Telefon: +49 911 1335-335
IT, E-Business

Fragen an das BayLDA zur Ausgestaltung der DSGVO in der Praxis

 

Ansprechpartner (1)

Dipl.-Ing. (FH) Richard Dürr

Dipl.-Ing. (FH) Richard Dürr

Informationstechnik, Telekommunikation, E-Business, Technologietransfer Tel: +49 911 1335 320

Gesammelte Antworten zur EU-Datenschutz-Grundverordnung (DSGVO) vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) aus den Sitzungen des IHK Anwenderclub Datenschutz.

 

Wie lösche ich DSGVO-konform Daten von Festplatten?

Antwort BayLDA: Die DSGVO hat keine starren Fristen oder Grenzen für eine Löschung. Zu beachten ist jedoch, dass es keine Ausnahme von der Löschpflicht gibt.

Wenn z. B. ein Dokumentenmanagementsystem eingesetzt wird, sollte dies zur Umsetzung der DSGVO Möglichkeiten bieten, Daten zu kategorisieren, aufzuspüren und nach Ablauf der Aufbewahrungsfristen bzw. bei Vorliegen anderer Löschvoraussetzungen zu löschen. Wichtig ist dabei auch, dass Daten aus Backups ebenfalls gelöscht werden müssen. Aus unserer Sicht ist es dabei jedoch ausreichend, wenn Backups innerhalb von regelmäßigen Routinen komplett gelöscht werden, anstatt jeweils die Einzeldaten aus den Backups zu löschen. Zu beachten ist, dass die Daten so gelöscht werden, dass sie nur mit einem erheblichen Aufwand wiederhergestellt werden können. Festplatten sollten deshalb mehrfach überschrieben werden. Alternativ können die entsprechenden Datensätze auch anonymisiert werden. Werden die Speichermedien nicht mehr verwendet, können diese physikalisch vernichtet werden.

Empfehlenswert für die Organisation des Löschens ist die Erstellung eines Löschkonzepts (z.B. nach DIN 66398).

 

Was mich sehr interessiert: Wir senden seit über fünf Jahren an alle unsere Kunden, welche bei uns gekauft haben, eine Geburtstagskarte und eine Weihnachtskarte. Dürfen wir das jetzt nicht mehr?

Antwort BayLDA: Auch unter der DSGVO ist der Versand von Grußkarten (= Werbung) per Briefpost grundsätzlich ohne Einwilligung des Betroffenen zulässig.

Wenn der Betroffene Kunde des Unternehmens ist und bei der Erhebung des Geburtsdatums (in der Regel freiwillige Angabe) ausdrücklich auf den (weiteren) Verwendungszweck hingewiesen bzw. über diesen informiert wird, kann auch ohne Einwilligung eine Geburtstagskarte per Briefpost verschickt werden. Die Briefsendung muss aber äußerlich so gehalten sein, dass der Briefzusteller oder Dritte das Geburtsdatum nicht wahrnehmen bzw. erkennen kann.

Der Versand von Gruß- und Glückwunschkarten per E-Mail ist auch weiterhin nur mit Einwilligung des Betroffenen zulässig. Ob sich aus der wohl ab 2019 anzuwendenden ePrivacy-Verordnung eine davon abweichende Rechtslage ergibt, ist derzeit nicht absehbar.

 

Die Aussage, dass telefonische Bestellungen nicht mehr möglich sein können, weil ich keinen schriftlichen Nachweis habe, dass der Kunde Ware oder Dienstleistung XYZ bestellt hat, bzw. dass ich die Adresse zur Auftragsabwicklung nicht erfassen / speichern darf, ist nicht nur absurd, sondern laut anderen Quellen falsch. Was ist jetzt wirklich richtig?

Antwort BayLDA: Personenbezogene Daten, die aufgrund und zur Durchführung eines Vertrages mit dem Betroffenen/dem Unternehmen erhoben und verarbeitet werden, werden aufgrund einer gesetzlichen Rechtsgrundlage erhoben und verarbeitet (Art. 6 Abs. 1 Buchst. b DSGVO).

Eine datenschutzrechtliche Einwilligung ist hierbei nicht erforderlich, sondern lediglich die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO.

Um die Informationspflichten zu erfüllen, genügt es aus unserer Sicht, dass Sie die gesetzlich vorgeschriebenen Informationen nach Art. 13 und 14 DSGVO für Interessierte in einem Info-Blatt vorhalten und auf Ihre Homepage nehmen. Bei E-Mails oder Briefen an die betreffenden Kontaktpersonen kann dann z. B. durch einen Link auf diese Datenschutzinformationen verwiesen werden. So können sich Interessierte dann unschwer umfassend informieren.

 

Wie geht man mit den Daten um, die im B2B-Geschäftsleben (z.B. durch Übergabe von Visitenkarten, am Telefon, etc. oder durch Angaben von Kontaktdaten auf Homepages von Unternehmen) ausgetauscht werden?

Antwort BayLDA: Die Namen von Ansprechpartnern bei Firmen, deren Funktionen, Kontaktdaten etc. sind – wie bisher auch – personenbezogene Daten im Sinne der DSGVO und des BDSG, wenn auch vergleichsweise wenig schutzbedürftig (da für Außenkontakte konkret vorgesehen, teilweise öffentlich zugänglich) und eine zweckgemäße Verwendung für die geschäftlichen Beziehungen ist generell zulässig (Art. 6 Abs. 1 Satz 1 Buchst. b und f DSGVO).

Diese Daten dürfen im Rahmen des Vertrages oder vorvertraglichen Verhältnisses mit dem jeweiligen Unternehmen verarbeitet werden (Art. 6 Abs. 1 Satz 1 Buchst. b und f DSGVO), es bedarf hierzu keiner gesonderten Einwilligung. Bei der Übergabe von Visitenkarten erfolgen üblicherweise mündliche Erklärungen zum Zweck der Kontaktdaten-Bekanntgabe, z. B. zu Informations- bzw. Werbezusendungen, zur Kontaktaufnahme für Vertragsverhandlungen oder für gemeinsame Projekte, zur Vorbereitung eines Besuches, und vieles mehr. Zu diesen Zwecken ist eine Verarbeitung der Kontaktdaten zulässig nach Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO.

 

Wie verhält sich die DSGVO in Bezug zu Whistleblowing-Unternehmen?

Ausgangslage: Unsere Firma betreibt ein Hinweisgeber-System ("Whistleblower-Hotline"), welches über ein externes Anwaltsbüro (Ombudsman) allen Mitarbeitern für die Meldung von Compliance-Verstößen zur Verfügung steht. Dabei kann sich derzeit ein Mitarbeiter telefonisch, per E-Mail oder per Brief an dieses Anwaltsbüro wenden. Dieses kann auf Wunsch auch anonym erfolgen, d.h. der Mitarbeiter muss bei der Kontaktaufnahme seine Identität nicht preisgeben. Gemäß dem diesjährig erschienenen Datenschutzkonferenz (DSK)-Kurzpapier "Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines" kommt eine Einwilligung eines Hinweisgebers in Betracht (E3 Seite 9), wenn dieser seine Identität bewusst preisgeben möchte und seine Angaben verarbeitet werden sollen. Die Einwilligung ist gem. Art. 7 Abs. 1 DSGVO vom Arbeitgeber oder der externen Stelle nachzuweisen.

Frage: Bisher war davon auszugehen, dass durch konkludentes Handeln des Hinweisgebers die Einwilligung in ausreichender Form gegeben war. Dieses scheint aufgrund der expliziten Nachweispflicht jetzt nicht mehr der Fall zu sein. Die Frage ist nun, wie dieser Nachweis, insbesondere bei einem Anruf, zu führen ist.

