DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (8)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 8: LÖSUNG

Der EDSA betont, dass die entwendeten Daten (Adressen) grundsätzlich nicht sensibel sind und für die Betroffenen keine hohen Risiken entstehen. Je nach Einzelfall kann sich dies anders verhalten. So war die Datenpanne bei LEDGER auch für jene Kunden problematisch, bei denen „nur“ Adressdaten in unbefugte Hände gerieten. Wegen des betroffenen Produkts – Bitcoin-Valets – ist für Angreifer erkennbar, dass tendenziell die Wohnanschriften wohlhabender Personen erfasst sind.

Zugunsten des Verantwortlichen vermerkt der EDSA außerdem, dass der Angreifer (ehemaliger Mitarbeiter) die Adressdaten offenbar „nur“ für Werbezwecke nutzen wolle, allerdings wird auch angemerkt, dass insoweit ein Restrisiko weitergehender Missbräuche verbleibt. Die Daten sind „außer Kontrolle“. Ganz lebensnah wird vom EDSA festgestellt, bei Versuchen, sie wieder unter Kontrolle zu bringen – z.B. durch Aufforderungen oder gerichtliche Verfahren gegen den ehemaligen Mitarbeiter – sei der Erfolg „bestenfalls zweifelhaft“, Rdnr. 75 EDSA-Richtlinie.

Im konkreten Fall verbleiben keine hohen, aber doch Risiken. Folglich: Dokumentation notwendig, Meldung nach Art. 33 DS-GVO notwendig, Meldung nach Art. 34 DS-GVO entbehrlich (EDSA-Richtlinie, Rdnr. 77: Mitteilung an die Betroffenen vielleicht dennoch aus Imagegründen sinnvoll für den Verantwortlichen). Als mögliche Schutzvorkehrung wird empfohlen, Vertraulichkeitsklauseln in Arbeitsverträge aufzunehmen und gekündigten Mitarbeitern Zugriffsrechte zu entziehen. Beide Maßnahmen sind natürlich nicht immer wirksam. Das ist aber kein Grund, auf sie zu verzichten.


FALL 9: LÖSUNG

Fall Nr. 9 behandelt einen „Klassiker“ aus der Praxis: Personenbezogene Daten werden von Verantwortlichen versehentlich unbefugten Dritten offengelegt. In diese Fallgruppe gehören nicht nur (wie im Beispiel) falsch gewählte Dateianhänge und fehlerhafte Rechtevergaben, sondern auch die in der Praxis häufigen Fehladressierungen (bei traditionellen Briefen ebenso wie bei E-Mail und Telefax). Der EDSA bestätigt in seiner Falllösung, dass auch aus seiner Sicht insoweit gilt: Für das mit der Datenschutzverletzung entstehende Risiko ist entscheidend, welchen Personen die Daten versehentlich offengelegt wurden. Handelt es sich um vertrauenswürdige, dem Verantwortlichen gegenüber kooperative Dritte? Oder sind es völlig Unbekannte, deren Verhalten der Verantwortliche schwer beziehungsweise gar nicht prognostizieren kann?

Der Vorgang betrifft nicht die Integrität und Verfügbarkeit, sondern „nur“ die Vertraulichkeit der Daten. Wenn eine Weiterverwendung der Daten durch den unbeabsichtigten Empfänger mit guten Gründen ausgeschlossen werden kann, bestehen nicht nur keine hohen Risiken (Art. 34 DS-GVO), sondern – auch nach Ansicht des EDSA – gar keine Risiken (folglich auch keine Meldepflicht gemäß Art. 33 DS-GVO). Ist das Verhalten des Datenempfängers nicht vorhersehbar, so wird jedenfalls eine Meldung nach Art. 33 DS-GVO notwendig sein. Reagiert dieser Empfänger auf Lösch-Anforderungen des Verantwortlichen nicht oder gibt es sonstige Gründe, am rechtskonformen Verhalten des Empfängers zu zweifeln, wird auch eine Information der Betroffenen nach Art. 34 DS-GVO stattfinden müssen. Lösung im konkreten Fall: interne Dokumentation des Vorgangs, keine Meldung an Aufsichtsbehörde oder Betroffene.

Die EDSA-Richtlinie verlässt damit den Bereich der Datenschutz-Verletzungen durch vorsätzliches oder fahrlässiges Verhalten von Beschäftigten und gibt (in Rdnr. 84) noch diesbezügliche Präventions-Empfehlungen. Neben sehr allgemeinen Ratschlägen („Einführung robuster und effektiver Datenschutzregeln, -verfahren und -systeme“), finden sich bekannte und bewährte Vorgaben:
– differenzierte Rechtevergabe,
– unverzüglicher Rechteentzug bei Ausscheiden von Beschäftigten,
– Prüfung unüblicher/auffälliger Datenflüsse,
– Clean-Desk-Policy,
– Bildschirmsperren.

Im nächsten Schritt widmen wir uns mit dem EDSA gestohlenen elektronischen und Papier-Dokumenten.


FALL 10: GESTOHLENE GERÄTE MIT VERSCHLÜSSELTEN PERSÖNLICHEN DATEN

Bei einem Einbruch in eine Kindertagesstätte wurden zwei Tablets gestohlen. Die Tablets enthielten eine App mit Daten der betreuten Kinder (Name, Geburtsdatum, Bildung). Die Daten auf beiden Tablets (zum Zeitpunkt des Einbruchs ausgeschaltet) waren verschlüsselt, die App mit einem starken Passwort geschützt. Ein Backup der Daten war verfügbar. Per Fernzugriff wurde Löschbefehl für die Daten auf den Tablets erteilt.


FALL 11: GESTOHLENES GERÄT MIT UNVERSCHLÜSSELTEN DATEN

Das Notebook des Mitarbeiters eines Dienstleistungsunternehmens wurde gestohlen. Es enthielt Namen, Vornamen, Geschlecht, Adressen und Geburtsdaten von mehr als 100.000 Kunden. Es war nicht zu klären, ob auch andere Kategorien von persönlichen Daten betroffen waren. Der Zugriff auf die Festplatte des Notebooks war nicht durch ein Passwort geschützt. Persönliche Daten konnten aus täglich verfügbaren Backups wiederhergestellt werden.


FALL 12: GESTOHLENE PAPIERAKTEN MIT SENSIBLEN DATEN

Aus einer Reha-Einrichtung für Drogenabhängige wurde ein offen „herumliegendes“ Papier-„Logbuch“ gestohlen. Das Buch enthielt Identitäts- und Gesundheitsdaten der Patienten, die in die Reha-Einrichtung aufgenommen wurden. Die Daten waren nur auf Papier gespeichert und den behandelnden Ärzten stand keine Sicherungskopie zur Verfügung.

Abschließend an dieser Stelle eine Ermunterung zu Feedback und Rückfragen: Ist die EDSA-Richtlinie aus Ihrer Sicht für die Praxis hilfreich? Welche Punkte fehlen oder welchen Positionen würden Sie widersprechen? Ihnen allen einen guten Start in den Sommer!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigte
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
Lesen

DIE EINWILLIGUNG BEI DER E-MAIL-VERSCHLÜSSELUNG

Im Rahmen unseres Beitrages zur E-Mail-Verschlüsselung bei Berufsgeheimnisträgern haben wir bereits über die grundsätzlichen datenschutzrechtlichen Anforderungen bei der E-Mail-Kommunikation berichtet. Unvermeidbar wird bei dieser Thematik früher oder später die Frage aufgeworfen, ob ein Verzicht auf die E-Mail-Verschlüsselung möglich sei. Datenschutzrechtlich stellt sich hierbei die Frage, ob ein Betroffener in ein niedrigeres Schutzniveau, als rechtlich geboten einwilligen kann, m.a.W. steht die Abdingbarkeit des Art. 32 DS-GVO durch Erteilung einer Einwilligung des Betroffenen im Raum. Diesbezüglich hat sich jüngst der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in einem Aktenvermerk geäußert.


WAS ENTHÄLT DER VERMERK DES HMBBFDI?

Zunächst wird in einigen grundsätzlichen Erwägungen der Sinn und Zweck bzw. die Systematik von Art. 32 DS-GVO (in Verbindung mit Erwägungsgrund 83 DS-GVO) dargestellt. Hiernach haben grundsätzlich Verantwortliche bzw. Auftragsverarbeiter zu prüfen, welche Risiken sich aus den jeweiligen Datenverarbeitungen ergeben. Konkrete Maßnahmen sind in Anlehnung an anerkannte Sicherheitsmaßnahmenkataloge wie dem BSI-Grundschutz, der ISO 27001 oder dem Standard-Datenschutzmodell zu prüfen.

