Den Bericht finden Sie hier
Jahresbericht des Katholischen Datenschutzzentrums veröffentlicht
Den Bericht finden Sie hier
weiterlesen
Nach Ansicht der Behörde verletzt es die gesetzliche Verschwiegenheitsverpflichtung eines Datenschutzbeauftragten, wenn die Nachrichten anderen Personen als seinen Mitarbeitern bekannt werden.
Die Behörde formuliert:
„Die bzw. der Datenschutzbeauftragte ist bei der Erfüllung ihrer oder seiner Aufgaben zur Wahrung von Geheimhaltung und Vertraulichkeit verpflichtet. Diese Verschwiegenheitspflicht besteht auch gegenüber der sie bzw. ihn benennenden Stelle. Es ist daher nicht zulässig, dass Anfragen, die in dem Vertrauen auf Verschwiegenheit an eine*n Datenschutzbeauftragte*n gesandt werden, an andere Stellen des Unternehmens weitergeleitet werden. Ein Verstoß gegen die gesetzlichen Vertraulichkeitspflichten stellt es daher bspw. dar, wenn die an eine*n Datenschutzbeauftragte*n gerichteten E-Mails an einen Verteiler weitergeleitet werden, dem neben der oder dem Datenschutzbeauftragten auch die IT-Leitung und der Kund*innenservice angehören. Für den Kontakt zu
der oder dem Datenschutzbeauftragten darf auch nicht dasselbe Kontaktformular verwendet werden wie für den Kontakt zum Unternehmen. Eingehende Post oder E-Mails an die oder den Datenschutzbeauftragte*n dürfen vom Unternehmen –
etwa in der Poststelle oder durch die Administrator*innen – nicht geöffnet oder gelesen werden.
Diese Feststellung hat Folgen: die Berliner Behörde hat dem eigenen Bekunden nach Unternehmen wegen dieses Verstoßes bereits verwarnt.
Zum Bericht, Seite 164
weiterlesen
Damit löst sich ein Thema auf, welches seit DSGVO Wirksamwerden unterschiedlich durch Behörden und Gerichte bewertet wurde.
Die neue Vorschrift lautet:
„§ 79a Datenschutz:
Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.
Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Die §§ 6 Absatz 5 Satz 2, 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“
Aus der neuen Vorschriften ergeben sich für den Datenschutzalltag Folgen:
- Die Verarbeitungen seitens des Betriebsrates müssen durch den Arbeitgeber gegenüber den Betroffenen transparent gemacht werden
- Alle Verarbeitungen des Betriebsrates sind in das Verzeichnis aufzunehmen – das bedeutet zunächst, Klarheit darüber zu erzeugen, welche Verarbeitungen erfolgen und wie lang die Speicherfristen sind
- Eventuelle Einwilligungen müssen dem betrieblichen Einwilligungsmanagement folgen
- Es muss in der Auskunft nach Art.15 DSGVO auch über die Daten, die der Betriebsrat noch oder zusätzlich speichert, beauskunftet werden.
- Die Datenverarbeitung des Betriebsrates muss den Schutzmaßnahmen und damit IT-Sicherheitskonzepten des Arbeitgebers vollständig folgen.
weiterlesen
„Auf den zuvor von dem Prozessbevollmächtigten für die Klägerin gestellten Auskunftsantrag (Schreiben vom 06.09.2019) musste die Beklagte eine Auskunft nicht erteilen. Denn die Beklagte wies den Antrag mangels Vorlage einer Originalvollmacht zurück (Anlage K 3). Dies mit Recht.
Die DS-GVO knüpft die Auskunftspflicht des Verantwortlichen an einen Auskunftsantrag, der von der betreffenden Person gestellt wird. An einem solchen fehlt es vorliegend.“
Das Gericht führt weiter aus, dass dazu die Original-Vollmacht vorgelegt werden muss.
„Entgegen der Ansicht der Klägerin genügte die Vorlage eines „Signing Log“ über eine von der Klägerin elektronisch erfolgte Signatur nicht. Es kann dahinstehen, ob und welchen Anforderungen der von dem Klägervertreter verwendete Dienst genügt. Im Rahmen des § 174 BGB genügt nur die Vorlage einer Urkunde. Unter den zivilrechtlichen Begriff der Urkunde fallen keine elektronische Erklärungen, sondern nur solche verkörperte Erklärungen, die ohne die Verwendung technischer Hilfsmittel lesbar sind (MüKo-BGB/Einsele, 8. Aufl. 2018, § 126 BGB Rn. 25). Die elektronische Form kann eine Urkunde von Gesetzes wegen nicht ersetzen (§ 126 Abs. 3 Hs. 2 BGB).“
Das OLG stützt damit eine Rechtsauffassung, die bereits 2019 das AG Berlin Mitte (Urteil vom 29.07.2019 – Az.: 7 C 185/18) vertreten hat. Im Falle eines Auskunftsbegehrens muss der Anwalt seine Bevollmächtigung belegen.
weiterlesen
Ein ehemaliger Arbeitnehmer eines Verantwortlichen begehrte Auskunft nach Art.15 DSGVO. Dabei verlangte er Kopie seiner Daten, und zwar in Form der Kopie seines Mail-Verkehrs und Kopie aller Mails, in denen er namentlich genannt ist.
