Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018

Der erste Tätigkeitsbericht im Zeitalter der Europäischen Datenschutzgrundverordnung (DSGVO) des Sächsischen Datenschutzbeauftragten ist veröffentlicht. Schwerpunkte der Tätigkeit des Datenschutzbeauftragten waren allgemeine Beratungen zur DSGVO sowie Bearbeiten von Beschwerden durch Betroffenen, Bearbeitung von Meldungen zu Datenpannen in Unternehmen und Verwaltung, Verarbeitungen auf Basis von Einwilligungen und Prüfung von Videoüberwachungen.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.

Auszug aus den Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht

„Die Aufsichtsbehörden wurden durch die erhöhte Aufmerksamkeit vor neue Herausforderungen gestellt. Petitionen und Beratungen steigerten sich auf das Dreifache. So haben Informationen, Benachrichtigungen und Einwilligungen um den 25. Mai 2018 verstärkt zu Auskunftsersuchen gegenüber Unternehmen und öffentlichen Stellen geführt, die teilweise unbefriedigend bzw. nicht ordnungsgemäß beantwortet wurden, was zu vielen Beschwerdevorgängen führte. Auch bei den datenverarbeitenden Stellen, die Verordnung spricht von ‚Verantwortlichen‘, bestand und besteht hoher Beratungsbedarf, wobei sich der Inhalt der Anfragen verschoben hat“

Hier finden Sie die Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht:
https://datenschutz.prodatis.com/downloads/Handout_zur_Pressekonferenz_18_12_19_rs.pdf

Hier finden Sie den Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018
https://datenschutz.prodatis.com/downloads/Taetigkeitsbericht_2017_2018.pdf

Im kommenden Jahr wird die Sächsische Datenschutzaufsichtsbehörde den Vorsitz der Konferenz der unabhängigen Datenschutzbehörden (DSK) des Bundes und der Länder übernehmen und die 100. Datenschutzkonferenz durchführen.

Einbindung von Analyse-Diensten und Cookies auf Websites

1. Vorsicht bei Einbindung von Analyse-Diensten auf Websites

Aufgrund einer Vielzahl von Anfragen, Beschwerden und Kontrollanregungen weist der Sächsische Datenschutzbeauftragte auf Folgendes hin:

Hinsichtlich der rechtlichen Bewertung der Einbindung von Analyse-Diensten auf Websites und Apps haben sich die Aufsichtsbehörden des Bundes und der Länder in der Orientierungshilfe für Anbieter von Telemedien auf ein gemeinsames Rechtsverständnis geeinigt.

Rechtsauffassungen, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 veröffentlicht wurden, wie z. B. die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“, sind überholt und werden von den Aufsichtsbehörden des Bundes und der Länder nicht mehr vertreten.

Lesen Sie dazu mehr unter folgendem Link:
https://www.saechsdsb.de/presse/597-presseerklaerung-vorsicht-bei-einbindung-von-analyse-diensten-auf-websites-website-betreiber-sollten-ihr-angebot-ueberpruefen


2. Checkliste: Interessenabwägung zum Tracking auf Websites

Viele Website-Betreiber geben an, den Einsatz von Tracking-Tools auf Art. 6 Abs. 1 Buchst. f DSGVO zu stützen, da sie ein „berechtigtes Interesse an Werbung“ haben. Manch Website-Betreiber meint, damit sei es getan. Schließlich steht in der DSGVO Schwarz auf Weiß, dass Werbung ein berechtigtes Interesse ist. Doch ganz so einfach ist es nicht.

Dass das eigene Interesse daran, Tracking-Tools einzusetzen, das der betroffenen Nutzer überwiegt, müssen Website-Betreiber nachweisen. Die reine Behauptung, dass es so sei, wird keiner Datenschutz-Aufsicht reichen.

Verantwortliche müssen sogar mit einem Bußgeld rechnen, wenn er die Abwägung ungenügend oder gar nicht durchgeführt und zugleich seine Rechenschaftspflicht verletzt hat.

Damit es nicht so weit kommt, sollten Verantwortliche ihre Interessenabwägung immer dokumentieren, z.B. mit einer Checkliste.

