Täg­lich greift die Video­über­wa­chung in Rech­te und Frei­hei­ten von Per­so­nen ein, ohne dass die Mehr­zahl dafür einen Anlass gege­ben hat. Mit gro­ßer Streu­brei­te wird auf­ge­zeich­net, zu wel­cher Uhr­zeit, an wel­chem Tag, in wel­chem Zustand, mit wel­chem Erschei­nungs­bild, wie lan­ge und an wel­chem Ort sich Betrof­fe­ne auf­hal­ten, wie sie die­sen Bereich nut­zen, wie sie sich dort ver­hal­ten und ob sie allein oder in Beglei­tung sind. Bereits eine ein­fa­che Über­wa­chungs­an­la­ge ver­ar­bei­tet in erheb­li­chem Umfang per­so­nen­be­zo­ge­ne Daten, ohne dass der Groß­teil der erfass­ten Infor­ma­tio­nen für Über­wa­chen­de je eine Rol­le spielt.

Das Risi­ko, dass damit die Rech­te von Betrof­fe­nen ver­letzt wer­den, hat sich in den ver­gan­ge­nen Jah­ren deut­lich erhöht. Grund dafür sind die gerin­gen Anschaf­fungs­ko­sten und die ver­bes­ser­te Qua­li­tät der Tech­nik. Moder­ne Kame­ras zei­gen Bil­der in höch­ster Auf­lö­sung. In Echt­zeit kön­nen die­se in der gan­zen Welt ein­ge­se­hen und fast unbe­grenzt gespei­chert wer­den. Mehr als ein Smart­pho­ne oder Tablet braucht es dafür oft nicht. Dabei wer­den Kame­ras nicht nur zur Sicher­heit ein­ge­setzt. Kame­ras erfas­sen und ver­ar­bei­ten Daten von Per­so­nen, um per­so­na­li­sier­te Wer­bung anzu­zei­gen oder Pro­duk­te ziel­grup­pen­ge­nau anzu­bie­ten. Soft­ware­ge­steu­er­te Video­tech­nik ver­misst in der Öffent­lich­keit Gesichts­zü­ge und Gefühls­re­gun­gen von Per­so­nen oder ver­folgt das Bewe­gungs–  oder Ein­kaufs­ver­hal­ten von Kun­den. Die erfass­ten Infor­ma­tio­nen wer­den in Sekun­den­bruch­tei­len aus­ge­wer­tet und ver­viel­fäl­tigt. Betrof­fe­ne haben kaum Ein­fluss auf eine sol­che Erfas­sung und erfah­ren sel­ten, was mit den Auf­nah­men geschieht.
Die Ori­en­tie­rungs­hil­fe „Video­über­wa­chung durch nicht-öffent­li­che Stel­len“ wur­de grund­le­gend über­ar­bei­tet und an die recht­li­chen Rah­men­be­din­gun­gen der seit dem 25. Mai 2018 gel­ten­den Daten­schutz-Grund­ver­ord­nung ange­passt. Dabei wur­den die Leit­li­ni­en 3/​2019 des Euro­päi­schen Daten­schutz­aus­schus­ses zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Video­ge­rä­te, Ver­si­on 2.0, ange­nom­men am 29. Janu­ar 2020, berück­sich­tigt. Neu hin­zu­ge­kom­men sind die Abschnit­te zur Video­über­wa­chung in der Nach­bar­schaft und zur daten­schutz­recht­li­chen Bewer­tung von Tür- und Klin­gel­ka­me­ras, Droh­nen und Wild­ka­me­ras sowie Dash­cams.

Mit der Ori­en­tie­rungs­hil­fe erhal­ten Betrof­fe­ne und Ver­ant­wort­li­che Infor­ma­tio­nen über die Vor­aus­set­zun­gen für eine daten­schutz­ge­rech­te Video­über­wa­chung in unter­schied­li­chen Lebens­be­rei­chen. Im Anhang fin­den sich Muster für Hin­weis­schil­der, die es den Ver­ant­wort­li­chen erleich­tern, den Trans­pa­renz­pflich­ten gem. Art. 12 ff. DS-GVO nach­zu­kom­men. Dar­über hin­aus wird eine Check­li­ste mit den wich­tig­sten Prü­fungs­punk­ten im Vor­feld einer Video­über­wa­chung bereit­ge­stellt.

