Datenschutznachrichten

Datenschutznachrichten

Archiv Meldungen zum Thema Datenschutz

Hier finden Sie Berichte, Meldungen, Hintergrundinformationen zu datenschutzrelevanten Themen (Linksammlung).

Berliner Aufsicht: Kontaktdaten des DSB müssen Verschwiegenheit gewährleisten

Die Berliner Aufsichtsbehörde hatte in Ihrem jüngsten Tätigkeitsbericht Stellung zum Empfängerkreis von Nachrichten an den Datenschutzbeauftragten genommen. Sie kritisiert, dass teilweise der kommunizierte Kontakt zum Datenschutzbeauftragten über eine Sammelmailadresse oder über andere Bereiche und Abteilungen läuft.  weiterlesen

Nach Ansicht der Behörde verletzt es die gesetzliche Verschwiegenheitsverpflichtung eines Datenschutzbeauftragten, wenn die Nachrichten anderen Personen als seinen Mitarbeitern bekannt werden.

Die Behörde formuliert:

„Die bzw. der Datenschutzbeauftragte ist bei der Erfüllung ihrer oder seiner Aufgaben zur Wahrung von Geheimhaltung und Vertraulichkeit verpflichtet. Diese Verschwiegenheitspflicht besteht auch gegenüber der sie bzw. ihn benennenden Stelle. Es ist daher nicht zulässig, dass Anfragen, die in dem Vertrauen auf Verschwiegenheit an eine*n Datenschutzbeauftragte*n gesandt werden, an andere Stellen des Unternehmens weitergeleitet werden. Ein Verstoß gegen die gesetzlichen Vertraulichkeitspflichten stellt es daher bspw. dar, wenn die an eine*n Datenschutzbeauftragte*n gerichteten E-Mails an einen Verteiler weitergeleitet werden, dem neben der oder dem Datenschutzbeauftragten auch die IT-Leitung und der Kund*innenservice angehören. Für den Kontakt zu
der oder dem Datenschutzbeauftragten darf auch nicht dasselbe Kontaktformular verwendet werden wie für den Kontakt zum Unternehmen. Eingehende Post oder E-Mails an die oder den Datenschutzbeauftragte*n dürfen vom Unternehmen –
etwa in der Poststelle oder durch die Administrator*innen – nicht geöffnet oder gelesen werden.

Diese Feststellung hat Folgen: die Berliner Behörde hat dem eigenen Bekunden nach Unternehmen wegen dieses Verstoßes bereits verwarnt.
Zum Bericht, Seite 164

Neues Gesetz: Arbeitgeber ist Datenschutzverantwortlicher für Betriebsrats-Verarbeitungen

Bundestag und Bundesrat haben das Betriebsrätemodernisierungsgesetz verabschiedet – und dies bringt eine wesentliche gesetzliche Klarstellung für den Datenschutz im Betriebsrat. Nach dem neuen §79a BetrVG ist aus Datenschutzsicht der Arbeitgeber für die Datenverarbeitung des Betriebsrates rechtlich verantwortlich. Es wird klargestellt, dass der Betriebsrat Teil des verantwortlichen Arbeitgebers ist. weiterlesen

Damit löst sich ein Thema auf, welches seit DSGVO Wirksamwerden unterschiedlich durch Behörden und Gerichte bewertet wurde.

Die neue Vorschrift lautet:

 

㤠79a Datenschutz:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Die §§ 6 Absatz 5 Satz 2, 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“

 

Aus der neuen Vorschriften ergeben sich für den Datenschutzalltag Folgen:

 

  • Die Verarbeitungen seitens des Betriebsrates müssen durch den Arbeitgeber gegenüber den Betroffenen transparent gemacht werden
  • Alle Verarbeitungen des Betriebsrates sind in das Verzeichnis aufzunehmen – das bedeutet zunächst, Klarheit darüber zu erzeugen, welche Verarbeitungen erfolgen und wie lang die Speicherfristen sind
  • Eventuelle Einwilligungen müssen dem betrieblichen Einwilligungsmanagement folgen
  • Es muss in der Auskunft nach Art.15 DSGVO auch über die Daten, die der Betriebsrat noch oder zusätzlich speichert, beauskunftet werden.
  • Die Datenverarbeitung des Betriebsrates muss den Schutzmaßnahmen und damit IT-Sicherheitskonzepten des Arbeitgebers vollständig folgen. 

