Das Thüringer Parlament hat am 9.5.19 eine wegweisende Änderung des Landespersonalvertretungsgesetzes beschlossen: Der Personalrat hat, unabhängig von der Größe, einen Datenschutzbeauftragten zu benennen. Der Thüringer Gesetzgeber sieht damit als der erster Landesgesetzgeber den Personalrat (Betriebsrat) als eigene verantwortliche Stelle im Sinne der DSGVO. Gemäß einer Ergänzung zu § 80 ThürPersVG ist Personalrat verpflichtet, einen Datenschutzbeauftragten zu benennen. Bemerkenswert daran ist, dass das Gesetz nicht ausdrücklich besagt, dass der Personalrat eine verantwortliche Stelle ist – sondern wie selbstverständlich voraussetzt. Das Gesetz verpflichtet, dass der Personalrat die Vorschriften zum Datenschutz zu beachten und dass er dazu einen Datenschutzbeauftragten benennen muss. Durch diese Ergänzung zur Benennung des DSB wird (lediglich) die ansonsten gültige Grenze zur Benennung ab 10 Personen verschoben. Damit wird klargestellt, dass diese variable Pflicht eines Verantwortlichen immer zu beachten ist. Da darüber hinaus der Personalrat verpflichtet ist, die Vorschriften des Datenschutzes einzuhalten (Absatz 1), ergibt sich konsequenterweise, dass er Pflichten wie Information nach Art.13 DSGVO oder die Wahrung der Betroffenenrechte nach Kapitel 2 DSGVO oder Sicherheitsmaßnahmen nach Art.32 DSGVO beachten muss. Das Gesetz befindet sich hier:weiterlesen
VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER
Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!
Uganda: Datenschutzgesetz in Kraft
Datenschutz ist ein internationales Thema: Nun hat auch Uganda ein Datenschutzgesetz verabschiedet. Das „Data protection and privacy act“ ist am 25.02.2019 in Kraft getreten. Das Gesetz trifft Festlegungen, unter welchen Bedingungen Daten in Uganda, aber auch Daten von ugandischen Staatsbürgern außerhalb Ugandas, verarbeitet werden dürfen. In dem Gesetz sind Pflichten an den Verantwortlichen aufgestellt, die auch aus der DSGVO bekannt sind, wie z.B. die Erfüllung von Datenschutzgrundsätzen, die Transparenz der Datenverarbeitung oder die Gewährleistung von Sicherheit. Interessant: Art.6 des Gesetzes enthält die Pflicht, einen Datenschutzbeauftragten zu bestellen! Das Gesetz ist hier aufrufbar.weiterlesen
Das Gesetz hat nicht die Tiefe und den Umgang der Pflichten der DSGVO, jedoch erstaunliche Parallelen, wie z.B. die Mitteilungspflicht bei Sicherheitsverletzungen , ein Kapitel zu den Rechten eines Betroffenen, detaillierte Vorgaben zur Herstellung der Transparenz oder Anforderungen an Einwilligungen.
Bayerische Aufsichtsbehörde veröffentlicht aktualisierte Orientierungshilfe zur Auftragsverarbeitung
Mit Stand April 2019 hat der Bayerische Landesdatenschutzbeauftragte eine neue Orientierungshilfe zur Auftragsverarbeitung herausgegeben.weiterlesenDarin wird u.a. auf die zwingenden Inhalte einer Vereinbarung verwiesen. Darüber hinaus nennt die Behörde Kriterien, um die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichen vorzunehmen. Sie stellt klar, dass die Auftragsverarbeitung erfordert, dass der Dienstleister keinen Spielraum hinsichtlich der Verarbeitung der Daten hat und dass die Datenverarbeitung im Vertrag durch Weisung vorgegeben ist. Gegen die Auftragsverarbeitung spricht, wenn der Dienstleister bereits über die Mittel der Verarbeitung entscheidet.
