04

Kernpunkte:


  • Behördliche Datenschutzbeauftragte
  • Nachbesserungen für Datenschutz in Gesetzgebungsverfahren
  • Datenpannenmeldepflichten – wo klappt‘s, wo nicht?

 

4    Datenschutz in der Verwaltung

4.1          Allgemeine Verwaltung

4.1.1       Anforderungen an die Benennung und Ausstattung von Datenschutzbeauftragten – Rundschreiben an Kreis-, Amts- und Gemeindeverwaltungen

Auch nach mehr als einem Jahr der Geltung der Datenschutz-Grundverordnung und des neuen Landesdatenschutzgesetzes erreichten uns regelmäßig Fragen zur Benennung von behördlichen Datenschutzbeauftragten sowie zu deren Ausstattung. Teilweise erhielten wir auch Beschwerden von behördlichen Datenschutzbeauftragten, die ihre Aufgaben mit den ihnen zugesprochenen Ressourcen nicht erfüllen konnten.

Die Landesbeauftragte für Datenschutz versandte daher am 02.04.2018 ein Rundschreiben an die Leitungen von Kreisen, Städten, Ämtern und Gemeinden sowie an die Arbeitskreise der behördlichen Datenschutzbeauftragten mit entsprechenden Hinweisen.

Darin wurde verdeutlicht, dass Behörden und sonstige öffentliche Stellen stets einen behördlichen Datenschutzbeauftragten benennen müssen. Unabhängig davon, ob eine interne oder externe Person benannt wird, ist auf hinreichende Qualifikationsnachweise zu achten. Sollen eigene Mitarbeiterinnen und Mitarbeiter benannt werden, sind diese für entsprechende Fortbildungen freizustellen.

Die Vergütung interner Datenschutzbeauftragter unterhalb von E11/A12 ist als unangemessen anzusehen. Zudem verbieten sich „Rechenspiele“, die Vergütung einer nur zeitanteilig als behördliche Datenschutzbeauftragte benannte Person zu reduzieren. Da die inhaltliche Komplexität der Aufgaben auch bei einer 50-Prozent-Stelle dieselbe ist wie bei einer 100-Prozent-Stelle, kann eine niedrigere Vergütung nicht angemessen sein.

Als Orientierungsmarke zur Bestimmung, ob ein Datenschutzbeauftragter seine Aufgaben allein erfüllen kann oder ob weitere Personen z. B. als Datenschutzmanager zu beauftragen sind, wurde empfohlen, ab 1.000 Beschäftigten eine Vollzeitstelle einzuplanen. Dieser Personalschlüssel ist allerdings nicht als feste Rechenformel zu verstehen: Beispielsweise kann bei weiten Distanzen zwischen den Verantwortlichen und Außenstellen, bei sehr komplexer Datenverarbeitung oder sehr unterschiedlichen Systemen auch schon eine geringere Anzahl von Beschäftigten weiteres Personal zur Umsetzung datenschutzrechtlicher Vorgaben abzustellen sein.

Den Adressaten des Schreibens wurde verdeutlicht, dass die Datenschutzbeauftragten weisungsfrei und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden sind.

Zu den Ressourcen, die den Datenschutzbeauftragten bereitzustellen sind, zählt u. a.

  • eine vertrauliche Arbeitsumgebung,
  • aktuelle Fachliteratur,
  • die Teilnahme an Fortbildungsveranstaltungen,
  • die Teilnahme an Sitzungen mit anderen Datenschutzbeauftragten.

Ein Scan des Rundschreibens ist über die Webseite des ULD abrufbar:

https://uldsh.de/behDSB-Rundschreiben

 

Was ist zu tun?
Behörden und sonstige öffentliche Stellen in Schleswig-Holstein müssen eine oder einen behördlichen Datenschutzbeauftragten benennen und mit den erforderlichen Ressourcen ausstatten.
Sollten Verantwortliche dieser Verpflichtung noch nicht nachgekommen sein, ist dies unverzüglich nachzuholen.
Die Kontaktdaten der oder des Datenschutzbeauftragten sind im Übrigen zu veröffentlichen und der Landesbeauftragten für Datenschutz mitzuteilen (Online-Formular: https://uldsh.de/dsb-meld).

 

4.1.2       Aufgaben der Datenschutzbeauftragten

Im Berichtszeitraum erreichten das ULD einige Anfragen von Datenschutzbeauftragten, die von Unternehmen oder auch Behörden hinsichtlich ihrer Funktion pflichtgemäß benannt wurden. Dabei war von Interesse, welche Aufgaben die benennende Stelle und – davon zu trennen – welche Aufgaben die oder der Datenschutzbeauftragte wahrnehmen muss. Dabei konnten wir zunächst auf die Ausführungen in unserer Informationsbroschüre verweisen, die unter folgendem Link abrufbar ist:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-2-Datenschutzbeauftragte.pdf
Kurzlink: https://uldsh.de/tb38-412

Der oder dem Datenschutzbeauftragten obliegen nach Art. 39 Abs. 1 DSGVO zumindest folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten,
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen,
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO,
  • Zusammenarbeit mit der Aufsichtsbehörde,
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Aus der Aufzählung wird deutlich, dass in Abgrenzung zum Aufgabenkreis eines Datenschutzbeauftragten insbesondere die Verantwortung für die Einhaltung der Datenschutzvorschriften einschließlich der Umsetzung technisch-organisatorischer Sicherungsmaßnahmen beim datenschutzrechtlich Verantwortlichen bzw. bei der benennenden Stelle verbleibt. Dies wird u.a. in Art. 24 Abs. 1 DSGVO hervorgehoben.

