Das BayLDA hat seinen 13.Tätigkeitsbericht 2023 veröffentlicht.
Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.
Hinweis: Im Folgenden wird in der männlichen Form gesprochen. Wegen dem einfacheren Lesefluss unterscheiden wir nicht. Es sind aber natürlich alle Geschlechter angesprochen.
Inhaltsverzeichnis
Auf den Punkt gebracht: Tätigkeitsbericht des BayLDA
- Der Tätigkeitsbericht widmet der Thematik KI ein eigenes umfangreiches Kapitel.
- Zudem werden auch verschiedene Alltagssituationen und Fälle aus dem letzten Jahr vorgestellt.
4 Allgemeines
4.2 Keine Anwendbarkeit der DSGVO bei Verstorbenen
- „Bei Veröffentlichungen im Internet, die personenbezogene Daten Verstorbener zum Gegenstand haben, findet die DS-GVO keine Anwendung.„
- Es ging bei einem Fall um eine Beschwerde, in welcher Fotos von bayerischen Friedhöfen angefertigt und im Internet veröffentlicht wurden. Der Inhaber der Webseite hat seinen Sitz außerhalb der EU. Zudem wurde auf der Webseite ein Nachruf von seinem Angehörigen veröffentlicht.
- Das BayLDa konnte jedoch keinen datenschutzrechtlichen Verstoß feststellen. Nach Art. 1 Abs. 1 DSGVO gilt die DSGVO für natürliche Personen. Gemäß Art. 4 Nr. 1 bezieht sich der Begriff „natürliche Personen“ nur auf lebende Personen.
5 Betroffenenrechte
5.1 Ausnahme vom Auskunftsrecht
- Im Berichtszeitraum kamen erneut Beschwerden darüber, dass Auskunftsgesuche nicht beantwortet bzw. verweigert wurden. Als Begründung wurde oftmals der § 34 BDSG Abs. 1 Nr. 2 BDSG genannt.
- In diesem heißt es, dass eine Auskunft nicht zu erteilen ist, wenn
- die Daten entweder nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die Daten ausschließlich Zwecken zur Datensicherung oder Datenschutzkontrolle dienen und
- die Beauskunftung nur mit einem unverhätlnismäßigen Aufwand möglich ist und
- durch getroffene TOMs keine weitere Verarbeitung möglich ist.
- Die Ausnahme gilt allerdings nur, wenn alle Voraussetzungen kumulativ sind; d.h. wenn alle zutreffend sind.
- Meist wurde die Argumentation des unverhältnismäßigen Aufwands mit in den Vordergrund gestellt, weil letztendlich nur ein rudimentäres Archivierungs- bzw. Löschkonzept vorliegt. Liegt ein mangelndes Datenschutzmanagement vor, so dass dadurch ein erheblicher Aufwand zur Beauskunftung entsteht, ist die Ausnahme nach § 34 BDSG nicht einschlägig.
- Das BayLDA betont auch nochmals, dass die Kommunikation mit den Betroffenen dennoch zu erfolgen hat, auch wenn die Ausnahme nach § 34 BDSG greift. Die Betroffenen sind über die Begründung der Ablehnung zu informieren. Die Information hat ebenfalls innerhalb eines Monats nach Ar.t 12 Abs. 4 DSGVO zu erfolgen.
Anmerkung der Datenbeschützerin
Aus dem Kapitel geht ganz eindeutig hervor, dass die Begründung „zu hoher Aufwand“ für die Beauskunftung nicht ohne konkrete Begründung herangezogen werden darf. Durch ein ordentliches Datenschutzmanagement, d.h. Prozessbeschreibung der Abläufe und Involvierung der notwendigen Stellen, darf eine Auskunft keinen erhöhten Aufwand darstellen. Stellen Sie also sicher, dass in Ihrem Unternehmen die Prozesse definiert sind und auch eingehalten werden.
5.3 Auskunftsrecht und Löschersuchen nach Webseiten-Besuchen
- Gerade im Onlinebereich stellt insbesondere das Auskunftsrecht die Verantwortlichen und Betroffenen vor einige spezifische Fragen. Oft wurden Anfragen zu Webseitenbesuchen unzutreffend erteilt. Meist wurde angegeben, dass keine Daten verarbeitet wurden oder man anhand des Klarnamens und der Mailadresse keine Auskünfte über Webseitenbesuche erteilten kann.
