Telefon: +49 911 1335-1335
IT | E-Business | Datenschutz

Fragen an das BayLDA zur Ausgestaltung der DSGVO in der Praxis

 

Ansprechpartner/innen (1)

Dipl.-Ing. (FH) Richard Dürr

Dipl.-Ing. (FH) Richard Dürr

IT | Digitalisierung, eBusiness, Datenschutz, Technologietransfer Tel: +49 911 1335 1320

Gesammelte Antworten zur EU-Datenschutz-Grundverordnung (DSGVO) vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) aus den Sitzungen des IHK Anwenderclub Datenschutz.

 

Wie lösche ich DSGVO-konform Daten von Festplatten?

Antwort BayLDA: Die DSGVO hat keine starren Fristen oder Grenzen für eine Löschung. Zu beachten ist jedoch, dass es keine Ausnahme von der Löschpflicht gibt.

Wenn z. B. ein Dokumentenmanagementsystem eingesetzt wird, sollte dies zur Umsetzung der DSGVO Möglichkeiten bieten, Daten zu kategorisieren, aufzuspüren und nach Ablauf der Aufbewahrungsfristen bzw. bei Vorliegen anderer Löschvoraussetzungen zu löschen. Wichtig ist dabei auch, dass Daten aus Backups ebenfalls gelöscht werden müssen. Aus unserer Sicht ist es dabei jedoch ausreichend, wenn Backups innerhalb von regelmäßigen Routinen komplett gelöscht werden, anstatt jeweils die Einzeldaten aus den Backups zu löschen. Zu beachten ist, dass die Daten so gelöscht werden, dass sie nur mit einem erheblichen Aufwand wiederhergestellt werden können. Festplatten sollten deshalb mehrfach überschrieben werden. Alternativ können die entsprechenden Datensätze auch anonymisiert werden. Werden die Speichermedien nicht mehr verwendet, können diese physikalisch vernichtet werden.

Empfehlenswert für die Organisation des Löschens ist die Erstellung eines Löschkonzepts (z.B. nach DIN 66398).

 

Was mich sehr interessiert: Wir senden seit über fünf Jahren an alle unsere Kunden, welche bei uns gekauft haben, eine Geburtstagskarte und eine Weihnachtskarte. Dürfen wir das jetzt nicht mehr?

Antwort BayLDA: Auch unter der DSGVO ist der Versand von Grußkarten (= Werbung) per Briefpost grundsätzlich ohne Einwilligung des Betroffenen zulässig.

Wenn der Betroffene Kunde des Unternehmens ist und bei der Erhebung des Geburtsdatums (in der Regel freiwillige Angabe) ausdrücklich auf den (weiteren) Verwendungszweck hingewiesen bzw. über diesen informiert wird, kann auch ohne Einwilligung eine Geburtstagskarte per Briefpost verschickt werden. Die Briefsendung muss aber äußerlich so gehalten sein, dass der Briefzusteller oder Dritte das Geburtsdatum nicht wahrnehmen bzw. erkennen kann.

Der Versand von Gruß- und Glückwunschkarten per E-Mail ist auch weiterhin nur mit Einwilligung des Betroffenen zulässig. Ob sich aus der wohl ab 2019 anzuwendenden ePrivacy-Verordnung eine davon abweichende Rechtslage ergibt, ist derzeit nicht absehbar.

 

Die Aussage, dass telefonische Bestellungen nicht mehr möglich sein können, weil ich keinen schriftlichen Nachweis habe, dass der Kunde Ware oder Dienstleistung XYZ bestellt hat, bzw. dass ich die Adresse zur Auftragsabwicklung nicht erfassen / speichern darf, ist nicht nur absurd, sondern laut anderen Quellen falsch. Was ist jetzt wirklich richtig?

Antwort BayLDA: Personenbezogene Daten, die aufgrund und zur Durchführung eines Vertrages mit dem Betroffenen/dem Unternehmen erhoben und verarbeitet werden, werden aufgrund einer gesetzlichen Rechtsgrundlage erhoben und verarbeitet (Art. 6 Abs. 1 Buchst. b DSGVO).

Eine datenschutzrechtliche Einwilligung ist hierbei nicht erforderlich, sondern lediglich die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO.

Um die Informationspflichten zu erfüllen, genügt es aus unserer Sicht, dass Sie die gesetzlich vorgeschriebenen Informationen nach Art. 13 und 14 DSGVO für Interessierte in einem Info-Blatt vorhalten und auf Ihre Homepage nehmen. Bei E-Mails oder Briefen an die betreffenden Kontaktpersonen kann dann z. B. durch einen Link auf diese Datenschutzinformationen verwiesen werden. So können sich Interessierte dann unschwer umfassend informieren.

 

Wie geht man mit den Daten um, die im B2B-Geschäftsleben (z.B. durch Übergabe von Visitenkarten, am Telefon, etc. oder durch Angaben von Kontaktdaten auf Homepages von Unternehmen) ausgetauscht werden?

Antwort BayLDA: Die Namen von Ansprechpartnern bei Firmen, deren Funktionen, Kontaktdaten etc. sind – wie bisher auch – personenbezogene Daten im Sinne der DSGVO und des BDSG, wenn auch vergleichsweise wenig schutzbedürftig (da für Außenkontakte konkret vorgesehen, teilweise öffentlich zugänglich) und eine zweckgemäße Verwendung für die geschäftlichen Beziehungen ist generell zulässig (Art. 6 Abs. 1 Satz 1 Buchst. b und f DSGVO).

Diese Daten dürfen im Rahmen des Vertrages oder vorvertraglichen Verhältnisses mit dem jeweiligen Unternehmen verarbeitet werden (Art. 6 Abs. 1 Satz 1 Buchst. b und f DSGVO), es bedarf hierzu keiner gesonderten Einwilligung. Bei der Übergabe von Visitenkarten erfolgen üblicherweise mündliche Erklärungen zum Zweck der Kontaktdaten-Bekanntgabe, z. B. zu Informations- bzw. Werbezusendungen, zur Kontaktaufnahme für Vertragsverhandlungen oder für gemeinsame Projekte, zur Vorbereitung eines Besuches, und vieles mehr. Zu diesen Zwecken ist eine Verarbeitung der Kontaktdaten zulässig nach Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO.

 

Wie verhält sich die DSGVO in Bezug zu Whistleblowing-Unternehmen?

Ausgangslage: Unsere Firma betreibt ein Hinweisgeber-System ("Whistleblower-Hotline"), welches über ein externes Anwaltsbüro (Ombudsman) allen Mitarbeitern für die Meldung von Compliance-Verstößen zur Verfügung steht. Dabei kann sich derzeit ein Mitarbeiter telefonisch, per E-Mail oder per Brief an dieses Anwaltsbüro wenden. Dieses kann auf Wunsch auch anonym erfolgen, d.h. der Mitarbeiter muss bei der Kontaktaufnahme seine Identität nicht preisgeben. Gemäß dem diesjährig erschienenen Datenschutzkonferenz (DSK)-Kurzpapier "Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines" kommt eine Einwilligung eines Hinweisgebers in Betracht (E3 Seite 9), wenn dieser seine Identität bewusst preisgeben möchte und seine Angaben verarbeitet werden sollen. Die Einwilligung ist gem. Art. 7 Abs. 1 DSGVO vom Arbeitgeber oder der externen Stelle nachzuweisen.

Frage: Bisher war davon auszugehen, dass durch konkludentes Handeln des Hinweisgebers die Einwilligung in ausreichender Form gegeben war. Dieses scheint aufgrund der expliziten Nachweispflicht jetzt nicht mehr der Fall zu sein. Die Frage ist nun, wie dieser Nachweis, insbesondere bei einem Anruf, zu führen ist.

Antwort BayLDA: Wenn eine datenschutzrechtliche Einwilligung nach Art. 4 Nr. 11 DSGVO bei bestimmten speziellen Lebenssachverhalten auch durch eine mündliche Erklärung (siehe auch Nr. 32 ErwGr) oder eine sonstige eindeutig bestätigende Handlung bzw. Verhaltensweise (ebenfalls Nr. 32 ErwGr, Beispiel: freiwilliges Aufstellen zu einem Gruppenfoto in Kenntnis der Verarbeitungszwecke) abgegeben werden kann, können bei solchen speziellen Lebenssachverhalten keine strengen Anforderungen an die Nachweisbarkeit der Einwilligung gestellt werden. Es kann dann auch eine festgelegte/dokumentierte Verfahrensweise, ein Ablaufplan, etc. genügen, wie die mündliche/fernmündliche oder anderweitige Einwilligung nach/mit Information über die Verarbeitungszwecke z. B. durch konkludentes Handeln eingeholt wird.

Wer in Kenntnis der Umstände und Verarbeitungszwecke eine telefonische Whistleblower-Hotline in personenbezogener Form nutzt, bei dem wird eine Einwilligung in die dementsprechende Verarbeitung seiner Daten angenommen werden können.

Frage: Gem. E 4.2 des Kurzpapieres hat nach Art. 15 DSGVO eine beschuldigte Person Anspruch auf Auskunft der zu ihrer Person gespeicherten Daten. Dieses gilt auch, soweit diese sich auf Herkunft und Empfänger beziehen. Damit kollidiert dieser Informationsanspruch mit der vorgesehenen Möglichkeit anonymer Meldungen.

Antwort BayLDA: Wenn personenbezogene Daten einen Doppel- oder Mehrfach-Bezug haben, wie zum Hinweisgeber und gleichzeitig zu der vom Hinweis betroffenen Person, können sich im Rahmen einer Interessenabwägung Einschränkungen des Auskunftsrechts nach Art. 15 Abs. 4 DSGVO oder § 29 Abs. 1 Satz 2 BDSG-2018 ergeben ("Informantenschutz", siehe dazu auch BVerwG-Beschluss vom 1. Dezember 2015, Az. 20 F 9.15). Ist bei einer anonymen Meldung der Meldende nicht bekannt, so ist hierzu logischerweise auch keine Auskunftserteilung nach Art. 15 Abs. 1 DSGVO möglich.

Frage: Gem. Art. 4 Nr. 1 DSGVO sind alle auf eine Person beziehbare Informationen personenbezogene Daten. Das umfasst im Zweifelsfall auch die über das Hinweisgebersystem erhaltene Information über potentielles Fehlverhalten einer Person. Gem. Art. 15 Abs. 1 lit. b DSGVO kann die beschuldigte Person daher auch Auskunft über diesen Vorwurf verlangen – ohne zeitliche oder inhaltliche Einschränkungen. Dieses könnte dann den Ermittlungszweck erheblich gefährden.

Antwort BayLDA: Einschränkungen des Auskunftsrechts können bei geheimhaltungsbedürftigen Daten nach Art. 15 Abs. 4 DSGVO oder § 29 Abs. 1 Satz 2 BDSG-2018 gegeben sein, z. B. um laufende strafrechtliche Ermittlungen nicht zu gefährden. Insgesamt sehen wir danach Whistleblower-Hinweissysteme nicht pauschal aus datenschutzrechtlicher Sicht gefährdet.

 

Ist es DSGVO-konform, dass eine Webseite zur Conversion-Messung das Besucheraktions-Pixel von Facebook benutzt?

Ausgangslage: Das Pixel ist in diesem Fall anonym und die Daten gehen nur an Facebook. Diese werden nach den Facebook-Richtlinien entsprechend verwendet. Es wird zudem noch zu Marketingzwecken für die Custom-Audience benutzt. Diese kann man bei Facebook abschalten.

Frage: Sofern alle diese Vorgänge in die Datenschutzerklärung aufgenommen werden und man erklärt wozu das Pixel benutzt wird und wo man diese Funktion bei Facebook abschalten kann, würde das nach der DSGVO ausreichen oder muss man mehr machen, damit diese eingehalten wird?

Antwort BayLDA: Das Pixel-Verfahren kann zulässig eingesetzt werden, soweit von jedem Nutzer eine Einwilligung vorab eingeholt wird. Nach unserer Auffassung handelt es sich keinesfalls um anonyme Daten, die durch Facebook erhoben werden. Im Übrigen muss in den Datenschutzbestimmungen über die Einbindung des Pixel-Verfahrens informiert werden.

 

Gilt eine Mitarbeiterinformation nach DSGVO als Werbung und kann man dieser widersprechen?

Ausgangslage: Der Arbeitgeber verteilt an die dienstliche E-Mail-Adresse des Mitarbeiters eine Mitarbeiterinformation, welche ein Angebot zur Teilnahme an einem kostenlosen Lauftraining zum Inhalt hat. Eine Registrierung ist nicht erforderlich. Anbieter ist eine Krankenkasse, mit der der Arbeitgeber eine strategische Partnerschaft hat sowie ein regionales Fitness-Studio. Beide Firmen sind im Mailing erwähnt und es befinden sich auch Links bzw. Facebook-Kontakte auf deren Webseiten. Ein Mitarbeiter sieht jetzt diese Information als unzulässige Werbung für die Krankenkasse und das entsprechende Fitnessstudio an und möchte einer Zustellung weiterer Informationen des Arbeitgebers zu solchen Angeboten widersprechen

Frage: Kann eine E-Mail des Arbeitgebers an seine Mitarbeiter zu solchen nicht dienstlichen Themen als Werbung angesehen werden? Hat der Mitarbeiter in Bezug auf E-Mails, die von einer internen Abteilung an seinen dienstlichen E-Mail-Account gesendet werden, überhaupt ein Recht auf Widerspruch? 

Antwort BayLDA: Der Arbeitgeber kann nach unserer Auffassung im Rahmen der Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG-2018) und seines Direktionsrechts den Mitarbeitern auch elektronische Mitteilungen an die dienstlichen E-Mail-Adressen zu Gesundheitsaktionen einschließlich Werbung, wie z.B. zu einem Lauftraining, zukommen lassen. Wir sehen darin keine datenschutzrechtlich unzulässige Nutzung der dienstlichen E-Mail-Adresse, über die insoweit auch der Arbeitgeber verfügt. Ob der Arbeitnehmer sich arbeitsrechtlich wirksam dagegen wehren kann, können wir nicht beurteilen.

 

Wie regelt die DSGVO die Auskunftsersuche von Beschäftigten? 

