Die Referenten, Mag Rosenkranz, DI Leitenmüller, Maga Wagner und Dr Trieb mit dem Veranstalter des 4. OÖ-Datenschutztags, Mag Greifeneder (vlnr)

Wachsende Zahl von DSGVO-Beschwerden

Am Donnerstag den 24.10.2019 fand der 4. OÖ-Datenschutztag in der Welser Villa Muthesius statt. Namhafte Datenschutzexperten referierten über aktuelle Entscheidungen und Herausforderungen bei der Umsetzung der Aufgaben und Pflichten der DSGVO für Unternehmen.

Die Zahl von Datenschutzverfahren stieg seit dem vergangenen Jahr stetig. Die Datenschutzbehörde beschäftigen im laufenden Jahr noch mehr als 500 Verfahren aus 2018. Bis 1. Oktober 2019 kamen fast 1.400 neue Beschwerden und Eingaben dazu.

“In Österreich gilt zwar das Motto „Verwarnen statt strafen. Die Aufsichtsbehörden verschärfen aber bereits europaweit ihre Gangart. Somit sind hohe 6-stellige Bußgelder auch in Österreich nur noch eine Frage der Zeit”, sieht Veranstalter Horst Greifeneder ein Ende einer etwaigen DSGVO-Schonfrist nahen.

Vortragende und Themen beim Datenschutztag

RA Dr. Gerald Trieb, Partner bei der renommierten Datenschutzkanzlei Knyrim Trieb aus Wien, berichtete über gesetzliche Herausforderungen bei der betrieblichen Umsetzung der DSGVO. Unter anderem unterstrich er, dass “abstrakte Möglichkeiten einer etwaigen rechtlichen Inanspruchnahme des Verantwortlichen nicht ausreichend seien, die gesetzlich normierte Löschpflicht zu ignorieren”. Der namhafte Datenschutzexperte widmete sich Haftungsrisiken und sinnvollen Abwehrmaßnahmen zur Reduktion des Schadenersatzrisikos. Gerade in Verfahren mit einem hohen Bußgeldrisiko vor der Datenschutzbehörde seien “das eigene Vorbringen und eine vollständige Dokumentation der Verarbeitungstätigkeiten und Entscheidungen” besonders wichtig für einen positiven Ausgang.

Mag. Wolfgang Rosenkranz, Kuratorium Sicheres Österreich, sprach über aktuelle Bedrohungen der Datensicherheit und erörterte die Ergebnisse einer Studie zum Thema Datensicherheit in Österreich gemeinsam mit dem Publikum. Verantwortliche hätten sich in der Vergangenheit “viel zu wenig mit der Materie beschäftigt und vielen fehlte das Bewußtsein für Datensicherheit”. Ausführlich erörterte er die Parallelen des Datenschutzes mit dem Netz- und Informationssystemsicherheitsgesetz (NIS) und den damit verbundenen Aufgaben und Pflichten für die Betreiber wesentlicher Dienste wie die Gesundheitsversorgung, der Zahlungsverkehr, die Versorgung mit Strom und Trinkwasser sowie der öffentliche Verkehr.

MMag. Elisabeth Wagner von der Datenschutzbehörde zeichnete ein Insiderbild der nationalen und internationalen Arbeit der österreichischen Aufsichtsbehörde. Die Leiterin des Büros für die Koordination im Europäischen Datenschutzausschuss gewährte einen Einblick in den bisherigen Bußgeldkatalog der Behörde und veranschaulichte die Arbeitsweise der europäischen Aufsichtsbehörden bei einem One Stop Shop-Verfahren. Besonders interessant: Informationen zu unveröffentlichten Entscheidungen der Datenschutzbehörde bei Beschwerde- und Meldeverfahren in den letzten 18 Monaten und Details zur höchsten in Österreich verhängten Bußgeldstrafe von 50.000 Euro.

Harald Leitenmüller, Chief Technology Officer von Microsoft Österreich, sprach über Innovationsaspekte und Herausforderungen des Datenschutzes bei Cloud Computing aus Sicht des Weltmarktführers. “Cloud Computing ist ein Set von Konzepten und benötigt personenbezogene Daten”, unterstrich der Microsoft-Cheftechnologe. Dabei sei in der Umsetzung der DSGVO-Anforderungen “Transparenz eine der größten Herausforderungen”. Leitenmüller verweis in diesem Zusammenhang auf Microsoft-eigene DSGVO-Dienstleistungen wie das Datenschutz-Dashboard oder das Service Trust Portal mit zahlreichen GDPR Blueprints für die Verarbeitung von personenbezogenen Daten.

