziehen sich jedoch nicht auf sämtliche Arbeitnehmende, sondern sind ausschließlich auf schwerbehinderte und diesen gleichgestellte Menschen beschränkt. Ein Einsichtnahmerecht auf sog. Gesamtlisten aller Beschäftigten in nicht vollanonymisierter Form besteht daher nicht. […]

Darf der betriebliche / behördliche DSB die Arbeit der SBV kontrollieren? Besteht ein Zutrittsrecht zu den Räumlichkeiten der SBV?

§ 79a BetrVG wird auf die Schwerbehindertenvertretung (SBV) analog angewendet. Wie genau das Zusammenspiel zwischen Arbeitgeber, Datenschutzbeauftragter und SBV funktioniert, ist derzeit gesetzlich nicht geregelt. Wir erhoffen uns Klärung dieser Frage durch das neu geplante Beschäftigungsdatenschutzgesetz. […]

Was ist bei der Aufbewahrung von SBV-Unterlagen zu beachten?

[…] Personenbezogene Daten müssen auf allen Ebenen vor Zugriff und Veränderung von Dritten zum Beispiel durch starke Verschlüsselung geschützt werden und dürfen nicht (auch nicht unabsichtlich) an Dritte weitergegeben werden. Die Schwerbehindertenvertretung hat dabei jeweils ein angemessenes Schutzniveau einzuhalten.

Daher sind Unterlagen der SBV stets so aufzubewahren, dass sie vor unbefugtem Zugang geschützt sind. Das bedeutet für die Arbeit der SBV, dass Unterlagen nicht offen herumliegen dürfen, sondern in einem abschließbaren Schrank aufbewahrt werden müssen. Digitale Unterlagen/Dateien sollten entsprechend in einem abgeschotteten Netzwerkbereich des jeweiligen Arbeitgebenden abgelegt werden, und der Zugriff auf diesen Bereich sollte ausschließlich der SBV vorbehalten sein. Entsprechend muss der SBV ein eigener, gegen fremde Zugriffs- und Leserechte abgesicherter Zugang zur Informations- und Kommunikationstechnik zur Verfügung gestellt werden […]. Der Schutz gegen Zugriff Dritter gilt auch gegenüber dem Personal- bzw. Betriebsrat. Eine gemeinsame Raum- oder Gerätenutzung würde zu erheblichen Datenschutzrisiken führen, z.B. dann, wenn Betriebsratsmitglieder bei gemeinsamer Raumnutzung in ein Beratungsgespräch über die Stellung eines Antrags auf Feststellung des Grades der Behinderung „hineinplatzen“ oder die SBV zur Antragstellung den PC des Betriebsrats nutzen muss und dem Betriebsrat somit zwangsläufig sensible Daten bekannt werden.

Für Sprechstunden und unterstützende Hilfe beim Ausfüllen von Antragsformularen muss der SBV auch ein besonderer Raum zur alleinigen Nutzung zur Verfügung stehen, in dem die SBV mit der zu beratenden und unterstützenden Person unbeobachtet und ohne Gefahr des Mithörens sprechen kann. Gleiches gilt bei der Nutzung elektronischer Kommunikationswege. Auch hier muss sichergestellt werden, dass die im Mailverkehr bei der SBV eingehenden Anfragen der beschäftigten Personen und die Antworten der SBV nicht von Dritten mitgelesen werden können.

Bei der Aufbewahrung von SBV-Unterlagen im Homeoffice müssen gesteigerte Vorsichtsmaßnahmen getroffen werden, um z.B. eine beiläufige Kenntnisnahme durch Dritte zu verhindern. Hierbei ist gesteigerte Sorgfalt notwendig.

Arbeit der SBV im Homeoffice und im mobilen Arbeiten: Ist eine Beratung schwerbehinderter Beschäftigter durch die SBV aus dem Homeoffice oder von unterwegs zulässig?