Frage: Wie ist die Handhabung von Auskunftsverlangen von Mitarbeitern für den Fall zu regeln, dass Mitarbeiter die Möglichkeit haben, selber in den IT-Systemen ihre Daten einzusehen? Muss der Verantwortliche (Arbeitgeber) dann dennoch die Daten zusammenstellen und "eine Kopie" der Daten zur Verfügung stellen?

Antwort BayLDA: Die DSGVO präferiert zur Informationsmöglichkeit über die eigenen Daten den angesprochenen Online-Zugriff von Mitarbeitern. Erwägungsgrund 63 Satz 4 lautet insoweit: "Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde." Das LAG Hessen hat mit Urt. v. 29. Januar 2013, Az. 13 Sa 263/12, u.a. wie folgt entschieden: "Können personenbezogene Daten durch Einblick in den eigenen E-Mail-Account selbst ermittelt werden, ist das Verlangen einer entsprechenden Auskunft in Textform rechtsmissbräuchlich." Wir würden in solchen Fällen deshalb bis auf Weiteres nicht auch noch eine zusätzliche Auskunftserteilung durch den Arbeitgeber als Verantwortlichen fordern.

 

Wie werden laut DSGVO Analysetools zur Qualitätsverbesserung eingesetzt? 

Frage: Zur Qualitätsverbesserung soll eine Analyse der Kundenanliegen durchgeführt werden. Die verarbeiteten Daten sind Kundennummer, Kundenanliegen (nur Typ), Datum des Anliegens und Status (offen, erledigt). Sind Verarbeitungen ohne Personenbezug (nur juristische Personen) im Register gem. Art. 30 Abs. 1 DSGVO zu führen?

Antwort BayLDA: Wenn die Kundennummern nur juristische Personen betreffen, ist die DSGVO nach Art. 1 nicht anwendbar und damit auch nicht Art. 30.

 

Wie ist mit einer Auskunft nach Art. 15 DSGVO umzugehen? 

Fragen: Eine uns unbekannte Person verlangt per E-Mail datenschutzrechtliche Auskunft nach DSGVO Art. 15. Ihre Identitätsangaben sollen wir über einen Link verifizieren. Unsere IT-Sicherheitsrichtlinien verbieten uns, bei E-Mails mit unbekanntem Absender auf Anhänge und Links zu klicken. Wie können wir die Identitätsangaben überprüfen, ohne uns der Gefahr von Viren, Trojaner und Co. auszusetzen?

Dieselbe Person teilt uns seine IP-Adresse und Datum mit. Sind wir verpflichtet, die Logs unserer Webseite, nach seiner IP-Adresse zu durchsuchen? Oder genügt ein Hinweis auf unsere Datenschutzrichtlinie?

Weiterhin verlangt er nach Art. 17 DSGVO eine unverzügliche Löschung seiner bei uns verarbeiteten personenbezogenen Daten. Die einzigen personenbezogenen Daten, die wir von ihm haben, sind seine Angaben, die er uns mit seiner E-Mail über die datenschutzrechtliche Auskunft zugesendet hat. Löschen wir diese unverzüglich, können wir ihm nicht mehr antworten. Wie lange ist diese Anfrage zu speichern? Ist sie bei der Auskunft mit zu berücksichtigen?

Von der IHK haben wir erfahren, dass diese Person bundesweit ein Massenmailing versandt hat. Dies ist offensichtlich ein Missbrauch der datenschutzrechtliche Auskunft nach DSGVO Art. 15! Kann man sich in solchen Fällen beim BayLDA beschweren? Was unternimmt das BayLDA in solchen Fällen? Es kann doch nicht sein, dass Spaßvögel uns sinnlos beschäftigen!

Antwort BayLDA: Wie wir schon häufig hörten, sind solche Auskunftsanfragen nach Art. 15 DSGVO unter dem Namen "..."* an eine große Masse von Unternehmen bundesweit gesandt worden, die bisher keinerlei Kontakt zu dem Betreffenden hatten und auch anderweitig bisher keinerlei personenbezogene Daten zu ihm gespeichert haben. Laut den Informationen von der LDI NRW gibt es dort Hinweise, dass der "echte" ...* damit nichts zu tun hat und es sich eventuell um Identitätsmissbrauch handelt. Ob damit eventuelle Abmahnungen vorbereitet werden sollen, ist im Moment nicht bekannt.

Wir teilen zu Beratungsanfragen jeweils folgendes mit: Art. 15 Abs. 1 DSGVO sieht auch vor, dass die betroffene Person eine Bestätigung darüber verlangen kann, ob sie betreffende personenbezogene Daten verarbeitet werden. Wer insoweit angeschrieben wurde, obwohl keinerlei Daten zu dieser Person vorhanden sind, müsste also mitteilen, dass zu dieser Person bisher keine Daten gespeichert waren und jetzt nur die in der Anfrage selbst enthaltenen Daten für den Zweck der Dokumentation der ordnungsgemäßen Abwicklung des Auskunftsersuchens gespeichert werden (Nr. 1 Buchst. a, b und c der Anfrage). Für diese Dokumentation halten wir regelmäßig eine Frist von einem Jahr für sachgerecht, was zu Nr. 1 Buchst. e der Anfrage mitgeteilt werden kann.

Nr. 1 Buchst. d, g, h und i der Anfrage werden regelmäßig nicht zutreffen und können folglich als "nicht zutreffend" oder ähnlich bezeichnet werden. Zu den Rechten von Betroffenen aus Nr. 1 Buchst. f kann ein Text ähnlich unserer Information auf unserer Homepage unter https://www.lda.bayern.de/de/informationen.html, siehe dort Abschnitt VIII, verwendet werden.

Zu Nr. 2 der Anfrage (Löschung) kann gesagt werden, dass die in der Anfrage selbst enthaltenen Daten für den Zweck der Dokumentation der ordnungsgemäßen Abwicklung des Auskunftsersuchens (Beweiszwecke) regelmäßig für ein Jahr gespeichert und danach gelöscht werden.

Die übrigen beiden Punkte von Nr. 2 der Anfrage werden mangels ursprünglicher Datenspeicherung zu dem Betreffenden nicht zutreffen, was dann entsprechend beantwortet werden kann.

Nach Art. 11 Abs. 1 DSGVO müssen regelmäßig keine zusätzlichen Aktivitäten entwickelt werden, um bestimmte Daten einer Person zuordnen zu können, wie z. B. bei reinen IP-Adressen.

Ob in dem Verhalten des Betroffenen mit Massen-Auskunftsersuchen nach Art. 15 DSGVO, ohne dass es irgendwelche Anhaltspunkte für eine entsprechende Verarbeitung seiner personenbezogenen Daten bei den angegangenen Verantwortlichen gibt, Rechtsmissbrauch gesehen und eine Auskunftserteilung verweigert werden kann, vermögen wir nicht zu beurteilen; dies entscheiden letztendlich die Gerichte. Zur DSGVO gibt es aber leider noch keine Rechtsprechung.

* Name wurde anonymisiert aufgrund eines Löschungsersuchens des Betroffenen.

 

Wie verfahre ich mit der Bekanntgabe und Genehmigung des Subunternehmereinsatzes nach Art 28 Abs. 2 DSGVO?

Ausgangslage: Das betroffene Unternehmen möchte als Auftragsverarbeiter ihre eingesetzten oder ggf. neu hinzukommende Subunternehmen den Auftraggebern aus wettbewerbsrechtlichen Gründen in bestimmten Kundenbeziehungen nicht bekanntmachen.

Fragen: Kann darauf in Einzelfällen verzichtet werden, wenn die Geschäftsführung eine schriftliche, stichhaltige Begründung verfasst? Wenn ja – wie kann dies im Vertrag entsprechend formuliert werden?

Antwort BayLDA: Im Hinblick auf die datenschutzrechtliche Verantwortlichkeit des Auftraggebers für das gesamte Auftragsverhältnis nach Art. 28 Abs. 1 DSGVO und die Regelungen zur Subunternehmer-Beauftragung in Art. 28 Abs. 2 DSGVO sehen wir keine Möglichkeit, die Identität der eingesetzten oder ggf. neu hinzukommenden Subunternehmer dem Auftraggeber zu verschweigen. Der Absatz im Wortlaut: "Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben."

 

Rechtsgrundlage für Gehaltsbenchmarks

Fragen: Wir wollen einen anonymen Gehaltsbenchmark durchführen, um zu sehen, inwieweit unsere Personalpolitik zeitgemäß ist. Nach einem Artikel in Lohn + und Gehalt und im Leitfaden Datenschutz-Grundverordnung (datakontext) sei dies aufgrund der Vertraulichkeitsanforderungen an eine Personalakte nur mit einer Einwilligung der Beschäftigten möglich. Wir sehen hier aber eine Rechtsgrundlage in der Wahrung berechtigter Interessen, wenn für eine tatsächliche Anonymisierung gesorgt wird. Welche Rechtsgrundlagen und welche Datenschutzanforderungen sind unserem Vorhaben zugrunde zu legen?

Antwort BayLDA: Wenn tatsächlich eine Anonymisierung vorliegt, gilt Datenschutzrecht nicht (keine personenbezogenen Daten). Falls es sich um ein kleines Unternehmen handelt und ein Rückschluss auf einen einzelnen Mitarbeiter nicht auszuschließen ist (keine Anonymisierung), würde das Datenschutzrecht gelten. Hier könnte ein berechtigtes Interesse des Arbeitgebers zu bejahen sein (also Lösung aufgrund gesetzlicher Grundlage, § 26 BDSG, nicht mit Einwilligung)

 

Datenpannen
(Sitzung vom 19.03.2019)

a) Würde das BayLDA Informationen, die im Zusammenhang mit einer Art. 33-Panne gemeldet werden oder Informationen, die sich aus diesem Sachverhalt ergeben, zur Grundlage eines Bußgeldbescheides machen? Wendet das LDA also den § 43 Abs. 4 an (unabhängig von der Frage, ob es diesen für europarechtswidrig hält oder nicht)?

Antwort BayLDA:  Im Zusammenhang mit der Meldung von Datenschutzverletzungen sollte der Fokus von Verantwortlichen, aber auch den Aufsichtsbehörden, immer darauf gelegt werden, dass die für die betroffenen Personen nachteiligen Folgen möglichst schnell und umfassend abgewandt werden. Im Lichte dessen werden wir auch bis auf weiteres die o.g. Vorschriften nicht nur als Verwertungs-, sondern sogar als Verwendungsverbot ansehen, d.h. eine gemeldete Datenschutzverletzung grundsätzlich nicht zum Gegenstand eines Ordnungswidrigkeitenverfahrens machen. Ausdrücklich hinweisen möchten wir aber darauf, dass eine verspätete oder gänzlich unterlassene Meldung sehr wohl ein Bußgeld nach sich ziehen kann. Auch würden wir selbstverständlich Meldungen, die lediglich der Verhinderung eines Bußgeldverfahrens dienen sollen, wir aber bereits weit davor von der Datenschutzverletzung erfahren haben, nicht mehr als von den o.g. Vorschriften umfasst ansehen.
(s. auch: PinG 03/2019, Interview Kranig, Dr. Brink)

b) Muss nach Ansicht des LDA ein Geschäftsführer nach § 40 Abs. 4 BDSG Auskunft zu Vorgängen in seinem Unternehmen geben, die nicht im Einklang mit der DSGVO erfolgen oder hat er ein Schweigerecht, weil er sich möglicherweise selbst belasten würde (wegen der Anwendung des Funktionsträgerprinzips)?

Antwort BayLDA:  Für den Fall, dass der Auskunftspflichtige sich oder einen Angehörigen der Gefahr einer strafrechtlichen Verfolgung oder eines Ordnungswidrigkeitenverfahrens aussetzen würde, hat er nach dem eindeutigen Wortlaut des § 40 Abs. 4 BDSG-neu (wie bisher auch schon) selbstverständlich ein solches Auskunftsverweigerungsrecht. Es sei jedoch auch darauf hingewiesen, dass nach unserer derzeitigen Auffassung in den Fällen, in denen die juristische Person Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO ist, eine Geldbuße grundsätzlich auch gegen diese zu verhängen ist. Daher sind wir der Ansicht, dass ein Geschäftsführer zumindest nicht deshalb die Aussage verweigern kann, weil er befürchtet, dass alleine gegen das Unternehmen eine Geldbuße verhängt werden könnte.

 

Löschkonzepte E-Mails & Co.
(Sitzung vom 19.03.2019)

Wir sind ein Unternehmen mit ca. 1000 Mitarbeitern, das aktuell im Rahmen eines Projektes die einheitliche Löschung personenbezogener Daten in den IT-Systemen umsetzt. In diesem Kontext stellt sich uns die Frage, wie mit der Speicherung personenbezogener Daten in Outlook, auf Laufwerken und mobilen Endgeräten (z.B. Laptops und Mobilfunkgeräten) umzugehen ist. Wie ist hier die Einschätzung und Empfehlung der Aufsichtsbehörde?
In unserem Unternehmen sind aktuell drei Varianten in Diskussion:

Variante 1: manuelle Löschung
Dateien in Outlook, auf Laufwerken und mobilen Endgeräten, die potentiell personenbezogene Informationen beinhalten und die keinen Aufbewahrungsfristen (mehr) unterliegen, sind von jedem einzelnen Mitarbeiter jährlich zu selektieren und zu löschen. Nachteil: Es wird geschätzt, dass dies zu manuellen Zeitaufwänden für jeden einzelnen Mitarbeiter in Höhe von ca. 6 Tagen im ersten Jahr und ca. 3 Tagen in jedem weiteren Jahr führen würde. Ausgehend von einem durchschnittlichen Stundenlohn von ca. 40 € je Mitarbeiter und einer täglichen Arbeitszeit von 8 Stunden würde diese Lösung Gesamtkosten für das Unternehmen von ca. 1,9 Millionen € im ersten Jahr und laufende Kosten i.H.v. ca. 1 Million € in jedem weiteren Jahr bedeuten. Zudem könnten - trotz der Schulung der Mitarbeiter bzgl. der Löschvorgaben - Dateien vor Ablauf der Aufbewahrungsfristen manuell gelöscht werden.

Antwort BayLDA: Wäre möglich. Wir sehen aber auch den hohen Aufwand.

