Ende März 2025 legte die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert ihren Tätigkeitsbericht für das Jahr 2024 vor. Der Bericht bietet auf mehr als 200 Seiten einen umfassenden Überblick über die Arbeit der Aufsichtsbehörde und benennt zentrale Entwicklungen im Bereich des Datenschutzes. Im Folgenden werden die wichtigsten Befunde und exemplarische Fälle zusammengefasst.

Steigende Zahl von Beschwerden und Datenschutzverletzungen

Der Trend steigender Fallzahlen setzte sich auch im Berichtsjahr 2024 fort. Insgesamt 1.255 Beschwerden, Beratungsanfragen und Kontrollanregungen gingen bei der Aufsichtsbehörde im vergangenen Jahr ein. Das entspricht einem Anstieg von rund acht Prozent gegenüber dem Vorjahr. Die Zahl der gemeldeten Datenschutzverletzungen überschritt erstmals die Marke von tausend: 1.001 Vorfälle wurden durch sächsische Verantwortliche der Aufsichtsbehörde gemeldet.

Die häufigsten Ursachen waren klassische Fehlversendungen, etwa durch falsche Adressierungen bei Postversand oder fehlerhafte E-Mail-Verteiler, der Verlust technischer Geräte wie Laptops sowie Cybervorfälle, etwa durch Phishing- oder Ransomware-Angriffe. Ein praktisches Beispiel betrifft den Diebstahl von Kameras aus einer Kindertageseinrichtung, auf denen Bilddaten von Kindern gespeichert waren. Ein weiterer Fall betraf den Verlust unverschlüsselter Notebooks mit Gesundheitsdaten. Die Behörde betonte erneut die Bedeutung technischer und organisatorischer Maßnahmen, um Datenschutzverletzungen zu verhindern oder deren Auswirkungen zu begrenzen.

Maßnahmen der Aufsichtsbehörde

Nach den Angaben des Tätigkeitsberichtes griff die Aufsichtsbehörde zur Durchsetzung datenschutzrechtlicher Anforderungenauf verschiedene Instrumente zurück. Im Jahr 2024 wurden 11 Warnungen, 47 Verwarnungen sowie 40 Anweisungen und Anordnungen ausgesprochen. Daneben verhängte die Behörde 21 Bußgelder. Die Gesamthöhe belief sich auf 199.000 Euro im nichtöffentlichen Bereich und 14.580 Euro im öffentlichen Bereich.

Ein erheblicher Teil der Bußgeldverfahren betraf unzulässige Videoüberwachungen oder den Einsatz von Dashcams. Beispielhaft erwähnt wird die Nutzung von Dashcams durch Fahrzeugführerinnen und Fahrzeugführer, bei denen Aufnahmen ohne konkreten Anlass und über längere Zeiträume hinweg gespeichert wurden. In diesen und weiteren Fällen wurden Bußgelder zwischen 100 Euro und 1.000 Euro verhängt.

Prüfungen von Internetseiten

Ein wesentlicher Schwerpunkt der behördlichen Tätigkeit war im vergangenen Jahr die automatisierte Überprüfung von 32.981 Internetseiten sächsischer Behörden, Unternehmen und Vereine. Die Prüfungen konzentrierten sich darauf, ob bereits bei einem ersten Aufruf einer Internetseite ohne Einwilligung personenbezogene Daten an Drittanbieter übermittelt werden. Bei etwa 66 Prozent der geprüften Seiten wurde eine solche Übertragung festgestellt, häufig an Google-Dienste wie Google Analytics oder Google Fonts.

In der Folge leitete die Aufsichtsbehörde ein Massenverfahren ein und kontaktierte 2.304 Seitenbetreiber, die überwiegend Google Analytics ohne rechtmäßige Einwilligung eingesetzt hatten. Die Nachkontrolle ergab, dass rund 65 Prozent der Verantwortlichen die festgestellten Verstöße beseitigt hatten. Häufige Fehlerquellen waren etwa voreingestellte Tracking-Dienste trotz Anzeige eines Einwilligungsmanagements („Cookie-Banner“) oder unzureichende Informationen im Rahmen der Einholung der Einwilligung. Der Bericht zeigt, dass weiterhin erheblicher Nachbesserungsbedarf bei der praktischen Umsetzung von Einwilligungsanforderungen besteht.

Dauerbrenner Videoüberwachung

Auch im Bereich der Videoüberwachung blieb der Beratungs- und Prüfbedarf hoch. Mehr als zwei Drittel der im nichtöffentlichen Bereich eingeleiteten Ordnungswidrigkeitenverfahren standen im Zusammenhang mit Verstößen bei Videoüberwachungen. Häufig wurden fehlende Hinweisschilder bemängelt, die betroffenen Personen nicht klar und verständlich über die Überwachung informieren. Zudem fehlte in vielen Fällen eine klare Zweckbestimmung, und überwachte Bereiche umfassten auch öffentlich zugängliche Flächen, ohne dass hierfür ein ausreichender Rechtfertigungsgrund vorlag.

Zur Unterstützung bei der Umsetzung datenschutzkonformer Videoüberwachung veröffentlichte die sächsische Datenschutz-Aufsichtsbehörde 2024 eine überarbeitete zweite Auflage der Broschüre „Achtung Kamera!“, die praxisnahe Hinweise zur rechtssicheren Gestaltung von Videoüberwachungsmaßnahmen bietet.

Beschäftigtendatenschutz

Ein weiterer Schwerpunkt lag im Bereich des Schutzes von Beschäftigtendaten. Die Aufsichtsbehörde stellte beispielsweise fest, dass in mehreren Fällen vertrauliche personenbezogene Daten von Beschäftigten, etwa Gesundheitsdaten oder Kündigungsgründe, in Betriebsversammlungen oder internen Bekanntmachungen unzulässig offengelegt wurden. Die Aufsichtsbehörde weist in diesem Kontext ausdrücklich darauf hin, dass Personalaktendaten stets streng vertraulich zu behandeln sind. Auch mündliche Offenbarungen sensibler Informationen gegenüber nicht berechtigten Dritten sind unzulässig.

„Das Gebot der Gewährleistung der Vertraulichkeit in Bezug auf Personalaktendaten ist eine Verpflichtung des Arbeitgebers, die sowohl innerhalb der Dienststelle bzw. des Betriebes und auch gegenüber außenstehenden Dritten besteht. Die Personalakte ist daher vertraulich zu behandeln, vor unbefugter Einsicht zu schützen und der Zugriff nur für solche Beschäftigten und auf solche Daten zuzulassen, wie dies im Rahmen der Personalverwaltung erforderlich ist.“, so Dr. Juliane Hundert im Rahmen des Tätigkeitsberichtes.

Cyberkriminalität als zunehmende Bedrohung

Der Tätigkeitsbericht weist ferner darauf hin, dass Meldungen von Datenschutzverletzungen infolge von Cyberangriffen weiterhin eine zentrale Rolle spielen. Derartige Vorfälle umfassen insbesondere Phishing-Angriffe, Ransomware-Attacken sowie das Ausnutzen von Sicherheitslücken.

Ein typisches Beispiel aus dem Berichtsjahr war die Kompromittierung von E-Mail-Konten, die in mehreren Fällen dazu führte, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangten. In einigen Fällen wurden dadurch vertrauliche Kommunikationsdaten abgegriffen oder betrügerische E-Mails im Namen betroffener Organisationen verschickt. Die Behörde empfiehlt, den Schutz technischer Systeme regelmäßig zu überprüfen und organisatorische Maßnahmen wie Sensibilisierungstrainings für Beschäftigte zu etablieren, um das Risiko von derartigen Datenschutzverletzungen und Sicherheitsvorfällen zu verringern.

Fazit

Der Tätigkeitsbericht zeigt, an welchen Stellen Verantwortliche in Sachsen gezielt ansetzen können, um datenschutzrechtliche Anforderungen im Alltag besser umzusetzen. Ob bei einem Betrieb von Internetseiten, bei der Gestaltung von Videoüberwachungsmaßnahmen oder im Umgang mit Beschäftigtendaten – häufig lassen sich Verbesserungen schon durch klarere Prozesse sowie wirksamere technische und organisatorische Maßnahmen erzielen. Die dargestellten Beispiele machen deutlich, dass Datenschutz in vielen Fällen mit überschaubarem Aufwand wirksam verbessert werden kann. Unternehmen, Behörden und Vereine erhalten mit dem Bericht konkrete Hinweise, um ihre bestehenden Strukturen weiterzuentwickeln und die gesetzlichen Anforderungen im eigenen Verantwortungsbereich zuverlässig zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem vor kurzem erschienen Blog-Beitrag zur NIS-2-Richtlinie und dem Datenschutz haben wir unter anderem das Thema der Verarbeitung personenbezogener Daten zur beziehungsweise durch die Umsetzung der durch die NIS-2-Richtlinie geforderten Maßnahmen aufgeworfen. Dieses Thema soll im heutigen Beitrag einmal vertieft werden, denn der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) bespricht in seinem 40. Tätigkeitsbericht den Einsatz von Schadsoftware-Scannern (vgl. S. 60 f.) und die damit einhergehende Verarbeitung personenbezogener Daten. Hierbei widmet sich der LfDI – zumindest kurzzeitig – auch der Frage, ob Art. 32 DS-GVO als rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit, c), Abs. 3 DS-GVO in Frage kommt. Doch der Reihe nach.

Art. 32 DS-GVO adressiert die Datensicherheit

Ähnlich wie bei besagten Normen in der NIS-2-Richtlinie verpflichtet Art. 32 DS-GVO Verantwortliche zur Umsetzung technischer und organisatorischer Maßnahmen, wenngleich der Schutzweck der DS-GVO im Vergleich zur NIS-2-Richtlinie ein anderer ist. Das Feld der in Betracht kommenden Maßnahmen ist sehr weit zu fassen. In aller erster Linie ist an die Kontrolle von Zugriffen auf Systeme oder Daten durch eine möglichst umfassende Protokollierung zu denken. In Betracht kommen ferner teils komplexe Sicherheitslösungen wie Intrusion Detection Systeme (IDS), Security Information and Event Management Systeme (SIEM-Systeme) und sogenannte Deep Packet Inspection. Nicht selten weisen die im Rahmen dieser Maßnahmen verarbeiteten Daten einen Personenbezug auf. Hierunter zählen allen voran Log- und Protokolldaten aber ebenso Daten, die den Netzwerkverkehr betreffen.

… oder nicht?

Wie sich zeigt, ist die Umsetzung von relevanten Sicherheitsmaßnahmen selbst kaum ohne die Verarbeitung personenbezogener Daten möglich. Es darf daher durchaus die Frage nach der (datenschutzrechtlichen) Zulässigkeit aufgeworfen werden. Mit Blick auf die genannten Anforderungen aus der DS-GVO und der NIS-2-Richtlinie kann man durchaus auf die Idee kommen als Rechtsgrundlage zur Verarbeitung der im Rahmen der zu treffenden Sicherheitsmaßnahmen anfallenden personenbezogenen Daten auf die Erfüllung einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO abzustellen. Schauen wir uns hierzu die Norm einmal genauer an:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […] die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;“

Zum besseren Verständnis kann beziehungsweise muss man zudem Art. 6 Abs. 3 DS-GVO hinzulesen:

„Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

1. Unionsrecht oder
2. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX.

Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“

An dieser Stelle beginnen die Überlegungen, ob Art. 32 DS-GVO als eben eine solche belastbare Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO in Betracht kommen kann, insbesondere, ob die Anforderungen an die Rechtsgrundlag nach Art. 6 Abs. 3 DS-GVO erfüllt werden.

Vertiefte Auseinandersetzung, eher nein.

Der LfDI führt zur der Thematik aus: „Den Einsatz von Systemen der IT-Sicherheit auf Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO in Verbindung mit Art. 32 DS-GVO zu stützen, halten wir für problematisch. Es ist zweifelhaft, ob Art. 32 DS-GVO eine rechtliche Pflicht nach Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO begründet. Er verpflichtet die verantwortlichen Stellen nicht unmittelbar dazu, personenbezogene Daten zu verarbeiten. Die in einer Vorschrift des objektiven Rechts vorgesehene „rechtliche Verpflichtung“ muss sich zumindest nach einer Ansicht unmittelbar auf die Datenverarbeitung beziehen. Allein der Umstand, dass Verantwortliche, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten müssen, reicht hiernach nicht aus (LSG Hessen BeckRS 2020, 1442, Rn 13).“

Alles in allem wirken die Ausführungen etwas „dünn“. Der LfDI nimmt ohne weitere Begründung an, dass es nach Art. 6 Abs. 3 DS-GVO erforderlich ist, dass die in Betracht kommende Vorschrift einen unmittelbaren Datenverarbeitungsbezug aufweisen muss. Dies ist aber – wie auch im Nebensatz erwähnt – durchaus umstritten und keines Falles eine gesicherte Auffassung. Für die Annahme eines nur mittelbaren Datenverarbeitungsbezuges beziehungsweise eines weiten Verständnisses kann hier zum Beispiel Erwägungsgrund 45 der DS-GVO herangezogen werden: Dieser konkretisiert die Anforderungen an die Rechtsgrundlagen, arbeitet dabei ausdrücklich mit Formulierungen, die ebenfalls für einen Ermessensspielraum sprechen.  Mit Blick auf Art. 6 Abs. 3 UAbs. 2 Satz 1 DS-GVO ist zudem vielmehr erforderlich, dass der Zweck der Verarbeitung in der jeweiligen Rechtsgrundlage festgelegt wird.

Der durch den LfDI zitierten Entscheidung des Landessozialgerichtes (LSG) Hessen ist zu entnehmen, dass die rechtliche Verpflichtung dadurch gekennzeichnet wird, dass sich die in einer Vorschrift des objektiven Rechts normierte Verpflichtung unmittelbar auf die Datenverarbeitung beziehen muss und allein der Umstand, dass ein Verantwortlicher zur Erfüllung einer rechtlichen Verpflichtung auch personenbezogene Daten verarbeiten muss, nicht ausreicht. Als Beispiel nennt das Gericht sodann § 20 Zehntes Buch Sozialgesetzbuch (SGB X). Die Norm selbst enthält bei näherer Betrachtung jedoch keine Erlaubnis zur Datenverarbeitung, sondern normiert als rechtliche Verpflichtung den Amtsermittlungsgrundsatz. Ein Datenschutzbezug wird erst durch die konkretisierenden Befugnisnormen der §§ 67 ff. SGB X hergestellt. Der Datenschutzbezug entspringt daher gerade nicht aus der spezifischen Rechtsnorm.

Wenn man weiter umschaut und eine Entscheidung des Verwaltungsgerichtshof Mannheim (VGH Mannheim, Beschl. v. 15.2.2019 – 1 S 188/19, BeckRS 2020, 2625.) heranzieht, entspricht beispielsweise § 86 Verwaltungsgerichtsordnung (VwGO) in Verbindung mit § 99 VwGO den Anforderungen des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO. Hieraus folgt eine Verpflichtung von Behörden zur Vorlage von Urkunden oder Akten, zur Übermittlung elektronischer Dokumente und zur Erteilung von Auskünften. Der Zweck der Datenverarbeitung wird in § 86 VwGO selbst nicht erwähnt, ebenso wenig erfolgt eine konkrete Bezugnahme zu einer Datenverarbeitung. Dennoch soll die Pflicht die geforderten Voraussetzungen erfüllen. Es ist also gar nicht so einfach.

Fazit

Es bleibt festzuhalten, dass die Rechtslage so eindeutig wie vielleicht im Tätigkeitsbericht des LfDI dargestellt, sich in der Praxis nicht abzeichnet. Apropos Praxis: Warum ist dieser Streit vielleicht entscheidend? Die einfache Antwort: Art. 6 Abs. 1 UAbs. 1 lit.c) hat gegenüber lit. f) DS-GVO sowohl rechtliche (Stichwort Interessenabwägung) als auch praktische Vorteile (Stichwort Widerspruchsrecht). Abschließend lässt sich die Diskussion in unserem Blog-Beitrag heute aber nicht auflösen. Gerne widmen wir uns in einem folgenden Beitrag noch der Frage, ob Art. 32 DS-GVO vielleicht doch nicht als Rechtsgrundlage in Betracht kommt, weil der Zweck der Norm ein anderer ist, nämlich die Herstellung der Datensicherheit (und ja, das ist eine andere Frage im Vergleich, ob ein unmittelbarer Datenverarbeitungsbezug vorliegen muss).

An dieser Stelle sei aber noch erwähnt, dass die Herausforderungen in der Praxis sich nicht allein in der Bestimmung der belastbaren Rechtsgrundlage ergötzen. Vielmehr kommt insbesondere auch der Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DS-GVO zum Tragen. Man wird sich zwangsläufig damit beschäftigten müssen, wie weit der Grundsatz reicht beziehungsweise wie weit er ausgereizt werden darf. Ganz konkret: Wie lange dürfen die Daten aufgrund zukünftiger Bedürfnisse (zum Beispiel: Fehlersuche, Angriffserkennung, …) erfasst werden. Insbesondere bei den sogenannten Logfiles gehen die Rechtsansichten weit auseinander.

Ebenfalls interessant ist natürlich die Erfüllung der Informationspflichten nach Artt. 12 – 14 DS-GVO. Hier muss wohl zu Recht hinterfragt werden, wie viel an Information denn überhaupt geschuldet ist oder mit anderen Worten: Wie viel muss ich als Verantwortlicher tatsächlich offenlegen?

Ein allerletzter Hinweis sei noch gestattet: Die weiteren Ausführungen des LfDI an dieser Stelle im Tätigkeitsbericht betreffen den Rückgriff öffentlicher Stellen für Maßnahmen der IT-Sicherheit auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO und das Verhältnis zwischen Art. 6 Abs. 1 UAbs. 2 DS-GVO zu Art. 6 Abs. 1 UAbs. 1 lit. e) DS-GVO. Dies sind ebenfalls rechtlich und praktisch interessante Fragestellungen. Diesen wollen wir in einem (Folge-)Folgebeitrag vertiefen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits seit einigen Jahren wird darüber diskutiert, ob Arbeitgeber dem Fernmeldegeheimnis unterliegen, wenn Sie den Beschäftigten die private Nutzung von dienstlichen E-Mail-Postfächern oder dem dienstlichen Internetzugang erlauben. Bislang war nicht auszuschließen, dass in diesem Falle der Arbeitgeber als Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten anzusehen ist. Der aktuelle Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) verkündet nun: „Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“

Bisherige Rechtsauffassungen

Bis zuletzt war die Frage nach der Anwendbarkeit des Fernmeldegeheimnisses für Arbeitgeber im beschriebenen Kontext hoch umstritten. In der Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz aus dem Jahr 2016 vertrat die Datenschutzkonferenz einen eindeutigen Standpunkt: „Ist die private Nutzung des Internets erlaubt […], wird der Arbeitgeber hinsichtlich der privaten Nutzung zum Diensteanbieter im Sinne des TKG und unterliegt den Datenschutzbestimmungen des TMG. Er ist daher grundsätzlich zur Wahrung des Fernmeldegeheimnisses verpflichtet.“ Ein Zugriff auf entsprechende Protokolldaten war demnach ausschließlich nach informierter Einwilligung der betroffenen Personen möglich.

In der Rechtsprechung hingegen wurde die Thematik uneinheitlich beurteilt, ein höchstgerichtliches Urteil blieb bislang aus. Insbesondere in der jüngeren Vergangenheit lehnten die Gerichte jedoch vermehrt eine Anwendbarkeit des Fernmeldegeheimnisses ab, so zum Beispiel das Landesarbeitsgericht Berlin-Brandenburg (Urt. v. 14.1.2016 – 5 SA 657/15), das Landgericht Krefeld (Urt. v. 7.2.2018 – 7 O 198/17) sowie das Landgericht Erfurt (Urt. v. 28.4.2021 – 1 HK O 43/20).

Keine Anwendbarkeit des Fernmeldegeheimnisses

Die LDI NRW begründet die Abkehr von der bisherigen Auffassung damit, dass es Arbeitgebern unter Berücksichtigung der Regelungen des TTDSG (jetzt: TDDDG) an einem erforderlichen Rechtsbindungswillen fehle, damit sie gegenüber ihren Beschäftigten als geschäftsmäßige Telekommunikationsanbieter auftreten können. Eine vergleichbare Auffassung vertrat bereits im Jahr 2022 der Hessische Beauftragte für Datenschutz und Informationsfreiheit in seinem 51. Tätigkeitsbericht (S. 30), dort jedoch im Zusammenhang mit der Bereitstellung von Videokonferenzdiensten.

Unklar bleibt indes, ob sich die neue Rechtsauffassung bei den weiteren Aufsichtsbehörden in Deutschland bereits mehrheitlich durchgesetzt hat. Im Tätigkeitsbericht der LDI NRW heißt es lediglich: „Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat […].“ Die betreffenden Landesdatenschutzbehörden werden nicht konkret benannt. Es bleibt also abzuwarten, ob sich in den kommenden Wochen und Monaten weitere Aufsichtsbehörden hierzu positionieren werden.

Zur Wahrheit gehört jedoch auch, dass Gerichte nicht an Stellungnahmen und Beschlüsse der Aufsichtsbehörden gebunden sind. Insofern sind auch etwaige Urteile in diesem Themenfeld mit Spannung zu erwarten, wobei die zuvor dargestellte jüngere Rechtsprechung bereits eine gewisse Tendenz vermuten lässt. Ein Ausschluss der Anwendbarkeit des Fernmeldegeheimnisses bei erlaubter oder geduldeter Privatnutzung scheint damit in jedem Fall vertretbar.

Private Nutzung sollte weiterhin geregelt werden

Aus dem Tätigkeitsbericht der LDI NRW geht jedoch auch hervor, dass weiterhin eine schriftliche Regelung der privaten Nutzung von E-Mail- oder Internetdiensten zu empfehlen ist. Schließlich gelten neben den Normen des TDDDG weiterhin die datenschutzrechtlichen Grundsätze der DS-GVO. Somit bedarf es beispielsweise für den Zugriff des Arbeitgebers auf das E-Mail-Postfach eines Beschäftigten weiterhin einer einschlägigen Rechtsgrundlage. Schwierigkeiten im Zugriff könnten sich so bei erlaubter oder geduldeter Privatnutzung weiterhin im Falle der Abwesenheit des jeweiligen Beschäftigten ergeben. Abhilfe könnten hierbei verbindlich definierte Schutzmaßnahmen schaffen. Denkbar wäre beispielsweise, dass private E-Mails gesondert gekennzeichnet werden müssen oder in einem separaten Ordner aufzubewahren sind.

Die LDI NRW empfiehlt im Rahmen einer betrieblichen Regelung eindeutig „die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen“ zu klären. „Zudem sind die Beschäftigten auch künftig über mögliche Überwachungsmaßnahmen und Sanktionen zu informieren.“

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Interessenkonflikte bei Datenschutzbeauftragten, oder: Darf es noch etwas mehr sein? Wenn Datenschutzbeauftragte neben ihrer Funktion noch weitere Aufgaben erfüllen, stellen sich zwei Fragen: (1) Schaffen sie das? (2) Dürfen sie das? Die erste Frage betrifft den Aspekt der erforderlichen Ressourcen. Gemäß Art. 38 Abs. 2 DS-GVO haben Verantwortliche und Auftragsverarbeiter diese Ressourcen, also auch genügend Arbeitszeit, bereitzustellen. Damit wollen wir uns heute nicht weiter befassen – bei Interesse Ihrerseits: Senden Sie uns eine E-Mail! Die zweite Frage prüft mögliche Interessenkonflikte. Mit ihnen soll sich dieser Beitrag beschäftigen, weil es zu den „Interessenkonflikten“ in den letzten Monaten zwar keine grundsätzliche Klärung, aber einige Neuigkeiten gab.

Was sagt das Gesetz zu Interessenkonflikten?

Starten wir – typisch juristisch – beim Gesetz: Art. 38 Abs. 6 DS-GVO klärt in Satz 1 erst einmal, dass „der Datenschutzbeauftragte […] andere Aufgaben und Pflichten wahrnehmen“ kann. Satz 2 verlangt dann von Verantwortlichen / Auftragsverarbeitern, sicherzustellen, „das derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen“. Der „Interessenkonflikt“ wird in der DS-GVO nicht definiert. Auch die Erwägungsgründe und andere Sprachfassungen der DS-GVO helfen (anders als sonst manchmal) nicht weiter.

Bevor wir versuchen, den Interessenkonflikt genauer zu verstehen, schnell noch ein Blick auf die Sanktionen: Wenn Verantwortliche / Auftragsverarbeiter den Interessenkonflikt nicht vermeiden (also zulassen), kann das als Verstoß gegen eine Pflicht aus Art. 38 DSGVO mit Geldbußen bis 10 Millionen Euro oder bis zu zwei Prozent des Jahresweltumsatzes geahndet werden (Art. 83 Abs. 4 lit. a DSGVO). Manchmal wird behauptet, Datenschutzbeauftragte mit Interessenkollision (jedenfalls offensichtlicher Interessenkollision) seien gar nicht wirksam bestellt. Dann könnte die Aufsichtsbehörde auch die Verletzung der Bestellpflicht bestrafen.

Wahrscheinlich sprechen aber die besseren Argumente gegen eine solche Betrachtung: Wenn der Datenschutzbeauftragte mit Interessenkollision nicht wirksam bestellt wäre, müsste man ihn ja gar nicht mehr abberufen. Wie verhält er sich dann bei nachträglicher Übertragung einer kollidierenden Aufgabe? Verliert der Datenschutzbeauftragte unbemerkt und unsichtbar seine Datenschutz-Funktion? Und bei Wegfall der kollidierenden Aufgabe: Kann die Bestellung zum Datenschutzbeauftragten dann wiederaufleben? Sinnvoller ist wohl, davon auszugehen, dass auch Datenschutzbeauftragte mit kollidierenden Aufgaben wirksam bestellt sind und bleiben. Verletzt ist dann „nur“ Art. 38 Abs. 6 Satz 2 DS-GVO.

Der Verantwortliche / Auftragsverarbeiter kann das Problem lösen, indem er entweder die Bestellung zum Datenschutzbeauftragten oder die kollidierende Aufgabe widerruft. Europarechtlich sind beide Wege erlaubt; Art. 38 Abs. 3 Satz 2 DS-GVO verbietet nur die Abberufung des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“, nicht zum Beispiel wegen neuer Funktionsverteilung oder Umstrukturierung im Unternehmen. Das Bundesdatenschutzgesetz (BDSG) und die meisten Landesdatenschutzgesetze sind strenger: § 6 Abs. 4 Satz 1 BDSG erlaubt die Abberufung des Datenschutzbeauftragten entsprechend § 626 BGB nur aus wichtigem Grund. Ein Aufgabentausch gegen den Willen des Datenschutzbeauftragten ist also grundsätzlich ausgeschlossen.

Was sind Interessenkonflikte?

Für Praktiker zählt natürlich die Meinung der Aufsichtsbehörden. Nachlesen kann man zum Beispiel im Tätigkeitsbericht der Landesdatenschutzbeauftragten Bremen 2022 (Textziff. 5.4, S. 26), dass Rechtsvertreter und Rechtsanwälte jedenfalls dann mit Interessenkollisionen belastet sind, wenn sie zur Verarbeitung personenbezogener Daten beraten und / oder die verantwortliche Stelle gegenüber der Aussichtsbehörde vertreten.

Im Tätigkeitsbericht des Landesdatenschutzbeauftragten Hessen 2021 (Textziff. 11.4, S. 141 ff.) findet sich eine lange Auflistung von Personen, bei denen Interessenkollisionen angeblich immer oder häufig vorliegen: Geschäftsführer und Vorstände (Unternehmens-/Behördenleitungen), Unternehmensinhaber, Gesellschafter und deren Familienangehörige, Vertriebsleiter, Personalleiter und IT-Leiter. Aber auch IT-Beschäftigte, wenn sie Administrationssaufgaben erfüllen; IT-Sicherheitsbeauftragte, wenn sie gleichzeitig umsetzungszuständig sind und Budgetverantwortung tragen; Compliance-Beauftragte sowie Leiter von Rechtsabteilungen.

Personalvertretungen sind durch eine aktuelle Entscheidung des Bundesarbeitsgerichtes (wir berichteten) ins Gerede gekommen und externe Dienstleister, die für den Verantwortlichen Vertriebsaufgaben erfüllen oder IT-Produkte bereitstellen, durch ein Bußgeldverfahren der Berliner Aufsichtsbehörde. Gibt es in diesem bunten Sammelsurium irgendeinen roten Faden, der Orientierung bietet? Ja!

Datenschutzbeauftragte müssen nach Art. 39 DS-GVO bestimmte Aufgaben erfüllen, so unter anderem die Unterrichtung, Beratung und Überwachung der Verantwortlichen / Auftragsverarbeiter sowie die Zusammenarbeit mit der Aufsichtsbehörde. Wenn sich Parallelfunktionen mit den Aufgaben des Datenschutzbeauftragten beißen, dürfen sie dem Datenschutzbeauftragten nicht übertragen werden. Aber: Kleinigkeiten bleiben außen vor, also unbeachtet. Das betrifft solche Interessenkollisionen, die praktisch auf jede Person zutreffen und die man als Datenschutzbeauftragter aushalten muss.

Konkrete Beispiele:

• Die Einhaltung der Betroffenenrechte verursacht Aufwand, z.B. und vor allem die Pflichten zur ungefragten Information. Wenn Datenschutzbeauftragte parallel irgendeine Tätigkeit übertragen bekommen, die mit personenbezogenen Daten verbunden ist, müssen sie unter Umständen Datenschutzinformationen erstellen oder verteilen. Dann könnten sie versucht sein, solche Informationen gesetzwidrig kurz zu halten oder ganz auf sie zu verzichten, um eigenen Aufwand zu sparen. Dies ist ein Interessenkonflikt, der dem Datenschutzbeauftragten sogar bei seiner Tätigkeit begegnet; er steht deshalb entsprechenden anderen Aufgaben nicht entgegen.
  
• Das Gleiche gilt für das Gebot der Datensparsamkeit: In vielen betrieblichen und behördlichen Tätigkeiten entsteht die Versuchung, Daten auf Vorrat zu erheben und zu speichern. Auch in der Arbeit des Datenschutzbeauftragten selbst kann das geschehen. Dieser abstrakte Umstand begründet keinen Interessenkonflikt.
  
• Auch das recht häufig zu hörende Argument, bestimmte Arbeitsaufgaben seien mit besonders schneller, billiger, unkomplizierter Datenverarbeitung verbunden und würden deshalb Interessenkollisionen begründen, trifft nicht den Kern des Problems: Schnelle, billige und unkomplizierte Datenverarbeitung ist ja nicht verboten. Auch Datenschutzbeauftragte dürfen sich dergleichen durchaus wünschen. Wenn jemand Daten schnell, billig und unkompliziert verarbeiten möchte, heißt dies nicht gleichzeitig, dass er / sie rechtswidrige Datenverarbeitungen in Kauf nimmt.
  
• Bei den Themen Beratung und Schulung könnten sich sogar große Effizienz-Vorteile ergeben, wenn die / der Datenschutzbeauftragte gleichzeitig zu den hauptsächlichen Verarbeitern gehört.
  
• Die Zusammenarbeit mit der Aufsichtsbehörde und Funktion als deren Anlaufstelle (Art. 39 Abs. 1 lit. d) und e) DS-GVO) wird zum Beispiel von der Aufsichtsbehörde Bremen als Argument für die Interessenkollision bei Rechtsvertretern / Rechtsanwälten angeführt. Betriebliche / behördliche Datenschutzbeauftragte sind aber nicht verlängerte Arme der Aufsichtsbehörde, sondern deren Ansprechpersonen. Sie können die verantwortliche Stelle gegenüber der Aufsichtsbehörde nur insoweit vertreten, wie das von der verantwortlichen Stelle erlaubt wird. Das gilt auch für die Herausgabe von Unterlagen (z.B. Datenschutz-Dokumentationen, vgl. Art. 30 Abs. 4 DS-GVO für das Verzeichnis der Verarbeitungstätigkeiten).

Letztlich bleiben zwei gute Gründe übrig, aus denen sich Interessenkollisionen und damit unvereinbare Zusatzaufgaben ergeben:

• Nach nationalem Recht (§ 6 Abs. 5 Satz 2 BDSG und die vergleichbaren Vorschriften der Landesdatenschutzgesetze) sind Datenschutzbeauftragte zum Schutz betroffener Personen verpflichtet, über deren Identität und weitere Faktoren Verschwiegenheit zu wahren. Diese Verschwiegenheitspflicht gilt auch gegenüber der verantwortlichen Stelle und sie ist natürlich dann nicht einzuhalten, wenn der Datenschutzbeauftragte selbst zur Leitung der verantwortlichen Stelle gehört oder zum Beispiel als Unternehmensinhaber sogar selbst die verantwortliche Stelle darstellt. Unter diesem Gesichtspunkt ist eine Interessenkollision immer gegeben, wenn jemand Aufgaben wahrnimmt, bei denen Betroffene nicht auf die Verschwiegenheit des Datenschutzbeauftragten vertrauen können. Das ist eine Einzelfallfrage.
  
• Für die Überwachung als Aufgabe des Datenschutzbeauftragten gilt: Wer selbst alle oder sehr viele Datenverarbeitungen einer verantwortlichen Stelle auslöst / prägt / vollzieht, ist als Überwachung fehl am Platz. Eine Überwachung der eigenen Tätigkeit ist sinnentleert und wenn dies nennenswerte Bereiche der Datenverarbeitung eines Verantwortlichen betrifft, kann der Datenschutzbeauftragte seine Aufgaben nicht sinnvoll erfüllen. IT-Leitung oder zum Beispiel die Leitung im Projekt „Neue Vertriebsstrukturen“ wird sich also meist nicht mit der Tätigkeit als Datenschutzbeauftragter vertragen. Aber auch das kann im Einzelfall anders sein. Zum Beispiel: Projekt für neue, datenschutzfreundliche Betriebsstrukturen, nachdem ein Unternehmen öffentlich für Datenschutzmängel kritisiert wurde.

Damit bleibt als Zwischenergebnis festzuhalten: Interessenkollisionen des Datenschutzbeauftragten bestehen dann, wenn er den Betroffenen keine Verschwiegenheit garantieren kann und / oder große Teile der Datenverarbeitung einer verantwortlichen Stelle selbst (mit-)prägt.

Überblick

Mit diesem roten Faden lassen sich die von den Aufsichtsbehörden und der Fachliteratur gegebenen Beispiele bewerten: Es zeigt sich, dass nur selten eine Interessenkollision von vornherein feststeht. Dazu gehören zum Beispiel Unternehmens-/Behördenleitung, Alleininhaber und Mehrheitsgesellschafter, (meist) Vertriebs-, Personal- und IT-Leiter, nicht jedoch zwangsläufig Personen mit (auch leitenden) Aufgaben in den Bereichen Compliance, Recht, Revision, IT-Sicherheit und Informationssicherheit.

Bei Personen, die auch ansonsten Kontroll-/Prüfaufgaben wahrnehmen, wird normalerweise keine Interessenkollision anzunehmen sein. Vor allem ergibt sich ein solcher Interessenkonflikt nicht schon daraus, dass diese Personen auch bei ihren sonstigen Prüfaufgaben personenbezogene Daten verwenden. Regelmäßig liegt der Schwerpunkt der Datenverarbeitung in einem Unternehmen / einer Behörde nicht bei den Compliance-Beauftragten, der Innenrevision oder dem IT-Sicherheitsbeauftragten. Die Überwachungsaufgabe des Datenschutzbeauftragten wird also durch diese Zusatzfunktionen nicht eingeschränkt. Oft ergeben sich sogar erhebliche Effizienzgewinne. Allerdings kann im Einzelfall ein Interessenkonflikt auftreten, wenn zum Beispiel Entscheidungsbefugnisse für umfangreiche Datenverarbeitungen übertragen werden.

Bei externen Dienstleistern bestehen Interessenkonflikte dann, wenn der externe Dienstleister einerseits Datenschutzbeauftragter ist und andererseits für das selbe Unternehmen wichtige Datenverarbeitungsaufgaben erfüllt. Im Extremfall: umfassender IT-Support, CRM-Anbieter oder externe Personalverwaltung. Auch die Wahrnehmung der Aufgabe als interne Meldestelle nach Hinweisgeberschutzgesetz und zugleich als Datenschutzbeauftragter kann problematisch sein.

Für Praktiker gilt natürlich wieder als kurzer und dicker roter Faden: Bei Beanstandung einer angeblichen Interessenkollision durch die Aufsichtsbehörde wird nicht diskutiert, sondern Abhilfe geschaffen – entweder durch Bestellung eines neuen Datenschutzbeauftragten oder durch Entlastung des Datenschutzbeauftragten von der problematischen Zusatzaufgabe.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem Jahresrückblick umreißen wir das vergangene Jahr mt Blick auf wesentliche Ereignisse aus den Bereichen des Datenschutzes und der Informationssicherheit. Nachdem die Corona-Pandemie in den vergangenen Jahren die datenschutzrechtliche Beratung stark geprägt hatte, konnten Datenschützer nun etwas aufatmen: Arbeitgeber waren nun nicht mehr verpflichtet, den Test- und Impfstatus abzufragen, was einen großen Teil der datenschutzrechtlichen Sorgen von Unternehmen ausmachte. Das Licht am Ende des Tunnels erlosch mit dem russischen Angriffskrieg auf die Ukraine jedoch schnell wieder. Sprübar nahmen ab diesem Zeitpunkt die Cyber-Angriffe mit schwerwiegenden Folgen für den Datenschutz und die Informationssicherheit zu.

Januar 2022

Datenschützerinnen und Datenschützer durften sich Anfang des Jahres 2022 zunächst mit der im Dezember 2021 seitens der Datenschutzkonferenz veröffentlichten Orientierungshilfe für Anbieter:innen von Telemedien beschäftigen. Thematisch beschäftigte sich die Orientierungshilfe mit der Datenverarbeitung durch Technologien wie Cookies, vor allem hinsichtlich des damals noch neuen § 25 Abs. 1 TTDSG. Von besonders großer Bedeutung für die Praxis ist die darin enthaltene Regelung des Einwilligungserfordernisses für nicht erforderliche Cookies, unabhängig von der Frage, ob hierüber personenbezogene Daten verarbeitet werden oder nicht.

Zum Jahresauftakt wurden deutsche Zivilrechtler mit der größten Gesetzesänderung seit der Schuldrechtsmodernisierung im Jahr 2001 beglückt. Genauer gesagt, ging es um die Reformierung des Schuldrechts. Im Wesentlichen wurden die sog. Digitale-Inhalte-Richtlinie (EU) 2019/770) und die Warenkaufrichtlinie (EU) 2019/771) in nationales Recht umgesetzt. Fleißige Datenschützer machten sich daraufhin Gedanken über mögliche Auswirkungen der neuen Regelungen auf den Datenschutz, die wir in unseren Beiträgen vom 17. Januar 2022 und 18. Juli 2022 näher erläutert haben.

Am 20. Januar hat das LG München (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann. Seitdem geht eine regelrechte Mahnwelle insbesondere ausgehend von zwei Rechtsanwälten umher, in denen sie Unternehmen, die weiterhin Google-Fonts auf ihren Webseiten dynamisch, einbinden zur Zahlung von etwa 170 € bis 200 € auffordern um den Fall „beizulegen“. In unseren Beiträgen vom 07. Februar 2022 und dem 24. Oktober 2022 gehen wir detailliert in den Sachverhalt ein und geben Ihnen Vorschläge, wie Sie mit einer solchen Abmahnung umgehen können.