Anschließend wird die Frage aufgeworfen, ob betroffene Personen in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können:

Hierfür betrachtet die Aufsichtsbehörde zunächst die Frage, ob es sich bei Art. 32 DS-GVO um dispositives Recht handelt oder ob Gründe des Systemdatenschutzes entgegenstehen. Im Ergebnis kommt der HmbBfDI zu dem Ergebnis, dass es eine erhebliche Beschränkung der betroffenen Person bedeuten würde, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünscht, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Auf den ersten Blick scheinen die Ausführungen des HmbBfDI zu verwundern, ließen die Ausführungen in einem Schreiben der Aufsichtsbehörde vom 08.01.2018 die gegenläufige Rechtsauffassung vermuten. Zutreffend sei nach den Ausführungen im Vermerk aber zwischen den einzelnen Beteiligten zu differenzieren. So enthält der Art. 32 DS-GVO Pflichten für den Verantwortlichen oder Auftragsverarbeiter, die zwar einen Beurteilungsspielraum zulassen, im Kern allerdings zwingend sind und nicht zur Disposition des Verantwortlichen oder Auftragsverarbeiters stehen. Etwas anderes gilt in Bezug auf die betroffene Person, da die DS-GVO ausweislich des Art. 1 Abs. 2 DS-GVO „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu ihrem Regelungsgegenstand erklärt.  Dieses steht zur Disposition des Grundrechtsträgers, also der betroffenen Person. Die Einwilligung ist demnach in alle Formen der Verarbeitung personenbezogener Daten der betroffenen Person möglich, auch wenn diese möglicherweise von Außenstehenden als für die betroffene Person schädlich wahrgenommen werden. Die Vorgaben des Art. 32 DS-GVO stehen daher nach dem HmbBfDI zur Disposition der betroffenen Person. Für den Verantwortlichen oder Auftragsverarbeiter enthalten sie dagegen verbindliche Regeln.

Voraussetzung für die obenstehende Vorgehensweise ist jedoch zum einen, dass der Verantwortliche oder Auftragsverarbeiter seiner Pflicht zur Schaffung der nach Art. 32 DS-GVO erforderlichen Standards der Datensicherheit nachkommt. Dies begründet sich dadurch, dass eine freie Entscheidung über den Verzicht der Einhaltung der Vorgaben des Art. 32 DS-GVO durch die betroffene Person nur dann getroffen werden kann, wenn die erforderlichen technischen und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter zumindest vorgehalten werden. Zum anderen muss die Einwilligung den Anforderungen des Art. 7 DS-GVO (analog) genügen. Diese Voraussetzungen ergeben sich aus den unterschiedlichen Regelungswirkungen, die Art. 32 DS-GVO gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter und der betroffenen Person entfaltet.


WAS SAGEN ANDERE DATENSCHUTZ-AUFSICHTSBEHÖRDEN?

Der Sächsische Datenschutzbeauftragte führt in seinem Tätigkeitsbericht für den Berichtszeitraum 1. Januar 2019 bis 31. Dezember 2019 hinsichtlich der E-Mail-Nutzung durch Steuerberater u.a. wie folgt aus:

„Unter besonderer Berücksichtigung […] der Vorgaben zum Schutz personenbezogener Daten gemäß Artikel 25 und des Artikel 32 Absatz 1 Buchstabe a) DSGVO, wonach die dort ausdrücklich genannte Verschlüsselung eine adäquate Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung darstellt […] kommt damit für Steuerberater grundsätzlich nur eine verschlüsselte E-Mail-Kommunikation in Betracht.“

Weiter heißt es:

„Etwas anderes gilt nur dann, wenn das Steuerbüro seine Mandanten auf die besondere Schutzbedürftigkeit der per E-Mail zu versendenden Daten sowie die speziellen Risiken eines unverschlüsselten E-Mail-Versands hingewiesen hat, diesbezüglich sichere Kommunikationswege (z. B. Verschlüsselung, Postversand) grundsätzlich alternativ anbietet, und sich der Mandant vor diesem Hintergrund bewusst für einen unverschlüsselten E-Mail-Versand entscheidet, d. h. hierfür seine Einwilligung (Artikel 7 DSGVO) erteilt, wobei die diesbezügliche Beweislast beim Steuerberater als dem Versender liegt. Darüber hinaus dürfen solche unverschlüsselt versandten E-Mails keine personenbezogenen Daten Dritter enthalten.“

Ebenfalls in diese Richtung äußert sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Demnach ist ein Unterschreiten der Sicherheitsanforderungen bei der E-Mail-Kommunikation datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person vorliegt. Als Maßstab für die Einwilligung ist auf Art. 7 DS-GVO abzustellen. Der Berufsgeheimnisträger muss gleichfalls jedoch eine verschlüsselte E-Mail-Kommunikation angeboten haben. Weiter muss der Berufsgeheimnisträger nachweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird. Ausgeschlossen wird zudem die Erteilung der Einwilligung in den Fällen, in denen über personenbezogene Daten Dritter kommuniziert wird.


GIBT ES RECHTSPRECHUNG ZU DER THEMATIK?

Ursprünglich hatte sich das VG Berlin in einem Urteil vom 24.05.2011 (Az.: 1 K 133.10) dahingehend geäußert, dass es eine entsprechende Abdingbarkeit technische und organisatorische Maßnahmen anzunehmen sei. Andernfalls ergäbe sich eine Unvereinbarkeit mit dem Recht auf informationelle Selbstbestimmung. Das VG Mainz entschied im letzten Jahr in seinem Urteil vom 17.12.2020 (Az.: 1 K 778/19.MZ) zwar über die Art der Verschlüsselung, hat die Frage der Abdingbarkeit aber offengelassen.


FAZIT

Aus den bisherigen Äußerungen der einzelnen Aufsichtsbehörden geht hervor, dass diese nunmehr grundsätzlichen Möglichkeit des Betroffenen zur Erteilung einer Einwilligung in ein niedrigeres Schutzniveau annehmen, dies aber zugleich an entsprechende Voraussetzungen knüpfen. Unstreitig wird die Einwilligung den Anforderungen des Art. 7 (analog), Art. 4 Nr. 11 DS-GVO entsprechend müssen. Außerdem muss der Berufsgeheimnisträger ausreichend technische und organisatorische Maßnahmen vorhalten, m.a.W. eine verschlüsselte Kommunikation muss vor Erteilung der Einwilligung zumindest angeboten worden sein. Hier wird die Überlegung zu führen sein, dass sich das Angebot zur verschlüsselten Kommunikation nicht ausschließlich auf die E-Mail-Kommunikation beziehen muss. Unter Berufsgeheimnisträgern sind mittlerweile neben diversen E-Mail-Verschlüsselungslösungen ebenfalls Angebote zu Gateway-Lösungen oder Webportalen weit verbreitet. Es wird in der Praxis nicht ausreichend sein, dem Mandanten eine Einwilligung zur unverschlüsselten E-Mail-Kommunikation anzuringen, wenn tatsächlich schon keine Möglichkeit zur Einrichtung einer verschlüsselten Kommunikation besteht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 32 DS-GVO
  • Berufsgeheimnisträger
  • E-Mail-Verschlüsselung
  • Einwilligung
  • Sicherheit der Verarbeitung
Lesen

BETRIEBSRÄTEMODERNISIERUNGSGESETZ

Der Blick soll im heutigen Beitrag auf das – zumindest – sprachlich etwas holprig daherkommende Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in der digitalen Arbeitswelt, kurz: das Betriebsrätemodernisierungsgesetz, drehen. Der Gesetzesentwurf des Bundesministeriums für Arbeit und Soziales ist auf der Seite des Bundestages abrufbar. Das Gesetz wurde nunmehr am 21.05.2021 vom Bundestag verabschiedet, der Bundesrat erteilte am 28.05.2021 seine Zustimmung.


WELCHES ZIEL VERFOLGT DAS GESETZ?

Das Gesetz verfolgt vorrangig die Stärkung der Arbeit der Betriebsräte und soll eine Vereinfachung von Betriebsratswahlen herbeiführen. Ausweislich der Entwurfsbegründung sollen u.a. für die Teilnahme an Betriebsratssitzungen mittels Video- oder Telefonkonferenz für die Betriebsratsarbeit sachgerechte und dauerhafte Regelung geschaffen werden, die zugleich einen wesentlichen Beitrag zur Digitalisierung der Betriebsratsarbeit leisten. Auf Grund der Vergleichbarkeit der Regelungsmaterie soll die dauerhafte Möglichkeit der Nutzung virtueller Sitzungsformate auch für die Personalvertretungen auf Bundesebene geschaffen werden.

Daneben soll auch die datenschutzrechtliche Verantwortlichkeit nach der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden. Hierauf soll im Folgenden näher eingegangen werden:


WELCHE DATENSCHUTZRECHTLICHE REGELUNG WIRD GETROFFEN?

Der Gesetzgeber beabsichtigt zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret wird der folgende § 79a Betriebsverfassungsgesetz (BetrVG) eingeführt:

§ 79a
(Datenschutz)

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.


WIRD FÜR RECHTSKLARHEIT GESORGT?

