GPS-Ortung von Firmenfahrzeugen unzulässig

Zur Vorgeschichte der GPS-Ortung. Die Niedersächsische Datenschutzaufsichtsbehörde hatte ein Bußgeld gegenüber einer Reinigungsfirma erlassen, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Die Überwachung war nach den Auffassungen der Aufsichtsbehörde eine nicht erforderliche Verarbeitung von Beschäftigtendaten. Die Firma erhob daraufhin eine Anfechtungsklage beim zuständigen Verwaltungsgericht.

Zweck der GPS-Ortung

Die Reinigungsfirma gab in der Anfechtungsklage an, dass die GPS-Ortung dazu dienen würde, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden. Außerdem werde damit ein Wochenendfahrtverbot und das Verbot der Privatnutzung durchgesetzt. Die GPS-Ortung sei dafür erforderlich, da kein milderes, gleich wirksames Mittel verfügbar sei..

Das Gericht prüfte daraufhin zwei Erlaubnistatbestände bei Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Zum einen, ob die Verarbeitung erforderlich zur Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses ist, zum anderen, ob die Beschäftigten in die Verarbeitung eingewilligt hatten.

Erforderlichkeit der GPS-Ortung

Die im Rahmen der Anfechtungsklage von der Reinigungsfirma angeführten Begründungen für die Erforderlichkeit der GPS-Überwachung der Firmenfahrzeuge wurden vom Gericht allesamt abgewiesen.

Das Gericht stellte in seinem Urteil fest, dass die Verarbeitung von Positionsdaten der Beschäftigten im Rahmen der ordnungsgemäßen betrieblichen Nutzung der Firmenfahrzeuge durch das von der Klägerin eingerichtete Ortungssystem nicht im Einklang mit dem nach deutschen Datenschutzrecht zu gewährleistenden Beschäftigtendatenschutz steht.

Einwilligung der Beschäftigten

Die Reinigungsfirma legte im Rechtsstreit zwar einige „Einwilligungserklärungen“ der Beschäftigten vor. Die meisten davon erfüllten jedoch nicht die datenschutzrechtlichen Voraussetzungen für eine wirksame Einwilligung im Beschäftigtenverhältnis. Diese Erklärungen erfüllten entweder nicht die notwendigen Informationspflichten oder es fehlte die Belehrung über das Widerrufsrecht der Betroffenen. Die Klägerin konnte demnach die Verarbeitung auch nicht auf eine Einwilligung stützen.

Anmerkungen

  • Das Urteil bezieht sich in Hinblick auf den Beschäftigtendatenschutz auf die deutsche Rechtslage nach dem BDSG, welche, im Gegensatz zum österreichischen DSG, explizite Regelungen für den Schutz von personenbezogenen Daten von Beschäftigten enthält. Somit wäre in Österreich eine Prüfung der Rechtmäßigkeit der GPS-Ortung nach der DSGVO erforderlich.
  • Die Entscheidung verdeutlicht, dass es, in Hinblick auf die Rechtmäßigkeit einer GPS-Überwachung, nicht nur auf die Verarbeitung an sich ankommt, sondern ganz entscheidend auch auf den Zweck und die Umstände der jeweiligen Verarbeitung. Die im Urteil angeführten Entscheidungsgründe bilden somit einen praxisgerechten Kriterienkatalog für Unternehmen, die ihre Fahrzeugflotte mittels GPS orten wollen.
  • Grundsätzlich ist es unbedingt empfehlenswert, die Zulässigkeit der GPS-Überwachung von Firmenfahrzeugen immer im Einzelfall zu prüfen.

Quelle:

Recht auf Auskunft: Umfang der Kopie der Daten

Ein im April 2019 bekannt gewordenes arbeitsgerichtliches Urteil aus Deutschland liefert Anlass sich genauer mit dem Recht auf Auskunft für betroffenen Personen auseinanderzusetzen.

Das LAG Baden-Württemberg hat einen namhaften deutschen Automobilkonzern verurteilt, einem langjährigen Mitarbeiter „eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der vom Arbeitgeber vorgenommenen Verarbeitung sind, zur Verfügung zu stellen.“

Recht auf Kopie

Das Recht auf Kopie ist Bestandteil des Auskunftsrechts nach Art. 15 DSGVO und ergänzt dieses mit der eine Verpflichtung des Datenverarbeiters, dem Betroffenen „eine Kopie der personenbezogenen Daten“, zur Verfügung zu stellen, „die Gegenstand der Verarbeitung sind“.

Das Recht auf eine Kopie lässt sich so verstehen, dass dem Betroffenen jede E-Mail in Kopie herauszugeben ist, die er je geschrieben oder empfangen hat. Jedes Dokument, jede Notiz und jeder Vermerk, in dem der Betroffene namentlich erwähnt wird, wäre davon umfasst. Selbst wenn der Betroffene in einer Mail weder namentlich noch als Absender oder Empfänger in Erscheinung tritt, kann sich die Mail auf seine Person beziehen, wenn die Mail sich zu Vorgängen verhält, an denen der Betroffene beteiligt war.

