Datenschutznachrichten

Datenschutznachrichten

Archiv Meldungen zum Thema Datenschutz

Hier finden Sie Berichte, Meldungen, Hintergrundinformationen zu datenschutzrelevanten Themen (Linksammlung).

BAG Urteil: Auskunftsbegehren in Form „Kopie des E-Mailverkehrs“ ist zu unbestimmt

Das Bundesarbeitsgericht hat einen Aspekt des Auskunftsrechtes weiter konkretisiert: Das Begehren muss „konkret“ sein (Urteil Bundesarbeitsgericht, Urteil vom 27. April 2021 – 2 AZR 342/20 ).  weiterlesen

Ein ehemaliger Arbeitnehmer eines Verantwortlichen begehrte Auskunft nach Art.15 DSGVO. Dabei verlangte er Kopie seiner Daten, und zwar in Form der Kopie seines Mail-Verkehrs und Kopie aller Mails, in denen er namentlich genannt ist.

Das BAG hat diesen Anspruch abgelehnt. Das Gericht urteilte, dass ein solches Begehren zu unbestimmt ist. Ein Antrag auf „Überlassung der Kopien von E-Mails“ ist unklar gefasst, weil nicht klar wird, auf welche E-Mails sich der Antrag bezieht. Wenn man ein solches Urteil vollstrecken möchte, ist nicht klar, was das Vollstreckungsverfahren beeinhaltet.

Das Gericht hat ausdrücklich nicht darüber entschieden, ob Kopien von E-Mails überhaupt vom Auskunftsrecht nach Art.15 Abs.3 DSGVO umfasst sind. Die Unklarheit, welche E-Mails gemeint sind und herausgegeben werden sollten, führte bereits dazu, dass der Antrag abgelehnt wurde. Das Gericht formuliert:

„Der Senat konnte offenlassen, ob das Recht auf Überlassung einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie von E-Mails umfassen kann. Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Daran fehlte es hier. Bei einer Verurteilung der Beklagten, eine Kopie des E-Mail-Verkehrs des Klägers zur Verfügung zu stellen sowie von E-Mails, die ihn namentlich erwähnen, bliebe unklar, Kopien welcher E-Mails die Beklagte zu überlassen hätte. Gegenstand der Verurteilung wäre die Vornahme einer nicht vertretbaren Handlung iSv. § 888 ZPO, für die im Zwangsvollstreckungsrecht nicht vorgesehen ist, dass der Schuldner an Eides statt zu versichern hätte, sie vollständig erbracht zu haben.“

Der Urteilstext ist noch nicht veröffentlicht, hier geht’s zur Pressemitteilung des BAG:

Bußgeld gegen Krankenhaus wegen unzureichendem Zugriffsschutz auf Patientenakten

Die niederländische Datenschutzaufsichtsbehörde hat ein Bußgeld gegen das Amsterdamer Krankenhaus (OLVG) über 440.000 Euro verhängt. Grund hierfür sind unzureichende Schutzmaßnahmen der Patientendaten.weiterlesen

In den Jahren 2018-2020 konnten unbefugte Mitarbeiter auf die Akten zugreifen – der Vorwurf lautet, dies nicht in ausreichendem Maße verhindert zu haben. Laut Aufsichtsbehörde konnten Werkstudenten und andere Mitarbeiter ohne Grund auf die Akten von Patienten zugreifen. Bemängelt wurden strukturelle Defizite: Zum einen war die Kontrolle des Zugriffs zu schwach ausgeprägt. Zwar wurde der Zugriff auf Patientendaten protokolliert, der Zugriff wurde aber nicht überprüft. Zum anderen wurde die Authentifizierung bemängelt: Die vom System vorgegebene Authentifizierung mittels Passwort und Ausweis und die damit dem Stand der Technik entsprechende Zwei-Faktor-Authentifizierung wurde nicht genutzt.

Zur Meldung der niederländischen Behörde

Aktualisierte behördliche Bewertung von Videokonferenzlösungen

Die Berliner Aufsichtsbehörde hat die schon im letzten Jahr durchgeführte Bewertung von Videokonferenzlösungen aktualisiert. Die Bewertung bezieht sich auf so genannte SAAS Lösungen, also der Nutzung der beim Dienstleister betriebenen Software. weiterlesen

In die aktuelle Bewertung sind weitere Anbieter in die Betrachtung aufgenommen worden und es ist eine getrennte Bewertung des rechtlichen Teils und der technischen Umsetzung vorgenommen worden.