Antwort BayLDA: Wenn eine datenschutzrechtliche Einwilligung nach Art. 4 Nr. 11 DSGVO bei bestimmten speziellen Lebenssachverhalten auch durch eine mündliche Erklärung (siehe auch Nr. 32 ErwGr) oder eine sonstige eindeutig bestätigende Handlung bzw. Verhaltensweise (ebenfalls Nr. 32 ErwGr, Beispiel: freiwilliges Aufstellen zu einem Gruppenfoto in Kenntnis der Verarbeitungszwecke) abgegeben werden kann, können bei solchen speziellen Lebenssachverhalten keine strengen Anforderungen an die Nachweisbarkeit der Einwilligung gestellt werden. Es kann dann auch eine festgelegte/dokumentierte Verfahrensweise, ein Ablaufplan, etc. genügen, wie die mündliche/fernmündliche oder anderweitige Einwilligung nach/mit Information über die Verarbeitungszwecke z. B. durch konkludentes Handeln eingeholt wird.

Wer in Kenntnis der Umstände und Verarbeitungszwecke eine telefonische Whistleblower-Hotline in personenbezogener Form nutzt, bei dem wird eine Einwilligung in die dementsprechende Verarbeitung seiner Daten angenommen werden können.

Frage: Gem. E 4.2 des Kurzpapieres hat nach Art. 15 DSGVO eine beschuldigte Person Anspruch auf Auskunft der zu ihrer Person gespeicherten Daten. Dieses gilt auch, soweit diese sich auf Herkunft und Empfänger beziehen. Damit kollidiert dieser Informationsanspruch mit der vorgesehenen Möglichkeit anonymer Meldungen.

Antwort BayLDA: Wenn personenbezogene Daten einen Doppel- oder Mehrfach-Bezug haben, wie zum Hinweisgeber und gleichzeitig zu der vom Hinweis betroffenen Person, können sich im Rahmen einer Interessenabwägung Einschränkungen des Auskunftsrechts nach Art. 15 Abs. 4 DSGVO oder § 29 Abs. 1 Satz 2 BDSG-2018 ergeben ("Informantenschutz", siehe dazu auch BVerwG-Beschluss vom 1. Dezember 2015, Az. 20 F 9.15). Ist bei einer anonymen Meldung der Meldende nicht bekannt, so ist hierzu logischerweise auch keine Auskunftserteilung nach Art. 15 Abs. 1 DSGVO möglich.

Frage: Gem. Art. 4 Nr. 1 DSGVO sind alle auf eine Person beziehbare Informationen personenbezogene Daten. Das umfasst im Zweifelsfall auch die über das Hinweisgebersystem erhaltene Information über potentielles Fehlverhalten einer Person. Gem. Art. 15 Abs. 1 lit. b DSGVO kann die beschuldigte Person daher auch Auskunft über diesen Vorwurf verlangen – ohne zeitliche oder inhaltliche Einschränkungen. Dieses könnte dann den Ermittlungszweck erheblich gefährden.

Antwort BayLDA: Einschränkungen des Auskunftsrechts können bei geheimhaltungsbedürftigen Daten nach Art. 15 Abs. 4 DSGVO oder § 29 Abs. 1 Satz 2 BDSG-2018 gegeben sein, z. B. um laufende strafrechtliche Ermittlungen nicht zu gefährden. Insgesamt sehen wir danach Whistleblower-Hinweissysteme nicht pauschal aus datenschutzrechtlicher Sicht gefährdet.

 

Ist es DSGVO-konform, dass eine Webseite zur Conversion-Messung das Besucheraktions-Pixel von Facebook benutzt?

Ausgangslage: Das Pixel ist in diesem Fall anonym und die Daten gehen nur an Facebook. Diese werden nach den Facebook-Richtlinien entsprechend verwendet. Es wird zudem noch zu Marketingzwecken für die Custom-Audience benutzt. Diese kann man bei Facebook abschalten.

Frage: Sofern alle diese Vorgänge in die Datenschutzerklärung aufgenommen werden und man erklärt wozu das Pixel benutzt wird und wo man diese Funktion bei Facebook abschalten kann, würde das nach der DSGVO ausreichen oder muss man mehr machen, damit diese eingehalten wird?

Antwort BayLDA: Das Pixel-Verfahren kann zulässig eingesetzt werden, soweit von jedem Nutzer eine Einwilligung vorab eingeholt wird. Nach unserer Auffassung handelt es sich keinesfalls um anonyme Daten, die durch Facebook erhoben werden. Im Übrigen muss in den Datenschutzbestimmungen über die Einbindung des Pixel-Verfahrens informiert werden.

 

Gilt eine Mitarbeiterinformation nach DSGVO als Werbung und kann man dieser widersprechen?

Ausgangslage: Der Arbeitgeber verteilt an die dienstliche E-Mail-Adresse des Mitarbeiters eine Mitarbeiterinformation, welche ein Angebot zur Teilnahme an einem kostenlosen Lauftraining zum Inhalt hat. Eine Registrierung ist nicht erforderlich. Anbieter ist eine Krankenkasse, mit der der Arbeitgeber eine strategische Partnerschaft hat sowie ein regionales Fitness-Studio. Beide Firmen sind im Mailing erwähnt und es befinden sich auch Links bzw. Facebook-Kontakte auf deren Webseiten. Ein Mitarbeiter sieht jetzt diese Information als unzulässige Werbung für die Krankenkasse und das entsprechende Fitnessstudio an und möchte einer Zustellung weiterer Informationen des Arbeitgebers zu solchen Angeboten widersprechen

Frage: Kann eine E-Mail des Arbeitgebers an seine Mitarbeiter zu solchen nicht dienstlichen Themen als Werbung angesehen werden? Hat der Mitarbeiter in Bezug auf E-Mails, die von einer internen Abteilung an seinen dienstlichen E-Mail-Account gesendet werden, überhaupt ein Recht auf Widerspruch? 

Antwort BayLDA: Der Arbeitgeber kann nach unserer Auffassung im Rahmen der Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG-2018) und seines Direktionsrechts den Mitarbeitern auch elektronische Mitteilungen an die dienstlichen E-Mail-Adressen zu Gesundheitsaktionen einschließlich Werbung, wie z.B. zu einem Lauftraining, zukommen lassen. Wir sehen darin keine datenschutzrechtlich unzulässige Nutzung der dienstlichen E-Mail-Adresse, über die insoweit auch der Arbeitgeber verfügt. Ob der Arbeitnehmer sich arbeitsrechtlich wirksam dagegen wehren kann, können wir nicht beurteilen.

 

Wie regelt die DSGVO die Auskunftsersuche von Beschäftigten? 

Frage: Wie ist die Handhabung von Auskunftsverlangen von Mitarbeitern für den Fall zu regeln, dass Mitarbeiter die Möglichkeit haben, selber in den IT-Systemen ihre Daten einzusehen? Muss der Verantwortliche (Arbeitgeber) dann dennoch die Daten zusammenstellen und "eine Kopie" der Daten zur Verfügung stellen?

Antwort BayLDA: Die DSGVO präferiert zur Informationsmöglichkeit über die eigenen Daten den angesprochenen Online-Zugriff von Mitarbeitern. Erwägungsgrund 63 Satz 4 lautet insoweit: "Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde." Das LAG Hessen hat mit Urt. v. 29. Januar 2013, Az. 13 Sa 263/12, u.a. wie folgt entschieden: "Können personenbezogene Daten durch Einblick in den eigenen E-Mail-Account selbst ermittelt werden, ist das Verlangen einer entsprechenden Auskunft in Textform rechtsmissbräuchlich." Wir würden in solchen Fällen deshalb bis auf Weiteres nicht auch noch eine zusätzliche Auskunftserteilung durch den Arbeitgeber als Verantwortlichen fordern.