Verantwortlichkeit nach Art. 24 Abs. 1 Satz 1 DSGVO
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Aus dieser Abgrenzung der Aufgabenkreise von Verantwortlichen und deren Datenschutzbeauftragten ergeben sich u.a. folgende Konsequenzen:

  • Die Erstellung von Verzeichnissen von Verarbeitungstätigkeiten (Artikel 30 DSGVO) und von Verträgen mit Auftragsverarbeitern (Art. 28 Abs. 3 DSGVO) ist nicht Aufgabe der oder des Datenschutzbeauftragten. Gleiches gilt für die Dokumentation von technisch-organisatorischen Maßnahmen, was etwa die Erarbeitung von Konzepten zur Protokollierung, die Festlegung von Löschregeln, die Erstellung von Berechtigungskonzepten sowie die Aufstellung von Anweisungen und internen Richtlinien zum Umgang mit personenbezogenen Daten gegenüber Mitarbeitern betrifft. Ferner zählt auch die Aktualisierung entsprechender Dokumente nicht zum Aufgabenkreis einer oder eines Datenschutzbeauftragten. Sämtliche Aufgaben müssen durch den Verantwortlichen wahrgenommen werden. Datenschutzbeauftragte sind in diesem Kontext nur beratend tätig und verpflichtet, die ordnungsgemäße Umsetzung der Maßnahmen einschließlich der konformen Erstellung von relevanten Verträgen und weiterer Dokumente zu überprüfen.
  • Datenschutz-Folgenabschätzungen (Artikel 35 DSGVO) sind durch den Verantwortlichen durchzuführen. Die oder der Datenschutzbeauftragte nimmt dabei eine Beraterrolle wahr.
  • Die Verpflichtung zur Schulung und Sensibilisierung von Beschäftigten im Hinblick auf die Verarbeitung personenbezogener Daten obliegt grundsätzlich dem Verantwortlichen. Die oder der Datenschutzbeauftragte überwacht hingegen die ordnungsgemäße Durchführung der Schulungen und Sensibilisierungen. Es bleibt aber möglich, dass die oder der Datenschutzbeauftragte eigene Schulungen für Beschäftigte anbietet und so die Aufgaben der Unterrichtung und Beratung gegenüber diesem Personenkreis erfüllt.
  • Die Bearbeitung von Anträgen betroffener Personen zur Ausübung ihrer Rechte (z. B. Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf) einschließlich der Zusammenstellung der benötigten Informationen ist eine Aufgabe des Verantwortlichen. Die oder der Datenschutzbeauftragte kann hierbei jedoch mitwirken. Die Mitwirkung kann z. B. bei der Zusammenstellung der gespeicherten Daten erfolgen. Zudem sollte die oder der Datenschutzbeauftragte die durch den Verantwortlichen erstellte Antwort einer Schlusskontrolle unterziehen. Bezüglich der Absendung der Antworten kann die oder der Datenschutzbeauftragte die Funktion eines Boten für den Verantwortlichen übernehmen.
  • Die Erstellung einer Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Artikel 33 DSGVO), die Benachrichtigung betroffener Personen (Artikel 34 DSGVO) sowie die Umsetzung von Sicherheitsmaßnahmen zählen zu den Aufgaben des Verantwortlichen. Die oder der Datenschutzbeauftragte überwacht hingegen die ordnungsgemäße Erfüllung der Melde- und Benachrichtigungspflichten sowie die künftige Gewährleistung von Sicherheitsmaßnahmen. Hinsichtlich der Absendung der Meldung kann die oder der Datenschutzbeauftragte wiederum eine Botenfunktion übernehmen, zumal dieser im Rahmen der Zusammenarbeit mit der Aufsichtsbehörde als Ansprechperson in Betracht kommt.
  • Datenschutzbeauftragte nehmen Prüfungen der personenbezogenen Datenverarbeitung des Verantwortlichen oder des Auftragsverarbeiters wahr.

 

Was ist zu tun?
Verantwortliche dürfen ihre nach der DSGVO obliegenden Pflichten nicht auf den benannten Datenschutzbeauftragten übertragen. Die Verantwortlichen können aber erwarten, dass ihre Datenschutzbeauftragten vor allem ihre Beratungs-, Unterrichtungs- und Überwachungsaufgaben gewissenhaft wahrnehmen und ihre Ergebnisprüfung nachvollziehbar dokumentieren. Möglich bleibt für Datenschutzbeauftragte die Erstellung von Tätigkeitsberichten.

 

4.1.3       Künftig verpflichtende Nutzung der landesweiten Kitadatenbank

Die landesweite Datenbank wurde im Jahr 2016 als freiwilliges Angebot für alle Träger von Kindertageseinrichtungen (Kitas) in Betrieb genommen. Mit diesem IT-Verfahren ist es für die Kommunen und die Träger möglich, wesentlich genauere Bedarfsplanungen vorzunehmen. Das damit verbundene KitaPortal ermöglicht es den Eltern, freie Kitaplätze zu suchen und online eine unverbindliche Voranmeldung für die Kita ihrer Wahl abzugeben.

Wir haben den Aufbau des IT-Verfahrens und die neu zu schaffenden rechtlichen Vorschriften damals aus datenschutzrechtlicher Sicht begleitet.

Das freiwillige Angebot wurde mittlerweile von vielen Trägern angenommen. Mit dem KiTa-Reform-Gesetz 2020, das zum 1. August 2020 in Kraft treten soll, will die Landesregierung hinsichtlich der Nutzung noch einen Schritt weitergehen. Zukünftig soll die Nutzung der landesweiten Kitadatenbank für alle Träger von Kindertageseinrichtungen verpflichtend sein. Ferner ist eine Erweiterung der Funktionalität vorgesehen.

Die hierfür im KiTa-Reform-Gesetz vorgesehenen Vorschriften hat das Sozialministerium mit uns abgestimmt. Diese werden die Vorschriften im bisherigen Kindertagesstättengesetz ablösen.

Allerdings wird es damit noch nicht getan sein. Durch die zukünftige Pflicht der Nutzung ist es aus unserer Sicht erforderlich, den gesamten Verarbeitungsprozess im Kontext mit der landesweiten Kitadatenbank und dem KitaPortal auf den datenschutzrechtlichen Prüfstand zu stellen. Dabei sind die folgenden Fragestellungen zu prüfen und zu lösen:

  • Sind die Regelungen der Kitadatenbankverordnung noch aktuell oder besteht Anpassungsbedarf?
  • Werden die Informationspflichten über die Datenverarbeitung im KitaPortal vorbildlich im Sinne der DSGVO erfüllt?
  • Soll es einheitliche Erhebungsformulare für alle Kindertageseinrichtungen in Schleswig-Holstein geben?

Es wurde mit dem Sozialministerium vereinbart, dass diese Fragen gemeinsam bearbeitet werden.#

 

Was ist zu tun?
Das Sozialministerium sollte die genannten Fragen bis zum Inkrafttreten des KiTa-Reform-Gesetzes mit dem ULD klären.

 

4.1.4       Verordnung über eine zentrale Stelle beim Zentralen IT-Management in Schleswig-Holstein (ZIT SH)

Gemeinsames Verfahren
Ein automatisiertes Verfahren, das mehreren Verantwortlichen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf eingerichtet werden, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist (§ 7 Abs. 3 LDSG).

