Die Daten­schutz­kon­fe­renz (DSK), das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der, ver­öf­fent­licht Infor­ma­tio­nen für Arbeit­ge­ber und Dienst­her­ren zum Umgang mit dem Daten­schutz im Zusam­men­hang mit der Coro­na-Pan­de­mie. Die Daten­schüt­zer stel­len klar, dass der Schutz per­so­nen­be­zo­ge­ner Daten und Maß­nah­men zur Bekämp­fung der Infek­ti­on sich nicht ent­ge­gen­ste­hen.

Dazu sag­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Pro­fes­sor Ulrich Kel­ber: „Uns haben Fra­gen erreicht, wie der Daten­schutz in die­ser beson­de­ren Situa­ti­on rechts­si­cher umge­setzt wer­den kann. Ich bin froh, dass die Daten­schutz­auf­sichts­be­hör­den jetzt eine gemein­sa­me Emp­feh­lung hier­zu aus­spre­chen kön­nen. Infor­ma­tio­nen zu unse­rer Gesund­heit sind sehr sen­si­ble Daten. Wer sol­che Daten erhebt oder ver­ar­bei­tet, muss sich der beson­de­ren Ver­ant­wor­tung bewusst sein. So lan­ge die Maß­nah­men der Arbeit­ge­ber und Dienst­her­ren ver­hält­nis­mä­ßig sind, steht der Daten­schutz der Infek­ti­ons­be­kämp­fung nicht im Weg. Denn die Gesund­heit der Bür­ge­rin­nen und Bür­ger steht jetzt im Mit­tel­punkt.“

Für ver­schie­de­ne Maß­nah­men zur Ein­däm­mung der Coro­na-Pan­de­mie oder zum Schutz von Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern kön­nen daten­schutz­kon­form Daten erho­ben und ver­wen­det wer­den. Es kön­nen bei­spiels­wei­se per­so­nen­be­zo­ge­ne Daten von Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern erho­ben wer­den, um eine Aus­brei­tung des Virus in der Mit­ar­bei­ter­schaft best­mög­lich zu ver­hin­dern. Auch die Erhe­bung von per­so­nen­be­zo­ge­nen Daten von Gästen und Besu­chern ist mög­lich. Die aus­führ­li­chen Hin­wei­se zum Umgang mit dem Daten­schutz wäh­rend der Coro­na-Pan­de­mie fin­den Sie auf der Inter­net­sei­te des BfDI (https://​www​.bfdi​.bund​.de/​D​E​/​D​a​t​e​n​s​c​h​u​t​z​/​T​h​e​m​e​n​/​G​e​s​u​n​d​h​e​i​t​_​S​o​z​i​a​l​e​s​/​G​e​s​u​n​d​h​e​i​t​S​o​z​i​a​l​e​s​A​r​t​i​k​e​l​/​D​a​t​e​n​s​c​h​u​t​z​-​i​n​-​C​o​r​o​n​a​-​P​a​n​d​e​m​i​e​.​h​t​m​l​?​n​n​=​5​2​1​6​976).

Pres­se­mit­tei­lung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit

Der Euro­päi­sche Daten­schutz­aus­schuss hat in sei­ner gest­ri­gen Sit­zung in Brüs­sel mit gro­ßer Mehr­heit eine Leit­li­nie zum daten­schutz­kon­for­men Ein­satz von Video­über­wa­chung beschlos­sen. Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit, Maja Smolt­c­zyk, die die Ent­ste­hung der Leit­li­nie als Haupt­be­richt­erstat­te­rin betreut hat, begrüßt das Ergeb­nis.

Die seit Mai 2018 wirk­sa­me Daten­schutz-Grund­ver­ord­nung (DS-GVO) ent­hält kei­ne spe­zi­el­len Regeln zur Video­über­wa­chung. Des­we­gen müs­sen die daten­schutz­recht­li­chen Anfor­de­run­gen an den Ein­satz von Video­über­wa­chung aus den all­ge­mei­nen Rege­lun­gen des Geset­zes­werks abge­lei­tet wer­den. Dies for­dert nicht nur die Unter­neh­men, die Video­tech­nik rechts­kon­form ein­set­zen möch­ten, her­aus. Auch die euro­päi­schen Auf­sichts­be­hör­den ste­hen vor der Her­aus­for­de­rung, eine euro­pa­weit ein­heit­li­che Hand­ha­bung im Bereich der Video­über­wa­chung zu schaf­fen. Die nun beschlos­se­ne euro­päi­sche Leit­li­nie ist ein wich­ti­ger Bei­trag in die­sem Pro­zess. Dem Beschluss gin­gen inten­si­ve Ver­hand­lun­gen zwi­schen den euro­päi­schen Auf­sichts­be­hör­den im Daten­schutz­aus­schuss vor­aus. Zudem erfolg­te eine groß­an­ge­leg­te Betei­li­gung der Öffent­lich­keit, bei der sich Inter­es­sen­ver­tre­te­rin­nen und ‑ver­tre­ter aus Wirt­schaft, Poli­tik, Zivil­ge­sell­schaft wie auch Pri­vat­per­so­nen ein­brin­gen konn­ten.