Download Checkliste:
https://datenschutz.prodatis.com/downloads/Checkliste Interessenabwaegung zum Tracking auf Websites.docx

(Quelle: www.datenschutz-praxis.de)


3. FAQ zu Cookies und Tracking

Der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat auf seiner Seite FAQ zum Thema Cookies und Tracking veröffentlicht. Betreiber von Webseiten, aber auch Hersteller von Smartphone-Apps (sog. „Anbieter von Telemediendiensten“) müssen sicherstellen, dass bei der Verarbeitung personenbezogener Daten alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

FAQs als Download:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien:
https://datenschutz.prodatis.com/downloads/Orientierungshilfe-der-Aufsichtsbehörden-für-Anbieter-von-Telemedien.pdf

Rechtsgrundlage ermitteln | Geldbußen auch gegen Beschäftigte | Anforderungen an Betriebsvereinbarungen

Schritt für Schritt: Rechtsgrundlage ermitteln nach Art. 6 DSGVO

Bevor ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Rechtmäßigkeit der Verarbeitung prüfen. Rechtsgrundlagen bietet die DSGVO v.a. in Art. 6. Machen Sie den Kollegen klar, dass sie dabei möglichst nicht mit der Einwilligung anfangen sollten, wie es die DSGVO scheinbar nahelegt.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Rechtsgrundlage_ermitteln_nach_Art_6_DSGVO.pdf


Geldbußen nach der DSGVO auch gegen Beschäftigte?

Ein Beschäftigter kann an seinem Arbeitsplatz auf Daten von Kunden zugreifen. Das missbraucht er für rein private Zwecke. Kann die Aufsichtsbehörde deshalb gegen ihn ein Bußgeld verhängen?

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Geldbussen_nach_der_DSGVO_auch_gegen_Beschaeftigte.pdf


DSGVO: Anforderungen an Betriebsvereinbarungen

Betriebsvereinbarungen sind ein wichtiges Instrument, um Beschäftigtendaten rechtskonform zu verarbeiten. Wie müssen solche Vereinbarungen ausgestaltet sein, und welche Vorgaben gilt es zu beachten?

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Anforderungen_an_Betriebsvereinbarungen.pdf

Das Löschkonzept – ein Beispiel

Um seinen Löschpflichten nachkommen zu können, ist es notwendig, dass der Verantwortliche ein Löschkonzept erstellt, dokumentiert und umsetzt. Dieser Artikel gibt Tipps zum Aufbau eines solchen Konzepts.

Mitten im Block der Betroffenenrechte findet sich in der Datenschutz-Grundverordnung (DSGVO) der Artikel 17 mit seinem „Recht auf Löschung“, auch „Recht auf Vergessenwerden“ genannt. Da liegt es nahe, zu denken, dass dies etwas ist, was die betroffene Person aktiv wahrnimmt. Wer so denkt, denkt nicht weit genug.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/das_loeschkonzept_ein_beispiel.pdf

Datenschutzgerechte Datenträgervernichtung

Die ISO/IEC 21964 basiert auf der der DIN 66399, die in der internationalen Norm übernommen wurde. Die Entwicklung der DIN 66399-1 bis 3 hat gezeigt, wie diese Normung durch die Berücksichtigung des Stands der Technik, erhöhte Sicherheitsanforderungen für Vernichtungsmaschinen und -prozesse bei Dienstleistern bzw. Unternehmen positiv angenommen wurde.

Die DIN 66399 hat sich bei Herstellern, Dienstleistern und innerhalb der Unternehmen etabliert und maßgeblich zu mehr Sicherheit von lokalen bzw. dezentralen Vernichtungsprozessen geführt. Dies wurde auch international anerkannt.

Durch die Aktualisierung des Ratgebers sind Gesetzesänderungen aber auch das Einbringen von Auslegungshinweisen bei Unsicherheiten der Anwendung der DIN 66399 vom GDD-Arbeitskreis „Datenträgervernichtung“ aufgenommen und berücksichtigt worden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.gdd.de/gdd-arbeitshilfen/gdd-ratgeber/datenschutzgerechte-datentraegervernichtung-4-aufl-2019-1

Wann verjähren Datenschutzverstöße?

Die enorm hohen Geldbußen, die die DSGVO vorsieht, führen bei Unternehmen zu erheblichen Unsicherheiten. Fraglich ist, wann diese Unsicherheit endet, sprich ab welchem Zeitpunkt Unternehmen keine Verfolgung durch Aufsichtsbehörden mehr befürchten müssen.

Die Geldbußen der Datenschutz-Grundverordnung (DSGVO) sollten eigentlich nicht der einzige Anreiz für Unternehmen sein, datenschutzkonform mit personenbezogenen Daten umzugehen.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Wann_verjaehren_Datenschutzverstoesse.pdf

Verstoß gegen DSGVO: Deutsche Wohnen soll 14,5 Millionen Euro zahlen:
https://www.heise.de/newsticker/meldung/Verstoss-gegen-DSGVO-Deutsche-Wohnen-soll-14-5-Millionen-Euro-zahlen-4578269.html

Einsatz von Office 365 unter Windows und die DSGVO – Varianten im Vergleich

Derzeit ist Office 365 unter den Datenschutzaufsichtsbehörden ein großes Diskussionsthema. Wie lässt sich Office 365 datenschutzkonform einsetzen Was müssen Unternehmen und öffentliche Einrichtungen als Verantwortliche für die Datenverarbeitung beachten?

