Unter der neu geschaf­fe­nen Rubrik “Fra­gen & Ant­wor­ten” nimmt das BayL­DA aus­führ­lich Stel­lung zu ver­schie­de­nen Fra­ge­stel­lun­gen des Daten­schut­zes. Um die gege­be­nen Ant­wor­ten ein­zu­ord­nen, wird jede Frage/​Antwort zusätz­lich mit nütz­li­chen Stich­wor­ten und Nor­men ver­se­hen.

Das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat sei­ne Rei­he “FAQ zur DS-GVO” um die Beant­wor­tung einer wei­te­ren Pra­xis­fra­ge ergänzt. Die aktu­ell­ste Fra­ge der FAQ-Samm­lung beschäf­tigt sich mit den Art. 4 Nr. 8, 28 DS-GVO. Dar­in ver­sucht das BayL­DA anhand kon­kre­ter Fall­bei­spie­le zu zei­gen, bei wel­cher Art von Daten­ver­ar­bei­tung eine Auf­trags­ver­ar­bei­tung anzu­neh­men ist und wann nicht.

Auf­trags­ver­ar­bei­tung im daten­schutz­recht­li­chen Sin­ne lie­ge nur in Fäl­len vor, in denen eine Stel­le von einer ande­ren Stel­le im Schwer­punkt mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beauf­tragt wer­de, so das BayL­DA. Die Beauf­tra­gung mit fach­li­chen Dienst­lei­stun­gen ande­rer Art, d. h., mit Dienst­lei­stun­gen, bei denen nicht die Daten­ver­ar­bei­tung im Vor­der­grund ste­he bzw. bei denen die Daten­ver­ar­bei­tung nicht zumin­dest einen wich­ti­gen (Kern-)Bestandteil aus­ma­che, stel­le kei­ne Auf­trags­ver­ar­bei­tung im daten­schutz­recht­li­chen Sin­ne dar.

Als Auf­trags­ver­ar­bei­tung im Sin­ne von Art. 4 Nr. 8 DS-GVO wer­den (u.a.) bspw. fol­gen­de Ver­ar­bei­tun­gen gese­hen:

DV-tech­ni­sche Arbei­ten für die Lohn- und Gehalts­ab­rech­nung oder die Finanz­buch­hal­tung durch Rechen­zen­tren,
Out­sour­cing per­so­nen­be­zo­ge­ner Daten­ver­ar­bei­tung im Rah­men von Cloud-Com­pu­ting, ohne dass ein inhalt­li­cher Daten­zu­griff des Cloud-Betrei­bers erfor­der­lich ist,

Kei­ne Auf­trags­ver­ar­bei­tung im Sin­ne von Art. 4 Nr. 8 DS-GVO (son­dern eige­ne Ver­ant­wort­lich­keit) sei (u.a.) z. B. regel­mä­ßig:

 

a) Inan­spruch­nah­me frem­der Fach­lei­stun­gen bei einem eigen­stän­dig Ver­ant­wort­li­chen
• Tätig­kei­ten der Berufs­ge­heim­nis­trä­ger (Steu­er­be­ra­ter, Rechts­an­wäl­te, exter­ne Betriebs­ärz­te, Wirt­schafts­prü­fer),
• Inkas­so­bü­ros mit For­de­rungs­über­tra­gung,
• Bank­in­sti­tu­te für den Geld­trans­fer

b) im Kern kei­ne beauf­trag­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, son­dern der Auf­trags­zie­le auf eine ande­re Tätig­keit:
• vom Ver­mie­ter beauf­trag­te Hand­wer­ker, die dazu die nöti­gen Mie­ter­da­ten erhal­ten,
• Sach­ver­stän­di­ge zur Begut­ach­tung eines Kfz-Scha­dens,
• Per­so­nen­be­för­de­rung, Kran­ken­trans­port­lei­stun­gen

Das BayL­DA weist jedoch dar­auf hin, dass, je nach Sach­ver­halt, vom Ver­ant­wort­li­chen ggfls. Zweck­bin­dung und Ver­trau­lich­keit zu den dabei berühr­ten per­so­nen­be­zo­ge­nen Daten fest­zu­le­gen sein kann.