- Problem dabei ist, dass z.B. IP-Adresse oder Cookie-IDs nicht direkt einem Klarnamen zugeordnet werden können. Die Daten werden auf dem Server des Betreibers gespeichert oder bei eingebundenen Drittanbietern.
- In diesem Fall ist es notwendig, dass der Verantwortliche weitere Identifkationsmerkmale abfragt, um eine Zuordnung vornehmen zu können. Das BayLDA verweist hierzu auch nochmals auf die OH für Telemedienanbieter.
- Die Betroffenen sollten allerdings darauf hingewiesen werden, dasss durch die Zusammenführung der erfragten Informationen und z.B. IP-Adresse ein (neues) personenbezogenes Datum entsteht: IP-Adresse mit Klarnamen.
- Nur wenn nachweisbar keine Identifkation möglich ist, muss der Betroffene hierüber informiert werden.
- Das BayLDA empfiehlt daher folgendes: „Unabhängig davon ist es zumindest empfehlenswert, wenn der Webseitenbetreiber bei Auskunftsersuchen schon in einer ersten Rückmeldung allgemein darüber informiert, welche Datenverarbeitungen bei Besuch der Webseite stattfinden, auch wenn mit dem Auskunftsersuchen selbst noch keine individuelle Zuordnung zu einem konkreten Besuch vorgenommen werden kann.„
- Bei Löschersuchen ist es ausreichend, wenn der Verantwortliche die Daten bei sich löscht bzw. die Löschung entsprechend Art. 17 Abs. 2 DSGVO veranlasst. Der Verantwortliche muss nicht sicherstellen, dass die Daten vom Endgerät des Nutzers gelöscht werden.
Anmerkung der Datenbeschützerin
Auch in dem häufig vorkommenden Praxisfall wird seitens der Behörde ganz klar herausgestellt, dass die Auskunftsanfrage zu beantworten und mit dem Betroffenen transparent über die Vorgehensweise zu kommunizieren ist.
5.4 Exzessvität von Auskunftsersuchen
- Der exzessive Charakter eines Auskunftsantrags kann sich daraus ergeben, dass die betroffene Person die Rücknahme des Antrags gegen Zahlung einer Geldsumme in Aussicht stellt.
- Der Verantwortliche kann sich bei exzessiven Anträgen weigern, tätig zu werden. Die Exzessivität eines Auskunftsersuchens kann sich nicht nur aus der häufigen Wiederholung eines Auskunftsersuchens ohne ersichtlichen Grund ergeben, sondern auch durch andere Umstände begründet werden.
- In derartigen Fällen kann sich die Aufsichtsbehörde ferner weigern, die von der betroffenen Person erhobene Beschwerde zu bearbeiten.
7 Werbung
7.1 Kundenbindungsprogramme – welche Rechtsgrundlage gilt?
- Im Rahmen von Kundenbindungsprogrammen können eine Vielzahl von Verarbeitungstätigkeiten stattfinden wie z.B. Durchführung Kundenbindungsprogramm, Verarbeitung zu Werbezwecken, Auswertung von Datensätzen, Einbindung von Dienstleistern.
- Die Rechtsgrundlage hängt vom enstprechenden Umstand und dem Zweck ab.
- Verarbeitungen, die zur Erfüllung des Kundenbindungsprogramms beitragen wie z.B. Sammeln, Einlösen und Verwalten von Punkten, können nach Art. 6 Abs. 1 lit.b DSGVO (Vertrag) gerechtfertigt sein. Mit der Teilnahme ist es notwendig, dem Betroffenen zu erklären, dass dadurch ein Vertrag geschlossen wird und für die Vertragserfüllung die Datenverarbeitung notwendig ist. Der EuGH hat im Juli 2023 bereits dazu geurteilt, dass der Verantwortliche nachzuweisen hat, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann.
- Hauptgegenstand ist in der Regel das Sammeln, Einlösen und Verwalten von Punkten. Daher sind grundsätzlich nur Verarbeitungen, die zur Erfüllung dieser Tätigkeiten objektiv unerlässlich sind, nach Art. 6 Abs. 1 Uabs. 1 Buchstabe b DS-GVO gerechtfertigt
- Alle weiteren Datenverarbeitungen bedürfen einer anderen Rechtsgrundlage. Meist wird diese auf Art. 6 Abs. 1 lit. a (Einwilligung) oder lit. f (berechtigtes Interesse) DSGVO gestützt.
- Verhinderung von Missbrauch bzw. Betrug kann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, sofern die Verarbeitungen objektiv und nicht derart intensiv sind, dass sie die Rechte und Freiheiten einschränken.