Die im Urteil angeführten “Leistungs- und Verhaltensdaten“ sind schwammige Begriffe und erreichen im Rahmen eines Beschäftigungsverhältnisses schnell einmal umfangreiche Ausmaße. In Akten und E-Mails, in Vermerken und Protokollen werden sich zahlreiche personenbezogene Daten zu einem Beschäftigten finden, die sich als „Leistungsdaten“ oder „Verhaltensdaten“ bezeichnen lassen.

Anmerkungen

  • Das Recht auf Auskunft in Verbindung mit dem Recht auf Kopie kann sich in arbeitsrechtlichen Auseinandersetzungen mit Arbeitnehmern zum wahren Albtraum für jeden Verantwortlichen entwickeln. Zu befürchten ist etwa, dass Prozessbeteiligte die DSGVO demnächst trickreich nutzen werden, um Druck auf Arbeitgeber in Hinblick auf einen günstigen Prozessausgang auszuüben;
  • Das Gericht hat im Urteil recht ausführlich erwogen, ob sich wegen überwiegender Geheimhaltungsinteressen des Arbeitgebers möglicherweise Einschränkungen des Rechts auf Kopie ergeben können, dies jedoch im konkreten Fall verneint, da es an hinreichend konkretem Sachvortrag zu diesen Geheimhaltungsinteressen fehlte. Auch § 4 DSG schränkt das Auskunftsrecht ein, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.
  • Nicht befasst hat sich das Gericht mit Zumutbarkeitsgrenzen beim Recht auf Kopie. Vieles spricht nach Meinung deutscher Datenschutzexperten dafür, Zumutbarkeitsregelungen bei der Informationspflicht analog auf das Recht auf Kopie anzuwenden. Dies würde zwar das Recht auf Kopie nicht vollständig ausschließen, ermöglicht jedoch in jedem Einzelfall eine Abwägung zwischen dem Aufwand, den ein Ersuchen für den Verantwortlichen bedeutet, und dem Nutzen, den der Betroffene aus den Kopien ziehen kann.

Amtswegiges Prüfverfahren der Datenschutzbehörde

Die Datenschutzbehörde hat nach einem amtswegigen Prüfverfahren wegen Verletzungen von Pflichten nach der DSGVO einen rechtskräftigen Bescheid erstellt, der interessante Einblicke in die Vorgehensweise bei aufsichtsbehördlichen Ermittlungen gibt.

Ausgangspunkt des Verfahrens war die Meldung einer Datensicherheitsverletzung durch den im Gesundheitsbereich tätigen Verantwortlichen bei der Datenschutzbehörde.

Ermittlungsschwerpunkte

Die Behörde nahm die Meldung zum Anlass, vom Verantwortlichen nachfolgende Informationen bzw Unterlagen einzufordern:

  • das Verzeichnis der Verarbeitungstätigkeiten;
  • die an die Betroffenen auszuhändigenden Datenschutzerklärungen;
  • Bekanntgabe, ob bzw. unter welchen Umständen Daten nicht direkt bei der betroffenen Person ermittelt werden;
  • die Gründe zu nennen, warum kein Datenschutzbeauftragter benannt wurde;
  • die von der Verantwortlichen durchgeführten Datenschutz-Folgenabschätzungen (DSFA), oder die Gründe bekannt zu geben, warum DSFA aus Sicht der Verantwortlichen unterbleiben durfte(n);
  • die Gründe zu nennen, warum (auf der Website des Verantwortlichen) ein Hinweis auf Cookies unterbleiben dürfte bzw. ein Opt-Out nicht vorzusehen war;
  • soweit keine DSFA vorzunehmen war, bekannt zu geben, welche Datensicherheitsmaßnahmen bestehen und welche Datenminimierungsmaßnahmen ergriffen wurden bzw. werden;
  • soweit sich dies nicht aus dem Verzeichnis ergibt, die Speicherdauer der Daten bekannt zu geben und mitzuteilen, ob eine Speicherung in Cloud-Diensten oder auf Servern im EWR oder in Drittländern stattfindet;
  • Auftragsverarbeiter und Übermittlungsempfänger bekannt zu geben;
  • die gemäß § 30 Abs. 3 DSG und die gemäß § 9 Verwaltungsstrafgesetz 1991 (VStG) bestellte Person bekannt zu geben.

Gegenstand der Datenschutzüberprüfung war, ob bzw. inwiefern die Verpflichtungen der DSGVO durch die Verantwortliche eingehalten werden. Der Maßstab der Prüfung bezog sich auf die von der Behörde vermuteten Datenschutzverletzungen und auf die Tatsachen, die durch die Überprüfung hervorkamen.

Bei der Überprüfung nutzte die Behörde ua mehrere Ermittlungsansätze ua “wurden (Beweise) aufgenommen durch die Eingaben der Verantwortlichen samt Beilagen sowie aufgrund des Amtswissens der Behörde und amtswegigen Recherchen auf der Webseite (sic!) der Verantwortlichen.

Im Ergebnis wurde dem Verantwortlichen aufgetragen, die beanstandeten Pflichtverletzungen innerhalb einer achtwöchigen Frist bei sonstiger Exekution zu beheben.