Ori­en­tie­rungs­hil­fe Video­über­wa­chung durch nicht-öffent­li­che Stel­len (PDF-Doku­ment)

Der EuGH hat das EU-Pri­va­cy Shield mit sei­nem Urteil vom 16.07.2020 (Az: C‑311/​18) für ungül­tig erklärt und an die Pflich­ten für Daten­ex­por­teu­re und Daten­im­por­teu­re bei Anwen­dung der EU-Stan­dard­ver­trags­klau­seln, ins­be­son­de­re hin­sicht­lich einer rechts­kon­for­men Daten­über­mitt­lung, erin­nert. Daten­ex­por­tie­ren­de ver­ant­wort­li­che Stel­len mit Sitz in der Euro­päi­schen Uni­on oder in Län­dern des Euro­päi­schen Wirt­schafts­raums ste­hen nun vor der Her­aus­for­de­rung, wie per­so­nen­be­zo­ge­ne Daten wei­ter­hin rechts­kon­form in Dritt­län­der über­mit­telt wer­den kön­nen. Die GDD möch­te Hand­lungs­emp­feh­lun­gen bezüg­lich des Endes des Pri­va­cy-Shiel­ds geben, um Ver­ant­wort­li­che und deren Daten­schutz­be­auf­trag­te bei der Umset­zung zu unterstützen.Dabei erstrecken sich die Emp­feh­lun­gen auch dar­auf, ob und wie der Ein­satz der sog. EU-Stan­dard­ver­trags­klau­seln aus­se­hen kann sowie eine Beschäf­ti­gung mit der Fra­ge, wie die sog. Ange­mes­sen­heits­be­schlüs­se der EU-Kom­mis­si­on bzgl. der jewei­li­gen Dritt­län­der zu bewer­ten sind.

Die Aus­ar­bei­tung der GDD beschäf­tigt sich eben­so mit dem Instru­ment der „ande­ren Garan­tien (Art. 46 DS-GVO) bzw. Aus­nah­men für bestimm­te Fäl­le (Art. 49 DS-GVO)“

» Zu den Hand­lungs­emp­feh­lun­gen der Gesell­schaft für Daten­schutz und Daten­si­cher­heit (GDD e.V.)

Der LfDI gibt Hin­wei­se und legt sein wei­te­res Vor­ge­hen zum Urteil des Euro­päi­schen Gerichts­hofs (EuGH) vom 16. Juli 2020, Rechts­sa­che C‑311/​18 („Schrems II“) fest.

Lesen Sie hier die ent­spre­chen­de Ori­en­tie­rungs­hil­fe zu Schrems II .

Vie­le Kun­din­nen und Kun­den von Bau­märk­ten, Super­märk­ten oder Ein­kaufs­zen­tren, die auf dem angren­zen­den Park­platz par­ken, sind im Glau­ben, sie wür­den kosten­frei par­ken. Das kann teu­er wer­den! Denn vie­le augen­schein­lich markt­zu­ge­hö­ri­gen Park­plät­ze wer­den von pri­va­ten Unter­neh­men betrie­ben, die für rechts­wid­rig abge­stell­te Fahr­zeu­ge – bspw. einer feh­len­den oder abge­lau­fe­nen Park­schei­be – Straf­zet­tel aus­stel­len. Hier­bei wer­den nicht sel­ten For­de­run­gen von 30 oder 40 Euro auf­ge­ru­fen, die sich emp­find­lich erhö­hen, soll­te der Fahr­zeug­hal­ter nicht inner­halb von zwei Wochen zah­len. Doch häu­fig ist das Vor­ge­hen der Unter­neh­men unzu­läs­sig. Daher rät der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg, auf Fol­gen­des zu ach­ten:

1. Haben Sie als Fahrzeughalter*in den Wagen selbst geparkt?

Stellt ein Park-Kon­troll-Unter­neh­men fest, dass Ihr Fahr­zeug wider­recht­lich auf dem Gelän­de parkt, erhal­ten Sie als Fahrzeughalter*in ein Schrei­ben, in dem Sie zur Zah­lung einer Straf­ge­bühr auf­ge­for­dert wer­den. Hier­bei geht der Park­platz­be­trei­ber davon aus, dass Sie selbst den Wagen geparkt haben – denn nur so wäre die For­de­rung einer Straf­zah­lung rechts­kon­form. Soll­ten Sie also gar nicht gefah­ren sein, liegt auch kein Ver­trags­schluss zwi­schen Ihnen und dem Park­platz­un­ter­neh­men vor, auf des­sen Grund­la­ge eine Stra­fe erho­ben wer­den könn­te. Dies sieht auch der Bun­des­ge­richts­hof so. Soll­ten Sie also nicht selbst den Wagen geparkt haben, kön­nen Sie hier­für auch nicht belangt wer­den.