Eine Ver­öf­fent­li­chung gemäß Mini­ster­rats­be­schluss vom 5. Juni 2018

Der Mini­ster­rat beschließt nach­fol­gen­den Baye­ri­schen Weg zu einer bür­ger­na­hen und mit­tel­stands­freund­li­chen Anwen­dung des Daten­schutz­rechts, die die Zie­le der Daten­schutz-Grund­ver­ord­nung sach­ge­recht und mit Augen­maß ver­folgt und damit auch ihre Akzep­tanz in der Bevöl­ke­rung för­dert:

  • Kein Ama­teur­sport­ver­ein, kei­ne Musik­ka­pel­le oder son­sti­ge vor allem durch ehren­amt­li­ches Enga­ge­ment getra­ge­ne Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten bestel­len.
  • Bei einem Erst­ver­stoß im Dickicht der Daten­schutz­re­geln dro­hen kei­ne Buß­gel­der; Hin­wei­se und Bera­tung haben Vor­rang vor Sank­tio­nen.
  • Wir wer­den eine Pra­xis von Abmahn­an­wäl­ten, die glau­ben bei Unter­neh­men for­mel­le Daten­schutz­ver­stö­ße rechts­miss­bräuch­lich abmah­nen und abkas­sie­ren zu kön­nen, nicht hin­neh­men.
  • Wir wer­den mit den Betrof­fe­nen wei­te­re Bestim­mun­gen im Daten­schutz­recht iden­ti­fi­zie­ren, bei deren Anwen­dung im Beson­de­ren dar­auf hin­zu­wir­ken ist, dass die Zie­le der Daten­schutz-Grund­ver­ord­nung sach­ge­recht und mit Augen­maß ver­folgt wer­den.
  • Hier­zu wer­den wir wei­te­re Gesprä­che mit Ver­ei­nen und Mit­tel­ständ­lern anbie­ten.

Quel­le: All­ge­mei­nes Mini­ste­ri­al­blatt

Eine wesent­li­che Neue­rung der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ist das Instru­ment der sog. Daten­schutz-Fol­gen­ab­schät­zung (DSFA). Die DSFA ist ein wich­ti­ger Bestand­teil des neu ein­ge­führ­ten Kon­zepts des „risi­ko­ori­en­tier­ten Ansat­zes” im Daten­schutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gera­de bei Ver­ar­bei­tun­gen von per­so­nen­be­zo­ge­nen Daten, bei denen ein hohes Risi­ko für die von der Ver­ar­bei­tung betrof­fe­nen Per­so­nen besteht, bewir­ken, dass gezielt Maß­nah­men gefun­den wer­den kön­nen, die die­ses Risi­ko ein­däm­men.

Somit dient der risi­ko­ori­en­tier­te Ansatz der DS-GVO letzt­end­lich zur Aus­wahl der „rich­ti­gen” (d. h. wirk­sa­men und geeig­ne­ten) tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten. Dies bedeu­tet im All­tag für Ver­ant­wort­li­che, dass durch eine Aus­wahl pas­sen­der Maß­nah­men das Risi­ko der Rech­te und Frei­hei­ten für die ein­zel­nen betrof­fe­nen Per­so­nen (z. B. Kun­den, Nut­zer, Beschäf­tig­te) ent­schei­dend redu­ziert bzw. ein­ge­dämmt wer­den kann. Die Not­wen­dig­keit einer tech­ni­schen oder orga­ni­sa­to­ri­schen Maß­nah­me hängt also somit vom „Risi­ko-Level” ab, d. h. von der Höhe eines mög­li­chen Scha­dens für die jewei­li­ge Per­son, wenn es zu einem Ein­tritt des Risi­kos bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kommt.

Wei­ter geht es hier.

