Kernpunkte:
- Instrumentenkoffer der Aufsicht
- Behördliche und betriebliche Datenschutzbeauftragte als Fundament
- Datenpannen ernst nehmen
1 Datenschutz und Informationsfreiheit
1.1 Datenschutz aus Europa – der
Instrumentenkoffer für die Aufsicht
Die europäische Datenschutzreform hat einiges Neues mit sich gebracht. Darunter waren gar nicht so viele überraschende oder vorher unbekannte Anforderungen an die Verarbeitung personenbezogener Daten, denn vorher bestanden die meisten Rechte und Pflichten schon in ähnlicher Form. Neu ist aber der europaweit stärker vereinheitlichte und umfassendere Katalog an Aufgaben und Befugnissen für die Datenschutzaufsichtsbehörden.
Die Aufgaben ergeben sich aus Artikel 57 der Datenschutz-Grundverordnung , der sie von A bis (fast) Z (genau genommen von Buchstabe a bis Buchstabe v, also 22 Aufgabenbereiche) aufzählt.
Aufgaben in Artikel 57 DSGVO
[…] muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder; […]
f) sich mit Beschwerden […] befassen, […]
h) Untersuchungen über die Anwendung dieser Verordnung durchführen, […]
v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
Aus den Aufgaben ergibt sich, dass die Datenschutzaufsichtsbehörde sowohl anlassbezogene Prüfungen (aufgrund von Beschwerden) als auch anlasslose Untersuchungen vornehmen kann. Wenn Beschwerden einer betroffenen Person in eigener Sache erhoben werden, muss die Aufsichtsbehörde dem nachgehen. Handelt es sich dagegen um Hinweise oder Prüfanregungen an die Aufsichtsbehörde, weil jemand ein möglicherweise datenschutzrechtswidriges Verhalten beobachtet hat, ist die Untersuchung in ihr pflichtgemäßes Ermessen gestellt.
Im öffentlichen Bereich, besonders bei Polizei und Verfassungsschutz, werden in gesetzlichen Regelungen oder in der Rechtsprechung des Bundesverfassungsgerichts Prüfpflichten für die Aufsicht festgeschrieben (37. TB, Tz. 4.2.1). Prüfungen ohne konkreten Anlass sind generell dann sinnvoll oder sogar notwendig, wenn die betroffenen Personen Datenschutzmängel nicht so leicht erkennen können und daher keine Beschwerden bei der Aufsichtsbehörde eingehen. Dazu gehören auch Probleme bezüglich der Informationssicherheit, bei denen vielleicht über Jahre kein Missbrauch von Daten passiert (oder jedenfalls nicht bemerkt wird – das ist ein weiteres Problem!), doch erhebliche Risiken für die betroffenen Personen bestehen können.
Die Befugnisse der Datenschutzaufsicht werden in Artikel 58 DSGVO in Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse unterteilt. Vertreterinnen und Vertreter der Medien fragen regelmäßig die Anzahl und Höhe der verhängten Bußgelder ab – doch die Geldbuße ist nur eine von zahlreichen Abhilfebefugnissen. Es gilt nämlich die für den Einzelfall geeigneten Maßnahmen zu treffen. Dazu können Geldbußen gehören, aber mindestens ebenso wichtig sind Anordnungen (in der DSGVO auch Anweisung genannt) der Aufsichtsbehörde, um die Datenverarbeitung in Einklang mit den rechtlichen Anforderungen zu bringen. Während die Geldbuße in die Vergangenheit wirkt und einen bereits stattgefundenen Verstoß ahndet, wirken Anordnungen in die Zukunft. Das kann so weit gehen, dass die Verarbeitung der personenbezogenen Daten beschränkt oder sogar endgültig untersagt wird.
Abhilfebefugnisse nach Artikel 58 DSGVO
Warnung, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
Verwarnung, wenn ein Verstoß vorliegt,
Anweisung, Anträgen der betroffenen Personen auf Ausübung der Betroffenenrechte zu entsprechen,
Anweisung, Verarbeitungsvorgänge in Einklang mit den rechtlichen Anforderungen zu bringen,
Anweisung der Benachrichtigung von betroffenen Personen über Datenpannen,
Verhängung einer Beschränkung der Verarbeitung, einschließlich eines Verbots,
Anordnung zur Berichtigung oder Löschung von personenbezogenen Daten o. Ä.,
Verhängung einer Geldbuße,
Anordnung, eine Übermittlung von Daten an einen Empfänger in einem Drittland auszusetzen.