Lesen Sie dazu mehr unter folgenden Links:
https://datenschutz.prodatis.com/downloads/office_365_unter_windows.pdf

https://www.heise.de/newsticker/meldung/Windows-10-erneut-im-Fokus-der-EU-Datenschuetzer-4509119.html

Berechnung von Bußgeldern nach der DSGVO von den Aufsichtsbehörden verabschiedet

Die Datenschutz-Aufsichtsbehörden haben sich auf ihrer Sitzung im September auf ein Modell zur Berechnung von Bußgeldern geeinigt. Informationen dazu finden Sie im folgenden Artikel von „Latham & Watkins LLP“:

https://www.lathamgermany.de/2019/09/datenschutzbehorden-verabschieden-modell-zur-berechnung-von-busgeldern/

DSGVO-Bußgelder – das ist neu

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

  1. Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
  2. Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen) bestimmt, in die das Unternehmen eingeordnet wurde.
  3. Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
  4. Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
  5. Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.

Quelle: www.computerwoche.de

DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott:
https://www.heise.de/newsticker/meldung/DSGVO-Strafe-110-Millionen-Euro-Bussgeld-fuer-Hotelkette-Marriott-angesetzt-4466555.html

BayLDA prüft datenschutzrechtliche Vorraussetzung zum Einsatz von Tracking-Tools wie Facebook Pixel

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersucht in einer fokussierten Datenschutzprüfung die Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes. Das BayLDA prüft insbesondere, ob sensible Gesundheitsdaten der Nutzer durch Facebook verarbeitet wurden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.lda.bayern.de/media/pm/pm2019_10.pdf

Nutzung einer Facebook Fanpage rechtswidrig

Ein neues Urteil des Bundesverwaltungsgerichts (BVerwG) vom 11.09.2019 (Az. 6 C 15.18) entfacht die Diskussion über die rechtswidrige Nutzung von Facebook Fanpages erneut.

Das Gericht entschied, dass ein Verantwortlicher, d.h. ein Betreiber einer Fanpage, wie Unternehmen oder öffentliche Verwaltungen bei schwerwiegenden datenschutzrechtlichen Mängeln die Fanpage abschalten müssen, wenn die Datenschutzbehörde dazu auffordert.

Ein bereits im Frühjahr 2018, durch den Europäischen Gerichtshof gefälltes Urteil, besagte, dass der Betreiber einer Fanpage gemeinsam mit Facebook für die Datenverarbeitung verantwortlich ist. Hier kommt als rechtliche Grundlage Art. 26 DSGVO in Betracht. Diese Grundlage verlangt zwingend eine schriftliche Vereinbarung, in der die jeweiligen datenschutzrechtlichen Pflichten der Verantwortlichen festgelegt werden. Ohne eine solche Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Seitens Facebook wurde jedoch noch keine solche Vereinbarung zur Verfügung gestellt.

Lesen Sie dazu mehr unter folgenden Links:
https://www.datenschutzzentrum.de/artikel/1253-.html

https://www.gdd.de/aktuelles/startseite/news/datenschuetzer-duerfen-den-betrieb-von-facebook-fanpages-untersagen-hinweise-zum-einsatz-von-facebook-fanpages-durch-unternehmen

Auch in den neuesten Tätigkeitsberichten der Aufsichtsbehörden der Länder ist das Thema „Facebook“ präsent. So geht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg in ihrem Tätigkeitsbericht speziell darauf wie folgt ein:

Unternehmen oder Verwaltungen, die eine Facebook Fanpage betreiben, können sich ihrer datenschutzrechtlichen Mitverantwortung nicht entziehen. Das hat der Europäische Gerichtshof im vergangenen Jahr entschieden (Kapitel IV, Nr. 1, Seite 64). Sie müssen beispielsweise bestimmte Vereinbarungen mit Facebook schließen und nachvollziehbar darlegen, dass die Verarbeitung der Nutzerdaten mit der Datenschutz-Grundverordnung vereinbar ist. Dazu werden sie in der Regel nicht in der Lage sein, da Facebook bislang weder hinreichend transparent noch konkret darüber informiert. In der Kritik steht vor allem die undurchschaubare Verarbeitung von Nutzerdaten – auch solcher von Fanpagebesucherinnen und -besuchern, die gar nicht Mitglied des sozialen Netzwerks sind. Unter diesen Bedingungen ist der Betrieb von Facebook Fanpages rechtswidrig. Darauf hat zuletzt auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hingewiesen. Die Landesbeauftragte wird im laufenden Jahr Verantwortlichen, die solche Fanpages betreiben, auf den Zahn fühlen.