Das Bun­des­mi­ni­ste­ri­um des Innern (BMI) hat die diver­se Fra­gen zum Ver­ständ­nis der DS-GVO adres­sie­ren, auch hier­zu
Stel­lung genom­men und schil­dert, unter wel­chen Vor­aus­set­zun­gen das Anfer­ti­gen und Ver­brei­ten per­so­nen­be­zo­ge­ner Foto­gra­fi­en künf­tig zuläs­sig ist. Auch der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat sei­nen Bei­trag zu mehr Klar­heit gelei­stet und setzt sich mit die­ser Fra­ge­stel­lung in sei­nem Ver­merk „Recht­li­che Bewer­tung von Foto­gra­fi­en einer unüber­schau­ba­ren Anzahl von Men­schen nach der DSGVO außer­halb des Jour­na­lis­mus“ aus­ein­an­der.

Auch die Lan­des­be­auf­trag­te für den Daten­schutz und für das Recht auf Akten­ein­sicht Bran­den­burg hat eine Hand­rei­chung unter dem Namen „Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bei Foto­gra­fi­en Recht­li­che Anfor­de­run­gen unter der DS-GVO“ ver­öf­fent­licht. Auch dort sei­en in den ver­gan­ge­nen Mona­ten die Anzahl an Nach­fra­gen von Foto­gra­fen, Ver­an­stal­tern, Blog­gern sowie Ver­tre­tern aus der Pres­se und Öffent­lich­keits­ar­beit zu Per­so­nen­fo­to­gra­fi­en unter Gel­tung der DS-GVO spür­bar gestie­gen.

Die Ein­füh­rung der Daten­schutz-Grund­ver­ord­nung geht mit einer bewuss­ten Stär­kung der Betrof­fe­nen­rech­te ein­her. „Ein uni­ons­wei­ter wirk­sa­mer Schutz per­so­nen­be­zo­ge­ner Daten erfor­dert die Stär­kung und prä­zi­se Fest­le­gung der Rech­te der betrof­fe­nen Per­so­nen“ heißt es daher aus­drück­lich in Erwä­gungs­grund (Erw­Gr) Nr. 11. Haupt­pfei­ler der neu­en Betrof­fe­nen­rech­te sind neben dem stren­ge­ren Haf­tungs­re­gime und den neu ein­ge­führ­ten Ein­zel­an­sprü­chen vor allem die aus­ge­wei­te­ten Trans­pa­renz­pflich­ten bei der Daten­ver­ar­bei­tung. Art. 13 DS-GVO wid­met sich den Infor­ma­ti­ons­pflich­ten bei der Direkt­er­he­bung, Art. 14 ist das Pen­dant bei Erhe­bung von Daten bei Drit­ten. Die betrof­fe­ne Per­son soll die Infor­ma­tio­nen in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form in einer kla­ren und ein­fa­chen Spra­che erhal­ten (Art. 12 Abs. 1 Satz 1 DS-GVO) und dies stets unent­gelt­lich (Art. 12 Abs. 5). Am 11. April 2018 ver­ab­schie­de­te die Arti­kel-29-Daten­schutz­grup­pe ihr WP 260 zu den Trans­pa­renz­re­geln der Daten­schutz-Grund­ver­ord­nung (DS-GVO).

Die Infor­ma­ti­ons­pflich­ten bil­den die Basis für die Aus­übung der Betrof­fe­nen­rech­te (ins­be­son­de­re der Art. 15 ff. DS-GVO). Nur wenn die betrof­fe­ne Per­son weiß, dass per­so­nen­be­zo­ge­ne Daten über sie ver­ar­bei­tet wer­den, kann sie die­se Rech­te auch aus­üben. Die Infor­ma­ti­ons­pflich­ten gemäß der DS-GVO gehen daher weit über die bis­he­ri­ge Rechts­la­ge hin­aus und müs­sen beach­tet wer­den, sofern kei­ne Aus­nah­me­vor­schrif­ten grei­fen. Die Daten­schutz­kon­fe­renz hat in Form des Kurz­pa­piers Nr. 10
„Infor­ma­ti­ons­pflich­ten bei Dritt- und Direkt­er­he­bung“ bereits erste wei­ter­ge­hen­de Aus­füh­run­gen zu die­sem The­ma ver­öf­fent­licht.