Variante 2: keine Löschung
Auf Basis einer Interessenabwägung (Kosten-Nutzen Analyse – siehe oben) wird vollständig auf die Prüfung und die sich darauf ergebenden manuellen Löschung im Hinblick auf Outlook/ Laufwerke/mobile Endgeräte verzichtet.

Antwort BayLDA: Die Frage des „Ob“ des Löschens unterliegt nach DS-GVO keiner Interessenabwägung. Diese Variante wird also nicht gehen.

Variante 3: automatisierte Löschung
Dateien in Outlook, auf Laufwerken und mobilen Endgeräten werden nach einer festgesetzten Frist automatisiert archiviert (Mitarbeiter haben noch Zugriff auf diese im Bedarfsfall) und nach einer maximalen Aufbewahrungsfrist von 30 Jahren automatisiert gelöscht. In unserem Unternehmen ist die private Nutzung von Outlook und mobilen Endgeräten erlaubt, weswegen dieser Lösungsansatz zusätzlich arbeitsrechtlich beurteilt werden muss, da hierbei auch private Dateien gelöscht werden.

Antwort BayLDA: Eine nichtselektive Archivierung mit einer solch langen Laufzeit geht nicht, da z.B. dann Bewerbungsunterlagen (Aufbewahrungsfrist 6 Monate) 30 Jahre archiviert werden.

Wie ist die Einschätzung der Aufsichtsbehörden zu den drei vorgeschlagenen Varianten?
Welche generelle Empfehlung kann die Aufsichtsbehörde für die Praxis geben?
BayLDA-Generelle Einschätzung:
Erarbeitung eines Löschkonzepts. Trennung der Fragestellung des Löschens von Backups (1x/Jahr ist in der Regel OK) und Löschen von Archiven. Keine Archivierung von „Datenklumpen“, d.h. Daten mit extrem unterschiedlichen Laufzeiten und unterschiedlichen Verarbeitungszwecken.

 

Auskunftsersuchen
(Sitzung vom 19.03.2019)

Immer häufiger werden an Unternehmen Auskunftsersuchen i.S.d. Art. 15 DSGVO gestellt. Inwieweit ist es aus dem Wortlaut des Art. 15 Abs. 1 lit. b DSGVO zu vertreten, dass sich dieser nicht auf konkrete Datensätze, sondern lediglich die Stammdaten und in der Norm benannten Informationen („Registerauskunft“) bezieht. In Art. 15 DSGVO konkretisiert sich der Anspruch auf die Kategorien personenbezogener Daten? Im Gegensatz dazu richtet der Art. 20 Abs. 1 DSGVO auf die konkreten Daten, die die betroffene Person freiwillig oder auf Basis eines Vertrages bereitgestellt hat.

In Art. 15 Abs. 3 DSGVO wird auch nur eine Kopie der personenbezogenen Daten verlangt, die Gegenstand der Verarbeitung sind. Dies umfasst nach unserer Auffassung keinen Anspruch auf Kopien von ganzen Unterlagen.

Frage: Ist es nach Meinung des BayLDA für die Erfüllung eines Auskunftsersuchens i.S.d. Art. 15 DSGVO ausreichend, wenn die personenbezogenen Stammdaten und alle in Absatz 1 genannten Informationen bereitgestellt werden? Besteht nach Art. 15 Abs. 3 DSGVO ein Anspruch auf Kopien aller Unterlagen?

Antwort BayLDA:

Nach Art. 15 DS-GVO hat die betroffene Person das Recht,

  1. von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie
  2. ein Recht auf Auskunft über (alle) diese personenbezogenen Daten und auf die Informationen gemäß Art. 15 Abs. 1 Buchst. a - h DS-GVO.

Art. 15 DS-GVO gewährt aus unserer Sicht aber keinen Anspruch auf Kopien von Vorgängen oder Dokumenten, sondern auf „Auskunft über diese personenbezogenen Daten“, wie es in der zentralen Vorschrift von Art. 15 Abs. 1 DS-GVO im Einleitungsteil heißt. Dies soll nach Art. 15 Abs. 3 DS-GVO in Form einer „Kopie der personenbezogenen Daten“ (als Form der Auskunft) erfolgen.

Es müssen also nicht ggfls. viele Hundert Seiten kopiert oder ausgedruckt werden, sondern es genügt eine Auflistung der gespeicherten personenbezogenen Daten, die bei entsprechender Speicherung in Form einer Kopie der Datenauflistung erfolgt (z. B. bei Kundenkarten-Systemen, bei Auskunfteien oder bei Finanzdienstleistern häufig gegeben).

Siehe zur Reichweite des datenschutzrechtlichen Auskunftsanspruchs auch die Entscheidung des EuGH vom 17.07.2014, die unter
https://www.cr-online.de/blog/2014/11/10/eugh-zur-reichweite-des-datenschutzrechtlichen-auskunftsanspruchs-bei-mittelbarem-personenbezug/ beschrieben wird (Hinweis: in der EU-Datenschutzrichtlinie war das Auskunftsrecht in vergleichbarer Weise geregelt wie jetzt in der DS-GVO).

Geht es um eine große Menge von vorhandenen Informationen über die betroffene Person, z. B. bei der „Haus-Bank“ eines langjährigen Kunden oder bei langjährig Beschäftigten beim gleichen Arbeitgeber, so kann der Verantwortliche nach Nr. 63 Satz 7 der ErwGr zur DS-GVO verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen beziehen soll.

Die gesetzlichen Regelungen sehen bei besonderen Sachverhalten Ausnahmen von der Auskunftspflicht vor, siehe dazu Art. 12 Abs. 5 und Art. 15 Abs. 4 DS-GVO (Missbrauch, exzessive Rechte-Wahrnehmung, Beeinträchtigung von Rechten Dritter) sowie § 34 Abs. 1 BDSG (Archiv-, Backup-, IT-Protokoll-Daten etc.). Allerdings bedarf es dabei einer sorgfältigen Prüfung des Einzelfalles. Die Gründe für die Verweigerung der Auskunftserteilung sind zu dokumentieren, damit im Nachhinein überprüft werden kann, ob eine Auskunftserteilung zu Recht verweigert wurde. Die betroffene Person ist entsprechend zu informieren, damit sie sich gegen eine ihrer Ansicht nach unberechtigte Auskunftsverweigerung zur Wehr setzen kann.

 

Informationspflichten
(Sitzung vom 19.03.2019)

In welcher Form muss bzw. kann der Themenbereich „Betroffenenrechte“, insbesondere Informationspflichten, in einer verantwortlichen Stelle umgesetzt werden?
Dazu nachfolgend Beispiele aus dem nicht-öffentlichen und dem öffentlichen Bereich.

  1. Die Umsetzung bei der DATEV unter dem Link https://www.datev.de/web/de/m/ueberdatev/datenschutz/informationen-nach-artikel-13-und-14-ds-gvo/ (Anm. d. Red.: Link nicht mehr gültig) oder
  2. Universa unter https://www.universa.de/ueber-uns/datenschutz/datenschutzinformation.htm sowie aus dem öffentlichen Bereich die Umsetzung z.B.
  3. im Markt Feucht https://www.feucht.de/cms.new/dokumente/datenschutz.html, welche vom Bay. Innenministerium als „völlig ausreichend“ eingestuft wird.

Entsprechen die Beispiele dem „Transparenzgebot“ gemäß DSGVO-Erwägungsgrund 58
https://dsgvo-gesetz.de/erwaegungsgruende/nr-58/
(Auszug daraus: …Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.)?

Antwort BayLDA: Die Informationspflichten nach Art. 13 und 14 DS-GVO können situationsgerecht auch in abgestufter Form (mit „Medienbruch“) erfüllt werden.

In der alltäglichen Praxis gibt es zahlreiche Situationen, in denen eine praxistaugliche und angemessene Balance zwischen den Informationspflichten nach Art. 13 und 14 DS-GVO und der Gefahr einer Informationsermüdung bzw. Informationsüberhäufung bei den betroffenen Personen im Hinblick auf deren vielfältigen Geschäftsbeziehungen geschaffen werden muss, damit die betroffenen Personen in der Masse situationsgerecht wenigstens die wichtigsten Informationen noch bewusst zur Kenntnis nehmen („weniger ist oft mehr“).

Art. 12 Abs. 1 DS-GVO regelt die allgemeinen Vorgaben, dass geeignete Maßnahmen zu treffen sind, um die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Der Europäische Datenschutzausschuss (EDSA) hat im Working Paper 260 eine gestufte Information (layered approach) für zulässig erachtet. Auf der ersten Stufe/Im ersten Schritt müssen immer die Informationen zur Identität des Verantwortlichen und zu den Zwecken der Verarbeitung gegeben werden, soweit diese Informationen nicht ohnehin schon wegen der Art des Kontakts mit der betroffenen Person offenkundig sind (z. B. bei deren Anruf zu einer Terminvereinbarung mit dem Friseur oder Steuerberater). Je nach Art des Kontakts mit der betroffenen Person ist ergänzend noch auf das Bestehen der Betroffenenrechte hinzuweisen, z. B. in Werbeschreiben. Auf zweiter Stufe müssen dann alle Informationen nach Art. 13 bzw. 14 DS-GVO für die betroffene Person erhältlich sein bzw. gegeben werden, z. B. per Link zu der entsprechenden Internet-Seite mit allen Informationen, Bereithalten eines dementsprechenden Informationsblattes, das übergeben oder zugesandt werden kann.

Die in der Anfrage genannten Beispiele der Umsetzung der Informationspflichten sind aus unserer Sicht sachgerecht, wobei wir natürlich für den Markt Feucht keine Zuständigkeit haben.

 

Technische und organisatorische Maßnahmen (TOM)
(Sitzung vom 19.03.2019)

Wie lauten die wesentlichen DSGVO-Anforderungen an die TOMs, wie z.B. der Art. 5 Grundsätze für die Verarbeitung, der Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen, der Art. 25 Datenschutz durch Technikgestaltung und der Art. 32 Sicherheit der Verarbeitung?

Ferner, welche konkreten und angemessenen Sicherungsmaßnahmen sind gemäß dem Art. 32, Sicherheit der Verarbeitung, als quasi best-practise-Standards anzuwenden wie z.B. dem BSIGrundschutz-Kompendium, oder dem VDS-Standard 3473 oder dem ISIS12-Standard?

Antwort BayLDA: Die DS-GVO hat einen risikoorientierten Ansatz. Dies bedeutet, dass es nicht die eine TOM-Liste für alle Unternehmen/Sektoren gibt, sondern allenfalls passend zur Unternehmensgröße bzw. Art des Unternehmens (z.B. Bank, Arztpraxis, Online-Shop,…). Die DS-GVO hat wenig konkrete TOM vorgegeben, z. B. Verschlüsselung und Pseudonymisierung. Zur Umsetzung der TOM nach Art. 25 DSGVO kann auf das Standard-Datenschutzmodell oder den NIST Standard SP 800-53 verwiesen werden. Zur Umsetzung von Art. 32 DS-GVO kann ebenfalls das gewählt werden, was am besten passt: BSI IT-Grundschutz, ISO27001 , VDS oder ISIS12, sofern Anwendungsbereich und Risikoblickwinkel auf DS-GVO ausgerichtet sind. Auch können die TOM-Kataloge aus BDSG-alt (§ 9 BDSG) als Grundlage für eine DS-GVO TOM-Liste noch verwendet werden.

 

Protokolldaten
(Sitzung vom 19.03.2019)

In vielen IT-Systemen werden benutzerbezogen in unterschiedlicher Art und Weise bzw. Ausprägung Aktivitäten- und Änderungsprotokolle mitgeführt.

Hier eine Auswahl an Beispielen.
a) Dokumentenbibliotheken in Microsoft SharePoint.
Bei aktivierter Versionierung ist an jedem Dokument eine Änderungshistorie hinterlegt, mit Hilfe derer man auf vorangegangene Versionen eines Dokumentes zugreifen kann.
In dieser Änderungshistorie ist auch der Name des ändernden Benutzers sowie der Zeitpunkt der Änderung ersichtlich.

b) Zeichnungskopf auf technischen Zeichnungen.
In technischen Zeichnungen wird oft in einem Zeichnungskopf/-schriftfeld der Name des Erstellers und des Erstelldatums der jeweiligen Ausgabe einer Zeichnung sowie der Prüfer/Freigeber und das Freigabedatum hinterlegt.
Dies passiert oft automatisiert mit Hilfe eines Zeichnungsverwaltungssystems, in dem diese Daten natürlich auch gespeichert sind.
Ein PDF-Abbild des jeweiligen Zeichnungsstandes steht dann im (oftmals elektronischen) Zeichnungsarchiv zur Verfügung und muss für Audits und andere Anforderungen (z.B. aus Zertifizierungen) teilweise über 10 Jahre oder länger vorgehalten werden.

c) Protokolle und Buchungen im ERP-System.
In einem ERP-System werden Datenänderungen (z.B. Eintragung eines bestätigten Liefertermins in einer Einkaufsbestellung) und Belegbuchungen (Rechnungen, Lieferungen etc.) personenbezogen (zumindest erkenntlich anhand eines Logins) mitgeführt.

d) Firmeninternes Wiki
Änderungen an Seiten sind in der jeweiligen Änderungshistorie (zumindest mit Benutzername, oft auch mit Vor- und Zunamen) ersichtlich.

Handelt es sich bei diesen (und ähnlichen) Beispielen um personenbezogene Daten in dem Sinne, dass diese Daten in einem VVT und einem Löschkonzept Berücksichtigung finden müssen? Sind diese Daten auch bei der Ausübung von Betroffenenrechten (z.B. bei der Löschaufforderung durch einen ausgeschiedenen Mitarbeiter) zu beachten?

Antwort BayLDA: Die genannten Protokolldateien enthalten ohne Zweifel personenbezogene Daten im Sinne des Datenschutzrechts (Benutzer-, Ersteller-, Prüfer-/Freigeber-, Bearbeiter-Namen), wenngleich diese Daten auch regelmäßig wenig sensibel sind.

Protokolldateien können aus unserer Sicht zusammengefasst im VVT dargestellt werden, z. B. als Verfahren bzw. Verarbeitungstätigkeit „IT-Protokolldateien“, wo dann bei den Zwecken der Verarbeitung (Art. 30 Abs. 1 Buchst. b DS-GVO) die verschiedenen Software-Produkte (wie SharePoint, CAD- und ERP-System oder firmeninternes Wiki) genannt werden können.