Urteil OLG Stuttgart 31.03.2021: Anwalt muss bei Auskunftsanspruch für einen Betroffenen Vollmacht vorlegen

Das OLG Stuttgart (Urteil vom 31.03.2021, Az. 9U 34/21)  hat ein weiteres Kriterium für die Auskunft präzisiert. Das Gericht stellte fest, dass eine Auskunftspflicht einen korrekten Auskunftsantrag erfordert. Fordert der Anwalt eines Betroffenen die Auskunft, muss der Anwalt seine Vollmacht vorlegen. In dem konkreten Fall lag die Vollmacht nicht vor, so dass der Verantwortliche zu Recht die Auskunft (zunächst) verweigerte. Das Gericht urteilte: weiterlesen

„Auf den zuvor von dem Prozessbevollmächtigten für die Klägerin gestellten Auskunftsantrag (Schreiben vom 06.09.2019) musste die Beklagte eine Auskunft nicht erteilen. Denn die Beklagte wies den Antrag mangels Vorlage einer Originalvollmacht zurück (Anlage K 3). Dies mit Recht.
Die DS-GVO knüpft die Auskunftspflicht des Verantwortlichen an einen Auskunftsantrag, der von der betreffenden Person gestellt wird. An einem solchen fehlt es vorliegend.“

Das Gericht führt weiter aus, dass dazu die Original-Vollmacht vorgelegt werden muss.

„Entgegen der Ansicht der Klägerin genügte die Vorlage eines „Signing Log“ über eine von der Klägerin elektronisch erfolgte Signatur nicht. Es kann dahinstehen, ob und welchen Anforderungen der von dem Klägervertreter verwendete Dienst genügt. Im Rahmen des § 174 BGB genügt nur die Vorlage einer Urkunde. Unter den zivilrechtlichen Begriff der Urkunde fallen keine elektronische Erklärungen, sondern nur solche verkörperte Erklärungen, die ohne die Verwendung technischer Hilfsmittel lesbar sind (MüKo-BGB/Einsele, 8. Aufl. 2018, § 126 BGB Rn. 25). Die elektronische Form kann eine Urkunde von Gesetzes wegen nicht ersetzen (§ 126 Abs. 3 Hs. 2 BGB).“

Das OLG stützt damit eine Rechtsauffassung, die bereits 2019 das AG Berlin Mitte (Urteil vom 29.07.2019 – Az.: 7 C 185/18) vertreten hat. Im Falle eines Auskunftsbegehrens muss der Anwalt seine Bevollmächtigung belegen. 

BAG Urteil: Auskunftsbegehren in Form „Kopie des E-Mailverkehrs“ ist zu unbestimmt

Das Bundesarbeitsgericht hat einen Aspekt des Auskunftsrechtes weiter konkretisiert: Das Begehren muss „konkret“ sein (Urteil Bundesarbeitsgericht, Urteil vom 27. April 2021 – 2 AZR 342/20 ).  weiterlesen

Ein ehemaliger Arbeitnehmer eines Verantwortlichen begehrte Auskunft nach Art.15 DSGVO. Dabei verlangte er Kopie seiner Daten, und zwar in Form der Kopie seines Mail-Verkehrs und Kopie aller Mails, in denen er namentlich genannt ist.

Das BAG hat diesen Anspruch abgelehnt. Das Gericht urteilte, dass ein solches Begehren zu unbestimmt ist. Ein Antrag auf „Überlassung der Kopien von E-Mails“ ist unklar gefasst, weil nicht klar wird, auf welche E-Mails sich der Antrag bezieht. Wenn man ein solches Urteil vollstrecken möchte, ist nicht klar, was das Vollstreckungsverfahren beeinhaltet.