Aktu­ell hat auch die Lan­des­be­auf­trag­te für den Daten­schutz und für das Recht auf Akten­ein­sicht Bran­den­burg (LDA Bran­den­burg) eine Ori­en­tie­rungs­hil­fe mit dem Titel „Wie erfül­le ich als Ver­ant­wort­li­cher mei­ne Infor­ma­ti­ons­pflich­ten? Recht­li­che Anfor­de­run­gen unter der DS-GVO“ ver­öf­fent­licht. Dar­in geht die LDA Bran­den­burg fol­gen­den Fra­gen nach:

1. Was muss ich als Ver­ant­wort­li­cher tun, um die Infor­ma­ti­ons­pflich­ten aus Art. 13 und 14 Daten­schutz-Grund­ver­ord­nung (DS-
GVO) zu erfül­len?
2. Muss ich die betrof­fe­ne Per­son schrift­lich infor­mie­ren oder reicht ein Ver­weis auf mei­ne Web­sei­te, auf der ich die Infor­ma­tio­nen bereit­stel­le?
3. Muss ich nach­wei­sen, dass ich die Infor­ma­ti­ons­pflich­ten erfüllt habe?
4. Wer muss die Infor­ma­ti­ons­pflich­ten erfül­len, wenn es sich um gemein­sa­me Ver­ant­wort­li­che i. S. d. Art. 26 DS-GVO han­delt?
5. Spe­zi­el­le Fall­grup­pen

Abge­run­det wer­den die ein­zel­nen Fra­gen mit pas­sen­den Pra­xis­bei­spie­len.

Quel­le: LDA Bran­den­burg

In bestimm­ten Fäl­len ist bei der Über­wa­chung von Räu­men laut der kürz­lich in Kraft getre­te­nen Daten­schutz­grund­ver­ord­nung eine Daten­schutz-Fol­gen­ab­schät­zung erfor­der­lich.

Die kürz­lich in Kraft getre­te­ne Daten­schutz­grund­ver­ord­nung (DS-GVO) regelt die Über­wa­chung von Räu­men und Plät­zen mit­tels Video­über­wa­chung nur am Ran­de gere­gelt. Viel­mehr sol­len die ein­zel­nen Mit­glieds­staa­ten selbst Vor­schrif­ten für die elek­tro­ni­sche Über­wa­chung erlas­sen. In Arti­kel 35, Absatz 3 lit. c) schreibt die DS-GVO aller­dings vor, dass bei »einer syste­ma­ti­schen umfang­rei­chen Über­wa­chung öffent­lich zugäng­li­cher Räu­me« eine Daten­schutz-Fol­gen­ab­schät­zung nötig und erfor­der­lich ist.

Hier­zu­lan­de ist die Video­über­wa­chung in §4 Bun­des­da­ten­schutz­ge­setz (BDSG) gere­gelt. In Absatz 1 befin­det sich die Ände­rung zu bis­lang gel­ten­den Rege­lung: Hier ist fest­ge­legt, dass öffent­lich zugäng­li­che groß­flä­chi­ge Anla­gen oder Ein­rich­tun­gen wie öffent­li­che Ver­kehrs­mit­tel, Bahn­hö­fe sowie Ein­kaufs­zen­tren, Sport­stät­ten und Ver­an­stal­tungs­or­te zum Schutz der Men­schen über­wacht wer­den dür­fen. Der Schutz von Per­so­nen, die sich dort auf­hal­ten, muss jedoch beson­ders beach­tet wer­den. Der deut­sche Gesetz­ge­ber stellt also die Sicher­heits­be­lan­ge und den Schutz von Leben, Gesund­heit oder Frei­heit die­ser Per­so­nen als ein beson­ders wich­ti­ges Inter­es­se dar.

