In regelmäßigen Abständen erscheinen die Tätigkeitsberichte der Datenschutzaufsichtsbehörden. So veröffentlichte auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink den 35. Tätigkeitsbericht für das Jahr 2019 des Bundeslandes Baden-Württemberg Ende Januar 2020.

Wir haben für Sie die wesentlichen Themenbereiche bzw. Problemstellungen (Auszug) aus dem vergangenen Berichtsjahr zusammengefasst.

Als besondere ausgewählte Schwerpunkte sieht der Landesdatenschutzbeauftragte unter anderem Bodycams bei der Polizei, Datenpannen in Arztpraxen, E-Mail-Werbung nach dem UWG, Auskunftsrecht der Betroffenen nach Art. 15 Abs. 1 Buchst. c DS-GVO, Art. 15 DS-GVO im Beschäftigungskontext und Technische und organisatorische Maßnahmen.

1.Bodycams bei der Polizei

Hinsichtlich des Einsatzes von Bodycams bei der Polizei hat sich der Landesdatenschutzbeauftragte von Baden-Württemberg die Handhabung der kleinen Kameras genauer angesehen. Grundsätzlich konnte festgestellt werden, dass in Bezug auf die technischen und organisatorischen Maßnahmen keine Kritik geäußert werden muss. Jedes Polizeirevier hat eigene Geräte und die Daten werden lokal gespeichert, ohne dass ein Dritter darauf zugreifen kann. Zudem gib es klar strukturierte Rollen und die Einsatzbefugnisse richten sich nach dem Polizeigesetz. Was jedoch kritisiert werden kann ist laut Dr. Stefan Brink, die Frage, ob die einzelnen Aufnahmen auch verhältnismäßig waren und die Polizeibeamten die Kameras nach den gesetzlichen Vorschriften eingeschaltet haben und nicht bereits  „diverse polizeilichen Gesehen“ dokumentiert haben. Des Weiteren sind laut Dr. Stefan Brink neben dem Aufnahmeort auch die Speicherfristen konkret zu überprüfen.

2.Datenpannen in Arztpraxen

Die Datenpannen in Arztpraxen stellten einen weiteren erwähnenswerten Schwerpunkt aus dem Jahr 2019 dar. Gründe für eine mögliche Datenpanne waren insbesondere der fehlerhafte Versand per Post und E-Mail, offene E-Mail-Verteiler sowie Faxfehler mit teilweise sensiblen Gesundheitsdaten. Neben der Sensibilisierung der Mitarbeiter sieht der Landesdatenschutzbeauftragte die Verschlüsselung als mögliche Gegenmaßnahme an.

3.E-Mail-Werbung nach dem UWG

Grundsätzlich ist die E-Mail-Werbung nur mit vorheriger, informierter Einwilligung des Betroffenen erlaubt, es sei denn, dass entsprechende Voraussetzungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) erfüllt sind. Diese Voraussetzungen, bei denen unter Umständen eine Werbung per E-Mail möglich ist, gilt es laut Dr. Stefan Brink konkret zu eruieren, da in der Praxis oft Verstöße gegen das Wettbewerbsrecht und folglich auch den Datenschutz zu beobachten sind.

4.Auskunftsrecht der Betroffenen nach Art. 15 Abs. 1 Buchst. c DS-GVO

Ein weiteres Thema im Bericht war das Auskunftsrecht nach Art. 15 Abs. 1 Buchst. c DS-GVO und der Landesdatenschutzbeauftragte stellt klar, dass es aus Transparenzgründen unvermeidbar ist, dass neben den Kategorien von Empfängern (z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) auch der Dritte konkret bekannt werden muss, es sei denn, diese Übermittlungen sind vorgesehen und ergeben sich bereits aus den Datenschutzhinweisen.

5.Art. 15 DS-GVO im Beschäftigungskontex

Der Landesdatenschutzbeauftragte hatte sich ebenfalls mit dem Auskunftsrecht gemäß Art. 15 DS-GVO im Beschäftigungskontext zu beschäftigen. Gerade die Datenverarbeitung im Rahmen eines Beschäftigungsverhältnisses geht oft mit einer vielzähligen Speicherung von personenbezogenen Daten einher.  Insbesondere bei der Auskunftsanfrage eines Beschäftigten ist dabei die normierte Kopie der Daten hinsichtlich der Leistungs- und Verhaltensdaten in Erwägung zu ziehen. Das Auskunftsrecht gilt im Beschäftigungskontext allerdings auch nicht unbegrenzt und es sind ggf. bei einer Kopie auch Schwärzungen vorzunehmen.

6.Technische und organisatorische Maßnahmen

Neben konkreten Fragestellungen aus den unterschiedlichsten Bereichen befasste sich Dr. Stefan Brink auch mit allgemeinen Fragestellungen. Die Eindrücke zu den technischen und organisatorischen Maßnahmen hat der Landesdatenschutzbeauftragte vor allem in der Kontrollpraxis gesammelt.

 Problemstellungen ergeben sich unteranderem aus:

• Spear Phishing und Malware (Verbreitung von Schadsoftware per E-Mail): Zu empfehlen ist die Sensibilisierung der Mitarbeiter, Trennung der E-Mails mit sensiblen Daten sowie die Trennung der Backups mit entsprechender Authentifizierung.
• Absicherung von Fernwartungszugängen: Zu empfehlen ist es in diesem Fall die Fernwartungszugänge entsprechend nach dem Einsatz sofort wieder zu deaktivieren und die Zugänge durch starke Passwörter abzusichern.
• Benachrichtigung der Verantwortlichen durch den Dienstleister: Im Falle einer Auftragsverarbeitung ist es wichtig, dass der Dienstleister unverzüglich eine Verletzung des Schutzes personenbezogener Daten meldet. Es wird empfohlen dies nicht nur per E-Mail, sondern auch per Anruf, Fax oder Einschreiben vorzunehmen.
• Hackerangriffe auf Online-Konten: Hier wird empfohlen starke Passwörter zu wählen oder sogar eine Zwei-Faktor-Authentifizierung einzubauen.

Weitere Problemstellungen sah der Landesdatenschutzbeauftragte vor allem bei der Akten-/Datenträgervernichtung, Schließtechnik sowie beim Einsatz von Multifunktionsgeräten.