- Bei der Verarbeitung zu Werbezwecken ist ebefalls hinsichtlich des Kommunikationsweges und der Begleitumstände z.B. wie umfassend werden die Datensätze analysiert, zu unterscheiden:
- Die postalische Direktwerbung ist nach Art. 6 Abs. 1 lit. f DSGVO gedeckt.
- Erfolgt eine besonders umfassende Personalisierung, ist nach dem EuGH die Einwilligung des b
- Betroffenen notwendig.
- Bei E-Mail und Telefonwerbung ist der § 7 Abs. 2 und Abs. 3 UWG zu berücksichtigen, wonach meist eine Einwilligung erforderlich ist.
Anmerkung der Datenbeschützerin
Wir haben dem Thema Werbung in einen ausführlichen Blogartikel gewidmet. In diesem erfahren Sie weitere Details zu den oben genannten Möglichkeiten für die Ausspielung von Werbung.
7.2 Wahlwerbung
- „Parteien können Adressdaten aus dem Melderegister zu Zwecken der Wahlwerbung nutzen. Die Verarbeitung von Daten aus anderen Quellen zu diesem Zweck ist kritisch zu prüfen.“
- „Parteien, Wählergruppen und andere Träger von Wahlvorschlägen dürfen nach dem Melderecht die Adressdaten bestimmter Wählergruppen in den sechs der Wahl oder Abstimmung vorangehenden Monaten aus dem Melderegister für Zwecke der Wahlwerbung erhalten, wobei sich die Auskunft regelmäßig auf die Adressdaten einzelner Altersgruppen (Jungwähler/Senioren o ä.), nicht jedoch auf alle Wahlberech-tigte/Betroffene in der jeweiligen Melderegion erstreckt (§ 50 Bundesmeldegesetz – BMG). Die Person oder Stelle, der die Daten übermittelt werden, darf diese nur für die Werbung bei einer Wahl oder Abstimmung verwenden und hat sie spätestens einen Monat nach der Wahl oder Abstimmung zu löschen oder zu vernichten (§ 50 Abs. 1 S. 3 BMG). Wer eine solche Datenübermittlung durch die Meldebehörde für die Zukunft unterbinden möchte, muss direkt gegenüber dem örtlichen Einwohnermeldeamt der Veröffentlichung / Weitergabe an Dritte widersprechen (§ 50 Abs. 4 BMG).„
8 Industrie und Handel, Wohnungswirtschaft
8.2 Online-Formular für die (un)-verbindliche Anfrage bei einem Campingplatz
- Bei Anfrageformularen für eine unverbindliche Verfügbarkeitsanfrage ist zu prüfen, ob und welche personenbezogenen Daten der Person sowie Mitreisenden verarbeitet werden dürfen.
- Bei Prüfungen von Anfrageformularen bei Campingplätzen wurde bei einem Betreiber festgestellt, dass dieser das gleiche Formular für unverbindliche Anfragen sowie Reservierungen verwendete. Es wurden zahlreiche personenbezogene Daten abgefragt, die nicht mit Art. 6 Abs. 1 lit. b DSGVO zu begründen waren. Beispielsweise wurde die postalische Adresse, E-Mail-Adresse und Telefonnummer bei der Verfügbarkeitsanfrage angefordert. In diesem Falle wäre lediglich die Einwilligung als einschlägige Rechtsgrundlage möglich.
- Aber auch für die Reservierung selbst wäre es nicht erforderlich gewesen, zahlreiche Kontaktdaten zu erfragen. Auch die Abfrage des Geburtsdatums aller Reisender war nicht erforderlich. Für die Preisberechnung wäre es ausreichend, lediglich das Alter der Mitreisenden zum Zeitpunkt des Aufenthalts zu erfragen.
9 Beschäftigtendatenschutz
9.2 Speicherung von Bewerberdaten nach Absage
- „Bei Bewerbungen auf konkrete Stellen sind die personenbezogenen Bewerberdaten spätestens sechs Monate nach Ablehnung der sich bewerbenden Person zu löschen.„
- In einem Bewerbungsportal konnten sich Bewerber für die angebotenen Stellen im Unternehmen bewerben. Vor der Verarbeitung wurde die Einwilligung zur längeren Speicherdauer von drei Jahren eingeholt. Die Löschung erfolgte auf aktive Anfrage des Bewerbers. Erging eine solche Löschanfrage, wurden die Daten nach 6 Monaten, nachdem die Absage erteilt wurde, gelöscht.