Im Löschkonzept sind, wie in der VVT-Darstellung, die bestehenden bzw. gebotenen unterschiedlichen Aufbewahrungsfristen zu berücksichtigen, die bei der Änderungshistorie in einem firmeninternen Wiki eher kurz sein können (z. B. ein Jahr), bei technischen Zeichnungen für Brückenbauwerke oder bei Flugzeugkonstruktionen wegen der dabei auch längerfristig bestehenden Haftungsverpflichtungen vergleichsweise lange sein werden (z. B. bis zu 30 Jahre im Hinblick auf die Verjährungsregelungen).

Diese personenbezogenen Daten sind dem Grunde nach auch bei der Ausübung von Betroffenenrechten mit einzubeziehen, wobei im Rahmen des Auskunftsrechts die Nennung der Kategorie nach Art. 15 Abs. 1 Buchst. b DS-GVO (z. B. als IT-Protokolldaten) genügt. Bei Löschungswünschen gegenüber dem Verantwortlichen sind dort eventuell fortbestehende Berechtigungen der Speicherung von Protokolldaten (weiterhin notwendige Daten im Sinne von Art. 17 Abs. 1 Buchst. a sowie Art. 6 Abs. 1 DS-GVO) bzw. Ausnahmen von der Löschverpflichtung nach Art. 17 Abs. 4 DS-GVO und § 35 Abs. 3 BDSG zu prüfen.

 

Verschlüsselung bei der Nutzung eines MPLS Netzwerkes
(Sitzung vom 19.03.2019)

Besteht die Notwendigkeit einer Contentverschlüsselung bei der Nutzung eines MPLS Netzwerks zur Sicherstellung der Vertraulichkeit bei der Übermittlung von personenbezogenen Daten?
Unser Anbieter betreibt sog. Break-Outs auf der ganzen Welt.
Inwieweit ist die „Klartextübermittlung“ innerhalb eines solchen Netzwerks in Ordnung, oder sind spezielle Verschlüsselungsmethoden durch den Nutzer notwendig?
Kann man sich auf das Fernmeldegeheimnis (welchem der Anbieter unterworfen ist) berufen?
Inwieweit trifft die Aussage zu MPLS auch auf VPN Dienste-Anbieter zu?

Antwort BayLDA: Diese Frage liegt seit längerem als Beratungsanfrage beim LDA. Schnellantwort ohne Begründung: Ja, Verschlüsselung ist notwendig. Fundierte Antwort erfordert Recherche über Risikoszenarien bei Netzübergaben internationaler Betreiber: Zeitspanne kann momentan aufgrund der extremen Arbeitslast leider nicht abgeschätzt werden.

 

Zweckgemeinschaften in der Industrie (ARGEN)
(Sitzung vom 19.03.2019)

Frage: Häufig werden in der Wirtschaft sog. Zweckgemeinschaften (ARGEN) gegründet, die im juristischen Sinne eigenständige GbRs sind.
Alle Gesellschafter bringen in diese ARGEN etwas ein (Personal, Material, IT, …), darunter natürlich auch personenbezogene Daten zu Abrechnungszwecken bzw. fachliche Lebensläufe etc. Durch den Status einer GbR vertrete ich aktuell die Meinung, dass ARGEN eigenständige Einheiten sind, die wiederum selbstverwaltend die DSGVO umzusetzen und einzuhalten haben.

Antwort BayLDA: Das sehen wir auch so, GbR sind regelmäßig Verantwortliche im Sinne der DS-GVO.

Frage: Sehe ich es richtig, dass die vorher genannten Gesellschafter in Sachen pbD als Datenexporteure, die ARGE als Datenimporteur (was entsprechende Verträge notwendig macht) auftreten?

Antwort BayLDA: Das wird häufig so sein, soweit nicht eine gemeinsame Verantwortung gegeben ist.

Frage: Je nach Größe der ARGE und der zu bearbeitenden Daten (evtl. sensible Mitarbeiterdaten zu Abrechnungszwecken) ist dann auch ein eigener DSB direkt von der ARGE zu bestellen. Innerhalb der ARGE arbeiten mind. zwei evtl. auch mehr Mitarbeitergruppen von unterschiedlichen Gesellschaftern mit personenbezogenen Daten des ARGE Personals.
Entspricht diese Ansicht der Sichtweise der Aufsichtsbehörde?

Antwort BayLDA: Das sehen wir auch so, von der ARGE ist die Notwendigkeit einer DSB-Benennung eigenständig zu prüfen.

Frage: Ist aufgrund der engen – aber zeitlich begrenzten Vermaschung - ein Vertrag über gemeinsame Verantwortliche gegeben, da die Gesellschafter nach Gründung der ARGE keine Weisungen mehr erteilen, sondern die ARGE selbst über Mittel und Zwecke entscheidet?
Wie sieht schlussendlich die Aufsichtsbehörde dieses Konstrukt?
Bleiben die Gesellschafter (welche die Daten/Personal „bereitgestellt“ haben) in der Verantwortung,oder eher die „Entscheider innerhalb der ARGE?

Antwort BayLDA: Je nach vertraglichem Konstrukt und vorgesehener Eigenständigkeit einer ARGE kann eine Datenübermittlung von den beteiligten Gesellschaften an die ARGE mit anschließender eigenverantwortlicher Verarbeitung personenbezogener Daten bei der ARGE oder eine gemeinsame Verantwortung der Gesellschaften zusammen mit der ARGE vorliegen.

 

Internet zu privaten Zwecken erlaubt: Maßnahmen für IT-Sicherheit
(Sitzung vom 02.07.2019)

In unserem Unternehmen ist es dem Mitarbeiter erlaubt, in Pausen den Internetzugang auch zu privaten Zwecken zu nutzen. Somit würde für uns in diesem Punkt das TKG gelten.

Nun ist die Überlegung aus Gründen der IT-Sicherheit eine SSL-Inspection/-Decryption (d.h. das Aufbrechen sicherer https-Verbindungen) einzuführen, um Schadprogramme u./o. Angriffe frühzeitig abzuwehren und nicht erst, wenn ggf. der Virenscanner auf dem entsprechenden Endgerät Alarm schlagen sollte.

Frage: Wie steht das BayLDA zu diesem bewusstem „Man-in-the-Middle“-„Angriff“ der eigenen IT?

Gleichzeitig könnte entsprechend einem möglichen Datenverlust durch Schadsoftware entgegen gewirkt oder auch verhindert werden, bevor diese im Unternehmensnetzwerk/dem jeweiligen Endgerät ist.

Aus Datenschutzsicht gibt es also mehrere (berechtigte) Interessen…

Frage: Würde z.B. eine einfache Information der Mitarbeiter genügen?

Frage: Was wären die Grundbedingungen – sofern gestattet – die seitens des BayLDAs gefordert bzw. empfohlen würden?

Antwort BayLDA: Internet zu privaten Zwecken erlaubt: Maßnahmen für IT-Sicherheit

Grundsätzlich empfehlen wir, die private Nutzung kritisch zu hinterfragen. Eine zeitgemäße Alternative wäre beispielsweise die Einrichtung eines WLANAccesspoints, der unabhängig vom Unternehmensnetz betrieben wird.

Ansonsten gilt: Eine SSL-Inspection/-Decryption kann dazu führen, dass sensible Nutzungsdaten bei der Privatnutzung z.B. Passwörter, vertrauliche E-Mails etc. verarbeitet werden. Aus diesem Grund ist eine Information nicht ausreichend. Mitarbeiter müssen ausdrücklich in die Verarbeitung einwilligen. …

 

Gemeinsame Verantwortung bei Multi-Mandanten Cloud Services
(Sitzung vom 02.07.2019)

Firma X mit Sitz in der EU vermarktet einen Cloud-basierten Multi-Mandanten Collaborations Softwaredienst (SaaS) mit tausenden von Mandanten. Dieser standardisierte Cloud Service wird für alle Mandaten gleich erbracht und bietet nur sehr geringe Möglichkeiten für den Kunden die Mittel der Verarbeitung zu bestimmen und entsprechend Weisungen zu erteilen. Die Kunden schließen per „click-and-accept“ einen Vertrag unter Akzeptanz der AGBs, Nutzerbedingungen, Datenschutzvereinbarung und TOMs.

Zur Beurteilung, inwieweit dieser Cloud Service in alleiniger datenschutzrechtlicher Verantwortung des Kunden nach DSGVO, Artikel 28 oder in gemeinsamer Verantwortung zwischen Dienstleister (Firma X) und seinen Kunden nach DSGVO, Artikel 26 behandelt werden sollte, wurde die Stellungnahme der CNIL zu Cloud Computing von 2010 herangezogen, die in der fehlenden Möglichkeit des Auftraggebers die Mittel bei der Verarbeitung personenbezogener Daten zu beeinflussen eine Gemeinsame Verantwortung sieht. Dies wird jedoch von Kunden heute teilweise kontrovers diskutiert.

Bei einer angenommenen alleinigen Verantwortung des Kunden (Artikel 28) dürfen die Daten gem. Art. 28 nur auf Weisung des Controllers verarbeitet werden. Die Firma X würde wie in der Vergangenheit die TOMs vorgeben und nur diese TOMs bei Vertragsabschluss akzeptieren. Eine Anpassung der Maßnahmen gemäß Stand der Technik wäre evtl. noch damit abgedeckt, so lange dies für alle Mandanten in gleicher Weise erfolgt. Inwieweit eine Weiterentwicklung des Services mit den damit verbundenen Anpassungen auch darunter fällt ist fraglich. Eine Widerspiegelung der tatsächlichen Gegebenheiten bzw. eine komplette Weisungsgebundenheit wäre dies aber dann nicht. Auch könnte eine Einschaltung von Subunternehmern zwar dem Kunden mitgeteilt werden, aber ein Widerspruch würde zur Kündigung des Vertrages führen.

Bei einer angenommenen gemeinsamen Verantwortlichkeit wäre die Wahl der eingesetzten Mittel durch den Dienstleister abgedeckt. Unter Einhaltung der Vorgaben aus Art. 26 könnte eine Aufteilung der Rollen und Pflichten transparent dargestellt werden. Als Rechtsgrundlage für die Übermittlung könnte der Kunde das berechtigte Interesse des Unternehmens an der Nutzung dieses Cloud Servies zur Förderung der Arbeitseffizienz im Unternehmen heranziehen Die Rechtgrundlage für das berechtigte Interesse des Dienstleister wäre die Erfüllung des mit dem Kunden geschlossenen kommerziellen Vertrages zur Nutzung des Cloud Services.

Frage: Wie beurteilt die Aufsichtsbörde dieses Konstrukt?

Frage: Gibt es hier ein richtig oder falsch oder vielmehr einen gewissen Ermessensspielraum?

Frage: Wären die angegebenen Rechtsgrundlagen ausreichend zur Verarbeitung der Daten im Rahmen einer Gemeinsamen Verantwortung?

Antwort BayLDA:Gemeinsame Verantwortung bei Multi-Mandanten Cloud Services

Aufgrund der abstrakten Sachverhaltsschilderung können wir keine eindeutige Aussage dazu treffen, ob eine gemeinsame Verantwortlichkeit vorliegt, die Firma X Auftragsverarbeiter ist oder die Beteiligten jeweils in geteilter Verantwortlichkeit handeln.

Welche Rolle einem Beteiligen zukommt, hängt maßgeblich von der konkreten Verarbeitung ab. Entscheidend ist vor allem, wer über die Zwecke der Datenverarbeitung bestimmt.

Eine wirtschaftliche Machtstellung führt nicht zwangsweise dazu, dass ein Beteiligter die Rolle des gemeinsamen Verantwortlichen annimmt.

Eine gemeinsame Verantwortlichkeit scheidet in der Regel schon deshalb aus, weil Cloud-Anbieter und Mandant unterschiedliche Zwecke verfolgen, aber eben nicht identische bzw. deckungsgleiche Zwecke, wie vom EuGH in den Entscheidungen zur gemeinsamen Verantwortlichkeit ausgeführt.

Als weitere Kontrollfrage könnte folgende Überlegung dienen: Wäre die Firma X gemeinsam mit den vielen Mandanten verantwortlich, dürfte die Firma X sämtliche Daten für ihre Zwecke benutzen und hätte die Befugnis auch mitzubestimmen, ob und wann Daten gelöscht werden, wer Zugriff erhält und wie Betroffenenanfragen umgesetzt werden. Spielgelt dies die Begebenheiten des konkreten Falls nicht wieder, liegt in der Regel keine gemeinsame Verantwortlichkeit vor.

 

Welche datenschutzrechtliche Gründe sprechen gegen eine Sanktionslisten- Prüfung von Mitarbeitern sowie Besuchern?
(Sitzung vom 02.07.2019)

Gemäß den beiden EU-Verordnungen sind wir als Firma verpflichtet, alle Stammdaten, d.h. Kontakte, Mitarbeiter, sowie Besucher wie Lieferanten/Außendienstler und potentielle neue Kunden (bereits vor Angebotsabgabe) zu prüfen.

Die EU-Verordnungen, auf die sich die Zollbehörde stützt, lauten EG Nr. 2580/2001 und EG Nr. 881/2002.

Frage: Auf welche Punkte sind nach Sicht der Aufsichtsbehörde hinsichtlich Betroffenenrechte und/oder Beschäftigtendatenschutz zu achten?

Antwort BayLDA: Die Verordnung EG Nr. 881/2002 sieht in Art 2 Abs.2 vor, dass den Personen, die in der zur Verordnung gehörigen Liste aufgeführt sind, weder unmittelbar noch mittelbar Geld oder wirtschaftliche Ressourcen zur Verfügung gestellt werden dürfen. Damit ein Verantwortlicher diese Vorgabe zuverlässig erfüllen kann, halten wir den Abgleich mit den sogenannten Terrorlisten für vertretbar. Es handelt sich um eine Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist ( Art.6 Abs.1 c DSGVO) bzw. um ein gegenüber den Belangen der Betroffenen überwiegendes berechtigtes Interesse des Verantwortlichen (Art.6 Abs.1 f DSGVO). Das gilt in Bezug auf Mitarbeiter, (potentielle neue) Kunden und Lieferanten.

