Datenschutznews – auf Änderungen jetzt vorbereiten!
Haben Sie oder einer Ihrer Dienstleister Datenverarbeitungen in England? Können Sie Auskunftsanträge von Betroffenen innerhalb eines Monats vollständig und konkret beantworten? Nutzen Sie Messenger-Dienste im Unternehmen? Diese und weitere Fragen aus dem aktuellen Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern haben wir hier kurz für unsere Kunden zusammengefasst:
I. Brexit
Mit dem Brexit steht der Austritt Großbritanniens aus der Europäischen Union bedauerlicherweise unmittelbar bevor. Dies hat auch datenschutzrechtlich erhebliche Folgen. Da nach Aussagen des europäischen Verhandlungsführers zur Übernahme bzw. Beibehaltung der datenschutzrechtlichen Anforderungen keine Einigung „in Sicht ist“, müssen wir gegenwärtig davon ausgehen, dass es zu keinem sog. Angemessenheitsbeschluss kommen wird. Damit werden alle Übermittlungen personenbezogener Daten nach Großbritannien mit dem Vollzug des Austritts ohne Angemessenheitsbeschluss rechtswidrig, wenn hier keine individuellen vertraglichen Vereinbarungen mit den britischen Geschäftspartnern/Dienstleistern oder Subdienstleistern geschlossen werden.
Da diese Abschlüsse erfahrungsgemäß mindestens drei Monate Vorlaufzeit benötigen, ist Handeln dringend erforderlich.
Bitte überprüfen Sie, ob Sie zum gegenwärtigen Zeitpunkt mit Auftragnehmern mit Sitz im Vereinigten Königreich zusammenarbeiten. Betroffen sind möglichweise auch weitere Auftragsverarbeiter oder deren Subunternehmer, die in Großbritannien ihren Sitz haben oder die Datenverarbeitung in Großbritannien erfolgt. Dies ist in den geschlossenen Auftragsverarbeitungsverträgen aufgeführt.
Bitte kontaktieren Sie bereits jetzt diese Auftragsverarbeiter – oder wenn Sie sich nicht sicher sind alle Auftragsverarbeiter mit der Bitte um Auskunft – und erfragen Sie deren weiteres Vorgehen. Viele Dienstleister verlagern ihre Datenverarbeitungen und den Sitz des Unternehmens gegenwärtig bereits in die EU oder bieten aktive den Abschluss neuer Vereinbarungen an.
Bitte informieren Sie uns entsprechend, damit wir die Herstellung der Rechtmäßigkeit der Datenübermittlung zum 1.1.2021 prüfen und dokumentieren können.
Sollte sich Ihr Dienstleister nicht um eine Lösung bemühen, ist es ratsam, sich bereits jetzt über die Kündigungsfristen zu informieren und nach einem anderen Auftragsverarbeiter Ausschau zu halten.
Quelle: https://www.datenschutz-mv.de/datenschutz/DSGVO/Brexit/
II. Bericht der Datenschutzaufsichtsbehörde M-V veröffentlicht – „gigantisches Dunkelfeld von Rechtsbrüchen“
Der Landesbeauftragte für Datenschutz Mecklenburg-Vorpommern hat in seinem Tätigkeitsbericht für das Jahr 2019 insgesamt über:
- 793 Stellungnahmen, Empfehlungen und Beratungen
- 108 gemeldete Schutzverletzungen
- 533 Eingaben und Beschwerden
- 67 anlassbezogene Prüfungen
- 82 aufsichtsrechtliche Maßnahmen
- 94 begonnene förmliche Verwaltungsverfahren
aber nur 5 Bußgeldverfahren und 8 Androhungen von Zwangsgeldern sowie 3 anlassunabhängige Prüfungen berichtet. Dies zeigt eine deutliche Schwerpunktsetzung auf die Verfolgung konkreter Hinweise auf Rechtsverstöße und eine kooperative Lösung im Zusammenwirken mit den Verantwortlichen. Allerdings vermutet er „neben den bekannten und erkannten Verstößen im Datenschutzbereich“ auch ein „gigantisches Dunkelfeld von Rechtsbrüchen, die niemand bemerkt oder als solche erkennt“. Gleichzeitig spiegelt der Tätigkeitsbericht auch die eingeschränkten personellen Ressourcen der Aufsichtsbehörde wieder, die zu langen Bearbeitungsdauern und eingeschränkten Beratungsleistungen führt.