Das Gericht hat ausdrücklich nicht darüber entschieden, ob Kopien von E-Mails überhaupt vom Auskunftsrecht nach Art.15 Abs.3 DSGVO umfasst sind. Die Unklarheit, welche E-Mails gemeint sind und herausgegeben werden sollten, führte bereits dazu, dass der Antrag abgelehnt wurde. Das Gericht formuliert:

„Der Senat konnte offenlassen, ob das Recht auf Überlassung einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie von E-Mails umfassen kann. Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Daran fehlte es hier. Bei einer Verurteilung der Beklagten, eine Kopie des E-Mail-Verkehrs des Klägers zur Verfügung zu stellen sowie von E-Mails, die ihn namentlich erwähnen, bliebe unklar, Kopien welcher E-Mails die Beklagte zu überlassen hätte. Gegenstand der Verurteilung wäre die Vornahme einer nicht vertretbaren Handlung iSv. § 888 ZPO, für die im Zwangsvollstreckungsrecht nicht vorgesehen ist, dass der Schuldner an Eides statt zu versichern hätte, sie vollständig erbracht zu haben.“

Der Urteilstext ist noch nicht veröffentlicht, hier geht’s zur Pressemitteilung des BAG:

Bußgeld gegen Krankenhaus wegen unzureichendem Zugriffsschutz auf Patientenakten

Die niederländische Datenschutzaufsichtsbehörde hat ein Bußgeld gegen das Amsterdamer Krankenhaus (OLVG) über 440.000 Euro verhängt. Grund hierfür sind unzureichende Schutzmaßnahmen der Patientendaten.weiterlesen

In den Jahren 2018-2020 konnten unbefugte Mitarbeiter auf die Akten zugreifen – der Vorwurf lautet, dies nicht in ausreichendem Maße verhindert zu haben. Laut Aufsichtsbehörde konnten Werkstudenten und andere Mitarbeiter ohne Grund auf die Akten von Patienten zugreifen. Bemängelt wurden strukturelle Defizite: Zum einen war die Kontrolle des Zugriffs zu schwach ausgeprägt. Zwar wurde der Zugriff auf Patientendaten protokolliert, der Zugriff wurde aber nicht überprüft. Zum anderen wurde die Authentifizierung bemängelt: Die vom System vorgegebene Authentifizierung mittels Passwort und Ausweis und die damit dem Stand der Technik entsprechende Zwei-Faktor-Authentifizierung wurde nicht genutzt.

Zur Meldung der niederländischen Behörde

Aktualisierte behördliche Bewertung von Videokonferenzlösungen

Die Berliner Aufsichtsbehörde hat die schon im letzten Jahr durchgeführte Bewertung von Videokonferenzlösungen aktualisiert. Die Bewertung bezieht sich auf so genannte SAAS Lösungen, also der Nutzung der beim Dienstleister betriebenen Software. weiterlesen

In die aktuelle Bewertung sind weitere Anbieter in die Betrachtung aufgenommen worden und es ist eine getrennte Bewertung des rechtlichen Teils und der technischen Umsetzung vorgenommen worden.

Die Behörde kommt weiterhin zum Schluss, dass die dominierenden großen Anbieter Google Meets, Microsoft Teams und Zoom das System nicht datenschutzkonform betreiben. Alle großen Player scheitern aus Sicht der Behörde bereits bei der rechtlichen Bewertung der Vertragsunterlagen. Eine Bewertung der technischen Umsetzung wurde in der Folge nicht mehr durchgeführt.

Die Behörde erwähnt zwar Verbesserungen, bleibt in der Bewertung aber trotzdem beim Urteil „rot“.