Die Leit­li­nie betont den Grund­satz der Ver­hält­nis­mä­ßig­keit. Da jede Video­über­wa­chung mit einem Ein­griff in die Per­sön­lich­keits­rech­te ver­bun­den ist, muss ihr stets ein berech­tig­tes Inter­es­se des Kame­ra­be­trei­bers zugrun­de lie­gen. Die­ses Inter­es­se muss objek­tiv vor­lie­gen, das heißt, bei einer Video­über­wa­chung aus Sicher­heits­grün­den müs­sen stets auch tat­säch­li­che Anhalts­punk­te für eine Gefahr für Leib, Leben oder Sach­gü­ter vor­lie­gen. Die Leit­li­nie stellt klar, dass ein rein sub­jek­ti­ves Sicher­heits­ge­fühl nicht genügt, um eine Video­über­wa­chung zu recht­fer­ti­gen.
Auch mit Blick auf die Ver­ar­bei­tung bio­me­tri­scher Daten bie­tet die Leit­li­nie Klar­heit. Gemäß der DS-GVO ist es pri­va­ten Unter­neh­men ohne aus­drück­li­che Ein­wil­li­gung der Betrof­fe­nen grund­sätz­lich ver­bo­ten, sol­che Daten zum Zwecke der Iden­ti­fi­zie­rung bestimm­ter Per­so­nen zu ver­ar­bei­ten. Die Leit­li­nie kon­kre­ti­siert nun­mehr die stren­gen Anfor­de­run­gen der DS-GVO an die Wirk­sam­keit sol­cher Ein­wil­li­gun­gen. Außer­dem bie­tet sie Hil­fe­stel­lun­gen zu Fra­gen der Trans­pa­renz bei Video­über­wa­chungs­maß­nah­men.

Maja Smolt­c­zyk:
„Die kürz­lich bekannt gewor­de­nen Geschäfts­ge­ba­ren des Dienst­lei­sters Clear­view haben uns die Begehr­lich­kei­ten nach bio­me­tri­schen Daten in der heu­ti­gen Zeit nicht nur von staat­li­cher, son­dern auch von pri­va­ter Sei­te deut­lich vor Augen geführt. Ich hal­te die­se Ent­wick­lung für höchst bedenk­lich. Die Frei­heit, sich in der Öffent­lich­keit auch unbe­ob­ach­tet bewe­gen zu kön­nen, ist ein beson­ders hohes und schüt­zens­wer­tes Gut unse­rer frei­heit­li­chen Gesell­schaft, das wir unbe­dingt bewah­ren müs­sen. Des­halb war es mir ein wich­ti­ges Anlie­gen, dass mei­ne Behör­de die Feder­füh­rung für die Erar­bei­tung der Euro­päi­schen Leit­li­nie zur Video­über­wa­chung über­nimmt, um so auf ein mög­lichst hohes Daten­schutz­ni­veau für Betrof­fe­ne hin­zu­wir­ken und gleich­zei­tig für die Unter­neh­men kla­re und hand­hab­ba­re Vor­ga­ben zu machen.“

Die Euro­päi­sche Leit­li­nie zur Video­über­wa­chung wird in Kür­ze ver­öf­fent­licht und auf den Web­auf­trit­ten der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit (www​.daten​schutz​-ber​lin​.de) sowie des Euro­päi­schen Daten­schutz­aus­schus­ses (https://​edpb​.euro​pa​.eu/​e​d​p​b​_de) abruf­bar sein.

Hin­ter­grund
Mit Wirk­sam­wer­den der DS-GVO hat der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) sei­ne Arbeit auf­ge­nom­men. In die­sem Gre­mi­um sind Daten­schutz­auf­sichts­be­hör­den aller euro­päi­scher Mit­glied­staa­ten sowie der Euro­päi­sche Daten­schutz­be­auf­trag­te und die Euro­päi­sche Kom­mis­si­on ver­tre­ten. Eine wich­ti­ge Auf­ga­be besteht dar­in, all­ge­mei­ne Leit­li­ni­en zur Inter­pre­ta­ti­on der DS-GVO her­aus­zu­ge­ben. Damit soll Klar­heit hin­sicht­lich der Begrif­fe in den euro­päi­schen Daten­schutz­ge­set­zen im Sin­ne einer ein­heit­li­chen Aus­le­gung geschaf­fen wer­den. Am 28./29. Janu­ar 2020 tag­te der EDSA zum 17. Mal.

Down­load Euro­päi­sche Leit­li­nie zur Video­über­wa­chung beschlos­sen als PDF

Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 28.01.2020

Der Prä­si­dent des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig, stell­te am heu­ti­gen Euro­päi­schen Daten­schutz­tag den letz­ten Tätig­keits­be­richt in sei­ner Amts­zeit vor.

Prä­si­dent Kra­nig stell­te den 75 Sei­ten umfas­sen­den 9. Tätig­keits­be­richt für das ver­gan­ge­ne Jahr 2019 per­sön­lich vor und wies ins­be­son­de­re dar­auf hin, dass die Bela­stung durch den erheb­li­chen Anstieg von Bür­ger­be­schwer­den und Mel­dun­gen über Daten­schutz­ver­let­zun­gen von Unter­neh­men noch­mals deut­lich ange­stie­gen sei. Damit habe sich die Bear­bei­tungs­zeit lei­der zwangs­läu­fig ver­län­gert. Durch die kürz­lich erfolg­te Per­so­nal­auf­stockung gehe er aber davon aus, dass sich die Situa­ti­on im Lau­fe die­ses Jah­res ver­bes­sern wer­de.