Aussteller beim Datenschutztag

Begleitet wurde die Veranstaltung von einer frei zugänglichen Ausstellung. Hier präsentierten unter anderem das Welser Datenschutz-Start-Up DataReporter ein praxiserprobtes Datenschutz Management Tool zur automatischen Erstellung von Cookie-Informationen und Datenschutzerklärungen für Websites. Und die CSC Consulting GmbH zeigte eine eLearning-Lösung zur kostengünstigen Sensibiliserung und Schulung von Mitarbeiterinnen und Mitarbeitern beim Datenschutz.

„Der vierte OÖ-Datenschutztag widmete sich nach fast 18 Monaten DSGVO ganz den Erfahrungen in der Praxis. Die anwesenden Datenschutz-Experten erörterten im Dialog mit den Teilnehmerinnen und Teilnehmern zahlreiche Entscheidungen und Empfehlungen zur rechtskonformen Verarbeitung von personenbezogenen Daten“, zeigte sich Veranstalter Horst Greifeneder vom Welser Büro für Datenschutz & Datensicherheit zufrieden mit dem Verlauf des OÖ-Datenschutztages.

Nach einer Entscheidung des Europäischen Gerichtshofs (EuGH) müssen Internetnutzer der Speicherung von Tracking-Cookies auf ihren Endgeräten aktiv zustimmen. Demnach ist die voreingestellte Zustimmung (Opt-Out-Lösung) zum Speichern der Daten unzulässig. Damit setzt der EuGH seine bisherige Spruchpraxis bei der Verwendung von Cookies fort und unterstreicht einmal mehr die Notwendigkeit einer aktiven Einwilligung seitens des Benutzers bei der Nutzung von Cookies.

Mitverantwortung des Webseiten-Betreibers

Schon im Juli 2018 hatte der EuGH festgestellt, dass Tracking Cookies ohne ausdrückliche Zustimmung des Benutzers nicht mehr erlaubt sind. Außerdem seinen Website-Betreiber auch für die Datenübertragung des Facebook Like Buttons mitverantwortlich.

Unternehmen, welche eine Internetseite betreiben und dabei Elemente mit Tracking-Cookies wie den “Gefällt mir”-Button von Facebook verwenden und dabei bereits beim Aufruf der Seite personenbezogene Daten wie die IP-Adresse des Nutzers an Facebook übertragen, sind neben Facebook für die Einhaltung von datenschutzrechtlichen Regelungen mitverantwortlich.

Die Mitverantwortung ergibt sich auch beim Einsatz von Webanalyse-Tools oder anderer sozialer Medien, wie Google-Analytics oder Twitter- bzw XING- Buttons auf der eigenen Website.

Voreingestellte Zustimmung ist rechtswidrig

In der aktuellen Entscheidung hat der EuGH festgestellt, dass die ausdrückliche Zustimmung des Benutzers zur Verwendung von Tracking-Cookies nicht über eine voreingestellte Einwilligung per Check-Box zu erlangen ist.

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.

Zugleich stellten die Richter klar, dass Nutzer die Einwilligung in das Setzen von Cookies für den konkreten Fall erteilt werden muss. Zudem müssten Website-Betreiber gegenüber dem Benutzer bei der Erhebung der Daten alle Informationen, die sich auf die Verarbeitung beziehen, zB Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter durch die Cookies, erteilen. Empfehlenswert ist in diesem Zusammenhang eine Überprüfung der Datenschutzerklärungen und Cookie-Hinweise.

Einsatz von Funktions-Cookies

Der Einsatz von sogenannten Funktions-Cookies, zB Cookies, welche für den zweckgemäßen Betrieb der Website erforderlich sind, ist nach Meinung von Experten weiterhin auch ohne Einwilligung möglich.

Eine diesbezügliche Regelung findet sich im österreichischen Telekommunikationsgesetz (TKG) im § 96 (3).

Demzufolge ist eine technische Speicherung oder der Zugang von personenbezogenen Daten auch ohne Einwilligung rechtmäßig, “wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Endgültige Klärung in Hinblick auf die Rechtmäßigkeit des Einsatz von Cookies wird wohl erst die noch ausstehende ePrivacy-Verordnung bringen.

Quelle:

PRESSEMITTEILUNG Nr. 125/19, https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf

Anmerkungen

  • Klärung der bestehenden rechtsgültigen Vereinbarungen zwischen dem Diensteanbieter und dem Betreiber der Website zur Klärung der Mitverantwortung beim Einsatz von Tracking-Cookies;
  • Gegebenenfalls, Änderung bestehender Hinweislösungen auf den Einsatz von Cookies bzw Opt-Out-Lösungen;
  • Kontrolle der Datenschutzerklärungen und Cookie-Hinweise in Hinblick auf die Erfüllung der Informationspflichten bei der Erhebung von personenbezogenen Daten;
  • Diese Entscheidung des EuGH bindet in gleicher Weise andere
    nationale Gerichte, die mit einem ähnlichen Problem befasst werden, dh sie gilt auch für Österreich;

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Nichtachtung von Betroffenenrechten

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren.

Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst.

In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Betroffenenrechte in der DS-GVO

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Strukturelle Organisationsprobleme für Bußgeld ausschlaggebend

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Quelle: Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (19.09.2019)

Anmerkungen

  • Derzeit höchstes Bußgeld in Deutschland;
  • Geahndet wurden von der Berliner Datenschutzbeauftragten vor allem die Missachtung von Betroffenenrechten wie das Auskunfts-, Löschrecht sowie das Recht auf Widerspruchs; Im konkreten Fall reichten knapp über 20 Beschwerden von Betroffenen für die Verhängung der hohen Geldbuße;
  • Die personenbezogenen Daten von jahrelang inaktiven betroffenen Personen, zB ehemalige Kunden sind zu löschen. Im konkreten Fall waren mehr als 10 (zehn) Jahre zu lange. Der häufig anzutreffende Praxis, dass personenbezogene Daten weit über gesetzliche Aufbewahrungsfristen hinaus gespeichert werden, stellt somit einen bußgeldbewehrten Datenschutzverstoß dar;
  • Bei Widerspruch gegen unerwünschte Werbemails stellt die weitere Zusendung von Werbe-E-Mails einen Datenschutzverstoß dar;
  • Das Anführen von technischen Fehlern bzw. Mitarbeiterversehen ist keine ausreichende Begründung des Verantwortlichen für die Nichtachtung von Betroffenenrechten;

Microsoft Office hat sich über Jahrzehnte hinweg als Standardanwendung für Bürotätigkeiten etabliert und eine Verzicht auf den Einsatz der Microsoft-Programme ist für viele Unternehmen einfach undenkbar.

Aus Datenschutzsicht ist der Einsatz der cloud-basierten Büroanwendungen Office 365 jedoch nicht unbedenklich. Zum einen wird vermutet, dass US-Geheimdienste Zugriff auf Anwenderdaten auch in der Europäischen Union haben. Zum anderen können zB Office-365-Administratoren exakt sehen, welche Aktionen einzelne Anwender in ihren E-Mail-Konto ausführten.

Microsoft Office 365 ist eine Kombination bestehend aus einem Online-Dienst, einer Office-Webanwendung und einem Office-Software-Abonnement. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint, Access und Publisher, sowie der Cloud-Speicher-Dienst OneDrive. Microsoft bietet Office 365 in mehreren Tarifen und Editionen an, wobei die Varianten für Non-Profit-Organisationen und Behörden jenen der Business-Essentials-, Business-Premium- und der Enterprise-Varianten entsprechen:

Datenschutz-Folgenabschätzung für Office 365

Das Niederländische Ministerium für Justiz und Sicherheit gab zum Einsatz von Office 365 eine Datenschutz-Folgenabschätzung in Auftrag. Darin stellte das beauftragte Unternehmen Ende 2018 fest, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden könne.

Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft. [1]

Nach erneuten Verhandlungen hat das Niederländische Ministerium nun eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet.

Die neuerliche Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version 1905 hingegen kam zu dem Ergebnis, dass dessen Einsatz in Hinblick auf die im konkrten Einzelfall zwischenzeitlich getroffenen Maßnahmen zur Minimierung des hohen Datenschutzrisikos wohl zulässig sein wird.

Quelle:

[1] Datenschutz & Office 365: DSGVO-konformer Einsatz im Unternehmen?
https://www.datenschutzbeauftragter-info.de/datenschutz-office-365-dsgvo-konformer-einsatz-im-unternehmen/

Aktualisierte Version der Datenschutz-Folgenabschätzung für Office 365 ProPlus; https://www.government.nl/documents/publications/2019/07/22/dpia-office-365-proplus-version-1905

Anmerkungen

  • Der standardmäßige Einsatz von Office 365 Installationen im Unternehmen ist aus datenschutzrechtlicher Sicht mit hoher Wahrscheinlichkeit unzulässig;
  • Ein datenschutzkonformer Einsatz von einer Office 365 Installation im Unternehmen ist im Einzelfall immer abhängig von den – nach einer Datenschutz-Folgenabschätzung – getroffenen Maßnahmen zur Reduktion des Datenschutzrisikos;
  • Empfehlungen für den DSGVO-konformen Betrieb einer Office 365 Installation sind den oa Quellen zu entnehmen;
  • Die mobilen Anwendungen und Web-Zugänge für Office werden als datenschutzrechtlich unzulässig erachtet.

