Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat bereits am Dienstag, den 24. Mai 2022 ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken des Amtsvorgängers Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete. Auf über 200 Seiten sind Schwerpunkte der aufsichtsbehördlichen Tätigkeit inklusive Hinweise zur Auslegung der Datenschutz-Grundverordnung (DS-GVO), zur Sanktionspraxis und Rechtsprechung zusammengefasst. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer und die 3G-Regelung am Arbeitsplatz. Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen erreichte ein ähnlich hohes Niveau wie im Vorjahr. Ein Teil davon betraf die Telemedien. Grund genug, dass im Rahmen des nachfolgenden Beitrages der Blick auf einige Auszüge aus dem Bericht gelegt werden sollen.
ANFORDERUNGEN AN COOKIES UND VERGLEICHBARE TECHNOLOGIEN
Durch das In-Kraft-Treten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind seit dem 1. Dezember 2022 neben den Voraussetzungen an die Verarbeitung personenbezogener Daten nach der DS-GVO weitere Anforderungen hinsichtlich der Einbindung bzw. des Setzens von „Cookies“ und vergleichbarer Technologien – insbesondere nach § 25 TTDSG – zu beachten. Diesbezüglich wird im Tätigkeitsbericht wie folgt ausgeführt: „Die für Websites und Apps an der ehesten infrage kommende Rechtsgrundlage ist neben der Einwilligung (Art. 6 Abs. 1 Buchst. a) [DS-GVO] das berechtigte Interesse (Art. 6 Abs. 1 Buchst. f) [DS-GVO]. Dieses berechtigte Interesse muss aber nachgewiesen werden und fordert eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person. Dies ist alles andere als trivial, eine bloße Nützlichkeitsbegründung seitens des Verantwortlichen ist nicht ausreichend […]. Fakten, die für eine Interessenabwägung zugunsten des Verantwortlichen sprechen, sind zum Beispiel eine nachweisbare und den Anforderungen des Art. 28 DSGVO entsprechende Auftragsverarbeitung mit einem eingebundenen Dienstleister oder eine Verarbeitung durch den Verantwortlichen selbst bzw. technisch-organisatorische Maßnahmen wie eine zügige Anonymisierung von personenbezogenen Daten (zum Beispiel IP-Adressen, Cookie-Identifikatoren). Verarbeitungen, die aufgrund ihres Risikos eher nicht auf ein berechtigtes Interesse gestützt werden können, sind die Bildung von Profilen und sogenannten Nutzer-Journeys, also all das, was landläufig unter Tracking verstanden wird. Das berechtigte Interesse ist in aller Regel auch dann infrage zu stellen, wenn ein Dritter die erlangten Daten für eigene Zwecke nutzt oder dies nicht klar ausgeschlossen ist. Um es klar zu sagen: Die Nutzung von Diensten großer Anbieter, deren Geschäftsmodell das Sammeln und Aggregieren von Nutzungsdaten zu Werbezwecken ist und die dazu noch über eine entsprechende Marktmacht verfügen, ist mit einem berechtigten Interesse des Verantwortlichen nicht vereinbar. […] Fehlen die Voraussetzungen für ein berechtigtes Interesse, bleibt in aller Regel nur ein Rückgriff auf eine Einwilligung. Dabei sind alle Anforderungen aus der DSGVO zu beachten, die strikte Regeln für Transparenz, Bestimmtheit und Freiwilligkeit fordert sowie in Fällen der Nutzung durch Minderjährige eine Einwilligung der Erziehungsberechtigten vorsieht.“
Und weiter heißt es: „Werden zusätzlich zu einer Verarbeitung auch Cookies oder ähnliche Technologien eingesetzt, muss deren Einsatz den Anforderungen des TTDSG entsprechen, welches dafür grundsätzlich eine Einwilligung vorsieht […]. Ausnahmen von einem Einwilligungserfordernis sind eng begrenzt auf eine unbedingte Erforderlichkeit, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann […]. Ausgehend von den Begrifflichkeiten des Nutzerwunsches und der Erforderlichkeit muss jeder Cookie überprüft werden: Wann, wie, für wie lange und für wen wird ein Cookie gesetzt? Es geht dabei um eine Bewertung des Zweckes und der Mittel […] So muss ein individualisierter Warenkorb-Cookie in einem Online-Shop erst dann gesetzt werden, wenn der Warenkorb genutzt wird. Für ein bloßes Browsen ist dieser nicht erforderlich. Gleiches gilt für Cookies für Zusatzfunktionen wie Chats oder Karten-Widgets. […] zum Beispiel [ist] nicht als erforderlich zu betrachten, dass ein Einwilligungsmanagement, welches die Entscheidung über die Auswahl an gewünschten Verarbeitungen speichern soll, einen individualisierten Cookie setzt (und schon gar nicht beim initialen Aufruf einer Website, bevor eine Entscheidung getroffen wurde) […] Für die Speicherung der Entscheidung reicht es, diese nichtindividualisiert zu speichern […].“
Es folgen noch weitere – zumindest lesenswerte – Ausführungen zum Einsatz von US-Dienstleistern. Diese sowie die obenstehenden Punkte machen deutlich, dass die sächsische Aufsichtsbehörde dem Grunde nach einen sehr strengen Prüfungsmaßstab, insbesondere an die Erforderlichkeit der Ausnahmen vom Einwilligungserfordernis im Rahmen des § 25 TTDSG, anleget. Mithin dürfte auch klar sein, dass datenschutzrechtlich Verantwortliche – unabhängig davon, ob man der strengen Ansicht der Aufsichtsbehörde vollumfänglich folgt – ihre Webseiten prüfen und gegebenenfalls überarbeiten und anpassen sollten, um sich zum einen der auf den Internetpräsenzen stattfinden Datenverarbeitungen bewusst zu werden und zum anderen der bestehenden Rechenschaftspflicht insbesondere in Bezug auf die Abwägungskriterien der unbedingten Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG erfüllen zu können.