Die Behörde kommt weiterhin zum Schluss, dass die dominierenden großen Anbieter Google Meets, Microsoft Teams und Zoom das System nicht datenschutzkonform betreiben. Alle großen Player scheitern aus Sicht der Behörde bereits bei der rechtlichen Bewertung der Vertragsunterlagen. Eine Bewertung der technischen Umsetzung wurde in der Folge nicht mehr durchgeführt.

Die Behörde erwähnt zwar Verbesserungen, bleibt in der Bewertung aber trotzdem beim Urteil „rot“.

Zur Bewertung hier 

Entwurf neuer Standardvertragsklauseln veröffentlicht

Die EU Kommission hat gestern überarbeitete Standardvertragsklauseln im Entwurf veröffentlicht und führt bis Mitte Dezember eine Anhörung dazu durch.
Wesentliche Änderung ist, dass der Datentransfer zwischen Parteien unterschiedlicher Verantwortungskonstellation geregelt wird.  weiterlesen

Neben dem benannten Controller-Prozesser (Auftragsverarbeiter)-Verhältnis werden auch Controller-Controller, Processor–Processor und Processor—Controller nun geregelt.

Die Entwürfe sind hier zu finden:

Orientierungshilfe nach EUGH Urteil zur Datenübermittlung ins Nicht-EU-Ausland

Die baden-würtembergische Datenschutzaufsichtsbehörde hat eine erste Orientierungshilfe veröffentlicht, die Hinweise zur Datenübermittlung ins Nicht-EU Ausland nach dem Urteil des EUGH gibt.
Sie macht darin deutlich, dass die Standardvertragsklauseln zwar im Prinzip noch gültig sind, aber dass es nicht allein darauf ankommt, ob Datenexporteuer und Datenimporteuer sich zum Umgang mit den Daten verständigt haben.  weiterlesen

Es kommt vielmehr darauf an, ob und wie die Behörden des Empfängerlandes Zugriff auf die Daten haben. Die Standardvertragsklauseln binden schließlich nicht die Behörden, sondern nur den Datenimporteuer.
Sie können daher nur dann als Grundlage akzeptiert werden, wenn durch weitere Maßnahmen der Zugriff der Behörden verhindert wird.

Der LDI BaWü benennt dazu auch zwei Beispiele: „Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann und „Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann“.

Der LDI BaWü kommt zu dem Schluss, dass ohne diese Maßnahmen die Datenübermittlung explizit in die USA nicht regelkonform ist.

 

Die Orientierungshilfe kann hier abgerufen werden:

Aufsichtsbehörden: Anforderungen an Google Analytics Einsatz

Die Aufsichtsbehörden (Datenschutzkonferenz) haben in einem weiteren Positionspapier Ihren Standpunkt zum Einsatz von google analytcis kommuniziert. Nach Auffassung der Behörden ist google im Bezug auf google Analytics kein Auftragsverarbeiter und verarbeitet in allen Fällen personenbezogene Daten.  weiterlesen

Die Behörden sehen weder Art. 6 Abs.1 (b) DSGVO noch Art. 6 Abs.1 (f) DSGVO als Rechtsgrundlage, die Daten zu verarbeiten. Sie begründen, warum kein berechtigtes Interesse an der Verarbeitung überwiegt.
Es verbleibt damit die Einwilligung als Rechtsgrundlage. Auch hier sehen die Behörden Anforderungen, die an die Einwilligung zu stellen sind und deren Umsetzung nachgewiesen werden muss.
Der Beschluss der Datenschutzkonferenz ergänzt das bereits bekannte Papier zu den Anforderungen an Telemediendienste (Orientierungshilfe März 2019).