- Problematisch war allerdings, dass ohne die Erteilung der Einwilligung das Portal nicht genutzt werden konnte. Eine wirksame Einwilligung ist gegeben, wenn Freiwilligkeit gewahrt wird. In diesem Fall lag sie nicht vor, da es keine freie Wahl bzw. Alternative gab. Zudem musste der Bewerber eigens aktiv werden, wenn er die Löschung der Daten nach 6 Monaten verlangte. Somit lag ein sog. „Opt-out“ vor.
Anmerkung der Datenbeschützerin
Das BayLDA stellt auch nochmals klar, dass die Einwilligung freiwillig zu erteilen ist. Unabhängig von einem Bewerberportal habe ich auch oft in meiner Praxiserfahrung folgende Formulierung gefunden:
„Wir speichern Ihre Daten Bewerberdaten nach Absage der Bewerbung für x Jahre. Falls Sie damit nicht einverstanden sind, können Sie unter folgender Adresse widersprechen.“ Diese Formulierung stellt ebenfalls keine ordnungsgemäße Einwilligung für die längere Speicherdauer dar. Es gilt die Devise: Der Bewerber muss aktiv seine Zustimmung ohne einen Zwang oder Nachteilen erteilen können. „Muss“ der Bewerber dies und das tun, ist die Freiwilligkeit nicht mehr gegeben.
10 Vereine
10.2 Gefälschte Dokumente bei der Zuchtzulassung
- Folgender Sachverhalt wurde exemplarisch im Bericht vorgetragen: Ein Mitglied eines Hundezuchtvereins beschwerte sich darüber, dass es eine E-Mail erhalten habe, die in Kopie weiteren Empfängern, die nicht zum Vorstand des Vereins gehörten, gesendet wurde. Mit der in Rede stehenden E-Mail entzog der Hauptzuchtwart dem Mitglied mit sofortiger Wirkung eine zuvor erteilte Zuchtzulassung. Begründet wurde dies damit, dass im Rahmen der Zuchtprüfung gefälschte Dokumente vorgelegt wurden, um einen zuchtausschließenden Fehler zu vertuschen.
- Hintergrund war, dass dem Hund Zähne fehlten, was zu einem Ausschluss zur Zucht führte. Die Besitzerin reichte entsprechende Nachweise über die Notwendigkeit der Zahnentfernung ein. Dabei handelte es sich allerdings um Fälschungen. Aufgrund des Täuschungsversuchs wurde die Zuchtzulassung mit sofortiger Wirkung entzogen. In der Mail waren der Zuchtrichter, die restlichen Vorstandsmitglieder sowie alle einzubeziehenden Personen der Zuchtkommission.
- Ergebnis des BayLDA: Es konnte kein Datenschutzverstoß feststellt werden, da die Datenverarbeitung gem. Art. 6 Abs. 1 Buchstabe b DS-GVO zulässig gewesen ist.
11 Videoüberwachung
11.2 Verkehrssicherheit durch Videoüberwachung und Datenanalyse
- Ein Unternehmen stellte ein Beratungsanfrage bei der Behörde mit folgendem Sachverhalt: Um die Verkehrssicherheit gewährleisten zu können, wollte das Unternehmen in den Fahrzeugen des Subunternehmers Kameras anbringen. Diese sollten den Innen- als auch Außenbereich filmen. Die Videoaufnahmen und Telematikdaten sollten dann mittels Software ausgewertet werden, um unsichere Fahrweisen erkennen zu können.
- Ziel war die Berechnung eines Fahrerscores. Anhand dessen können die Fahrer in Kategorien (gut / mittel / schlecht) eingeordnet werden. Die Fahrer mit „gut“ und „mittel“ erhalten dann eine Schulung zum Selbststudium, während schlechte Fahrer an den jeweiligen Arbeitgeber gemeldet werden sollten.
- Des Weiteren sollten die Daten auch für andere Zwecke genutzt werden. Zusätzlich war auch noch eine Notfall-Funktion sowie Dashcam-Funktion geplant.
- Die Behörde konnte die Vorassetzungen für die datenschutzkonforme Verarbeitung der personenbezogenen Daten von Passanten, Verkehrsteilnehmern und Fahrern nicht erkennen. Zudem wurden auch die Voraussetzungen eines Dashcam-Einsatzes nicht eingehalten. Insbesondere konnte das berechtigte Interesse des Unternehmens nicht dargelegt werden. Weiterhin sah die Behörde ein Risiko für die Betroffenen, die durch die stetige Erfassung einem Überwachungs- und Leistungsdruck augesetzt würden.