Der Rahmen für Geldbußen ist in Artikel 83 festgelegt: Für die meist formalen, weniger schweren Verstöße gilt ein Rahmen bis zu 10.000.000 Euro oder im Fall eines Unternehmens bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Für die schwereren Verstöße gilt ein Bußgeldrahmen bis zu 20.000.000 Euro bzw. vier Prozent des Vorjahresumsatzes. Geldbußen müssen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein, die Bemessung muss sich an zahlreichen Kriterien orientieren (Artikel 83 DSGVO). Im Interesse einer nachvollziehbaren, transparenten und einzelfallgerechten Form der Bußgeldzumessung sammeln die Aufsichtsbehörden seit Kurzem mit der Anwendung eines Konzepts der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Erfahrungen.
https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-11
Der Umfang der Prüfungen wird durch die zur Verfügung stehenden Ressourcen begrenzt. Ein weiteres Problem besteht aber darin, dass die Verantwortlichen ihrer Rechenschaftspflicht nicht nachkommen können, weil ihnen konkrete Kenntnisse über die Verarbeitung durch Dienstleister fehlen oder weil insgesamt ein undokumentierter und unkontrollierbarer Zustand der Datenverarbeitung zu einer mangelnden Prüfbarkeit führt.
Der Verantwortliche muss einen Bescheid der Datenschutzaufsichtsbehörde nicht hinnehmen, sondern kann dagegen Klage erheben. Gerichtliche Klärungen sind positiv für mehr Rechtssicherheit – gerade angesichts vieler abstrakter Formulierungen in der DSGVO, die einer Konkretisierung bedürfen. Jedoch nimmt der Weg durch die gerichtlichen Instanzen längere Zeit in Anspruch. Wenn am Ende des Gerichtsverfahrens ein rechtskräftiges Urteil steht, hat es manchmal nur noch historischen Wert, weil die beanstandete Verarbeitungstechnik mittlerweile geändert wurde – nicht unbedingt aber im Sinne des Datenschutzes. Dann beginnt die Arbeit der Aufsichtsbehörde quasi von vorne.
Was ist zu tun?
Datenschutzaufsichtsbehörden werden sich weiter abstimmen, um deutschland- und
europaweit in vergleichbarer Weise das Datenschutzrecht anzuwenden, Prüfungen
durchzuführen und Sanktionen zu verhängen.
1.2 Zahlen und Fakten zum Jahr 2019
Rückblende: Kurz bevor die Datenschutz-Grundverordnung am 25. Mai 2018 Geltung erlangte, wurde es hektisch in Deutschland: Alle Datenschutzaufsichtsbehörden wurden mit Tausenden von Fragen bombardiert, wie man denn nun die neuen gesetzlichen Regelungen umsetzen solle. Die Materialien, z. B. Kurzpapiere, die Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“, Muster und Anleitungen waren online und offline stark nachgefragt. Wer in Sachen Datenschutz schon gut aufgestellt war, wollte dies auch beim Übergang in die neue Ära der DSGVO so beibehalten und konnte konkrete und manchmal auch sehr spezielle Bedarfe formulieren. Für wen allerdings Datenschutz Neuland war, der wurde sich immer deutlicher bewusst, dass vermutlich in den Jahren davor Versäumnisse bestanden, wenn nämlich Rechtsgrundlagen gar nicht klar waren oder bei den technisch-organisatorischen Sicherheitsmaßnahmen quasi bei null angefangen werden musste.
Mittlerweile haben sich die Wogen geglättet. Das Grundbewusstsein ist nun viel stärker bei den Verantwortlichen ebenso wie bei den Dienstleistern und vor allem bei den betroffenen Personen ausgeprägt. Vielfach gibt es Standardlösungen, die die Verantwortlichen für ihre jeweiligen Spezifika anpassen können. Dienstleister und Hersteller sind nur selten völlig ahnungslos bezüglich des Datenschutzes und unterstützen zunehmend diejenigen, die die Dienste und Produkte nutzen, auch in Datenschutz- und Informationssicherheitsfragen.
2019 erreichten uns 1194 schriftliche Beschwerden, von denen 235 nicht in unserer Zuständigkeit (öffentliche und nichtöffentliche Stellen in Schleswig-Holstein mit Ausnahme bestimmter Bereiche in Bundeszuständigkeit, z. B. Telekommunikation) lagen und an zuständige Kollegen abgegeben werden mussten. Nur eine kleine Anzahl der abgegebenen Beschwerden betraf Fälle, die von Kollegen in anderen Mitgliedstaaten, z. B. Dänemark, übernommen wurden.