Die Flexibilisierung des Arbeitsortes bringt auch für die Arbeit der SBV neue Herausforderungen mit sich. Werden Aufgaben außerhalb des SBV-Büros erbracht, so besteht u.a. ein gesteigertes Risiko, dass Dritte „mithören“ oder unbefugt Kenntnisnehmen können, dass unsichere öffentliche Netzwerkzugänge verwendet werden oder dass Geräte verlustig gehen können. Gleichwohl darf die SBV Beratungen auch außerhalb des SBV-Büros anbieten, jedoch sind hierbei zwingend folgende Rahmenbedingungen einzuhalten:

• Prüfen Sie die einzelnen Aufgaben kritisch hinsichtlich ihrer „Mobilfähigkeit“!
• Sensibilisieren und schulen Sie die Mitglieder der SBV regelmäßig.
• Sichern Sie Ihre Tätigkeit rechtlich durch Richtlinien, Vereinbarungen oder Kollektivvereinbarung ab.
• Legen Sie verbindliche betriebliche Ansprechpersonen und Meldewege fest!
• Achten Sie auf hinreichend sichere Zugangssperren und Verschlüsselung bei mobilen Endgeräten und Speichermedien!

Das Vorgesetztenfeedback

• Im Rahmen des Vorgesetzenfeedbacks durch das Innenministerium können Mitarbeiter über einen Online-Fragebogen zu Führungssituation und Führungsqualitäten ihres Vorgesetzten teilnehmen. Die Teilnahme ist freiwillig; die Antworten sollen anonymisiert werden. Die Führungskraft kann ebenfalls entscheiden, ob sie ein solches Feedback wünscht.
• Ziel des Vorgesetzenfeedbacks ist es, einen Dialog zwischen Führungskräften und Mitarbeitern zu ermöglichen. Die Anonymität der Befragung ist nur dann gewährleistet, wenn mindestens fünf Mitarbeiter die Befragung aktiv geschlossen haben und die Antworten nicht mehr widerrufen werden können.
• Das LfDI hat bezüglich der Vorgehensweise noch weitere Verbesserungsmöglichkeiten:
  • Die Ergebnisse der Befragungen gegenüber allen Beteiligten sind nicht mit dem Grundsatz der Freiwilligkeit vereinbar.
  • Zudem ist zu verhindern, dass die Führungskraft Nachteile befürchten muss, wenn diese das Feedback nicht wünscht.
  • Die Anzahl der beteiligten Mitarbeiter ist zu erweitern. Auch bei fünf Mitarbeitern könnten bei Eingaben in Freitextfeldern ein Rückschluss auf den Einzelnen möglich sein.
  • Des Weiteren sollte es ausgeschlossen sein, dass sich die Mitarbeiter in den Freitextfeldern über Dritte äußern können.
  • Zudem unterbreitete das LfDI noch verschiedene technisch-organisatorische Maßnahmen. Diese werden jedoch im Bericht nicht detailliert erläutert.

Datenverarbeitung durch den Personalrat

• Die datenschutzrechtliche Verantwortlichkeit des Personalrats ist nicht abschließend geklärt. Nach § 67 LPVG ist die Datenverarbeitung zwar geregelt; jedoch ist unklar, ob der Personalrat als Verantwortlicher agiert oder der Kontrolle durch den behördlichen DSB unterliegt.
• Jedoch ist bei einer Kontrolle durch den DSB darauf zu achten, dass kein Verstoß gegen § 7 LPVG vorliegt. Das bedeutet, dass möglichst abstrakte Fragen zu stellen sind und möglichst ohne personenbezogene Daten auszukommen ist. Zudem ist die Einhaltung der TOMs, wenn möglich, ohne Personenbezug zu überprüfen.
• Als Fazit teilt das LfDI mit: Dienststellen sollten sich ihrer datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitungen der Personalvertretung bewusst sein und dieser die für die Einhaltung des Datenschutzes notwendigen Ressourcen, wie z. B. Schulungen, zur Verfügung stellen. Hier kann bzw. muss auch der oder die behördliche Datenschutzbeauftragte tätig werden.