- Deshalb teilte die Behörde mit, den Einsatz zu untersagen, wenn dies zum Einsatz kommt.
13 Rechtsanwälte
13.1 E-Mail-Kommunikation von Rechtsanwälten
- Es kamen mehrere Beschwerden bei der Behörde an, in welchem die unverschlüsselte E-Mail-Kommunikation und ohne die Eiwilligung angezeigt wurde.
- Nach Auffassung des BayLDA wird per se keine Einwilligung und Inhaltsverschlüsselung benötigt.
- Eine Terminbestätigung kann auch ohne Inhaltsverschlüsselung versandt werden. Widerspricht der Mandant der E-Mail-Kommunikation, so hat der Rechtsanwalt den Umstand zu prüfen und eine Interessensabwägung durchzuführen. Die Kommunikation per E-Mail ist insbesondere zulässig, wenn keine alternativen Kontaktmöglichkeiten bestehen.
- Dennoch haben Rechtsanwälte geeignete TOMs zu treffen und im Einzelfall angemessene Schutzniveaus zu veranlassen. Eine Inhaltsverschlüsselung kann eine dieser Maßnahmen sein.
- Die Transportverschlüsselung sieht die Behörde allerdings als zwingend notwendig an.
14 Datenschutz im Internet
14.1 App-Prüfung durch das BayLDA
- Das BayLDA prüfte in Q4 2023 verschiedene Apps aus verschiedenen Themen wie z.B. Parken, Kundenbindung, Supermärkte etc.
- Fokus der Prüfung lag vor allem auf den Vorgängen bei der erstmaligen Öffnung der App. Des Öfteren werden bereits einwilligungsbedürftige Vorgänge wie z.B. Auslesen von IDs nach der Installation vorgenommen, ohne dass der Nutzer dieser Verarbeitung einwilligt.
- Einige App-Betreiber verzichten sogar ganz auf den Einwilligungsbanner. Begründung hierfür war, dass in den Geräteeinstellungen das App-Tracking unterbunden werden konnte. Dies ist vor allem bei IOS-Geräten der Fall. Bei Apple gibt es die Zusatzfunktion „App Tracking Transparency“, welcher der Nutzer zustimmen oder ablehnen kann. Wichtig dabei zu beachten ist, dass es sich hierbei um keine datenschutzrechtliche Abfrage handelt.
- Bei der Prüfung stellte sich heraus, dass Analysedienste wie Google Analytics oder Facebook Pixel direkt beim Starten der App aktiviert wurden, ohne die notwendige Einwilligung.
- Die App-Betreiber erhielten seitens der Behörde einen Fragebogen, welcher voraussichtlich im Q2 2024 ausgewertet wird.
14.3 Unternehmensverzichnis der Company Spotter BV
- Beim BayLDA kamen zahlreiche Beratungsanfragen zu Company Spotter an. Auf der Plattform werden Unternehmensdaten und -informationen bereitgestellt. Zweck ist die erleichterte Kontaktaufnahme zwischen Unternehmen. Die veröffentlichten Daten stammen von den Unternehmenswebseiten selbst.
- Der Plattformbetreiber versandte ein Schreiben an die Unternehmen mit der Information, dass sie nun in der Suchmaschine aufgenommen wurden. Die Unternehmen rügten, dass keine Einwilligung vorlag und gingen daher von einem Datenschutzvorfall aus.
- Grundsätzlich ist die Aufsichtsbehörde in den Niederlanden zuständig, da sich das Unternehmen dort befindet. Dennoch hat das BayLDA eine Abwägung hinsichtlich des Anwendungsbereichs und der Rechtsgrundlage nach der DSGVO im Bericht durchgeführt. Auf diese wird hier nicht explizit eingegangen.
- Im Ergebnis kommt das BayLDA dazu, dass kein offensichtlicher Verstoß gegen die DSGVO vorliegt, da lediglich nur Unternehmensdaten verarbeitet werden und keine Daten von natürlichen Personen und im Rahmen der Interessensabwägung die Interessen der Beteiligten nicht überwiegen.
15 Internationaler Datenverkehr
15.2 Data Privacy Framework – ist jetzt alles gut?
- Seit Juli 2023 ist der Angemessenheitsbeschluss für das Data Privacy Framework (DPF) in Kraft getreten. Der Angemessenheitsbeschluss gilt zwar nicht allgemein für die USA, jedoch für Unternehmen, die die Einhaltung und die Datenschutzgrundsätze einhalten und nachweisen.