Insgesamt wurden in eigener Zuständigkeit 959 Verfahren eröffnet, davon richteten sich mehr als zwei Drittel der Beschwerden gegen Unternehmen (680), der Rest gegen Behörden (279).
Dazu kamen 758 Beratungen für den öffentlichen und den nichtöffentlichen Bereich.
Die Zahl von 349 eingeleiteten Verfahren zu Verletzungen des Schutzes personenbezogener Daten (Datenpannen) ist zwar schon recht hoch – an jedem Arbeitstag erreichen uns mehrere Meldungen oder nähere Erläuterungen zu schon getätigten Meldungen. Dennoch erfahren wir auch immer wieder von Datenpannen, bei denen die Verantwortlichen der Meldepflicht nicht nachgekommen sind.
Nach unserem Eindruck wird die Dienststelle der Landesbeauftragten für Datenschutz in Gesetzgebungsvorhaben auf Landesebene schon weitgehend eingebunden, wenn Aspekte des Datenschutzes oder des Informationszugangs betroffen sein könnten. Dies geschah im Berichtsjahr über die Arbeitsebene parallel zur Anhörung von Verbänden oder über die Ausschüsse im Landtag in 39 Fällen.
Von den Abhilfemaßnahmen wurde im Berichtsjahr wie folgt Gebrauch gemacht:
- 37 Warnungen
- 26 Verwarnungen
- 2 Anordnungen
Eine Geldbuße wurde im Jahr 2019 nicht verhängt.
Ohne vorherige Beschwerde wurden 10 Prüfungen im öffentlichen und 13 im nichtöffentlichen Bereich durchgeführt.
1.3 Die
behördlichen und betrieblichen Datenschutzbeauftragten
– tragende Säulen
Wer ist für den Datenschutz verantwortlich? Na klar, der „Verantwortliche“ – so nennt die DSGVO die natürliche oder juristische Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Solche Entscheidungen trifft die Chefin oder der Chef – vielleicht nicht immer persönlich, aber auch dann verbleibt die Verantwortlichkeit in der Chefetage. Einige mögen sich nun verwundert die Augen reiben: „Dafür haben wir doch unsere Datenschutzbeauftragte“ oder „Aber wozu haben wir denn gerade unseren Datenschutzbeauftragten auf Schulung geschickt?“ Ein häufiges Missverständnis, das bei uns auch immer wieder zu Nachfragen führte (Tz. 4.1.1 und 4.1.2 für die behördlichen Datenschutzbeauftragten). Außerdem finden sich Aufgaben und Anforderungen in der Broschüre „Datenschutzbeauftragte“ unserer Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“:
https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-2-Datenschutzbeauftragte.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-13
Deutschland hat eine jahrzehntelange Tradition der betrieblichen Datenschutzbeauftragten, die sich in verschiedenen Berufsverbänden, Vereinen oder Arbeitskreisen austauschen können. In den meisten Bundesländern gab es zudem die Pflicht für Behörden, Datenschutzbeauftragte zu benennen. Dies gilt jetzt flächendeckend in der EU.
Für einen Austausch über die Grenzen hinweg hat die Landesbeauftragte für Datenschutz die vielen Errungenschaften der Datenschutzbeauftragten bei den österreichischen Nachbarn vorstellen dürfen. Dort gibt es für den öffentlichen Bereich eine Besonderheit: Die dort benannten Datenschutzbeauftragten haben eine Pflicht zum regelmäßigen Erfahrungsaustausch.
§ 5 Abs. 5
Österreichisches Datenschutzgesetz
(5) Die Datenschutzbeauftragten im
öffentlichen Bereich gemäß Abs. 4 pflegen einen regelmäßigen
Erfahrungsaustausch, insbesondere im Hinblick auf die Gewährleistung eines
einheitlichen Datenschutzstandards.
Dies geschieht auf freiwilliger Basis auch in Schleswig-Holstein: Schon vor Geltung der DSGVO waren die behördlichen Datenschutzbeauftragten (soweit vorhanden) in einem Arbeitskreis zusammengeschlossen. Mittlerweile haben sie sich in verschiedenen Arbeitskreisen organisiert: So gibt es Arbeitskreise der behördlichen Datenschutzbeauftragten für die Städte und Gemeinden, für die Kreise und kreisfreien Städte, für die Ämter und Zweckverbände und für die obersten Landesbehörden.