Darüber hinaus werden einige klassische Outsourcing-Dienste bewertet, wie die Aktenvernichtung, Systemadministration oder Backup-Dienstleistungen.
Die Orientierungshilfe kann hier abgerufen werden.
Dänemark: 160.000 Euro Bußgeld gegen Taxiunternehmen wegen fehlender Datenlöschung
Die dänische Datenschutzaufsichtsbehörde hat gegen ein Taxiunternehmen ein Bußgeld von 1,2 Mio Dänischer Kronen ausgesprochen, weil das Unternehmen die Kundendaten nicht gelöscht hat. Das Taxiunternehmen speichert Telefonnummer, Standortdaten, gefahrene Strecke sowie Zeit für Beginn/Ende der Fahrt, außerdem die Adresse des Kunden. Der Verarbeitungsbeschreibung zufolge sollten die Daten nach 2 Jahren gelöscht werden, es wurden aber lediglich die Namen gelöscht, Adressen und Telefonnummern blieben gespeichert. Das Unternehmen hatte diesen Vorgang als Anonymisierung bezeichnet. Nach weiteren 3 Jahren sollten die Telefonnummern gelöscht werden, die man für interne Geschäftszwecke noch verwenden wollte. Aus aufsichtsbehördlicher Sicht liegt ein Verstoß gegen die Datenschutzgrundsätze nach Art. 5 Abs. 1 (c) und (e) DSGVO vor. Das Prinzip der befristeten Speicherung wird nicht eingehalten, aber auch der Grundsatz der Datenminimierung nicht erfüllt. Da über die Telefonnummern und auch über die Adressen der Personenbezug leicht herstellbar ist, wird mit der Löschung des Namens das Kriterium „unkenntlich machen“ nicht erfüllt und es werden weiterhin personenbezogene Daten gespeichert. Die Aufsichtsbehörde bezog hier mit ein, dass eine große Menge von Daten – 8,8 Mio – betroffen waren und dass das Unternehmen keine Dokumentationen zur Löschung nachweisen konnte, z.B. ein Löschkonzept.weiterlesen
Interessant ist dabei die inhaltliche Kritik der Behörde:
Nach Auffassung der Behörde muss der Verantwortliche nachweisen, wie und wann personenbezogene Daten in Systemen und Backup-Wiederherstellungsdateien gelöscht werden. Es sollte nachgewiesen werden, dass Datenlöschungen auf der Grundlage interner Vorgaben/Verfahren erfolgen und dass die Umsetzung nachweisbar ist.
Urteil: Auskunftsrecht im Arbeitsverhältnis bezieht sich auch auf Verhaltensangaben in einem betrieblichen Hinweisgebersystem („Whistleblower“)
LArbG Baden-Württemberg, Urt. v. 20.12.2018 – Az: 17 Sa 11/18
Das Gericht hat im Rahmen eines Kündigungsverfahrens eines Arbeitnehmers auch über einen geltend gemachten Auskunftsanspruch entschieden und sich dabei mit der Frage, ob das Auskunftsrecht durch Geheimhaltungsinteressen beschränkt sein kann, beschäftigt. 1. Das Einsichtsrecht in die Personalakte gemäß § 83 Abs. 1 Satz 1 BetrVG und das Auskunftsrecht nach Art. 15 DSGVO bestehen parallel und unabhängig voneinander. 2. E-Mails werden als personenbezogene Daten qualifiziert, denn jede „geschriebene, gesendete und empfangene E-Mail enthält bereits personenbezogene Daten, nämlich Informationen, die sich auf den (Betroffenen) beziehen“. 3. Leistungs- und Verhaltensdaten sind als personenbezogene Daten vom Auskunftsanspruch umfasst. 4. Wenn das Auskunftsrecht wegen „Rechte Dritter“ oder „berechtigter Interessen“ nach § 34 Abs. 1 BDSG i.V.m. § 29 Abs. 1 Satz 2 BDSG eingeschränkt werden soll, kann das nur für den konkreten Einzelfall gelten; diese Einschränkungen sind in einer Einzelfallabwägung zu ermitteln. Die Auskunft pauschal zu verweigern, weil die Daten aus einem betrieblichen Hinweisgebersystem, das Anonymität zusichert, kommen, reicht allein nicht aus. Das Gericht führt dazu aus:weiterlesen
Das Urteil hat mehrere wichtige Aussagen zum Datenschutz getroffen. Vier wichtige Punkte sind erwähnenswert:
Diese Aussage ist allerdings recht pauschal, hier wäre es hilfreich gewesen, wenn das Gericht die personenbezogenen Daten, die mit der Kommunikationsform „E-Mail“ verbunden sind, konkret oder beispielhaft benannt hätte. Zu diesem Punkt bleiben mehr Fragen offen als Antworten gegeben sind.