Das ULD wurde vom Zentralen IT-Management des Landes (ZIT SH) bezüglich des Neuerlasses einer Verordnung um Beratung gebeten. Durch diese Verordnung soll die Tätigkeit einer sogenannten zentralen Stelle geregelt werden, die Koordinierungsfunktionen wahrnimmt und behördenübergreifende Verfahren des Landes (z. B. elektronische Aktenführung, Bürokommunikation, interne Zeiterfassung) in technischer Hinsicht betreibt. Sie wirkt damit auf die Datenverarbeitung anderer Behörden ein, sodass datenschutzrechtliche Verantwortlichkeiten zu klären sind.

Grundlage für eine solche Verordnung sind § 7 Abs. 3 und Abs. 4 Landesdatenschutzgesetz (LDSG), wonach auf Landesebene nach bestimmten Anforderungen sogenannte gemeinsame Verfahren eingerichtet werden dürfen (Absatz 3) und per Verordnung Zuständigkeiten auf zentrale Stellen übertragen werden können.

In einer Verordnung gemäß § 7 Abs. 4 LDSG kann die zuständige oberste Landesbehörde Regelungen nach Art. 26 Abs. 1 DSGVO festlegen und unter mehreren Verantwortlichen eine zentrale Stelle bestimmen, der die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens übertragen wird. Die zentrale Stelle und die beteiligten Stellen agieren dabei als gemeinsam Verantwortliche.

Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt (Art. 26 Abs. 1 DSGVO).

Auch im Landesdatenschutzgesetz in der Fassung, die bis zum 24. Mai 2018 galt, gab es die Möglichkeit, Verantwortlichkeiten zu bündeln und per Verordnung einer zentralen Stelle zuzuweisen. Davon wurde auf Landesebene auch häufig Gebrauch gemacht. Ausgangspunkt der geplanten Veränderung war eine inhaltliche Anpassung an die Regelungen des Artikels 26 der DSGVO.

Zentrale Stelle im Entwurf der beabsichtigten Verordnung ist die für das Zentrale IT-Management zuständige oberste Landesbehörde (ZIT SH). Beteiligte Stellen sollen diejenigen Landesbehörden und ihre zugeordneten Ämter und nachgeordneten Behörden sein, welche die im Anhang näher zu bestimmenden automatisierten Verfahren nutzen.

Die zentrale Stelle soll u. a. geeignete technisch-organisatorische Maßnahmen zur Einhaltung der Vorgaben nach der DSGVO gewährleisten; die beteiligten Stellen sollen für die Umsetzung von Informationspflichten und die Erfüllung der Rechte betroffener Personen, wie etwa Auskunft oder Löschung, zuständig sein.

Das ULD konnte in Bezug auf den Verordnungsentwurf insbesondere zur Frage beraten, wie im Falle der Feststellung von Verfahrensmängeln im laufenden Betrieb die Meldepflicht nach Artikel 33 DSGVO und die sich oftmals anschließende Benachrichtigungspflicht nach Artikel 34 DSGVO eingehalten werden können – diese Aspekte waren nach dem Inkrafttreten der DSGVO zu regeln: Im Falle der Verletzung des Schutzes personenbezogener Daten und einer Risikolage für Rechte und Freiheiten natürlicher Personen kann für Verantwortliche die Verpflichtung zur unverzüglichen Meldung des Vorfalls an die Datenschutzaufsichtsbehörde bestehen. Sollten hohe Risiken für die betroffenen Personen festgestellt werden, so besteht zusätzlich eine Pflicht zur Benachrichtigung dieses Personenkreises. Zu regeln war hier insbesondere, wie die Beteiligten zusammenarbeiten, welche gegenseitigen Informationspflichten bestehen und welcher Verantwortliche für die Durchführung der Meldung nach Artikel 33 sowie die Benachrichtigung nach Artikel 34 DSGVO zuständig ist.

 

4.1.5       Umsetzung des Onlinezugangsgesetzes (OZG)

Onlinezugangsgesetz (OZG)
Der Volltext des „Gesetzes zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen“ ist abrufbar unter:
https://www.gesetze-im-internet.de/ozg/BJNR313800017.html
Kurzlink: https://uldsh.de/tb38-415a

Weitere Informationen über die Umsetzung des OZG finden sich u. a. auf den hierzu eingerichteten Webseiten folgender Institutionen:
IT-Planungsrat:
https://www.it-planungsrat.de/DE/ITPlanungsrat/OZG-Umsetzung/OZG_Umsetzung_node.html
Kurzlink: https://uldsh.de/tb38-415b

Bundesministerium des Inneren, für Bau und Heimat:
https://informationsplattform.ozg-umsetzung.de/iNG/app/intro
Kurzlink: https://uldsh.de/tb38-415c

Land Schleswig-Holstein:
https://digitalisierung.schleswig-holstein.de/

IT-Verbund Schleswig-Holstein – ITVSH:
https://www.itvsh.de/projekte/ozg/

Das Onlinezugangsgesetz verpflichtet Bund, Länder und Kommunen, bis Ende 2022 ihre Verwaltungsleistungen über Verwaltungsportale auch digital anzubieten und diese Portale zu einem Verbund zu verknüpfen. Die Kommunen sind von den Ländern in die Planung einzubeziehen.

Die Landesbeauftragte für Datenschutz wurde in dieser Sache bisher weder vom Land noch von den Kommunen eingebunden. Aufgrund vereinzelter Beratungsersuchen kommunaler Datenschutzbeauftragter, die innerhalb ihrer Behörden Datenschutzfragen zu Digitalisierungsbestrebungen identifiziert haben, haben wir Gespräche mit dem für die Kommunen zur OZG-Umsetzung gegründeten IT-Verbund Schleswig-Holstein – ITVSH (AöR) und dem Zentralen IT-Management der Landesregierung (ZIT SH) geführt und dabei eine frühzeitige Beratung angeboten. Dieses Angebot besteht auch weiterhin.

Es besteht keine Verpflichtung von Land und Kommunen, die Landesbeauftragte für Datenschutz oder ihre Dienststelle proaktiv in die Planungen zur OZG-Umsetzung einzubeziehen. Sie müssen aber sicherstellen, dass die Umsetzung der OZG-Verfahren vor deren Inbetriebnahme im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt.

Bei der Vielzahl der zu digitalisierenden Verfahren rechnen wir ab 2020 mit einem Anstieg von Beschwerden betroffener Personen. Wir appellieren daher auch an dieser Stelle ausdrücklich an die Verantwortlichen, die Anforderungen nach der DSGVO und dem LDSG nicht zu unterschätzen.