Quelle: GZ: DSB-D213.692/0001-DSB/2018 vom 16.11.2018

Anmerkungen

  • Im konkreten Fall hat die Behörde das Prüfverfahren vor allem deshalb eingeleitet, weil “in den Meldungen der Verletzung der Datensicherheit jeweils lediglich ein „Datenschutz-Koordinator“ benannt wurde”. Das könnte ein Hinweis darauf sein, dass die Behörde, die immer wieder geübte Praxis, anstelle eines Datenschutzbeauftragten einen Datenschutz-Koordinator zu benennen, durchaus kritisch sieht und zum Anlass nimmt, ein Prüfverfahren einzuleiten.
  • Im Zuge des Prüfverfahren stellte die Behörde zudem fest, dass der Verantwortliche mit einem eingesetzten Online-Formular betroffene Personen zu einer gesetzwidrigen Einwilligung verpflichtete.
  • Ein Verweis auf Cookies auf der Impressum-Seite, ein Hinweis-Text zum Datenschutz und ein Cookie-Hinweis-Banner auf der Startseite von der Behörde bei der Verwendung von Cookies auf der Website als ausreichend angesehen wird.
  • Die Erfüllung der Nachweis- und Rechenschaftspflichten des Verantwortlichen überprüfte die Behörde durch das Verlangen auf Vorlage nachfolgender Dokumentationen: Verarbeitungsverzeichnis, Datenschutzerklärungen, Dokumentation der Datensicherheitsmaßnahmen, Datenschutzfolgenabschätzungen und Auftragsverarbeitungen.
  • Die gesetzte Frist von 8 Wochen zur Beseitigung der beanstandeten Pflichtverletzungen ist ambitioniert.

Was tun bei einem Datenschutzvorfall?

Bei einem Hinweis auf eine mögliche Datenschutzverletzung ist der Vorfall unverzüglich zu dokumentieren und bei einem Risiko für die Rechte und Freiheiten von Personen der Datenschutzbehörde zu melden.

Als Unterstützung für die Dokumentation stellen wir Ihnen gerne unser Tool zur Meldung einer Datensicherheitsverletzung zur Verfügung.

Meldepflicht bei Datenschutzverletzung

Die irische Datenschutzbehörde (DPC Irland) hat in ihrem kürzlich veröffentlichten Jahresbericht einen Einblick über die Meldungen einer Datenschutzverletzung gegebenen.

Interessant ist nicht nur die – im Berichtszeitraum (05 – 12.2018) – deutlich gestiegene Anzahl von Meldungen (3.687, +27% im Vergleich zu 2017), sondern auch die im Bericht vorgenommenen Klassifikation der Arten von gemeldeten Datenschutzverletzungen.

Arten von Datenschutzverletzungen

Erstaunliche 85 Prozent der Datenschutzverletzungen erfolgten durch die Offenlegung von personenbezogenen Daten an nicht autorisierte Empfänger.

Weitere meldepflichtige Datenschutzverletzungen erfolgten durch

  • Verlust von nicht-verschlüsselten Datenträgern, zB USB-Sticks
  • Verlust oder Diebstahl bzw der unsachgemäßen Entsorgung von Papierdokumenten
  • Datenschutzverletzungen in der Folge von erfolgreichen Hacking-Angriffen oder Phishing Mails

Meldepflicht bei Datenschutzverletzung

Artikel 33 DSGVO sieht bei Verletzung des Schutzes personenbezogener Daten eine Meldepflicht für den Verantwortlichen vor. Die Meldung hat möglichst binnen 72 Stunden, nach Bekanntwerden, bei der Aufsichtsbehörde zu erfolgen. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Die Meldung an die Aufsichtsbehörde hat gesetzlich festgelegte Mindestinformationen zu enthalten. Falls nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche die Informationen ohne unangemessene weitere Verzögerung der Aufsichtsbehörde schrittweise zur Verfügung stellen.

Dokumentationspflicht bei Datenschutzverletzung

Darüber hinaus ist der Verantwortliche stets verpflichtet, alle aufgetretenen Datenschutzverletzungen einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffener Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation ist der Aufsichtsbehörde, nach Aufforderung, zugänglich zu machen.

Schulung und internes Meldeverfahren

Zentrale Bedeutung bei der Erfüllung der Meldepflichten bei Datenschutzverletzungen ist die Schulung und Sensibilisierung der mit personenbezogenen Daten befassten Mitarbeiter. Der Verantwortliche ist gut beraten, die Mitarbeiter für die Erkennung von möglichen Datenschutzverletzungen zu schulen und ein Verfahren zur internen Meldung eines entsprechenden Vorfalls vorzusehen.

Zur internen Erhebung und Dokumentation von Infomationen zu einer etwaigen Datenschutzverletzung steht Ihnen unser Datenschutz-Tool „Meldung einer Datenschutzverletzung“ zur Verfügung.

Risikoabwägung und Schadensabwehr

In der Folge hat durch den Verantwortlichen, nach Möglichkeit, in Abstimmung mit dem Datenschutzbeauftragten unverzüglich eine dreistufige Risikoabwägung (kein Risiko, Risiko oder Hohes Risiko) hinsichtlich der Auswirkungen des Vorfalls auf die Rechte und Freiheiten natürlicher Personen durchzuführen und dessen Ergebnis schriftlich festzuhalten. Zusätzlich sind alle auf den Vorfall bezogenen Fakten und ergriffenen Abwehrmaßnahmen zu dokumentieren.