Im nach­fol­gen­den Abschnitt wer­den die wesent­li­chen Inhal­te der Pres­se­ver­an­stal­tung wie­der­ge­ge­ben:

1. Tätig­keits­be­richt nur noch digi­tal
Wir haben wie im letz­ten Jahr dar­auf ver­zich­tet, den Tätig­keits­be­richt als Buch her­aus­zu­ge­ben. Die Reak­tio­nen dar­auf waren zuletzt über­wie­gend posi­tiv aus­ge­fal­len. Durch die Ver­öf­fent­li­chung als digi­ta­les Doku­ment auf der Web­site des BayL­DA kann jeder Inter­es­sier­te kosten­frei nach­le­sen, wel­che The­men für das jewei­li­ge Berichts­jahr beson­de­re Rele­vanz hat­ten.

2. Sta­ti­stik: Beschwer­den, Bera­tun­gen und Mel­dun­gen von Daten­schutz­ver­let­zun­gen

2.1. Beschwer­den und Kon­troll­an­re­gun­gen
Rück­blickend auf das Jahr 2019 waren wir von der Anzahl der Beschwer­den und Kon­troll­an­re­gun­gen über­rascht: Die­se sind in den letz­ten zwölf Mona­ten noch ein­mal enorm ange­stie­gen. Wie schon im letz­ten Bericht aus­ge­führt, gehen wir davon aus, dass ins­be­son­de­re die zahl­rei­chen Ver­an­stal­tun­gen, Pres­se­be­rich­te und Infor­ma­ti­ons­ma­te­ria­li­en dazu geführt haben, dass vie­len Bür­gern bewuss­ter gewor­den ist, dass sie selbst Betrof­fe­nen­rech­te haben und die­se auch gel­tend machen kön­nen.

Die­se Ent­wick­lung mag daher aus Sicht der Gesell­schaft posi­tiv zu bewer­ten sein, weil spür­bar ein gestei­ger­tes Daten­schutz­be­wusst­sein vor­han­den ist. Für uns als Behör­de wur­de es aber dadurch noch schwie­ri­ger, weil wir mit der Bear­bei­tung der zahl­rei­chen Ein­ga­ben nicht mehr in gewohn­ter Wei­se hin­ter­her­ge­kom­men sind und wir somit unse­ren „Schul­den­berg“ bzw. Arbeits­vor­rat unfrei­wil­lig auf­bau­en muss­ten.

2.2. Bera­tung
Im Ver­gleich zum letz­ten Jahr sind die Bera­tungs­an­fra­gen zah­len­mä­ßig stark gesun­ken. Ins­be­son­de­re Ver­ei­ne, klei­ne Hand­werks­be­trie­be u. ä. haben nur noch in rela­tiv weni­gen Fäl­len um Bera­tung gebe­ten. Unse­re gro­ße Infor­ma­ti­ons­wel­le im Jahr 2018 in Ver­bin­dung mit einem gestei­ger­ten Infor­ma­ti­ons­an­ge­bot auf unse­rer Home­page hat wohl dazu geführt, dass gera­de die­se Ver­ant­wort­li­chen aus­rei­chend dar­über infor­miert sind, wie sie mit per­so­nen­be­zo­ge­nen Daten umzu­ge­hen haben.

Bera­tung ist uns nach wie vor sehr wich­tig, da wir damit zur Rechts­si­cher­heit bei­tra­gen kön­nen und zudem erfah­ren, wel­che Fra­ge­stel­lun­gen Ver­ant­wort­li­che in der Pra­xis haben. Im Ergeb­nis hat sich die Bera­tungs­last für uns aber nicht, wie man es allein auf­grund der Zah­len anneh­men könn­te, auf etwa ein Drit­tel redu­ziert. Statt­des­sen ist die Kom­ple­xi­tät und Schwie­rig­keit der Anfra­gen mitt­ler­wei­le deut­lich gestie­gen.

Dadurch hat auch die Bear­bei­tungs­zeit gelit­ten. In vie­len Fäl­len ist es uns nicht gelun­gen, Beschwer­de­füh­rern inner­halb der gesetz­li­chen Frist von drei Mona­ten eine Infor­ma­ti­on über den Sach­stand bzw. Aus­gang des Ver­fah­rens zu ertei­len. In Ein­zel­fäl­len haben Beschwer­de­füh­rer des­halb eine Untä­tig­keits­kla­ge beim Ver­wal­tungs­recht Ans­bach erho­ben.