Einem Bericht der Recherche-Plattform addendum zu Folge, hat das LG Feldkirch die österreichische Post AG zu einem immateriellen Schadenersatz von 800 Euro (nicht rechtskräftig) verurteilt.

Die Post AG hatte als Datenhändler sogenannte Parteiaffinitäten von Millionen Kunden berechnet und gespeichert. Das heißt, bestehende Kundendaten wurden mit Präferenzen zu einer möglichen Parteinähe erweitert und zB an wahlwerbende Parteien verkauft. Als die Datenschutzbehörde feststellte, dass die Post diese sensiblen Daten nicht hätte speichern und schon gar nicht verkaufen dürfen, kündigte das Unternehmen an, sensible Daten zur politischen Meinung aus ihren Datensätzen zu löschen.

Da die Post weiterhin bestritt, dass es sich bei den Parteiaffinitäten um sogenannte sensible, also besonders zu schützende, Daten handle, klagte ein Vorarlberger Anwalt die Post im März auf immateriellen Schadenersatz über 2.500 Euro.

Anfang Juli wurde der Fall am Landesgericht Feldkirch verhandelt. Das nun ergangene Urteil ist folgenschwer: denn der Betroffene bekam mit seiner Klage recht. Ihm wurden 800 Euro immaterieller Schadensersatz vom Gericht zuerkannt.

Die Begründung im Urteil lautet wie folgt:

„Die Tatsache, dass die beklagte Partei (Anm.: die Post) Parteiaffinitäten des Klägers ohne dessen Einwilligung und Information ermittelt und gespeichert hat, rechtfertigt einen immateriellen Schadenersatz. In Anbetracht der Tatsache, dass es sich einerseits bei der politischen Meinung einer Person um besonders schützenswerte und sensible Daten handelt, andererseits die von der beklagten Partei gespeicherten Parteiaffinitäten des Klägers feststellungsmäßig nicht an Dritte übermittelt wurden, erscheint ein Betrag in Höhe von EUR 800,– zur Abgeltung des vom Kläger erlittenen immateriellen Ungemachs angemessen.“

Sowohl der klagende Anwalt als auch die Post werden gegen das Urteil Berufung einlegen (das rechtskräftige Urteil wird dann für Anfang 2020 erwartet).

Quelle: https://www.addendum.org/datenhandel/schadenersatz/

Anmerkungen

  • Das Gericht hat klar festgelegt, dass die gespeicherten zur personenbezogenen Parteiaffinität unter die besonderen Kategorien personenbezogener Daten fallen;
  • Das Urteil bestätigt nicht nur, dass die Post als Verantwortliche die personenbezogenen Daten ohne dessen Einwilligung und Information nicht hätte verarbeiten dürfen, sondern spricht dem Betroffenen auch einen immateriellen Schadenersatz zu;
  • Dieser Schadenersatz würde aber – geht man von der Argumentation des Gerichts aus – auch allen anderen Betroffenen zustehen, welcher durchaus noch höher ausfallen könnte, wenn die sensiblen Daten auch noch weiterverkauft worden wären;
  • Im Klartext, bei der nicht rechtmäßigen Verarbeitung von personenbezogenen Daten, vor allem bei besonderen Kategorien personenbezogener Daten, besteht ein immaterieller Schadenersatzanspruch der betroffenen Personen. Bei 2.2 Mio betroffenen Personen kommt dabei ein ganz schönes Sümmchen zusammen;
  • Als Konsequenz für Verantwortliche empfiehlt es sich, vor allem jene Verarbeitungstätigkeiten bei denen (besondere Kategorien) von personenbezogenen Daten einer großen Zahl von betroffenen Personen verarbeitet werden, einer sorgfältigen Prüfung in Hinblick die Rechtmäßigkeit der Verarbeitung zu unterziehen.

Im Zuge von Auskunftsbegehren nach Art 15 DSGVO kommt der eindeutigen Identifikation der betroffenen Person eine zentrale Bedeutung zu. Die Feststellung der Personalien dient zur Abwehr von missbräuchlichen Auskunftsbegehren und soll gewährleisten, dass Auskünfte nur an befugte Personen erteilt werden.

Identifikation bei begründetem Zweifel

Hat der Verantwortliche begründete Zweifel an der Identität der anfragenden Person, so können zur eindeutigen Identifikation der betroffenen Person weitere Informationen angefordert werden. Eine Überprüfung der Identität wird in der Regel nicht erforderlich sein, wenn die Anfrage von einer der betroffenen Person zugeordneten Anschrift oder E-Mail-Adresse kommt.