 

Was ist zu tun?
Land und Kommunen müssen für eine datenschutzkonforme Umsetzung des Onlinezugangsgesetzes sorgen. Auf Wunsch unterstützt das ULD dieses Vorhaben.

 

4.1.6       Keine Rechtsgrundlage für Personalaktenweitergabe an einen Verein vor dem Betriebsübergang

In einem Verfahren wurde ermittelt, dass eine Behörde mit einem Verein auf Basis eines Dienstleistungsvertrags die wirtschaftliche Führung einer Seniorenwohnanlage neu strukturieren wollte, die bisher als Eigenbetrieb geführt wurde. Beabsichtigt war auch ein Betriebsübergang der Beschäftigten des Eigenbetriebs. Mit dem Dienstleistungsvertrag sollte der Verein ermächtigt werden, die Geschäftsführung für die Seniorenwohnanlage zu übernehmen. Die Betriebsleitung für den Eigenbetrieb wurde schließlich von der Behörde dem Verein zugewiesen. Dabei übertrug die Behörde an den Verein mehr als 60 Personalakten von Beschäftigten des Eigenbetriebs. Der Betriebsübergang selbst erfolgte erst mehr als ein Jahr nach Zuweisung der Betriebsleitung.

Auf Nachfrage des ULD zur Rechtsgrundlage der Weitergabe der Personalakten verwies die Behörde auf den geschlossenen Dienstleistungsvertrag. Da dieser Vertrag nicht die Anforderungen an eine zulässige Weitergabe der Personalakten erfüllte, wurden nach Bekanntwerden des Verstoßes die Akten vom Verein an die Behörde zurückgegeben.

Verweis auf das Beamtenrecht
Gemäß § 15 Abs. 1 LDSG dürfen öffentliche Stellen personenbezogene Daten ihrer Beschäftigten vorbehaltlich besonderer gesetzlicher oder tarifvertraglicher Regelungen nur nach Maßgabe des LBG verarbeiten. Damit gelten die beamtenrechtlichen Regelungen zum Umgang mit Personalaktendaten auch für Tarifbeschäftigte.

Bis zum Betriebsübergang auf den Verein war die Behörde verpflichtet, für die Verarbeitung der Personalaktendaten der Beschäftigten des Eigenbetriebs insbesondere die datenschutzrechtlichen Vorgaben aus dem Landesbeamtenrecht einzuhalten.

Die Voraussetzungen für eine zulässige Weitergabe von Personalaktendaten waren mit der Zuweisung der Geschäftsführung und bis zum Betriebsübergang nicht erfüllt. Der dem ULD vorgelegte Dienstleistungsvertrag genügte vor allem nicht den Anforderungen an eine zulässige Auftragsverarbeitung auf Basis von § 89a Landesbeamtengesetz in Verbindung mit Art. 28 Abs. 3 DSGVO. Weder die verpflichtenden Vertragsinhalte nach Art. 28 Abs. 3 DSGVO waren ersichtlich, noch lag eine Zustimmung der obersten Dienstbehörde nach § 89a Abs. 2 Landesbeamtengesetz vor. Weiterhin fehlte die Aufnahme einer Kontrollklausel. Demnach ist in dem Auftrag schriftlich festzulegen, dass der Auftragsverarbeiter eine Kontrolle durch die oder den Landesbeauftragten für Datenschutz zu dulden hat.

Vor Abschluss des Vertrags mit dem Verein hätte die Behörde etwa prüfen müssen, ob der Verein überhaupt in der Lage ist, die erforderlichen technisch-organisatorischen Anforderungen umzusetzen, um die Personalakten sicher zu verwalten. Hierzu zählen etwa die Steuerung von Zugriffsrechten auf die Personalakten und die Aufbewahrung der Akten. Weiterhin hätte die Behörde ein Weisungsrecht zum Umgang mit den Akten vereinbaren müssen. Die Behörde war verpflichtet, die Umsetzung der notwendigen Maßnahmen beim Verein zu kontrollieren. Ferner durften im Verein nur solche Personen mit den Personalaktendaten Umgang haben, die zuvor auf die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet wurden. Die Behörde hatte nicht verstanden, dass sie vor dem Betriebsübergang noch die Verpflichtung hatte, die Verwaltung der Personalakten selbst zu steuern. Im geführten Prüfverfahren wurde deutlich, dass sich die Behörde hinsichtlich der datenschutzrechtlichen Verpflichtungen keine Gedanken gemacht hatte. Vielmehr entstand der Eindruck, dass die Behörde mit der bloßen Zuweisung der Geschäftsführung über die Seniorenanlage an den Verein davon ausging, dass damit alle Anforderungen umgesetzt wurden.

Die Behörde räumte nach Darlegung der Rechtslage durch das ULD den Verstoß ein. Es wurde vonseiten der Behörde zugesichert, dass künftig die gesetzlichen Anforderungen an die Verarbeitung von Personalaktendaten eingehalten werden. Gegenüber der Behörde hat das ULD eine Verwarnung ausgesprochen.

 

4.1.7       Schwangerschaftsberatungsstellen der Kreise – wer ist für was verantwortlich?

Das ULD wurde um eine Einschätzung gebeten, ob die Stiftung „Familie in Not“ mit den Schwangerschaftsberatungsstellen in Schleswig-Holstein Verträge zur Auftragsverarbeitung nach Art. 28 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) schließen muss. Die Bundesstiftung „Mutter und Kind – Schutz des ungeborenen Lebens“ vertrat dabei die Auffassung, dass alle Landesstiftungen mit den Beratungsstellen entsprechende Verträge vereinbaren müssen. Nach unserer Bewertung besteht hierfür keine Veranlassung.

Auf Grundlage einer Umfrage bei den anderen deutschen Datenschutzaufsichtsbehörden hat sich ein sehr differenziertes Bild der Verarbeitung personenbezogener Daten ergeben.

In einem Bundesland erfolgt etwa eine eigenverantwortliche Prüfung über die Gewährung der Mittel durch die jeweilige Beratungsstelle. Nach dieser Prüfung leitet die Beratungsstelle sämtliche Antragsdaten an eine Landesstiftung weiter, die auf einer zweiten Stufe eine weitere und endgültige Entscheidung über die Mittel trifft. Hier werden die Landesstiftung wie auch die Beratungsstellen von der Datenschutzbehörde als gemeinsam Verantwortliche (Artikel 26 DSGVO) angesehen. Es bleibt kein Raum für eine Auftragsverarbeitung.

In einem anderen Bundesland erfolgte eine Aufteilung der Entscheidungskompetenzen zwischen der Landesstiftung und den Beratungsstellen hinsichtlich des Ob und des Wie einer Mittelbeantragung. Auch hier werden beide Beteiligte als datenschutzrechtlich Verantwortliche qualifiziert.