 

Wie werden laut DSGVO Analysetools zur Qualitätsverbesserung eingesetzt? 

Frage: Zur Qualitätsverbesserung soll eine Analyse der Kundenanliegen durchgeführt werden. Die verarbeiteten Daten sind Kundennummer, Kundenanliegen (nur Typ), Datum des Anliegens und Status (offen, erledigt). Sind Verarbeitungen ohne Personenbezug (nur juristische Personen) im Register gem. Art. 30 Abs. 1 DSGVO zu führen?

Antwort BayLDA: Wenn die Kundennummern nur juristische Personen betreffen, ist die DSGVO nach Art. 1 nicht anwendbar und damit auch nicht Art. 30.

 

Wie ist mit einer Auskunft nach Art. 15 DSGVO umzugehen? 

Fragen: Eine uns unbekannte Person verlangt per E-Mail datenschutzrechtliche Auskunft nach DSGVO Art. 15. Ihre Identitätsangaben sollen wir über einen Link verifizieren. Unsere IT-Sicherheitsrichtlinien verbieten uns, bei E-Mails mit unbekanntem Absender auf Anhänge und Links zu klicken. Wie können wir die Identitätsangaben überprüfen, ohne uns der Gefahr von Viren, Trojaner und Co. auszusetzen?

Dieselbe Person teilt uns seine IP-Adresse und Datum mit. Sind wir verpflichtet, die Logs unserer Webseite, nach seiner IP-Adresse zu durchsuchen? Oder genügt ein Hinweis auf unsere Datenschutzrichtlinie?

Weiterhin verlangt er nach Art. 17 DSGVO eine unverzügliche Löschung seiner bei uns verarbeiteten personenbezogenen Daten. Die einzigen personenbezogenen Daten, die wir von ihm haben, sind seine Angaben, die er uns mit seiner E-Mail über die datenschutzrechtliche Auskunft zugesendet hat. Löschen wir diese unverzüglich, können wir ihm nicht mehr antworten. Wie lange ist diese Anfrage zu speichern? Ist sie bei der Auskunft mit zu berücksichtigen?

Von der IHK haben wir erfahren, dass diese Person bundesweit ein Massenmailing versandt hat. Dies ist offensichtlich ein Missbrauch der datenschutzrechtliche Auskunft nach DSGVO Art. 15! Kann man sich in solchen Fällen beim BayLDA beschweren? Was unternimmt das BayLDA in solchen Fällen? Es kann doch nicht sein, dass Spaßvögel uns sinnlos beschäftigen!

Antwort BayLDA: Wie wir schon häufig hörten, sind solche Auskunftsanfragen nach Art. 15 DSGVO unter dem Namen "..."* an eine große Masse von Unternehmen bundesweit gesandt worden, die bisher keinerlei Kontakt zu dem Betreffenden hatten und auch anderweitig bisher keinerlei personenbezogene Daten zu ihm gespeichert haben. Laut den Informationen von der LDI NRW gibt es dort Hinweise, dass der "echte" ...* damit nichts zu tun hat und es sich eventuell um Identitätsmissbrauch handelt. Ob damit eventuelle Abmahnungen vorbereitet werden sollen, ist im Moment nicht bekannt.

Wir teilen zu Beratungsanfragen jeweils folgendes mit: Art. 15 Abs. 1 DSGVO sieht auch vor, dass die betroffene Person eine Bestätigung darüber verlangen kann, ob sie betreffende personenbezogene Daten verarbeitet werden. Wer insoweit angeschrieben wurde, obwohl keinerlei Daten zu dieser Person vorhanden sind, müsste also mitteilen, dass zu dieser Person bisher keine Daten gespeichert waren und jetzt nur die in der Anfrage selbst enthaltenen Daten für den Zweck der Dokumentation der ordnungsgemäßen Abwicklung des Auskunftsersuchens gespeichert werden (Nr. 1 Buchst. a, b und c der Anfrage). Für diese Dokumentation halten wir regelmäßig eine Frist von einem Jahr für sachgerecht, was zu Nr. 1 Buchst. e der Anfrage mitgeteilt werden kann.

Nr. 1 Buchst. d, g, h und i der Anfrage werden regelmäßig nicht zutreffen und können folglich als "nicht zutreffend" oder ähnlich bezeichnet werden. Zu den Rechten von Betroffenen aus Nr. 1 Buchst. f kann ein Text ähnlich unserer Information auf unserer Homepage unter https://www.lda.bayern.de/de/informationen.html, siehe dort Abschnitt VIII, verwendet werden.

Zu Nr. 2 der Anfrage (Löschung) kann gesagt werden, dass die in der Anfrage selbst enthaltenen Daten für den Zweck der Dokumentation der ordnungsgemäßen Abwicklung des Auskunftsersuchens (Beweiszwecke) regelmäßig für ein Jahr gespeichert und danach gelöscht werden.

Die übrigen beiden Punkte von Nr. 2 der Anfrage werden mangels ursprünglicher Datenspeicherung zu dem Betreffenden nicht zutreffen, was dann entsprechend beantwortet werden kann.

Nach Art. 11 Abs. 1 DSGVO müssen regelmäßig keine zusätzlichen Aktivitäten entwickelt werden, um bestimmte Daten einer Person zuordnen zu können, wie z. B. bei reinen IP-Adressen.

Ob in dem Verhalten des Betroffenen mit Massen-Auskunftsersuchen nach Art. 15 DSGVO, ohne dass es irgendwelche Anhaltspunkte für eine entsprechende Verarbeitung seiner personenbezogenen Daten bei den angegangenen Verantwortlichen gibt, Rechtsmissbrauch gesehen und eine Auskunftserteilung verweigert werden kann, vermögen wir nicht zu beurteilen; dies entscheiden letztendlich die Gerichte. Zur DSGVO gibt es aber leider noch keine Rechtsprechung.

* Name wurde anonymisiert aufgrund eines Löschungsersuchens des Betroffenen.

 

Wie verfahre ich mit der Bekanntgabe und Genehmigung des Subunternehmereinsatzes nach Art 28 Abs. 2 DSGVO?

Ausgangslage: Das betroffene Unternehmen möchte als Auftragsverarbeiter ihre eingesetzten oder ggf. neu hinzukommende Subunternehmen den Auftraggebern aus wettbewerbsrechtlichen Gründen in bestimmten Kundenbeziehungen nicht bekanntmachen.

Fragen: Kann darauf in Einzelfällen verzichtet werden, wenn die Geschäftsführung eine schriftliche, stichhaltige Begründung verfasst? Wenn ja – wie kann dies im Vertrag entsprechend formuliert werden?

Antwort BayLDA: Im Hinblick auf die datenschutzrechtliche Verantwortlichkeit des Auftraggebers für das gesamte Auftragsverhältnis nach Art. 28 Abs. 1 DSGVO und die Regelungen zur Subunternehmer-Beauftragung in Art. 28 Abs. 2 DSGVO sehen wir keine Möglichkeit, die Identität der eingesetzten oder ggf. neu hinzukommenden Subunternehmer dem Auftraggeber zu verschweigen. Der Absatz im Wortlaut: "Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben."

 

Rechtsgrundlage für Gehaltsbenchmarks

Fragen: Wir wollen einen anonymen Gehaltsbenchmark durchführen, um zu sehen, inwieweit unsere Personalpolitik zeitgemäß ist. Nach einem Artikel in Lohn + und Gehalt und im Leitfaden Datenschutz-Grundverordnung (datakontext) sei dies aufgrund der Vertraulichkeitsanforderungen an eine Personalakte nur mit einer Einwilligung der Beschäftigten möglich. Wir sehen hier aber eine Rechtsgrundlage in der Wahrung berechtigter Interessen, wenn für eine tatsächliche Anonymisierung gesorgt wird. Welche Rechtsgrundlagen und welche Datenschutzanforderungen sind unserem Vorhaben zugrunde zu legen?

