Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
05. Oktober 2020

Datenschutz-Aufsicht: Darauf achtet sie besonders

DP+
Datenschutz-Aufsicht: Darauf achtet sie besonders
Bild: iStock.com / PeopleImages
0,00 (0)
Aktuelle Tätigkeitsberichte
Die Tätigkeitsberichte der Aufsichtsbehörden sind für DSB und Unternehmen eine wichtige Informationsquelle und Arbeitshilfe. Sie enthalten oft spannende datenschutzrechtliche Fragen und Antworten aus der Praxis.

Maßnahmen zur Videoüberwachung sind der Dauerbrenner in jedem Tätigkeitsbericht, auch heute noch. Um Geldbußen zu vermeiden, ist es sehr wichtig, solche Vorhaben sorgsam zu prüfen.

Der Klassiker Videoüberwachung

Aus Sicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg sind bei der Videoüberwachung die nachfolgenden (Prüf-)Punkte unverzichtbar.

Ort der Überwachung und Kontext

Von großer Bedeutung bei der Bewertung, ob eine Videoüberwachung zulässig ist, sind der konkrete Ort Überwachung und der Kontext der Datenverarbeitung. So beanstandete der LfDI die überwiegende Mehrzahl von Überwachungen in Fitnessstudios.

Einen Großteil der Trainingsfläche permanent zu überwachen, ist grundsätzlich nicht erforderlich und damit unzulässig. Das gilt unabhängig davon, ob ein erhöhter Personaleinsatz notwendig werden würde, wenn der Betreiber auf die Videokameras verzichtet.

Gegenüber dem LfDI begründeten die Studiobetreiber die Videoüberwachung häufig damit, dass sie nur dem Schutz der Mitglieder dient. Der LfDI betont dagegen ausdrücklich, dass die Verkehrssicherungspflicht des Betreibers nicht so weit geht, die Kunden vor jedweder Unannehmlichkeit und jedem Unglück zu schützen.

Als generell unzulässig bewertet der LfDI Überwachungskameras in Umkleide- oder Sanitärbereichen (Duschen, Toiletten etc.). Denn die Überwachung greift in einer Art und Weise in die Intimsphäre der Betroffenen ein, die sich grundsätzlich nicht rechtfertigen lässt.

Zweck und berechtigte Interessen dokumentieren – ohne geht es nicht!

Ein zentraler Aspekt ist nach Ansicht des LfDI, das Überwachungsinteresse zu dokumentieren. Geht es z.B. darum, Beschäftigte zu überwachen, gilt es, tatsächliche Anhaltspunkte für einen konkreten Verdacht zu dokumentieren. Ein abstrakter oder vager Verdacht reicht nicht.

In nahezu allen Fällen, in denen der LfDI Betriebe überprüft hat, konnten die Verantwortlichen ihre „berechtigten“ Interessen gegenüber der Datenschutzaufsichtsbehörde nicht ausreichend begründen und darlegen.

Zwar kommt als berechtigtes Interesse z.B. der Schutz vor Einbrüchen, Diebstahl, Vandalismus oder Übergriffen in Betracht. Jedoch ist das Überwachungsinteresse nur berechtigt, wenn es rechtmäßig, hinreichend klar formuliert und nicht rein spekulativ ist (vgl. Stellungnahme 06/2014 Art.-29-Datenschutzgruppe, WP 217, S. 32).

Es muss folglich eine objektiv begründbare Gefährdungslage bestehen, die über das allgemeine Lebensrisiko hinausgeht. Sie muss auf Fakten und Erkenntnissen beruhen. Subjektive Befürchtungen reichen nicht aus.

Was aber, wenn bei mir noch keine solchen Vorfälle stattgefunden haben, aber bei einem anderen, etwa beim Nachbarunternehmen? Das Interesse lässt sich auch durch eine Gefahren­lage begründen, die in der unmittelbaren Nachbarschaft (z.B. gleiche Straße, nicht Stadtteil) herrscht.

Hierbei kommt es im Wesentlichen auf die folgende Frage und ihre ausführliche Beantwortung an: Weisen die Vorfälle eine zeitliche, sachliche und örtliche Verbindung zum eigenen Überwachungsinteresse auf?

ACHTUNG: Nur wenn tatsächlich ein berechtigtes Interesse vorliegt und ein Verantwortlicher es nachweisbar durch Fakten begründet, kann die Videoüberwachung zulässig sein.

Lediglich in ausgewählten Fällen reicht eine rein abstrakte, aber hohe Gefährdungslage aus. Das gilt z.B. in Situationen, die nach allgemeiner Lebenserfahrung typischerweise gefährlich sind, wie in Juweliergeschäften. Oder bei Einrichtungen, die im Hinblick auf Vermögens- und Eigentumsdelikte besonders gefährdet sind, wie Tankstellen.

Hier müssen die Betreiber nicht erst konkrete Vorfälle nachweisen, um das berechtigte Interesse zu bejahen.

Gewinnspielkarten: Das ist wichtig

Der Landesbeauftragte aus Baden-Württemberg weist in seinem Tätigkeitsbericht auch auf datenschutzrechtliche Fallstricke beim Einsatz von Gewinnspiel(post)karten hin.

Ausgestaltung der Einwilligungserklärung

Für die Einwilligung in Werbung ist ein Kästchen zusätzlich zur Einwilligung in die Gewinnspielteilnahme einzufügen. Demnach müssen Verantwortliche also zwei Einwilligungen einholen.

Die Einwilligung sollte sich zudem je nach Werbebereich und Kontaktweg (Telefon, E-Mail, Post) unterscheiden und räumlich getrennt dargestellt sein, etwa durch verschiedene Kästchen zum Ankreuzen.

Der LfDI betont, dass dies nach dem Urteil des Bundesgerichtshofs zum Trennungsgebot (1.2.2018 – Az. III ZR 196/17, https://ogy.de/bgh-einwilligung) zwar nicht mehr verpflichtend ist, Verantwortliche diese Praxis jedoch zugunsten der Entscheidungsfreiheit der Betroffenen beibehalten sollten.

Plant ein Verantwortlicher, die personenbezogenen Daten weiterzugeben, etwa an Sponsoring- oder Kooperationspartner, muss er laut LfDI den Namen und die Adresse der Empfänger verpflichtend eindeutig nennen, da er sonst die Widerrufsmöglichkeit des Betroffenen unzulässig einschränkt. Pauschaleinwilligungen, die zudem nicht informiert erfolgen, sind unzulässig.

Transparenz

Damit eine Datenerhebung tatsächlich als transparent gilt, muss der Verantwortliche die Informationen auf der Gewinnspielkarte zwingend angemessen grafisch gestalten (Art. 13 / 14 DSGVO). Dazu gehört eine Schriftgröße von mindestens 10 Punkt, eine schwarze und deutliche, keine halb-transparente Schrift.

Es ist nicht erforderlich, alle Informationen gemäß Art. 13 / 14 DSGVO auf der Karte selbst abzudrucken. Ein Medienbruch und ein Verweis auf eine ausführlichere Datenschutz-Information zum Gewinnspiel z.B. auf der Webseite sind zulässig.

Sicherheit der Datenübermittlung

Hinsichtlich der Sicherheit empfiehlt der LfDI, dass der Verantwortliche der Gewinnspielkarte einen Briefumschlag – am besten einen Rücksendeumschlag – beilegt. So kann der Betroffene seine Daten „geschützt“ verschicken. Alternativ genügt der Hinweis, dass die Teilnehmer die Karte nicht als Postkarte zurücksenden sollten.

Betroffenenrechte in der Praxis

Wie das Bußgeld der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegenüber dem Lieferdienst Delivery Hero deutlich macht, sind gut strukturierte Prozesse, um die Betroffenenrechte umzusetzen, wichtig für Unternehmen.

Delivery Hero reagierte u.a. nicht auf Auskunfts- und Löschersuchen und sandte trotz Widerspruchs weiter Werbung an die betroffenen Personen.

Je größer und komplexer das Unternehmen bzw. die dahinterstehende Datenverarbeitung ist, desto umfassender müssen solche Prozesse sein, um die Betroffenenrechte zu gewährleisten.

Empfehlenswert ist, für jedes Betroffenenrecht einen eigenständigen Prozess zu gestalten. Nur so lassen sich die Besonderheiten des einzelnen Rechts abbilden. So müssen Verantwortliche z.B. bei einem Löschersuchen mehr Datenquellen in den Prozess einbeziehen als bei einem (Werbe-)Widerspruch.

Bei der Prozessgestaltung müssen Unternehmen und auch öffentliche Einrichtungen wie Behörden folgende (Grob-)Punkte besonders beachten:

  • alle betroffenen Datenarten und Speicherorte festlegen
  • Wechselwirkungen zwischen Datenbanken beachten (z.B. Datenspiegelung, Rückfluss) und ungeregelte Datenexporte in Listen/Excel-Tabellen verbieten
  • konkretes Vorgehen festlegen, z.B. einzubindende Personen, die die Eingabe bearbeiten
  • Vorgehen bei mehreren gleichzeitigen Eingaben einer Person strukturieren und koordinieren (z.B. Person macht Auskunft, Widerspruch und Löschung gleichzeitig geltend)
  • Eskalationsprozesse definieren: In welchen Fällen geht der Sachverhalt an den DSB oder die Rechtsabteilung?
  • Einzelne Schritte durch nachvollziehbares Incident-Management dokumentieren
  • Endkontrolle definieren, bevor die betroffene Person eine Antwort erhält

PRAXISTIPP: Für die Mitarbeiter etwa im Frontoffice, die mit Eingaben von Betroffenen regelmäßig als erstes konfrontiert sind, empfiehlt sich – je nach Häufigkeit der Anfragen –, einen Leitfaden oder ein Handbuch mit Handlungsempfehlungen zu den einzelnen Betroffenenprozessen zu erstellen. So können die Beschäftigten jederzeit nachlesen, was zu tun ist.

Vorsicht, wenn Dienstleister die Betroffeneneingaben übernehmen

Wie ein Fall der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg zeigt, möchten sich manche Unternehmen der oft aufwendigen Bearbeitung von Betroffeneneingaben dadurch entledigen, dass sie externe Dienstleister einbinden.

Hierbei ist jedoch Vorsicht geboten, wie eine Geldbuße in Höhe von 50.000 € gegen einen Verantwortlichen zeigt. Das Haftungsrisiko steigt für denjenigen, der die nachfolgenden Punkte nicht beachtet:

  • Rechtsverhältnis mit dem Dienstleister prüfen, Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) abschließen. Hat der Dienstleister einen größeren Entscheidungsspielraum, kommt auch eine gemeinsame Verantwortung gemäß Art. 26 DSGVO in Betracht.
  • Ein AVV sollte dem Dienstleister enge Grenzen ziehen und dessen eigenständigen Entscheidungsspielraum stark begrenzen.
  • Erhält der Dienstleister Zugriff auf die eigenen Systeme, um die Auskunftsersuchen zu bearbeiten, müssen beide Seiten entsprechende technisch-organisatorische Maßnahmen zur Absicherung treffen.
  • Der Dienstleister darf die Auskunft nicht in eigenem Namen erteilen. Es muss aus Gründen der Transparenz klar ersichtlich sein, wer der Verantwortliche ist, etwa indem der Dienstleister verpflichtend das Logo des Verantwortlichen verwendet. Das war beim vorliegenden Sachverhalt aus Brandenburg nicht der Fall. Gleiches gilt, wenn eigenständige Tochter-/Schwestergesellschaften die Auskunft für die Muttergesellschaft (und umgekehrt) vornehmen.
  • Auf Verständlichkeit der Auskunft (Art. 12 DSGVO) achten. Ein deutsches Unternehmen, das sich mit seinem Angebot an den deutschsprachigen Markt richtet, darf die Auskunft z.B. nicht in Englisch (wie vorliegend) erteilen.
  • Der Verantwortliche muss die betroffene Person zum Zeitpunkt der Datenerhebung über die Empfänger ihrer Daten informieren, folglich über den Dienstleister (Art. 13 Abs. 1 Buchst. e DSGVO).

Datenschutz-Anforderungen an mobiles Arbeiten

Laut dem Landesbeauftragten für Datenschutz (LfD) Sachsen-Anhalt ist die Verschlüsselung von Endgeräten und Speichermedien ein zentraler Punkt, um beim mobilen Arbeiten die Datensicherheit zu gewährleisten. Er empfiehlt die folgenden Vorkehrungen:

  • Smartphones und Tablets mit Betriebssystem Android: gesamten Datenspeicher ab Version 5 (Lollipop) durch das Betriebssystem verschlüsseln lassen (Sicherheitseinstellung)
  • Smartphones und Tablets mit Betriebssystems iOS: Geräteverschlüsselung ab Version 7 möglich, Einrichtung einer Code-Sperre erforderlich. Vorsicht: Die bloße SIM-Sperre bietet keinen Schutz vor unbefugtem Zugriff auf den Speicher und die Daten. Sie verhindert nur, dass Unbefugte die SIM-Karte für Telefonate nutzen können.
  • Laptops: Betriebssystem Windows: integrierten Bitlocker verwenden; Betriebssystem Mac: integrierten FileVault verwenden; alternativ VeraCrypt einsetzen
  • externe Festplatten und USB-Sticks: BitLocker oder VeraCrypt empfohlen, Verschlüsselung des gesamten Mediums oder eines Containers möglich

Der Landesbeauftragte geht in seinem Tätigkeitsbericht nur ausführlich auf den Schutz der Speichermedien und Festplatten beim mobilen Arbeiten ein, ohne weitere wichtige Schutzmaßnahmen anzusprechen. Dazu zählen u.a.:

  • bei Homeoffice tatsächliche Gegebenheiten vor Ort unter dem Gesichtspunkt der Datensicherheit dokumentieren
  • Mindestmaßnahmen zum Schutz der Daten festlegen. Dabei unterscheiden zwischen Home- und Mobile-Office:
    • Verpflichtung, im Homeoffice einen abschließbaren Raum zu nutzen
    • Computer sperren, z.B. bei kurzzeitigem Verlassen des Platzes
    • abschließbare Schränke zur Datenaufbewahrung
    • abseits davon: Kontroll- und Zutrittsrechte zur Wohnung regeln!
    • mobilen Arbeitsplatz nicht verlassen oder nur unter Aufsicht eines weiteren Mitarbeiters des Verantwortlichen, etwa im Zug
    • Blickschutzfolie für mobile Endgeräte verwenden
    • unter Einbeziehung des DSB Datenverarbeitung definieren, die ein Beschäftigter im Mobile-Office durchführen darf
  • Regelungen zu verpflichtenden Schulungsmaßnahmen, bevor ein Beschäftigter seine Tätigkeit aufnimmt
  • Regelungen zur Mitnahme von Daten (analog/digital) und zu Zugriffsrechten je nach Tätigkeits- und Aufgabenbereich
  • Regelungen zur Nutzung privater Endgeräte (BYOD, idealerweise stellt der Verantwortliche die Endgeräte zur Verfügung) und zur Privatnutzung betrieblicher Endgeräte

Datenpannen-Management auf dem Prüfstand

Ein durchdachtes Datenpannen-Management ist ein bedeutender Baustein für eine gute Datenschutz-Compliance – unabhängig von der Größe eines Unternehmens oder einer Behörde.

Das merkt man nicht nur an der steigenden Zahl der gemeldeten Datenpannen, sondern auch an den Bußgeldern, die Datenschutzaufsichtsbehörden in diesem Zusammenhang verhängen. Das zeigt beispielsweise ein Fall aus Hamburg.

Zu einem gut organisierten Datenpannen-Management gehört nach dem Hamburger Tätigkeitsbericht ein Kommunikationsplan, der zentrale Ansprechpartner nennt und den alle Mitarbeiter kennen.

Außerdem sollte zusätzliches Personal, quasi als Backup, vorhanden sein, um die 72-Stunden-Frist nicht zu überschreiten. Aus diesem Grund empfiehlt sich auch für nicht-öffentlichen Stellen, einen Stellvertreter für den internen Datenschutzbeauftragten zu bestimmen.

Im konkreten Fall begründete der Verantwortliche die deutlich verspätete Meldung der Datenpanne nämlich damit, dass zum Zeitpunkt der Kenntnisnahme kein Zugriff auf das Personal, das für eine Einschätzung der Lage nötig gewesen wäre, möglich war. Dieses Argument ließ der HmbBfDI nicht gelten.

Der Landesbeauftragte empfiehlt, sich nicht nur auf das Telefon zu verlassen, sondern mehrere Kontaktwege wie die Online-Meldung oder E-Mail zu nutzen, um der Aufsichtsbehörde eine Datenpanne zu melden. Zugleich muss der Verantwortliche angemessene Maßnahmen ergreifen, um die Datenpanne abzustellen und die möglichen Folgen wie z.B. Identitätsdiebstahl abzumildern.

ACHTUNG: Es reicht nicht, die Datenpanne an sich abzustellen. Vielmehr kommt es darauf an, Maßnahmen zu treffen, die dann zukünftig z.B. einen Missbrauch bereits erbeuteter Daten verhindern. Die Maßnahmen müssen dem Verantwortlichen aber auch möglich sein. Das ist nicht immer der Fall, etwa wenn der Verantwortliche keine Kontrolle über die Accounts der Kunden und ihre Nutzung hat.

Der HmbBfDI betont ausdrücklich, dass die Ausnahme von der Meldepflicht gegenüber den betroffenen Personen in Art. 34 Abs. 3 Buchst. a DSGVO nur greift, wenn der Verantwortliche diese Sicherheitsvorkehrungen bereits implemetiert hatte, bevor die Sicherheitslücke aufgetreten ist.

Die Vorgehensweise im konkreten Einzelfall zu dokumentieren, einschließlich Datum und Uhrzeit der Datenpanne, Datum der Kenntniserlangung usw., ermöglicht häufig eine tragfähige(re) Begründung für etwaige verspätete Meldungen.

Der Datenpannenprozess muss sowohl Erst- als auch Folgemeldungen abbilden. Eine Erstmeldung muss grundsätzlich innerhalb der 72-Stunden-Frist erfolgen. Nach weiteren Ermittlungen und Erkenntnissen (z.B. Anzahl betroffener Personen) sind Folgemeldungen an die Aufsichtsbehörde nötig.

Der HmbBfDI weist personenbezogenen Daten, die entweder die betroffene Person selbst preisgibt oder die über eine einfache Melderegisterauskunft erhältlich sind – das sind sogenannte Stamm-/Grunddaten zu einer Person –, grundsätzlich einen geringeren Schutzbedarf zu. Diese Annahme kann für die Prognose des Risikos von Bedeutung sein.

Verwendete Tätigkeitsberichte:

Fazit: Lohnende Fundgrube

Es lohnt sich, die Tätigkeitsberichte der Aufsichten zu studieren und daraus Handlungsempfehlungen für die Praxis sowie Verbesserungen für die eigenen Prozesse abzuleiten.

Allerdings enthalten die Tätigkeitsberichte häufig nicht alle erforderlichen Schlüsse und manchmal keine konkreten Handlungsempfehlungen. Diese zu entwickeln, ist auch Aufgabe des DSB.

Dr. Kevin Marschall
+

Weiterlesen mit DP+

Sie haben noch kein Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Kevin Marschall
Dr. Kevin Marschall

Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.

Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.