- Das BayLDA teilt (zu meiner Freude mit), dass durch den Angemessenheitsbeschluss eine Rechtssicherheit herrscht und aufgrund dessen wieder personenbezogene Daten in die USA übermittelt werden dürfen, ohne weitere Garantien nach Art. 46 DSGVO.
- Bei Prüfungen von US-Dienslteistern geht die Behörde wie folgt vor:
- Prüfung, ob das US-Unternehmen nach dem DPF zertifziert ist und ob diese die Kategorien HR / Non-HR abdeckt. Die Liste der zertifzierten Unternhemen kann hier eingesehen werden: Data Privacy Framework.
- Liegt keine Zertifizierung vor, so ist eine anderweitige Garantie nach Art. 46 DSGVO wie etwa die SCC zu treffen.
- Unterliegt das Unternehmen dem DPF, ist auch das sog. Transfer Impact Assessment (TIA) nicht durchzuführen. Allerdings rät die Behörde dazu, sich mit dem Szenario auseinanderzusetzen, wenn der Angemessenheitsbeschluss durch ein Urteil des EuGH für ungültig erklärt wird.
15.3 Verhältnis zwischen DPF und SCC
- Es wurden Beratungsanfagen hinsichtlich der Verwendung der SCC und des DPF aufgegriffen. Aufgrund der rechtlichen Unsicherheit der letzten Jahre wurde angefragt, ob zusätzlich die SCC zu schließen sind.
- Nach Auffassung des BayLDA verdrängt der Angemessenheitsbeschluss die weiteren Garantien nach Art. 46 DSGVO und somit auch die SCC.
- Aufgrund der oben geschilderten Besorgnis, dass das DPF „von heute auf morgen“ für ungültig erklärt wird, hält das BayLDA folgende Konstellation für möglich:
- „So spricht aus unserer Sicht nichts dagegen, parallel zu einer auf den EU-U.S. DPF gestützten Übermittlung vorsorglich Standarddatenschutzklauseln abzuschließen, wobei die Klauseln als Übermittlungsinstrument allerdings lediglich unter der Bedingung wirksam sein sollen, dass der Angemessenheitsbeschluss aufgehoben wird. Da es sich hierbei um eine reine Rechtsbedingung handelt, ist ein solch bedingter Abschluss der Standardvertragsklauseln rechtlich möglich.„
15.4 TIA bei der Übermittlung der Daten auf den SCC
- Werden die Daten auf Basis der SCC übermittelet, so hat der Verantwortliche das TIA durchzuführen.
- „Ein kompletter Verzicht auf die Durchführung eines TIA wäre jedoch auch bei Übermittlungen in die USA nicht möglich. Datenexporteure sollten daher die von ihnen angestellten Überlegungen einschließlich der Bezugnahme auf die Feststellungen der Europäischen Kommission dokumentieren.“
Anmerkung der Datenbeschützerin
In diesem Kapitel lässt sich sehr deutlich herauslesen, dass Verantwortliche, welche einen US-Dienstleister einsetzen, dennoch etwas vorsichtig und zögerlich gegenüber dem DPF waren und auch zahlreiche Fragen einhergingen.
Es freut mich daher umso mehr, dass das BayLDA praxisnah die Sachverhalte aufgegriffen hat und auch wortwörtlich „die Kirche im Dorf lässt“ (insbesondere der Abschluss der SCC obwohl ein DPF vorliegt).
18 Bußgeldverfahren
- Im Jahr 2023 wurden die höchste Zahl an Bußgeldern verhängt. Insgesamt wurden im Berichtszeitraum Bußgelder gegen Unternehmen und Privatpersonen in Höhe von 3,9 Millionen Euro erlassen. Nachstehend finden sich einige Fälle:
- Videoüberwachung durch Wildkamera: an einem FKK-Badestrand wurde eine versteckte Wildkamera angebracht. Diese zeichnete auch Tonnaufnahmen auf.
- Offenlegung von Gesndheitsdaten im Internet: Ein Arzt reagierte auf eine Bewertung im Internet mit der Offenlegung von Gesundheitsdaten des Patienten.
- Anbringung eines AirTag an einem Fahrzeug: Erstmalige Bußgeldverhängung wegen des Ortungssystems an einem Fahrzeug.
Quelle
13. Tätigkeitsbericht des BayLDA: Tätigkeitsberichte (bayern.de)