Antwort BayLDA: Wenn tatsächlich eine Anonymisierung vorliegt, gilt Datenschutzrecht nicht (keine personenbezogenen Daten). Falls es sich um ein kleines Unternehmen handelt und ein Rückschluss auf einen einzelnen Mitarbeiter nicht auszuschließen ist (keine Anonymisierung), würde das Datenschutzrecht gelten. Hier könnte ein berechtigtes Interesse des Arbeitgebers zu bejahen sein (also Lösung aufgrund gesetzlicher Grundlage, § 26 BDSG, nicht mit Einwilligung)

 

Datenpannen
(Sitzung vom 19.03.2019)

a) Würde das BayLDA Informationen, die im Zusammenhang mit einer Art. 33-Panne gemeldet werden oder Informationen, die sich aus diesem Sachverhalt ergeben, zur Grundlage eines Bußgeldbescheides machen? Wendet das LDA also den § 43 Abs. 4 an (unabhängig von der Frage, ob es diesen für europarechtswidrig hält oder nicht)?

Antwort BayLDA:  Im Zusammenhang mit der Meldung von Datenschutzverletzungen sollte der Fokus von Verantwortlichen, aber auch den Aufsichtsbehörden, immer darauf gelegt werden, dass die für die betroffenen Personen nachteiligen Folgen möglichst schnell und umfassend abgewandt werden. Im Lichte dessen werden wir auch bis auf weiteres die o.g. Vorschriften nicht nur als Verwertungs-, sondern sogar als Verwendungsverbot ansehen, d.h. eine gemeldete Datenschutzverletzung grundsätzlich nicht zum Gegenstand eines Ordnungswidrigkeitenverfahrens machen. Ausdrücklich hinweisen möchten wir aber darauf, dass eine verspätete oder gänzlich unterlassene Meldung sehr wohl ein Bußgeld nach sich ziehen kann. Auch würden wir selbstverständlich Meldungen, die lediglich der Verhinderung eines Bußgeldverfahrens dienen sollen, wir aber bereits weit davor von der Datenschutzverletzung erfahren haben, nicht mehr als von den o.g. Vorschriften umfasst ansehen.
(s. auch: PinG 03/2019, Interview Kranig, Dr. Brink)

b) Muss nach Ansicht des LDA ein Geschäftsführer nach § 40 Abs. 4 BDSG Auskunft zu Vorgängen in seinem Unternehmen geben, die nicht im Einklang mit der DSGVO erfolgen oder hat er ein Schweigerecht, weil er sich möglicherweise selbst belasten würde (wegen der Anwendung des Funktionsträgerprinzips)?

Antwort BayLDA:  Für den Fall, dass der Auskunftspflichtige sich oder einen Angehörigen der Gefahr einer strafrechtlichen Verfolgung oder eines Ordnungswidrigkeitenverfahrens aussetzen würde, hat er nach dem eindeutigen Wortlaut des § 40 Abs. 4 BDSG-neu (wie bisher auch schon) selbstverständlich ein solches Auskunftsverweigerungsrecht. Es sei jedoch auch darauf hingewiesen, dass nach unserer derzeitigen Auffassung in den Fällen, in denen die juristische Person Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO ist, eine Geldbuße grundsätzlich auch gegen diese zu verhängen ist. Daher sind wir der Ansicht, dass ein Geschäftsführer zumindest nicht deshalb die Aussage verweigern kann, weil er befürchtet, dass alleine gegen das Unternehmen eine Geldbuße verhängt werden könnte.

 

Löschkonzepte E-Mails & Co.
(Sitzung vom 19.03.2019)

Wir sind ein Unternehmen mit ca. 1000 Mitarbeitern, das aktuell im Rahmen eines Projektes die einheitliche Löschung personenbezogener Daten in den IT-Systemen umsetzt. In diesem Kontext stellt sich uns die Frage, wie mit der Speicherung personenbezogener Daten in Outlook, auf Laufwerken und mobilen Endgeräten (z.B. Laptops und Mobilfunkgeräten) umzugehen ist. Wie ist hier die Einschätzung und Empfehlung der Aufsichtsbehörde?
In unserem Unternehmen sind aktuell drei Varianten in Diskussion:

Variante 1: manuelle Löschung
Dateien in Outlook, auf Laufwerken und mobilen Endgeräten, die potentiell personenbezogene Informationen beinhalten und die keinen Aufbewahrungsfristen (mehr) unterliegen, sind von jedem einzelnen Mitarbeiter jährlich zu selektieren und zu löschen. Nachteil: Es wird geschätzt, dass dies zu manuellen Zeitaufwänden für jeden einzelnen Mitarbeiter in Höhe von ca. 6 Tagen im ersten Jahr und ca. 3 Tagen in jedem weiteren Jahr führen würde. Ausgehend von einem durchschnittlichen Stundenlohn von ca. 40 € je Mitarbeiter und einer täglichen Arbeitszeit von 8 Stunden würde diese Lösung Gesamtkosten für das Unternehmen von ca. 1,9 Millionen € im ersten Jahr und laufende Kosten i.H.v. ca. 1 Million € in jedem weiteren Jahr bedeuten. Zudem könnten - trotz der Schulung der Mitarbeiter bzgl. der Löschvorgaben - Dateien vor Ablauf der Aufbewahrungsfristen manuell gelöscht werden.

Antwort BayLDA: Wäre möglich. Wir sehen aber auch den hohen Aufwand.

Variante 2: keine Löschung
Auf Basis einer Interessenabwägung (Kosten-Nutzen Analyse – siehe oben) wird vollständig auf die Prüfung und die sich darauf ergebenden manuellen Löschung im Hinblick auf Outlook/ Laufwerke/mobile Endgeräte verzichtet.

Antwort BayLDA: Die Frage des „Ob“ des Löschens unterliegt nach DS-GVO keiner Interessenabwägung. Diese Variante wird also nicht gehen.

Variante 3: automatisierte Löschung
Dateien in Outlook, auf Laufwerken und mobilen Endgeräten werden nach einer festgesetzten Frist automatisiert archiviert (Mitarbeiter haben noch Zugriff auf diese im Bedarfsfall) und nach einer maximalen Aufbewahrungsfrist von 30 Jahren automatisiert gelöscht. In unserem Unternehmen ist die private Nutzung von Outlook und mobilen Endgeräten erlaubt, weswegen dieser Lösungsansatz zusätzlich arbeitsrechtlich beurteilt werden muss, da hierbei auch private Dateien gelöscht werden.

Antwort BayLDA: Eine nichtselektive Archivierung mit einer solch langen Laufzeit geht nicht, da z.B. dann Bewerbungsunterlagen (Aufbewahrungsfrist 6 Monate) 30 Jahre archiviert werden.

Wie ist die Einschätzung der Aufsichtsbehörden zu den drei vorgeschlagenen Varianten?
Welche generelle Empfehlung kann die Aufsichtsbehörde für die Praxis geben?
BayLDA-Generelle Einschätzung:
Erarbeitung eines Löschkonzepts. Trennung der Fragestellung des Löschens von Backups (1x/Jahr ist in der Regel OK) und Löschen von Archiven. Keine Archivierung von „Datenklumpen“, d.h. Daten mit extrem unterschiedlichen Laufzeiten und unterschiedlichen Verarbeitungszwecken.