2. Ist der Daten­ver­ar­bei­tungs­zweck in der Daten­schutz­er­klä­rung kor­rekt ange­ge­ben?

In dem Schrei­ben mit der gefor­der­ten Straf­zah­lung ver­weist das Park­platz-Kon­troll-Unter­neh­men auch auf ihre Daten­schutz­er­klä­rung, in der zumeist als Zweck der Daten­ver­ar­bei­tung ange­ge­ben wird, Sie als Fahrzeughalter*in wegen des Park­ver­sto­ßes belan­gen zu kön­nen. Wenn sich das Unter­neh­men jedoch gar nicht sicher ist, dass Sie es waren, die/​der falsch geparkt hat, dann kön­nen Ihre Daten ja auch nicht zu die­sem Zweck ver­ar­bei­tet wer­den. Hier liegt also ein DS-GVO-Ver­stoß vor.
Der Park­platz­be­trei­ber darf Sie jedoch dazu auf­for­dern, bei der Ermitt­lung des rechts­wid­rig Par­ken­den behilf­lich zu sein und Sie um Aus­kunft bit­ten, wer als Fahrer*in in Betracht kommt. Hier­auf müs­sen Sie reagie­ren, sonst ist das Unter­neh­men berech­tigt, sei­ne For­de­rung an Sie als Fahrzeughalter*in rich­ten. In der Daten­schutz­er­klä­rung des Park­platz-Unter­neh­mens soll­te als Zweck der Daten­ver­ar­bei­tung folg­lich ange­ge­ben sein, dass die­se zum Zweck der Ermitt­lung des Falsch­par­kers erfolgt ist.

Was folgt dar­aus für Sie?

Soll­te weder ein wider­recht­li­ches Par­ken Ihrer­seits noch eine DS-GVO-kon­for­me Schuld­ner­er­mitt­lung vor­lie­gen, müs­sen Sie als Fahrzeughalter*in weder der gefor­der­ten Zah­lung nach­kom­men noch auf Mah­nun­gen reagie­ren – auch nicht von Inkas­so-Unter­neh­men. Viel­mehr dürf­ten die ermit­tel­ten Daten der Fahrzeughalterin/​des Fahr­zeug­hal­ters unter die­sen Umstän­den gar nicht an ein Inkas­so-Unter­neh­men wei­ter­ge­lei­tet wer­den.

Hin­weis: Um dem Ärger zu ent­ge­hen, wer­fen Sie beim Aus­stei­gen aus dem Auto ein­fach einen Blick über den Park­platz. Wenn der Park­platz von einem exter­nen Unter­neh­men geführt wird, sind in Sicht­wei­te Hin­weis­schil­der ange­bracht, die auf die gel­ten­de Park­platz­ord­nung hin­wei­sen.

Pres­se­mit­tei­lung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 28.07.2020

Der Euro­päi­sche Gerichts­hof (EuGH) hat in sei­nem Urteil vom 16. Juli 2020 (Rechts­sa­che C‑311/​18) den Beschluss 2016/​1250 der Euro­päi­schen Kom­mis­si­on zur Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA (Pri­va­cy Shield) für unwirk­sam erklärt. Zugleich hat der EuGH fest­ge­stellt, dass die Ent­schei­dung 2010/​87/​EG der Kom­mis­si­on über Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses – SCC) grund­sätz­lich wei­ter­hin gül­tig ist.

