Tätigkeitsbericht 2019 - Bayern.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Bayerisches Landesamt für
Datenschutzaufsicht
9. Tätigkeitsbericht
20199. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2019 Hinweis: Aktualisierte Fassung vom 31.01.2020 (Anpassung in Kapitel 6.3) Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 18 91522 Ansbach Tel.: 0981 180093-0 Fax: 0981 180093-800 E-Mail: poststelle@lda.bayern.de Web: www.lda.bayern.de Vorgelegt im Januar 2020 – Thomas Kranig, Präsident Bildnachweis Cover: de.123rf.com – Urheber melpomen – Dateinummer 117302880
Vorwort
Vorwort
Dieser 9. Tätigkeitsbericht des Bayerischen Lan- unterzubringen, wie es die entsprechenden
desamts für Datenschutzaufsicht (BayLDA) ist Richtlinien eigentlich vorsehen. Es bleibt des-
der Erste, dessen Berichtszeitraum sich gemäß halb eine nachhaltige Aufgabe, sich um zusätz-
der Vorgabe der Datenschutz-Grundverord- liche Büroflächen zu bemühen.
nung (DS-GVO) nur auf ein Jahr, das Jahr 2019,
bezieht. Wie schon in den Vorjahren beinhaltet Aber auch die fachlichen Anforderungen an uns
unser Bericht keine datenschutzpolitischen Aus- als Datenschutzaufsichtsbehörde waren 2019
führungen. Er wiederholt auch nicht die Ent- schon alleine auf Grund der erheblichen Anzahl
schließungen, Beschlüsse, Orientierungshilfen an Beschwerden, Beratungen und gemeldeten
o. ä. der Konferenz der unabhängigen Daten- Datenschutzverletzungen gewaltig. Die Enttäu-
schutzaufsichtsbehörden des Bundes und der schung, dass uns trotz des bereits im Vorjahr
Länder (Datenschutzkonferenz – kurz: DSK). 2018 festgestellten gewaltigen Anstiegs dieser
Diese sind stattdessen auf der Homepage der Anforderungen im Doppelhaushalt 2019/2020
DSK jederzeit frei abrufbar (www.datenschutz keine zusätzlichen Stellen bewilligt wurden,
konferenz-online.de). Unser Bericht beinhaltet – konnten wir zum Glück rasch überwinden. Wir
dem halbierten Berichtszeitraum entsprechend erfuhren, dass der Bayerische Staatsminister des
– deutlich weniger Fallbeispiele. Unser Ziel bei Innern, für Sport und Integration, dessen Ress-
der Auswahl der dargestellten Fälle und unseren ort wir haushaltsrechtlich zugeordnet sind,
Entscheidungen dazu war und ist nach wie vor, durch eine interne Umstrukturierung uns einen
den Verantwortlichen und betroffenen Perso- erheblichen Finanzbetrag zur Verfügung ge-
nen eine Orientierung zu geben, wie wir die da- stellt hat, durch den wir neue – auf Dauer ange-
tenschutzrechtlichen Vorschriften in konkreten legte – Planstellen schaffen konnten. Selbst
Fällen auslegen. wenn diese Entscheidung vom März 2019 haus-
haltsrechtlich erst im Sommer wirksam wurde,
Für das BayLDA war das Jahr 2019 insgesamt ein so dass die meisten unserer neun neuen Mitar-
extrem schwieriges Jahr. Es begann damit, dass beiterinnen und Mitarbeiter erst gegen Novem-
wir aus unserem bisherigen Dienstgebäude, ber 2019 den Dienst antreten konnten, war die
dem Schloss in Ansbach, ausgezogen sind. Wir Aussicht auf diese personelle Aufstockung für
konnten dann auf der anderen Straßenseite der die vorhandenen Beschäftigten eine hilfreiche
Promenade in Ansbach in neu renovierte Motivation, um mit der enormen Überlastung
Räume, die früher einmal eine Zweigstelle der besser umgehen zu können. Diese Situation,
Bayerischen Landesbank beherbergt hatten, verschärft durch den Wechsel der Hälfte unserer
einziehen. Trotz intensiver Planung stellte sich juristischen Beschäftigten, hatte leider dazu ge-
der Umzug einer ganzen Behörde als gewaltiger führt, dass wir unseren gesetzlichen Aufgaben
Kraftakt dar. Eine besondere Herausforderung zur Durchführung von Prüfungen und Erlass von
bestand darin, alle Mitarbeiterinnen und Mitar- Bußgeldbescheiden nur in sehr geringem Um-
beiter nicht nur körperlich, sondern „ganzheit- fang nachkommen konnten. Wir gehen davon
lich“ mitzunehmen. Es ließ sich nicht vermeiden, aus, dass wir diese Aktivitäten in den folgenden
dass sich nicht alle durch den Umzug räumlich Jahren, wenn alle neuen Mitarbeiterinnen und
verbessert haben. Im Juli 2019 erfolgte die An- Mitarbeiter eingearbeitet sind, wieder in deut-
mietung weiterer Büroräume im 2. Stock des lich größerem Umfang betreiben können.