Meldung bei der Aufsichtsbehörde

Bei einem bestehenden Risiko für die Rechte und Freiheiten der betroffenen Person hat der Verantwortliche, binnen 72 Stunden, die Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden. In Österreich erfolgt die Meldung an die Datenschutzbehörde, welche dafür auf ihrer Website ein entsprechendes Formular zur Verfügung stellt.

Links

Hohes Bußgeld wegen unzureichender Datensicherheit

Die portugiesische Datenschutz-Aufsichtsbehörde CNPD hat ein Bußgeld in der Höhe von 400.000 Euro gegen ein Krankenhaus verhängt. Nach einem kürzlich veröffentlichten Artikel der IAPP erfolgte die Strafe wegen der Verletzung von Grundsätzen der Verarbeitung von personenbezogenen Daten und unzureichender Datensicherheitsmaßnahmen.

Verstöße gegen die DSGVO

In der Begründung für die Verhängung des Bußgelds wurden drei Verstöße gegen die DSGVO genannt:

  • Verstoß gegen den Grundsatz der Datenminimierung (Art 5 DSGVO (1) c)
  • Verletzung des Grundsatzes der Integrität und Vertraulichkeit
    (Art 5 DSGVO (1) f)
  • Fehlende bzw unzureichende Maßnahmen zur Sicherheit der Verarbeitung (Art 32 DSGVO (1) b)

In Hinblick auf die Planung und Umsetzung eigener datenschutzkonformer Prozesse sowie technischer und organisatorischer Maßnahmen zur Datensicherheit sind vor allem die von der Aufsichtsbehörde bei der Bemessung der Bußgeldhöhe aufgedeckten Mängel interessant.

Fehlende Dokumentation von Benutzerprofilen

Die Aufsichtsbehörde stellte fest, dass wegen fehlender Dokumentation der Aufgaben und Zugriffsrechten einzelner Benutzer nicht nachvollziehbar war, in wie weit bestehende Zugangsrechte für einzelne Benutzer auch berechtigt bzw erforderlich waren.

So hatten 9 Techniker einen uneingeschränkten Zugang zu den für Medizinern vorbehaltenen Informationen im Krankenhaussystem. Zudem bestand für alle Mediziner, unabhängig von ihrer Fachrichtung, zu jeder Zeit ein Zugang zu allen Patienteninformationen im gesamten Krankenhaus.

Mängel bei der Benutzerverwaltung

Die Aufsichtsbehörde stellte zudem fest, dass insbes in Hinblick auf die Erstellung und Löschung von Benutzern gravierende Mängel bei der Benutzerverwaltung bestanden.

Im System gab es 985 Benutzer mit dem Profil „Doktor“. Im Krankenhaus selbst waren aber nur 296 Doktoren beschäftigt. Insgesamt gab es nur 18 inaktive Benutzerkonten, von denen das letzte im November 2018 deaktiviert worden war.

Faktoren bei der Bußgeld-Festlegung

Bei der Strafbemessung zog die Aufsichtsbehörde nach Art 83 (2) DSGVO insbes Art, Schwere und Dauer des Verstoßes sowie die Art, den Umfangs oder ds Zweck der betreffenden Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen in Betracht.

Eine Rolle bei der Bußgeldbemessung spielte selbstverständlich auch, dass es sich bei den verarbeiteten Daten um Gesundheitsdaten handelte, welche zur besonderen Kategorie von personenbezogenen Daten zählen.

Als Gründe für eine Bußgeldminderung sah die Aufsichtsbehörde ua die bei den Ermittlungen gezeigte Kooperationsbereitschaft und bisherige Unbescholtenheit des Verantwortlichen sowie dessen Maßnahmen zur Eindämmung von Schäden bei betroffenen Personen an.

Empfehlungen

In Hinblick auf die Planung und Entwicklung eines eigenen rechtskonformen Datenschutz Management Systems sind nachfolgende Maßnahmen empfehlenswert:

  • Prüfung und Dokumentation bestehender Zugangs- und Zugriffsrechte hinsichtlich ihrer Erforderlichkeit zur Erfüllung von Benutzeraufgaben;
  • Regelungen zur Erstellung und Löschen von Benutzerprofilen, insbes im Zusammenhang mit der Beendigung von Beschäftigungsverhältnissen;
  • Regelmäßige Kontrolle bestehender Benutzerprofile in Hinblick auf Rechte und Aktualität;
  • Festlegung von Verantwortlichkeiten für die Kooperation mit der Aufsichtsbehörde;

Datenschutzgrundverordnung – Unwort des Jahres

Datenschutzgrundverordnung wurde jüngst zum Unwort des Jahres 2018 gewählt. Für mich als Datenschutzbeauftragten ist das natürlich ziemlich unverständlich.

Und ich frage mich: Warum nur?

Eine zufriedenstellende Antwort kann ich so schnell nicht finden. Sicher, Diskussionen darüber, ob Namensschilder an Haustüren, digitale Weihnachtswünsche beim Adventkalender oder gar das Versenden von Weihnachtskarten datenschutzrechtlich zulässig seien, haben nicht gerade zur Popularität des Begriffs beigetragen. 