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) sieht mit die­sem Urteil die Daten­schutz­grund­rech­te der Bür­ger und Bür­ge­rin­nen in der Euro­päi­schen Uni­on gestärkt. Für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­län­der hat das Urteil nach einer ersten Ein­schät­zung der DSK fol­gen­de Aus­wir­kun­gen:

  1. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA auf der Grund­la­ge des Pri­va­cy Shield ist unzu­läs­sig und muss unver­züg­lich ein­ge­stellt wer­den. Der EuGH hat das Pri­va­cy Shield für ungül­tig erklärt, weil das durch den EuGH bewer­te­te US-Recht kein Schutz­ni­veau bie­tet, das dem in der EU im Wesent­li­chen gleich­wer­tig ist. Das US-Recht, auf das der EuGH Bezug genom­men hat, betrifft z. B. die nach­rich­ten­dienst­li­chen Erhe­bungs­be­fug­nis­se nach Sec­tion 702 FISA und Exe­cu­ti­ve Order 12 333.
  2. Für eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­län­der kön­nen die bestehen­den Stan­dard­ver­trags­klau­seln der Euro­päi­schen Kom­mis­si­on zwar grund­sätz­lich wei­ter genutzt wer­den. Der EuGH beton­te jedoch die Ver­ant­wor­tung des Ver­ant­wort­li­chen und des Emp­fän­gers, zu bewer­ten, ob die Rech­te der betrof­fe­nen Per­so­nen im Dritt­land ein gleich­wer­ti­ges Schutz­ni­veau wie in der Uni­on genie­ßen. Nur dann kann ent­schie­den wer­den, ob die Garan­tien aus den Stan­dard­ver­trags­klau­seln in der Pra­xis ver­wirk­licht wer­den kön­nen. Wenn das nicht der Fall ist, soll­te geprüft wer­den, wel­che zusätz­li­chen Maß­nah­men zur Sicher­stel­lung eines dem Schutz­ni­veau in der EU im Wesent­li­chen gleich­wer­ti­gen Schutz­ni­veaus ergrif­fen wer­den kön­nen. Das Recht des Dritt­lan­des darf die­se zusätz­li­chen Schutz­maß­nah­men jedoch nicht in einer Wei­se beein­träch­ti­gen, die ihre tat­säch­li­che Wir­kung ver­ei­telt. Nach dem Urteil des EuGH rei­chen bei Daten­über­mitt­lun­gen in die USA Stan­dard­ver­trags­klau­seln ohne zusätz­li­che Maß­nah­men grund­sätz­lich nicht aus.
  3. Die Wer­tun­gen des Urteils fin­den auch auf ande­re Garan­tien nach Arti­kel 46 DSGVO Anwen­dung wie ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten („bin­ding cor­po­ra­te rules“ – BCR), auf deren Grund­la­ge eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­staa­ten erfolgt. Daher müs­sen auch für Daten­über­mitt­lun­gen auf der Grund­la­ge von BCR ergän­zen­de Maß­nah­men ver­ein­bart wer­den, sofern die Rech­te der betrof­fe­nen Per­so­nen im Dritt­land nicht ein gleich­wer­ti­ges Schutz­ni­veau wie in der Uni­on genie­ßen. Auch die­se Maß­nah­men müs­sen für die über­mit­tel­ten Daten ein im Wesent­li­chen gleich­wer­ti­ges Daten­schutz­ni­veau wie in der EU garan­tie­ren kön­nen.
  4. Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten aus der EU in die USA und ande­re Dritt­staa­ten nach Arti­kel 49 DSGVO ist wei­ter­hin zuläs­sig, sofern die Bedin­gun­gen des Arti­kels 49 DSGVO im Ein­zel­fall erfüllt sind. Zur Anwen­dung und Aus­le­gung die­ser Vor­schrift hat der Euro­päi­sche Daten­schutz­aus­schuss Leit­li­ni­en ver­öf­fent­licht.
  5. Ver­ant­wort­li­che, die wei­ter­hin per­so­nen­be­zo­ge­ne Daten in die USA oder ande­re Dritt­län­der über­mit­teln möch­ten, müs­sen unver­züg­lich über­prü­fen, ob sie dies unter den genann­ten Bedin­gun­gen tun kön­nen. Der EuGH hat kei­ne Über­gangs- bzw. Schon­frist ein­ge­räumt.

Auch wenn der EuGH in sei­ner Ent­schei­dung an ver­schie­de­nen Stel­len die vor­ran­gi­ge Ver­ant­wor­tung des Über­mitt­lers von per­so­nen­be­zo­ge­nen Daten und des Emp­fän­gers beton­te, hat er auch den Auf­sichts­be­hör­den eine Schlüs­sel­rol­le bei der Durch­set­zung der DSGVO und wei­te­ren Ent­schei­dun­gen über Daten­über­mitt­lun­gen in Dritt­län­der zuge­wie­sen. Die deut­schen Auf­sichts­be­hör­den wer­den sich in ihrem Vor­ge­hen mit ihren Kol­le­gin­nen und Kol­le­gen im Euro­päi­schen Daten­schutz­aus­schuss abstim­men und zukünf­tig auch zu spe­zi­fi­sche­ren Fra­ge­stel­lun­gen bera­ten.