Die Vorgehensweise muss so sein, dass die schutzwürdigen Belange der Betroffenen angemessen berücksichtigt werden. So müssen diese darüber informiert werden, dass es zu diesen Abgleichen kommt. Außerdem müsste der Verantwortliche im Falle, dass es einen Treffer gibt, vorsichtig vorgehen. Die betroffene Person müsste Gelegenheit erhalten, sich dazu zu äußern. Zudem müssten alle zur Verfügung stehenden Möglichkeiten vom Verantwortlichen ausgeschöpft werden, um abzuklären, ob es sich nur um einen Fall zufälliger Namensgleichheit handelt oder tatsächlich um die gelistete Person. Soweit im Unternehmen vorhanden, sollten Datenschutzbeauftragter und Betriebsrat mit eingebunden werden.

 
 

Übermittlung von Kundendaten
(Sitzung vom 15.10.2019)

Bei größeren Projekten besteht die Möglichkeit einer Projektmeldung beim Hersteller oder Distributor (manche Hersteller verpflichten über Abnahme durch Distribution). Verträge im Einzelnen bestehen aber nicht gesondert. Lediglich unser Händlerstatus berechtigt uns zum Einkauf.

Nun beobachten wir zunehmend, dass die Daten unserer Kunden vermehrt und detaillierter abgefragt werden, da wir sonst keinen Projektpreis erhalten. Abgefragt werden Firmendaten, Ansprechpartner beim Kunden inkl. Mailadresse und Telefonnummer, wie weit das Projekt bereits vorangeschritten ist etc..Die Daten werden auch offensichtlich beim Händler (manche Händler sind auch außerhalb der EU ansässig) gespeichert und wir werden immer nach dem aktuellen Stand abgefragt.

Unserem Kunden gegenüber kommunizieren wir diese Vorgehensweise aktuell nicht. Der Kunde fragt uns per Telefon oder persönlich nach einer Beratung oder einem entsprechenden Angebot an.

Frage: Wie sollten wir uns hier korrekt verhalten, so dass wir zum einen sauber mit unseren Kundendaten umgehen und zum anderen aber auch wettbewerbsfähig bleiben und entsprechende Preise erhalten?

Antwort BayLDA: Sofern personenbezogene Daten betroffen sind (bei einem Projektstatus einer juristischen Person wäre das nicht der Fall), dann bräuchte es eine Rechtsgrundlage für die Übermittlung personenbezogener Daten durch das Medientechnikunternehmen. Diese dürfte für eine Angebotserstellung zu finden sein – allerdings müssten die Mitarbeiter des anfragenden Unternehmens darüber informiert werden. Inwiefern E-Mail-Adressen/Telefonnummern der Mitarbeiter eines anfragenden Unternehmens dafür erforderlich sind, erschließt sich uns nicht.

Sollten Zweifel an der Datenschutzkonformität des Herstellers/Distributors bestehen, dass dieser bspw. zu viele Daten erzwingt, dann kann eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde eingereicht werden (allerdings mangels persönlicher Betroffenheit nur als Kontrollanregung) – diese kann dann ggf. über das europäische Kohärenzverfahren an das entsprechende europäische Land weitergegebene werden.

 

E-Mails mit Transportverschlüsselung (TLS)
(Sitzung vom 15.10.2019)

Frage: Für welche datenschutzrechtliche Anwendungszwecke genügt den Aufsichtsbehörden eine Transportverschlüsselung (TLS) von E-Mails nach aktuellem Stand der Technik und ersetzt so geg. eine aufwändige Verschlüsselung angehängter Dateien?

Antwort BayLDA: Nach Art. 32 DS-GVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten der Betroffenen ermittelt. Besteht kein hohes Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an. Bei einem hohen Risiko ist jedoch neben einer (opportunistischen) Transportverschlüsselung zusätzlich eine Inhaltsverschlüsselung umzusetzen. Unsere Anforderungen an bayerische Verantwortliche sind also:

- immer eine opportunistische Transportverschlüsselung nach Stand der Technik (z. B.TLS 1.2, Perfect Forward Secrecy)

- bei hohem Risiko zusätzlich eine Inhaltsverschlüsselung (z. B. PGP, S/MIME, verschlüsselte PDF, ZIP-Datei mit Passwort)

 

Video und Soziale Medien
(Sitzung vom 15.10.2019)

Frage: Ich bin Datenschutzbeauftragter für einen Rundfunksender von dem mir gestern bekannt gemacht worden ist, dass nun wohl das Sendestudio mit Videokameras ausgerüstet wird.

Allerdings ist auch geplant mit diesen Kameras LIVE Sendungen ins Internet zu streamen. Das ganze dann wohl nicht nur auf der eigenen Internetseite, sondern auch in soziale Medien. An dieser Stelle bin ich mit meinem Wissen leider am Ende und muss nun Sie um Rat fragen.

Wie sollen wir uns hier verhalten?

Wie sollen wir es generell mit Veröffentlichungen auf Facebook und Co. umgehen wenn hier zum Beispiel Fotos von Hörern gepostet werden. Müssen wir hier immer mit Einwilligungen arbeiten? Oder spielt hier das Medienprivileg aus Art. 85 DSGVO ein Rolle?

Antwort BayLDA: Für einen Rundfunksender sind wir nicht die zuständige Aufsichtsbehörde und können aus diesem Grund keine rechtverbindliche Aussage treffen. Nur so viel: Wäre es kein Rundfunksender, denn könnten wir uns vorstellen, dass gewisse Videoaufnahmen einer Live-Berichtserstattung durchaus zum Arbeitsgebiet gehören und damit grundsätzlich ausgestaltbar sind. Wichtig wäre hier der Art. 25 Abs. 1 DS-GVO (Datenschutz durch Technikgestaltung), der bspw. die Auflösung der Aufnahmen (HD wäre schwierig) und auch den Aufnahmewinkel regelt. Auch eine Daueraufnahme würden wir bedenklich sehen, da diese einen deutlichen Überwachungsdruck auslöst. Sollten aber eine Live-Sendung, die bspw. eine Stunde geht, und der Mitarbeiter während dieser Zeit an einem gesonderten Arbeitsplatz gezeigt werden, ohne dass die Aufnahmen hochauflösend sind, dann könnte dies unserer Ansicht nach durchaus zulässig sein. Bei Facebook kommt hinzu, dass es nicht nur eine Rechtsgrundlage für eine Datenerhebung sondern auch für eine Datenübermittlung geben muss – diese wäre im Sinne der Rechenschaftspflicht besonders gründlich auszuarbeiten.

Außerdem muss entschieden werden, ob Art. 85 DS-GVO, also das Medienprivileg, anwendbar ist oder ob die Aufnahmen für Werbung oder ähnliches verwendet werden. Dies gilt sowohl für die Videoaufnahmen aus dem Studio als auch für die Veröffentlichung von Hörer-Fotos. Dabei handelt es sich jedoch immer um eine Einzelfallenscheidung und allgemeingültige Aussagen können dazu nicht getroffen werden. Ansonsten gilt wie immer: Bei der zuständigen Aufsichtsbehörde (hier bei der Bayerischen Landeszentrale für neue Medien) nachfragen, ob Beratungsleistungen erbracht werden können.

 

Akkreditierung von Überwachungsstellen
(Sitzung vom 22.07.2020)

Frage: Wann sieht sich das LDA in der Lage, Akkreditierungen von Überwachungsstellen gemäß Art. 41 DSGVO vorzunehmen?

Antwort BayLDA: Die Rahmenbedingungen für die Akkreditierung von Kontrollstellen (wie auch für etwaige Zertifizierungsverfahren) sind mittlerweile geschaffen worden. Das BayLDA sieht sich daher in der Lage, künftig Akkreditierungen in seiner Zuständigkeit in Zusammenarbeit mit der Deutschen Akkreditierungsstelle (DAkkS) durchzuführen.

 

Meldung des Datenschutzbeauftragten bei der Aufsichtsbehörde
(Sitzung vom 22.07.2020)

Frage: Datenschutzbeauftragte sind nach Art. 37 Abs. 7 DS-GVO bei der Aufsichtsbehörde zu melden. Welche Möglichkeit gibt es für einen externen DSB zu prüfen, ob bei einer Abbestellung oder Wechsel des DSB die Verantwortliche Stelle den Eintrag gelöscht bzw. geändert hat?

Antwort BayLDA: Unser Online-Meldeportal soll künftig so umgestaltet werden, dass nicht nur der Verantwortliche, sondern auch der jeweilige (externe) Datenschutzbeauftragte einen eigenen Account mit Zugangsdaten erhält und die ihn betreffenden Einträge einsehen kann.

 

Mitwirkung bei Auskunftsersuchen
(Sitzung vom 22.07.2020)

Frage: Die Beantwortung der Auskunftsansprüche nimmt in den Unternehmen mehr und mehr Zeit ein, ohne dass in vielen Fällen ein richtiger Wert generiert wird. Zumeist werden einfach über digitale Portale Auskunftsersuchen gestellt, ohne dass eine Verbindung zu dem Unternehmen bestand. Wir sind mittlerweile dazu übergegangen, in solchen Fällen ein Schreiben zu verfassen, in welchem der Auskunftssuchende darum gebeten wird, seine Verbindung mit dem Unternehmen darzustellen und eine Identifizierung verlangt wird. Diese von der DSGVO anerkannte Mitwirkungshandlung ziehen wir also an den Beginn des Auskunftsersuchens. Bestehen hiergegen Bedenken?

Antwort BayLDA: Art. 12 Abs. 6 DS-GVO sieht vor, dass Verantwortliche, die begründete Zweifel an der Identität des Anfragenden haben, unbeschadet des Art. 11 DS-GVO zusätzliche Informationen anfordern können, die zur Bestätigung der Identität des Anfragenden erforderlich sind. Nach Erwägungsgrund 64 S. 1 zur DS-GVO sollte der Verantwortliche alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Solange also der Erforderlichkeitsgrundsatz beachtet wird, haben wir keine Bedenken gegen die genannte Vorgehensweise und empfehlen vielmehr die Prüfung der Identität des Anfragenden vor der Auskunftserteilung (vgl. https://www.lda.bayern.de/media/themen/infoblatt_fuer_verantwortliche_zu_auskunft.pdf, Punkt 3.).

 

Orientierungshilfe E-Mail-Verschlüsselung
(Sitzung vom 22.07.2020)

Frage: Die Orientierungshilfe "E-Mail-Verschlüsselung" der Datenschutzkonferenz wurde von Bayern als einzigem Bundesland nicht unterstützt. Welcher Teil, oder welche Aussage der Orientierungshilfe wird von Bayern hier nicht getragen?

Antwort BayLDA: Das BayLDA hat zwei Kritikpunkte an der genannten Orientierungshilfe formuliert, die wir mit dem Blick auf einen Vollzug als problematisch ansehen.. Die Kritikpunkte betreffen die an Verantwortliche gestellte Anforderungen hinsichtlich der Prüfung der beim Empfänger einer E-Mail verfügbaren Verschlüsselungsstandards. Nach der Orientierungshilfe müssen Verantwortliche, die E-MailNachrichten mit personenbezogenen Daten versenden, bei denen ein Bruch der Vertraulichkeit ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine obligatorische Transportverschlüsselung sicherstellen (Punkt 4.2.1). Dies bedeutet, dass, sollte der Empfänger einer E-Mail keine Transportverschlüsselung (nach Stand der Technik) anbieten, an diesen keine E-Mail versendet werden darf. Auch wenn eine obligatorische Transportverschlüsselung bei vielen E-MailServern heutzutage möglich sein sollte, gibt es insbesondere bei manchen kleinen Unternehmen oder Unternehmen im internationalen Kontext noch die offene Frage, wie bei Versand einer E-Mail umzugehen ist, bei denen die technischen und organisatorischen Maßnahmen, die sich in der Verantwortungssphäre des Empfängers befinden, nicht ausreichend sind. Des Weiteren haben wir Zweifel, ob der Einsatz von DNSSec bei E-Mails mit hohem Risiko verhältnismäßig ist.

 

Datenschutzmanagement in Zeiten von Corona
(Sitzung vom 22.07.2020)

Frage: In Zeiten von Corona ist gutes Datenschutzmanagement schwieriger denn je. Unternehmen, die in wirtschaftliche Schieflage geraten sind oder sogar um ihre Existenz kämpfen müssen, haben den Datenschutz nicht gerade im Fokus. Aber auch in weniger hart getroffenen Unternehmen bestehen weitgehende Reisebeschränkungen. Präsenzschulungen sind kaum noch möglich. OnlineSchulungen sind allenfalls eine Notlösung. Wie berücksichtigt das LDA die aktuellen Umstände im Rahmen der Prüftätigkeit? Welchen Rat kann das LDA uns Datenschützern hier allgemein geben?

Antwort BayLDA: Die Probleme, vor die zahlreiche Verantwortliche gerade zu Beginn der Pandemie gestellt wurden, sind dem BayLDA durchaus bewusst. Aus diesem Grund haben wir uns auch darauf verständigt, in der Anfangsphase der Pandemie keine Geldbußen zu verhängen. Spätestens nach dem Ende der Sommerferien in Bayern sollten Verantwortliche ihre Prozesse allerdings an die Pandemie angepasst haben, sodass dann wieder aufsichtliche Prüfungen und bei gravierenden Verstößen ggf. die Verhängung von Geldbußen möglich sind. Um den Verantwortlichen Hilfestellungen zu bieten, haben wir auf unserer Homepage auch Hinweise zur datenschutzkonformen Gestaltung von Wohnraumarbeit gegeben (https://www.lda.bayern.de/media/best_practise_homeoffice_baylda.pdf). Auf Ebene der Datenschutzkonferenz des Bundes und der Länder wird derzeit auch an einem Positionspapier zum datenschutzkonformen Einsatz von Videokonferenzsystemen gearbeitet.


Allgemein halten wir Schulungen nach wie vor für einen wichtigen Grundbaustein eines soliden Datenschutzmanagements. Gleichzeitig sehen wir eine gewisse Verlangsamung des Rhythmus dieser Schulungen unkritisch. Im Übrigen beurteilen wir auch Mitarbeiterinformationen über aktuelle Datenschutzthemen, z.B. die Erinnerung an unternehmensspezifische Leitlinien zum Homeoffice oder Hinweise auf einschlägige allgemeine Handlungsempfehlungen, unter den derzeitigen Gegebenheiten als adäquate Schulungsangebote.