Mittel zur Identifikation

Wenn Zweifel an der Identität des Antragstellers vorliegen, stellt sich die Frage, welche zusätzlichen Informationen zur Identifizierung angefordert werden können.

Mögliche Verfahren zur Identifikation sind ua die telefonische Abfrage von personenbezogenen Daten wie Geburtsdatum, Mobilfunknummer, Datum und Höhe der letzten Bestellung. Die Vereinbarung einer Sicherheitsabfrage oder die Verwendung einer bereits bekannten postalischen Adresse wie der Rechnungsanschrift kann der Identifizierung dienen. Die Auswahl der Mittel zur Identifizierung des Antragstellers wird wohl auch von der Art der verarbeiteten Daten abhängig sein.

Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten einen Antragsteller nicht identifizieren, so sollte er nicht verpflichtet sein, zusätzliche Daten einzuholen. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person angeboten werden. Die Überprüfung sollte auch digitale Authentifizierungsverfahren bei dem von dem Verantwortlichen bereitgestellten Online-Dienst einschließen.

Ausweiskopien zur Identifikation

Die Erforderlichkeit von Ausweiskopien, vor allem Kopie von Personalausweis oder Pass, bedarf gesonderter Prüfung und in der Regel der Einwilligung des Betroffenen. Gegebenenfalls genügt bereits die Vorlage des Ausweises und ein entsprechender Vermerk. Nach deutscher Rechtslage ist eine etwaige Ablichtung (auch Scan) des Ausweises eindeutig und dauerhaft als Kopie zu kennzeichnen. Die Ausweiskopie darf vom Verantwortlichen nicht an Dritte weiter gegeben werden und ist nach Überprüfung der Daten bzw erfolgter Identifikation zu vernichten. Der Betroffene ist darauf hinzuweisen, dass für die Identifikation nicht benötigte Informationen geschwärzt werden können.

Anmerkung: Aus persönlicher Sicht halte ich die Anforderung von Ausweiskopien zur Identitätsfeststellung für problematisch. In der Regel stellt dies eine zusätzliche Datenerhebung statt, wobei rechtlich unklar ist, ob neben der Einwilligung des Betroffenen auch andere Erlaubnistatbestände für die Verarbeitung der Ausweisdaten herangezogen werden können. In Hinblick auf bestehende alternative Möglichkeiten zur Identitätsfeststellung könnte bei der Verarbeitung der Ausweisdaten möglicherweise auch ein Verstoß gegen den Grundsatz auf Datenminimierung vorliegen.

Keine Identifizierung bei Negativauskünften

Bei reinen Negativauskünften ( dh keine personenbezogenen Daten zu möglichen Identitäten gespeichert) ist eine Identifizierung nicht erforderlich.

Keine Auskunft bei fehlender Identifizierung

Kann der Verantwortliche die betroffene Person nicht identifizieren, dann kann er sich weigern, das Auskunftsbegehren zu erfüllen.

Zur Vorgeschichte der GPS-Ortung. Die Niedersächsische Datenschutzaufsichtsbehörde hatte ein Bußgeld gegenüber einer Reinigungsfirma erlassen, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Die Überwachung war nach den Auffassungen der Aufsichtsbehörde eine nicht erforderliche Verarbeitung von Beschäftigtendaten. Die Firma erhob daraufhin eine Anfechtungsklage beim zuständigen Verwaltungsgericht.

Zweck der GPS-Ortung

Die Reinigungsfirma gab in der Anfechtungsklage an, dass die GPS-Ortung dazu dienen würde, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden. Außerdem werde damit ein Wochenendfahrtverbot und das Verbot der Privatnutzung durchgesetzt. Die GPS-Ortung sei dafür erforderlich, da kein milderes, gleich wirksames Mittel verfügbar sei..

Das Gericht prüfte daraufhin zwei Erlaubnistatbestände bei Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Zum einen, ob die Verarbeitung erforderlich zur Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses ist, zum anderen, ob die Beschäftigten in die Verarbeitung eingewilligt hatten.

Erforderlichkeit der GPS-Ortung

Die im Rahmen der Anfechtungsklage von der Reinigungsfirma angeführten Begründungen für die Erforderlichkeit der GPS-Überwachung der Firmenfahrzeuge wurden vom Gericht allesamt abgewiesen.

Das Gericht stellte in seinem Urteil fest, dass die Verarbeitung von Positionsdaten der Beschäftigten im Rahmen der ordnungsgemäßen betrieblichen Nutzung der Firmenfahrzeuge durch das von der Klägerin eingerichtete Ortungssystem nicht im Einklang mit dem nach deutschen Datenschutzrecht zu gewährleistenden Beschäftigtendatenschutz steht.