Zunächst erfolgt mit § 79a Satz 1 BetrVG eine eher klarstellende Regelung. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Aus der Entwurfsbegründung lässt sich entnehmen, dass die Verarbeitung personenbezogener, mitunter sensibler Beschäftigtendaten zum Kernbereich der Aufgabenerfüllung der Betriebsräte zählt. Ihnen kommt daher eine besondere Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften zu. Aufgrund der sich aus der DS-GVO ergebenden Verpflichtung zur Einhaltung der Grundsätze zur Datenverarbeitung, insbesondere aus Art. 5 DS-GVO, dient der Satz 1 zur Klarstellung der Verpflichtungen seitens des Betriebsrates.

Ferner macht der Gesetzgeber mit der Regelung des § 79a Satz 2 BetrVG von der Öffnungsklausel des Art. 4 Nr. 7 Halbsatz 2 DS-GVO Gebrauch. Diesbezüglich führt die Entwurfsbegründung an, dass die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sachgerecht ist, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigter Institution ist. Bei der Verarbeitung personenbezogener Daten agieren die Betriebsräte als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Ferner soll die Regelung die bislang bestehende, seit dem Inkrafttreten der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) jedoch umstrittene Rechtslage fortführen und der Schaffung von Rechtsklarheit dienen. Durch die Regelung wird also der Versuch unternommen, die Verantwortlichkeit für Datenverarbeitungen, welche im Rahmen der Betriebsratsarbeit durchgeführt werden, dem Arbeitgeber zu unterstellen. Die Schaffung von Rechtsklarheit zielt hier im Wesentlichen auf den anhalten Streit um die Frage, ob Mitarbeitervertretungen wie beispielsweise der Betriebsrat als eigenständige Verantwortliche anzusehen oder eben als Teil des verantwortlichen Arbeitgebers einzustufen sind.

Kritisch über den Gesetzesentwurf äußerte sich bereits die Gesellschaft für Datenschutz und Datensicherheit e.V. in ihrer Stellungnahme vom 11. Februar 2021.

Ausweislich der Begründung des Gesetzesentwurfs zu § 79a BetrVG besteht keine Pflicht seitens des Betriebsrates ein eigenes Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO zu führen. Gleichzeitig ergeht der Hinweis, dass das Verarbeitungsverzeichnis des Arbeitgebers gleichermaßen die Verarbeitungstätigkeiten des Betriebsrates enthalten muss. Dies wirft mit Sicherheit in der Praxis Fragen dergestalt auf, wie der Verantwortliche in Fällen des mangelnden Informationsflusses zwischen Betriebsrat und Arbeitgeber beispielsweise aufgrund angespannter Verhältnisse, die gemäß Art. 30 DS-GVO erforderlichen Informationen beibringen kann.

Ähnliches dürfte bei der Erfüllung der Betroffenenrechte aus dem Kapitel III der DS-GVO – hier hebt die Entwurfsbegründung explizit das Auskunftsrecht (Art. 15 DS-GVO) hervor – sowie, ohne dass in der Entwurfsbegründung näher darauf eingegangen wird, die Behandlung von Datenschutzverletzungen und damit einhergehenden Melde- und Informationspflichten der Art. 33 und Art. 34 DS-GVO gelten. In diesen Fällen ist der Arbeitgeber unbestreitbar auf Mit- bzw. Zuarbeit des Betriebsrates angewiesen, wenn sich die geltend gemachten Rechte bzw. die eingetretenen Datenschutzverletzungen auf durch den Betriebsrat verarbeitete personenbezogene Daten beziehen. Dies gilt nicht zuletzt vor den gesetzlich normierten Fristen zur Bearbeitung.  

Im Gegensatz zu den oben genannten Konstellationen führt die Entwurfsbegründung anschließend jedoch aus, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DS-GVO sicherzustellen hat. Im Gegensatz stehen diese Ausführungen deshalb, da Art. 24 und Art. 32 DS-GVO – ebenso wie Art. 30 und Art. 15 DS-GVO – den Verantwortlichen, also gemäß den eingangs geschilderten Regelungen den Arbeitgeber und gerade nicht den Betriebsrat, verpflichten. Diese unterschiedliche Begründungshaltung verwundert doch zunächst.

Fraglich bleibt bei diesem nicht stringenten Begründungsverhalten weiterhin, wie beispielsweise im Rahmen von Schadenersatzansprüchen durch Betroffene gemäß Art. 82 DS-GVO oder Bußgeldsanktionierungen durch die Aufsichtsbehörde gemäß Art. 83 DS-GVO zu verfahren ist.

In der Vergangenheit wurde bereits in Thüringen für die Personalvertretung in § 80 Thüringer Personalvertretungsgesetz (ThürPersVG) eine „vergleichbare“ Regelung erlassen. Diese sieht vor, dass der Personalrat einen Datenschutzbeauftragten zu bestellen habe. Insofern man die entsprechenden europäischen Grundlagen der Art. 37 Abs. 1 DS-GVO bzw. Art. 37 Abs. 4 DS-GVO in Verbindung mit § 38 BDSG heranzieht, wird deutlich, dass grundsätzlich der Verantwortliche bzw. der Auftragsverarbeiter zur Benennung verpflichtet sind.


FAZIT

Der neueinzuführende § 79a BetrVG kann definitiv als Möglichkeit zur Regelung der datenschutzrechtlichen Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat einzustufen sein. Offenbleiben muss jedoch, ob hiermit auch die vom Gesetzgeber angestrebte Rechtssicherheit bzw. -klarheit herbeigeführt werden kann.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betriebsrat
  • Betriebsrätemodernisierungsgesetz
  • Digitalisierung
  • Personalvertretung
  • Verantwortlichkeit
Lesen

DREI JAHRE DATENSCHUTZ-GRUNDVERORDNUNG

Am 25. Mai 2021 jährt sich das Datum zur Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren die vergangenen zwölf Monate hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Anlass genug für eine kurze Betrachtung des datenschutzrechtlichen Ist-Zustandes.


EVALUATION DER DS-GVO IM JAHR 2020

Gemäß Art. 97 Abs. 1 S. 1 DS-GVO hatte die Kommission bis zum 25. Mai 2020 dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Dieser wurde mit rund einem Monat Verspätung am 24. Juni 2020 veröffentlicht. Gegenstand dieses Berichts können gemäß Art. 97 Abs. 2 DS-GVO insbesondere die Anwendung und Wirkweise des Kapitels V der DS-GVO über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sowie des Kapitels VII bezüglich der Zusammenarbeit und Kohärenz der Aufsichtsbehörden sein. Die Kommission hat dabei die Möglichkeit unter Berücksichtigung der Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft geeignete Vorschläge zur Änderung der Verordnung vorzulegen.

In ihrem Bericht zieht die Kommission eine überwiegend positive Bilanz, greift in den Ausführungen aber insbesondere hinsichtlich der Zusammenarbeit der Aufsichtsbehörden untereinander zu kurz. Zwar ist hervorzuheben, dass die (personelle) Ausstattung der Aufsichtsbehörden zur Sicherstellung ihrer Aufgaben und Befugnisse gemäß Artt. 57, 58 DS-GVO nicht den aktuellen Anforderungen entspricht, jedoch stellt dies nur ein Teil des wesentlichen Problems dar. Im Speziellen am Beispiel der irischen Datenschutzaufsichtsbehörde wird deutlich, dass das sogenannte „One-Stop-Shop-Prinzip“ Potenzial zu Nachbesserungen bietet: Von 197 bei der irischen Aufsichtsbehörde anhängigen Verfahren, liegen gerade einmal zu vier Verfahren Entscheidungen vor.


DAS PROBLEM MIT DER DRITTLANDÜBERMITTLUNG

Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in der „Schrems II“-Entscheidung das sogenannte „EU-US-Privacy Shield“ für unzulässig erklärt. Die Begründung liegt darin, dass innerhalb der USA insbesondere aufgrund der Zugriffsmöglichkeiten von Geheimdiensten Datenverarbeitungen keinem gleichwertigen Datenschutzniveau unterliegen. Zwar sind Datenübermittlungen in die USA weiterhin möglich, beispielsweise unter Nutzung der Standardvertragsklauseln, jedoch sind hierbei technische und organisatorische Maßnahmen zu treffen, um einen möglichen Zugriff seitens der US-Behörden grundsätzlich auszuschließen.

Speziell im Bereich von Internetseiten, z.B. bei der Implementierung von US-amerikanischen Videodiensten, stellt sich immer wieder die Frage, auf welche Rechtsgrundlage nach Kapitel V der DS-GVO  die Datenverarbeitung gestützt werden kann. Insbesondere unter Berücksichtigung der Rechtsprechung des EuGH und BGH zur Cookie-Thematik drängt sich hierbei oftmals die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 S. 1 lit. a DS-GVO auf. Strittig ist dabei jedoch, ob die „Ausnahmen für bestimmte Fälle“ nach Art. 49 DS-GVO überhaupt im Rahmen von Internetseiten und den damit einhergehenden regelmäßigen Datenverarbeitungen und einer Vielzahl von Anwendungsfällen herangezogen werden dürfen. Wird dies verneint – eine nicht selten vertretene Meinung – führt das zwangsläufig zum Ausschluss derartiger Inhalte mit datenschutzrechtlichem Drittlandbezug. An dieser Stelle tritt bei Seitenbetreibern vor allem bei Diensten mit fehlenden gleichwertigen Alternativen innerhalb der EU schnell Ernüchterung ein. Es muss somit die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


HERAUSFORDERUNGEN IN DER PANDEMIE

Im Rahmen der Pandemiebekämpfung wurden vermehrt Stimmen nach einer Lockerung des Datenschutzes beziehungsweise zu einer größeren Flexibilität in der Anwendung datenschutzrechtlicher Regelungen laut. Hierbei wird oft vergessen, dass es sich bei dem Recht auf informationelle Selbstbestimmung um ein aus den Grundrechten hergeleitetes Recht eines jeden Einzelnen handelt. Datenschutz ist somit Grundrechtsschutz.