 

Die neuen Positionen können hier eingesehen werden: 

Anonymisierung ist eine folgenabschätzungsrelevante Verarbeitung

Der Bundesbeauftragte hat ein Positionspapier veröffentlicht, das sich mit den Anforderungen der Anonymisierung von Daten beschäftigt. Das Papier bezieht sich zwar primär auf Telekommunikationsdaten, ist aber adaptierbar und in mehreren Stellen wegweisend.  weiterlesen

So werden Anforderungen an die rechtliche Zulässigkeit und die Methode der Anonymisierung beschrieben. Die gelegentlich diskutierte Frage, ob man nicht Daten immer anonym verwenden darf, wird datenschutzrechtlich aufgearbeitet. Außerdem wird klargestellt, dass der Anonymisierungsschritt ein Verarbeitungsvorgang ist, der einer Folgenabschätzung bedarf.

 

Das Papier ist  hier zu finden

Neuer BSI Prüfkatalog für Cloud-Computing

Das Bundesamt für Informationssicherheit hat einen aktualisierten Kriterienkatalog (=C5 Katalog) für das Cloud-Computing veröffentlicht. In dem Katalog sind die Kriterien an das interne Kontrollsystem eines Cloud-Anbieters benannt. Es wird beschrieben, welche Anforderungen der Cloud-Anbieter mindestens erfüllen muss. weiterlesen

Im Vergleich zur Version von 2019 ist ein neues Kapitel „Produktsicherheit“ hinzugekommen; diese neuen Anforderungen beruhen auf dem EU Cybersecurity Act. Die bestehenden Sicherheitskriterien wurden überarbeitet; u.a. gibt es nun zu jedem Sicherheitskriterium Hinweise, wie dieses geprüft werden kann.

Erleichtert wurde das Erstellen der Systembeschreibung, die der Cloud-Anbieter zur Prüfung liefern muss. Der neue Katalog schafft die Möglichkeit , dass ein Prüfer direkt prüfen kann und eine der Systembeschreibung vergleichbare Beschreibung während des Prüfvorganges erstellt.

VERDATA orientiert sich bei Prüfungen an diesem Katalog.

 

Zum Kriterienkatalog C5:2020

Auftragsverarbeitungsvertrag der dänischen Aufsichtsbehörde veröffentlicht

Die Dänische Aufsichtsbehörde hat gemäß Art. 28 Abs.8 DSGVO einen Standardvertragstext für die Auftragsverarbeitung herausgegeben. Dieser wurde vom Europäischen Datenschutzausschuss positiv angenommen und nun veröffentlicht.  weiterlesen

Diese englische Vorlage ist nicht verbindlich; sie ist aber zu empfehlen, insbesondere dann, wenn mit einem dänischen Unternehmen eine Auftragsverarbeitung abgeschlossen wird. Wird die behördliche Vorlage verwendet, prüft die Aufsichtsbehörde den Inhalt des Vertrages nicht mehr.

Die Vorlage ist hier veröffentlicht

Steuerberater sind keine Auftragsverarbeiter

Fast unbemerkt hat Art. 23 im „Gesetz zur weiteren steuerlichen Förderung der Elektromobilität und zur Änderung weiterer steuerlicher Vorschriften“ vom 12. Dezember 2019 (BglBl 17.12.2019 Seite 2451 (Nr. 48)) eine wesentliche Datenschutzfrage beantwortet: Die Verarbeitung personenbezogener Daten durch Steuerberater wie z.B. zur Gehaltsabrechnung oder zu anderen Zwecken erfolgt weisungsfrei.  weiterlesen

Dieses Gesetz änderte nämlich § 11 Steuerberatergesetz und hat einen neuen Absatz 2 eingefügt, der die Weisungsfreiheit dabei betont. § 11 Abs.2 StBG lautet seit dem 1.1.2020:

„Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.“

Damit wird eine Datenschutzfrage geklärt, die selbst Aufsichtsbehörden bisher unterschiedlich beantwortet haben. Steuerberater sind nicht nach Art. 28 DSGVO als weisungsgebundene Datenverarbeiter zu engagieren. Der Verantwortliche, der eine Datenverarbeitung an den Steuerberater auslagert, muss die Zulässigkeit der Auslagerung klären und die Rechtmäßigkeit der Datenübermittlung feststellen. VERDATA hat diese Auffassung schon seit längerem vertreten; der Gesetzgeber schafft hier nun Klarheit.

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018