Nach dem Urteil des EuGH hat der Euro­päi­sche Daten­schutz­aus­schuss nach einer ersten Stel­lung­nah­me in sei­ner Sit­zung am 23. Juli 2020 zen­tra­le Fra­gen und Ant­wor­ten (FAQ) zur Umset­zung des Urteils ver­öf­fent­licht. Die DSK befür­wor­tet die Posi­tio­nie­rung des Euro­päi­schen Daten­schutz­aus­schus­ses. Der eng­li­sche Text der FAQ ist auf der Web­sei­te des Euro­päi­schen Daten­schutz­aus­schus­ses unter https://​edpb​.euro​pa​.eu/​n​e​w​s​/​n​e​w​s​/​2​0​2​0​/​e​u​r​o​p​e​a​n​-​d​a​t​a​-​p​r​o​t​e​c​t​i​o​n​-​b​o​a​r​d​-​p​u​b​l​i​s​h​e​s​-​f​a​q​-​d​o​c​u​m​e​n​t​-​c​j​e​u​-​j​u​d​g​m​e​n​t​-​c​-​3​1​1​1​8​-​s​c​h​r​e​m​s​_de zu fin­den.

Die Web­sei­te der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der kann hier abge­ru­fen wer­den.

Pres­se­mit­tei­lung des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 16.07.2020

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Pro­fes­sor Ulrich Kel­ber ver­bin­det mit dem heu­ti­gen Urteil des Euro­päi­schen Gerichts­ho­fes (EuGH) zum inter­na­tio­na­len Daten­trans­fer eine Stär­kung der Rech­te der Betrof­fe­nen: „Der EuGH macht deut­lich, dass inter­na­tio­na­ler Daten­ver­kehr wei­ter mög­lich ist. Dabei müs­sen aber die Grund­rech­te der euro­päi­schen Bür­ge­rin­nen und Bür­ger beach­tet wer­den. Für den Daten­aus­tausch mit den USA müs­sen jetzt beson­de­re Schutz­maß­nah­men ergrif­fen wer­den. Unter­neh­men und Behör­den kön­nen Daten nicht mehr auf der Grund­la­ge des Pri­va­cy Shield über­mit­teln, das der EuGH für unwirk­sam erklärt hat. Bei der Umstel­lung wer­den wir selbst­ver­ständ­lich inten­siv bera­ten.“

Der BfDI wird sich bereits mor­gen mit sei­nen euro­päi­schen Kol­le­gin­nen und Kol­le­gen abstim­men: „Der EuGH hat die Rol­le der Daten­schutz­auf­sichts­be­hör­den bestä­tigt und gestärkt. Sie müs­sen bei jeder ein­zel­nen Daten­ver­ar­bei­tung prü­fen und prü­fen kön­nen, ob die hohen Anfor­de­run­gen des EuGH erfüllt wer­den. Das bedeu­tet auch, dass sie den Daten­aus­tausch unter­sa­gen, wenn die Vor­aus­set­zun­gen nicht erfüllt wer­den. Sowohl Unter­neh­men und Behör­den als auch die Auf­sichts­be­hör­den haben jetzt die kom­ple­xe Auf­ga­be, das Urteil prak­tisch anzu­wen­den. Wir wer­den auf eine schnel­le Umset­zung in beson­ders rele­van­ten Fäl­len drän­gen.“

Der EuGH schafft mit sei­ner Ent­schei­dung einen kla­re­ren Rah­men für den inter­na­tio­na­len Daten­ver­kehr mit der Euro­päi­schen Uni­on. Dabei stellt er hohe Anfor­de­run­gen an die beson­de­ren Schutz­maß­nah­men wie etwa Stan­dard­ver­trags­klau­seln, die Unter­neh­men und Behör­den ergrei­fen und Auf­sichts­be­hör­den kon­trol­lie­ren müs­sen. Der BfDI wird nach Ver­öf­fent­li­chung des gesam­ten Urteils und den Bera­tun­gen im Euro­päi­schen Daten­schutz­aus­schuss eine wei­te­re Stel­lung­nah­me abge­ben. Dabei wird es ins­be­son­de­re um die Über­ar­bei­tung der Stan­dard­ver­trags­klau­seln durch die Euro­päi­sche Kom­mis­si­on, als auch um die Not­wen­dig­keit der USA, die Gewähr­lei­stung der Grund­rech­te der euro­päi­schen Bevöl­ke­rung der von US-Staats­an­ge­hö­ri­gen gleich­zu­stel­len, gehen.

