Deutsche Datenschutzbehörden prüfen internationale Datentransfers

Gestern wurde bekannt, dass insgesamt 10 deutsche Landesdatenschutzbehörden in der nächsten Zeit ca. 500 deutsche Unternehmen und durch diese vorgenommene Datenübermittlungen in Drittstaaten außerhalb des EWR prüfen.

Beteiligt sind die Behörden folgender Bundesländer: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.
Die Landesbeauftragte aus Nordrhein-Westfalen informiert zum Hintergrund der Aktion:

Nach den bisherigen Erfahrungen der Aufsichtsbehörden ist mit bestimmten Produkten und Leistungen regelmäßig eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden. Relevant sind beispielswiese Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Rahmen der Prüfaktion gezielt nach dessen Einsatz gefragt. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu benennen.

Den Fragebogen der Behörden können Sie hier abrufen (pdf).

Unter anderem wird darin auch nach Datentransfers gefragt, die auf dem neuen EU-US Datenschutzschild (Privacy Shield) basieren. Zudem wird bei den möglichen Auswahlkriterien auch noch „Safe Harbor“ erwähnt. Der Beschluss der EU-Kommission zu Safe Harbor wurde jedoch bereits am 6. Oktober 2015 durch den Europäischen Gerichtshof für ungültig erklärt. Datenübermittlungen in die USA können seitdem nicht mehr zulässig auf dieser Grundlage erfolgen.

Neue Tätigkeitsberichte der Aufsichtsbehörden in Hessen und Rheinland-Pfalz vorgestellt

Diese Woche haben die Datenschutzaufsichtsbehörden in Hessen und auch in Rheinland-Pfalz ihre Tätigkeitsberichte für die Jahre 2014/15 veröffentlicht.

Tätigkeitsbericht Hessen (pdf)

Tätigkeitsbericht Rheinland-Pfalz (pdf)

Wie immer gilt, dass die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz Praxis relevante Informationen zur Anwendung des Datenschutzrechts liefern.

So befasst sich der hessische Datenschutzbeauftragte etwa mit der sehr relevanten Frage der Zulässigkeit von konzerninternen Datentransfers zwischen Unternehmen. Wenn keine Auftragsdatenverarbeitung vorliegt, muss für Datenübermittlungen eine Einwilligung der Beschäftigten oder ein gesetzlicher Erlaubnistatbestand vorliegen. Nähere Informationen zu dieser Thematik finden Sie im Blog von Carlo Piltz.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für Einwilligungserklärungen

Der sogenannte Düsseldorfer Kreis, die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine neue „Orientierungshilfe zu datenschutzrechtlichen Einwilligungserklärung in Formularen“ (pdf) veröffentlicht. In dem Dokument (Stand: März 2016) liegen die deutschen Aufsichtsbehörden ihre Ansichten zu den Voraussetzungen für die Abgabe einer zulässigen, datenschutzrechtlichen Einwilligungserklärung in Formularen dar. Dabei beziehen sich die Ausführungen sowohl auf schriftliche Einwilligungserklärung (§ 4a BDSG) als auch auf elektronische Erklärungen (§  13 Abs. 2 und 3 TMG). Weitere Informationen hierzu finden Sie im Blog von Carlo Piltz.

Europäische Kommission veröffentlicht Texte zum Privacy Shield

Gestern hat die Europäische Kommission mehrere Dokumente zu dem geplanten Safe Harbor Nachfolger, dem EU-US Privacy Shield, veröffentlicht.

Auch eine eigene Seite mit „Häufig gestellten Fragen“ wurde durch die Kommission eingerichtet. Anhand der Informationen auf dieser Seite lässt sich ein erster, grober Eindruck der nun vorliegenden Texte erhalten.

In einem nächsten Schritt werden die Vertreter der europäischen Datenschutzbehörden, die Art. 29 Gruppe, die vorgelegten Texte analysieren und dann Mitte April eine Stellungnahme veröffentlichen.

Landesdatenschutzbeauftragter für Sachsen-Anhalt veröffentlicht Tätigkeitsbericht

Heute hat der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Dr. Harald von Bose, seinen Tätigkeitsbericht (pdf) für den Berichtszeitraum 01.04.2013 bis 31.03.2015 vorgestellt.

Wie jeder Tätigkeitsbericht der Landesdatenschutzbehörden enthält auch dieser einige für die Praxis interessante Ausführungen zu verschiedensten Themen des Datenschutzes und der Datensicherheit. In seinem aktuellen Tätigkeitsbericht geht der Landesdatenschutzbeauftragte etwa auf die Thematik internationaler Datentransfers nach dem Safe Harbor-Urteil des EuGH ebenso ein, wie auf die Frage der datenschutzkonformen Organisationen von Arztpraxen. Mit Blick auf den Bereich der Telemedien (Internet, Apps) befasst sich der Tätigkeitsbericht unter anderem mit Fragen der datenschutzrechtlichen Zulässigkeit des Tracking durch Cookies oder mittels Device-Fingerprinting.