2.3. Mel­dung von Daten­schutz­ver­let­zun­gen
Wie zuletzt von uns pro­gno­sti­ziert, sind die Mel­dun­gen von Daten­schutz­ver­let­zun­gen noch­mals deut­lich ange­stie­gen. Selbst wenn vie­le der Mel­dun­gen den so genann­ten Fehl­ver­sand betref­fen (z. B. Arzt schickt Arzt­brief an fal­schen Emp­fän­ger), haben sich gra­vie­ren­de Sicher­heits­vor­fäl­le in den ande­ren Berei­chen wie Cybercrime oder Ver­schlüs­se­lungs­tro­ja­ner gehäuft. Hier nahm der Auf­wand der Auf­ar­bei­tung sol­cher Vor­fäl­le, ins­be­son­de­re ange­mes­sen zu reagie­ren und auch zu bera­ten, damit künf­tig wei­te­re Schä­den nicht mehr pas­sie­ren, für uns enorm zu.

Vor dem Hin­ter­grund einer über­re­gio­na­len Bedro­hungs­la­ge aus dem Cyber­raum, die sich auch in den Mel­dun­gen von Daten­schutz­ver­let­zun­gen spie­geln, hat die Baye­ri­sche Staats­re­gie­rung beschlos­sen, zum 1. Janu­ar 2020 die „Cyber­ab­wehr Bay­ern“ ins Leben zu rufen. Dabei han­delt es sich um eine aus­schließ­lich behör­den­in­ter­ne Infor­ma­ti­ons- und Koope­ra­ti­ons­platt­form für alle baye­ri­schen Lan­des­be­hör­den mit Cyber­si­cher­heits­auf­ga­ben. Wir haben uns ent­schie­den, an die­ser Platt­form teil­zu­neh­men, an der das Cyber­Al­li­anz-Zen­trum (CAZ) im Baye­ri­schen Lan­des­amt für Ver­fas­sungs­schutz, die Zen­tra­le Ansprech­stel­le Cybercrime (ZAC) im Baye­ri­schen Lan­des­kri­mi­nal­amt, die Zen­tral­stel­le Cybercrime der Gene­ral­staats­an­walt­schaft Bam­berg (ZCB), das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI) und der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz (LfD) mit­wir­ken.

3. Per­so­nel­le Ent­wick­lung
Im Berichts­zeit­raum haben wir durch den Haus­halts­ge­setz­ge­ber im enge­ren Sin­ne, den Baye­ri­schen Land­tag, im Rah­men des Nach­trags­haus­halts kei­ne neu­en Stel­len erhal­ten. Wir haben aber durch den Baye­ri­schen Staats­mi­ni­ster des Innern, für Inte­gra­ti­on und Sport, im Zuge einer Haus­halts­um­schich­tung nach Art. 6 des Baye­ri­schen Haus­halts­ge­set­zes im März 2019 die Zusa­ge für Haus­halts­mit­tel bekom­men, mit denen wir neun Stel­len in der 2. und 3. Qua­li­fi­ka­ti­ons­ebe­ne nicht nur für das Jahr 2019, son­dern auf Dau­er schaf­fen konn­ten.

Die Per­so­nal­ent­wick­lung der letz­ten Jah­re sieht wie folgt aus:
– Bis 31.12.2016: 16 Plan­stel­len
– Bis 31.12.2017: 20 Plan­stel­len
– Bis 31.12.2018: 24 Plan­stel­len
– Bis 31.12.2019: 33 Plan­stel­len (davon 31 besetzt)

4. Buß­geld­ver­fah­ren
Nach wie vor errei­chen uns vie­le Fäl­le, die den Ein­satz von Dash-Cams, Video­über­wa­chung des öffent­li­chen Raums durch Pri­va­te oder Ver­öf­fent­li­chun­gen per­so­nen­be­zo­ge­ner Daten im Inter­net ohne Ein­wil­li­gung der Betrof­fe­nen – v. a. auf Soci­al-Media Platt­for­men wie Face­book, Insta­gram und Whats­App – betref­fen. Ins­ge­samt haben wir ca. 100 Buß­geld­ver­fah­ren abge­schlos­sen, eines davon mit einem Buß­geld­be­scheid nach der DS-GVO. Dar­über hin­aus befin­den sich der­zeit eini­ge Ver­fah­ren bereits im Sta­di­um der Anhö­rung und wer­den in abseh­ba­rer Zeit in den Erlass eines Buß­geld­be­schei­des mün­den.

Sofern die Rechts­la­ge nicht klar ist, haben wir in aller Regel zunächst im auf­sicht­li­che Ver­fah­ren eine Klä­rung her­bei­ge­führt, bevor ein Buß­geld­ver­fah­ren ein­ge­lei­tet wur­de. Wir wol­len nicht, dass Ver­ant­wort­li­che erst­mals in einem Buß­geld­ver­fah­ren unse­re Rechts­auf­fas­sung zur Kennt­nis neh­men kön­nen. Dies soll­te vor­ab ent­we­der im Rah­men einer Bera­tung oder eines auf­sicht­li­chen Ver­fah­rens erfolgt sein. Aus die­sem Grund und, weil wir noch eine erheb­li­che Anzahl von Ver­fah­ren nach dem alten Recht abwickeln muss­ten, sind die Buß­geld­ver­fah­ren erst in den letz­ten Mona­ten des Jah­res 2019 rich­tig ange­lau­fen.