Dieser Austausch zielt auch auf die Gewährleistung einheitlicher Datenschutzstandards, wie es unsere österreichischen Nachbarn geregelt haben. Zusätzlich helfen Informationen zu den an einer Stelle gefundenen Lösungen im Sinne von Best Practices anderen Datenschutzbeauftragten bei ihren Beratungs- oder Prüfungsaufgaben. Oftmals profitiert man von den Perspektiven der anderen, um daraus zu lernen oder die bisherigen Abläufe bei der Wahrnehmung der Aufgaben zu verbessern.
Nicht Pflicht, aber hilfreich ist es, wenn die Datenschutzbeauftragten vor Ort eine besondere Aufmerksamkeit für das Thema schaffen und zu motivieren wissen. Daher haben wir im Austausch mit den österreichischen Kollegen Ideen behördlicher Datenschutzbeauftragter diskutiert, die mal mit Ernst, mal mit Spaß zur Sensibilisierung der Belegschaft beitragen:
- Aktionstage „Löschen/Schreddern“,
- „Gamification“-Ansätze von Datenschutz mit Preis (Obst/Schokoriegel),
- Datenschutzquiz,
- Datenpannensimulation,
- anonymisiert realisierte Phishing-Tests,
- Selbstdatenschutz mit Mehrwert für die Beschäftigten,
- im Team produzierte Kurzvideos für Schulungszwecke.
Wir kennen es auch in anderen Bereichen: Wer einmal eine Brandschutzschulung mit Praxisteil – also echtem Feuer – gemacht hat, wird dies nicht mehr vergessen und künftig insgesamt aufmerksamer für damit zusammenhängende Risiken sein.
Was ist zu tun?
Die Verantwortlichen sollen ihre
Datenschutzbeauftragten beim Erfahrungsaustausch mit anderen unterstützen.
1.4 Datenpannen auch in Schleswig-Holstein – ein Grund zur Sorge
Jeden Tag erreichen uns Meldungen zu Verletzungen des Schutzes personenbezogener Daten – das zeigt, dass jemand in der Organisation von der Meldepflicht nach der DSGVO wusste (z. B. Tz. 4.1.13 und Tz. 5.4). Immer öfter erhalten wir auch professionelle Meldungen, die alle vorgeschriebenen Informationen beinhalten und bei denen man erkennt, dass interne Abläufe definiert sind, damit zeitgerecht reagiert wird. Das betrifft nicht nur das Ausfüllen eines Meldungsformulars, sondern der Vorfall wird bewertet und es werden geeignete Maßnahmen getroffen, um das Risiko für die betroffenen Personen einzudämmen und nach Möglichkeit zu verhindern, dass eine solche Datenpanne erneut geschieht.Kritisch sehen wir solche Bereiche, in denen gar nicht oder sehr sparsam gemeldet wird, obwohl uns dann später doch irgendwie Vorfälle bekannt werden, die hätten gemeldet werden müssen. Es wäre auch ungewöhnlich, wenn bei Tausenden von Beschäftigten, die mit personenbezogenen Daten umgehen, nie Datenschutzfehler geschähen (beispielsweise siehe Tz. 4.2.5).
Anlass zur Sorge besteht, wenn Trojaner und andere Schadsoftware im großen Maßstab Rechner infizieren und personenbezogene Daten abfließen oder vernichtet werden können (Tz. 6.3.4). Nicht alle dieser Vorfälle betreffen personenbezogene Daten, sodass nur ein Teil dieser Schadsoftware-Infektionen meldepflichtig ist. Aber bedenklich ist in einer zunehmend digitalisierten Welt, wenn die Datenverarbeitungen angegriffen und geschädigt werden können. Es gibt nach unserer Einschätzung in vielen Unternehmen und Behörden einen Nachholbedarf zum Umsetzen von Informationssicherheit. Das bedeutet wiederum, dass aktualisierte und geschützte Computersysteme bei den betroffenen Stellen nicht der Standardfall sind. Hier ist fraglich, ob die DSGVO-Regelungen zu technischem Datenschutz wie Artikel 25 und Artikel 32 DSGVO umgesetzt wurden.
Auf Bundesebene werden Reisewarnungen für das Mitführen von Geräten in Staaten, bei denen eine erhöhte Spionagegefahr vermutet wird, ausgegeben. Das ist alles gar nichts Neues. Was aber überrascht, ist die Empfehlung, man solle bei solchen gefahrenträchtigen Auslandsreisen Wegwerf-Handys verwenden, die im Anschluss an die Reise dann auch wirklich weggeworfen werden.