Zugriff auf Personaldaten und das IT-Grundschutzkompendium des BSI

• 2023 wurden wiederholt Fälle bearbeitet, in welchen der Zugriff durch unbefugte Mitarbeiter auf Personaldaten gegeben war, z.B. durch Speicherung bzw. Veröffentlichung, fahrlässige fehlerhafte Einrichtung von Zugriffsmöglichkeiten.
• Das LfDI gibt nochmals Tipps an die Hand, welche Maßnahmen hinsichtlich des Zugriffs auf Personaldaten einzuhalten sind:
  • Es dürfen nur zwingend notwendige und erforderliche Daten verarbeitet werden (Grundsatz der Datenminimierung). Dies bedeutet auch, dass nur Personen Zugriff auf die Daten haben dürfen, welche zum Erreichen des Zwecks notwendig sind.
  • Der Verantwortliche hat intern zu definieren, welche Rollen innerhalb des Geschäftsprozesses involviert sind und hat dadurch auch Berechtigungen abzuleiten (z.B. Lese-, Schreib-, Löschrechte, Zugriff von außerhalb / intern)
    • Beispiel: Dies bedeutet, dass z. B. nicht das Teammitglied X zum Zugriff auf die Krankmeldungen der Beschäftigten berechtigt wird, sondern die Rolle „Bearbeitung Krankmeldungen Personalabteilung“. Diese Rolle wird dann X zugewiesen. Beispielhaft muss so überlegt werden, welche Mitarbeitende für welcheTätigkeiten, die eine Verarbeitung von bestimmten Personaldaten verlangen, zuständig ist oder sind.
  • Es sind geeignete TOMs zum Schutz der Daten zu definieren und umzusetzen. Diese sind anhand des Risikos zu ermitteln. Hierbei kann sich der Verantwortliche an Standards orientieren, z.B. ISO 31000, ISO 27001 und IT-Grundschutz-Kompendium des BSI.
  • Im Bericht wird detaillierter auf den Baustein OPR 4 des IT-Grundschutz-Kompendiums eingegangen. Ziel des Bausteins ist es, „u.a. eine unzureichende Definition von Prozessen beim Identitäts- und Berechtigungsmanagement und eine ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten, die zu einem Wildwuchs in der Rechtevergabe führt, zu vermeiden.“
    • Prozessdefinition zur Benutzerkennung (Einrichtung, Löschung)
    • Eindeutige Personenzuordnung
    • Erkennung von Inaktivitäten z.B. Gastzugänge sind zu deaktivieren bzw. zu löschen.
    • Need-to-know Prinzip bezüglich Zutrittsberechtigungen und -mittel
    • Einrichtung separater Adminrollen
    • Deaktivierung, Sperrung und Entfernung von Benutzerrechten und -kennungen bei personellen Veränderungen
    • Anlegen einer Dokumentation über Berechtigungen und Zutrittsmittel der Benutzer
    • Regelmäßige Prüfung, ob Berechtigungsvergaben dem aktuellen Stand entsprechen

Neues aus der Bußgeldstelle

„Tracking“ in Partnerbeziehungen

• Staatliche Überwachung – ein No Go! Tracking in Partnerbeziehungen – okay?
• Viele Privatpersonen greifen auf Trackingmöglichkeiten zurück, um ihrem Partner jederzeit im Blick zu halten; meist ohne dessen Einwilligung oder Wissen. Motive hierfür sind etwa krankhafte Eifersucht oder Misstrauen.
• Das LfDI stuft diese Trackingmethoden als schwerwiegenden Eingriff in die Privatsphäre ein und erlässt diesbezüglich auch Bußgelder.
• Ein hohes Bußgeld wurde gegen ein Frau erlassen, die einen Bewegungstracker am Auto ihres Ehepartners befestigte. Sie wollte damit einen Beweis für eine außereheliche Beziehung erwirken und ihren Partner damit konfrontieren. Nachdem das Trackinggerät gefunden wurde, erstatte der Geschädigte Anzeige bei der Polizei.

Vorsicht beim Einsatz von Dashcams

• Handelsübliche Dashcams haben entweder gar keinen „eingebauten Datenschutz“ oder sind nur mit größerem Aufwand einzurichten. Oft zeichnen die Kameras beim Anlassen des Fahrzeugs die Fahrt durchgehend auf, ohne dass eine manuelle Betätigung notwendig ist.
• Die Rechtsgrundlage ist eindeutig: Die Anfertigung von Bildaufzeichnungen in dieser Form ist unzulässig. Nicht nur wird das Kennzeichen des Vordermanns aufgezeichnet, sondern der gesamte Straßenverkehr.
• Zudem handelt es sich meist um (versteckte) Beobachtungen von Straßenverkehrsteilnehmern. Dies stellt einen schweren Eingriff in das informationelle Selbstbestimmungsrecht dar. Die anlasslose Aufzeichnung der gesamten Fahrt ist daher nicht erforderlich und unzulässig.
• Ein zulässiger Einsatz der Dashcam ist ausschließlich dann gegeben, wenn erst im Falle eines Unfalls oder einer Gefahrenbremsung die Aufnahme mittels eines durch Unfallsensoren ausgelösten automatisierten Überschreibungsschutzes gespeichert werden. Die gespeicherten Aufnahmen sind unmittelbar zu löschen, wenn diese nicht mehr als Beweismittel benötigt werden.
• Eine Veröffentlichung der Aufnahmen im Internet sind unzulässig
  • An dieser Stelle nun ein kleines Geständnis: Auf YouTube gibt es zahlreiche Dashcam-Kanäle, die solche Aufnahmen meist in verpixelter Form veröffentlichen. Ja, ich sehe mir ab und zu gerne einige Videos an; teilweise zur Unterhaltung; andererseits um einfach den Kopf zu schütteln und mich zu fragen, wie manche Menschen ihren Führerschein bestanden haben. Wie steht es um Ihre „Guilty Pleasures“?