Wir möchten die wichtigsten Aussagen für Sie zusammenfassen:
1. Microsoft und Windows 10
Die Frage, ob Windows 10 datenschutzkonform ist, kann nicht pauschal beantwortet werden. Windows 10 ist eine Produktfamilie, bei der das eigentliche Betriebssystem nur noch einen Teil der Funktionalität ausmacht. Beispielsweise sind der Sprachassistent Cortana und die Anti-Virus-Software Windows Defender im Lieferumfang enthalten. Durch Updates können neue Funktionen hinzukommen.
In den wichtigen Punkten der Prüfung von Windows 10 und Microsoft Office 365 kommt die Aufsichtsbehörde nur zu dem völlig unbefriedigenden Zwischenstand, dass die Unternehmen und Behörden genau prüfen sollen, „ob sie die beim Einsatz von Windows 10 entstehenden Risiken beherrschen können. Falls nicht, sollten andere Betriebssysteme, insbesondere aus dem Open Source Bereich, in Betracht gezogen werden.“ Die Aufsichtsbehörde empfiehlt „den Verantwortlichen in Wirtschaft und Verwaltung, entweder die Einführung von Microsoft Office365 solange zurückzustellen, bis die rechtlichen Rahmenbedingungen geklärt sind, oder den Einsatz anderer Produkte, insbesondere aus dem Open Source Bereich, zu prüfen.“ Eine weitere Möglichkeit besteht darin, Windows 7 mit einem kostenpflichtigen zusätzlichen Support zu nutzen. Diese Option bietet Microsoft bis Januar 2023 an.
Der Einsatz von Windows 10 ist demnach weiterhin mit rechtlichen Risiken verbunden, weshalb die Datenschutzbehörden von Bund und Ländern weiter mit Microsoft im Dialog stehen.
2. Regeln für ein sicheres Passwort
Die Wahl eines sicheren Passworts ist unabdingbar. Wer sich bei einem Onlinedienst für einen anderen Nutzer anmelden kann, nimmt dessen Identität an und handelt in seinem Namen. Die Landesbehörde empfiehlt ein geeignetes Passwortmanagementsystem aufzubauen und regelmäßig zu evaluieren.
Tipps zur sicheren Passwortgestaltung:
- je länger desto sicherer, mindestens acht, besser aber 10 bis 12 Zeichen oder mehr
- alle verfügbaren Zeichen, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…), verwenden
- Passwörter nicht mehrfach verwenden, sondern für jeden Dienst ein eigenes nutzen
- Passwörter niemals an andere weitergeben
- wenn möglich eine 2-Faktor-Authentifizierung nutzen, um die Sicherheit weiter zu erhöhen; neben dem Passwort ist hierfür ein weiteres Zugangsmerkmal wie eine
- SMS oder TAN erforderlich
- ggf. einen Passwortmanager nutzen, um die unterschiedlichen Passwörter zu verwalten
3. Social-Plugins und Cookies
Webseitenbetreiber sind für das Setzen von Cookies oder das Einbinden von Drittinhalten (z.B. Social Plugins) datenschutzrechtlich verantwortlich. Bei Social-Plugins handelt es sich um kleine Schaltflächen auf Webseiten, über die personenbezogene Daten der Webseitenbesucher an die Anbieter (idR. Facebook, Twitter etc.) übertragen werden können.