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen wer­den.

Down­load BfDI zum Schrems II-Urteil des EuGH als PDF

Wegen eines Ver­sto­ßes gegen die Pflich­ten zu siche­rer Daten­ver­ar­bei­tung (Art. 32 der Euro­päi­schen Daten­schutz-Grund­ver­ord­nung DS-GVO) hat die Buß­geld­stel­le des LfDI Baden-Würt­tem­berg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Würt­tem­berg  eine  Geld­bu­ße  von  1.240.000,- Euro  ver­hängt   und – in kon­struk­ti­ver Zusam­men­ar­beit mit der AOK – zugleich die Wei­chen für eine Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­sön­li­cher Daten bei der AOK Baden-Würt­tem­berg gestellt.

Die AOK Baden-Würt­tem­berg ver­an­stal­te­te in den Jah­ren 2015 bis 2019 zu unter­schied­li­chen Gele­gen­hei­ten Gewinn­spie­le und erhob hier­bei per­so­nen­be­zo­ge­ne Daten der Teil­neh­mer, dar­un­ter deren Kon­takt­da­ten und Kran­ken­kas­sen­zu­ge­hö­rig­keit. Dabei woll­te die AOK die Daten der Gewinn­spiel­teil­neh­mer auch zu Wer­be­zwecken nut­zen, sofern die Teil­neh­mer hier­zu ein­ge­wil­ligt hat­ten. Mit­hil­fe tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, u. a. durch inter­ne Richt­li­ni­en und Daten­schutz­schu­lun­gen, woll­te die AOK hier­bei sicher­stel­len, dass nur Daten sol­cher Gewinn­spiel­teil­neh­mer zu Wer­be­zwecken ver­wen­det wer­den, die zuvor wirk­sam hier­in ein­ge­wil­ligt hat­ten. Die von der AOK fest­ge­leg­ten Maß­nah­men genüg­ten jedoch nicht den gesetz­li­chen Anfor­de­run­gen. In der Fol­ge wur­den die per­so­nen­be­zo­ge­nen Daten von mehr als 500 Gewinn­spiel­teil­neh­mern ohne deren Ein­wil­li­gung zu Wer­be­zwecken ver­wen­det. Ver­si­cher­ten­da­ten waren hier­von nicht betrof­fen.

Die AOK Baden-Würt­tem­berg stell­te unmit­tel­bar nach Bekannt­wer­den des Vor­wurfs alle ver­trieb­li­chen Maß­nah­men ein, um sämt­li­che Abläu­fe grund­le­gend auf den Prüf­stand zu stel­len. Zudem grün­de­te die AOK eine Task For­ce für Daten­schutz im Ver­trieb und pass­te neben den Ein­wil­li­gungs­er­klä­run­gen ins­be­son­de­re auch inter­ne Pro­zes­se und Kon­troll­struk­tu­ren an. Wei­te­re Maß­nah­men sol­len in enger Abstim­mung mit dem LfDI erfol­gen.

Inner­halb des Buß­geld­rah­mens gemäß Art. 83 Abs. 4 DS-GVO spra­chen die umfas­sen­den inter­nen Über­prü­fun­gen und Anpas­sun­gen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie die kon­struk­ti­ve Koope­ra­ti­on mit dem LfDI zu Gun­sten der AOK. Auf die­se Wei­se konn­te in kur­zer Zeit eine Stei­ge­rung des Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten bei Ver­triebs­tä­tig­kei­ten der AOK erreicht wer­den. Die­se Ver­bes­se­run­gen und zusätz­li­chen Kon­troll­me­cha­nis­men wird die AOK zukünf­tig ent­spre­chend den Vor­ga­ben und Emp­feh­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit fort­füh­ren und ggf. anpas­sen.