Einwilligung der Beschäftigten

Die Reinigungsfirma legte im Rechtsstreit zwar einige „Einwilligungserklärungen“ der Beschäftigten vor. Die meisten davon erfüllten jedoch nicht die datenschutzrechtlichen Voraussetzungen für eine wirksame Einwilligung im Beschäftigtenverhältnis. Diese Erklärungen erfüllten entweder nicht die notwendigen Informationspflichten oder es fehlte die Belehrung über das Widerrufsrecht der Betroffenen. Die Klägerin konnte demnach die Verarbeitung auch nicht auf eine Einwilligung stützen.

Anmerkungen

  • Das Urteil bezieht sich in Hinblick auf den Beschäftigtendatenschutz auf die deutsche Rechtslage nach dem BDSG, welche, im Gegensatz zum österreichischen DSG, explizite Regelungen für den Schutz von personenbezogenen Daten von Beschäftigten enthält. Somit wäre in Österreich eine Prüfung der Rechtmäßigkeit der GPS-Ortung nach der DSGVO erforderlich.
  • Die Entscheidung verdeutlicht, dass es, in Hinblick auf die Rechtmäßigkeit einer GPS-Überwachung, nicht nur auf die Verarbeitung an sich ankommt, sondern ganz entscheidend auch auf den Zweck und die Umstände der jeweiligen Verarbeitung. Die im Urteil angeführten Entscheidungsgründe bilden somit einen praxisgerechten Kriterienkatalog für Unternehmen, die ihre Fahrzeugflotte mittels GPS orten wollen.
  • Grundsätzlich ist es unbedingt empfehlenswert, die Zulässigkeit der GPS-Überwachung von Firmenfahrzeugen immer im Einzelfall zu prüfen.

Quelle:

Ein im April 2019 bekannt gewordenes arbeitsgerichtliches Urteil aus Deutschland liefert Anlass sich genauer mit dem Recht auf Auskunft für betroffenen Personen auseinanderzusetzen.

Das LAG Baden-Württemberg hat einen namhaften deutschen Automobilkonzern verurteilt, einem langjährigen Mitarbeiter „eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der vom Arbeitgeber vorgenommenen Verarbeitung sind, zur Verfügung zu stellen.“

Recht auf Kopie

Das Recht auf Kopie ist Bestandteil des Auskunftsrechts nach Art. 15 DSGVO und ergänzt dieses mit der eine Verpflichtung des Datenverarbeiters, dem Betroffenen „eine Kopie der personenbezogenen Daten“, zur Verfügung zu stellen, „die Gegenstand der Verarbeitung sind“.

Das Recht auf eine Kopie lässt sich so verstehen, dass dem Betroffenen jede E-Mail in Kopie herauszugeben ist, die er je geschrieben oder empfangen hat. Jedes Dokument, jede Notiz und jeder Vermerk, in dem der Betroffene namentlich erwähnt wird, wäre davon umfasst. Selbst wenn der Betroffene in einer Mail weder namentlich noch als Absender oder Empfänger in Erscheinung tritt, kann sich die Mail auf seine Person beziehen, wenn die Mail sich zu Vorgängen verhält, an denen der Betroffene beteiligt war.

Die im Urteil angeführten “Leistungs- und Verhaltensdaten“ sind schwammige Begriffe und erreichen im Rahmen eines Beschäftigungsverhältnisses schnell einmal umfangreiche Ausmaße. In Akten und E-Mails, in Vermerken und Protokollen werden sich zahlreiche personenbezogene Daten zu einem Beschäftigten finden, die sich als „Leistungsdaten“ oder „Verhaltensdaten“ bezeichnen lassen.

Anmerkungen

  • Das Recht auf Auskunft in Verbindung mit dem Recht auf Kopie kann sich in arbeitsrechtlichen Auseinandersetzungen mit Arbeitnehmern zum wahren Albtraum für jeden Verantwortlichen entwickeln. Zu befürchten ist etwa, dass Prozessbeteiligte die DSGVO demnächst trickreich nutzen werden, um Druck auf Arbeitgeber in Hinblick auf einen günstigen Prozessausgang auszuüben;
  • Das Gericht hat im Urteil recht ausführlich erwogen, ob sich wegen überwiegender Geheimhaltungsinteressen des Arbeitgebers möglicherweise Einschränkungen des Rechts auf Kopie ergeben können, dies jedoch im konkreten Fall verneint, da es an hinreichend konkretem Sachvortrag zu diesen Geheimhaltungsinteressen fehlte. Auch § 4 DSG schränkt das Auskunftsrecht ein, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.
  • Nicht befasst hat sich das Gericht mit Zumutbarkeitsgrenzen beim Recht auf Kopie. Vieles spricht nach Meinung deutscher Datenschutzexperten dafür, Zumutbarkeitsregelungen bei der Informationspflicht analog auf das Recht auf Kopie anzuwenden. Dies würde zwar das Recht auf Kopie nicht vollständig ausschließen, ermöglicht jedoch in jedem Einzelfall eine Abwägung zwischen dem Aufwand, den ein Ersuchen für den Verantwortlichen bedeutet, und dem Nutzen, den der Betroffene aus den Kopien ziehen kann.