neuen Dienstgebäudes. Die gesamte nunmehr
zur Verfügung stehende Bürofläche reicht aber
nicht aus, um alle am Ende des Jahres 2019 vor-
handenen Mitarbeiterinnen und Mitarbeiter so
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 1Vorwort
Der vorliegende Tätigkeitsbericht soll in erster Ferner soll der Bericht auch dazu dienen, den
Linie ein Blick zurück auf den Berichtszeitraum eigenen Mitarbeiterinnen und Mitarbeitern für
sein und darüber informieren, was in dieser Zeit ihren hervorragenden Einsatz in einem sehr
geschehen ist. Das erfahren Sie, verehrte Lese- schwierigen Jahr zu danken. Trotz dieser nicht
rin, verehrter Leser, auf den folgenden Seiten. einfachen äußeren Rahmenbedingungen ist es
gelungen, dass sich alle Mitarbeiterinnen und
Der Bericht soll aber auch dafür verwendet wer- Mitarbeiter als ein Team gesehen, sich gegen-
den, vielen – insbesondere Datenschutzbeauf- seitig unterstützt und über alle Bereiche hinweg
tragten – für die konstruktive Kommunikation ausgezeichnet zusammengearbeitet haben.
zu danken, die uns in die Lage versetzt hat, bes- Herzlichen Dank dafür.
ser wahrzunehmen, welche Probleme mit der
neuen Datenschutz-Grundverordnung „im wirk- Ansbach, im Januar 2020
lichen Leben draußen“ tatsächlich bestehen.
Thomas Kranig
Präsident
2 Tätigkeitsbericht 2019 - Bayerisches Landesamt für DatenschutzaufsichtInhaltsverzeichnis
Inhaltsverzeichnis
Vorwort .......................................................................................................................................................... 1
Inhaltsverzeichnis ......................................................................................................................................... 3
1 Datenschutzaufsicht im nicht-öffentlichen Bereich ........................................................................ 7
1.1 Gesetzliche Grundlage für den Tätigkeitsbericht ......................................................................................... 7
1.2 Datenschutz in Bayern ............................................................................................................................................ 7
1.3 Das Bayerische Landesamt für Datenschutzaufsicht ................................................................................... 7
2 Zahlen und Fakten .............................................................................................................................. 10
2.1 Beschwerden .............................................................................................................................................................10
2.2 Beratungen ................................................................................................................................................................12
2.3 Datenschutzverletzungen ....................................................................................................................................13
2.4 Abhilfemaßnahmen ................................................................................................................................................14
2.5 Europäische Verfahren ..........................................................................................................................................14
2.6 Förmliche Begleitung von Rechtsetzungsvorhaben ..................................................................................14
2.7 Ressourcen.................................................................................................................................................................14
2.8 Vorträge und Öffentlichkeitsarbeit ..................................................................................................................16
3 Kontrollen und Prüfungen ................................................................................................................ 18
3.1 Safer Internet Day 2019 ........................................................................................................................................18
3.2 Videoüberwachung in Shisha-Bars ..................................................................................................................19
3.3 Rechenschaftspflicht beim Einsatz von Tracking-Tools ...........................................................................20
3.4 Windows 10 und Telemetriedaten ...................................................................................................................22
4 Der betriebliche Datenschutzbeauftragte ...................................................................................... 24
4.1 Änderung des BDSG ..............................................................................................................................................24
4.2 Weiterhin Unsicherheit über Benennungspflicht .......................................................................................24
5 Betroffenenrechte .............................................................................................................................. 26
5.1 Auskunft ......................................................................................................................................................................26
5.2 Kein Auskunftsrecht gegenüber gegnerischem Rechtsanwalt .............................................................27
6 Datenschutz im Internet .................................................................................................................... 29
6.1 Facebook Fanpages ...............................................................................................................................................29
6.2 Einsatz von Tracking-Tools..................................................................................................................................29
6.3 Google Analytics .....................................................................................................................................................30
7 Steuerberater und Rechtsanwälte ................................................................................................... 33
7.1 Anfertigung von Ausweiskopien durch Steuerberater .............................................................................33
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 3Inhaltsverzeichnis
8 Versicherungswirtschaft und Banken ............................................................................................. 35
8.1 Auskunftsrecht gegenüber Versicherungsunternehmen ....................................................................... 35
8.2 Kein Auskunftsrecht hinsichtlich Geschäftsgeheimnissen ..................................................................... 35
9 Werbung und Adresshandel ............................................................................................................. 37
9.1 Werbeprofiling bei Kreditinstituten ................................................................................................................ 37
9.2 Werbung per E-Mail oder SMS......................................................................................................................... 37
10 Handel und Dienstleistung ............................................................................................................... 40
10.1 Übermittlung von E-Mail-Adressen durch Online-Versandhändler an Postdienstleister ......... 40
10.2 Kontaktaufnahme durch Energieversorger ohne Vertragsverhältnis ................................................ 40
10.3 Verarbeitung personenbezogener Daten aufgrund von Namensverwechslungen ..................... 41
11 Internationaler Datenverkehr........................................................................................................... 43
11.1 Privacy Shield ........................................................................................................................................................... 43
12 Beschäftigtendatenschutz ................................................................................................................ 46
12.1 Mitteilung von Überstunden an Vorgesetzte ............................................................................................. 46
12.2 Fragerecht des Arbeitgebers bezüglich Gesundheit ................................................................................ 46
12.3 Zugriff auf das E-Mail-Postfach ausgeschiedener Mitarbeiter ............................................................ 47
12.4 Backgroundscreening über Bewerber ............................................................................................................ 47
13 Gesundheit und Soziales ................................................................................................................... 49
13.1 Übermittlung von Patientendaten an Strafverfolgungsbehörden ...................................................... 49
13.2 Berichtigung von ärztlichen Diagnosen ........................................................................................................ 49
14 Vereine und Verbände ....................................................................................................................... 52
14.1 Mitgliederverwaltung ........................................................................................................................................... 52
14.2 Öffentlicher Aushang der Klageschrift eines Mitglieds in einem Verfahren gegen den Verein ..