Bei der Bemes­sung der Geld­bu­ße wur­de neben Umstän­den wie der Grö­ße und Bedeu­tung der AOK Baden-Würt­tem­berg ins­be­son­de­re auch berück­sich­tigt, dass sie als eine gesetz­li­che Kran­ken­ver­si­che­rung wich­ti­ger Bestand­teil unse­res Gesund­heits­sy­stems ist. Schließ­lich obliegt der AOK die gesetz­li­che Auf­ga­be, die Gesund­heit der Ver­si­cher­ten zu erhal­ten, wie­der­her­zu­stel­len oder zu ver­bes­sern. Weil Buß­gel­der nach der DS-GVO nicht nur wirk­sam und abschreckend, son­dern auch ver­hält­nis­mä­ßig sein müs­sen, war bei der Bestim­mung der Buß­geld­hö­he sicher­zu­stel­len, dass die Erfül­lung die­ser gesetz­li­che Auf­ga­be nicht gefähr­det wird. Hier­bei wur­den die gegen­wär­ti­gen Her­aus­for­de­run­gen für die AOK infol­ge der aktu­el­len Coro­na-Pan­de­mie in beson­de­rem Maße berück­sich­tigt.

Daten­si­cher­heit ist eine Dau­er­auf­ga­be“, betont der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Dr. Ste­fan Brink. „Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sind regel­mä­ßig den tat­säch­li­chen Ver­hält­nis­sen anzu­pas­sen, um auf Dau­er ein ange­mes­se­nes Schutz­ni­veau sicher­zu­stel­len.“ Der Sicher­stel­lung daten­schutz­kon­for­mer Zustän­de und der guten Zusam­men­ar­beit von ver­ant­wort­li­chen Stel­len mit dem LfDI als Auf­sichts­be­hör­de wird dabei regel­mä­ßig gro­ße Bedeu­tung bei­gemes­sen. „Wir stre­ben kei­ne beson­ders hohen Buß­gel­der, son­dern ein beson­ders gutes und ange­mes­se­nes Daten­schutz­ni­veau an“, so Brink abschlie­ßend.

Die­se Pres­se­mit­tei­lung als PDF-Doku­ment auf­ru­fen.

E‑Mail ist neben dem World Wide Web ein wich­ti­ger Inter­net­dienst, nicht zuletzt, weil es durch E‑Mails mög­lich ist, Text­nach­rich­ten eben­so wie digi­ta­le Doku­men­te (also z. B. Gra­fi­ken oder Office-Doku­men­te) typi­scher­wei­se in weni­gen Sekun­den rund um die Erde zu sen­den. Ihren Sie­ges­zug trat die E‑Mail bereits in dem Jah­re 1984 an und ihre Beliebt­heit hält trotz diver­ser Mes­sen­ger und Sozia­ler Dien­ste wei­ter an.

Ins­be­son­de­re wenn mit der E‑Mail per­so­nen­be­zo-gene Daten über­mit­telt wer­den (über die ohne­hin vor­han­de­nen Meta­da­ten des Ver­sen­ders hin­aus), exi­stie­ren auch daten­schutz­recht­li­che Anfor­de­run-gen, die ins­be­son­de­re Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter beach­ten müs­sen. Sie sind gesetz­lich gehal­ten, die Risi­ken, die sich aus ihren Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten erge­ben, hin­rei-chend zu min­dern.

Das betrifft auch Risi­ken, die durch die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten per E‑Mail ent­ste­hen. Der gesetz­lich gebo­te­ne Schutz per­so­nen­be­zo­ge­ner Daten im Zuge der Über­mitt­lung von E‑Mail-Nach­rich­ten erstreckt sich sowohl auf die per­so­nen­be­zo­ge­nen Inhal­te als auch die Umstän­de der Kom­mu­ni­ka­ti­on, soweit sich aus letz­te­ren Infor­ma­tio­nen über natür­li­che Per­so­nen ablei­ten las­sen.