 

Auskunftsersuchen
(Sitzung vom 19.03.2019)

Immer häufiger werden an Unternehmen Auskunftsersuchen i.S.d. Art. 15 DSGVO gestellt. Inwieweit ist es aus dem Wortlaut des Art. 15 Abs. 1 lit. b DSGVO zu vertreten, dass sich dieser nicht auf konkrete Datensätze, sondern lediglich die Stammdaten und in der Norm benannten Informationen („Registerauskunft“) bezieht. In Art. 15 DSGVO konkretisiert sich der Anspruch auf die Kategorien personenbezogener Daten? Im Gegensatz dazu richtet der Art. 20 Abs. 1 DSGVO auf die konkreten Daten, die die betroffene Person freiwillig oder auf Basis eines Vertrages bereitgestellt hat.

In Art. 15 Abs. 3 DSGVO wird auch nur eine Kopie der personenbezogenen Daten verlangt, die Gegenstand der Verarbeitung sind. Dies umfasst nach unserer Auffassung keinen Anspruch auf Kopien von ganzen Unterlagen.

Frage: Ist es nach Meinung des BayLDA für die Erfüllung eines Auskunftsersuchens i.S.d. Art. 15 DSGVO ausreichend, wenn die personenbezogenen Stammdaten und alle in Absatz 1 genannten Informationen bereitgestellt werden? Besteht nach Art. 15 Abs. 3 DSGVO ein Anspruch auf Kopien aller Unterlagen?

Antwort BayLDA:

Nach Art. 15 DS-GVO hat die betroffene Person das Recht,

  1. von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie
  2. ein Recht auf Auskunft über (alle) diese personenbezogenen Daten und auf die Informationen gemäß Art. 15 Abs. 1 Buchst. a - h DS-GVO.

Art. 15 DS-GVO gewährt aus unserer Sicht aber keinen Anspruch auf Kopien von Vorgängen oder Dokumenten, sondern auf „Auskunft über diese personenbezogenen Daten“, wie es in der zentralen Vorschrift von Art. 15 Abs. 1 DS-GVO im Einleitungsteil heißt. Dies soll nach Art. 15 Abs. 3 DS-GVO in Form einer „Kopie der personenbezogenen Daten“ (als Form der Auskunft) erfolgen.

Es müssen also nicht ggfls. viele Hundert Seiten kopiert oder ausgedruckt werden, sondern es genügt eine Auflistung der gespeicherten personenbezogenen Daten, die bei entsprechender Speicherung in Form einer Kopie der Datenauflistung erfolgt (z. B. bei Kundenkarten-Systemen, bei Auskunfteien oder bei Finanzdienstleistern häufig gegeben).

Siehe zur Reichweite des datenschutzrechtlichen Auskunftsanspruchs auch die Entscheidung des EuGH vom 17.07.2014, die unter
https://www.cr-online.de/blog/2014/11/10/eugh-zur-reichweite-des-datenschutzrechtlichen-auskunftsanspruchs-bei-mittelbarem-personenbezug/ beschrieben wird (Hinweis: in der EU-Datenschutzrichtlinie war das Auskunftsrecht in vergleichbarer Weise geregelt wie jetzt in der DS-GVO).

Geht es um eine große Menge von vorhandenen Informationen über die betroffene Person, z. B. bei der „Haus-Bank“ eines langjährigen Kunden oder bei langjährig Beschäftigten beim gleichen Arbeitgeber, so kann der Verantwortliche nach Nr. 63 Satz 7 der ErwGr zur DS-GVO verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen beziehen soll.

Die gesetzlichen Regelungen sehen bei besonderen Sachverhalten Ausnahmen von der Auskunftspflicht vor, siehe dazu Art. 12 Abs. 5 und Art. 15 Abs. 4 DS-GVO (Missbrauch, exzessive Rechte-Wahrnehmung, Beeinträchtigung von Rechten Dritter) sowie § 34 Abs. 1 BDSG (Archiv-, Backup-, IT-Protokoll-Daten etc.). Allerdings bedarf es dabei einer sorgfältigen Prüfung des Einzelfalles. Die Gründe für die Verweigerung der Auskunftserteilung sind zu dokumentieren, damit im Nachhinein überprüft werden kann, ob eine Auskunftserteilung zu Recht verweigert wurde. Die betroffene Person ist entsprechend zu informieren, damit sie sich gegen eine ihrer Ansicht nach unberechtigte Auskunftsverweigerung zur Wehr setzen kann.

 

Informationspflichten
(Sitzung vom 19.03.2019)

In welcher Form muss bzw. kann der Themenbereich „Betroffenenrechte“, insbesondere Informationspflichten, in einer verantwortlichen Stelle umgesetzt werden?
Dazu nachfolgend Beispiele aus dem nicht-öffentlichen und dem öffentlichen Bereich.

  1. Die Umsetzung bei der DATEV unter dem Link https://www.datev.de/web/de/m/ueberdatev/datenschutz/informationen-nach-artikel-13-und-14-ds-gvo/ (Anm. d. Red.: Link nicht mehr gültig) oder
  2. Universa unter https://www.universa.de/ueber-uns/datenschutz/datenschutzinformation.htm sowie aus dem öffentlichen Bereich die Umsetzung z.B.
  3. im Markt Feucht https://www.feucht.de/cms.new/dokumente/datenschutz.html, welche vom Bay. Innenministerium als „völlig ausreichend“ eingestuft wird.

Entsprechen die Beispiele dem „Transparenzgebot“ gemäß DSGVO-Erwägungsgrund 58
https://dsgvo-gesetz.de/erwaegungsgruende/nr-58/
(Auszug daraus: …Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.)?

Antwort BayLDA: Die Informationspflichten nach Art. 13 und 14 DS-GVO können situationsgerecht auch in abgestufter Form (mit „Medienbruch“) erfüllt werden.

In der alltäglichen Praxis gibt es zahlreiche Situationen, in denen eine praxistaugliche und angemessene Balance zwischen den Informationspflichten nach Art. 13 und 14 DS-GVO und der Gefahr einer Informationsermüdung bzw. Informationsüberhäufung bei den betroffenen Personen im Hinblick auf deren vielfältigen Geschäftsbeziehungen geschaffen werden muss, damit die betroffenen Personen in der Masse situationsgerecht wenigstens die wichtigsten Informationen noch bewusst zur Kenntnis nehmen („weniger ist oft mehr“).

Art. 12 Abs. 1 DS-GVO regelt die allgemeinen Vorgaben, dass geeignete Maßnahmen zu treffen sind, um die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Der Europäische Datenschutzausschuss (EDSA) hat im Working Paper 260 eine gestufte Information (layered approach) für zulässig erachtet. Auf der ersten Stufe/Im ersten Schritt müssen immer die Informationen zur Identität des Verantwortlichen und zu den Zwecken der Verarbeitung gegeben werden, soweit diese Informationen nicht ohnehin schon wegen der Art des Kontakts mit der betroffenen Person offenkundig sind (z. B. bei deren Anruf zu einer Terminvereinbarung mit dem Friseur oder Steuerberater). Je nach Art des Kontakts mit der betroffenen Person ist ergänzend noch auf das Bestehen der Betroffenenrechte hinzuweisen, z. B. in Werbeschreiben. Auf zweiter Stufe müssen dann alle Informationen nach Art. 13 bzw. 14 DS-GVO für die betroffene Person erhältlich sein bzw. gegeben werden, z. B. per Link zu der entsprechenden Internet-Seite mit allen Informationen, Bereithalten eines dementsprechenden Informationsblattes, das übergeben oder zugesandt werden kann.