WIE HABEN SICH DIE DATENSCHUTZVERLETZUNGEN ENTWICKELT?
Dem Tätigkeitsbericht ist ferner zu entnehmen, dass die Meldung von Datenschutzverletzungen gemäß Art. 33 DS-GVO stetig ansteigt. Im Berichtszeitraum sind 923 solcher Meldungen eingegangen. Im Vergleich zum vorjährigen Berichtszeitraum (635 Meldungen) entspricht dies laut Tätigkeitsbericht einer Steigerung um rund 45 Prozent. Wie bereits im vorjährigen Berichtszeitraum ist der Fehlversand eine der häufigsten Fallgruppen der gemeldeten Datenschutzverletzungen. Ursachen für diese Vorfälle sind falsche Zuordnung von Unterlagen, fehlerhafte Kuvertierung oder schlicht Flüchtigkeitsfehler. Nach wie vor ist häufig der Versand von E-Mails (zum Beispiel Newsletter) über erkennbare E-Mail-Adressen im Kopie-Modus (Cc), anstatt im Blindkopie-Modus (Bcc) eine gemeldete Datenschutzverletzung, die in der Regel auf schlichte Unachtsamkeit des Absenders zurückzuführen ist. Neben dem Fehlversand aufgrund des Verschuldens des Absenders gingen auch wieder zahlreiche Meldungen wegen des Verlustes von Postsendungen ein. Ebenso kam es im Berichtszeitraum wieder zu Diebstählen oder dem Verlust von Datenträgern mit zum Teil sensiblen Daten. Rund ein Drittel der Meldungen von Datenschutzverletzungen, die im Jahr 2021 eingingen, sind auf die Fallgruppe der Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen im Bereich Cyberkriminalität zählten die Sicherheitslücken in Microsoft Exchange-Servern.
KANN EIN DATENSCHUTZBEAUFTRAGTER ZUGLEICH BEAUFTRAGTER FÜR INFORMATIONSSICHERHEIT EINER ORGANISATION SEIN?
Auch der Blick auf die Fragen der Informationssicherheit – in Sachsen für staatliche und nicht-staatliche Stellen speziell durch das Sächsische Informationssicherheitsgesetz (SächsISichG) geregelt – lohnt: „Die Bestellung verschiedener anderer Beauftragter in Personalunion zum Datenschutzbeauftragten ist grundsätzlich problematisch. Der Beauftragte für Informationssicherheit ist dabei jedoch weniger kritisch zu betrachten, da Informationssicherheit und Datenschutz meist parallel laufen. Dies gilt auch vor dem Hintergrund, dass für die Informationssicherheit umfassende Sammlungen personenbezogener Daten verarbeiten werden, um Missbrauch zu entdecken. Auch Art. 32 DSGVO adressiert die Sicherheit der Verarbeitung und zudem in Absatz 1 Buchst. c) ausdrücklich die Verfügbarkeit.“
Auch diese Auffassung muss näher beleuchtet werden. Ein Beauftragter für Informationssicherheit muss vergleichbar zum Datenschutzbeauftragten gemäß § 7 Abs. 2 Satz 3 SächsISichG bei der Aufgabenerfüllung frei von Interessenkonflikten sein. Mit Blick auf den BSI IT-Grundschutz wird auch dort vermerkt, dass beiden Rollen (DSB und ISB/BfIS) sich nicht grundsätzlich ausschließen, es sind allerdings einige Aspekte im Vorfeld zu klären: „Die Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden. Außerdem sollten auf beiden Seiten direkte Berichtswege zur Leitungsebene existieren. Weiterhin sollte überlegt werden, ob konfliktträchtige Themen zusätzlich noch nachrichtlich an die Revision weitergeleitet werden sollten. Außerdem muss sichergestellt sein, dass der Informationssicherheitsbeauftragte über ausreichend freie Ressourcen für die Wahrnehmung beider Rollen verfügt. Gegebenenfalls muss er durch entsprechendes Personal unterstützt werden.“ Auf diese Grundsätze sollte auch bei der Personalunion zwischen Datenschutzbeauftragten und Beauftragten für Informationssicherheit zurückgegriffen werden.
FAZIT
Dem Tätigkeitsbericht ist sehr gut zu entnehmen, welchen Kurs die sächsische Datenschutzaufsichtsbehörde zum Teil bei der Rechtsauslegung und -anwendung einschlägt. Zum anderen geht deutlich hervor, dass sich datenschutzrechtlich Verantwortliche ihrer Pflichten bewusst sein und für deren effektive Umsetzung sorgen müssen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