Sowohl Trans­port­ver­schlüs­se­lung als auch Ende-zu-Ende-Ver­schlüs­se­lung min­dern für ihren jewei­li­gen Anwen­dungs­zweck Risi­ken für die Ver­trau­lich­keit und Inte­gri­tät der über­tra­ge­nen per­so­nen­be­zo­ge­nen Daten. Der Ein­satz von Trans­port­ver­schlüs­se­lung bie­tet ledig­lich einen Basis-Schutz und stellt eine Min­dest­maß­nah­me zur Erfül­lung der gesetz­li­chen Anfor­de­run­gen dar. Der durch­grei­fend­ste Schutz der Inhalts­da­ten wird hin­ge­gen durch Ende-zu-Ende-Ver­schlüs­se­lung erreicht. Ver­ant­wort­li­che müs­sen bei­de Ver­fah­ren in der Abwä­gung der not-wen­di­gen Maß­nah­men berück­sich­ti­gen. In einer von der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der mehr­heit­lich ver­ab­schie­de­ten Ori­en­tie­rungs­hil­fe wer­den die Anfor­de­run­gen an die Ver­fah­ren zum Ver­sand und zur Ent­ge­gen­nah­me von E‑Mail-Nach­rich­ten erläu­tert.

Quel­le: Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den­des Bun­des und der Län­der

Die Coro­na-Pan­de­mie hat dafür gesorgt, dass das The­ma Home­of­fice auch bei Unter­neh­men, die sich bis­lang nicht inten­siv damit beschäf-tigt haben, in den Vor­der­grund gerückt ist. Im „Nor­mal­fall“ stellt sich die Ein­rich­tung eines Home-Office-Arbeits­plat­zes als eine wohl­über-leg­te und gut geplan­te Maß­nah­me dar. Damit auch im Fal­le einer pan­de­mie­be­ding­ten, schnel­le­ren Umset­zung der Ver­la­ge­rung der Daten­schutz am hei­mi­schen Arbeits­platz nicht auf der Strecke bleibt, haben auch Daten­schutz-Auf­sichts­be­hör­den eine gan­ze Rei­he von Leit­fä­den ver­öf­fent­licht, so bspw. Das ULD oder auch der BfDI.

Die aktu­ell­ste Ver­öf­fent­li­chung kommt von dem BayL­DA in Form eines „Selbst-Check: Daten­schutz­recht­li­che Rege­lun­gen bei Home­of­fice“.

Das BayL­DA möch­te mit sei­ner Hand­rei­chung einen Über­blick über die wich­tig­sten Pra­xis­maß­nah­men im Home­of­fice ent­spre­chend den gel­ten­den gesetz­li­chen Daten­schutz­vor­ga­ben geben. Im Sin­ne einer geziel­ten Prä­ven­ti­on von Daten­schutz­ver­stö­ßen soll damit im momen-tanen „neu­en All­tag“ eine gestei­ger­te Sen­si­bi­li­sie­rung für die­ses The­ma erreicht und mit kon­kre­ten Prüf­fra­gen der eige­ne Stand der Umset­zung unter­stützt wer­den, so das BayL­DA.

Die auf­ge­führ­ten Prüf­punk­te sieht das BayL­DA nicht als abschlie­ßend an, son­dern stellt einen Best-Prac­ti­ce-Ansatz dar, der bei­spiels­wei­se von sei­ten der Geschäfts­füh­rung oder des Daten­schutz­be­auf­trag­ten im Sin­ne einer Soll-Ist-Über­prü­fung ver­wen­det wer­den kann. Eine gut sor­tier­te Samm­lung zum The­ma Daten­schutz und Home-Office bie­tet die GDD mit wei­te­ren nütz­li­chen Links zum The­ma.

Quel­le: Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht

Posi­ti­ons­pa­pier gibt Hand­lungs­emp­feh­lun­gen aus Pra­xis­per­spek­ti­ve
Anläss­lich der ersten Eva­lu­ie­rung der am 25.05.2018 anwend­bar gewor­de­nen Daten­schutz-Grund­ver­ord­nung (DSGVO) spricht sich der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. für eine Ent­la­stung klei­ner und mit­tel­stän­di­scher Unter­neh­men aus. In einem Posi­ti­ons­pa­pier for­dert der Ver­band einen Abbau von Büro­kra­tie durch stär­ke­re Ein­bin­dung des Daten­schutz­be­auf­trag­ten (DSB). Denn durch die DSGVO begrün­de­te Büro­kra­tie ergibt sich nicht durch die Benen­nung des DSB, son­dern auf­grund der hier­von unab­hän­gig bestehen­den und buß­geld­be­wehr­ten umfas­sen­den Orga­ni­sa­ti­ons- und Doku­men­ta­ti­ons­pflich­ten der DSGVO. Die Ein­bin­dung des DSB führt daher zu einer Ent­la­stung des Mit­tel­stands.

Pres­se­mit­tei­lung
Posi­ti­ons­pa­pier