Bayerische Aufsichtsbehörde versendet Fragebogen zur Datenschutzorganisation

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat auf seiner Webseite den Beginn einer Prüfaktion von über 50 Unternehmen in Bayern bekanntgegeben. Für diese Prüfung zur Datenschutzorganisation im ersten Halbjahr 2016 wurden nach Angaben des BayLDA über 50 Unternehmen ausgewählt und in einem ersten Schritt mit einem Fragebogen angeschrieben. Den Fragebegogen finden Sie hier.

Abgefragt wird unter anderem, ob ein Datenschutzbeauftragter bestellt wurde, welche technischen und organisatorischen Maßnahmen im Unternehmen umgesetzt sind und es wird um die Übersendung des Verfahrensverzeichnisses gebeten.

Aufsichtsbehörden veröffentlichen Leitfaden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat eine aus Sicht der datenschutzrechtlichen Praxis sehr relevante „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ (pdf) veröffentlicht (Stand: Januar 2016).

Darin gehen die Aufsichtsbehörden auf die verschiedenen Situationen ein, in denen das Internet und der betriebliche E-Mail-Account in Unternehmen genutzt wird:

  • Ausschließlich betriebliche Nutzung
  • Erlaubte private Nutzung

Für jede diese Situationen kann sich die Rechtslage anders darstellen und bedarf daher in Unternehmen einer Analyse. Im besten Fall durch den betrieblichen Datenschutzbeauftragten.

Die Aufsichtsbehörden berichten zudem, dass

Arbeitgebern oftmals aus Unkenntnis gravierende datenschutzrechtliche Fehler unterlaufen, die im schlimmsten Falle sogar strafrechtlich relevant sind.

Der Orientierungshilfe sind zudem zwei Muster von Betriebsvereinbarungen angehängt, die als Grundlage bei der Erstellung einer solchen Betriebsvereinbarung, die eine private Nutzung des Internets im Unternehmen regeln kann, in der Praxis wertvolle Leitlinien darstellen können.

Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg u.a. zu Kunden-Hotlines, Krankenhausinformationssystemen und E-Mail-Marketing

Neuer Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg: Interessantes zu Kunden-Hotlines, Krankenhausinformationssystemen und E-Mail-Marketing

Der Landesbeauftragte für den Datenschutz Baden-Württemberg, die Datenschutzaufsichtsbehörde im Bundesland, hat ihren Tätigkeitsbericht für 2014/2015 veröffentlicht. Wie immer findet sich darin eine Vielzahl von interessanten Hinweisen für die Praxis. Dieses Jahr unter anderem:

  • Jeder, der bei einer Kunden-Hotline anruft, kennt diesen oder einen ähnlichen Ansagetext: „Aus Gründen der Qualitätssicherung und für Schulungszwecke werden einzelne Gespräche aufgezeichnet.“ Nach Auffassung der Behörde ist es datenschutzrechtswidrig, auf der Grundlage einer solchen Ansage und eines darauf folgenden Schweigens der Anrufers das Telefonat oder Teile von ihm aufzuzeichnen. Der Grund: Eine Aufnahme sei nur möglich, nachdem der Anrufer ausdrücklich eingewilligt habe (Opt-in). Die Widerspruchslösung („Nein, ich möchte nicht, dass das Gespräch aufgezeichnet wird“ = Opt-out) genüge hingegen den gesetzlichen Anforderungen nicht. Man muss diese Auffassung aus rechtlicher Sicht nicht teilen. Nicht bestreiten lässt sich aber die praktische Relevanz der Auffassung der Behörde, da davon auszugehen ist, dass sie zukünftigen Prüfungen in Baden-Württemberg erst einmal zu Grunde liegen wird.
  • Krankenhausinformationssysteme sind komplexe Software- und Datenbanksysteme, mit deren Hilfe eine Vielzahl von personenbezogenen Daten verarbeitet wird, darunter viele Daten, die dem strengeren Schutz der 3 Nr. 9 BDSG unterfallen („Angaben über die Gesundheit“). Die Behörde stellt fest, dass zwar alle geprüften Krankenhäuser mittlerweile über Rechte- und Rollenkonzepten verfügen (ohne solche Konzepte geht es auch in anderen Bereichen grundsätzlich nicht), dass aber noch nicht in notwendigen Umfang erfasst wird, wer wann welche personenbezogenen Daten abruft, verwendet usw. und dass Patientendaten noch viel zu selten gegen eine Verarbeitung gesperrt werden.
  • Zum E-Mail-Marketing bietet der Tätigkeitsbericht eine durchaus brauchbare Übersicht zu den Regelungen, die insgesamt zu beachten sind. Dabei handelt es sich gerade nicht nur um datenschutzrechtliche Normen, sondern auch um solche des UWG (Gesetz gegen den unlauteren Wettbewerb). Auch einige Musterformulare für entsprechend Einwilligungserklärungen werden angeboten. Man muss zu dieser Materie nicht alle Ansätze der Behörde überzeugend finden; der Bericht bietet hier aber in jedem Fall eine guten Einblick in die Fragen, die die Behörden den werbenden Unternehmen und ihren Dienstleisters stellt, wenn sie prüft.