„Nur „soweit“ schützenswerte Interessen Dritter bestehen würden und diese in der gebotenen Einzelfallabwägung gegenüber dem Auskunftsanspruch als gewichtiger einzustufen wären, wäre eine Einschränkung des Auskunftsanspruches anzunehmen. Die für diese Einzelfallabwägung maßgeblichen Tatsachen, die zur Einschränkung des Auskunftsanspruches führen könnten, sind jedoch von der Beklagten nicht vorgetragen worden. Die Beklagte verweist pauschal auf das Schutzbedürfnis von Hinweisgebern. Die Beklagte führt aus, sie sei auf den bedingungslosen Schutz der Anonymität hinweisgebender Mitarbeiter angewiesen. Ansonsten sei zu befürchten, dass Mitarbeiter künftig aus Angst vor Benachteiligung und „Repressalien“ auch bei schwerwiegendem Fehlverhalten auf entsprechende Hinweise an den Arbeitgeber verzichteten“.
Dazu muss für den Einzelfall begründet und belegt werden, warum die konkreten personenbezogenen Daten in diesem Fall nicht herausgegeben werden können:
„Diese Erwägungen sind zu allgemein gehalten, als dass damit gänzlich oder in einem bestimmten Umfang der Auskunftsanspruch des Klägers eingeschränkt werden könnte. Es bedürfte der Nennung eines konkreten Sachverhaltes, anhand dessen geprüft werden könnte, ob durch die Auskunftserteilung tatsächlich die Rechte und Freiheiten anderer Personen beschränkt werden würde. Die Einschränkung des Auskunftsanspruches wegen überwiegender schützenswerter Interessen Dritter scheitert bereits daran, dass es nach dem Vortrag der Beklagten unklar bleibt, auf welche personenbezogenen Daten des Klägers sich die behaupteten schützenswerten Interessen Dritter beziehen sollen. Soweit die Beklagte mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast. Sie wäre kraft Sachnähe in der Lage gewesen, vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung hätten nicht schon die personenbezogenen Daten als solche preisgegeben werden müssen. Ausreichend, aber auch erforderlich wäre gewesen, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll. Nur dann wäre der Kammer die notwendige Einzelfallabwägung möglich gewesen. Soweit in diesem Fall die berechtigten Interessen Dritter gegenüber dem Auskunftsinteresse des Klägers überwogen hätten, wäre auch erst dann in einem zweiten Schritt eine gegenständliche Einschränkung im Tenor möglich gewesen.“
Seminare Gesundheitsdatenschutz
Die Termine für das Seminar „Aktueller Datenschutz im Krankenhaus – Update 2019“ stehen fest!
Zu weiteren Infos geht‘s hier
Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking
In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen: Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt. Zur Orientierungshilfe hierweiterlesen
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.
VERDATA_ verstärkt Beraterteam
VERDATA_ baut die Kapazitäten durch einen neuen Mitarbeiter im Beraterteam aus.
VERDATA_
© VERDATA_ DATENSCHUTZ GMBH & CO. KG 2018