Für das Einbinden von Social-Plugins gilt in Zukunft, dass sich der Webseitenbetreiber die hierfür nötige informierte Einwilligung vom Webseitenbesucher einholen muss. Das Setzen von Cookies, welche rein technisch für das Bereitstellen der Webseite nicht erforderlich sind (z. B. für den Warenkorb), benötigt künftig auch die informierte Einwilligung. Ebenfalls wurde höchstrichterlich bekräftigt, dass vorausgefüllte Ankreuzkästchen zum Einholen einer informierten Einwilligung datenschutzrechtlich nicht zulässig sind. Ein sogenannter Cookie-Banner, der von der Annahme ausgeht, dass ein Weitersurfen auf der Website eine informierte Einwilligung bedeuten soll, ist somit unzureichend.
4. Vertraulichkeit bei der Übermittlung von E-Mails
Die Landesbehörde weist darauf hin, dass eine unverschlüsselte Kommunikation etwa bzgl. Bewerberdaten oder auch von (Lohn-)Abrechnungsdaten der Vertraulichkeit und Integrität nicht ausreichend Rechnung trägt. Sollen sensible Informationen ausgetauscht werden, darf bei unverschlüsseltem E-Mail-Verkehr nicht unberücksichtigt bleiben, dass Personen die jeweilige E-Mail unbefugt mitlesen können.
Des Weiteren spricht die Behörde beim Versenden von Rundmails die Empfehlung aus, das Feld BC (Blindkopie) statt CC zu nutzen. Hiermit würde die Nachricht alle Empfänger erreichen, ohne dass der jeweilige Empfänger sehen kann, welche andere Personen diese E-Mail noch erhalten haben. Somit kann eine ungewollte Kontaktaufnahme der Empfänger untereinander vermieden werden.
5. Umgang mit externen Datenträgern (z.B. Festplatte)
Die Landesbehörde sensibilisiert aufgrund eines gemeldeten Datenschutzvorfalls beim Einsatz von externen Datenträgern noch einmal wie folgt:
- kritische Prüfung der Zwecke der gespeicherten Daten (es ist die Löschung der Daten erforderlich, sobald der Zweck für den die Daten erhoben wurden, weggefallen ist)
- Verschlüsselung der externen Datenträger erforderlich
- Erarbeitung von klaren Regelungen im Umgang mit externen Datenträgern im Rahmen von Dienstanweisungen
6. Datenverarbeitung in Vereinen / Stiftungen
Die Verarbeitung personenbezogener Daten in Vereinen und Stiftungen ist immer dann zulässig, wenn sie für die Begründung und Durchführung des Vertragsverhältnisses (Buchhaltung, Mitglieder- und Mitarbeiterverwaltung, Durchführung von Vereinsaktivitäten) erforderlich ist. Weiterhin ist auch jene Datenverarbeitung zulässig, die aus der Verfolgung der Vereins- und Stiftungsziele erwächst. Diese Ziele müssen aber in der Satzung definiert sein, damit sie als Rechtfertigungsgrund dienen können.
Sollen personenbezogene Daten zu Zwecken verarbeitet werden, die in der Satzung nicht erwähnt sind, ist als gesetzliche Grundlage eine Einwilligung der Mitglieder erforderlich. Eine Einwilligung kann beispielsweise in Teilnahmeanträgen enthalten sein.
7. Einsatz von Messenger-Diensten im Gesundheitswesen
Die Landesbehörde weist darauf hin, dass beim Einsatz von Messengerdiensten im Krankenhaus eine gewissenhafte Prüfung des Funktionsumfangs zu erfolgen hat.