Neues aus dem Amt: Innere Sicherheit, Justiz, Kommunalwesen

Keine Gute Idee: Private E-Mail-Adressen für die Arbeit als Gemeinderatsmitglied verwenden

• Die Gemeinde ist verantwortlich für die Datenverarbeitung durch die Gemeinderatsmitglieder. Diese sind zwar ehrenamtlich tätig, dennoch sind sie als Teil der Verwaltung angehörig. Das bedeutet, dass die Gemeinde entsprechende Maßnahmen zur Datensicherheit erlassen muss.
• Die Gemeinderatsmitglieder erhalten im Rahmen ihrer Tätigkeit u.a. auch personenbezogene Daten, z.B. bei Bauvorhaben oder Bewerbungsverfahren.
• Die Gemeinde muss sicherstellen, dass nach Amtsaustritt die Löschung der Daten bei den Mitgliedern erfolgt.
• Problematisch ist dies, wenn die Gemeinderatsmitglieder ihre private oder geschäftliche Mailadresse zur Ausübung ihrer Tätigkeit nutzen. Bei der geschäftlichen Mailadresse besteht das Risiko, dass der Arbeitgeber oder Arbeitskollegen z.B. im Abwesenheits- oder Krankheitsfall die Mails lesen. Zudem ist unklar, ob die private Mailadresse vor unberechtigten Zugriffen geschützt ist. Im Bericht wird ein Fall genannt, dass die Kommunikation über die Mailadresse der Ehefrau erfolgte. Auch ist abzuklären, ob der Mailanbieter Zugriff auf die Mails hat, um z.B. passgenaue Werbung auszuspielen.
• Werden die Mails über den reinen Versendevorgang beim E-Mail-Anbieter gespeichert, hat die Gemeinde mit dem Anbieter einen Auftragsverarbeitungsvertrag zu schließen; je nach Anzahl der Ratsmitglieder kommen da bestimmt schon einige Verträge zusammen.
• Das LfDI hält es für denkbar, dass die Gemeinderatsmitglieder beim Ausscheiden aus dem Amt eine Erklärung unterzeichnen, dass sie alle Daten (auch Mails) gelöscht haben. Doch wer prüft die Umsetzung der Maßnahme? Das Gemeinderatsmitglied kann dies schlecht beurteilen. Auch der Abschluss der Auftragsverarbeitungsverträge wird wohl kaum in der Praxis umsetzbar sein.
• Das LfDI empfiehlt daher, die Einrichtung einer gemeindlichen E-Mail-Adresse oder den Zugang über ein Onlineportal bereitzustellen. Die Verwaltung des Portals bzw. der Mails erfolgt dann über die Gemeinde. Somit wird sichergestellt, dass die Schutzmaßnahmen ordnungsgemäß umgesetzt und verwaltet werden.