Februar 2022

Im Februar hat der Bayrische Landesbeauftragte für den Datenschutz ein Arbeitspapier für die Nutzung von Telefax-Diensten veröffentlicht. Der Landesbeauftragte geht hier vor allem auf die typischen Risiken der Kommunikation per Fax ein und gibt praxistaugliche Hinweise, um die Risiken zu minimieren und das Fax möglichst datenschutzkonform im Unternehmen zu nutzen.

Am 04. Februar 2022 veröffentlichte der Landesbeauftragte für Datenschutz und Informationssicherheit Mecklenburg-Vorpommern die Pressemitteilung zu Nutzung der Corona-Warn-App, welche datenschutzrechtlich von vielen Seiten kritisiert wurde. In der Pressemitteilung sprach sich der Landesbeauftragte ausdrücklich positiv zur Nutzung der Warn-App aus und begrüßte den Einsatz zur Kontaktnachverfolgung, da die Speicherung der Standortdaten nur auf den individuellen Smartphones erfolgt und nicht in Unternehmen, was für Betriebe eine große Entlastung sowohl rechtlich als auch technisch darstellt.

März 2022

Die „Taskforce Facebook-Fanpages” der Konferenz der unabhängigen Datenschutzbehörden hat ein Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages veröffentlicht. Im Wesentlichen widmet sich das Kurzgutachten der Speicherung und dem Zugriff auf Cookies in den Endgeräten der Nutzer. Das Kurzgutachten kommt zu dem Ergebnis, dass Facebook-Fanpages sich nicht datenschutzkonform betreiben lassen.

Für Aufsehen das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einer Warnung nach § 7 des BSI-Gesetz hinsichtlich der Virenschutzsoftware des Herstellers Kaspersky. Das BSI führte hierzu aus: „Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten können Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden.“ Und: „Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden.„

April 2022

Am 04. April 2022 veröffentlichte der BfDI die Ergebnisse des Konsultationsverfahrens zum „Einsatz künstlicher Intelligenz im Bereich Strafverfolgung und Gefahrenabwehr. Ergebnis der Auswertung ist u. a., dass dringender Handlungsbedarf seitens des Gesetzgebers herrscht. Es besteht „die Notwendigkeit einer umfassenden Bestandsaufnahme“. Das Ergebnis darf jedoch den Datenschutz an keiner Stelle untergraben. Der Einsatz von KI in Ermittlungsmaßnahmen könnte zu einer verfassungswidrigen, vollständigen „Durchleuchtung“ von Personen führen, was unbedingt verhindert werden muss.  

Nach Veröffentlichung des Gutachtens der Datenschutzkonferenz zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages, werden nun die Datenschutzaufsichtsbehörden die Zulässigkeit solcher Fanpages von Behörden überprüfen. Mitglieder der Datenschutzkonferenz werden somit u. a. überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben und darauf hinwirken, dass diese Fanpages abgeschaltet werden, wenn deren Datenschutzkonformität nicht nachgewiesen werden kann.

Mai 2022

Am 24. Mai 2022, kurz vor dem vierten Geburtstag der DS-GVO, stellte die sächsische Datenschutzbeauftragte Dr. Juliane Hundert den Tätigkeitsbericht des Jahres 2021 vor. Der Tätigkeitsbericht zeigt – wie zu erwarten war – auf, dass viele Eingaben gegenüber der Aufsichtsbehörde mit der Corona-Pandemie und den hieraus resultierenden Maßnahmen verbunden waren. Es ist nicht verwunderlich, dass viele Unternehmen über lange Zeit große Corona-Datenbestände „vorrätig hatten“. Diese müssen nun von den Unternehmen jeweils geprüft und in der Regel gelöscht werden. Für die Speicherung personenbezogene Daten zur Kontaktverfolgung besteht nun keine Rechtsgrundlage mehr. Weiterhin zeigt der Tätigkeitsbericht, dass sich das Beschwerdeaufkommen zum Vorjahr nicht gemindert hat. Der Eingang von Datenschutzverletzungen stieg sogar um ganze 45 Prozent im Vergleich zum Vorjahr an.

Der erste Eindruck suggeriert, dass die Anzahl datenschutzbetreffender Probleme steigt und man könnte fast meinen, dass die noch recht junge DS-GVO mehr Probleme hervorgerufen als gelöst hat. Bei genauerer Betrachtung fällt jedoch auf, dass durch die DS-GVO die Sensibilisierung in Unternehmen stark gestiegen ist. Durch die steigende Sensibilisierung erhöht sich auch das Verständnis über die Wichtigkeit des Datenschutzes, wodurch die Akzeptanz datenschutzwidriger Verarbeitungen, Prozesse und ganzer Geschäftsmodelle sinkt. Hieraus ergibt sich dann eine deutlich niedrigere Hemmschwelle für das Melden von Datenschutzverletzungen, Einreichen von Beschwerden und das Konsultieren der Behörden.

Juni 2022

Am 17. Juni 2022 bestätigte der Hessische Beauftragte für Datenschutz und und Informationssicherheit (HBDI), dass Zoom an Hessischen Hochschulen für Lehrveranstaltungen genutzt werden kann. Die Nutzung ist jedoch an die nicht ganz einfach umsetzbare Voraussetzung geknüpft, dass Hochschulen den Zugriff auf die Inhalts- und Metadaten aus den Videokonferenzen ausschließen können. Hierfür wurde das „Hessische Modell“ entwickelt, nach dem Hochschulen sicherstellen, dass:

• einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
• eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
• den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
• die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
• ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
• die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.

Weiter geht es in der kommenden Woche in unserem zweiten Teil des Jahresrückblicks mit den Monaten Juli bis Dezember 2022.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat bereits am Dienstag, den 24. Mai 2022 ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken des Amtsvorgängers Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete. Auf über 200 Seiten sind Schwerpunkte der aufsichtsbehördlichen Tätigkeit inklusive Hinweise zur Auslegung der Datenschutz-Grundverordnung (DS-GVO), zur Sanktionspraxis und Rechtsprechung zusammengefasst. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer und die 3G-Regelung am Arbeitsplatz. Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen erreichte ein ähnlich hohes Niveau wie im Vorjahr. Ein Teil davon betraf die Telemedien. Grund genug, dass im Rahmen des nachfolgenden Beitrages der Blick auf einige Auszüge aus dem Bericht gelegt werden sollen.

ANFORDERUNGEN AN COOKIES UND VERGLEICHBARE TECHNOLOGIEN

Durch das In-Kraft-Treten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind seit dem 1. Dezember 2022 neben den Voraussetzungen an die Verarbeitung personenbezogener Daten nach der DS-GVO weitere Anforderungen hinsichtlich der Einbindung bzw. des Setzens von „Cookies“ und vergleichbarer Technologien – insbesondere nach § 25 TTDSG – zu beachten. Diesbezüglich wird im Tätigkeitsbericht wie folgt ausgeführt: „Die für Websites und Apps an der ehesten infrage kommende Rechtsgrundlage ist neben der Einwilligung (Art. 6 Abs. 1 Buchst. a) [DS-GVO] das berechtigte Interesse (Art. 6 Abs. 1 Buchst. f) [DS-GVO]. Dieses berechtigte Interesse muss aber nachgewiesen werden und fordert eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person. Dies ist alles andere als trivial, eine bloße Nützlichkeitsbegründung seitens des Verantwortlichen ist nicht ausreichend […]. Fakten, die für eine Interessenabwägung zugunsten des Verantwortlichen sprechen, sind zum Beispiel eine nachweisbare und den Anforderungen des Art. 28 DSGVO entsprechende Auftragsverarbeitung mit einem eingebundenen Dienstleister oder eine Verarbeitung durch den Verantwortlichen selbst bzw. technisch-organisatorische Maßnahmen wie eine zügige Anonymisierung von personenbezogenen Daten (zum Beispiel IP-Adressen, Cookie-Identifikatoren). Verarbeitungen, die aufgrund ihres Risikos eher nicht auf ein berechtigtes Interesse gestützt werden können, sind die Bildung von Profilen und sogenannten Nutzer-Journeys, also all das, was landläufig unter Tracking verstanden wird. Das berechtigte Interesse ist in aller Regel auch dann infrage zu stellen, wenn ein Dritter die erlangten Daten für eigene Zwecke nutzt oder dies nicht klar ausgeschlossen ist. Um es klar zu sagen: Die Nutzung von Diensten großer Anbieter, deren Geschäftsmodell das Sammeln und Aggregieren von Nutzungsdaten zu Werbezwecken ist und die dazu noch über eine entsprechende Marktmacht verfügen, ist mit einem berechtigten Interesse des Verantwortlichen nicht vereinbar. […] Fehlen die Voraussetzungen für ein berechtigtes Interesse, bleibt in aller Regel nur ein Rückgriff auf eine Einwilligung. Dabei sind alle Anforderungen aus der DSGVO zu beachten, die strikte Regeln für Transparenz, Bestimmtheit und Freiwilligkeit fordert sowie in Fällen der Nutzung durch Minderjährige eine Einwilligung der Erziehungsberechtigten vorsieht.“

Und weiter heißt es: „Werden zusätzlich zu einer Verarbeitung auch Cookies oder ähnliche Technologien eingesetzt, muss deren Einsatz den Anforderungen des TTDSG entsprechen, welches dafür grundsätzlich eine Einwilligung vorsieht […]. Ausnahmen von einem Einwilligungserfordernis sind eng begrenzt auf eine unbedingte Erforderlichkeit, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann […]. Ausgehend von den Begrifflichkeiten des Nutzerwunsches und der Erforderlichkeit muss jeder Cookie überprüft werden: Wann, wie, für wie lange und für wen wird ein Cookie gesetzt? Es geht dabei um eine Bewertung des Zweckes und der Mittel […] So muss ein individualisierter Warenkorb-Cookie in einem Online-Shop erst dann gesetzt werden, wenn der Warenkorb genutzt wird. Für ein bloßes Browsen ist dieser nicht erforderlich. Gleiches gilt für Cookies für Zusatzfunktionen wie Chats oder Karten-Widgets. […] zum Beispiel [ist] nicht als erforderlich zu betrachten, dass ein Einwilligungsmanagement, welches die Entscheidung über die Auswahl an gewünschten Verarbeitungen speichern soll, einen individualisierten Cookie setzt (und schon gar nicht beim initialen Aufruf einer Website, bevor eine Entscheidung getroffen wurde) […] Für die Speicherung der Entscheidung reicht es, diese nichtindividualisiert zu speichern […].“

Es folgen noch weitere – zumindest lesenswerte – Ausführungen zum Einsatz von US-Dienstleistern. Diese sowie die obenstehenden Punkte machen deutlich, dass die sächsische Aufsichtsbehörde dem Grunde nach einen sehr strengen Prüfungsmaßstab, insbesondere an die Erforderlichkeit der Ausnahmen vom Einwilligungserfordernis im Rahmen des § 25 TTDSG, anleget. Mithin dürfte auch klar sein, dass datenschutzrechtlich Verantwortliche – unabhängig davon, ob man der strengen Ansicht der Aufsichtsbehörde vollumfänglich folgt – ihre Webseiten prüfen und gegebenenfalls überarbeiten und anpassen sollten, um sich zum einen der auf den Internetpräsenzen stattfinden Datenverarbeitungen bewusst zu werden und zum anderen der bestehenden Rechenschaftspflicht insbesondere in Bezug auf die Abwägungskriterien der unbedingten Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG erfüllen zu können.

WIE HABEN SICH DIE DATENSCHUTZVERLETZUNGEN ENTWICKELT?

Dem Tätigkeitsbericht ist ferner zu entnehmen, dass die Meldung von Datenschutzverletzungen gemäß Art. 33 DS-GVO stetig ansteigt. Im Berichtszeitraum sind 923 solcher Meldungen eingegangen. Im Vergleich zum vorjährigen Berichtszeitraum (635 Meldungen) entspricht dies laut Tätigkeitsbericht einer Steigerung um rund 45 Prozent. Wie bereits im vorjährigen Berichtszeitraum ist der Fehlversand eine der häufigsten Fallgruppen der gemeldeten Datenschutzverletzungen. Ursachen für diese Vorfälle sind falsche Zuordnung von Unterlagen, fehlerhafte Kuvertierung oder schlicht Flüchtigkeitsfehler. Nach wie vor ist häufig der Versand von E-Mails (zum Beispiel Newsletter) über erkennbare E-Mail-Adressen im Kopie-Modus (Cc), anstatt im Blindkopie-Modus (Bcc) eine gemeldete Datenschutzverletzung, die in der Regel auf schlichte Unachtsamkeit des Absenders zurückzuführen ist. Neben dem Fehlversand aufgrund des Verschuldens des Absenders gingen auch wieder zahlreiche Meldungen wegen des Verlustes von Postsendungen ein. Ebenso kam es im Berichtszeitraum wieder zu Diebstählen oder dem Verlust von Datenträgern mit zum Teil sensiblen Daten. Rund ein Drittel der Meldungen von Datenschutzverletzungen, die im Jahr 2021 eingingen, sind auf die Fallgruppe der Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen im Bereich Cyberkriminalität zählten die Sicherheitslücken in Microsoft Exchange-Servern.

KANN EIN DATENSCHUTZBEAUFTRAGTER ZUGLEICH BEAUFTRAGTER FÜR INFORMATIONSSICHERHEIT EINER ORGANISATION SEIN?

Auch der Blick auf die Fragen der Informationssicherheit – in Sachsen für staatliche und nicht-staatliche Stellen speziell durch das Sächsische Informationssicherheitsgesetz (SächsISichG) geregelt – lohnt: „Die Bestellung verschiedener anderer Beauftragter in Personalunion zum Datenschutzbeauftragten ist grundsätzlich problematisch. Der Beauftragte für Informationssicherheit ist dabei jedoch weniger kritisch zu betrachten, da Informationssicherheit und Datenschutz meist parallel laufen. Dies gilt auch vor dem Hintergrund, dass für die Informationssicherheit umfassende Sammlungen personenbezogener Daten verarbeiten werden, um Missbrauch zu entdecken. Auch Art. 32 DSGVO adressiert die Sicherheit der Verarbeitung und zudem in Absatz 1 Buchst. c) ausdrücklich die Verfügbarkeit.“

Auch diese Auffassung muss näher beleuchtet werden. Ein Beauftragter für Informationssicherheit muss vergleichbar zum Datenschutzbeauftragten gemäß § 7 Abs. 2 Satz 3 SächsISichG bei der Aufgabenerfüllung frei von Interessenkonflikten sein. Mit Blick auf den BSI IT-Grundschutz wird auch dort vermerkt, dass beiden Rollen (DSB und ISB/BfIS) sich nicht grundsätzlich ausschließen, es sind allerdings einige Aspekte im Vorfeld zu klären: „Die Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden. Außerdem sollten auf beiden Seiten direkte Berichtswege zur Leitungsebene existieren. Weiterhin sollte überlegt werden, ob konfliktträchtige Themen zusätzlich noch nachrichtlich an die Revision weitergeleitet werden sollten. Außerdem muss sichergestellt sein, dass der Informationssicherheitsbeauftragte über ausreichend freie Ressourcen für die Wahrnehmung beider Rollen verfügt. Gegebenenfalls muss er durch entsprechendes Personal unterstützt werden.“ Auf diese Grundsätze sollte auch bei der Personalunion zwischen Datenschutzbeauftragten und Beauftragten für Informationssicherheit zurückgegriffen werden.

FAZIT

Dem Tätigkeitsbericht ist sehr gut zu entnehmen, welchen Kurs die sächsische Datenschutzaufsichtsbehörde zum Teil bei der Rechtsauslegung und -anwendung einschlägt. Zum anderen geht deutlich hervor, dass sich datenschutzrechtlich Verantwortliche ihrer Pflichten bewusst sein und für deren effektive Umsetzung sorgen müssen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen ihres aktuellen Tätigkeitsbericht geht die Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) auf zwei Konstellationen ein, in denen Beschäftigte seitens der Datenschutzaufsichtsbehörde mit einem Bußgeld sanktioniert wurden, nachdem sie personenbezogene Daten, welche sie zur Ausübung ihrer dienstlichen bzw. betrieblichen Tätigkeit erlangt, zu eigenen (privaten) Zwecken und somit außerhalb ihrer vorgesehenen Tätigkeit und Weisung seitens des Arbeitgebers bzw. Dienstherren verarbeitet haben. Beide Fälle wurden mit einer Geldbuße in dreistelliger Höhe geahndet. Diese Konstellationen klingt vertraut, hatte doch der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) laut Pressemitteilung vor rund drei Jahren einen Bußgeldbescheid in Höhe von 1.400 EUR  gegen einen Polizeibeamten verhängt, der dienstlich erlangte personenbezogene Daten zu privaten Zwecken verarbeitet hatte. Mit der Betrachtung und rechtlichen Einordnungen dieser und vergleichbarer Fälle beschäftigt sich der nachfolgende Beitrag.

WAS WAR PASSIERT?

Der erste Fall ereignete sich laut LDA Brandenburg wie folgt: „Eine ehemalige Mitarbeiterin eines Unternehmens hatte – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 Mitarbeiterinnen und Mitarbeitern an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die betreffende Mitarbeiterin war in der Firma als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Die Übersendung an die private E-Mail-Adresse erfolgte nach ihrer Aussage zum Eigenschutz und zum Schutz der Kolleginnen und Kollegen, da im ohnehin bereits angespannten Arbeitsverhältnis Streitigkeiten über die ordnungsgemäße Aufgabenerfüllung der Betroffenen bestanden.Die Handlung der ehemaligen Beschäftigten war dem Unternehmen nicht zuzurechnen. Ihre dienstliche Tätigkeit bestand u. a. in der Erfassung und Aufbereitung der Arbeitszeitkonten inklusive der Urlaubs- und Krankentage sowie der Erstellung von Salden für erbrachte Arbeitsleistungen. Mit der Übersendung der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche. Zur Erfüllung ihrer betrieblichen Aufgaben war die Übermittlung der Beschäftigtendaten an ihre private E-Mail-Adresse nicht erforderlich und damit rechtswidrig.“

Den zweiten Fall schildert die LDA Brandenburg folgendermaßen: „Ein Angestellter hatte sich von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren an seine private E-Mail-Adresse weitergeleitet, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerberinnen und Bewerber umfassten. Die Angestellte handelte in diesem Fall unbefugt. Die Übersendung der personenbezogenen Daten der Bewerberinnen und Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen. Der Beschäftigte konnte sich hier auf keine Rechtsgrundlage für die Übersendung der Unterlagen und mithin für die Verarbeitung der gegenständlichen personenbezogenen Daten berufen. Die sich bewerbenden Personen hatten nicht darin eingewilligt, dass er deren Lebensläufe an seine private E-Mail-Adresse weiterleitete. Auch die Abwägung nach Artikel 6 Abs. 1 Satz 1 lit. f) Datenschutz-Grundverordnung (DS-GVO) geht zu ihren Gunsten aus. Selbst wenn das Interesse des Angestellten an den Bewerbungsunterlagen ausschließlich der visuellen Gestaltung gegolten und er es nicht auf die personenbezogenen Bewerberdaten abgesehen hatte, überwogen jedenfalls die Interessen, Grundrechte und Grundfreiheiten der Bewerberinnen und Bewerber. Sie hatten ihre Bewerbungsunterlagen im Vertrauen auf den datenschutzrechtlich ordnungsgemäßen Umgang mit ihren personenbezogenen Daten an den Arbeitgeber des Angestellten übersandt. Sie mussten nicht davon ausgehen, dass diese Daten unsachgemäß verwendet werden. Die Verwendung ihrer personenbezogenen Daten durch den Angestellten zum Zweck der Anregung bei der Gestaltung eigener Bewerbungen stellte keinen rechtfertigenden Grund dar, in das Grundrecht auf Informationelle Selbstbestimmung einzugreifen. Die Übersendung der Bewerbungsunterlagen stellt somit eine unbefugte Verarbeitung personenbezogener Daten dar.“

WIE WIRD EIN EINZELNER BESCHÄFTIGTER EIN DATENSCHUTZRECHTLICH VERANTWORTLICHER?

Nach Art. 4 Nr. 7 der DS-GVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Allein aus dem Wortlaut (natürliche oder juristische Person) wird klar, dass es sich bei dem datenschutzrechtlichen Verantwortlichen um eine Organisation, aber auch um eine Einzelperson handeln kann. In der Praxis ist es jedoch in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer oder ein einzelner Beschäftigter), die als Verantwortlicher im Sinne der DS-GVO fungiert.

Bei der konkreten Bewertung ist im Ausgang in den Fällen der Verarbeitung personenbezogener Daten durch Organisationen auch darauf abzustellen, dass die Verarbeitung nicht durch die jeweilige Organisation selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden. Dieses Handeln der Beschäftigten ist in aller Regel der jeweiligen Organisation zuzurechnen. Dies gilt jedenfalls dann, wenn die Verarbeitung personenbezogener Daten für die durch die jeweilige Organisation festgelegten Zwecke und in Ausübung der innerorganisatorischen Tätigkeit der Beschäftigten, mithin nach Weisung und unter Kontrolle der Organisation, erfolgt. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als datenschutzrechtlich Verantwortlicher anzusehen.

Diese Auffassung wird ebenfalls in den Leitlinien des Europäischen Datenschutzausschusses zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO Version 2.0 getragen: „Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. Unter außergewöhnlichen Umständen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird.“ Der EDSA führt jedoch weiter aus: „Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.“

WELCHE SANKTIONEN DROHEN?

In Konsequenz des oben Gesagten trifft in erster Linie die jeweilige Stelle die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Beschäftigte. Verarbeiten nun die Beschäftigten die personenbezogenen Daten Betroffener eigenverantwortlich, sind diese ihrerseits nunmehr Adressaten von Haftungsansprüchen und aufsichtsbehördlichen Maßnahmen und Sanktionen. Zunächst sei hier der offensichtliche Anknüpfungspunkt herangezogen: die Bußgeldsanktionierung gemäß Art. 83 DS-GVO. Diese richtet sich sehr wohl auch gegen natürliche Personen als datenschutzrechtlich Verantwortliche. Dies gilt selbst für Beschäftigte öffentlicher Stellen. Wie der LfDI in der eingangs genannten Pressemitteilung hervorhebt, haben die Landesgesetzgeber zwar öffentliche Stellen – anders als Privatunternehmen – mitunter bei Datenschutzverstößen von der Sanktionierung ausgenommen (vgl. z.B. § 19 Abs. 3 Sächsisches Datenschutzdurchführungsgesetz). Wenn Beschäftigte öffentlicher Stellen allerdings dienstlich erlangte Daten zu privaten Zwecken nutzen, dann kann in gravierenden Einzelfällen gegen sie persönlich durchaus ein Bußgeld verhängt werden. Darüber hinaus kommen durch auch Ansprüche betroffener Personen wie bspw. die Geltendmachung eines Anspruchs auf Schadenersatz nach Art. 82 DS-GVO in Betracht.

FAZIT

Bei der Verarbeitung personenbezogener Daten durch Organisation – gleich welcher Rechtsnatur – wird zuvorderst darauf abzustellen sein, dass sich die jeweiligen Organisationen für die in ihrem Zuständigkeitsbereich erfolgenden Verarbeitungen personenbezogener Daten verantwortlich zeichnen. Dies wird zumindest deshalb anzunehmen sein, weil die Festlegung der Zwecke und Mittel der Verarbeitung durch die Organisationen erfolgt. Die innerhalb der Organisation tätigen Beschäftigten führen die Verarbeitungsprozesse entsprechend nach Weisung und Befugnissen der verantwortlichen Organisationen aus. Überschreiten Beschäftigte aber diese Befugnisse liegt eine eigenständige Verantwortlichkeit nahe. Es ist jedoch allerdings Aufgabe der Organisationen für die Einhaltung der Befugnisse und Weisungen durch angemessene technische und organisatorische Maßnahmen zu sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.