Verlangt wird:
- dass man die Messenger-Applikation nur nach zusätzlicher Authentifikation nutzen kann (das Gerät lediglich zu entsperren ist nicht ausreichend)
- die Kontaktdaten des Messengers müssen separat verwaltet werden; sie dürfen nicht mit denen anderer Apps vermischt sein
- Inhalts- und Verkehrsdaten müssen regelmäßig gelöscht werden. Insbesondere auf den Endgeräten muss dies automatisiert geschehen (längerfristige Speicherungen von personenbezogenen Daten von Patienten sind nur auf den Servern des Krankenhauses oder seiner Auftragsverarbeiter zulässig)
- Ende-zu-Ende-Verschlüsselung
- Verschlüsselte Speicherung der Daten auf dem Endgerät
- Endgerät muss regelmäßig mit Sicherheits-Updates versorgt werden
- Einbindung der Endgeräte in Mobile Device Management wird empfohlen
8. Verantwortlichkeit bei der Telematik-Infrastruktur
Der Landesbeauftragte hat sich gemeinsam mit den Datenschutzaufsichtsbehörden anderer Bundesländer dafür eingesetzt, dass die Gematik für all das, was den Nutzern vorgeschrieben ist, die Verantwortung tragen muss. Die Gematik ist damit für die zentrale Zone TI-Plattform alleinverantwortlich. Dies betrifft die vorgegebenen Spezifikationen und Konfigurationen für die Konnektoren, VPN Zugangsdienste und Kartenterminals.
Im Hinblick auf den Anschluss in der Praxis vor Ort – der dezentralen Zone – besteht hingegen eine gemeinsame Verantwortlichkeit.
Allein verantwortlich ist die Praxis jedoch für das Schaffen der Rahmenbedingungen, in denen die TI Anwendung findet. Dies umfasst die Konfiguration der Praxis-Software oder Zugangskontrolle zu Datenverarbeitungsgeräten und Räumlichkeiten. Die Information der Patienten sollte im Bereich Empfänger um die Gematik ergänzt werden.
Quelle: Der Tätigkeitsbericht 2019 steht unter https://www.datenschutz-mv.de/datenschutz/publikationen/taetigkeitsberichte/ zum Download bereit.
III. Anforderungen zur Erfüllung eines Auskunftsanspruches
Mitarbeiter, Kunden, Mitglieder und sonstige Personen, deren personenbezogene Daten durch ein Unternehmen, einen Verein oder eine Stiftung verarbeitet werden (Betroffener), haben das Recht, eine Auskunft über eben jene Datenverarbeitung zu erhalten. Diese Auskunft ist grundsätzlich innerhalb eines Monats zu erteilen.
Zum Umfang und den Anforderungen hat das Landesarbeitsgericht Düsseldorf kürzlich Stellung bezogen und wegen des Verstoßes hiergegen dem Betroffenen einen Schadenersatz in Höhe von 5.000€ zugesprochen (Arbeitsgericht Düsseldorf, 9 Ca 6557/18).
Es stellt dabei klar, dass sowohl der Verarbeitungszweck, als auch die Kategorien der personenbezogenen Daten, die verarbeitet werden, deutlich zu benennen sind. Die Angaben zum Zweck müssen vollständig und so konkret und detailliert sein, dass sich der Betroffene ein Bild davon machen kann, welche Datenverarbeitungen zu welchen Zwecken erfolgen. Eine Aufzählung aller möglichen Verarbeitungszwecke genügt dem nicht.
Aber es hat auch klargestellt, dass für den Betroffenen kein Anspruch auf Herausgabe einer Kopie sämtlicher in den internen IT-Systemen, Servern, Mail-Postfächern, Web-Anwendungen, Verzeichnisstrukturen und sonstigen Speichermedien vorliegender Daten zusteht. Die Herausgabe einzelner Mail-Verläufe, etc. bezeichnet das Gericht als unverhältnismäßigen Aufwand und spricht sich gegen eine solche Herausgabe aus.Des Weiteren bedarf es keiner Auskunft über die rechtmäßige Datenverarbeitung durch Dritte, beispielsweise durch vorschriftsmäßig eingebundene Dienstleister.
Quelle: Arbeitsgericht Düsseldorf, 9 Ca 6557/18, https://www.justiz.nrw.de/nrwe/arbgs/duesseldorf/arbg_duesseldorf/j2020/9_Ca_6557_18_Urteil_20200305.html