Auch die Behauptung, der Datenschutz habe 70.000 Todesfälle verursacht, entbehrt jeglicher Grundlage. Ein exakter Blick auf die Normen der DS-GVO ergibt schnell: Datenverarbeitungen zum Schutz „lebenswichtiger Interessen“ (Art. 6 Abs. 1 S. 1 lit. d DS-GVO) sind ebenso ausdrücklich vorgesehen und zulässig wie Datenverarbeitungen „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ (Art. 9 Abs. 2 lit. i DS-GVO). Auch ein Blick in andere Länder zeigt, dass Datenschutz und ein erfolgreiches Pandemiemanagement einander nicht widersprechen müssen. Das in diesem Zusammenhang oftmals positiv vorangestellte Land Israel hat bereits im Jahr 2011 ein den europäischen Regelungen gleichwertiges Datenschutzniveau attestiert bekommen. Und auch in anderen Bereichen scheinen die rechtlichen Gegebenheiten nicht sonderlich von den hiesigen abzuweichen.

Oft in Vergessenheit gerät zudem, dass durch den Datenschutz und die Aufsichtsbehörden im Rahmen der Pandemiebekämpfung zahlreiche Maßnahmen mitgetragen werden. Seien es die vielfältigen Listen zur Kontaktnachverfolgung in Restaurants, Geschäften sowie im Rahmen körpernaher Dienstleistungen, die Realisierung von (nicht immer ganz datenschutzkonformen) Homeoffice-Lösungen oder die Nutzung von Videokonferenzsystemen mit Drittlandbezug. Letztgenanntes ist insbesondere im Zusammenhang mit Homeschooling ein viel diskutiertes Thema. Aber hat sich tatsächlich der Datenschutz die Defizite in diesem Bereich zuzuschreiben?


DER SCHLECHTE RUF DES DATENSCHUTZES

Vielfach steht der Datenschutz im Fokus diverser und kontroverser Diskussionen. Diese haben dabei häufig eines gemeinsam: Der Datenschutz verhindere ein bestimmtes Vorgehen oder verbaue Chancen und Möglichkeiten. Leider wird im Hinblick auf solche Debatten zu selten der tatsächliche Wahrheitsgehalt derartiger Behauptungen überprüft. Damit soll nun keine absolut konträre Darstellung erfolgen, grundsätzlich sei alles möglich. Durch die datenschutzrechtlichen Regelungen werden jedoch viel eher Rahmenbedingungen festgelegt, die datenverarbeitende Stellen zu achten und durch technische und organisatorische Maßnahmen sicherzustellen haben. Abstrakt betrachtet gilt Gleiches für eine Vielzahl weiterer Rechtsgebiete.

Dem Datenschutz fehlt es eindeutig an gutem Marketing. Hier gilt es in den nächsten Jahren große Arbeit zu leisten. Denn durch die zunehmende Digitalisierung werden auch die datenschutzrechtlichen Themen weiterhin an Bedeutung, aber auch an Komplexität gewinnen. Großes Potenzial bietet hierzulande die Verbesserung von Koordination und Kommunikation der datenschutzrechtlichen Aufsichtsbehörden untereinander. Deutschland bietet mit seinen 16 Bundesländern ein beachtliches Ausmaß von 17 Landesdatenschutzbeauftragten, ergänzt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Im Zweifelsfall ergibt sich somit ein Konvolut an datenschutzrechtlichen Auffassungen zu identischen Sachverhalten in Deutschland. Dem Laien kann es in diesem Fall nur an Verständnis fehlen, wenn die DS-GVO auf eine europaweite Vereinheitlichung des Datenschutzrechts abzielt, dann aber Sachverhalte in Berlin und Potsdam jeweils kaum unterschiedlicher bewertet werden könnten. Ein mögliches Instrument besteht hierbei in Form der sogenannten „Datenschutzkonferenz“ (DSK) bereits.

Dass die DS-GVO grundsätzlich ein großes Potenzial bietet und einen Schritt in die richtige Richtung geht, ist kaum zu bestreiten. Das zeigen auch die zahlreichen „Nachahmungen“ der DS-GVO in anderen Ländern und Regionen, wie z.B. Brasilien oder Kalifornien. Nur bedarf es einer stetigen Beobachtung der technischen und rechtlichen Rahmenbedingungen sowie eine damit einhergehende Weiterentwicklung der datenschutzrechtlichen Normierungen. Zukünftige Evaluationen sollten diesen Anforderungen in ausreichendem Umfang Rechnung tragen. In diesem Sinne können wir nur gespannt darauf warten, welche Herausforderungen uns das vierte Jahr der DS-GVO bieten wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Corona-Pandemie
  • Datenschutz-Grundverordnung
  • Datenschutzkonferenz
  • Drittlandübermittlung
  • Evaluation
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (7)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 6: LÖSUNG

Zunächst zu Fall 6: Die erste der drei Standard-Fragen (Dokumentation? Meldung nach Art. 33 DSGVO? Meldung nach Art. 34 DSGVO?) ist am schnellsten beantwortet: Der Vorfall muss natürlich dokumentiert werden.

Hinsichtlich der Meldepflichten nach Artt. 33 und 34 DS-GVO gilt die Grundaussage der Datenschutz-Aufsichtsbehörden, dass bei Datenverschlüsselung auf aktuellem Stand der Technik selbst ein Abhandenkommen der Daten kein Risiko für Betroffene begründet. Damit scheiden im vorliegenden Fall Meldepflichten sowohl gegenüber den Aufsichtsbehörden als auch (erst recht) gegenüber den Betroffenen aus.

Übrigens: Wie bei Grundsätzen meist, gibt es auch von diesem Grundsatz Ausnahmen. Falls „auf aktuellem Stand der Technik“ verschlüsselte Daten abhandenkommen, aber damit gerechnet werden muss, dass die Daten immer noch „interessant“ und missbrauchbar sind, wenn Jahre später durch technischen Fortschritt die Entschlüsselung für die Angreifer möglich sein wird, ergeben sich durchaus Risiken für künftigen Missbrauch und folglich – in solchen Ausnahmefällen – unter Umständen auch Meldepflichten. Nötig sind also zwei Prognosen: Wann wird die heute „sichere“ Verschlüsselung überwindbar? Und geht von der unbefugten Datennutzung dann noch Gefahr aus?

Ungeachtet nicht bestehender Meldepflichten hat auch im geschilderten Fall der Verantwortliche natürlich die vom Angreifer ausgenutzten Schwachstellen zu beseitigen. Die nach der Fallschilderung freiwillig erfolgte Information an Betroffene mit der Aufforderung zur Änderung des Passwortes wird vom EDSA als – obwohl nicht gesetzlich geschuldet – „guter Praxis entsprechend“ ausdrücklich gelobt (Richtlinie, Textziffern 59 und 62).


FALL 7: LÖSUNG

Bei Fall 7 wird natürlich ebenfalls eine interne Dokumentation benötigt. Die Datenschutzverletzung betrifft den Aspekt der Vertraulichkeit. Sehr nachvollziehbar leitet der EDSA im konkreten Fall die besondere Qualität des Angriffs und das besondere Risiko für die Betroffenen aus den vom Angreifer „erbeuteten“ bank- und vermögensrelevanten Informationen ab (Steuernummer, Benutzerkennung, für die Gruppe von etwa 2000 Bankkonten außerdem sogar Zugangspasswort). Auch bei der sehr großen Betroffenengruppe (ca. 100.000 Personen), von denen der Angreifer das Passwort nicht „erraten“ konnte, wurde ein umfangreicher Datensatz offenbart. Die Zusammengehörigkeit der verschiedenen Daten ermöglicht oder erleichtert künftige Attacken gegen diese Betroffenen bis hin zum Identitätsdiebstahl (Name und Vorname, Geschlecht, Geburtsdatum und -Ort, Steuernummer, Benutzerkennung bei der konkreten Bank).

Aus dem Risiko für die Betroffenen ergibt sich deshalb sowohl eine Meldepflicht an die Aufsichtsbehörde, als auch gegenüber dem Betroffenen und zwar auch gegenüber den bisher nicht informierten ca. 100.000 Betroffenen, bei denen der Bankzugang nicht offenbart wurde! Generell empfiehlt der EDSA (Textziffer 70 der Richtlinie) eine ganze Reihe von Schutzmaßnahmen gegen Hacker-Angriffe, die bei tatsächlichen Attacken (unabhängig von deren Erfolg) jeweils überprüft und gegebenfalls angepasst / aktualisiert werden sollten. Auch erfolglose Hacker-Angriffe sind ja jedenfalls ein Zeichen dafür, dass die IT-Systeme des Verantwortlichen für Angreifer „Interesse besitzen“.

Zu den Maßnahmen gehören:
– Verschlüsselung und Schlüssel-Management nach „Stand der Technik“, möglichst kein Passwort-Transfer zu den jeweiligen Anwendungen / Datenbanken, sondern Authentifikation z.B. durch Hashwert-Abgleich,
– Verwendung aktueller Soft- und Firmware mit Protokollierung der Update-Zeitpunkte,
– 2-Faktor-Authentifikation,
– Standardisierung der Nutzerzugriffe (Verwendung von White-Listen, also Limitierung des Nutzungsumfangs, soweit praktikabel), außerdem Beschränkung der Zahl der Authentifikations-Versuche,
– Firewall- und Penetrations-Tests,
– Regelmäßige Backups und Rücksicherungs-Versuche.

Damit verlassen wir zunächst den Bereich der Angriffe „von außen“ und befassen uns mit Attacken „von innen“. Für Datenschutz-Verletzungen durch Personen „aus dem Lager des Verantwortlichen“ behandelt der EDSA in den Fällen 8 und 9 der Richtlinie zwei grundverschiedene Konstellationen, nämlich einerseits den absichtlichen Angriff eines „bösen“ Internen, andererseits das Nutzer-Versehen, also die „klassische“, fahrlässige Datenverarbeitungs-Panne eines Mitarbeiters.


FALL 8: EXFILTRATION VON GESCHÄFTSDATEN DURCH EINEN EHEMALIGEN MITARBEITER

Der Mitarbeiter eines Unternehmens kopiert während seiner Kündigungsfrist Geschäftsdaten aus der firmeneigenen Datenbank, zu der er zugriffsberechtigt ist und die er zur Erfüllung seiner Arbeitsaufgaben benötigt. Monate später nutzt er die so gewonnenen Daten (vor allem Adressdaten), um die Kunden des Unternehmens zu kontaktieren und für sein neues Geschäft zu werben.

und – tatsächlich ein „Klassiker“ –


FALL 9: FEHLERHAFTE RECHTEVERGABE

Ein Versicherungsvertreter bemerkt, dass er – durch fehlerhafte Einstellungen einer per E-Mail erhaltenen Excel-Datei – auf Informationen von zwei Dutzend Kunden zugreifen kann, die nicht zu seinem Bereich gehören. Er war der einzige Empfänger der E-Mail. Die Vereinbarung zwischen dem für die Datenverarbeitung Verantwortlichen und dem Versicherungsvertreter verpflichtet den Vertreter zur Vertraulichkeit und zur Meldung von Datenpannen an den Verantwortlichen. Der Vertreter weist auf den Fehler hin und der Verantwortliche sendet ihm eine korrigierte Datei-Fassung mit der Bitte, die vorherige Nachricht zu löschen. Nach der internen Regelung muss der Vertreter die Löschung in einer schriftlichen Erklärung zu bestätigen; auch dies setzt der Vertreter korrekt um. Betroffen waren keine besonderen Kategorien von personenbezogenen Daten, sondern Kontaktdaten und Daten über die Versicherung selbst (Versicherungsart, Betrag).

Ihnen alle eine angriffs- und pannenfreie Woche!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

NEUES ZUM TTDSG

Über einen im August des vergangenen Jahres geleakten Entwurf zum Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) haben wir bereits früher berichtet. Seitdem hat die Entwicklung des TTDSG an Fahrt aufgenommen. Die Details:


WAS IST BISHER GESCHEHEN?

Im Januar dieses Jahres hat zunächst das Bundesministerium für Wirtschaft und Energie (BMWi) einen Referentenentwurf zum „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ vorgelegt. Gleichzeitig wurde am 12. Januar das Anhörungsverfahren der Verbände eingeleitet. Bis zum Stichtag am 22. Januar sind 31 Stellungnahmen, u.a. des Branchenverbandes bitkom, des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., des Rundfunkdatenschutzbeauftragten, der Landesbeauftragten für den Datenschutz Niedersachsen und der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eingegangen. Am 10. Februar 2021 hat das Bundeskabinett sodann den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikations-Telemedien-Datenschutz-Gesetzes – TTDSG)“ beschlossen. Hierbei drängt sich bereits die Frage auf, ob dieser verhältnismäßig kurze Zeitraum ausreichend war, um die entsprechenden Stellungnahmen gebührend Beachtung zu schenken. Die Stellungnahme des Bundesrates folgte nach einer Beratung am 26. März 2021.


WAS IST DAS TTDSG?

Das TTDSG soll laut Gesetzesentwurf in aller erster Linie für Rechtklarheit sorgen und bestehende Rechtsunsicherheiten durch das Nebeneinander von DS-GVO, Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) bei Verbrauchern, die Telemedien und Telekommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden beseitigen. Gewährleistet werden soll ein wirksamer Datenschutz sowie der Schutz der Privatsphäre der Endnutzer.

Das TTDSG führt die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, zusammen und versucht eine Anpassung der der Bestimmungen an die der DS-GVO sowie der Richtlinie 2002/58/EG, der sogenannten ePrivacy-Richtlinie.

Systematisch besteht das TTDSG aus vier Teilen: Allgemeine Vorschriften; Datenschutz und Schutz der Privatsphäre in der Telekommunikation, Telemediendatenschutz, Endeinrichtungen; Straf- und Bußgeldvorschriften und Aufsicht. Ersichtlich wird hierdurch, dass – neben dem „allgemeinen Datenschutzrecht“ aus der DS-GVO – auf nationaler Ebene weiterhin an der bisherigen sektorspezifischen Unterscheidung zwischen Datenschutz in Telemedien und Datenschutz in der Telekommunikation festgehalten wird, wohingegen es auf europäischer Ebene bei der klassischen Zweiteilung von DS-GVO und „ePrivacy-Recht“ als spezielles Datenschutzrecht verbleibt.


WAS SOLL SICH NUN ÄNDERN?

Berücksichtigung findet im TTDSG die aktuelle Rechtsprechung des Europäischen Gerichtshofes (EuGH) im Hinblick auf den Schutz der Privatsphäre beim Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies. In Bezug genommen wird hier die Entscheidung des EuGH in der Rechtssache Planet 49 (EuGH, Urt. v. 01.10.2019 – C-673/17). Hierzu wird eine Regelung in das Gesetz aufgenommen, die sich eng am Wortlaut der ePrivacy-Richtlinie orientiert.

Zudem soll die Aufsicht über die Datenschutzbestimmungen des TKG bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten zukünftig umfassend, d. h. auch im Hinblick auf die Verhängung von Bußgeldern, durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als unabhängiger Datenschutzaufsichtsbehörde erfolgen.


WELCHE REGELUNGEN VERDIENEN BESONDERE AUFMERKSAMKEIT?

Zunächst enthält § 2 Abs. 1 TTDSG-E Begriffsbestimmungen, welche an die Bestimmungen von TMG, TKG und DS-GVO anknüpfen. In § 2 Abs. 2 TTDSG-E sollen darüber hinaus Bestimmungen der ePrivacy-Richtline aufgenommen werden.

§ 2 Abs. 2 Nr. 6 TTDSG-E einhält dabei die Legaldefinition der Endeinrichtung. Hierunter ist „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten […]“ zu verstehen. Gewählt wird hier wohl bewusst eine technologieneutrale Formulierung und somit ein weiter Anwendungsbereich. Erfasst ist nicht nur die Telefonie oder die Internetkommunikation, sondern auch Gegenstände im Internet der Dinge.  

In § 3 TTDSG-E (Vertraulichkeit der Kommunikation – Fernmeldegeheimnis) sollen die derzeit in § 88 TKG enthaltenen Regelungen zum Fernmeldegeheimnis – bis auf redaktionelle Anpassungen – unverändert übernommen werden. Die Verpflichteten werden in § 3 Abs. 2 TTDSG-E aufgeführt. Kritische Stimmen zweifeln jedoch an einer Vereinbarkeit des Anwendungsbereiches des § 3 Abs. 2 Nr. 2 TTDSG-E mit der Öffnungsklausel des Art. 95 DS-GVO für öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen. Abzuwarten bleibt daher, ob der bekannte Streit über die Privatnutzung betrieblicher Informations- und Kommunikationstechnik durch die Mitarbeiter und der damit einhergehenden Frage nach der Wahrung des Fernmeldegeheimnisses durch den Arbeitgeber tatsächlich gelöst werden kann.

§ 19 Abs. 2 TTDSG-E (Technische und organisatorische Vorkehrungen) enthält darüber hinaus die Verpflichtung von Anbietern von Telemedien die Nutzung anonym oder unter Pseudonymen zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

§ 24 Abs. 1 TTDSG-E (Schutz der Privatsphäre bei Endeinrichtungen) setzt nunmehr für das Speichern oder den Zugriff – also bspw. das Auslesen – von Endgeräteinformationen die Pflicht zur klaren und umfassenden Information sowie die Abgabe einer Einwilligung des Endnutzers voraus. Die Regelung orientiert sich laut Gesetzesbegründung eng am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL. Abgestellt wird auf die Endgeräteinformationen, weshalb gerade kein Personenbezug erforderlich ist. Erfasst werden mithin Cookies, Fingerprints und vergleichbare Technologien. Die Einwilligung des Endnutzers muss dabei den Anforderungen der DS-GVO an die Einwilligung entsprechen.

Ausnahmen vom Einwilligungserfordernis werden durch § 24 Abs. 2 TTDSG-E für die Fälle vorgesehen, dass der alleinige Zweck der Speicherung oder des Zugriffs in der Endeinrichtung des Endnutzers die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist (Nr. 1) oder die Speicherung oder der Zugriff auf die Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einem vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (Nr. 2). Unberührt bleibt die Frage der Rechtmäßigkeit der an die Speicherung oder den Zugriff anschließenden Verarbeitung personenbezogener Daten.


FAZIT

Der Entwicklungsprozess des TTDSG-E schreitet sichtlich voran. Viele derzeitig vorgesehene Regelungen haben das Potenzial das Wirrwarr im Datenschutz für Telekommunikation und Telemedien etwas zu entzerren. Nicht absehbar ist, wann das TTDSG tatsächlich verabschiedet werden soll. Entsprechenden Einfluss dürfte hier ebenfalls die anstehende Bundestagswahl ausüben. Welche Normen letztendlich in das TTDSG aufgenommen werden, bleibt abzuwarten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Telekommunikation
  • Telemedien
  • TTDSG
Lesen

RECHT AUF LÖSCHUNG – „RECHT AUF VERGESSENWERDEN“ – ARTIKEL 17 DS-GVO

Mit dem Recht auf Löschung personenbezogener Daten gemäß Art. 17 DS-GVO lenken wir den Blick auf ein weiteres Betroffenenrecht, welches neben dem Auskunftsanspruch wohl jeder verantwortlichen Stelle früher oder später begegnen wird. Die Kernbotschaft lautet demnach auch beim Recht auf Löschung: Wenn es um Betroffenenanfragen geht, bedarf es innerhalb der verantwortlichen Stelle eines professionellen Umfangs hiermit und es ist geboten den Prozess zu standardisieren und in einem Löschkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 


VORAUSSETZUNGEN FÜR EINEN LÖSCHANSPRUCH

Art. 17 Abs. 1 DS-GVO sieht das Recht der betroffenen Person vor, die Löschung von personenbezogenen Daten bei Vorliegen bestimmter Löschgründe verlangen zu können. Dieses Recht entbindet den Verantwortlichen allerdings nicht davon, auch ohne Verlangen der betroffenen Person regelmäßig zu überprüfen, ob die von ihm verarbeiteten Daten zu löschen sind. Als Löschgründe sind in Art. 17 Abs. 1 DS-GVO vorgesehen:
– die personenbezogenen Daten sind für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig (lit. a);
– Widerruf der Einwilligung und es besteht keine anderweitige Rechtsgrundlage für die Verarbeitung (lit. b);
– erfolgreicher Widerspruch gemäß Art. 21 Abs. 1 (lit. c);
– Unrechtmäßigkeit der Verarbeitung (Generalklausel, lit. d);
– rechtliche Verpflichtung zur Löschung (lit. e);
– Datenerhebung bei Kindern (lit. f).

Für verantwortliche Stellen werden die Tatbestände des Art. 17 Abs. 1 lit. a, b und d DS-GVO überwiegend eine Rolle spielen.

Der Tatbestand von Art. 17 Abs. 1 lit. a DS-GVO räumt der betroffenen Person ein Recht auf Löschung personenbezogener Daten dann ein, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs. 1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Wenn die betroffene Person Ihre Einwilligung widerruft, Art. 17 Abs. 1 lit. b, so entfällt die Rechtsgrundlage für Verarbeitungen gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Daraus resultiert aber nur dann ein Löschanspruch, wenn sich die Rechtmäßigkeit der Verarbeitung auf keine andere Rechtsgrundlage als die der Einwilligung stützen kann. Diesbezüglich kommen vor allem Art. 6 Abs. 1 lit. b (Vertragserfüllung), lit. c (rechtliche Verpflichtungen) und e (Aufgabenerfüllung im öffentlichen Interesse) und lit. f (berechtigtes Interesse) DS-GVO in Betracht. Der Widerruf der Einwilligung resultiert also nur dann in einer absoluten Verpflichtung zur Löschung, sofern die Einwilligung die einzige Rechtsgrundlage der Verarbeitung darstellte.

Nach Art. 17 Abs. 1 lit. d DS-GVO bestehen die Löschrechte auch, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden. Die Regelung erfasst alle Konstellationen der unzulässigen Verarbeitung, insbesondere die Fälle, bei denen von vornherein keine Rechtsgrundlage für die Erhebung oder Speicherung personenbezogener Daten vorlag.


KEINE REGEL OHNE AUSNAHMEN

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beeinträchtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen.


VORGEHENSWEISE BEI EINEM ANTRAG AUF LÖSCHUNG

Im Rahmen der Bearbeitung eines Löschantrages bietet sich folgende Vorgehensweise an: Ein Löschantrag kann von jeder betroffenen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch erfolgen. Im Rahmen eines konkreten Antrags auf Löschung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Es muss geprüft werden, ob der Antragsteller einen Anspruch auf Löschung hat bzw. keine Gründe vorliegen, die eine Speicherung der Daten weiterhin rechtfertigen. Der Löschungsanspruch umfasst dann sämtliche Datenbestände, in denen die personenbezogenen Daten des Antragstellers gespeichert sind. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. dem Löschvorgang zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.


SANKTIONEN UND SCHADENSERSATZ

Kommt der Verantwortliche der Löschpflicht / dem Löschanspruch der betroffenen Person nicht nach, kann die betroffene Person Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Eine Verletzung des Rechts auf Löschung wird mit hohen Geldbußen geahndet. Zudem kann die betroffene Person im Wege der Klage gegen den Verantwortlichen vorgehen. Es besteht die Möglichkeit Schadensersatz einzufordern.


FAZIT

Verantwortliche Stellen zeichnet ein professioneller Umgang mit der Löschpflicht aus, wenn bereits frühzeitig entsprechende interne Prozesse implementiert werden. Nutzen Sie hierbei Synergien! Oftmals knüpft die Löschung an ein Auskunftsbegehren an. Dieser Prozess sollte daher ganzheitlich etabliert werden. Verarbeitet ein Verantwortlicher personenbezogene Daten nur in gesetzlich zulässiger Weise, besteht keine darüberhinausgehende Verpflichtung zur Löschung. Eine organisierte Übersicht über die Art der verarbeiteten Daten, den Zweck der Verarbeitung sowie die gesetzlichen Aufbewahrungsfristen bietet das Verzeichnis über die Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Darüber hinaus empfiehlt sich ein eigenes Löschkonzept für alle innerhalb der verantwortlichen Stelle durchgeführten Verarbeitungszwecke an, woraus sich eine dokumentierte Löschroutine ablesen lässt.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Aufbewahrungsfrist
  • Bearbeitungsprozess
  • Betroffenenrechte
  • Löschpflicht
  • Löschung
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (6)

Ergebnis zu Fall 5 aus Sicht des EDSA vorab und Erläuterung anschließend: Der Vorgang ist intern zu dokumentieren. Außerdem ist jedoch auch die Meldung an die Aufsichtsbehörde und sogar die Mitteilung an die möglicherweise Betroffenen notwendig. Im Detail:


FALL 5: LÖSUNG

Neben der selbstverständlichen internen Dokumentation ist sicher auch die Bejahung einer Meldepflicht an die Aufsichtsbehörde nach Art. 33 DS-GVO nachvollziehbar: Der Vorfall hat zwar die Datenverfügbarkeit für den Verantwortlichen nicht berührt und die Daten auch nicht verfälscht (die korrekten Bewerbungsdaten blieben für den Verantwortlichen ja weiter erhalten und nutzbar). Die Datenschutz-Vorgaben zur Vertraulichkeit (Schutz personenbezogener Daten gegen Zugriff unbefugter Dritter) sind jedoch ganz klar und sehr erheblich verletzt. Auch Risiken für betroffene Personen sind weder komplett auszuschließen, noch vernachlässigbar klein.

Weniger eindeutig ist die Entscheidung zu Art. 34 DS-GVO (Benachrichtigung der Betroffenen selbst): Der EDSA folgert eine entsprechende Benachrichtigungspflicht (in Rn. 55 der Richtlinie) daraus, dass die konkrete Datenschutzverletzung „wahrscheinlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen begründet“. Dies ist noch kein Argument, sondern nur eine Wiederholung des Wortlauts von Art. 34 DS-GVO. Etwas mehr „Substanz“ findet sich in Rn. 53: „Obwohl keine besonderen Kategorien personenbezogener Daten betroffen waren, enthalten die offenbarten Daten wesentliche Informationen über die Personen aus den Online-Formularen und könnten in verschiedener Weise missbraucht werden (Zusendung unerwünschter Werbung, Identitätsdiebstahl etc.)“.

Die „Zusendung unerwünschter Werbung“ stellt wohl kaum ein „hohes Risiko für die Rechte und Freiheiten“ dar. Identitätsdiebstahl allerdings kann erhebliche Nachteile und Schäden verursachen. Wenn die konkret betroffenen Datensätze dem Angreifer wirklich solche Wege öffnen, ist die Bejahung einer Informationspflicht der Betroffenen gemäß Art. 34 DS-GVO nachvollziehbar. Leider hat der EDSA bei der Fall-Schilderung die konkreten Datenarten nicht mitgeteilt, so dass seine Schlussfolgerung in diesem Punkt nicht prüfbar ist. Etwas pointierter: Der Sachverhalts-Bericht des EDSA zu Fall 5 genügt nicht den Anforderungen aus Art. 33 Abs. 3 und Art. 34 Abs. 2 DS-GVO.

Damit weiter zu Fall Nr. 6 und Nr. 7 im „Doppelpack“:


FALL 6: UNBEFUGTER ZUGRIFF AUF GEHASHTE PASSWÖRTER

Eine SQL-Injection-Schwachstelle wurde ausgenutzt, um Zugriff auf die Datenbank eines Web-Servers zu erlangen. Die in der Datenbank gespeicherten 1.200 Passwörter (Zugangs-Kennungen für die Nutzer eines Internetportals mit Koch-Rezepten) wurden mit einem starken Algorithmus gehasht; der Schutz wurde nicht kompromittiert. Der für die Verarbeitung Verantwortliche hat die betroffenen Personen sicherheitshalber per E-Mail über die Sicherheitsverletzung informiert und aufgefordert, ihre Passwörter zu ändern, insbesondere wenn das gleiche Passwort auch für andere Dienste verwendet wird.


FALL 7: ANGRIFF AUF ONLINE-BANKING-ANGEBOT

Beim Angriff auf ein Online-Banking-Portal wurden für ca. 100.000 Personen Informationen (teils Vorname, Nachname, Geschlecht, Geburtsdatum und -ort, Steuernummer, Benutzerkennung) an den Angreifer weitergegeben. Außerdem loggte sich der Angreifer erfolgreich in etwa 2.000 Konten, die ein Trivialpasswort verwendeten. Die Bank konnte alle unrechtmäßigen Anmeldeversuche identifizieren. Während des Angriffs erfolgten keine Transaktionen von diesen Konten. Die Bank reagierte durch Abschalten der Website und erzwungenes Zurücksetzen der Passwörter der kompromittierten Konten. Nur die Benutzer mit den kompromittierten Konten wurden informiert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

VERÖFFENTLICHUNG VON GRUPPENFOTOS IN SOZIALEN NETZWERKEN

Die Veröffentlichung von Fotoaufnahmen einer oder mehrerer Personen im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen stellt eine Verarbeitung personenbezogener Daten dar, welcher einer einschlägigen Rechtsgrundlage bedarf. Verantwortliche Stellen und Datenschutzbeauftragte stehen regelmäßig vor der Herausforderung der datenschutzrechtlichen Einschätzung, ob und in welchem Rahmen eine derartige Veröffentlichung vorgenommen werden kann. Anhaltspunkte liefert hierbei eine aktuelle Entscheidung des Oberverwaltungsgerichts Lüneburg (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20).


SACHVERHALT

Im Rahmen einer öffentlichen Veranstaltung eines Ortsvereins einer politischen Partei mit insgesamt rund 70 Teilnehmenden nahm einer der Veranstaltungsteilnehmer ein Foto auf, auf welchem ein Großteil der Teilnehmenden abgebildet war. Hierunter auch der Vorsitzende des Ortsvereins sowie das Ehepaar F. Dieses Foto wurde durch denselben Ortsverein vier Jahr später in einem sozialen Netzwerk veröffentlicht. Herr F. wandte sich hierauf mit Verweis auf das für die Veröffentlichung fehlende erforderliche Einverständnis an den Ortsverein und forderte diesen zur Stellungnahme und Löschung auf. Zudem legte Herr F. bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde ein, welche umgehend ein aufsichtsbehördliches Prüfverfahren einleitete. Der Ortsverein führte aus, dass die Veröffentlichung weder gegen die Datenschutz-Grundverordnung (DS-GVO) noch gegen das Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) verstoße. Gegen die daraufhin ergangene aufsichtsbehördliche Verwarnung erhob der Ortsverein Klage. Das Verwaltungsgericht Hannover bestätigte erstinstanzlich den Bescheid (VG Hannover, Urt. v. 27.11.19 – 10 A 820/19), das OVG lehnte nunmehr den Antrag auf Berufungszulassung ab.


ENTSCHEIDUNGSGRÜNDE UND AUSWIRKUNGEN AUF DIE PRAXIS

Die Veröffentlichung von Fotografien innerhalb eines sozialen Netzwerkes stellt nach Ansicht des OVG unstreitig eine Verarbeitung personenbezogener Daten unter gemeinsamer Verantwortlichkeit des Betreibers der jeweiligen Seite mit dem Betreiber des sozialen Netzwerkes dar. Die streitgegenständliche Datenverarbeitung sei nach Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DS-GVO nicht gerechtfertigt und mithin als Verstoß gegen die DS-GVO zu werten. Die Veröffentlichung der Fotografien könne unter anderem weder auf die Rechtsgrundlagen des berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO noch auf die spezialgesetzlichen Regelungen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO gestützt werden.

Das OVG legte dar, dass es im vorliegenden Fall grundsätzlich an der Erforderlichkeit der konkreten Datenverarbeitung fehlte. Darüber hinaus haben im Rahmen einer Interessenabwägung des Ortsvereins die entgegenstehenden Rechte und Interessen der betroffenen Personen lediglich in unzureichendem Umfang Eingang gefunden. Weiterhin entspricht die konkrete Datenverarbeitung auch nicht den vernünftigen Erwartungen der betroffenen Personen. Die Anwendung der spezialgesetzlichen Normen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO scheidet zudem aufgrund eines fehlenden journalistischen Verarbeitungszweckes aus.

Für die Praxis ergeben sich aus dem Urteil für die Veröffentlichung von Fotografien wichtige Hinweise, insbesondere welche Kriterien im Rahmen einer Interessenabwägung einbezogen werden sollten. Hierzu zählen unter anderem der Aspekt der Erforderlichkeit, die näheren Umstände der Anfertigung sowie das Veröffentlichungsmedium und der Zeitpunkt der Veröffentlichung.

Eine umfassende Darstellung der Entscheidungsgründe sowie der Auswirkungen und Handlungsempfehlungen für die Praxis können Sie unserem Beitrag „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“ entnehmen, welcher in der Ausgabe Nr. 04/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Erforderlichkeit
  • Fotoveröffentlichung
  • Interessenabwägung
  • Soziale Netzwerke
Lesen

KOPIEN VON AUSWEISDOKUMENTEN

In zahlreichen Fällen des praktischen Lebens kommt es vor, dass Ausweisdokumente – an vorderster Front natürlich der Personalausweis, dicht gefolgt von dem Reisepass oder Führerschein – aus Nachweisgründen vorgezeigt werden müssen. Doch häufig werden diese darüber hinaus auch kopiert/gescannt und gespeichert/aufbewahrt. Nicht selten wird der Ausweis dafür mit in ein „Hinterzimmer“ genommen und ist aus unserem Blickfeld verschwunden. Und wer hat nicht bereits seinen Ausweis als Pfand hinterlegt oder auf einen Stapel an der Rezeption des Hotels zu Gunsten eines schnelleren Check-Ins gelegt? Gleichzeitig ist der Umgang mit Ausweisdokumenten seit Jahrzehnten ein häufiger Gegenstand von Beschwerden bei den Aufsichtsbehörden und Gerichten.


WO LIEGT DAS PROBLEM?

Zunächst einmal befinden sich auf einem Ausweis viele Informationen zu der betreffenden Person, welche in den meisten Fällen für den Zweck der Identitätsfeststellung nicht benötigt werden. Darüber hinaus können Kopien durch Identitätsbetrüger genutzt werden. Entsprechend wurde in der Vergangenheit (bis Anfang 2011) von Aufsichtsbehörden, BMI und Rechtsprechung davon ausgegangen, dass das Kopieren und Scannen von Personalausweisen grundsätzlich verboten sei. Dies wurde insbesondere auch auf die damaligen Regeln des Personalausweisgesetzes (PAuswG) gestützt. Ausnahmen sollten nur im Rahmen ausdrücklicher gesetzlicher Erlaubnistatbestände gelten. Die herrschende Meinung hat sich aber zwischenzeitlich dahingehend verändert, dass eine Kopie unter Berücksichtigung des neuen § 20 PAuswG sowie unter Einhaltung strenger datenschutzrechtlicher Vorschriften zulässig sei. Entsprechende Vorschriften finden sich auch im § 18 Passgesetz (PassG) z.B. in Bezug auf Reisepässe.

Zweck der Erstellung einer Kopie in der Praxis soll regelmäßig der Nachweis der Identitätsfeststellung sein. Eine Verwendung der Kopie über die Identifizierung hinaus ist jedoch unzulässig. Entsprechend ist eine Kopie unverzüglich zu löschen, sobald diese nicht mehr erforderlich ist („Speicherbegrenzung“). Dies ist grundsätzlich nach Feststellung der erforderlichen Angaben der Fall, insoweit keine spezialgesetzlichen Aufbewahrungsfristen bestehen. Für spätere Nachweiszwecke reicht in der Regel ein entsprechender Vermerk der Kontrolle sowie gegebenenfalls die Notiz der entsprechenden Daten des Ausweises.

Die Erstellung der Kopie muss im konkreten Fall erforderlich sein. Das heißt, es bedarf immer der Prüfung im Einzelfall, ob es mildere Mittel gibt, welche ebenfalls zum Erreichen des Zwecks geeignet wären. Davon ausgehend bedarf es in vielen Fällen des Alltags eigentlich keiner Kopie, sondern es wäre ausreichend, die Prüfung des Ausweises mittels eines Vermerks zu notieren. Ist eine Kopie hingegen erforderlich, muss diese jederzeit als solche erkennbar sein. Nicht erforderliche Daten sind – entsprechend dem Grundsatz der Datenminimierung – zu schwärzen. (z.B. Zugangs- und Seriennummer, Prüfziffer, Augenfarbe- und Körpergröße, Foto). Der Betroffene kann dies grundsätzlich im Vorfeld der Übermittlung der Kopie bereits tun. Die Betroffenen sollten im Rahmen der Informationspflichten auf diese Möglichkeit hingewiesen werden. Gleichzeitig sollten die erforderlichen Angaben durch die erhebende Stelle benannt werden. Gemäß § 20 PAuswG darf eine Kopie nur mit Zustimmung des Ausweisinhabers erfolgen und eine Übermittlung an Dritte ist nur durch diesen selbst zulässig.

Darüber hinaus gibt es Fälle, in denen bereits gesetzlich eine Kopie geboten ist. Im vorliegenden sollen einige praxisrelevante Fälle – ohne Anspruch auf Vollständigkeit – dargestellt werden. Bereichsspezifische Regelungen finden sich darüber hinaus z.B. im Telekommunikationsgesetz (TKG) für Diensteanbieter.


FALLBEISPIEL 1: DATENSCHUTZRECHTLICHES AUSKUNFTSERSUCHEN

Will ein Betroffener von seinem Auskunftsanspruch nach Art. 15 DS-GVO Gebrauch machen, muss der Verantwortliche sicherstellen, dass es sich bei dem Anfragenden tatsächlich um die betroffene Person handelt und keine Daten an einen unbefugten Dritten herausgegeben werden. Bei Zweifeln kann die Anforderung einer Ausweiskopie gerechtfertigt sein. Diese ist nach der Prüfung und einem entsprechenden Vermerk zu vernichten.


FALLBEISPIEL 2: VERTRAGSPARTNER

Außerhalb von „Massengeschäften“ kann es im Einzelfall erforderlich sein, die Identität des Vertragspartners mittels Ausweisdokument sicherzustellen (z.B. Mietvertrag, Reklamation). Eine Kopie ist hier jedoch in der Regel nicht zulässig, vielmehr reicht es aus, die erforderlichen Daten zu notieren. Bei der Verleihung eines Gegenstandes sind dies beispielsweise der vollständige Name und die Adresse, sowie gegebenenfalls die Gültigkeitsdauer des Dokuments bei Darlegung der Erforderlichkeit. Hinsichtlich der Einholung von Selbstauskünften bei Mietinteressen berücksichtigen Sie bitte auch die entsprechende Orientierungshilfe der Datenschutzkonferenz.


FALLBEISPIEL 3: GELDWÄSCHEGESETZ

Ein praktischer Anwendungsfall ist das POST-IDENT-Verfahren der Deutschen Post AG, welches z.B. häufig im Rahmen von digitalen Kontoeröffnungen genutzt wird. Doch neben Banken gehören z.B. auch Treuhänder, Immobilienmakler, Wirtschaftsprüfer und Steuerberater zu dem umfangreichen Katalog der „Verpflichteten“ gemäß § 2 Abs. 1 Geldwäschegesetz (GwG). Diese müssen für die Begründung einer Geschäftsbeziehung ihren Vertragspartner durch Erfassung umfangreicher Daten identifizieren. Gemäß § 8 Abs. 2 Satz 2 GwG kann diese Aufzeichnungspflicht auch durch eine Vorlage des Ausweises erfolgen. Dabei haben die Verpflichteten das Recht und die Pflicht, eine vollständige Kopie des Ausweises anzufertigen oder diesen vollständig optisch digitalisiert zu erfassen. Die Aufbewahrungsfrist ergibt sich aus § 8 Abs. 4 GwG und beträgt in der Regel zwischen 5 und 10 Jahren.


FALLBEISPIEL 4: FUHRPARK

Arbeitgeber müssen sicherstellen, dass die Autos nur an zuverlässige Fahrer herausgegeben werden. Dies ergibt sich aus der Halterhaftung nach § 21 Straßenverkehrsordnung (StVO). Hierfür ist regelmäßig (in der Regel mindestens zweimal jährlich) der Führerschein zu kontrollieren. Bei der Ersterfassung können die erforderlichen Daten erfasst werden. Dies kann – abhängig vom Einzelfall – folgende Daten umfassen: Name und Anschrift des Fahrers, Führerscheinnummer, Fahrzeugklassen, Ausstellungsdatum, -ort und Ausstellungsbehörde, Beschränkungen, Gültigkeit des Führerscheins, Datum der Erstkontrolle und Unterschrift. Bei späteren Kontrollen genügt der Vermerk, dass ein gültiger Führerschein vorgezeigt wurde sowie gegebenenfalls eine Notiz der von der Ersterfassung zwischenzeitlich abweichenden Daten. Eine Kopie des Ausweises dürfte hingegen seitens der Aufsichtsbehörden als nicht erforderlich und unzulässig bewertet werden, auch wenn dies von entsprechenden Diensteanbietern häufig anders suggeriert wird.


FALLBEISPIEL 5: GÄSTEHÄUSER

Bei der Beherbergung von Personen, z.B. im Rahmen von eigenen Gästehäusern oder Wohnheimen großer Einrichtungen, sind die Anforderungen des Bundesmeldegesetzes (BMG) zu berücksichtigen. Die gemäß § 29 Abs. 2 BMG erforderlichen Angaben müssen in einem Meldeschein dokumentiert werden. Es besteht jedoch keine Prüfpflicht durch Vorlage von Ausweisdokumenten und erst recht keine Rechtsgrundlage zur Anfertigung einer Kopie. Etwas anderes gilt für ausländische Personen. Diese müssen gemäß § 29 Abs. 3 BMG ein gültiges Identitätsdokument (Pass oder Passersatz) vorzeigen. Eine Kopie ist hingegen nicht zulässig.

Hinweis: Weitere Fallbeispiele können Sie der Broschüre des Landesbeauftragten für Datenschutz und Informationsfreiheit von Nordrhein-Westfalen von Juli 2019 entnehmen.


ACHTUNG BEIM SCANNEN UND BEI DER ANNAHME ALS PFAND

Eine automatisierte Speicherung der Kopie wie dies beim Scannen der Fall ist, birgt weitere Risiken, da die Möglichkeiten der Weiterverarbeitung noch erhöht sind. Hier ist in der Regel von einer Unzulässigkeit nach § 20 PAuswG auszugehen (vgl. VG Hannover, Urt. v. 28. November 2013, Az. 10 A 5342/11). Dies gilt grundsätzlich auch, wenn das Einscannen durch den Inhaber des Ausweises selbst erfolgt. Eine Alternative ist der „Elektronische Identitätsnachweis“ nach § 18 PAuswG. Hierfür wird ein entsprechendes Zertifikat nach § 21 PAuswG benötigt. Die Vergabe erfolgt durch das Bundesverwaltungsamt. Hier wird bereits technisch sichergestellt, dass grundsätzlich nur erforderliche Daten übermittelt werden und ist insoweit – auch im Vergleich zur Ausweiskopie – zu bevorzugen.

Auch die Annahme des Personalausweises als Pfand ist unzulässig. Gemäß § 1 Abs. 1 PAuswG besteht ein sog. „Hinterlegungsverbot“.

Über die Autorin: Kristin Beyer ist als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Ausweisdokumente
  • Ausweiskopie
  • Geldwäschegesetz
  • Hinterlegungsverbot
  • Identitätsfeststellung
Lesen
1 2 3 5