Was war oder ist passiert?

Nun die Einführung der DSGVO im Mai 2018 war begleitet von einer noch nie dagewesenen Hysterie. Mögliche Geldbußen (bis zu 20 Mio Euro und mehr) erzeugten eine beispiellose Umsetzungspanik. Die Vernunft ist dabei vielfach auf der Strecke geblieben. Die Aufregung wurde durch Medien und Berater verstärkt, die nicht müde wurden, mittels überzogener Beispiele und Warnungen die Furcht vor dem Datenschutzmonster noch zu steigern. Gut gemeint, ist eben nicht gut gemacht. 

Dabei scheint es doch so einfach, einen Konsens zur Sinnhaftigkeit und Zweckmäßigkeit der Datenschutzgrundverordnung zu finden.

Ein besserer Schutz von Betroffenen bei der Verarbeitung ihrer eigenen Daten durch Behörden und Unternehmen. Mehr Rechte für Betroffene bei der Durchsetzung persönlicher Ansprüche und für Unternehmen mehr Möglichkeiten durch freien Verkehr von personenbezogenen Daten. Da kann doch wirklich niemand ernsthaft etwas dagegen haben?

Nun wir wissen es alle.  Die DSGVO wird anders wahrgenommen, ganz anders. Die Rede ist vom, Bürokratiemonster mit überbordenden Nachweispflichten, Ressourcenfresser oder gar, existenzbedrohenden Hindernis für Unternehmen. Die Datenschutzgrundverordnung, ungeliebt wie das Rauchverbot in der Gastronomie, die Registrierkasssenpflicht oder Allergenkennzeichnungsverordnung. Nur noch komplizierter und folgenschwerer.

Muss das so sein?

Nein, Hoffnung bringt die eigene Erfahrung bei Datenschutzprojekten. Bei einer praxisbezogenen und firmengerechten Umsetzung kommt nämlich viel Gutes zu Tage. Digitale Prozesse werden dann nicht nur in Hinblick auf auferlegte Datenschutzpflichten betrachtet, sondern auch bezüglich vorhandener Wertschöpfungspotenziale durchleuchtet. Entdecken und aktivieren heißt die Devise. Schnell wächst das Bewusstsein für den Wert von personenbezogenen Daten. Nicht umsonst heißt es, Daten sind das Öl des 21. Jahrhunderts. Proaktive Datenschutzstrategien schaffen zukünftige Erfolgspotenziale und Differenzierungsmerkmale in der digitalen Wirtschaft. Und ein marktgerechter Datenschutz wird zum Aktivposten in der Umweltbilanz des Unternehmens. 

Persönlich wünsche ich mir also für das kommende Jahr mehr Konzentration auf wesentliche Ziele der DSGVO: Rechtmäßige und sichere Verarbeitung von personenbezogenen Daten, mehr Transparenz und Rechte für Betroffene sowie weniger Hysterie und Skurrilität im täglichen Umgang mit einem persönlichen Grundrecht.

Das wird doch machbar sein, Oida, oder?

3. OÖ-Datenschutztag – Ein Rückblick

previous arrow
next arrow
Slider

Erste Erfahrungen mit der DSGVO

Am 23. Oktober referierten namhafte Datenschutzexperten beim 3. OÖ-Datenschutztag in der Welser Villa Muthesius über erste Erfahrungen und Herausforderungen bei der Umsetzung der seit 25. Mai 2018 zur Anwendung kommenden neuen Datenschutzbestimmungen.

Interessante Expertenvorträge beim Datenschutztag

Mag Ursula Illibauer, Wirtschaftskammer Österreich, berichtete über erste Anzeichen eines wachsenden Unwillens der Wirtschaftstreibenden bei der aufwändigen Umsetzung der zahlreichen Pflichten und Aufgaben aus der DSGVO in der täglichen betrieblichen Praxis. Die anerkannte Datenschutzexpertin verwies dabei auf zahlreiche Hilfsmittel der Wirtschaftskammer, welche allen Verantwortlichen und Auftragsverarbeitern meist kostenlos zur Verfügung stehen und eine weite Verbreitung gefunden haben.

Der Welser IT-Rechtsspezialist Dr Michael Pachinger skizzierte mögliche Haftungsfragen und Schadenansprüche gegenüber den Verantwortlichen bei Datenschutzverletzungen. Der langjährige EuroPrise Experte erörterte zudem Möglichkeiten einer Datenschutzzertifizierung als Nachweis für eine DSGVO-konforme Verarbeitung von personenbezogenen Daten.

Mag Georg Lechner, langjähriger Mitarbeiter der Datenschutzbehörde, betonte mehrmals die Notwendigkeit, dass sich Verantwortliche und Auftragsverarbeiter bei der Verarbeitung von personenbezogenen Daten mit den Anforderungen der DSGVO ernsthaft auseinandersetzen müssten. Besonders wichtig sei dabei, eine nachvollziehbare Dokumentation einzelner Entscheidungen. Die österreichische Datenschutzbehörde würde dann im konkreten Schadensfall für aufgetretene Fehler eher Verständnis zeigen können. Eine völlige Ignoranz der gesetzlichen Bestimmungen aber absolut nicht goutieren.

Mag Sabine Brunner, Datenschutz-Expertin von pwc Legal, sprach über Besonderheiten bei der Verarbeitung von personenbezogenen Daten im Unternehmensverbund und zeigte verschiedene Lösungen für eine rechtskonforme Umsetzung der DSGVO bei der Verarbeitung und Übermittlung von Daten in Konzernen, zB Corporate Binding Rules.

Aussteller zeigten Tools und Geräte

Begleitet wurde die Veranstaltung von einer frei zugänglichen Ausstellung. Hier präsentierten unter anderem das Welser Datenschutz-Start-Up DataReporter das gleichnamige Datenschutz Management Tool mit einer Vielzahl von Funktionen zur Umsetzung von DSGVO-Aufgaben und Pflichten.  Und der Welser Büroausstatter SSI Schäfer Shop zeigte gemeinsam mit seinem Partner HSM unterschiedliche Geräte zur DSGVO-konformen Vernichtung von Akten und Papierdokumenten.

Datenschutztag ein Erfolg

„Der dritte OÖ-Datenschutztag war aus meiner Sicht ein voller Erfolg. Das Feedback der Teilnehmerinnen und Teilnehmer war überaus positiv. Es gibt in Oberösterreich keine vergleichbare Veranstaltung, bei der sie so direkten Kontakt zu namhaften Experten finden können“, zeigte sich Veranstalter Horst Greifeneder vom Welser Büro für Datenschutz & Datensicherheit zufrieden mit dem Verlauf des heurigen Datenschutztages.

Am Ende der Veranstaltung war klar, dass die Anforderungen einer gesetzeskonformen Umsetzung der neuen Datenschutzbestimmungen für Verantwortliche, Auftragsverarbeiter, Datenschutzbeauftragte oder Behörden eine enorme Herausforderung darstellen und noch lange nicht abgeschlossen sein werden.

3. OÖ-Datenschutztag | 23.10.2018 | Wels

Seit mehr als 100 Tagen ist die DSGVO nun in Kraft und zeigt bereits Wirkung. Die Anzahl der Beschwerden und Meldungen von Datenschutzverletzungen bei der österreichischen Datenschutzbehörde sind signifikant angestiegen. Trotzdem sind noch immer mehr als die Hälfte der Unternehmen damit beschäftigt, die erforderlichen Maßnahmen zur Umsetzung der neuen Aufgaben und Pflichten in die betriebliche Praxis einzuführen.

DSGVO echte Herausforderung

„Die DSGVO ist in der Umsetzung eine echte Herausforderung. Gröbere Schwierigkeiten bereitet vor allem die Tatsache, dass hinsichtlich der konkreten praktischen Umsetzung der zahlreichen gesetzlichen Vorgaben weitgehend Unklarheit besteht. Vor allem kleinere und mittlere Unternehmen kämpfen mit den damit verbundenen Unwägbarkeiten und Bußgeld-Risiken“, verweist der Welser Datenschutzbeauftragte Horst Greifeneder, auf bestehende Herausforderungen für Verantwortliche in den Unternehmen.

3. OÖ-Datenschutztag in Wels

Am 23. Oktober 2018 findet bereits zum dritten Mal der OÖ-Datenschutztag in der Welser Villa Muthesius statt. Das Programm der Veranstaltung ganz im Zeichen der ersten Erfahrungen mit den neuen Datenschutzregelungen in der betrieblichen Praxis. In vier Vorträgen beleuchten namhafte Experten auf praxisnahe Art und Weise offene Fragen und bestehende Herausforderungen in den ersten Monaten der Gültigkeit der neuen Datenschutzregeln.

Ergänzend zu den Experten-Vorträgen präsentieren Anbieter von Datenschutz-Management-Tools und -Dienstleistungen ihre Produkte und Angebote in einer begleitenden Ausstellung.

Programm 3. OÖ-Datenschutztag

Ein spannendes und informatives Programm erwartet die Teilnehmerinnen und Teilnehmer beim 3. OÖ-Datenschutztag in der Welser Villa Muthesius.

  • Die Datenschutz-Expertin der Wirtschaftskammer Österreich, Frau Mag. Ursula Illibauer, spricht über erste Erfahrungen, bestehende Herausforderungen und praktische Hilfsmittel bei der DSGVO-Umsetzung aus Sicht der Unternehmen.
  • Rechtsanwalt Dr. Michael Pachinger, Partner bei SCWP Schindhelm und Experte für IP & IT sowie Datenschutzrecht, erörtert Haftungsfragen und Schadenersatzansprüche der Betroffenen  bei Datenschutzverletzungen und versucht die Farge zu beantworten, ob Zertifizierung eine mögliche Compliance Garantie darstellen könnte.
  • Der langjährige Mitarbeiter der Datenschutzbehörde, Mag. Georg Lechner, spricht über die Notwendigkeit von Datenschutzfolgenabschätzungen und gibt einen Einblick hinsichtlich möglicher Untersuchungen vor Ort und die Zusammenarbeit mit der Datenschutzbehörde.
  • Mag. Sabine Brunner, Expertin für Datenschutzrecht bei PwC Legal, beschäftigt sich mit Spezialfragen der rechtskonformen Umsetzung der DSGVO in einer Unternehmensgruppe und der Möglichkeit zur Benennung eines Konzerndatenschutzbeauftragten.

Die Veranstaltung bietet den Teilnehmerinnen und Teilnehmer zudem die Möglichkeit, sich direkt mit den anwesenden Experten und KollegInnen über laufende Datenschutz-Projekte auszutauschen und in der begleitenden Ausstellung über praxiserprobte Datenschutz Management-Tools zu informieren.

Frühbucher-Bonus

Ticket bis zum 25. September 2018 zum Vorzugspreis von 190 Euro statt 240,- Euro, exkl MwSt. Tickets jetzt online bestellen unter www.bdsb.at/.

KURZINFO

3. OÖ-Datenschutztag, 23.10.2018, 13 – 17 Uhr,
Villa Muthesius Wels, Pollheimerstraße 4, 4600 Wels.
Programm & Anmeldung unter www.bdsb.at oder T 07242-77715.
Veranstalter: Büro für Datenschutz & Datensicherheit, Wels.

Rückfragen?

Gerne stehe ich Ihnen für Fragen zur Veranstaltung oder zum Datenschutz persönlich für Auskünfte zur Verfügung.

Getagged mit: , , ,

Verpflichtung zur Datenschutz-Folgenabschätzung

Die DSGVO sieht bei Verarbeitungen von personenbezogenen Daten mit einem hohen Risiko für die Rechte und Freiheiten des Betroffenen eine verpflichtende, vorab durchzuführende, Datenschutz-Folgenabschätzung durch den Verantwortlichen vor.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Art 35 DSGVO

Im Kern geht es also darum, für bestimmte (hoch riskante) Formen von Verarbeitungen vorab einzuschätzen, welche möglichen Folgen für Betroffene entstehen können.

Verordnungen zur Datenschutz-Folgenabschätzung

Laut DSGVO hat die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, und diese zu veröffentlichen und mit anderen Aufsichtsbehörden abzustimmen.

Die österreichische Datenschutzbehörde hat bereits im Mai 2018 eine Verordnung für Ausnahmen der Datenschutzfolgenabschätzung (DSFA-AV), eine sogen White-List, verlautbart. Und hat nun in den Sommermonaten, einen Entwurf für eine Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), die sogen Black-List, zur Begutachtung nachgereicht. Seit der Aussendung ist nicht viel passiert, dennoch lohnt sich ein Blick auf die in der Blacklist aufgezählten Verarbeitungen, bei denen die Datenschutzbehörde von einem hohen Risiko für Betroffene ausgeht.

Verpflichtende Datenschutz-Folgenabschätzung

Grundsätzlich unterscheidet die Verordnung zwischen Verarbeitungsvorgängen bei denen schon beim Vorliegen eines Kriteriums eine Datenschutz-Folgenabschätzung durchzuführen ist und Verarbeitungen bei denen mindestens zwei Kriterien erfüllt sein müssen. Eine weiterführende, detaillierte Auseinandersetzung mit den einzelnen Kriterien würde den Rahmen des Newsletters sprengen. Ich habe aber nachfolgend, drei für die betriebliche Praxis relevante Verarbeitungen ausgewählt und in Stichworten kurz zusammengefasst:

  • Verarbeitungen, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der betroffenen Person bewerten und negative rechtliche, physische oder finanzielle Auswirkungen haben können.
  • Netzwerk-basierte Bild-/Tonverarbeitung, welche die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel oder auf eine systematische, umfangreiche
    Überwachung öffentlich zugänglicher Bereiche abzielen bzw öffentliche Örtlichkeiten oder Straßen erfassen.
  • Verarbeitungen, bei denen Daten aus mehreren, von verschiedenen Verantwortlichen durchgeführten Verarbeitungszwecken zusammengeführt oder abgeglichen werden und die über die von einem Betroffenen üblicherweise zu erwartenden Verarbeitungen hinausgehen, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt beim
    Betroffenen erhoben wurden, oder automatisierte Entscheidungen getroffen werden können, welche die betroffenen Personen in erheblicher Weise beeinträchtigen.
  • Verarbeitung von besonderen Kategorien personenbezogener Daten bei schutzbedürftigen Betroffenen, wie unmündigen Minderjährigen, Arbeitnehmern, Patienten, psychisch Kranken und Asylwerbern.

Ausnahmen bestehen hier allenfalls, im Zusammenhang mit Beschäftigungsverhältnissen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.

Die oa Ausführungen geben die Verordnung in Kurzfassung wieder. Zu beachten ist ferner, dass nach den mir vorliegenden Informationen die Verordnung noch nicht in Kraft getreten ist, dh. der endgültige Regelungsgehalt der Verordnung ist noch offen. In Hinblick auf die Notwendigkeit und Vorbereitung eigener, erforderlicher Datenschutz-Folgenabschätzungen liefert der Entwurf aber eine wertvolle Orientierung für Verantwortliche.

Links

Save the Date: 3. OÖ-Datenschutztag, 23.10.2018.

Am Dienstag, den 23. Oktober 2018, 13 – 17 Uhr, findet der OÖ-Datenschutztag bereits zu dritten Mal in der Welser Villa Muthesius statt. 4 Expertinnen und Experten von der Datenschutzbehörde, Datenschutzkanzleien und der Wirtschaft sprechen über erste Erfahrungen, Herausforderungen und Best-Practice-Beispiele bei der Umsetzung der DSGVO in die betriebliche Praxis.

Für Schnellentschlossene gibt es einen Frühbucher-Bonus bis zum 18. September 2018.

Programm und Anmeldung unter www.datenschutzbeauftragter.co.at.

Getagged mit: , ,

Datenschutzverletzung – Was ist nun zu tun?

Die DSGVO ist seit knapp 6 Wochen in Anwendung und schon kam es zu einer Datenschutzverletzung bei der österreichischen Nummer 1 bei Markenelektronik. Laut Benachrichtigung der Firma zum Datensicherheitsvorfall (data breach notification) besteht der Verdacht, dass Kundendaten in krimineller Absicht von den Webservern des Unternehmens entwendet wurden. Im gleichen Atemzug versucht das Unternehmen zu beruhigen und teilt mit, dass „zu keinem Zeitpunkt relevante Zahlungsdaten (Kreditkarte, Kontonummer, Paypal-Account usw.) gespeichert wurden und diese daher nicht betroffen sind.“

Bei der Verletzung des Schutzes personenbezogener Daten sieht die DSGVO zwei wesentliche Pflichten für den Verantwortlichen vor:

  1. Meldung bei der Aufsichtsbehörde (Art 33 DSGVO)
  2. Benachrichtigung der betroffenen Personen (Art 34 DSGVO)

Meldung bei der Aufsichtsbehörde

Im Falle einer Datenschutzverletzung mit einem voraussichtlichen Risiko für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Datenschutzbehörde zu melden. Die Datenschutzbehörde stellt hierfür ein eigenes Formular zur Meldung der Verletzung des Schutzes personenbezogener Daten zur Verfügung.

Eine entsprechende, unverzügliche Meldepflicht bei einer bekannt gewordenen Datenschutzverletzung trifft ebenfalls den Auftragsverarbeiter gegenüber dem Verantwortlichen. Die Meldung bei der Datenschutzbehörde hat allerdings immer durch den Verantwortlichen zu erfolgen. Den Datenschutzbeauftragten trifft keine Meldepflicht, aber sehr wohl die Aufgabe zur Zusammenarbeit im Zuge etwaiger Ermittlungen der Aufsichtsbehörde im Zusammenhang mit dem Datenschutzvorfall.

Informationen bei einer Meldung einer Datenschutzverletzung

Art 33 Abs 3 sieht vor, dass die Meldung zumindest nachfolgende Informationen enthält:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Dokumentationspflicht bei Datenschutzverletzung

Zusätzlich zur Meldepflicht trifft den Verantwortlichen auch noch eine Dokumentationspflicht bei Datenschutzverletzungen. Insbesondere sind alle im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen zu erfassen. Die Dokumentation dient der Aufsichtsbehörde zur Überprüfung der Einhaltung der Bestimmungen zur Meldung der Verletzung des Schutzes personenbezogener Daten. Eine sorgfältige und umfangreiche Dokumentation sollte sich bei einer etwaigen Geldbuße strafmildernd auswirken.

Benachrichtigung der betroffenen Personen

Bei einer Datenschutzverletzung mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist im Hinblick auf transparente Information und der Möglichkeit zur Ergreifung eigener Schutzmaßnahmen die betroffene Person vom Verantwortlichen unverzüglich zu benachrichtigen.

Die Benachrichtigung hat in klarer und einfacher Sprache die Art der Datenschutzverletzung und zumindest die, in den Punkten 2. – 4. angeführten Informationen der Meldung an die Aufsichtsbehörde zu enthalten.

Eine Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn

  1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und die von der Verletzung betroffenen personenbezogenen Daten dadurch unzugänglich gemacht wurden, etwa durch Verschlüsselung,
  2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Die Benachrichtigung sollte neben der Beschreibung der Datenschutzverletzung auch Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen für die betroffene Person enthalten. Empfehlenswert ist aus Sicht des Verantwortlichen zudem eine enge Absprache der Vorgehensweise mit der Aufsichtsbehörde bzw Strafverfolgungsbehörden. Auch hierbei fungiert ein Datenschutzbeauftragter als Anlaufstelle für die mit dem Datenschutzvorfall befassten Behörden.

Im konkreten, oben angeführten Fall, wurden vom Verantwortlichen als unmittelbare Sicherheitsmaßnahme die Passwörter der Kunden im Webshop außer Kraft gesetzt. Diese Maßnahme ist insofern bemerkenswert, da sie die Vermutung nahelegt, dass, im schlimmsten Fall, ungeschützte Kundenpasswörter ebenfalls entwendet wurden. Angesichts der Angewohnheit zahlreicher Internetnutzer gleiche Anmeldedaten bei verschiedenen Online-Shops zu verwenden, würde das Risiko für einen etwaigen Identitätsbetrug erheblich erhöht werden.

Top