Zur Bewertung hier 

Entwurf neuer Standardvertragsklauseln veröffentlicht

Die EU Kommission hat gestern überarbeitete Standardvertragsklauseln im Entwurf veröffentlicht und führt bis Mitte Dezember eine Anhörung dazu durch.
Wesentliche Änderung ist, dass der Datentransfer zwischen Parteien unterschiedlicher Verantwortungskonstellation geregelt wird.  weiterlesen

Neben dem benannten Controller-Prozesser (Auftragsverarbeiter)-Verhältnis werden auch Controller-Controller, Processor–Processor und Processor—Controller nun geregelt.

Die Entwürfe sind hier zu finden:

Orientierungshilfe nach EUGH Urteil zur Datenübermittlung ins Nicht-EU-Ausland

Die baden-würtembergische Datenschutzaufsichtsbehörde hat eine erste Orientierungshilfe veröffentlicht, die Hinweise zur Datenübermittlung ins Nicht-EU Ausland nach dem Urteil des EUGH gibt.
Sie macht darin deutlich, dass die Standardvertragsklauseln zwar im Prinzip noch gültig sind, aber dass es nicht allein darauf ankommt, ob Datenexporteuer und Datenimporteuer sich zum Umgang mit den Daten verständigt haben.  weiterlesen

Es kommt vielmehr darauf an, ob und wie die Behörden des Empfängerlandes Zugriff auf die Daten haben. Die Standardvertragsklauseln binden schließlich nicht die Behörden, sondern nur den Datenimporteuer.
Sie können daher nur dann als Grundlage akzeptiert werden, wenn durch weitere Maßnahmen der Zugriff der Behörden verhindert wird.

Der LDI BaWü benennt dazu auch zwei Beispiele: „Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann und „Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann“.

Der LDI BaWü kommt zu dem Schluss, dass ohne diese Maßnahmen die Datenübermittlung explizit in die USA nicht regelkonform ist.

 

Die Orientierungshilfe kann hier abgerufen werden:

Aufsichtsbehörden: Anforderungen an Google Analytics Einsatz

Die Aufsichtsbehörden (Datenschutzkonferenz) haben in einem weiteren Positionspapier Ihren Standpunkt zum Einsatz von google analytcis kommuniziert. Nach Auffassung der Behörden ist google im Bezug auf google Analytics kein Auftragsverarbeiter und verarbeitet in allen Fällen personenbezogene Daten.  weiterlesen

Die Behörden sehen weder Art. 6 Abs.1 (b) DSGVO noch Art. 6 Abs.1 (f) DSGVO als Rechtsgrundlage, die Daten zu verarbeiten. Sie begründen, warum kein berechtigtes Interesse an der Verarbeitung überwiegt.
Es verbleibt damit die Einwilligung als Rechtsgrundlage. Auch hier sehen die Behörden Anforderungen, die an die Einwilligung zu stellen sind und deren Umsetzung nachgewiesen werden muss.
Der Beschluss der Datenschutzkonferenz ergänzt das bereits bekannte Papier zu den Anforderungen an Telemediendienste (Orientierungshilfe März 2019).

 

Die neuen Positionen können hier eingesehen werden: 

Anonymisierung ist eine folgenabschätzungsrelevante Verarbeitung

Der Bundesbeauftragte hat ein Positionspapier veröffentlicht, das sich mit den Anforderungen der Anonymisierung von Daten beschäftigt. Das Papier bezieht sich zwar primär auf Telekommunikationsdaten, ist aber adaptierbar und in mehreren Stellen wegweisend.  weiterlesen

So werden Anforderungen an die rechtliche Zulässigkeit und die Methode der Anonymisierung beschrieben. Die gelegentlich diskutierte Frage, ob man nicht Daten immer anonym verwenden darf, wird datenschutzrechtlich aufgearbeitet. Außerdem wird klargestellt, dass der Anonymisierungsschritt ein Verarbeitungsvorgang ist, der einer Folgenabschätzung bedarf.

 

Das Papier ist  hier zu finden

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018