Das bedeutet nicht weniger als eine Bankrotterklärung zur Beherrschbarkeit der Informationstechnik. Sollte es wirklich so sein, dass es nicht mehr möglich ist, einen vertrauenswürdigen „Leerzustand“ herzustellen, der ein neuer Startpunkt für eine korrekte Installation ist, fehlen jegliche Garantien in der digitalisierten Welt. Denn wer sagt, dass nicht schon der Auslieferungszustand manipuliert war? Wie soll denn eine Informationsgesellschaft ohne Integrität von Systemen und Daten funktionieren?
Was ist zu tun?
Verantwortungsvolle Digitalisierung
braucht eine valide Basis, sonst ist der Nutzen fraglich und das Risiko immens
– für die Menschen, die Gesellschaft, den Staat und die Wirtschaft.
Für Schleswig-Holstein bedeutet
dies, dass sich alle Stellen – im öffentlichen und im nichtöffentlichen
Bereich – im Datenschutz wie auch in der Informationssicherheit überprüfen
sollten. Nicht zu kurz kommen darf die Sensibilisierung der Mitarbeiterinnen
und Mitarbeiter, damit Probleme und Pannen schnell erkannt und behoben werden
können.
1.5 Nächste Schritte für mehr Transparenz – das Transparenzportal & mehr
Im letzten Bericht haben wir zu Informationsfreiheit „by Design“ berichtet (37. TB, Tz. 2.2.4). Zusammen mit den anderen Kollegen der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder haben wir dieses Thema aufgegriffen und einige Beispiele vorgestellt, wie sich Informationsfreiheit mit technischen und organisatorischen Werkzeugen verbessern lässt.
Für unsere interne Organisation bedeutet dies auch, dass – wie schon lange im Bereich Datenschutz – Aufgaben im Informationsfreiheitsbereich ebenso juristische wie auch technische Expertise benötigen, sodass einige Fragestellungen am besten von interdisziplinären Teams bearbeitet werden.
Informationsfreiheit
„by Design“
Zu Informationsfreiheit „by Design“
zählt die Gesamtheit technischer und organisatorischer Instrumente unter
Berücksichtigung des Stands der Technik, die dazu dient, die
informationspflichtigen Stellen in Bund und Ländern bei der Erfüllung ihrer
Aufgaben im Bereich der Informationsfreiheit (einschließlich
Transparenzgesetzen) zu unterstützen.
Das betrifft z. B. praktische Details zum Transparenzportal, das vom Land Schleswig-Holstein bereitgestellt wird (Tz. 6.3.2 und Tz. 12.5) und sich nun als Instrument für mehr Transparenz entfalten soll.
https://www.datenschutzzentrum.de/artikel/1317-Informationsfreiheit-by-Design.html
Kurzlink: https://uldsh.de/tb38-15a
https://www.datenschutzzentrum.de/uploads/sommerakademie/2019/SAK2019_IB06_Walczak-Informationsfreiheit-by-Design.pdf
Kurzlink: https://uldsh.de/tb38-15b
Gleichzeitig wird die Transparenz der Datenverarbeitungen selbst für eine Beherrschbarkeit der Systeme immer wichtiger. Zu Transparenz bei Algorithmen und in Systemen der künstlichen Intelligenz (KI) hatten wir letztes Jahr berichtet (37. TB, Tz. 2.2.3).
https://www.datenschutzzentrum.de/artikel/1255-Transparenz-Verwaltung-Algorithmen-KI.html
Kurzlink: https://uldsh.de/tb38-15c
Dieses Thema wird mittlerweile, eingebracht von Deutschland, bei der Internationalen Konferenz der Informationsfreiheitsbeauftragten diskutiert.
Außerdem war KI ein Schwerpunktthema der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Tz. 10.2).
Was ist zu tun?
Im Bereich Transparenz und
Informationszugang ist mit dem Transparenzportal ein wichtiger Schritt getan,
auf den nun weitere Schritte folgen müssen. Naheliegend gehört dazu das Befüllen
des Transparenzportals; es lohnt sich aber weiterzudenken, um das Bereitstellen
von Informationen unter Wahrung der Persönlichkeitsrechte von Personen oder
Berufs- und Geschäftsgeheimnissen von Unternehmen zu erleichtern.
Zum Inhaltsverzeichnis | Zum nächsten Kapitel |