Die Über­wa­chung von öffent­li­chen Räu­men ist grund­sätz­lich nur dann erlaubt, wenn ihr kei­ne schutz­wür­di­gen Inter­es­sen der Betrof­fe­nen ent­ge­gen­ste­hen. Auch dann dür­fen Orte nur über­wacht wer­den, wenn das zur Auf­ga­ben­er­fül­lung öffent­li­cher Stel­len, zur Wahr­neh­mung des Haus­rechts und zur Daten­ge­win­nung für einen kon­kret fest­ge­leg­ten Zweck und zur Wahr­neh­mung berech­tig­ter Inter­es­sen erfor­der­lich ist. Laut §4 Absatz 2 BDSG muss die Tat­sa­che, dass eine Beob­ach­tung durch­ge­führt wird, durch geeig­ne­te Maß­nah­men gekenn­zeich­net und die Über­wa­chung ver­ant­wort­li­che Stel­le benannt wer­den muss. Die gewon­ne­nen Daten dür­fen dann nur zur Abwehr von Gefah­ren sowie zur Ver­fol­gung von Straf­ta­ten genutzt wer­den. Ist der Zweck erreicht oder ste­hen schutz­wür­di­ge Inter­es­sen der Betrof­fe­nen einer wei­te­ren Spei­che­rung ent­ge­gen, müs­sen die Daten sofort gelöscht wer­den.

Das hat sicher jeder von uns selbst erlebt. Die Stil­blü­ten um die Ein­ho­lung von neu­en Ein­wil­li­gun­gen zur DS-GVO. Vie­les wäre dabei schon recht­lich frag­wür­dig (wenn eine Ein­wil­li­gung vor­liegt, brau­che ich kei­ne wei­te­re, wenn nicht, dann darf nich nicht danach fra­gen), unnö­tig (natür­lich darf man zur Ver­trags­an­bah­nung oder -abwick­lung per­sön­li­che Anspra­chen von bei­te­lig­ten Per­so­nen ver­wen­den) und im schlimm­sten Fall dann auch nicht recht­lich bin­dend. Ich möch­te hier zwei Links zu dem News­let­ter der inter­soft con­sul­ting ser­vices AG geben:

Übri­gens, der News­let­ter ren­tiert sich alle­ma­le.

Die Bun­des­re­gie­rung hat in der heu­ti­gen Sit­zung des EU-Mini­ster­rats ihre Posi­tio­nie­rung gegen­über der ePri­va­cy-Ver­ord­nung vor­ge­stellt. Die Ver­hand­lun­gen im EU-Rat kön­nen damit vor­an­schrei­ten, so dass das Gesetz noch vor der EU-Par­la­ments­wahl im Früh­jahr 2019 beschlos­sen wer­den könn­te. Klaus Mül­ler, Vor­stand des vzbv, for­dert eine ver­brau­cher­freund­li­che und star­ke Regu­lie­rung der digi­ta­len Kom­mu­ni­ka­ti­on:

Der vzbv begrüßt, dass sich die Bun­des­re­gie­rung end­lich auf eine Posi­ti­on zur ePri­va­cy-Ver­ord­nung fest­ge­legt hat. Posi­tiv ist, dass es Tele­kom­mu­ni­ka­ti­ons­dien­sten nur mit Ein­wil­li­gung oder zu sta­ti­sti­schen Zwecken erlaubt wer­den soll, Kom­mu­ni­ka­ti­ons­me­ta­da­ten, wie bei­spiels­wei­se Stand­ort­da­ten zu ver­ar­bei­ten. Dabei müss­ten sie geeig­ne­te Schutz­maß­nah­men tref­fen und die Daten­schutz­grund­ver­ord­nung beach­ten. Dies ist ein annehm­ba­rer Kom­pro­miss.

Coo­kies und ähn­li­che Tech­no­lo­gi­en, mit denen Unter­neh­men das Ver­hal­ten und die Inter­es­sen von Ver­brau­chern online aus­wer­ten, sol­len eben­falls nur mit deren Ein­ver­ständ­nis oder zu eng defi­nier­ten Zwecken ein­ge­setzt wer­den dürf­ten. Für Sur­fer ist das ein Fort­schritt.