In einem weiteren Bundesland prüfen die Beratungsstellen die Antragsunterlagen der schwangeren Personen nur auf deren Vollständigkeit und senden diese zur Entscheidung über die Mittelvergabe an die Landesstiftung. Doch auch in diesem Fall tendiert die dort zuständige Datenschutzaufsicht zu der Auffassung, dass keine Auftragsverarbeitung vorliegt, zumal die Beratungsstellen dabei in ihren Aufgabenbereichen gleichzeitig eigene Beratungspflichten eigenverantwortlich erfüllen.

In einem anderen Bundesland erfolgt teilweise eine Budgetierung der Beratungsstellen, wobei diese auch eigenverantwortlich über die Mittelvergabe entscheiden und als datenschutzrechtlich Verantwortliche qualifiziert werden. Nicht budgetierte Beratungsstellen entscheiden dort allerdings nicht in letzter Instanz über die Mittelvergabe, was abweichend dort durch Spitzenverbände erfolgt, die zwischen den Beratungsstellen und einer Landesstiftung stehen. Die zuständige Datenschutzaufsicht nimmt im letzteren Fall eine gemeinsame Verantwortlichkeit an.

In zwei Bundesländern wird die Entscheidung über die Vergabe von Mitteln an die antragstellenden Personen allein durch die Landesstiftung getroffen. Die Beratungsstellen haben kein eigenes Budget und treffen keine Entscheidungen über die Anträge. Es erfolgt dort lediglich eine Weiterleitung der Anträge an die Landestiftung in der Funktion eines Boten. In diesen Fällen qualifizieren die dort zuständigen Datenschutzaufsichtsbehörden die Beratungsstellen als Auftragsverarbeiter.

Bereits diese Unterschiede in den Systemen der Mittelvergabe in den einzelnen Bundesländern zeigen deutlich, dass ein generelles Verlangen, Auftragsverarbeitungsverträge zwischen den Landesstiftungen und den Beratungsstellen zu schließen, weder aus praktischer noch aus rechtlicher Sicht richtig sein kann.

Für Schleswig-Holstein ergibt sich das Folgende:

  • Die Beratungsstellen erheben die personenbezogenen Daten der Schwangeren, prüfen unter Beachtung der Richtlinien zur Mittelvergabe deren gestellte Anträge und vergeben bzw. bewilligen die Mittel aus der ihnen bereitgestellten Summe.
  • Die Landesstiftung erhält keine personenbezogenen Daten der Antragstellerinnen. Die Bundesstiftung erhält ebenfalls keine personenbezogenen Daten der Schwangeren. Die Bundesstiftung hat in ihrem Webauftritt darüber hinaus einen Hinweis veröffentlicht, wonach sie weder am Antrags- noch am Bewilligungsverfahren beteiligt ist und dass Voraussetzung für die Gewährung der Mittel ein Antrag bei einer Schwangerschaftsberatungsstelle ist.
  • Allenfalls im Rahmen einer Rechnungsprüfung (Stichprobe) hätten die Landesstiftung oder die Bundesstiftung die Befugnis, einen (ausgefüllten) Antragsvordruck einzusehen.

Vor diesem Hintergrund geht das ULD davon aus, dass die Schwangerschaftsberatungsstellen im Rahmen der Verarbeitung der personenbezogenen Daten der Schwangeren als Verantwortliche im Sinne von Art. 4 Ziff. 7 DSGVO tätig sind. Der gesamte Beantragungs- und Bewilligungsprozess wird von den Beratungsstellen eigenverantwortlich durchgeführt. Ein streng weisungsgebundenes Verhältnis, personenbezogene Daten der Antragstellerinnen auf eine bestimmte Weise zu verarbeiten, wird aus unserer Sicht zwischen der Landesstiftung und den Beratungsstellen nicht begründet.

 

4.1.8       Abruf von Meldedaten für öffentlich-rechtliche Entsorgungsträger?

Die Abfallwirtschaft Südholstein GmbH (AWSH) – ein von den Kreisen Stormarn und Herzogtum-Lauenburg gegründetes kommunales Entsorgungsunternehmen – hat durch ihren externen Datenschutzbeauftragten eine Handreichung für die eigenen Beschäftigten dazu anfertigen lassen, welche personenbezogenen Daten diese zur Aufgabenerfüllung von anderen Behörden oder sonstigen öffentlichen Stellen anfordern dürfen. Aufgrund von Unstimmigkeiten insbesondere darüber, ob die Vorschriften des BDSG oder des LDSG für die AWSH gelten, wurde die Landesbeauftragte für Datenschutz um eine Beratung gebeten.

Maßgeblich für die Feststellung des richtigen Rechtsrahmens ist, ob die AWSH als Beliehene gemäß § 24 Abs. 1 Landesverwaltungsgesetz (LVwG) tätig wird und somit Aufgaben der öffentlichen Verwaltung zur Erledigung in den Handlungsformen des öffentlichen Rechts übertragen wurden. Dann würde die AWSH als GmbH ausnahmsweise als öffentliche Stelle im Sinne von § 2 Abs. 4 Satz 2 BDSG gelten.

Erst in einem gemeinsamen Gesprächstermin wurde dargelegt, dass keine Beleihung erfolgte, sondern die AWSH als Verwaltungshelferin tätig würde. Die einzig in § 3 Abs. 5 der Abfallwirtschaftssatzungen der Kreise genannte Aufgabenübertragung zur Entsorgung von Abfällen „anderer Herkunftsbereiche“ stelle einen Spezialfall dar und betreffe nicht die Abfallentsorgung bei Privathaushalten. Es bestünden sogar Auftragsdatenverarbeitungsverträge mit den Kreisen nach altem Recht.

Im Ergebnis musste demnach eine Anpassung der Auftragsverarbeitungsverträge an die Vorgaben des Art. 28 Abs. 3 DSGVO erfolgen. Es wurde außerdem auf § 21 der Landesverordnung zur Durchführung des Landesmeldegesetzes (Landesmeldeverordnung – LMVO) hingewiesen, wonach eine Zertifizierung beim ULD zu beantragen wäre. Zwar kann die Landesbeauftragte für Datenschutz zum jetzigen Zeitpunkt keine Zertifizierungen vornehmen (siehe hierzu Kapitel 9). Um der Verpflichtung zu genügen, könne jedoch ein entsprechender Antrag beim ULD gestellt werden.