Das BAG hat diesen Anspruch abgelehnt. Das Gericht urteilte, dass ein solches Begehren zu unbestimmt ist. Ein Antrag auf „Überlassung der Kopien von E-Mails“ ist unklar gefasst, weil nicht klar wird, auf welche E-Mails sich der Antrag bezieht. Wenn man ein solches Urteil vollstrecken möchte, ist nicht klar, was das Vollstreckungsverfahren beeinhaltet.
Das Gericht hat ausdrücklich nicht darüber entschieden, ob Kopien von E-Mails überhaupt vom Auskunftsrecht nach Art.15 Abs.3 DSGVO umfasst sind. Die Unklarheit, welche E-Mails gemeint sind und herausgegeben werden sollten, führte bereits dazu, dass der Antrag abgelehnt wurde. Das Gericht formuliert:
„Der Senat konnte offenlassen, ob das Recht auf Überlassung einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie von E-Mails umfassen kann. Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Daran fehlte es hier. Bei einer Verurteilung der Beklagten, eine Kopie des E-Mail-Verkehrs des Klägers zur Verfügung zu stellen sowie von E-Mails, die ihn namentlich erwähnen, bliebe unklar, Kopien welcher E-Mails die Beklagte zu überlassen hätte. Gegenstand der Verurteilung wäre die Vornahme einer nicht vertretbaren Handlung iSv. § 888 ZPO, für die im Zwangsvollstreckungsrecht nicht vorgesehen ist, dass der Schuldner an Eides statt zu versichern hätte, sie vollständig erbracht zu haben.“
Der Urteilstext ist noch nicht veröffentlicht, hier geht’s zur Pressemitteilung des BAG:
weiterlesen
In den Jahren 2018-2020 konnten unbefugte Mitarbeiter auf die Akten zugreifen – der Vorwurf lautet, dies nicht in ausreichendem Maße verhindert zu haben. Laut Aufsichtsbehörde konnten Werkstudenten und andere Mitarbeiter ohne Grund auf die Akten von Patienten zugreifen. Bemängelt wurden strukturelle Defizite: Zum einen war die Kontrolle des Zugriffs zu schwach ausgeprägt. Zwar wurde der Zugriff auf Patientendaten protokolliert, der Zugriff wurde aber nicht überprüft. Zum anderen wurde die Authentifizierung bemängelt: Die vom System vorgegebene Authentifizierung mittels Passwort und Ausweis und die damit dem Stand der Technik entsprechende Zwei-Faktor-Authentifizierung wurde nicht genutzt.
weiterlesen
In die aktuelle Bewertung sind weitere Anbieter in die Betrachtung aufgenommen worden und es ist eine getrennte Bewertung des rechtlichen Teils und der technischen Umsetzung vorgenommen worden.
Die Behörde kommt weiterhin zum Schluss, dass die dominierenden großen Anbieter Google Meets, Microsoft Teams und Zoom das System nicht datenschutzkonform betreiben. Alle großen Player scheitern aus Sicht der Behörde bereits bei der rechtlichen Bewertung der Vertragsunterlagen. Eine Bewertung der technischen Umsetzung wurde in der Folge nicht mehr durchgeführt.
Die Behörde erwähnt zwar Verbesserungen, bleibt in der Bewertung aber trotzdem beim Urteil „rot“.
weiterlesen
Neben dem benannten Controller-Prozesser (Auftragsverarbeiter)-Verhältnis werden auch Controller-Controller, Processor–Processor und Processor—Controller nun geregelt.
Die Entwürfe sind hier zu finden:
weiterlesen
Es kommt vielmehr darauf an, ob und wie die Behörden des Empfängerlandes Zugriff auf die Daten haben. Die Standardvertragsklauseln binden schließlich nicht die Behörden, sondern nur den Datenimporteuer.
Sie können daher nur dann als Grundlage akzeptiert werden, wenn durch weitere Maßnahmen der Zugriff der Behörden verhindert wird.
Der LDI BaWü benennt dazu auch zwei Beispiele: „Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann und „Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann“.
Der LDI BaWü kommt zu dem Schluss, dass ohne diese Maßnahmen die Datenübermittlung explizit in die USA nicht regelkonform ist.
Die Orientierungshilfe kann hier abgerufen werden:
weiterlesen
Die Behörden sehen weder Art. 6 Abs.1 (b) DSGVO noch Art. 6 Abs.1 (f) DSGVO als Rechtsgrundlage, die Daten zu verarbeiten. Sie begründen, warum kein berechtigtes Interesse an der Verarbeitung überwiegt.
Es verbleibt damit die Einwilligung als Rechtsgrundlage. Auch hier sehen die Behörden Anforderungen, die an die Einwilligung zu stellen sind und deren Umsetzung nachgewiesen werden muss.
Der Beschluss der Datenschutzkonferenz ergänzt das bereits bekannte Papier zu den Anforderungen an Telemediendienste (Orientierungshilfe März 2019).
Die neuen Positionen können hier eingesehen werden:
© VERDATA_ DATENSCHUTZ GMBH & CO. KG 2024