Die Bun­des­re­gie­rung möch­te Anbie­tern jedoch erlau­ben, die Nut­zung ihrer Ange­bo­te von einer sol­chen Ein­wil­li­gung abhän­gig zu machen. Das ist nicht akzep­ta­bel. Damit unter­läuft sie die Daten­schutz­grund­ver­ord­nung und spielt gro­ßen Unter­neh­men wie Goog­le und Face­book in die Hän­de. Denn den Kon­zer­nen wür­de es auf­grund ihrer Markt­macht leich­ter als klei­ne­ren Anbie­tern fal­len, ihren Nut­zern eine sol­che Ein­wil­li­gung abzu­rin­gen. Bedau­er­lich ist außer­dem, dass sich die Bun­des­re­gie­rung nicht für daten­schutz­freund­li­che Vor­ein­stel­lun­gen von Web­brow­sern ein­setzt.“

Fak­ten­blatt des vzbv

Mit dem Start der Daten­schutz-Grund­ver­ord­nung heu­te am Frei­tag, 25. Mai beginnt in Euro­pa eine neue Zeit­rech­nung für den Daten­schutz. Doch in eini­gen Punk­ten fehlt Unter­neh­men, Selb­stän­di­gen und auch den Auf­sichts­be­hör­den noch Rechts­si­cher­heit. „Die neu­en Regeln wer­den uns noch lan­ge über den 25. Mai hin­aus beschäf­ti­gen“, sagt BvD-Vor­stand Tho­mas Spa­eing.

Rechts­un­klar­heit besteht unter ande­rem beim Beschäf­tig­ten­da­ten­schutz und in der Abstim­mung mit der ePri­va­cy-Ver­ord­nung, die aller Vor­aus­sicht erst Ende 2019 an die DS-GVO ange­passt wird. Ein viel­fach dis­ku­tier­tes The­ma ist auch der Medi­en­bruch bei den Infor­ma­ti­ons­pflich­ten, z. B. bei der Video­über­wa­chung oder auch der ein­fa­chen Kon­takt­auf­nah­me im Geschäfts­le­ben.

Die Hoff­nung besteht, dass die Auf­sichts­be­hör­den mit dem Start der DS-GVO zunächst „mit Augen­maß“ Unter­neh­men bei der Umset­zung der Richt­li­ni­en beglei­ten wer­den. „Auch die Auf­sichts­be­hör­den wis­sen um die vie­len Fra­gen, die noch unge­klärt sind“, sag­te Spa­eing. „Des­halb soll­ten Unter­neh­men sie nicht als Geg­ner, son­dern als Part­ner ver­ste­hen“. Wich­tig sei aller­dings, dass die Unter­neh­men auch die Bereit­schaft zeig­ten, das neue Regel­werk umzu­set­zen.

Nach Art. 37 Abs. 7 DS-GVO hat ein Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten (DSB) nicht nur zu ver­öf­fent­li­chen, son­dern auch der Auf­sichts­be­hör­de mit­zu­tei­len. Das BayL­DA ent­wickelt der­zeit einen neu­en Online-Ser­vice, der es Ver­ant­wort­li­chen ermög­licht, die hier­zu erfor­der­li­chen DSB-Mel­dun­gen für den nicht-öffent­li­chen Bereich in Bay­ern ein­fach und bequem online durch­zu­füh­ren. Die­ses befin­det sich in der fina­len Test­pha­se, wird aber wohl erst (kurz) nach dem 25.05.2018 ver­füg­bar sein.

Aus die­sem Grund und weil den Ver­ant­wort­li­chen aus­rei­chend Zeit zur Mel­dung ein­ge­räu­met wer­den soll, ver­län­gert das BayL­DA die Mel­de­frist bis zum 31. August 2018. Bis zu die­sem Ter­min wird das BayL­DA dann selbst­ver­ständ­lich eine noch nicht erfolg­te Mel­dung nicht bemän­geln und auch dies­be­züg­lich kein Ord­nungs­wid­rig­keits­ver­fah­ren ein­lei­ten.

Von einer Mel­dung in Papier­form ist abzu­se­hen, da die­se dem BayL­DA unnö­ti­gen büro­kra­ti­schen Auf­wand ver­ur­sacht – die vor­han­de­nen Kapa­zi­tä­ten sol­len statt­des­sen lie­ber wie bis­her in die Bereit­stel­lung von Infor­ma­tio­nen ver­wen­det wer­den.