Bezogen auf die nachgelagerte Frage, in welchem Umfang und auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten durch die AWSH erfolgen dürfte, war die gegenständliche Handreichung (Stand Februar 2019) zu weitreichend und missverständlich formuliert.

§ 21 LMVO
Erfolgen Datenabrufe an Behörden oder sonstige öffentliche Stellen aus der Spiegeldatenbank bei der Vermittlungsstelle des Landes Schleswig-Holstein im Wege der Auftragsdatenverarbeitung durch eine andere als in § 34 Abs. 1 BMG genannte Stelle, ist der Abruf nur zulässig, wenn die abrufende Stelle durch das Unabhängige Landeszentrum für Datenschutz zertifiziert worden ist.

Neben den in § 13 der Abfallwirtschaftssatzungen der Kreise für eine Verarbeitung benannten Daten besteht unter den oben genannten Voraussetzungen die Möglichkeit einer melderechtlichen Auskunft nach § 34 Bundesmeldegesetz (BMG). Unter den strengen Voraussetzungen des § 31 Abs. 3 der Abgabenordnung (AO) – der u. a. eine Interessenabwägung vorsieht – dürfen Namen und Anschriftsdaten von Grundstückseigentümern übermittelt werden, die den für die Verwaltung der Grundsteuer zuständigen Behörden bekannt sind, sofern die empfangenden Stellen explizit zur Aufgabenerfüllung auf diese Daten angewiesen sind. Die regelmäßige Abfrage von Anschriften von Baubehörden auf Grundlage von Amtshilfeersuchen nach §§ 32, 33 LVwG halten wir dagegen für nicht vertretbar.

Der AWSH wurde nahegelegt, die Handreichung anzupassen, um eine rechtswidrige Datenverarbeitung zu verhindern.

 

Was ist zu tun?
Abfallwirtschaftsbetriebe, die nicht als Beliehene, sondern als Verwaltungshelfer tätig werden, müssen einen Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO abschließen. Auch die weiteren Voraussetzungen des Artikels 28 DSGVO müssen erfüllt sein.
Daneben ist gemäß § 21 LMVO bis auf Weiteres eine Zertifizierung beim Unabhängigen Landeszentrum für Datenschutz zu beantragen.

 

4.1.9       Einbeziehung eines Betriebsarztes

Antragstellung Schwerbehinderter
Nach § 164 Abs. 4 Nr. 4 SGB IX haben schwerbehinderte Menschen gegenüber ihren Arbeitgebern Anspruch auf behinderungsgerechte Einrichtung und Unterhaltung der Arbeitsstätten einschließlich der Betriebsanlagen, Maschinen und Geräte sowie der Gestaltung der Arbeitsplätze, des Arbeitsumfelds, der Arbeitsorganisation und der Arbeitszeit, unter besonderer Berücksichtigung der Unfallgefahr.

Das ULD wurde gebeten zu prüfen, inwieweit eine Behörde Informationen einer beschäftigten Person aus einem Antrag zur behinderungsgerechten Gestaltung des Arbeitsplatzes an einen Betriebsarzt weitergeben durfte.

Die Weitergabe der Informationen im Zusammenhang mit dem gestellten Antrag musste an den Vorgaben des Landesdatenschutzgesetzes und den beamtenrechtlichen Regeln gemessen werden. Der Dienstherr darf personenbezogene Daten einschließlich besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten einschließlich Angaben zur Schwerbehinderung) über seine Beschäftigten verarbeiten, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift oder eine Vereinbarung nach dem Mitbestimmungsgesetz Schleswig-Holstein dies erlaubt.

Einbeziehung von Betriebsärzten
Gemäß § 3 Abs. 1 Satz 1 und 2 Nr. 1 Buchst. f und g ASiG haben die Betriebsärzte die Aufgabe, den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung in allen Fragen des Gesundheitsschutzes zu unterstützen. Sie haben insbesondere den Arbeitgeber und die sonst für den Arbeitsschutz und die Unfallverhütung verantwortlichen Personen zu beraten, insbesondere bei Fragen des Arbeitsplatzwechsels sowie der Eingliederung und Wiedereingliederung Behinderter in den Arbeitsprozess (f) und der Beurteilung der Arbeitsbedingungen (g).

Die entsprechende Datenverarbeitung bzw. Informationsweitergabe an den Betriebsarzt war nach Einschätzung des ULD zulässig. Maßgebend war dabei auch, dass eine besondere gesetzliche Vorgabe nach dem Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit (ASiG) als Grundlage herangezogen werden konnte.

Aus organisatorischen Gründen kann es dabei erforderlich sein, zur Ermittlung einer effektiven Hilfe für den Antragsteller einen Betriebsarzt hinzuzuziehen. Die betriebsärztliche Stellungnahme soll den Dienstherrn in die Lage versetzen, auf die Belange der schwerbehinderten Person optimal einzugehen und eine sachgerechte Entscheidung über den gestellten Antrag zu treffen.

 

4.1.10    Einordnung von kommunalen Fraktionen als nichtöffentliche Stellen

Benennung Datenschutzbeauftragter
Nach Art. 37 Abs. 1 Buchst. a DSGVO benennen der Verantwortliche und der Auftragsverarbeiter auf jeden Fall eine oder einen Datenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.

Im Rahmen einer Anfrage war zu beurteilen, inwieweit kommunale Mandatsträger als öffentliche Stellen im Sinne der Vorschriften des Landesdatenschutzgesetzes anzusehen sind. Aus einer entsprechenden Einordnung ergeben sich dabei vielfältige Konsequenzen. Bei der Annahme einer öffentlichen Stelle würde nach den Regeln der DSGVO beispielsweise die Pflicht bestehen, eine oder einen Datenschutzbeauftragten zu benennen.

Wird hingegen angenommen, kommunale Mandatsträger sind als nichtöffentliche Stellen Verantwortliche, so hat dies etwa haftungsrechtliche Auswirkungen. Bei Verstößen gegen datenschutzrechtliche Bestimmungen durch nichtöffentliche Stellen kann die Prüfung der Einleitung eines Ordnungswidrigkeitenverfahrens von Bedeutung sein. Gegenüber öffentlichen Stellen werden bei entsprechenden Verstößen dagegen keine Bußgelder verhängt.

Geldbußen bei öffentlichen Stellen
Gemäß § 19 Abs. 1 Landesdatenschutzgesetz werden gegen Behörden oder sonstige öffentliche Stellen im Sinne von § 2 Abs. 1 und 2 LDSG keine Geldbußen verhängt.