Die in der Anfrage genannten Beispiele der Umsetzung der Informationspflichten sind aus unserer Sicht sachgerecht, wobei wir natürlich für den Markt Feucht keine Zuständigkeit haben.

 

Technische und organisatorische Maßnahmen (TOM)
(Sitzung vom 19.03.2019)

Wie lauten die wesentlichen DSGVO-Anforderungen an die TOMs, wie z.B. der Art. 5 Grundsätze für die Verarbeitung, der Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen, der Art. 25 Datenschutz durch Technikgestaltung und der Art. 32 Sicherheit der Verarbeitung?

Ferner, welche konkreten und angemessenen Sicherungsmaßnahmen sind gemäß dem Art. 32, Sicherheit der Verarbeitung, als quasi best-practise-Standards anzuwenden wie z.B. dem BSIGrundschutz-Kompendium, oder dem VDS-Standard 3473 oder dem ISIS12-Standard?

Antwort BayLDA: Die DS-GVO hat einen risikoorientierten Ansatz. Dies bedeutet, dass es nicht die eine TOM-Liste für alle Unternehmen/Sektoren gibt, sondern allenfalls passend zur Unternehmensgröße bzw. Art des Unternehmens (z.B. Bank, Arztpraxis, Online-Shop,…). Die DS-GVO hat wenig konkrete TOM vorgegeben, z. B. Verschlüsselung und Pseudonymisierung. Zur Umsetzung der TOM nach Art. 25 DSGVO kann auf das Standard-Datenschutzmodell oder den NIST Standard SP 800-53 verwiesen werden. Zur Umsetzung von Art. 32 DS-GVO kann ebenfalls das gewählt werden, was am besten passt: BSI IT-Grundschutz, ISO27001 , VDS oder ISIS12, sofern Anwendungsbereich und Risikoblickwinkel auf DS-GVO ausgerichtet sind. Auch können die TOM-Kataloge aus BDSG-alt (§ 9 BDSG) als Grundlage für eine DS-GVO TOM-Liste noch verwendet werden.

 

Protokolldaten
(Sitzung vom 19.03.2019)

In vielen IT-Systemen werden benutzerbezogen in unterschiedlicher Art und Weise bzw. Ausprägung Aktivitäten- und Änderungsprotokolle mitgeführt.

Hier eine Auswahl an Beispielen.
a) Dokumentenbibliotheken in Microsoft SharePoint.
Bei aktivierter Versionierung ist an jedem Dokument eine Änderungshistorie hinterlegt, mit Hilfe derer man auf vorangegangene Versionen eines Dokumentes zugreifen kann.
In dieser Änderungshistorie ist auch der Name des ändernden Benutzers sowie der Zeitpunkt der Änderung ersichtlich.

b) Zeichnungskopf auf technischen Zeichnungen.
In technischen Zeichnungen wird oft in einem Zeichnungskopf/-schriftfeld der Name des Erstellers und des Erstelldatums der jeweiligen Ausgabe einer Zeichnung sowie der Prüfer/Freigeber und das Freigabedatum hinterlegt.
Dies passiert oft automatisiert mit Hilfe eines Zeichnungsverwaltungssystems, in dem diese Daten natürlich auch gespeichert sind.
Ein PDF-Abbild des jeweiligen Zeichnungsstandes steht dann im (oftmals elektronischen) Zeichnungsarchiv zur Verfügung und muss für Audits und andere Anforderungen (z.B. aus Zertifizierungen) teilweise über 10 Jahre oder länger vorgehalten werden.

c) Protokolle und Buchungen im ERP-System.
In einem ERP-System werden Datenänderungen (z.B. Eintragung eines bestätigten Liefertermins in einer Einkaufsbestellung) und Belegbuchungen (Rechnungen, Lieferungen etc.) personenbezogen (zumindest erkenntlich anhand eines Logins) mitgeführt.

d) Firmeninternes Wiki
Änderungen an Seiten sind in der jeweiligen Änderungshistorie (zumindest mit Benutzername, oft auch mit Vor- und Zunamen) ersichtlich.

Handelt es sich bei diesen (und ähnlichen) Beispielen um personenbezogene Daten in dem Sinne, dass diese Daten in einem VVT und einem Löschkonzept Berücksichtigung finden müssen? Sind diese Daten auch bei der Ausübung von Betroffenenrechten (z.B. bei der Löschaufforderung durch einen ausgeschiedenen Mitarbeiter) zu beachten?

Antwort BayLDA: Die genannten Protokolldateien enthalten ohne Zweifel personenbezogene Daten im Sinne des Datenschutzrechts (Benutzer-, Ersteller-, Prüfer-/Freigeber-, Bearbeiter-Namen), wenngleich diese Daten auch regelmäßig wenig sensibel sind.

Protokolldateien können aus unserer Sicht zusammengefasst im VVT dargestellt werden, z. B. als Verfahren bzw. Verarbeitungstätigkeit „IT-Protokolldateien“, wo dann bei den Zwecken der Verarbeitung (Art. 30 Abs. 1 Buchst. b DS-GVO) die verschiedenen Software-Produkte (wie SharePoint, CAD- und ERP-System oder firmeninternes Wiki) genannt werden können.

Im Löschkonzept sind, wie in der VVT-Darstellung, die bestehenden bzw. gebotenen unterschiedlichen Aufbewahrungsfristen zu berücksichtigen, die bei der Änderungshistorie in einem firmeninternen Wiki eher kurz sein können (z. B. ein Jahr), bei technischen Zeichnungen für Brückenbauwerke oder bei Flugzeugkonstruktionen wegen der dabei auch längerfristig bestehenden Haftungsverpflichtungen vergleichsweise lange sein werden (z. B. bis zu 30 Jahre im Hinblick auf die Verjährungsregelungen).

Diese personenbezogenen Daten sind dem Grunde nach auch bei der Ausübung von Betroffenenrechten mit einzubeziehen, wobei im Rahmen des Auskunftsrechts die Nennung der Kategorie nach Art. 15 Abs. 1 Buchst. b DS-GVO (z. B. als IT-Protokolldaten) genügt. Bei Löschungswünschen gegenüber dem Verantwortlichen sind dort eventuell fortbestehende Berechtigungen der Speicherung von Protokolldaten (weiterhin notwendige Daten im Sinne von Art. 17 Abs. 1 Buchst. a sowie Art. 6 Abs. 1 DS-GVO) bzw. Ausnahmen von der Löschverpflichtung nach Art. 17 Abs. 4 DS-GVO und § 35 Abs. 3 BDSG zu prüfen.

 

Verschlüsselung bei der Nutzung eines MPLS Netzwerkes
(Sitzung vom 19.03.2019)

Besteht die Notwendigkeit einer Contentverschlüsselung bei der Nutzung eines MPLS Netzwerks zur Sicherstellung der Vertraulichkeit bei der Übermittlung von personenbezogenen Daten?
Unser Anbieter betreibt sog. Break-Outs auf der ganzen Welt.
Inwieweit ist die „Klartextübermittlung“ innerhalb eines solchen Netzwerks in Ordnung, oder sind spezielle Verschlüsselungsmethoden durch den Nutzer notwendig?
Kann man sich auf das Fernmeldegeheimnis (welchem der Anbieter unterworfen ist) berufen?
Inwieweit trifft die Aussage zu MPLS auch auf VPN Dienste-Anbieter zu?

Antwort BayLDA: Diese Frage liegt seit längerem als Beratungsanfrage beim LDA. Schnellantwort ohne Begründung: Ja, Verschlüsselung ist notwendig. Fundierte Antwort erfordert Recherche über Risikoszenarien bei Netzübergaben internationaler Betreiber: Zeitspanne kann momentan aufgrund der extremen Arbeitslast leider nicht abgeschätzt werden.