Neues aus dem Amt: Nicht-öffentliche Stellen

Neues aus dem Bereich Internationaler Datentransfer

• Am 10.07.2023 trat das sog. Data-Privacy-Framework (DPF) in Kraft. Wir haben uns mit der Thematik in einem ausführlichen Blogbeitrag beschäftigt. Somit ist die Datenübermittlung in die USA an die selbstzertifzierten Unternehmen wieder möglich.
• Zudem ist auch eine Zertifzierung für Beschäftigtendaten (HR-Data) möglich. Allerdings besteht zwischen Europa und den USA kein einheitliches Verständnis zu diesem Begriff. Nach US-Ansicht sind es nur die Daten der Beschäftigten des jeweiligen Datenimporteurs in den USA. Somit entsteht auch der Eindruck, dass die Datenexporteure aus der EU ihre Beschäftigtendaten an den Importeur senden, die nicht über die Zusatzzertifzierung HR-Data verfügen.
• Die weiteren Übermittlungsinstrumente auf Grundlage nach Art. 46 DSGVO wie die SCC oder BCR bleiben weiterhin gültig.
• Nach Auffassung des LfDI können die Datenexporteure nun auf die sog. TIA verzichten. Nach Mitteilung der EU-Kommission gelten alle von der US-Regierung im Bereich der nationalen Sicherheit implementierten Schutzmaßnahmen unabhängig von den verwendeten Übermittlungsinstrumenten für alle Datenübermittlungen in die USA.
• Das LfDI wies bereits auch in der Vergangenheit darauf hin, dass eine erneute Klage gegen den Angemessenheitsbeschluss nicht ausgeschlossen ist. Die Behörde vermutet auch, dass die Diskussion um den Angemessenheitsbeschluss noch nicht beendet ist. Sollte der Angemessenheitsbeschluss seine Gültigkeit verlieren, so sind andere geeignete Übermittlungsinstrumente nach Kapitel V DSGVO zu definieren.

Datenschutz bei Herausgabe von Mitgliederlisten

• Folgender Beratungsfall wurde an das LfDI herangetragen: Ein Vereinsmitglied begehrte die Einberufung einer außerordentlichen Mitgliederversammlung und verlangte die Herausgabe einer Liste alle Mitglieder (insgesamt 60.000 Stimmberechtigte) inkl. Kontaktdaten, um die Versammlung kundzutun.

Rechtsgrundlage für die Herausgabe

• Nach der ständigen Rechtsprechung haben die Initiatoren einer außerordentlichen Mitgliederversammlung einen Anspruch gegen den Verein, die Anschriften der Mitglieder zu erhalten.
• Das LfDI sieht als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO iVm. § 37 BGB bzw. der Vereinssatzung vor. Auch der BGH bekennt, dass „einem Vertragsmitglied kraft seines Mitgliedschaftsrechts ein Recht auf Einsicht in die Bücher und Urkunden des Vereins [zu]steht, [wenn das berechtigte Interesse dargelegt ist und keine Rechte anderer verletzt werden].

Umfang der herauszugebenen Daten (E-Mail-Adressen sowie Mitgliedsnummern)

• Die Herausgabe der Mailadresse ist aufgrund der Anzahl der Mitglieder nach Ansicht des LfDI ein geeignetes und sinnvolles Kommunikationsmittel, um die Einladung entsprechend zu verteilen. Die Zusendung auf postalischen Weg ist mit einem erhöhten Verwaltungs- und Kostenaufwand verbunden. Zudem erlaubte auch die Vereinssatzung die Kommunikation per Mail.
• Der Zweck der Übermittlung der Mitgliedsnummern war jedoch nicht sofort erkennbar.

Herausgabe der Mitgliederdaten elektronisch oder in Papierform

• Die elektronische Herausgabe ist nach höchstrichterlicher Rechtsprechung möglich. Auch datenschutzrechtlich bestehen gegen diesen Anspruch keine Bedenken.
• Allerdings sind bei der Übermittlung geeigenete TOMs zu definieren. Insbesondere bei der Übermittlung per Mail ist auf eine Verschlüsselung zu achten.
  • Anmerkung der Datenbeschützerin: Es wird an der Stelle auch auf die OH der DSK vom 27.05.21 verwiesen; allerdings ergeht aus dem Kontext nicht genau, ob hier nur die Transportverschlüsselung oder Inhaltsverschlüsselung gemeint ist.

Betroffenenrechte

• Die Datenerhebung und -weitergabe erfolgte zur Ausübung der Mitgliederrechte (siehe oben). Somit ist bereits ein konkreter Zweck gegeben und erfolgt daher nicht grundlos. Im vorliegenden Fall erging keine konkrete Information an die Betroffenen, was nach Ansicht des LfDI als unschädlich angesehen wurde.
• Das LfDI empfiehlt aber allen Vereinen, ihre Datenschutzhinweise für die Zukunft zwecks der Klarstellung hinsichtlich des Zweck und der Empfänger anzupassen.

Quelle

39. Tätigkeitsbericht des LfDI: TB_39_DS_barrierefrei.pdf (datenschutz.de)