Für die Einordnung als öffentliche Stellen könnte zunächst sprechen, dass für kommunale Mandatsträger auch öffentlich-rechtliche Normen Anwendung finden, insbesondere Bestimmungen der Gemeindeordnung und der Kreisordnung.

Nach den Vorgaben des Landesdatenschutzgesetzes sind öffentliche Stellen Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung. Kommunale Mandatsträger dürften jedoch nicht als „Behörde“ im Sinne von § 3 Abs. 2 LVwG gelten, da keine öffentlich-rechtliche Verwaltungstätigkeit entfaltet wird (etwa Erlass von Verwaltungsakten, Abschluss öffentlich-rechtlicher Verträge). Auch eine Einordnung der kommunalen Mandatsträger als „sonstige Behörden“ (§§ 12 f. LVwG) erscheint nicht sachgerecht. Insbesondere stehen kommunale Mandatsträger nicht in einem Beleihungsverhältnis (§§ 13, 24 LVwG).

In der Rechtsprechung wurde losgelöst von einer datenschutzrechtlichen Bewertung im Bereich des Strafrechts entschieden, dass kommunale Mandatsträger grundsätzlich keine Amtsträger im Sinne von § 11 Abs. 1 Nr. 2 StGB sind. Die Mandatsträger sind nicht in eine Behördenstruktur eingegliedert, wie dies etwa für Beschäftigte einer öffentlichen Stelle angenommen werden kann. Kommunale Mandatsträger nehmen bei der Tätigkeit in den Volksvertretungen der Gemeinden ihre öffentlichen Aufgaben nicht im Rahmen eines Dienst- oder Auftragsverhältnisses wahr, sondern in freier Ausübung ihres durch Wahl erworbenen Mandats. Diese Rechtsprechung ist für die vorliegende Fragestellung nicht übertragbar, zeigt jedoch, dass kommunale Mandatsträger nicht dazu bestellt sind, öffentliche Aufgaben bei einer Behörde oder sonstigen Stelle oder in deren Auftrag wahrzunehmen.

Nach der Gemeindeordnung können sich Gemeindevertreterinnen und Gemeindevertreter durch Erklärung gegenüber der oder dem Vorsitzenden der Gemeindevertretung zu einer Fraktion zusammenschließen. Fraktionen werden in der Rechtsprechung überwiegend als bürgerlich-rechtliche Zusammenschlüsse in Form des nicht rechtsfähigen Vereins angesehen. Für kommunale Fraktionen wird daher eine Qualifizierung als nichtöffentliche Stellen in Betracht kommen. Kommunale Mandatsträger, die für ihre Fraktionen tätig sind, werden dann nicht als Verantwortliche (Art. 4 Nr. 7 DSGVO) qualifiziert, sondern vielmehr die jeweilige Fraktion. Eine Stellung als Verantwortliche (nichtöffentliche Stelle als natürliche Person) kommt gegebenenfalls für fraktionslose Mandatsträger in Betracht.

 

4.1.11    Prüfung kommunaler Rechenzentren

Da viele Verwaltungen ihre IT inzwischen von Dienstleistern betreiben lassen, haben wir Anfang 2019 mit der Prüfung zweier kommunaler Rechenzentren begonnen. Dabei wurden teilweise alarmierende Mängel bei der technischen und organisatorischen Ausgestaltung der Systeme festgestellt.

Bei einem Dienstleister konnte u. a. eine unverhältnismäßig hohe Anzahl von Personen – darunter auch Subunternehmer – mit Administrationskonten nahezu unkontrolliert auf die Systeme sämtlicher angeschlossener Verwaltungen zugreifen. Darunter waren auch Gruppenkonten, die von einer unbestimmten Zahl von Personen genutzt werden konnten. Auch wurde eine Vielzahl von Benutzernamen und Kennwörtern zu Standardadministrationskonten und Fachverfahren in einer Datei gespeichert, zu der eine unbekannte Anzahl von Personen unkontrollierten Zugang hatte. Eine Dokumentation der eingesetzten Komponenten und Verfahren war größtenteils nicht vorhanden, sodass teilweise keine Prüffähigkeit gegeben war. Verträge zur Auftragsverarbeitung befanden sich über Jahre im Entwurfsmodus.

Bei dem anderen Dienstleister waren dagegen technische und organisatorische Maßnahmen weitgehend umgesetzt. Jedoch waren u. a. die Dokumentation der Verfahren und Prozesse sowie die formelle Ausgestaltung der Vertragsverhältnisse verbesserungswürdig.

Beide Dienstleister haben sich in den Prüfungsterminen kooperativ gezeigt und mit der Beseitigung der festgestellten Mängel begonnen. Die Verfahren sind noch nicht abgeschlossen.

 

Was ist zu tun?
Verantwortliche müssen bereits bei der Auswahl von Auftragsverarbeitern, aber auch im Rahmen der Aufgabenübertragung genau darauf achten, dass Klarheit über die Rollen der Parteien und den Umfang der wahrzunehmenden Aufgaben besteht. Sofern eine Auftragsverarbeitung gegeben ist, muss ein Vertrag nach Artikel 28 DSGVO geschlossen werden. Liegt eine gemeinsame Verantwortlichkeit vor, sind Vereinbarungen zu treffen, die den Anforderungen des Artikels 26 DSGVO gerecht werden.
Auch im Rahmen laufender Vertragsverhältnisse sind die Verantwortlichen gut beraten, regelmäßig ihre Dienstleister zu kontrollieren. Sofern sie selbst nicht über das für die Prüfung nötige Know-how verfügen, müssen sie sich Unterstützung von Experten hinzuholen.

 

4.1.12    Anfertigung von Tonaufzeichnungen eines Bürgerdialogs

Aufgrund einer Beschwerde wurde festgestellt, dass im Rahmen eines Bürgerdialogs verdeckt Tonaufnahmen angefertigt wurden. Die Gemeinde hatte für die Veranstaltungstechnik eine Firma beauftragt und diese angewiesen, eine Tonaufzeichnung der Redebeiträge herzustellen. Hierfür konnte jedoch keine Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO benannt werden. Auch wurde kein Vertrag über eine Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO mit dem Dienstleister geschlossen. Die Landesbeauftragte für Datenschutz Schleswig-Holstein hat aus diesem Grund eine Verwarnung gemäß Art. 58 Abs. 2 Buchst. b DSGVO ausgesprochen. Die Gemeinde hat die Löschung der Aufnahmen sowohl im eigenen Hause als auch beim Dienstleister veranlasst.