 

Zweckgemeinschaften in der Industrie (ARGEN)
(Sitzung vom 19.03.2019)

Frage: Häufig werden in der Wirtschaft sog. Zweckgemeinschaften (ARGEN) gegründet, die im juristischen Sinne eigenständige GbRs sind.
Alle Gesellschafter bringen in diese ARGEN etwas ein (Personal, Material, IT, …), darunter natürlich auch personenbezogene Daten zu Abrechnungszwecken bzw. fachliche Lebensläufe etc. Durch den Status einer GbR vertrete ich aktuell die Meinung, dass ARGEN eigenständige Einheiten sind, die wiederum selbstverwaltend die DSGVO umzusetzen und einzuhalten haben.

Antwort BayLDA: Das sehen wir auch so, GbR sind regelmäßig Verantwortliche im Sinne der DS-GVO.

Frage: Sehe ich es richtig, dass die vorher genannten Gesellschafter in Sachen pbD als Datenexporteure, die ARGE als Datenimporteur (was entsprechende Verträge notwendig macht) auftreten?

Antwort BayLDA: Das wird häufig so sein, soweit nicht eine gemeinsame Verantwortung gegeben ist.

Frage: Je nach Größe der ARGE und der zu bearbeitenden Daten (evtl. sensible Mitarbeiterdaten zu Abrechnungszwecken) ist dann auch ein eigener DSB direkt von der ARGE zu bestellen. Innerhalb der ARGE arbeiten mind. zwei evtl. auch mehr Mitarbeitergruppen von unterschiedlichen Gesellschaftern mit personenbezogenen Daten des ARGE Personals.
Entspricht diese Ansicht der Sichtweise der Aufsichtsbehörde?

Antwort BayLDA: Das sehen wir auch so, von der ARGE ist die Notwendigkeit einer DSB-Benennung eigenständig zu prüfen.

Frage: Ist aufgrund der engen – aber zeitlich begrenzten Vermaschung - ein Vertrag über gemeinsame Verantwortliche gegeben, da die Gesellschafter nach Gründung der ARGE keine Weisungen mehr erteilen, sondern die ARGE selbst über Mittel und Zwecke entscheidet?
Wie sieht schlussendlich die Aufsichtsbehörde dieses Konstrukt?
Bleiben die Gesellschafter (welche die Daten/Personal „bereitgestellt“ haben) in der Verantwortung,oder eher die „Entscheider innerhalb der ARGE?

Antwort BayLDA: Je nach vertraglichem Konstrukt und vorgesehener Eigenständigkeit einer ARGE kann eine Datenübermittlung von den beteiligten Gesellschaften an die ARGE mit anschließender eigenverantwortlicher Verarbeitung personenbezogener Daten bei der ARGE oder eine gemeinsame Verantwortung der Gesellschaften zusammen mit der ARGE vorliegen.

 

Internet zu privaten Zwecken erlaubt: Maßnahmen für IT-Sicherheit
(Sitzung vom 02.07.2019)

In unserem Unternehmen ist es dem Mitarbeiter erlaubt, in Pausen den Internetzugang auch zu privaten Zwecken zu nutzen. Somit würde für uns in diesem Punkt das TKG gelten.

Nun ist die Überlegung aus Gründen der IT-Sicherheit eine SSL-Inspection/-Decryption (d.h. das Aufbrechen sicherer https-Verbindungen) einzuführen, um Schadprogramme u./o. Angriffe frühzeitig abzuwehren und nicht erst, wenn ggf. der Virenscanner auf dem entsprechenden Endgerät Alarm schlagen sollte.

Frage: Wie steht das BayLDA zu diesem bewusstem „Man-in-the-Middle“-„Angriff“ der eigenen IT?

Gleichzeitig könnte entsprechend einem möglichen Datenverlust durch Schadsoftware entgegen gewirkt oder auch verhindert werden, bevor diese im Unternehmensnetzwerk/dem jeweiligen Endgerät ist.

Aus Datenschutzsicht gibt es also mehrere (berechtigte) Interessen…

Frage: Würde z.B. eine einfache Information der Mitarbeiter genügen?

Frage: Was wären die Grundbedingungen – sofern gestattet – die seitens des BayLDAs gefordert bzw. empfohlen würden?

Antwort BayLDA: Internet zu privaten Zwecken erlaubt: Maßnahmen für IT-Sicherheit

Grundsätzlich empfehlen wir, die private Nutzung kritisch zu hinterfragen. Eine zeitgemäße Alternative wäre beispielsweise die Einrichtung eines WLANAccesspoints, der unabhängig vom Unternehmensnetz betrieben wird.

Ansonsten gilt: Eine SSL-Inspection/-Decryption kann dazu führen, dass sensible Nutzungsdaten bei der Privatnutzung z.B. Passwörter, vertrauliche E-Mails etc. verarbeitet werden. Aus diesem Grund ist eine Information nicht ausreichend. Mitarbeiter müssen ausdrücklich in die Verarbeitung einwilligen. …

 

Gemeinsame Verantwortung bei Multi-Mandanten Cloud Services
(Sitzung vom 02.07.2019)

Firma X mit Sitz in der EU vermarktet einen Cloud-basierten Multi-Mandanten Collaborations Softwaredienst (SaaS) mit tausenden von Mandanten. Dieser standardisierte Cloud Service wird für alle Mandaten gleich erbracht und bietet nur sehr geringe Möglichkeiten für den Kunden die Mittel der Verarbeitung zu bestimmen und entsprechend Weisungen zu erteilen. Die Kunden schließen per „click-and-accept“ einen Vertrag unter Akzeptanz der AGBs, Nutzerbedingungen, Datenschutzvereinbarung und TOMs.

Zur Beurteilung, inwieweit dieser Cloud Service in alleiniger datenschutzrechtlicher Verantwortung des Kunden nach DSGVO, Artikel 28 oder in gemeinsamer Verantwortung zwischen Dienstleister (Firma X) und seinen Kunden nach DSGVO, Artikel 26 behandelt werden sollte, wurde die Stellungnahme der CNIL zu Cloud Computing von 2010 herangezogen, die in der fehlenden Möglichkeit des Auftraggebers die Mittel bei der Verarbeitung personenbezogener Daten zu beeinflussen eine Gemeinsame Verantwortung sieht. Dies wird jedoch von Kunden heute teilweise kontrovers diskutiert.

Bei einer angenommenen alleinigen Verantwortung des Kunden (Artikel 28) dürfen die Daten gem. Art. 28 nur auf Weisung des Controllers verarbeitet werden. Die Firma X würde wie in der Vergangenheit die TOMs vorgeben und nur diese TOMs bei Vertragsabschluss akzeptieren. Eine Anpassung der Maßnahmen gemäß Stand der Technik wäre evtl. noch damit abgedeckt, so lange dies für alle Mandanten in gleicher Weise erfolgt. Inwieweit eine Weiterentwicklung des Services mit den damit verbundenen Anpassungen auch darunter fällt ist fraglich. Eine Widerspiegelung der tatsächlichen Gegebenheiten bzw. eine komplette Weisungsgebundenheit wäre dies aber dann nicht. Auch könnte eine Einschaltung von Subunternehmern zwar dem Kunden mitgeteilt werden, aber ein Widerspruch würde zur Kündigung des Vertrages führen.

Bei einer angenommenen gemeinsamen Verantwortlichkeit wäre die Wahl der eingesetzten Mittel durch den Dienstleister abgedeckt. Unter Einhaltung der Vorgaben aus Art. 26 könnte eine Aufteilung der Rollen und Pflichten transparent dargestellt werden. Als Rechtsgrundlage für die Übermittlung könnte der Kunde das berechtigte Interesse des Unternehmens an der Nutzung dieses Cloud Servies zur Förderung der Arbeitseffizienz im Unternehmen heranziehen Die Rechtgrundlage für das berechtigte Interesse des Dienstleister wäre die Erfüllung des mit dem Kunden geschlossenen kommerziellen Vertrages zur Nutzung des Cloud Services.