 

Verzeichnisse von Verarbeitungstätigkeiten
(Sitzung vom 22.07.2020)

Frage: Für die Erstellung des gesetzlich geforderten und bußgeldbewährten "Verzeichnisses von Verarbeitungstätigkeiten (VVT) gemäß 30 DSGVO", werden von den beiden bayerischen Aufsichtsbehörden diverse Hilfestellungen z.B. durch Musterformulare und Hilfetexte auf deren Webseiten für verantwortliche Stellen im nicht-öffentlichen und im öffentlichen Bereich gegeben. Meine Fragen dazu sind wie folgt:

  1. Wäre es bitte möglich, dass die beiden bayerischen Aufsichtsbehörden nach 2 Jahren DSGVO-wirksamkeit sogenannte best-practice-Empfehlungen für die Umsetzung in den verantwortlichen Stellen im nicht-öffentlichen und im öffentlichen Bereich bezüglich dem "Granulierungsgrad für Verarbeitungen und den erforderlichen Inhalten pro Verarbeitung" geben könnten? In den verantwortlichen Stellen gibt es nach unseren Erfahrungen nach wie vor große Unsicherheiten über die erforderliche nachhaltige VVT-Ausgestaltung, welche vor allem unter Kosten-, Nutzengesichtspunkten relevant ist.
  2. Wäre es bei der Gelegenheit möglich, dass die Anforderungen der beiden bayerischen Aufsichtsbehörden hinsichtlich dem "Granulierungsgrad und der Inhalte" aufeinander abgestimmt und harmonisiert werden? Beispiel dazu: Im BayLfD-Formular ist in der Rubrik "2. Zwecke und Rechtsgrundlage der Verarbeitung" die konkrete Angabe der Rechtsgrundlage gefordert und BayLDA-Muster ist unter der Rubrik Zwecke, die Angabe der konkreten Rechtsgrundlage nicht erforderlich. Ebenso nicht in der DSK-Empfehlung.
  3. Sind diese VVT-Muster der Aufsichtsbehörden für die Umsetzung der "Rechte der Betroffenen" ausreichend und falls nicht, welche weiteren Informationen sollten ggf. in diese VVT-Beschreibungen mit aufgenommen werden, damit die Rechte der Betroffenen zumindest in einem ersten Schritt gewährleistet werden können?

Mein Wunsch wäre, dass sich das BayLDA mit dem BayLfD dazu abstimmen sollte, weil erfreulicherweise im ERFA-Kreis/IHK-Anwenderclub Nürnberg auch diverse DSB aus dem öffentlichen Bereich vertreten sind.

 

Antwort BayLDA: Die besagten Muster sind bewusst allgemein gehalten, da sie für eine Vielzahl von Verantwortlichen - vom staatlichen Ministerium bis zum privaten Kleinunternehmen oder Verein Hilfestellung bieten sollen. Gerne können Verbesserungsvorschläge zu unseren Mustern für Verarbeitungsverzeichnisse bzw. etwaige Unstimmigkeiten auch im Hinblick auf die vom BayLfD veröffentlichten Muster an uns herangetragen werden. Allerdings bleibt zu berücksichtigen, dass neben Gemeinsamkeiten in Details auch funktionale Unterschiede bestehen, z.B. auf Grund der nur im öffentlichen Bereich relevanten RL 2018/680 oder der in der Fragestellung genannten Angabe von Rechtsgrundlagen, der im öffentlichen Bereich auf Grund bereichsspezifischer Verarbeitungserlaubnisse eine höhere Bedeutung zukommt. Die Unterschiede spiegeln damit letztlich strukturelle Abweichungen zwischen öffentlichem und nichtöffentlichem Bereich vor dem Hintergrund bereits in der DSGVO selbst angelegter Differenzierungserfordernisse wider.

 

Struktur der Aufsichtsbehörden
(Sitzung vom 22.07.2020)

Frage: Laut Beschlussvorschlag der WMK sollen die Aufsichtsbehörden in Deutschland effektiver als bisher arbeiten. Deshalb wollen die Wirtschaftsminister die Aufgaben reorganisieren und eine Zusammenlegung der Aufsicht über Unternehmen prüfen. Auf der golem.de-Plattform ist das Vorhaben veröffentlicht. Wie wird die evtl. Umsetzung dieser Initiative vom BayLDA und dem BayLfD gesehen und welche hoffentlich positiven Veränderungen könnten sich daraus für verantwortliche Stellen im nicht-öffentlichen und im öffentlichen Bereich ergeben?

Antwort BayLDA: Aus unserer Sicht ist schon die Weiterverfolgung, jedenfalls aber die Umsetzung dieser Initiative unwahrscheinlich, obgleich sie bereits auf Vorschläge der Datenethikkommission der Bundesregierung vom Herbst 2019 zurückgeht (vgl.
https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-
digitalpolitik/gutachten-datenethikkommission.pdf , Nr. 3.2.4)
Die von Niedersachsen initiierte Beratung wurde bereits auf Ebene der Wirtschaftsministerkonferenz nicht mehr weiter verfolgt. Es würde sich bei einem Beschluss dieses Gremiums auch allenfalls um einen politischen Appell handeln. Die Zentralisierung der Datenschutzaufsicht allein im nichtöffentlichen Bereich ist auch aus verfassungsrechtlichen Gründen nur in engen organisationsrechtlichen Grenzen, insbes. allenfalls in Form einer zentralen Bundesoberbehörde ohne jegliche Außenstelle möglich und damit für die Bedürfnisse der Unternehmen und Vereine nach einem regionalen Ansprechpartner letztlich untauglich.

 

Microsoft Teams
(Sitzung vom 22.07.2020)

Frage: Die BlnBfDI kritisiert in den Hinweisen für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten die Anwendung Microsoft Teams als derart mangelhaft, dass eine rechtmäßige Nutzung ausgeschlossen sei und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erforderten. Hauptkritikpunkte sind dabei:

  1. Microsoft behält sich im DPA unter dem Punkt „Datenschutzbestimmungen – Art der Datenverarbeitung; Eigentumsverhältnisse“ die Verarbeitung eigentlich im Auftrag verarbeiteter personenbezogener Daten zu eigenen Zwecken vor. Eine Rechtsgrundlage für die damit verbundene Offenlegung personenbezogener Daten durch den Verantwortlichen an Microsoft sei dabei nicht ersichtlich. Frage: Sieht das BayLDA hier ebenfalls eine fehlende Rechtsgrundlage?
  2. Aus der Verarbeitung der Auftragsdaten auch zu eigenen Zwecken von Microsoft folgt die Problematik einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO. Eine solche liegt nach der Rechtsprechung des EuGH nahe, ist jedenfalls anhand der nur rudimentären Angaben im DPA nicht auszuschließen. Frage: Geht das BayLDA nach aktuellem Informationsstand von einer gemeinsamen Verantwortung aus?
  3. Die BlnBfDI rügt eine nachträgliche nicht dokumentierte Änderung des veröffentlichten Auftragsverarbeitungsvertrags zu Juni 2020 und sieht dadurch die Form (Art. 28 Absatz 9) und Nachweisbarkeit (Art. 5 Abs. 2 DSGVO) des Auftragsverarbeitungsvertrags gefährdet. Frage: Sieht das BayLDA die Nachweisbarkeit erfüllt beim Vertragswerk von Microsoft?

Antwort BayLDA: Das BayLDA hat Microsoft Teams keiner umfassenden Prüfung unterzogen und kann insoweit zu den genannten Kritikpunkten keine Aussage treffen. Wir verweisen auf unsere allgemeinen Hinweise zum datenschutzkonformen Einsatz von Videokonferenzsystemen
(https://www.lda.bayern.de/media/best_practise_homeoffice_baylda.pdf, Punkt 4.), wobei wir zu bedenken geben, dass produktspezifische Besonderheiten einzelner Anbieter dabei nicht berücksichtigt werden können. Solange Verantwortliche die allgemeinen Hinweise beherzigen, werden wir die Nutzung etwaiger Videokonferenzsysteme nicht beanstanden. Etwas anderes gilt erst dann, wenn wir im Rahmen der Abstimmung mit den übrigen Datenschutzaufsichtsbehörden zu dem Ergebnis kommen, dass eine datenschutzkonforme Nutzung eines Videokonferenzsystems nicht möglich ist und dessen Anbieter die erforderlichen Nachbesserungen verweigert. Hierüber würden wir aber mit ausreichend Vorlaufzeit informieren, damit Verantwortliche Gelegenheit zur Umstellung ihrer Prozesse haben. Wir verweisen in diesem Zusammenhang auch nochmals auf das in Bearbeitung befindliche Positionspapier zum datenschutzkonformen Einsatz von Videokonferenzsystemen auf Ebene der Datenschutzkonferenz des Bundes und der Länder.

 

Auskunftspflicht gegenüber Mitarbeitenden
(Sitzung vom 22.07.2020)

Frage: Im Falle einer Auskunftsanfrage (Auskunftsersuchen, Art. 15 EU DS-GVO) eines Mitarbeiters, welche Informationen – gerne an einem konkreten Beispiel – „müssen“ zur Verfügung gestellt werden? Reicht eine Auflistung z.B. der gespeicherten Stammdaten (Name: Mustermann, Vorname: Max, Personalnummer: 1234, …)? Wie detailliert und ausführlich muss diese Auskunft erfolgen? Bsp: Visitenkarten, Mitarbeiterausweis mit Foto (hier sogar externer Dienstleister eingebunden, AVV mit diesem geschlossen) Emailkorrespondenz (muss diese zur Verfügung gestellt werden?
Oder die typische „IP-Adresse“ des Firmenlaptops, die ja ebenso zuordenbar wäre?
Die angerufenen Nummern des Geschäftshandys (die ohnehin nur der MA einsehen kann), … Wo ist – pragmatisch/alltagstauglich – die Grenze zu setzen? Was muss zur Verfügung gestellt werden?
Die Behörde stellt hier zwar bereits ein Musterschreiben zur Verfügung, auf die
Tiefe/Detaillierung/Ausführlichkeit wird allerdings nicht eingegangen.
Wird es hier möglicherweise ein ausführlicheres Referenzbeispiel geben?

Antwort BayLDA: Zunächst ist darauf hinzuweisen, dass der Europäische Datenschutzausschuss (EDSA) derzeit ein Leitlinienpapier zum Auskunftsanspruch erarbeitet. Sobald dieses vorliegt, werden seine Festlegungen maßgeblich sein. Unsere Darlegungen können daher nur vorläufigen Charakter haben.
Ein Betroffener soll den Auskunftsanspruch problemlos geltend machen können, um sich der Verarbeitung seiner Daten bewusst zu werden und in der Lage zu sein, deren Rechtmäßigkeit überprüfen zu können. Es sind dazu die in Art. 15 Abs.1 a-h DS-GVO aufgeführten Aspekte zu beauskunften. Das bedeutet bezüglich der zur Person des Auskunft Begehrenden gespeicherten Daten, dass die Stammdaten im Klartext genannt werden müssen, damit er prüfen kann, ob diese richtig sind und dass er ggf. eine Berichtigung verlangen kann. Wenn nur einige Daten konkret nachgefragt werden, müssten auch diese konkret beauskunftet werden.


Häufig begehren Beschäftigte aber Auskunft zu allen zu ihrer Person vorhandenen Daten. In solchen Fällen würden wir es für ausreichend ansehen, wenn eine Liste der zu der Person gespeicherten Schriftstücke oder die Aktenzeichen der betreffenden Dokumente genannt werden. Sollte derjenige, der die Auskunft verlangte, mit der Antwort nicht zufrieden sein, trifft ihn die Pflicht, nach Erwägungsgrund 63 Satz 7 seinen Anspruch zu präzisieren (in aller Regel liegen zu einem Beschäftigten eine große Zahl von Daten vor, so dass ein Fall des Erwägungsgrundes 63 Satz 7 gegeben ist). Nach Art. 15 Abs. 3 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Diese Formulierung wird von den Auskunft Begehrenden häufig insoweit falsch verstanden, als sie Fotokopien von allen Dokumenten verlangen, in denen sich Daten von ihnen befinden. Art. 15 Abs. 3 DS-GVO erweitert aber den Umfang des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO unseres Erachtens nicht. Mit dem Begriff "Kopie" ist gemeint, dass der Verantwortliche (hier Arbeitgeber) eine strukturierte Zusammenfassung von Daten zur Verfügung zu stellen hat. Der Auskunftsanspruch bezieht sich auf die Mitteilung personenbezogener Daten, nicht auf die Herausgabe von Dokumenten. Es wären also auch die in der Frage genannten Dokumente (Visitenkarte, Mitarbeiterausweis, E-Mail Korrespondenz) in die betreffende Zusammenstellung mit aufzunehmen, die Dokumente selbst brauchen aber nicht zur Verfügung gestellt werden.

 

Cookie-Banner
(Sitzung vom 22.07.2020)

Frage: Hat bei einer cookiefreien Website ebenfalls ein Hinweis zu erfolgen, dass die Website keine Cookies verwendet?
Manche vertreten die Meinung, dass dann auch ein Cookiebanner notwendig wäre! Oder kann auf dieses Banner dann verzichtet werden?

Antwort BayLDA: Ein "Cookie-Banner" ist unseres Erachtens dann erforderlich, wenn Cookies eingesetzt werden, für die eine Einwilligung des Betroffenen erforderlich ist. Über den Einsatz sonstiger Cookies, die keiner Einwilligung bedürfen muss zumindest gem. Art. 13 DS-GVO informiert werden. Wenn auf einer Website keine Cookies eingesetzt werden, besteht unseres Erachtens aber keine Verpflichtung, hierüber zu informieren (und natürlich erst recht keine Notwendigkeit zur Einholung einer Einwilligung im Rahmen eines "Cookie-Banners").

 

Corona-Test bei Mitarbeitern und Besuchern
(Sitzung vom 08.12.2020)

Frage: Wie bewertet das BayLDA den Einsatz von Corona-Schnelltests durch Unternehmen?
Unter welchen datenschutzrechtlichen Voraussetzungen können Unternehmen solche Tests bei den eigenen Mitarbeitern anwenden?
Könnten Unternehmen –ggf. weiterentwickelte –Schnelltests als Maßnahme zur Zutrittskontrolle einsetzen?
Wie sieht es in diesem Zusammenhang mit Fiebermessen als Zutrittskriterium aus?

Antwort BayLDA: Eine Testpflicht ist gesetzlich nur in engen Ausnahmefällen vorgesehen, siehe https://www.stmgp.bayern.de/coronavirus/haeufig-gestellte-fragen/ unter Bayerische Teststrategie, oder auch https://www.stmgp.bayern.de/coronavirus/bayerische-teststrategie/ (wird gerade überarbeitet sowie die Coronavirus-Testverordnung (TestV), https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/C/Coronavirus/Verordnungen/Corona-Test-VO_BAnz_AT_141020.pdf.
In der TestV sind die Konstellationen vorgesehen, in denen Personen einen Anspruch auf Testung haben. Daraus folgt jedoch im Grundsatz nicht, dass der Arbeitgeber eine Anordnungsbefugnis hat, wenn die Person diesen Anspruch nicht geltend macht.

Veröffentlichung des EDSA:
Statement des EDSA vom 19.3.2020 in Sachen Datenverarbeitung im Kontext von COVID, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf
Unter Ziffer 4 heißt es dort:
Can an employer require visitors or employees to provide specific health information in the context of COVID-19?

Antwort:
The application of the principle of proportionality and data minimisationis particularly relevant here. The employer should only require health information to the extent that national law allows it.
-Is an employer allowed to perform medical check-ups on employees?
Antwort: The answer relies on national laws relating to employment or health and safety. Employers should only access and process health data if their own legal obligations requires it.

Beim Fiebermessenist der Beschluss der DSK vom 10.09.2020 zugrunde zu legen. Er sieht in den Fällen, in denen im Zusammenhang mit dem elektronischen Fiebermessen bzw. Fiebermessen mittels Wärmebildkamera personenbezogene Daten verarbeitet werden, dieses auch im Beschäftigungsverhältnis tendenziell eher kritisch, schließt es aber nicht völlig aus, so dass es in bestimmten Ausnahmesituationen vertretbar sein kann.
https://www.datenschutzkonferenz-online.de/media/dskb/20200910_beschluss_waeremebildkameras.pdf
Wenn keine Aufzeichnung der Messung erfolgt, kann u.U. auch Anwendungsbereich der DS-GVO schon gar nicht eröffnet sein.

 

Löschen von Mitarbeiterdaten in Kunden-Anwendungen
(Sitzung vom 08.12.2020)

Frage: Im Rahmen unserer Geschäftsaktivitäten greifen wir auf mehrere IT-Anwendungen zurück, die Interessenten-sowie Kundendaten verarbeiten. Für diese Datenarten haben wir pro Anwendung ein Löschkonzept erstellt. Zudem werden die technischen und fachlichen Logs, die u.a. personenbezogene Daten enthalten können, auch im Löschkonzept berücksichtigt. Die Erstellung der Löschkonzepte erfolgte in Abstimmung mit den zuständigen Fachabteilungen sowie dem Datenschutzbeauftragten.
Die Umsetzung dieser Löschkonzepte wird mit Löschprotokollen dokumentiert und stichprobenartig vom Datenschutzbeauftragten gegen die SOLL-Vorgaben geprüft.

Im Laufe der Interessenten-bzw. Kundenbeziehung werden auch Mitarbeiterdaten, wie Name oder Kennung des Mitarbeiters zu der jeweiligen Interessenten-bzw. Kundenakte „zugespeichert“. Dies erfolgt bspw. für die folgenden Aktionen:
•Mitarbeiter xy hat mit dem Interessenten telefoniert und folgende Unterlagen (unterschriebenes Angebot, Legitimationsdokument, etc.) angefragt;
•Mitarbeiter xy hat die Adresse des Kunden aufgrund folgender Aktion (Kunden-Info, Postrückläufer, Auskunftei-Info, etc.) geändert;
Rechtsgrundlage für die Datenverarbeitung von Mitarbeiterdaten ist unserer Meinung nach sowohl Art. 6 lit. c DSGVO im Sinne unserer Nachweispflicht bzgl. den vorgenommenen Änderungen sowie unser berechtigtes Interesse an der Sicherstellung eines reibungslosen Betriebsablaufes sowie Kundenbetreuung gem. Art. 6 lit. f DSGVO. Wie ist Ihre Meinung hierzu?

Bisher werden diese Mitarbeiterdaten im Rahmen der Löschumsetzung der Interessenten-bzw. Kundendaten mitgelöscht.
Wie können wir bei einem Mitarbeiter vorgehen, der aus dem Unternehmen ausgeschieden ist und sein Betroffenrecht nach Löschung aller seiner im Unternehmen verarbeiteten Daten gem. Art. 17 DSGVO geltend macht?
Unserer Meinung nach müssen wir dem Löschbegehren seiner pb Daten in den Kunden-Anwendungen nicht nachkommen, da die Daten für die Zwecke (Nachweispflicht sowie Sicherstellung eines reibungslosen Betriebsablaufes/Kundenbetreuung) für die sie erhoben wurden noch notwendig sind und somit erst nach Löschumsetzung der Interessenten-bzw. Kundendaten mitgelöscht werden.
Wie ist Ihre Meinung hierzu?

Antwort BayLDA: Wir stimmen der geschilderten Auffassung zu.
Ob die Daten eines ausgeschiedenen Mitarbeiters in Kundenanwendungen zu löschen sind, richtet sich nach Art.17 Abs.1 a DSGVO. Danach sind personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben oder anderweitig verarbeitet wurden, nicht mehr benötigt werden. Solange es eine sachliche Notwendigkeit gibt, die entsprechenden Angaben zu den jeweiligen Aktivitäten im Rahmen der Kundenbeziehungvorzuhalten, dürfte es auch gerechtfertigt sein, den dazugehörigen Namen des Mitarbeiters vorzuhalten. Das gilt dann auch in Bezug auf einen ausgeschiedenen Mitarbeiter. Nur so kann nachvollzogen werden, welcher Mitarbeiter was getan hat, was für die Kundenbeziehung, z.B. bei Nachfragen, wichtig sein kann.

 

Einwilligung zur Nutzung von Fotos, Videos sowie Podcasts von Mitarbeitern
(Sitzung vom 08.12.2020)

Frage: Aktuell holen wir einmalig die Einwilligung des Mitarbeiters zur Nutzung von Fotos, Videos sowie Podcasts ein. Vor dem jeweiligen Foto-oder Videotermin muss somit immer geprüft werden, ob diese Einwilligung bereits vorliegt. Nur wenn diese noch nicht vorliegt, wird der Mitarbeiter gebeten die Einwilligungserklärung freiwillig zu unterschreiben. Die Einwilligungserklärung klärt den Mitarbeiter über die generell geplante Verarbeitung, über die Freiwilligkeit seiner Einwilligung sowie über seine Betroffenenrechte auf.
Ist es ausreichend den relevanten Mitarbeitern vor dem jeweiligen Foto-oder Videotermin die Inhalte der Einwilligungserklärung zur Verfügung zu stellen (so gesehen als Auffrischung) oder sollte der Mitarbeiter vor jeder Aktion erneut unterzeichnen?
Wie ist Ihre Empfehlung hierzu?

Antwort BayLDA: Maßgeblich für die Frage, ob für jeden einzelnen Fall eine neue Einwilligung eingeholt werden muss oder ob es ggf. ausreicht, dem Mitarbeiter die erteilte Einwilligung vorzulegen und so diese aufzufrischen, dürfte sein, ob die erteilte Einwilligung den jeweiligen aktuell zu entscheidenden Fall abdeckt. Das dürfte vor allem die Art der Darstellung des Mitarbeiters (z.B. Portraitfoto oder Gruppenaufnahme), den Zweck für das Erstellen und Verwenden des Fotos/Videos/Podcasts und das Veröffentlichungsmedium betreffen. Deckt die erteilte Einwilligung auch den aktuellen Fall ab, dürfte es genügen, deren Inhalt dem betreffenden Mitarbeiter zur Verfügung zu stellen, eine erneute Unterzeichnung wäre dann nicht nötig.

 

Auswertung von Mitarbeiterabwesenheiten
(Sitzung vom 08.12.2020)

Frage: Unsere Firma plant neben der Einführung eines Betrieblichen Eingliederungsmanagement auch ein Verfahren zur Fürsorge von häufig Abwesenden (Krankmeldungen = Gesundheitsdaten).
Im Rahmen einer Auswertung des Personalstammdatenblatts sollen Mitarbeiter, welche häufiger als 5 Mal im Jahr eine Abwesenheit melden (unabhängig von der Dauer der Abwesenheit = mindestens 5 einzelne Tage/p. a.) den Vorgesetzen gemeldet werden. Die Vorgesetzten haben die Aufgabe ein Fürsorgegespräch mit dem betroffenen Mitarbeiter auf freiwilliger Basis zu führen.
Als Rechtsgrundlage sehen wir Art. 88 DSGVO in Verbindung mit §26 BDSG.

Inhalt des Gesprächs sollen nicht Diagnosen o. ä. sein, sondern rein auf der Klärung welche Maßnahmen die Firma ergreifen kann –sofern es sich um ein firmenspezifisches Problem handelt welches die Abwesenheit begründet und nicht privater Natur ist. Begründung der Vorgehensweise ist der Wunsch des Arbeitgebers den Mitarbeiter –Mithilfe gemeinsamer Absprachen zur Arbeitsplatzgestaltung aber auch Maßnahmen durch den Betroffenen z.B. Fitnessprogramme in seiner Freizeit o. ä. –zu unterstützen, um die Häufigkeit der Abwesenheit zu verringern.


Frage: Ist die regelmäßige Auswertung der Firma der Personalstamm-datensätze auf Basis von Abwesenheiten (Abwesenheitszeiten inkl. Krankmeldungen = sensible Gesundheitsdaten nach Art. 9 DSGVO?) bereits ein Fall, um eine Datenschutzfolgenabschätzungnach Art. 35 DSGVO unter Berücksichtigung des ErwG 91 S.2 durchzuführen, um den obigen Zweck erfüllen zu können?

Antwort BayLDA: In datenschutzrechtlicher Hinsicht müsste zunächst eine Rechtsgrundlage vorhanden sein, die das Heraussuchen der Mitarbeiter, die sich mindestens fünfmal im Jahr krankgemeldet hatten, und die Meldung an den Vorgesetzten abdeckt. Nach §26 Abs.3 BDSG dürfen besondere Arten personenbezogener Daten (Krankmeldung ist Gesundheitsdatum) u.a. verarbeitet werden, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung überwiegt. Der Arbeitgeber könnte sich auf die Fürsorgepflicht seinen Mitarbeitern gegenüber berufen, die ihn veranlassen könnte, Mitarbeitern, die häufig krank sind, ein Gespräch anzubieten, in dem geklärt werden könnte, ob die Ursachen für die häufigen Erkrankungen im dienstlichen Bereich liegen und wenn ja, welche Möglichkeiten zur Verbesserung der Situation der Arbeitgeber hat. Fraglich könnte sein, ob es angemessen ist, in jedem Fall von mindestens fünf Krankmeldungen im Jahr so zu verfahren, weil damit auch Fälle erfasst würden, bei denen der Mitarbeiter jeweils nur einen Tag krank war, in der Summe also fünf Tage. Ob das Gespräch geführt wird, muss dann eine freie Entscheidung des Mitarbeiters sein, die Ablehnung darf ihm keinerlei Nachteile bringen.

 

Aufzeichnung von Videokonferenzen
(Sitzung vom 08.12.2020)

Frage: Einer Verlautbarung des BayLDA folgend, haben wir die Option zur Aufnahme von Videokonferenzen für alle User deaktiviert.
Denn lt. BayLDA sollten Videokonferenzen gem. DSGVO Art. 6 Abs. 1 lit. f nur dann aufgenommen werden können, wenn ein berechtigtes Interesses geltend gemacht werden kann, dass über die bloße Protokollierung hinausgeht, z.B. falls Beweise sicherzustellen sind.
Die Protokollierung wäre schließlich auch durch manuelle Mitschriften möglich.
Allerdings besteht bei uns nun tatsächlich ein berechtigtes Interesse für Videoaufnahmen dahingehend, dass wir viele Meetings in englischer Spracheführen müssen, ohne dass die Teilnehmer englische Muttersprachler sind.

Entsprechend kann dieses aufgrund individueller Sprachkenntnisdefizite der Teilnehmer dazu führen, dass nach diesen Meetings keine gemeinsame Übereinkunft über Verlauf und Ergebnisse dieser Meetings besteht.
Um dieses doch sicherzustellen -z.B. indem ggf. zweifelhafte Passagen nochmals nachgeprüft werden können -sehen wir ein berechtigtes Interesses, zumindest Videokonferenzen in englischer Sprache aufzunehmen.

Antwort BayLDA: Wir würden die Aufzeichnung englischer Videokonferenzen zum Zweck der Protokollierung und Überprüfung auf Übersetzung/Sprachdefizite in dieser Kombination für zulässig erachten.
Wichtig ist hierbei eine ausreichende Information der Betroffenen vor der Aufzeichnung gem. Art. 13 ff. DS-GVO und die Löschung sobald die Aufnahme nicht mehr gebraucht wird und der Zweck entfallen ist.

 

Löschung von E-Mails
(Sitzung vom 23.03.2021)

Frage: Die Metadaten von E-Mails bieten keine tauglichen Kriterien, nach denen aufbewahrungspflichtige Mails von solchen unterschieden werden könnten, die keiner entsprechenden Pflicht unterliegen. Ob eine Mail z.B. für die Besteuerung relevant ist, ergibt sich in der Regel nur aus dem Inhalt. Das macht ein regelbasiertes und automatisiertes Löschen von Mails nahezu unmöglich. Ist es nach Ansicht des LDA daher vertretbar, E-Mails grundsätzlich pauschal – z.B. nach 12 Jahren – zu löschen? Mails, die selektiert werden können (z.B. Mails an bewerbungen@...), wären von diesem Grundsatz natürlich auszunehmen.

Antwort BayLDA: Nein, ein pauschales Löschen ist nicht vertretbar. Dies widerspricht dem Grundsatz der Datenminimierung und Speicherbegrenzung aus Art. 5 DSGVO. Nach Art. 17 Abs. 1 a) DSGVO sind die personenbezogenen Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind und keine gesetzliche Aufbewahrungspflicht (Art. 17 Abs. 3 b) DSGVO) entgegensteht. Emails, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, dürfen nicht länger aufbewahrt werden, als der Verarbeitungszweck es gebietet. Der Verantwortliche muss sich ein entsprechendes Löschkonzept überlegen.

 

Löschung von Altsystemen zur vereinzelten Auskunftserteilung
(Sitzung vom 23.03.2021)

Frage: Eine Unternehmensgruppe nutzt zur Personalverwaltung ein konsolidiertes SAP-System. In diesem System werden personenbezogene Daten regelbasiert und automatisiert mithilfe von SAP ILM gelöscht. Die in dem konsolidierten System gespeicherten Daten wurden zu einem bestimmten Stichtag aus den SAP-Systemen etlicher Konzerngesellschaften („Altsysteme“) übernommen. Altsysteme sind Systeme, die nach der erfolgreichen Datenmigration ausschließlich für vereinzelte Auskunfts- und Prüfzwecke, nicht jedoch zur Abbildung der aktuellen Geschäftsvorfälle genutzt werden. Die vollständige Löschung dieser Altsysteme kommt noch nicht in Frage, weil teilweise gesetzliche Aufbewahrungspflichten bestehen. Ist es aus Sicht des BayLDA vertretbar, auf eine mit sehr hohen Implementierungskosten verbundene regelbasierte Löschung der Daten in Altsystemen zu verzichten, wenn - besondere Kategorien personenbezogener Daten nicht betroffen sind und - stattdessen andere Maßnahmen zur Risikominimierung getroffen werden? So könnte der Zugriff bis zur vollständigen Löschung z.B. durch die einzelfallbezogene und zeitlich limitierte Vergabe von Berechtigungen an ausgewählte Nutzer und technische Kapselung des Altsystems stark eingeschränkt werden.

Antwort BayLDA: Unseres Erachtens ist die o.g. Lösung nicht zulässig. Das Recht auf Löschung gem. Art. 17 Abs. 1 DS-GVO besteht unabhängig von einem Antrag des Betroffenen, sobald die dort genannten Voraussetzungen vorliegen. Gesetzliche Aufbewahrungsfristen können zwar eine Ausnahme vom Löschungsanspruch begründen (Art. 17 Abs. 3 b) DS-GVO), allerdings gilt dies dann nur für die von der jeweiligen Frist erfassten Daten und nicht für den gesamten Datenbestand. Der Anspruch auf Löschung darf auch nicht generell dadurch umgangen werden, dass an seine Stelle eine Einschränkung der Verarbeitung der betreffenden Daten gem. Art. 18 DS-GVO tritt. Dies wäre allenfalls i.R.d. § 35 Abs. 1 S. 2 BDSG denkbar, der hier aber erkennbar nicht einschlägig ist, da es um automatisierte Datenverarbeitungen geht.

 

Zentraler Admin bei gemeinsamer Verantwortung
(Sitzung vom 23.03.2021)

Frage: Eine Unternehmensgruppe mit mehreren Konzerngesellschaften nutzt für einen gemeinsam festgelegten Zweck eine gemeinsam ausgewählte Software. Im Rahmen der gemeinsamen Verantwortung wurde vereinbart, dass es eine fachliche und eine technische Administration geben soll. Die technische Administration erfolgt durch mehrere Admins beim konzerninternen IT-Dienstleister. Die fachliche Administration ist zweistufig organisiert. Nutzer sollen sich zunächst an den dezentralen Admin in ihrer Gesellschaft wenden. Falls dieser das Problem nicht lösen kann, wendet er sich an einen zentralen Admin, der bei der Konzernmutter angesiedelt ist. Um Anwenderfehler in den Konzerngesellschaften nachvollziehen zu können, muss dieser zentrale Admin auch auf Daten der Nutzer in den Konzerngesellschaften zugreifen können. Ist die Rolle des zentralen (fachlichen) Administrators nach Ansicht des BayLDA datenschutzkonform, wenn …
- dessen Rolle in einer Konzernbetriebsvereinbarung transparent beschrieben ist,
- die Tätigkeit dieses Administrators protokolliert und durch den DSB kontrolliert wird,
- der Administrator besonders auf die Einhaltung des Datenschutzes verpflichtet wird, - die Software keine besonderen Kategorien personenbezogener Daten verarbeitet und
- keine berechtigten Interessen der betroffenen Mitarbeiter ersichtlich sind, die gegen den Zugriff des Admin auf ihre Daten sprechen? Ohne diese Rolle müsste das Expertenwissen des zentralen Administrators an mehreren Stellen im Konzern aufgebaut werden.

Antwort BayLDA: Das, was der bei der Konzernmutter angesiedelte zentrale Admin macht, ist datenschutzrechtlich als Auftragsverarbeitung einzustufen. Die Konzernmutter ist diesbezüglich somit Auftragsverarbeiter. Die einzelnen Konzerngesellschaften sind – auf der Basis der Sachverhaltsschilderung - datenschutzrechtlich jeweils Verantwortliche – jeweils für die Daten, die die jeweils eigenen Beschäftigten betreffen. Somit muss jede Konzerngesellschaft mit der Konzernmutter für diese Verarbeitung (Troubleshooting bzw. was auch immer genau davon umfasst ist) einen Vertrag zur Auftragsverarbeitung (AVV) mit der Konzernmutter abschließen, der alle Anforderungen nach Art. 28 Abs. 3 DSGVO erfüllt. Die Frage läuft vermutlich darauf hinaus, ob man sich solche einzelnen AVVs „sparen“ kann, wenn die Tätigkeit des Admin in einer Konzernbetriebsvereinbarung (KBV) beschrieben wird. Dazu ist zu sagen: Das ist denkbar, sofern alle betroffenen Konzerngesellschaften an die KBV gebunden sind, und sofern alle notwendigen Bestandteile eines AVV nach Art. 28 Abs. 3 DSGVO sich in der KBV wiederfinden, wobei insbesondere Wert darauf zu legen wäre, dass jeder Konzerngesellschaft bezüglich der Konzernmutter Weisungsrechte gemäß Art. 28 Abs. 3 Buchst. a DSGVO eingeräumt werden. Eine „Vereinfachung“ gegenüber dem Abschluss getrennter AVV bringt die Einbettung in die KBV somit nicht, man kann es aber – wenn man will – so machen. Denkbar wäre auch, die notwendigen AVVs – die wie erläutert jede Konzerngesellschaft mit der Muttergesellschaft abschließen muss – als Anhang zu der KBV zu formulieren. Sofern die AV-Tätigkeit für alle Konzerngesellschaften dieselbe ist, könnte man einen einheitlichen AV-Text verwenden; es muss aber klar sein, dass jede der Konzerngesellschaften bezüglich dieser AV gegenüber der Konzernmutter die Stellung eines Verantwortlichen hat, und die Mutter für jede Konzerngesellschaft jeweils als Auftragsverarbeiter fungiert.

 

DSFA bei Personalverwaltung
(Sitzung vom 23.03.2021)

Frage: In den FAQ auf der Homepage des BayLDA heißt es zur DSFA: "In der Regel ist bei Verarbeitung von Personaldaten keine DSFA durchzuführen. Eine Ausnahme stellen ggf. umfangreiche zentrale Personalverwaltungen in (internationalen) Konzernstrukturen dar." Ändert sich etwas an der Aussage, wenn es sich um eine umfangreiche zentrale Personalverwaltung in einem nationalen Konzern handelt?
a) wenn bei Frage 1 eine Pflicht zu einer DSFA bejaht wird, ab wann liegt eine umfangreiche zentrale Personalverwaltung vor, ab welcher Beschäftigtenanzahl?
b) Wo findet sich die Grundlage zu der Antwort der Anzahl von Frage a)?

Antwort BayLDA: steht noch aus.

 

Corona-Selbsttests in der Firma
(Sitzung vom 23.03.2021)

Frage: Dürfen positive Selbsttests von Mitarbeitern (in der Firma durchgeführt) durch die Firma protokolliert werden und diese Info an die Geschäftsleitung weitergegeben werden? Aus unserer Sicht sollte das nicht protokolliert und versendet werden. Der MA sollte aufgrund eines positiven Schnelltests direkt nach Hause, um von dort aus die Stelle zu informieren, die dann wiederum einen PCR-Test durchführt. Oder greift hier Schutz lebenswichtiger Interessen von betr. Person o. Dritten (Art. 6 Abs. 1 lit. d DSGVO) + Verantwortlichem obliegt Aufgabe öffentlichen Interesses o. öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO)?

Antwort BayLDA: Wir stimmen der o.g. Auffassung zu, wonach derartige Testergebnisse nicht protokolliert und an die Geschäftsleitung weitergegeben werden dürfen. Ganz grundsätzlich können derartige Mitarbeitertests nur auf Basis wirksamer (d.h. insb. freiwilliger und jederzeit widerruflicher) Einwilligungen durchgeführt werden. Denn die aktuelle (12.) BayIfSMV sieht nur in bestimmten, abgegrenzten Fällen eine Testpflicht vor, so in § 9 Abs. Nr. 4 12. BayIfSMV. Unseres Erachtens darf diese abgeschlossene Regelungssystematik nicht durch Rückgriff auf andere Rechtsgrundlagen wie insb. den subsidiären Art. 6 Abs. 1 S. 1 d) DS-GVO unterlaufen werden (vgl. hierzu Erwägungsgrund 46 S. 2 zur DS-GVO). Art. 6 Abs. 1 S. 1 e) DS-GVO greift in diesen Fällen auch nicht, da es hierfür eines spezifischen Übertragungsaktes bedarf – der Gesundheitsschutz der Allgemeinheit allein genügt nicht.

 

Videoüberwachung in öffentlichen Verkehrsmitteln
(Sitzung vom 23.03.2021)

Frage: In der Region Bayern sind unsere Fahrzeuge überwiegenden Teil mit Videoüberwachung ausgestattet (Forderung des Bestellers für Nahverkehrsleistungen). Alle Dokumentationen sind dafür vorhanden (Datenschutzfolgenabschätzung, Betreiberkonzepte, …. ). Seit der Einführung der DSGVO – genau seit dem letzten Quartal – kommen nun mehrfach Kundenanfragen / Anträge auf Beauskunftung zu den erhobenen Videobildern. Hier zwei Beispiele dieser Anfragen (wörtlich übernommen): „Im Rahmen meines Auskunftsanspruchs nach Art. 15 I, III DS-GVO wollte ich nachfragen, ob die Aushändigung einer Datenkopie auch in Hinblick auf von Ihnen aufgezeichnete Videoüberwachungsbänder möglich ist.“ „Wo und wie kann ich in die von mir gespeicherten Daten und Video und Fotoaufzeichnungen ggf. der Bundespolizei Einsicht nehmen?“ Da in fast allen Fällen von Videoüberwachung in Fahrzeugen die Auswertung der Aufzeichnungen bei der Ermittlungsbehörde liegt, haben wir als verantwortliche Stelle keinen Zugriff auf die erhobenen Daten. Weiterhin werden die aufgezeichneten Informationen – wenn keine Ereignis vorliegt – ohne Auswertung nach 72 Stunden automatisch überschrieben. Im Falle eines Ereignisses (Körperverletzung, Beschädigungen,… ) werden die Videodaten automatisch auf eine gesonderte Partition geschrieben und der Datenträger dann der Ermittlungsbehörde bei Anzeigenerstellung übergeben. M.E. ist die Beauskunftung an dieser Stelle unverhältnismäßig. Zweitens würden Vergleichsdaten fehlen um überhaupt den Petenten als solchen identifizieren zu können. Drittens werden die Daten im Regelfall ohne Einsichtnahme nach spätestens 72 h automatisch gelöscht. Es wäre äußerst interessant zu wissen, wie sich das BayLDA hierzu positioniert.

Antwort BayLDA: Vorbehaltlich unserer Zuständigkeit können wir hier folgendes antworten: Sind Aufnahmen innerhalb der Regellöschfrist von 72 Stunden gelöscht, kann selbstverständlich kein Auskunftsanspruch mehr geltend gemacht werden. Für Videoaufnahmen haben wir generell die Position, dass der Betroffene die bestimmte Videostelle konkretisieren muss. Er muss also angeben, an welchem Datum und zu welcher Uhrzeit er zu sehen sein soll. Der Verantwortliche muss dann die Aufnahme prüfen, ob der Betroffene tatsächlich zu sehen ist. Dieser Ausschnitt ist dann herauszugeben, niemals die komplette Videoaufnahme. Dies alles vorausgesetzt, es sind keine Rechte Dritter betroffen, also keine anderen Personen darauf zu sehen. Dann müsste die Auskunft verweigert werden.

 

Rechtsgrundlage für Reichweitenmessung auf Webseiten
(Sitzung vom 23.03.2021)

Frage: Reicht für eine Reichweitenmessung ohne Profilbildung auf einer Webseite als Grundlage "Wahrung berechtigter Interessen" weiterhin aus?

Antwort BayLDA: Entsprechend Art. 5 Abs. 3 der RL 2002/58/EG (E-Privacy-Richtlinie in der Fassung der sog. Cookie-Richtlinie 2009/136/EG) sind grundsätzlich alle Cookies einwilligungspflichtig, sofern sie nicht technisch notwendig sind. Bis zur Umsetzung dieser Vorgaben durch den Bundesgesetzgeber erkennen die deutschen Aufsichtsbehörden nach der Orientierungshilfe für Anbieter von Telemedien DSK OH Telemedien, die Möglichkeit an, den Einsatz von Cookies auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f) DS-GVO zu stützen. Dieses berechtigte Interesse muss aber durch eine detaillierte Interessensabwägung dargelegt werden und ist im Regelfall bei Third-Party- Cookies, die dem Webtracking dienen, zu verneinen. Soweit das berechtigte Interesse von dem Verantwortlichen im Rahmen seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO belegt werden kann und über den Einsatz und die Funktionsweise technisch nicht notwendiger Cookies in der Datenschutzerklärung hinreicht informiert wird, wird das BayLDA auch bei Fehlen einer Einwilligung derzeit von aufsichtlichen Schritten absehen.

 
 
Device Index

Alle Ansprechpartner/innen auf einen Blick