Die Datenschutzbehörde hat nach einem amtswegigen Prüfverfahren wegen Verletzungen von Pflichten nach der DSGVO einen rechtskräftigen Bescheid erstellt, der interessante Einblicke in die Vorgehensweise bei aufsichtsbehördlichen Ermittlungen gibt.

Ausgangspunkt des Verfahrens war die Meldung einer Datensicherheitsverletzung durch den im Gesundheitsbereich tätigen Verantwortlichen bei der Datenschutzbehörde.

Ermittlungsschwerpunkte

Die Behörde nahm die Meldung zum Anlass, vom Verantwortlichen nachfolgende Informationen bzw Unterlagen einzufordern:

  • das Verzeichnis der Verarbeitungstätigkeiten;
  • die an die Betroffenen auszuhändigenden Datenschutzerklärungen;
  • Bekanntgabe, ob bzw. unter welchen Umständen Daten nicht direkt bei der betroffenen Person ermittelt werden;
  • die Gründe zu nennen, warum kein Datenschutzbeauftragter benannt wurde;
  • die von der Verantwortlichen durchgeführten Datenschutz-Folgenabschätzungen (DSFA), oder die Gründe bekannt zu geben, warum DSFA aus Sicht der Verantwortlichen unterbleiben durfte(n);
  • die Gründe zu nennen, warum (auf der Website des Verantwortlichen) ein Hinweis auf Cookies unterbleiben dürfte bzw. ein Opt-Out nicht vorzusehen war;
  • soweit keine DSFA vorzunehmen war, bekannt zu geben, welche Datensicherheitsmaßnahmen bestehen und welche Datenminimierungsmaßnahmen ergriffen wurden bzw. werden;
  • soweit sich dies nicht aus dem Verzeichnis ergibt, die Speicherdauer der Daten bekannt zu geben und mitzuteilen, ob eine Speicherung in Cloud-Diensten oder auf Servern im EWR oder in Drittländern stattfindet;
  • Auftragsverarbeiter und Übermittlungsempfänger bekannt zu geben;
  • die gemäß § 30 Abs. 3 DSG und die gemäß § 9 Verwaltungsstrafgesetz 1991 (VStG) bestellte Person bekannt zu geben.

Gegenstand der Datenschutzüberprüfung war, ob bzw. inwiefern die Verpflichtungen der DSGVO durch die Verantwortliche eingehalten werden. Der Maßstab der Prüfung bezog sich auf die von der Behörde vermuteten Datenschutzverletzungen und auf die Tatsachen, die durch die Überprüfung hervorkamen.

Bei der Überprüfung nutzte die Behörde ua mehrere Ermittlungsansätze ua “wurden (Beweise) aufgenommen durch die Eingaben der Verantwortlichen samt Beilagen sowie aufgrund des Amtswissens der Behörde und amtswegigen Recherchen auf der Webseite (sic!) der Verantwortlichen.

Im Ergebnis wurde dem Verantwortlichen aufgetragen, die beanstandeten Pflichtverletzungen innerhalb einer achtwöchigen Frist bei sonstiger Exekution zu beheben.

Quelle: GZ: DSB-D213.692/0001-DSB/2018 vom 16.11.2018

Anmerkungen

  • Im konkreten Fall hat die Behörde das Prüfverfahren vor allem deshalb eingeleitet, weil “in den Meldungen der Verletzung der Datensicherheit jeweils lediglich ein „Datenschutz-Koordinator“ benannt wurde”. Das könnte ein Hinweis darauf sein, dass die Behörde, die immer wieder geübte Praxis, anstelle eines Datenschutzbeauftragten einen Datenschutz-Koordinator zu benennen, durchaus kritisch sieht und zum Anlass nimmt, ein Prüfverfahren einzuleiten.
  • Im Zuge des Prüfverfahren stellte die Behörde zudem fest, dass der Verantwortliche mit einem eingesetzten Online-Formular betroffene Personen zu einer gesetzwidrigen Einwilligung verpflichtete.
  • Ein Verweis auf Cookies auf der Impressum-Seite, ein Hinweis-Text zum Datenschutz und ein Cookie-Hinweis-Banner auf der Startseite von der Behörde bei der Verwendung von Cookies auf der Website als ausreichend angesehen wird.
  • Die Erfüllung der Nachweis- und Rechenschaftspflichten des Verantwortlichen überprüfte die Behörde durch das Verlangen auf Vorlage nachfolgender Dokumentationen: Verarbeitungsverzeichnis, Datenschutzerklärungen, Dokumentation der Datensicherheitsmaßnahmen, Datenschutzfolgenabschätzungen und Auftragsverarbeitungen.
  • Die gesetzte Frist von 8 Wochen zur Beseitigung der beanstandeten Pflichtverletzungen ist ambitioniert.