5. Rele­van­te Ein­zel­the­men
Im Tätig­keits­be­richt sind fer­ner aus den ver­schie­den­sten Lebens­be­rei­chen ein­zel­ne Fäl­le mit unse­rer Ent­schei­dung dar­ge­stellt, wie z. B. Inter­net, Steu­er­be­ra­tung, Ver­si­che­rungs­wirt­schaft, Wer­bung, Han­del und Dienst­lei­stung, Beschäf­tig­ten­da­ten­schutz, Gesund­heit und Sozia­les, Ver­ei­ne, Ver­bän­de, Woh­nungs­wirt­schaft, Video­über­wa­chung usw.

6. Sinn und Zweck des Tätig­keits­be­richts
Die Auf­sichts­be­hör­den sind ver­pflich­tet, in fest­ge­leg­ten Abstän­den einen Bericht über ihre Tätig­keit zu erstel­len. Unser Ansatz dabei ist, zunächst durch eine sta­ti­sti­sche Auf­be­rei­tung Trans­pa­renz in unse­re Arbeit zu brin­gen. Erfah­rungs­ge­mäß wer­den Tätig­keits­be­rich­te über­wie­gend von Daten­schutz­be­auf­trag­ten gele­sen, die sich dar­über ori­en­tie­ren wol­len, wel­che Rechts­auf­fas­sung „ihre“ Auf­sichts­be­hör­de zu bestimm­ten The­men ver­tritt. Wir hof­fen aber auch, dass Bür­ger, die kei­ne Sach­ver­stän­di­gen für Daten­schutz sind, mit unse­rem Tätig­keits­be­richt etwas anfan­gen kön­nen. Wir haben uns des­halb bemüht, die Tex­te so zu for­mu­lie­ren, dass sie all­ge­mein ver­ständ­lich sind, aber durch Anga­be der ent­spre­chen­den Rechts­grund­la­gen auch für Daten­schutz­ex­per­ten als Ori­en­tie­rung die­nen.7. Fund­stel­le des Tätig­keits­be­richts
Der Tätig­keits­be­richt für das Jahr 2019 ist unter fol­gen­dem Link erreich­bar: www​.lda​.bay​ern​.de/​d​e​/​t​a​e​t​i​g​k​e​i​t​s​b​e​r​i​c​h​t​e​.​h​tml

Mini­ste­ri­al­rat Micha­el Will wird neu­er Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA). Der bis­he­ri­ge Lei­ter des Sach­ge­biets Daten­schutz im Baye­ri­schen Staats­mi­ni­ste­ri­um des Innern und für Inte­gra­ti­on folgt damit auf Tho­mas Kra­nig. Tho­mas Kra­nig wur­de im Jahr 2011 zum ersten Prä­si­den­ten des BayL­DA ernannt. Auf Beschluss der Baye­ri­schen Staats­re­gie­rung wur­de Kra­nig am 26. Juli 2016 dann für wei­te­re fünf Jah­re mit der Lei­tung der Baye-rischen Daten­schutz­auf­sicht für den nicht öffent­li­chen Bereich betraut. Die zwei­te Amts­pe­ri­ode begann am 3. August 2016. Nach Art. 18 Abs. 3 des Baye­ri­schen Daten­schutz­ge­setz (BayDSG) gilt die Ernen­nung für fünf Jah­re. Dem­entspre­chend wür­de die Amts­zeit von GDD-Preis­trä­ger Kra­nig noch bis zum Jahr 2021 andau­ern, doch mit 65 Jah­ren darf Herr Kra­nig nun schon in die­sem Jahr in den Ruhestand.Sein Nach­fol­ger, Micha­el Will, ist Mini­ste­ri­al­rat im Baye­ri­schen Staats­mi­ni­ste­ri­um des Innern und für Inte­gra­ti­on und lei­tet das Refe­rat Daten­schutz. Zudem bringt er prak­ti­sche Erfah­rung als Daten­schutz­be­auf­trag­ter mit, da er im Mini­ste­ri­um das Amt des behörd­li­chen Daten­schutz­be­auf­trag­ten aus­übt. Fer­ner ist er Mit­glied der Daten­schutz­kom­mis­si­on des Baye­ri­schen Land­ta­ges. Er hat im Auf­trag des Bun­des­ra­tes in den Jah­ren 2012 bis 2015 die gesam­ten Bera­tun­gen der Rats­ar­beits­grup­pe Daten­schutz und Infor­ma­ti­ons­aus­tausch (DAPIX) zur DS-GVO beglei­tet und nimmt außer­dem die Auf­ga­ben des Län­der­be­ob­ach­ters in der Art. 31-Daten­schutz­grup­pe wahr.Ende Janu­ar erfolgt die Amts­ein­füh­rung durch den baye­ri­schen Innen­mi­ni­ster und jet­zi­gen Vor­ge­setz­ten von Micha­el Will, Joa­chim Herr­mann.