 

Was ist zu tun?
Verantwortliche müssen vor der Anfertigung von Tonaufzeichnungen gewährleisten, dass eine Rechtsgrundlage dafür gegeben ist und Transparenz für die betroffenen Personen hergestellt wird. Werden Dienstleister im Rahmen einer Auftragsverarbeitung eingebunden, sind diese vertraglich nach Art. 28 Abs. 3 DSGVO zu verpflichten.

 

4.1.13    Infektion von Verwaltungsrechnern – und was man dagegen tun muss

Im Laufe des Jahres 2019 erreichten uns zahlreiche Datenpannenmeldungen nach Artikel 33 DSGVO, in denen Schulverwaltungen, Städte, Ämter und Gemeinden anzeigten, dass ein oder mehrere Computerarbeitsplätze durch Malware (Schadsoftware) infiziert worden seien.

Emotet
Emotet gehört zu den Malware-Programmen, die über unverlangt eingehende E‑Mails verteilt werden und die Empfänger dazu bringen wollen, auf schädliche Links zu klicken oder Dateien im Anhang zu öffnen. Ist der Rechner infiziert, liest Emotet die Kontakte und E-Mail-Inhalte aus. Mit diesen Informationen generiert Emotet authentisch wirkende E-Mails an neue Opfer. Durch nachgeladene Schadfunktionen können Daten vom infizierten Rechner abfließen und ein Angreifer kann die Kontrolle über das IT-System übernehmen.

Sofern die Infektion zu einer Verschlüsselung der Systeme führte, konnten die so unzugänglichen Daten durch Back-ups wiederhergestellt werden. In der Regel wurden die in den Adressbüchern der infizierten Rechner enthaltenen Kontaktadressen angeschrieben und betroffene Personen über möglicherweise versandte Spam-E-Mails informiert.

Ein Abfluss von personenbezogenen Daten wurde in keinem der gemeldeten Fälle festgestellt.

Wenn Datenpannen an uns gemeldet werden, zeigt dies zumindest, dass in dem Fall ein Bewusstsein für die datenschutzrechtlichen Pflichten besteht und es einen organisatorischen Prozess zum Melden gibt.

Wichtig ist aber, dass solche Malware-Infektionen kein leichtes Spiel haben sollten:

  • Die Verantwortlichen müssen präventiv sicherstellen, dass Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (Webbrowser, E-Mail-Clients, Office-Anwendungen usw.) zeitnah installiert werden.
  • Die Antivirensoftware muss ständig aktualisiert werden.
  • Auch regelmäßige Datensicherungen sind Pflicht.
  • Die Beschäftigten müssen hinreichend sensibilisiert sein, um gefälschte E-Mails auch bei vermeintlich bekannten Absendern zu erkennen.
  • Dateianhänge (insbesondere Office-Dokumente) oder Links sollten geprüft werden, bevor sie geöffnet werden. Bei einer verdächtigen E-Mail sollte im Zweifel der Absender angerufen werden.

Liegt eine Infektion vor, ist in der Regel eine Meldung von Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO bzw. § 41 LDSG erforderlich. Zudem sollten die Mailkontakte über die Infektion informiert werden, denn diese sind besonders gefährdet. Daneben sollten alle auf dem betroffenen System gespeicherten und eingegebenen Zugangsdaten geändert werden. Im Fall von Emotet und Konsorten kommt es teilweise zu tief greifenden sicherheitsrelevanten Änderungen des infizierten IT-Systems – dann müssen die betroffenen Rechner neu aufgesetzt werden, wie es auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen wird.

 

Was ist zu tun?
Die Verantwortlichen müssen eine ausreichende Sicherheit der Verarbeitung personenbezogener Daten und das notwendige Niveau dauerhaft gewährleisten. Ist doch mal etwas passiert, muss dies der Datenschutzaufsichtsbehörde gemeldet werden.

 

4.1.14    Einräumung falscher Zugriffsrechte

Weitere Meldungen nach Artikel 33 DSGVO betrafen die Einräumung falscher Zugriffsrechte in der Netzumgebung der IT-Systeme verschiedener von einem kommunalen Rechenzentrum betreuten Verwaltungen. Beschäftigte konnten im Windows-Explorer ihrer Clients im Ordner „Netzwerk“ Ordnerbezeichnungen sehen: Teilweise war kein weiterer Zugriff möglich, aber die Bezeichnungen ließen auf die Verarbeitungen schließen. Teilweise konnten jedoch zahlreiche Beschäftigte auf Unterordner mit personenbezogenen Daten zugreifen, ohne dass sie zuständig waren und diese Zugriffsrechte hätten haben dürfen.

 

Was ist zu tun?
Verantwortliche müssen penibel darauf achten, dass ihre Beschäftigten nur Zugang zu den personenbezogenen Daten erlangen können, die für die Erfüllung ihrer Aufgaben erforderlich sind. Dies kann durch ein ordentliches Rechte- und Rollenkonzept gewährleistet werden, sofern es auch akkurat umgesetzt und regelmäßig – auch im Hinblick auf ausscheidende Beschäftigte – gepflegt wird.

 

4.1.15    Datenpanne beim Buß-Bericht zur Rockeraffäre

Im Rahmen der Aufklärung der Rockeraffäre (37. TB, Tz. 4.2.7), die im Einzelnen im Parlamentarischen Untersuchungsausschuss bearbeitet wird, wurde der ehemalige Innenminister Klaus Buß als Sonderbeauftragter beauftragt, einen Bericht zu erstellen. Dieser Bericht, der im März 2018 fertiggestellt war, enthält zahlreiche sensible Informationen, auch über Personen. Im August 2019 wurde dem Innenministerium bekannt, dass Journalisten einer Zeitung diesen Bericht eingesehen hätten. Das Innenministerium vermutete einen Zusammenhang mit einem Versand einer E-Mail, die irrtümlich Teile des Berichts in einer vertraulichen Fassung enthielt. Es handelte sich demnach um eine Datenpanne, die das Innenministerium an die Datenschutzaufsichtsbehörde nach Artikel 33 DSGVO meldete.

Wie es in solchen Fällen üblich ist, haben wir ein Verfahren eingeleitet und um die Beantwortung zahlreicher Fragen zur Sache gebeten. Unserer Einschätzung, dass aus der fehlerhaften Weitergabe von Teilen des sensiblen Dokuments ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen resultiert, ist das Innenministerium nicht entgegengetreten. Es wurde zugesagt, dass die betroffenen Personen nach Artikel 34 DSGVO von der Datenpanne unterrichtet werden. Daraufhin konnte das aufsichtsbehördliche Verfahren eingestellt werden.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel