Die verschiedenen Aufsichtsbehörden im Datenschutz erstellen einmal jährlich – ebenso wie wir als externe Datenschutzbeauftragte – ihre Tätigkeitsberichte. Für Unternehmen finden sich darin wichtige und aktuelle Hinweise zum Umgang mit der datenschutzrechtlichen Praxis. Wir haben für Sie die Berichte der Aufsichtsbehörden von 2023 aus Bayern, Rheinland-Pfalz, Hessen und Brandenburg ausgewertet und möchten Ihnen die interessantesten Punkte vorstellen.
Achtung: Unternehmenswebseiten sowie Videokameras
Es ist nicht überraschend, wenn das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erläutert, dass gemeinsam mit Beschwerden aus dem Bereich Werbung (14 %) mehr als die Hälfte der Beschwerdevorgänge des BayLDA die Themenbereiche Videoüberwachung und Internet betreffen. Dies liegt sicherlich daran, dass Jedermann sowohl Videokameras als auch Webseiten sehen kann und somit die Gefahr für Beschwerden höher ist als bei nicht einsehbaren Datenverarbeitungen.
Daher sollten Unternehmen regelmäßig Ihre Webauftritte in datenschutzrechtlicher Hinsicht überprüfen und die Datenschutzerklärungen sowie Cookie-Banner stets aktualisieren. Im Übrigen beginnt das BayLDA damit, Bußgelder für jene Fälle zu verhängen, in denen z.B. Trackingtools auf Webseiten eingesetzt werden (google analytics, facebook pixel usw.), ohne dass dafür eine wirksame Einwilligung über den Cookie-Banner eingeholt wird. Auch beim Thema der Videokameras sollte man gemeinsam mit dem Datenschutzbeauftragten überprüfen, ob der Zweck für die Videoüberwachung legitim ist. Zusätzlich muss neben dem Anbringen von normierten Hinweisschildern eine umfangreiche Dokumentation der einzelnen Kameras vorgenommen werden.
Fallbeispiele Videoüberwachung
Etwas bizarr, aber hierzu passend, ein Fall des LDA Brandenburg: Eine private Veranstalterin legte der Aufsichtsbehörde freiwillig die geplante Videoüberwachung für ein Volksfest zur Überprüfung vor. Die Beurteilung kam zu dem Ergebnis, dass die Videoüberwachung datenschutzrechtlich unzulässig war, woraufhin die Veranstalterin zusicherte, davon Abstand zu nehmen. Trotzdem erhielt sie allein aufgrund der Planung eine Verwarnung! Eine Kontrolle des LDA Brandenburg ergab, dass die Videoüberwachung tatsächlich nicht durchgeführt wurde.
Laut LDA Brandenburg ist in einem anderen Fall die Videoüberwachung einer Produktion und Außenbereich in der Regel unzulässig. Weder Diebstahl noch Arbeitsschutz seien ausreichende Gründe für eine Zulässigkeit der Kameras. Die Behörde gibt an, dass immer mildere Mittel möglich wären, um den Zweck zu erreichen. Überdies seien Einwilligungen von Beschäftigten zur Videoüberwachung nicht möglich, weil diese nicht freiwillig sein können. Auch der LfDI Rheinland-Pfalz mahnt eine Prüfung von milderen Mitteln an, bevor auf Videokameras zurückgegriffen wird.
Fallbeispiele zu weiteren Verarbeitungen auf Webseiten
Im Bereich Datenverarbeitung auf Webseiten stellt sich meist auch noch ein anderes Problem: Das Auskunftsrecht von Webseiten-Besuchen. Stellen Sie sich vor, Sie erhalten eine Auskunftsanfrage eines Besuchers Ihrer Webseite. Dieser verlangt zu wissen, welche personenbezogenen Daten Sie im Rahmen seines Webseitenbesuchs von ihm verarbeiteten. Die Herausforderung in diesen Fällen ist häufig, dass manche personenbezogene Daten vom Webseitenbetreiber nicht direkt einem Klarnamen zugeordnet werden können. Beispiele hierfür sind IP-Adressen oder Cookie-IDs.
Diese Daten werden auf den Servern des Betreibers der Webseite oder der eingebundenen Drittdienste verarbeitet. So ist es für verantwortliche Unternehmen nicht immer möglich, Auskunftsersuchen von Webseitenbesuchern ohne Angaben wie IP-Adresse oder Cookie-ID durch den Betroffenen zu beantworten. Daher ist es den Unternehmen gestattet, vom Auskunftsersuchenden weitere Identifikationsmerkmale einzufordern, um das Auskunftsersuchen beantworten zu können. Dies ist dann über Art. 11 Abs. 2 S. 2 DSGVO rechtfertigbar, so die bayerische Aufsichtsbehörde.
Außerdem sollten sich Formulare auf Webseiten immer am Grundsatzes der Datenminimierung orientieren. In einem Fall, den das BayLDA schildert, wurden in einem Anfrageformular auf einer Webseite für unverbindliche Verfügbarkeitsanfragen von Campingstellplätzen, neben Vor- und Nachnamen sowie postalischer Anschrift auch E-Mail-Adresse und Telefonnummer abgefragt. Dies rechtfertigten die Betreiber über vorvertragliche Maßnahmen gem. Art. 6 Abs. 1 S. 1 lit. b) DSGVO. Die Behörde entschied jedoch, dass die Abfrage all dieser Daten dafür nicht erforderlich war, weil die unverbindliche Verfügbarkeitsanfrage auch hätte bearbeitet werden können, wenn z.B. lediglich die E-Mail-Adresse abgefragt worden wäre. Dementsprechend waren weder Telefonnummer noch postalische Anschrift notwendig. Hierfür hätte der Verantwortliche wohl eine Einwilligung benötigt. Es ist daher wichtig, die auf der Unternehmenswebseite eingebundenen Formulare (z.B. Kontaktformular) auf den Grundsatz der Datenminimierung hin zu überprüfen.
Aufsichtsbehörden zu Einwilligungen und E-Mail-Versand
Beim Thema Einwilligungen hat das BayLDA dargelegt, dass bei mehreren Einwilligungen für unterschiedliche Zwecke, die gemeinsam eingeholt werden (z.B. auf einem einzigen Blatt) Vorsicht geboten ist. Hier muss sichergestellt werden, dass der Betroffene jede einzelne Einwilligung separat erteilt oder verweigert. Es ist in der Regel nicht möglich, mehrere Einwilligungen für unterschiedliche Zwecke über nur eine Unterschrift abzufragen. Der Verantwortliche muss die Einwilligungen im Einzelfall dokumentiert nachweisen können.
Konkrete Beispiele: Das LDA Brandenburg erließ eine Verwarnung wegen des Versandes von E-Mails in einem offenen E-Mail-Verteiler, ohne dass hierfür Einwilligungen der Betroffenen vorlagen. Und für Rechtsanwälte dürfte dieser Hinweis des BayLDA ganz interessant sein: Sie müssen immer dann per E-Mail mit Inhaltsverschlüsselung kommunizieren, wenn es sich um sensiblere Informationen handelt. Wenn es sich um „normale Mandantenkommunikation“ handelt (wie bspw. eine Terminvereinbarung), genügt häufig eine Transportverschlüsselung.
Phishing E-Mails und Verschlüsselungsangriffe
Die bayerische Aufsichtsbehörde legt außerdem dar, dass Bedrohungen durch Phishing E-Mails weiterhin sehr hoch sind. Auch bei den Ransomware-Angriffen setzte sich der Trend der vorherigen Jahre fort: Neben dem Aspekt der Verschlüsselung der Daten ist aus datenschutzrechtlicher Sicht besonders schwerwiegend zu bewerten, dass die Daten in aller Regel vor der Verschlüsselung von den Angreifern abgegriffen werden. Dabei handelt es sich um eine sogenannte Double Extortion. Zum einen bietet dies den Angreifern die Möglichkeit Lösegeld für die Wiederherstellung der Daten zu verlangen. Zum anderen drohen sie auch damit drohen, Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Diese drohende – und oft auch tatsächlich stattfindende – Veröffentlichung erhöht das Risiko für die betroffenen Personen. Umso mehr, wenn es sich um sensible Daten wie beispielsweise umfangreiche Daten aus der Personalabteilung handelt.
Offenlegung von Mitarbeiterinformationen
Im Bereich des Arbeitnehmerdatenschutzes mahnt der Hessische Beauftragte für Datenschutz an, keine persönlichen Infos von Arbeitnehmern an andere Beschäftigte zu schicken. In dem konkreten Fall hatte der Arbeitgeber an seine Mitarbeiter geschrieben, dass Herr Müller „bis zum Abschluss des Arbeitsgerichtsverfahrens“ nur vom Vorgesetzten Arbeitsaufträge erhalten dürfe.
Bitte achten Sie als Arbeitgeber auch darauf, keine Listen zum Abwesenheitsstatus Ihrer Mitarbeiter auszuhängen. In dem konkreten Fall, in dem das LDA Brandenburg ein Bußgeld gegen den Arbeitgeber verhängt hat, hing der Chef eine Krankentabelle mit der Angabe ob „eigene Erkrankung“ oder „Kind krank“ der 50 namentlich genannten Mitarbeiter für 4 Wochen im Pausenraum aus. Er begriff dies als „erzieherische Maßnahme“ in seiner wirtschaftlich schlechten Lage.
Fazit
Insgesamt stellen wir fest, dass die Aufsichtsbehörden immer aktiver werden und sich dabei auch nicht nur auf einzelne datenschutzrechtliche Themen beschränken. Dabei ist jedoch auffällig, dass besonders Beschwerden z.B. von Betroffenen, die bei den Behörden eingehen, im Vergleich zu eigenen Untersuchungen priorisiert behandelt werden. Unternehmen sollten also besonders Bereiche, die eine große Anzahl von Personen betreffen – seien es Mitarbeiter oder beispielsweise Webseitenbesucher – im Fokus haben und auch regelmäßig überprüfen.
Sollten Sie Unterstützung bei der Umsetzung der DSGVO in Ihrem Unternehmen benötigen oder Fragen dazu haben, melden Sie sich gerne bei uns – wir sind bundesweit tätig: info@sidit.de oder 0931-7808770.