Was tun bei einem Datenschutzvorfall?

Bei einem Hinweis auf eine mögliche Datenschutzverletzung ist der Vorfall unverzüglich zu dokumentieren und bei einem Risiko für die Rechte und Freiheiten von Personen der Datenschutzbehörde zu melden.

Als Unterstützung für die Dokumentation stellen wir Ihnen gerne unser Tool zur Meldung einer Datensicherheitsverletzung zur Verfügung.

Die irische Datenschutzbehörde (DPC Irland) hat in ihrem kürzlich veröffentlichten Jahresbericht einen Einblick über die Meldungen einer Datenschutzverletzung gegebenen.

Interessant ist nicht nur die – im Berichtszeitraum (05 – 12.2018) – deutlich gestiegene Anzahl von Meldungen (3.687, +27% im Vergleich zu 2017), sondern auch die im Bericht vorgenommenen Klassifikation der Arten von gemeldeten Datenschutzverletzungen.

Arten von Datenschutzverletzungen

Erstaunliche 85 Prozent der Datenschutzverletzungen erfolgten durch die Offenlegung von personenbezogenen Daten an nicht autorisierte Empfänger.

Weitere meldepflichtige Datenschutzverletzungen erfolgten durch

  • Verlust von nicht-verschlüsselten Datenträgern, zB USB-Sticks
  • Verlust oder Diebstahl bzw der unsachgemäßen Entsorgung von Papierdokumenten
  • Datenschutzverletzungen in der Folge von erfolgreichen Hacking-Angriffen oder Phishing Mails

Meldepflicht bei Datenschutzverletzung

Artikel 33 DSGVO sieht bei Verletzung des Schutzes personenbezogener Daten eine Meldepflicht für den Verantwortlichen vor. Die Meldung hat möglichst binnen 72 Stunden, nach Bekanntwerden, bei der Aufsichtsbehörde zu erfolgen. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Die Meldung an die Aufsichtsbehörde hat gesetzlich festgelegte Mindestinformationen zu enthalten. Falls nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche die Informationen ohne unangemessene weitere Verzögerung der Aufsichtsbehörde schrittweise zur Verfügung stellen.

Dokumentationspflicht bei Datenschutzverletzung

Darüber hinaus ist der Verantwortliche stets verpflichtet, alle aufgetretenen Datenschutzverletzungen einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffener Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation ist der Aufsichtsbehörde, nach Aufforderung, zugänglich zu machen.

Schulung und internes Meldeverfahren

Zentrale Bedeutung bei der Erfüllung der Meldepflichten bei Datenschutzverletzungen ist die Schulung und Sensibilisierung der mit personenbezogenen Daten befassten Mitarbeiter. Der Verantwortliche ist gut beraten, die Mitarbeiter für die Erkennung von möglichen Datenschutzverletzungen zu schulen und ein Verfahren zur internen Meldung eines entsprechenden Vorfalls vorzusehen.

Zur internen Erhebung und Dokumentation von Infomationen zu einer etwaigen Datenschutzverletzung steht Ihnen unser Datenschutz-Tool “Meldung einer Datenschutzverletzung” zur Verfügung.

Risikoabwägung und Schadensabwehr

In der Folge hat durch den Verantwortlichen, nach Möglichkeit, in Abstimmung mit dem Datenschutzbeauftragten unverzüglich eine dreistufige Risikoabwägung (kein Risiko, Risiko oder Hohes Risiko) hinsichtlich der Auswirkungen des Vorfalls auf die Rechte und Freiheiten natürlicher Personen durchzuführen und dessen Ergebnis schriftlich festzuhalten. Zusätzlich sind alle auf den Vorfall bezogenen Fakten und ergriffenen Abwehrmaßnahmen zu dokumentieren.

Meldung bei der Aufsichtsbehörde

Bei einem bestehenden Risiko für die Rechte und Freiheiten der betroffenen Person hat der Verantwortliche, binnen 72 Stunden, die Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden. In Österreich erfolgt die Meldung an die Datenschutzbehörde, welche dafür auf ihrer Website ein entsprechendes Formular zur Verfügung stellt.

Links