Pres­se­mit­tei­lung vom 18.12.2019

Weih­nachts­post vom Hacker – War­nung vor neu­er Emo­tet-Infek­ti­ons­wel­le

Nach den Erkennt­nis­sen des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht (BayL­DA) infi­zie­ren sich der­zeit zahl­rei­che Orga­ni­sa­tio­nen mit dem Emo­tet-Tro­ja­ner. Die Mal­wa­re ver­ur­sach­te bis­lang bereits einen erheb­li­chen wirt­schaft­li­chen und daten­schutz­recht­li­chen Scha­den. Das BayL­DA warnt daher alle Ver­ant­wort­li­che – egal ob Unter­neh­men, Arzt, Hand­wer­ker etc. – ein­dring­lich und emp­fiehlt, beson­ders auf­merk­sam bei ein­ge­hen­den E‑Mails zu blei­ben. Dies bezieht ich auch auf Weih­nachts­grü­ße von ver­meint­lich bekann­ten Kom­mu­ni­ka­ti­ons­part­nern. Links oder Anhän­ge dür­fen nicht sorg­los geöff­net wer­den. Soll­te es zu einer Infek­ti­on kom­men, ist eine Mel­dung bei der Daten­schutz­auf­sichts­be­hör­de ver­pflich­tend.

Link zur Pres­se­mel­dung https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​/​p​m​2​0​1​9​_​1​5​.​pdf

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) hat den Tele­kom­mu­ni­ka­ti­ons­dienst­lei­ster 1&1 Telecom GmbH mit einer Geld­bu­ße in Höhe von 9.550.000 Euro belegt.

Das Unter­neh­men hat­te kei­ne hin­rei­chen­den tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men ergrif­fen, um zu ver­hin­dern, dass Unbe­rech­tig­te bei der tele­fo­ni­schen Kun­den­be­treu­ung Aus­künf­te zu Kun­den­da­ten erhal­ten kön­nen. In einem wei­te­ren Fall sprach der BfDI ein Buß­geld in Höhe von 10.000 Euro gegen die Rapi­da­ta GmbH aus. 

Dazu sag­te der Bun­des­be­auf­trag­te Ulrich Kel­ber: Daten­schutz ist Grund­rechts­schutz. Die aus­ge­spro­che­nen Geld­bu­ßen sind ein kla­res Zei­chen, dass wir die­sen Grund­rechts­schutz durch­set­zen wer­den. Die euro­päi­sche Daten­schutz­grund­ver­ord­nung (DSGVO) gibt uns die Mög­lich­keit, die unzu­rei­chen­de Siche­rung von per­so­nen­be­zo­ge­nen Daten ent­schei­dend zu ahn­den. Wir wen­den die­se Befug­nis­se unter Berück­sich­ti­gung der gebo­te­nen Ange­mes­sen­heit an.

Im Fall von 1&1 Telecom GmbH hat­te der BfDI Kennt­nis erlangt, dass Anru­fer bei der Kun­den­be­treu­ung des Unter­neh­mens allein schon durch Anga­be des Namens und Geburts­da­tums eines Kun­den weit­rei­chen­de Infor­ma­tio­nen zu wei­te­ren per­so­nen­be­zo­ge­nen Kun­den­da­ten erhal­ten konn­ten. In die­sem Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI einen Ver­stoß gegen Arti­kel 32 DSGVO, nach dem das Unter­neh­men ver­pflich­tet ist, geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen, um die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten syste­ma­tisch zu schüt­zen. 

Nach­dem der BfDI den unzu­rei­chen­den Daten­schutz bemän­gelt hat­te, zeig­te sich 1&1 Telecom GmbH ein­sich­tig und äußerst koope­ra­tiv. In einem ersten Schritt wur­de zunächst der Authen­ti­fi­zie­rungs­pro­zess durch die Abfra­ge zusätz­li­cher Anga­ben stär­ker abge­si­chert. In einem wei­te­ren Schritt wird bei der 1&1 Telecom GmbH der­zeit und nach Abspra­che mit dem BfDI ein neu­es, tech­nisch und daten­schutz­recht­lich deut­lich ver­bes­ser­tes Authen­ti­fi­zie­rungs­ver­fah­ren ein­ge­führt. 

Unge­ach­tet die­ser Maß­nah­men war die Ver­hän­gung einer Geld­bu­ße gebo­ten. So war unter ande­rem der Ver­stoß nicht nur auf einen gerin­gen Teil der Kun­den begrenzt, son­dern stell­te ein Risi­ko für den gesam­ten Kun­den­be­stand dar. Bei der Fest­set­zung der Höhe der Geld­bu­ße blieb der BfDI auf­grund des wäh­rend des gesam­ten Ver­fah­rens koope­ra­ti­ven Ver­hal­tens von 1&1 Telecom GmbH im unte­ren Bereich des mög­li­chen Buß­geld­rah­mens. 

Der BfDI unter­sucht auf­grund von eige­nen Erkennt­nis­sen, Hin­wei­sen und auch Kun­den­be­schwer­den zudem der­zeit die Authen­ti­fi­zie­rungs­pro­zes­se wei­te­rer Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­dienst­lei­stun­gen. 

Ein wei­te­res Ver­fah­ren gegen den Tele­kom­mu­ni­ka­ti­ons­an­bie­ter Rapi­da­ta GmbH wur­de erfor­der­lich, da das Unter­neh­men sei­ner gesetz­li­chen Auf­la­ge nach Arti­kel 37 DSGVO zur Benen­nung des betrieb­li­chen Daten­schutz­be­auf­trag­ten trotz mehr­ma­li­ger Auf­for­de­rung nicht nach­ge­kom­men ist. Bei der Höhe der Geld­bu­ße von 10.000 Euro wur­de berück­sich­tigt, dass es sich hier­bei um ein Unter­neh­men aus der Kate­go­rie der Kleinst­un­ter­neh­men han­delt.

Pres­se­mit­tei­lung des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 11.11.2019

Auf ihrer 98.Sitzung am 6. und 7. Novem­ber 2019 in Trier hat sich die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) mit viel­fäl­ti­gen The­men befasst.

Beson­de­re Bedeu­tung für die Pra­xis hat in den Augen des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, Dr. Lutz Has­se, das erar­bei­te­te Prüf­sche­ma zu Win­dows 10. Hier­zu äußer­te der Vor­sit­zen­de der DSK:

Im Zusam­men­hang mit der auto­ma­ti­sier­ten Über­tra­gung soge­nann­ter Tele­me­trie­da­ten bei Win­dows Betriebs­sy­stem- und Anwen­dungs­lö­sun­gen hat die Kon­fe­renz im Nach­gang auf hoch­ran­gi­ger Ebe­ne Gesprä­che mit Ver­tre­tern von Micro­soft geführt. Ziel ist es dabei, den Per­so­nen­be­zug von Nut­zungs­da­ten zu ver­min­dern bzw. deren Über­tra­gung in die Ent­schei­dung der Nut­ze­rin­nen und Nut­zer zu stel­len. In die­sem Zusam­men­hang hat die Daten­schutz­kon­fe­renz ein Prüf­sche­ma für das Betriebs­sy­stem Win­dows 10 ver­öf­fent­licht, das Ver­ant­wort­li­chen die Mög­lich­keit gibt, die daten­schutz­re­le­van­ten Fra­gen im Zusam­men­hang mit dem Ein­satz der Soft­ware, der Über­tra­gung von Tele­me­trie­da­ten sowie der Update-Kon­fi­gu­ra­ti­on zu bewer­ten.“

Dr. Lutz Has­se stellt fest: „Mit dem Prüf­sche­ma haben die Auf­sichts­be­hör­den den Ver­ant­wort­li­chen zunächst ein Instru­ment an die Hand gege­ben, mit dem sie prü­fen kön­nen, ob die erfor­der­li­chen Vor­aus­set­zun­gen für einen Ein­satz die­ses Betriebs­sy­stems gewähr­lei­stet wer­den kön­nen. Der TLf­DI wird über wei­te­re Ent­wick­lun­gen umge­hend berich­ten.“

Das Prüf­sche­ma fin­den Sie unter https://​tlf​di​.de/​m​a​m​/​t​l​f​d​i​/​g​e​s​e​t​z​e​/​o​r​i​e​n​t​i​e​r​u​n​g​s​h​i​l​f​e​n​/​b​e​s​c​h​l​u​s​s​_​z​u​_​t​o​p​_​1​3​_​w​i​n​1​0​_​p​r​u​f​s​c​h​e​m​a​.​pdf

und die Anla­ge unter https://​tlf​di​.de/​m​a​m​/​t​l​f​d​i​/​g​e​s​e​t​z​e​/​o​r​i​e​n​t​i​e​r​u​n​g​s​h​i​l​f​e​n​/​b​e​s​c​h​l​u​s​s​_​z​u​_​t​o​p​_​1​0​_​w​i​n​_​1​0​_​p​r​u​f​s​c​h​e​m​a​_​a​n​l​a​g​e​.​pdf.

P r e s s e m i t t e i l u n g vom 5. Novem­ber 2019

Am 30.Oktober 2019 hat die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit gegen die Deut­sche Woh­nen SE einen Buß­geld­be­scheid in Höhe von rund 14,5 Mil­lio­nen Euro wegen Ver­stö­ßen gegen die Daten­schutz-Grund­ver­ord­nung (DS-GVO) erlas­sen.

Bei Vor-Ort-Prü­fun­gen im Juni 2017 und im März 2019 hat die Auf­sichts­be­hör­de fest­ge­stellt, dass das Unter­neh­men für die Spei­che­rung per­so­nen­be­zo­ge­ner Daten von Mie­te­rin­nen und Mie­tern ein Archiv­sy­stem ver­wen­de­te, das kei­ne Mög­lich­keit vor­sah, nicht mehr erfor­der­li­che Daten zu ent­fer­nen. Per­so­nen­be­zo­ge­ne Daten von Mie­te­rin­nen und Mie­tern wur­den gespei­chert, ohne zu über­prü­fen, ob eine Spei­che­rung zuläs­sig oder über­haupt erfor­der­lich ist. In begut­ach­te­ten Ein­zel­fäl­len konn­ten daher teil­wei­se Jah­re alte pri­va­te Anga­ben betrof­fe­ner Mie­te­rin­nen und Mie­ter ein­ge­se­hen wer­den, ohne dass die­se noch dem Zweck ihrer ursprüng­li­chen Erhe­bung dien­ten. Es han­del­te sich dabei um Daten zu den per­sön­li­chen und finan­zi­el­len Ver­hält­nis­sen der Mie­te­rin­nen und Mie­ter, wie z. B. Gehalts­be­schei­ni­gun­gen, Selbst­aus­kunfts­for­mu­la­re, Aus­zü­ge aus Arbeits- und Aus­bil­dungs­ver­trä­gen, Steuer‑, Sozi­al- und Kran­ken­ver­si­che­rungs­da­ten sowie Kon­to­aus­zü­ge.

Nach­dem die Ber­li­ner Daten­schutz­be­auf­trag­te im ersten Prüf­ter­min 2017 die drin­gen­de Emp­feh­lung aus­ge­spro­chen hat­te, das Archiv­sy­stem umzu­stel­len, konn­te das Unter­neh­men auch im März 2019, mehr als ein­ein­halb Jah­re nach dem ersten Prüf­ter­min und neun Mona­te nach Anwen­dungs­be­ginn der Daten­schutz-Grund­ver­ord­nung weder eine Berei­ni­gung ihres Daten­be­stan­des noch recht­li­che Grün­de für die fort­dau­ern­de Spei­che­rung vor­wei­sen. Zwar hat­te das Unter­neh­men Vor­be­rei­tun­gen zur Besei­ti­gung der auf­ge­fun­de­nen Miss­stän­de getrof­fen. Die­se Maß­nah­men hat­ten jedoch nicht zur Her­stel­lung eines recht­mä­ßi­gen Zustands bei der Spei­che­rung per­so­nen­be­zo­ge­ner Daten geführt. Die Ver­hän­gung eines Buß­gel­des wegen eines Ver­sto­ßes gegen Arti­kel 25 Abs. 1 DS-GVO sowie Arti­kel 5 DS-GVO für den Zeit­raum zwi­schen Mai 2018 und März 2019 war daher zwin­gend.

Die Daten­schutz-Grund­ver­ord­nung ver­pflich­tet die Auf­sichts­be­hör­den sicher­zu­stel­len, dass Buß­gel­der in jedem Ein­zel­fall nicht nur wirk­sam und ver­hält­nis­mä­ßig, son­dern auch abschreckend sind. Anknüp­fungs­punkt für die Bemes­sung von Geld­bu­ßen ist daher u. a. der welt­weit erziel­te Vor­jah­res­um­satz betrof­fe­ner Unter­neh­men. Auf­grund des im Geschäfts­be­richt der Deut­sche Woh­nen SE für 2018 aus­ge­wie­se­nen Jah­res­um­sat­zes von über einer Mil­li­ar­de Euro lag der gesetz­lich vor­ge­ge­be­ne Rah­men zur Buß­geld­be­mes­sung für den fest­ge­stell­ten Daten­schutz­ver­stoß bei ca. 28 Mil­lio­nen Euro.

Für die kon­kre­te Bestim­mung der Buß­geld­hö­he hat die Ber­li­ner Daten­schutz­be­auf­trag­te unter Berück­sich­ti­gung aller be- und ent­la­sten­den Aspek­te die gesetz­li­chen Kri­te­ri­en her­an­ge­zo­gen. Bela­stend wirk­te sich hier­bei vor allem aus, dass die Deut­sche Woh­nen SE die bean­stan­de­te Archiv­struk­tur bewusst ange­legt hat­te und die betrof­fe­nen Daten über einen lan­gen Zeit­raum in unzu­läs­si­ger Wei­se ver­ar­bei­tet wur­den. Buß­geld­mil­dernd wur­de hin­ge­gen berück­sich­tigt, dass das Unter­neh­men durch­aus erste Maß­nah­men mit dem Ziel der Berei­ni­gung des rechts­wid­ri­gen Zustan­des ergrif­fen und for­mal gut mit der Auf­sichts­be­hör­de zusam­men­ge­ar­bei­tet hat. Auch mit Blick dar­auf, dass dem Unter­neh­men kei­ne miss­bräuch­li­chen Zugrif­fe auf die unzu­läs­sig gespei­cher­ten Daten nach­ge­wie­sen wer­den konn­ten, war im Ergeb­nis ein Buß­geld im mitt­le­ren Bereich des vor­ge­ge­be­nen Buß­geld­rah­mens ange­mes­sen.

https://​www​.daten​schutz​-ber​lin​.de/​f​i​l​e​a​d​m​i​n​/​u​s​e​r​_​u​p​l​o​a​d​/​p​d​f​/​p​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​2​0​1​9​/​2​0​1​9​1​1​0​5​-​P​M​-​B​u​s​s​g​e​l​d​_​D​W​.​pdf

Genau das stimmt nicht!

Die EU-DSGVO bedeu­tet für Unter­neh­men und Inter­net­nut­zer einen ziem­li­chen Auf­wand. Klei­ne Betrie­be wer­den nun ent­la­stet.“

Von den Pflich­ten der #DSGVO wird gera­de nicht ent­la­stet – nur von der Bestell­pflicht nach #BDSG
#fail

https://​www​.deutsch​land​funk​.de/​b​u​n​d​e​s​r​a​t​-​d​a​t​e​n​s​c​h​u​t​z​-​f​u​e​r​-​k​l​e​i​n​e​-​b​e​t​r​i​e​b​e​-​g​e​l​o​c​k​e​r​t​.​1​9​3​9​.​d​e​.​h​t​m​l​?​d​r​n​:​n​e​w​s​_​i​d​=​1​0​5​1​225