Frage: Wie beurteilt die Aufsichtsbörde dieses Konstrukt?

Frage: Gibt es hier ein richtig oder falsch oder vielmehr einen gewissen Ermessensspielraum?

Frage: Wären die angegebenen Rechtsgrundlagen ausreichend zur Verarbeitung der Daten im Rahmen einer Gemeinsamen Verantwortung?

Antwort BayLDA:Gemeinsame Verantwortung bei Multi-Mandanten Cloud Services

Aufgrund der abstrakten Sachverhaltsschilderung können wir keine eindeutige Aussage dazu treffen, ob eine gemeinsame Verantwortlichkeit vorliegt, die Firma X Auftragsverarbeiter ist oder die Beteiligten jeweils in geteilter Verantwortlichkeit handeln.

Welche Rolle einem Beteiligen zukommt, hängt maßgeblich von der konkreten Verarbeitung ab. Entscheidend ist vor allem, wer über die Zwecke der Datenverarbeitung bestimmt.

Eine wirtschaftliche Machtstellung führt nicht zwangsweise dazu, dass ein Beteiligter die Rolle des gemeinsamen Verantwortlichen annimmt.

Eine gemeinsame Verantwortlichkeit scheidet in der Regel schon deshalb aus, weil Cloud-Anbieter und Mandant unterschiedliche Zwecke verfolgen, aber eben nicht identische bzw. deckungsgleiche Zwecke, wie vom EuGH in den Entscheidungen zur gemeinsamen Verantwortlichkeit ausgeführt.

Als weitere Kontrollfrage könnte folgende Überlegung dienen: Wäre die Firma X gemeinsam mit den vielen Mandanten verantwortlich, dürfte die Firma X sämtliche Daten für ihre Zwecke benutzen und hätte die Befugnis auch mitzubestimmen, ob und wann Daten gelöscht werden, wer Zugriff erhält und wie Betroffenenanfragen umgesetzt werden. Spielgelt dies die Begebenheiten des konkreten Falls nicht wieder, liegt in der Regel keine gemeinsame Verantwortlichkeit vor.

 

Welche datenschutzrechtliche Gründe sprechen gegen eine Sanktionslisten- Prüfung von Mitarbeitern sowie Besuchern?
(Sitzung vom 02.07.2019)

Gemäß den beiden EU-Verordnungen sind wir als Firma verpflichtet, alle Stammdaten, d.h. Kontakte, Mitarbeiter, sowie Besucher wie Lieferanten/Außendienstler und potentielle neue Kunden (bereits vor Angebotsabgabe) zu prüfen.

Die EU-Verordnungen, auf die sich die Zollbehörde stützt, lauten EG Nr. 2580/2001 und EG Nr. 881/2002.

Frage: Auf welche Punkte sind nach Sicht der Aufsichtsbehörde hinsichtlich Betroffenenrechte und/oder Beschäftigtendatenschutz zu achten?

Antwort BayLDA: Die Verordnung EG Nr. 881/2002 sieht in Art 2 Abs.2 vor, dass den Personen, die in der zur Verordnung gehörigen Liste aufgeführt sind, weder unmittelbar noch mittelbar Geld oder wirtschaftliche Ressourcen zur Verfügung gestellt werden dürfen. Damit ein Verantwortlicher diese Vorgabe zuverlässig erfüllen kann, halten wir den Abgleich mit den sogenannten Terrorlisten für vertretbar. Es handelt sich um eine Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist ( Art.6 Abs.1 c DSGVO) bzw. um ein gegenüber den Belangen der Betroffenen überwiegendes berechtigtes Interesse des Verantwortlichen (Art.6 Abs.1 f DSGVO). Das gilt in Bezug auf Mitarbeiter, (potentielle neue) Kunden und Lieferanten.

Die Vorgehensweise muss so sein, dass die schutzwürdigen Belange der Betroffenen angemessen berücksichtigt werden. So müssen diese darüber informiert werden, dass es zu diesen Abgleichen kommt. Außerdem müsste der Verantwortliche im Falle, dass es einen Treffer gibt, vorsichtig vorgehen. Die betroffene Person müsste Gelegenheit erhalten, sich dazu zu äußern. Zudem müssten alle zur Verfügung stehenden Möglichkeiten vom Verantwortlichen ausgeschöpft werden, um abzuklären, ob es sich nur um einen Fall zufälliger Namensgleichheit handelt oder tatsächlich um die gelistete Person. Soweit im Unternehmen vorhanden, sollten Datenschutzbeauftragter und Betriebsrat mit eingebunden werden.

 

Öffentliches Siegel für den privaten Bereich?
(Sitzung vom 02.07.2019)

Frage: Im nicht-öffentlichen Bereich ist die Auswahl von für die Praxis angemessenen und geeigneten technischen und organisatorischen "Maßnahmen nach dem Stand der Technik (TOMs)" noch eine Grauzone, welche m.E. von den Datenschutzaufsichtsbehörden verbindlich zu konkretisieren wäre. Siehe dazu die beigefügten BayLDA-Hinweise zum Themenbereich "Sicherheit der Verarbeitung".

Die Anwendung des dafür im aktuellen BSI-Grundschutzkompendium (Baustein: CON.2 Datenschutz)
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendi um/bausteine/CON/CON_2_Datenschutz.html
empfohlenen Standard- Datenschutzmodells (SDM) ist in der Praxis noch nicht nutzbar, weil die Maßnahmenkataloge noch nicht fertiggestellt sind und das SDM noch in der Erprobungsphase ist.

Ein neuer praxisorientierter und zielführender Lösungsansatz könnte für die Umsetzung der Sicherheit nach DS-GVO-Artikel "32 Sicherheit der Verarbeitung", ein aktuelles und kostenfreies Gütesiegel des Landesamtes für die Sicherheit in der Informationstechnik des Freistaates Bayern gemäß dem beigefügten lsi-info-Blatt Nr. 5 sein.

Nun erfolgte die erste Übergabe des "Siegels Kommunale ITSicherheit" an den Markt Postbauer-Heng am 28.06.2019.
"https://www.lsi.bayern.de/aktuelles/index.html"

Das Siegel deckt nach den Aussagen im genannten lsi-info-Blatt Nr. 5 eine "Basisabsicherung nach aktuellem Stand der Technik und Rechtslage" ab.

Frage: Könnte dieses Siegel aus dem öffentlichen Bereich nicht auch für den nicht-öffentlichen Bereich genutzt werden, damit die "Sicherheit nach DS-GVO Artikel 32 nach dem Stand der Technik" auch in der Unternehmenspraxis konkreter umsetzbar wäre?

Antwort BayLDA: Das LSI schriebt auf seiner Seite:.
„Als erste Kommune in Bayern hat der Markt Postbauer-Heng das Siegel „Kommunale IT-Sicherheit“ des LSI erworben und damit nachgewiesen, dass die Gemeinde die Anforderungen des Bayerischen EGovernment-Gesetzes nach aktueller Rechtslage und aktuellem Stand der Technik erfüllt.“

Das ist nicht der Fokus des Art. 32 DS-GVO.

Siegel, die ein Compliance mit der DS-GVO bestätigen sollen, haben nur dann eine Bedeutung, wenn sie in dem in Art. 42 und 43 DS-GVO geregelten Verfahren vergeben werden.

 
 
Device Index

Alle Ansprechpartner auf einen Blick