....................................................................................................................................................................................... 53
15 Wohnungswirtschaft und Mieterdatenschutz ............................................................................... 55
15.1 Angebot eines Mess- und Abrechnungsdienstleisters an Beiräte einer
Wohnungseigentümergemeinschaft .............................................................................................................. 55
15.2 Veröffentlichung von Unterlagen eines Rechtsstreits auf dem Internetportal der
Wohnungseigentümer ......................................................................................................................................... 56
15.3 Bekanntgabe einer Wohnungsdurchsuchung an Verwaltungsbeiräte ............................................. 56
16 Videoüberwachung ............................................................................................................................ 59
16.1 Zweckbindung für Verwendung von Videoaufnahmen .......................................................................... 59
16.2 Kamerafahrten durch Apple ............................................................................................................................... 60
17 Datenschutzverletzungen ................................................................................................................. 63
17.1 Allgemeines zu den gemeldeten Vorfällen .................................................................................................. 63
17.2 Arbeitskreis der DSK zu Datenschutzverletzungen .................................................................................. 64
4 Tätigkeitsbericht 2019 - Bayerisches Landesamt für DatenschutzaufsichtInhaltsverzeichnis
18 Technischer Datenschutz und Informationssicherheit ................................................................. 66
18.1 Gesundheitsdaten im Web ..................................................................................................................................66
18.2 Anforderungen an starke Passwörter .............................................................................................................66
18.3 Beschwerden zum Tesla Sentry Mode ............................................................................................................67
18.4 Umgang mit Bedrohungen durch Emotet ....................................................................................................68
18.5 E-Mail-Kommunikation zwischen Berufsgeheimnisträgern und betroffenen Personen ............68
18.6 Cyberabwehr Bayern ..............................................................................................................................................69
19 Bußgeldverfahren ............................................................................................................................... 71
19.1 Zentrale Bußgeldstelle ..........................................................................................................................................71
19.2 Bußgeldverfahren ....................................................................................................................................................71
19.3 Datenabruf für private Zwecke ..........................................................................................................................71
Stichwortverzeichnis.................................................................................................................................. 74
Wichtiger Hinweis:
Ausschließlich zum Zweck der besseren Lesbarkeit wird auf die geschlechtsspezifische Schreibweise ver-
zichtet. Alle personenbezogenen Bezeichnungen in diesem Tätigkeitsbericht sind somit geschlechts-
neutral zu verstehen.
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 51 Datenschutzaufsicht im nicht-öffentlichen Bereich
Datenschutzaufsicht im nicht-öffentlichen Bereich
1 Datenschutzaufsicht im nicht-öffentlichen Bereich
1.1 Gesetzliche Grundlage den Bayerischen Landesbeauftragten
für den Datenschutz für die
für den Tätigkeitsbericht
öffentlichen Stellen in Bayern
(Art. 15 BayDSG),
Anders als nach der bisherigen Rechtslage ver-
pflichtet Art. 59 DS-GVO jede Aufsichtsbehörde, den Medienbeauftragten für den
einen Jahresbericht über ihre Tätigkeit zu erstel- Datenschutz für die Bayerische
len, der eine Liste der Arten der gemeldeten Landeszentrale für neue Medien, deren
Verstöße und der Arten der getroffenen Maß- Tochtergesellschaften und Anbieter
nahmen nach Art. 58 Abs. 2 enthalten kann. (Art. 20 BayMG) und
den Rundfunkdatenschutzbeauftragten
Dieser Bericht ist deshalb der erste von uns, der
für den Bayerischen Rundfunk und
nur einen einjährigen Berichtszeitraum umfasst.
ausgewählte Beteiligungsunternehmen
Aus der Formulierung in der DS-GVO, welche
des Bayerischen Rundfunks
Informationen der Bericht haben kann, ist der
(Art. 21 BayRG)
Wunsch des Gesetzgebers an die Aufsichtsbe-
hörden zu entnehmen, nicht nur ihre Auffas- als gleichwertige und gleichrangige Aufsichts-
sung zur rechtlichen Beurteilung bestimmter behörden im Sinne des Art. 51 DS-GVO gesetz-
Fallkonstellationen, sondern insbesondere auch lich festgelegt.
statistische Angaben über das tatsächliche Voll-
zugshandeln darzustellen. Diese Anforderung Darüber hinaus haben Kirchen, religiöse Verei-
versuchen wir in den folgenden Ausführungen nigungen oder Gemeinschaften gemäß Art. 91
dieses Tätigkeitsberichts erneut zu erfüllen. DS-GVO, wenn sie die dort genannten Voraus-
setzungen erfüllen, die Möglichkeit eine spezifi-
sche Aufsichtsbehörde einzurichten, die dann
1.2 Datenschutz in Bayern
als Aufsichtsbehörde anzusehen ist, wenn sie
Art. 51 DS-GVO verpflichtet die Mitgliedstaaten, die in Art. 51 ff. DS-GVO genannten Vorausset-
eine oder mehrere unabhängige Behörden zur zungen, insbesondere der Unabhängigkeit, er-
Überwachung der Anwendung der DS-GVO ein- füllen. Dies wird in Deutschland für die katholi-
zurichten. Maßgeblich für die konkrete Einrich- sche und evangelische Kirche unstrittig ange-
tung ist das Recht des jeweiligen Mitgliedstaats. nommen.
Für Deutschland bedeutet dies, dass der Bund
für den Bereich seiner Zuständigkeit und die 1.3 Das Bayerische Landesamt
Länder für die Bereiche ihrer Zuständigkeiten für Datenschutzaufsicht
entsprechende Aufsichtsbehörden vorsehen
müssen. Eine Vorgabe, wie viele Aufsichtsbe- Wie oben im Vorwort angesprochen und im Fol-
hörden und für welche Zuständigkeiten Auf- genden durch Darstellung der statistischen An-
sichtsbehörden eingerichtet werden sollen, gibt gaben belegt, war das Jahr 2019 eine gewaltige
die DS-GVO nicht vor. Herausforderung. Was Beschwerden, Bera-
tungsanfragen (die wir nach wie vor gerne be-
Der bayerische Gesetzgeber hat arbeiten und beantworten wollen) oder Mel-
uns, das Bayerische Landesamt für dungen von Datenschutzverletzungen inhaltlich
Datenschutzaufsicht (BayLDA), für und aufwandsmäßig bedeuten, ist uns ziemlich
nicht-öffentliche Stellen in Bayern bewusst. Was aber noch auf uns zukommen
(Art. 18 BayDSG),
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 7Datenschutzaufsicht im nicht-öffentlichen Bereich
wird, konkret durch die Akkreditierung von Zer- dass eine große Anzahl von Unternehmen mit
tifizierungsstellen und dann die Zertifizierung dem Gedanken spielen – und es manche auch
selbst (Art. 42 DS-GVO), durch die Einbindung umgesetzt haben –, ihren Sitz vom Vereinigten
in Verfahren zur Aufstellung von Verhaltensre- Königreich in ein anderes Mitgliedsland EU zu
geln oder Genehmigung von Verhaltensregeln verlegen. Der Großraum München und damit
(Art. 40 DS-GVO) oder auch bei Verfahren zur Bayern scheinen insoweit eine besondere Anzie-
Genehmigung von verbindlichen internen Da- hungskraft zu haben. Ferner muss davon ausge-
tenschutzvorschriften (Binding Corporate Rules gangen werden, dass auch unsere Zuständigkeit
– BCR, Art. 47 DS-GVO), lässt sich noch nicht für die Durchführung von BCRs durch den Brexit
wirklich abschätzen. Wir haben uns bei der Aus- nicht unerheblich steigen dürften, da im Verei-
wahl und Aufstockung unseres Personalbestan- nigten Königreich mit die meisten derartiger
des daher besonders bemüht, entsprechend Verfahren durchgeführt wurden. Die Unterneh-
ausgebildete Personen für uns zu gewinnen, da- men werden versuchen, dieses Instrument für
mit wir auch für die nahe Zukunft gewappnet die Datenübermittlung in Drittstaaten beizube-
sind und diese neuen Anforderungen erfüllen halten, weshalb sie gezwungen sind, eine ent-
können. sprechende Niederlassung im Bereich der Euro-
päischen Union zu behalten oder zu bekom-
Ein erhebliches Maß an Planungsunsicherheit men.
besteht letztendlich aber auch noch darüber,
was auf uns zukommt, wenn das Vereinigte Kö- Nachfolgend wird unsere interne Organisation,
nigreich wie anvisiert am 31. Januar 2020 die Eu- mit der wir auch diese Aufgaben stemmen wol-
ropäische Union verlassen wird und sich damit len, in einem Organigramm stark vereinfacht
vorbehaltlich noch abzuschließender Verträge dargestellt:
von einem Mitgliedstaat der EU zu einem Dritt-
staat wandelt. Es ist schon heute feststellbar,
Präsidium
• Leitung
• Grundsatzfragen
• Öffentlichkeitsarbeit
Geschäftsstelle Bußgeldstelle
Bereich 1 Bereich 2 Bereich 3 Bereich 4
• Kredit- und • Versicherungen • Internationaler • Cybersicherheit
Finanzwirtschaft • Gesundheitswesen Datenverkehr • Technischer Datenschutz
• Auskunfteien • Freiberufliche Tätigkeiten • Online-Dienste • Datenschutz-
• Werbung • Soziale Einrichtungen • Wohnungswirtschaft Folgenabschätzung
• Markt- und • Vereine • Zertifizierung
Meinungsforschung • Industrie und Handel • Automotive
• Datenschutzorganisation • Beschäftigtendatenschutz
• Videoüberwachung
8 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht2 Zahlen und Fakten
Zahlen und Fakten
2 Zahlen und Fakten
Wie schon im letzten Tätigkeitsbericht darge- Telefonische „Beschwerden“ werden dann ge-
stellt, hat sich ein größerer Teil der deutschen zählt, wenn sie verschriftlicht werden (z. B. durch
Datenschutzaufsichtsbehörden auf eine teil- Vermerk).
weise Vereinheitlichung des statistischen Teils
bei der Erstellung der Tätigkeitsberichte ver- Unter dem Obergriff „Beschwerden“ erhielten
ständigt. Dabei sollten die statistischen Anga- wir zuletzt auch eine erhebliche Anzahl von Mel-
ben, die in Art. 59 DS-GVO angesprochen sind, dungen über angebliche Datenschutzverstöße,
nach einem gleichförmigen Muster dargestellt bei denen die Eingabeführer nicht glaubhaft ge-
werden. Diese Vereinheitlichung soll auch dem macht haben, durch den vorgetragenen Sach-
Zweck dienen, dass Deutschland bei den jährli- verhalt in den eigenen Rechten verletzt zu sein.
chen Abfragen des Europäischen Datenschutz- Diese Eingänge bezeichnen wir nicht als Be-
ausschusses bei den Aufsichtsbehörden der schwerden, sondern als Kontrollanregungen.
Mitgliedstaaten ein genaueres Bild abgeben
kann. Warum eine getrennte Behandlung zwischen
Kontrollanregung und Beschwerde für uns als
2.1 Beschwerden Behörde nicht nur sinnvoll, sondern auch drin-
gend notwendig ist, zeigt sich schnell: Nach Art.
Die Gesamtanzahl der Beschwerden und Kon- 78 Abs. 2 DS-GVO sind wir gehalten, betroffene
trollanregungen, die 2019 bei uns eingegangen Personen innerhalb von drei Monaten über den
sind, ist der unten folgenden Grafik zu entneh- Stand oder das Ergebnis des Beschwerdeverfah-
men. Als Beschwerden werden dabei solche rens in Kenntnis zu setzen. Somit müssen wir bei
Vorgänge gezählt, die schriftlich eingehen und „echten“ Beschwerden rechtzeitig mit der Bear-
bei denen eine natürliche Person eine persönli- beitung beginnen. Ansonsten droht der Fall,
che Betroffenheit darlegt, für die Art. 78 DS- dass wir dieser Verpflichtung nicht nachkom-
GVO anwendbar ist. Dies schließt Abgaben ein. men und wir uns dadurch der Gefahr einer
Anzahl
6000
Beschwerden und Kontrollanregungen
pro Jahr 5497
5000
3643
4000
3000
2000 1684
1424
1103
925 953
1000 719
687
0
2011 2012 2013 2014 2015 2016 2017 2018 2019
10 Tätigkeitsbericht 2019 - Bayerisches Landesamt für DatenschutzaufsichtZahlen und Fakten
(Untätigkeits-)Klage aussetzen. Bei Kontrollan- in dem es uns gelang, mehr Beschwerdeverfah-
regungen dagegen besteht kein Anspruch da- ren abzuschließen als neue Vorgänge eingin-
rauf, dass wir innerhalb einer bestimmten Frist gen. Im Ergebnis bedeutet dies, dass wir zum
über den Stand des Verfahrens berichten müs- Ende des Berichtszeitraums einen gewaltigen
sen. Folglich werden Beschwerden vorrangig Arbeitsvorrat in das Jahr 2020 mitgenommen
abgearbeitet, individuell geprüft und entschie- und unseren bestehenden „Schuldenberg“ kon-
den. Bei Kontrollanregungen dagegen erhält tinuierlich weiter aufgebaut haben. In der unten
der Mitteilende nur eine Bestätigung, dass wir stehenden Grafik erkennt man die Beschwer-
seine Mitteilung als Kontrollanregung erfasst den, die insgesamt noch bei uns abgearbeitet
haben und nach pflichtgemäßem Ermessen ent- werden müssen.
scheiden, ob und inwieweit wir dieser Anregung
nachgehen. Die schwierige Personalsituation in 2019 und
die gestiegene Anzahl von Beschwerden führten
Die Zahl der Beschwerden ist auch im Jahr 2019 leider auch dazu, dass die Laufzeit der Bearbei-
noch einmal gewaltig angestiegen. Wie schon tung für diese Beschwerden länger geworden
im letzten Bericht ausgeführt, gehen wir davon ist. Wir mussten eine große Menge an Be-
aus, dass die zahlreichen Veranstaltungen, Pres- schwerden in das Jahr 2020 mithinübernehmen,
seberichte und Informationsmaterialien dazu gehen aber davon aus, dass wir mit dem neuen
geführt haben, dass vielen Bürgern bewusster Personal nach der Einarbeitungsphase wieder
geworden ist, dass sie Betroffenenrechte haben zu einer angemessenen Bearbeitungszeit zu-
und diese auch geltend machen können. Die rückfinden werden.
Entwicklung mag daher aus Sicht der Gesell-
schaft positiv zu bewerten sein, weil ein gestei-
gertes Datenschutzbewusstsein vorhanden ist.
Aus unserer Behördensicht mussten wir jedoch
feststellen, die wir diese Arbeitslast mit dem im
Jahr 2019 vorhandenen Personal nicht bewälti-
gen konnten. Es gab zuletzt fast keinen Monat,
Anzahl „Schuldenberg“ der Beschwerden in 2019
3000 Wie viele Beschwerden waren zum jeweiligen Zeitpunkt insgesamt noch offen?
2500
2000
1500
1000
500
0
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 11Zahlen und Fakten
2.2 Beratungen Eine Ursache dafür kann sein, dass wir auf unse-
rer Website die Möglichkeit der Online-Bera-
Um die Vergleichbarkeit mit den anderen Auf- tung neu angeboten haben. Interessierte Perso-
sichtsbehörden sicherzustellen, verstehen wir nen können dabei zu bestimmten Themenbe-
unter Beratungen nunmehr nur die schriftliche reichen Fragen an uns schicken. In diesem Pro-
Beantwortung von Anfragen von Verantwortli- zess werden Ihnen dann vor Eingabe der Frage
chen, betroffenen Personen und der eigenen die FAQs zu dem ausgewählten Thema angege-
Regierung. Ausschließlich (fern)mündliche Bera- ben, die wir erstellt haben. Wir werten die An-
tungen werden ebenso wie Schulungen, Vor- fragen dazu zwar nicht aus, sind aber überzeugt
träge etc. nicht mehr berücksichtigt, aber der- davon, dass eine erhebliche Anzahl der Anfra-
zeit dennoch von uns separat erfasst. genden nach Durchlesen der FAQs schon eine
Antwort auf ihre Frage finden und „aussteigen.“
In der nebenstehenden Tabelle sind die Bera- www.lda.bayern.de/media/pm2019_7.pdf
tungen im Berichtszeitraum aufgeführt. Wir ha-
ben hier, wie in den Vorjahren auch, die telefo- Beratungen im Berichtszeitraum
nischen Auskünfte mitangegeben. Wie man
dort und auch in der unteren Grafik erkennen Verantwortliche 2019
kann, ist die Anzahl der Beratungen im Verhält-
Telefonische Beratungen 936
nis zum letzten Jahr deutlich gesunken. Insbe-
sondere die in der Regel mit geringem Aufwand Schriftliche Beratungen 1422
zu beantwortende Anfragen aus dem Bereich
der Vereine und ehrenamtlich Tätigen wurden Bürger 2019
spürbar weniger, was sich in der Gesamtstatistik Telefonische Beratungen 419
widerspiegelt.
Schriftliche Beratungen 559
Anzahl
10000
Beratungen pro Jahr
9212
9000
8000
7000
Verantwortliche
6000 Bürger
5000
4000 3749 3336
3068
3000 2812 2727
2426 2434 2532
2000
1000
0
2011 2012 2013 2014 2015 2016 2017 2018 2019
12 Tätigkeitsbericht 2019 - Bayerisches Landesamt für DatenschutzaufsichtZahlen und Fakten
Ein weiterer Grund für den Rückgang der Bera- 2.3 Datenschutzverletzungen
tungsanfragen können unsere Informationsver-
anstaltungen, das gesteigerte Informationsan- Wie schon im letzten Jahr befürchtet und im
gebot auf unserer Homepage und nicht zuletzt vergangenen Tätigkeitsbericht prognostiziert,
auch die besseren Informationen der jeweiligen ist die Zahl der Meldungen von Datenschutzver-
Dachverbände sein. Auf der anderen Seite mer- letzungen im Jahr 2019 noch einmal erheblich
ken wir aber, dass die verbliebenen Anfragen gestiegen. Die Meldevorschrift aus Art. 33 DS-
schwierigere Fragestellungen beinhalten und GVO zeigt tatsächlich Wirkung, auch wenn ge-
deshalb nach wie vor eine gewaltige Herausfor- rade bei kleineren Unternehmen die Meldever-
derung darstellen. pflichtung und der Ablauf der Meldung immer
noch nicht geläufig sein dürften.
Wir sind uns dabei bewusst, dass mit der aus-
schließlichen Erfassung der schriftlichen Bera- Neben den Beschwerden und den Beratungen
tungen ein nicht unerheblicher Anteil unserer prägen daher mittlerweile auch Vorgänge zu
Arbeit, nämlich die telefonische Beantwortung Datenschutzverletzungen unseren Arbeitsalltag.
von Anfragen, statistisch künftig nicht mehr ins In der unten aufgeführten Grafik werden die bei
Gewicht fällt. Die telefonische Erreichbarkeit uns eingegangenen Meldungen nach Art. 33
und Beantwortung von Anfragen ist uns nach DS-GVO, die von den jeweiligen Verantwortli-
wie vor wichtig. Es ist ein kostenfreier Service, chen abgegeben wurden, dargestellt. Weitere
der sicherlich für eine Behörde nicht selbstver- Informationen zum Thema Datenschutzverlet-
ständlich ist, aber von Hilfesuchenden sehr gut zungen im Allgemeinen sind im Kapitel 17 die-
angenommen wird. Unabhängig davon, ob ein ses Berichts zu finden, wenngleich wir dieses
Datenschutzbeauftragter, ein Geschäftsführer, Mal von der Darstellung einzelner Fallkonstella-
ein Arzt, eine Bürokraft, ein Schüler, ein Bürger, tionen meldepflichtiger Vorfälle Abstand neh-
ein Vereinsmitglied etc. anrief – wir waren stets men.
bemüht, uns telefonischen Anfragen anzuneh-
men.
Anzahl
4500
Datenschutzverletzungen pro Jahr
4111
4000
3500
3000 Kategorien u. a.:
Cyberangriffe 2471
2500 Fehlversand
Verschlüsselungstrojaner
Malware
2000 Verlust u. Diebstahl
Softwarefehler
1500
1000
500
136
10 13 32 21 28 85
0
2011 2012 2013 2014 2015 2016 2017 2018 2019
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 13Zahlen und Fakten
2.4 Abhilfemaßnahmen die Pflege der IMI-relevanten Vorgänge inner-
halb unserer Behörde einen enormen Aufwand
Für diesen Abschnitt haben die Aufsichtsbehör- bedeuten. Zum Redaktionsschluss dieses Be-
den vorgeschlagen, die Abhilfemaßnahmen richts waren wir leider nicht in der Lage, valide
nach Art. 58 Abs. 2 DS-GVO aufzulisten. Im Ein- Zahlen, aufgeschlüsselt nach den unterschiedli-
zelnen handelt es sich dabei um die Maßnah- chen Kategorien, zur Verfügung zu stellen. Hin-
men, die wir bereits im letzten Tätigkeitsbericht tergrund hierbei ist, dass wir seit Beginn der DS-
aufführten: GVO längst eine vierstellige Anzahl an IMI-Vor-
gängen haben, die uns in irgendeiner Weise
Warnungen
tangieren – zusätzlich zu den ohnehin schon in
(Art. 58 Abs. 2 Buchst. a DS-GVO)
unserer Behörde laufenden Verfahren. Um die-
Verwarnungen sem Umstand Rechnung zu tragen, haben wir
(Art. 58 Abs. 2 Buchst. b DS-GVO) bei der Besetzung der neuen Planstellen beson-
ders darauf geachtet, dass eine dauerhafte Be-
Anweisungen und Anordnungen
gleitung der IMI-Vorgänge von uns gewährleis-
(Art. 58 Abs. 2 Buchst. c - g und j
tet werden kann. Auch unser internes Verwal-
DS-GVO)
tungsprogramm wurde angepasst, damit wir
Geldbußen künftig nicht nur eine statistische Auswertung
(Art. 58 Abs. 2 Buchst. i DS-GVO) durchführen, sondern IMI-Vorgänge auch mit
Widerruf von Zertifizierungen einem erhöhten Automatisierungsgrad in unse-
(Art. 58 Abs. 2 Buchst. h DS-GVO) ren Arbeitsalltag integrieren können.
Auch wenn wir es wollten, ist es uns im Jahr
2019 leider nicht gelungen, unser internes Fach- 2.6 Förmliche Begleitung von
verfahren IGOR zur Verwaltung von Vorgängen Rechtsetzungsvorhaben
so zu erweitern, dass die oben genannten Ab-
hilfemaßnahmen statistisch ausgewertet wer- Eine förmliche Begleitung von Rechtsetzungs-
den können. Wir hoffen, dass uns dies bald ge- vorhaben, d. h. Abgabe einer Stellungnahme zu
lingt und wir im nächsten Tätigkeitsbericht dazu uns betreffenden Gesetzesvorhaben, fand im
konkrete Angaben liefern können. Jahr 2019 nicht statt.
2.5 Europäische Verfahren 2.7 Ressourcen
Wie im vergangenen Bericht erklärt, ist es für Im Berichtszeitraum haben wir durch den Haus-
uns erforderlich, die in das IMI-System einge- haltsgesetzgeber im engeren Sinne, den Bayeri-
stellten Vorgänge zur Feststellung der Betrof- schen Landtag, im Rahmen des Nachtragshaus-
fenheit (Art. 56 DS-GVO), der Federführung (Art. halts keine neuen Stellen erhalten, aber durch
56 DS-GVO) und die Anzahl der Verfahren ge- den Bayerischen Staatsminister des Innern, für
mäß Kapitel VII DS-GVO (Zusammenarbeit und Integration und Sport, im Zuge einer Haus-
Kohärenz) regelmäßig zu sichten. Erst dann haltsumschichtung nach Art. 6 des Bayerischen
kann festgestellt werden, ob und wann wir uns Haushaltsgesetzes im März 2019 die Zusage für
bei Verfahren, die in das IMI-System eingestellt Haushaltsmittel bekommen, mit denen wir neun
sind, als federführende oder betroffene Auf- Stellen in der 2. und 3. Qualifikationsebene nicht
sichtsbehörde melden sollen bzw. müssen. nur für das Jahr 2019, sondern auf Dauer schaf-
fen konnten.
Allerdings mussten wir bislang erkennen, dass
alleine diese Sichtung im IMI-System und auch
14 Tätigkeitsbericht 2019 - Bayerisches Landesamt für DatenschutzaufsichtZahlen und Fakten
Im Sommer 2019 standen die Haushaltsmittel werden mussten, was mit tatkräftiger Unterstüt-
dann tatsächlich zur Verfügung, sodass wir zu- zung des Personalsachgebiets des Bayer Staats-
sätzliches Personal einstellen konnten. Von den ministeriums des Innern sehr gut gelungen ist,
neun Stellen wurden sieben Stellen ausge- erschwerte die Personalsituation im Berichtsjahr
schrieben und die meisten leider erst zum No- für uns erheblich.
vember 2019 besetzt. Zwei Stellen wurden be-
wusst noch nicht ausgeschrieben und besetzt, Die Personalentwicklung der letzten Jahre sieht
um erst die sieben neuen Mitarbeiterinnen und wie folgt aus:
Mitarbeiter zu integrieren. Wir wollen dann fest-
Bis 31.12.2016: 16 Planstellen
stellen, in welchem Bereich der Bedarf in den
nächsten Monaten am größten ist, um zielge- Bis 31.12.2017: 20 Planstellen
richtet dort weitere Verstärkung einzusetzen. Es Bis 31.12.2018: 24 Planstellen
sollte damit auch dem neuen Präsidenten die
Bis 31.12.2019: 33 Planstellen
Möglichkeit eingeräumt werden, eigene
Schwerpunkte zu setzen. Rein rechnerisch hat sich damit die Anzahl der
zu bewältigenden Aufgaben auf mehr Schultern
Erfreulich war die positive Resonanz auf unsere verteilt. Wir haben nun zwar deutlich mehr Plan-
Stellenausschreibungen, was auf der anderen stellen als noch vor wenigen Jahren, allerdings
Seite mit einem ziemlichen Aufwand für die muss man sich bewusst machen: Auch deutlich
Sichtung der Bewerbungsunterlagen und die mehr Arbeit. Wie der vorangegangenen Grafik
Durchführung von Vorstellungsgesprächen ver- des Schuldenbergs entnommen werden kann,
bunden war. Die größte Resonanz erfuhren wir hat sich die Zunahme der Mitarbeiteranzahl
bei der Ausschreibung einer Stelle in der Ge- noch nicht relevant auf die Anzahl der Erledi-
schäftsstelle, auf die sich alleine 230 Menschen gungen ausgewirkt, da sich unser neues Perso-
beworben haben. nal im Wesentlichen in der Einarbeitung befin-
det. Entsprechend war die durchschnittliche An-
Dass im Laufe des Jahres vier von acht Juristin- zahl der Vorgänge pro Planstelle besonders bei
nen und Juristen das BayLDA vorübergehend den Beschwerden auffällig hoch, was dem unten
oder auf Dauer verlassen haben und ersetzt aufgeführten Diagramm zu entnehmen ist.
Durchschnittliche Vorgänge pro Planstelle
384
Beratungen
Datenschutzverletzungen
Beschwerden
192
176 166
152
124
103 101
89
60
1 5
2014 2016 2018 2019
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 15Zahlen und Fakten
2.8 Vorträge und
Öffentlichkeitsarbeit
Wir haben auch im Jahr 2019 eine erhebliche
Anzahl von Vorträgen gehalten und dabei über-
wiegend Datenschutzbeauftragte geschult bzw.
informiert. Ein besonderes Anliegen war es uns
wieder, die meist von den Industrie- und Han-
delskammern und der Gesellschaft für Daten-
schutz und Datensicherheit e.V. (GDD) organi-
sierten ERFA-Kreise in München, Nürnberg,
Würzburg, Coburg und Bayreuth zu besuchen
und dort die zahlreich vorab eingereichten Fra-
gen zu beantworten.
Um ein Verständnis dafür zu bekommen, wie in
anderen Mitgliedstaaten der EU, des Europäi-
schen Wirtschaftsraums (EWR) oder einem
Drittstaat mit angemessenem Datenschutzni-
veau das Verständnis für die DS-GVO ist, haben
wir bei Veranstaltungen in der Schweiz, Großbri-
tannien und Liechtenstein Vorträge gehalten
bzw. an Veranstaltungen teilgenommen.
Im Rahmen unserer Öffentlichkeitsarbeit erwei-
terten wir fortlaufend unser Angebot auf unse-
rer Website, damit Interessierte einfach und
schnell Antworten auf ihre Fragen finden konn-
ten. Dabei war es uns wichtig, die Informationen
so herunter zu brechen und mit Mustern zu er-
gänzen, dass Vereine, Handwerker, freiberuflich
Tätige und auch sehr kleine Unternehmen eine
effektive praxisorientierte Unterstützung finden
konnten.
16 Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht3 Kontrollen und Prüfungen
Kontrollen und Prüfungen
3 Kontrollen und Prüfungen
3.1 Safer Internet Day 2019 schiedene Punkte in unterschiedlicher Tiefe un-
tersucht, von der verwendeten Verschlüsselung,
Unsere Prüfung zur Passwortsicherheit der Passwortstärke bis hin zu Absicherungen
und zum datenschutzkonformen Einsatz gegen Angriffsversuche auf Login-Daten.
von Tracking-Tools offenbart Nachholbe-
Bei der Untersuchung im Schwerpunkt Tracking
darf bei großen Websites.
wurden zahlreiche Prüffragen aus dem Bereich
der Information und Einwilligung abgehandelt,
Wie bereits in den vorangegangenen Jahren ha-
z. B. „Wird der Nutzer vorab transparent über
ben wir uns auch 2019 wieder am Safer Internet
den Einsatz von Tracking-Tools informiert?“,
Day aktiv beteiligt. Unter dem Motto „Together
„Werden die Anforderungen an eine wirksame
for a better internet“ bot der Safer Internet Day
Einwilligung von der Website erfüllt?“ und
vielen Institutionen die Möglichkeit, einen Bei-
„Kann der Nutzer die Profilbildung durch Tra-
trag für ein sicheres Internet zu leisten. Wir
cking-Tools auf der Website selbst durch eigene
nutzten die Gelegenheit und führten eine um-
Einstellungen verhindern?“. Hier befanden sich
fangreiche Datenschutzkontrolle bei Websites
auf Grund konkret vorliegender Beschwerden
ausgewählter Verantwortlicher durch. Schwer-
von Bürgern bereits 40 Websites auf unserer
punkte waren die Umsetzung der datenschutz-
Prüfliste, wobei alle dieser Websites ausschließ-
rechtlichen Anforderungen bezüglich Cybersi-
lich von großen bzw. sehr großen bayerischen
cherheit und Tracking.
Firmen betrieben und verantwortet werden.
Warum wir diese beiden Themen als Prüf-
Obwohl wir ausschließlich Websites von größe-
schwerpunkte ausgemacht haben, erklärt sich in
ren Unternehmen, zum Teil börsennotierte
unserer Funktion als Aufsichtsbehörde: Spätes-
Großkonzerne, hinsichtlich längst bekannter Si-
tens seit Mai 2018 zeichnete sich ab, dass ein
cherheitsanforderungen untersuchten, mussten
häufiges Beschwerdethema bei Bürgern die In-
wir feststellen, dass zahlreiche Defizite vorhan-
formation, die Einwilligung und das Setzen von
den waren. Die getroffenen Sicherheitsmaßnah-
Cookies bei Websites darstellt. Wir haben zahl-
men mussten oft als unzureichend eingestuft
reiche Eingaben dieser Art erhalten, die sich
werden. In einer umfassenden Ergebnispräsen-
letztendlich allesamt um Nutzertracking im In-
tation haben wir auf unserer Website die einzel-
ternet drehten. Und da wir zudem viele Meldun-
nen Ergebnisse zur Verfügung gestellt, bewertet
gen über Datenschutzverletzungen nach Art. 33
und über den Hintergrund des jeweiligen Prüf-
DS-GVO auf Grund mangelhafter Sicherheit bei
punktes informiert. Da das Ergebnis so ernüch-
Webdiensten registrierten, insbesondere bei
ternd ausfiel, werden wir auch weiter aktive
der Absicherung der Logins, fiel die Entschei-
Kontrollen im Cybersicherheitsumfeld durch-
dung leicht, sowohl Tracking als auch Cybersi-
führen und bei Verstößen unser Potential aus
cherheit bei Websites aktiv anzugehen.
dem Maßnahmenkatalog ausschöpfen. Ob da-
bei allen Verantwortlichen bereits bekannt ist,
Im Rahmen des Cybersicherheitschecks kontrol-
dass ein Verstoß gegen die Vorschriften aus Art.
lierten wir, wie Website-Betreiber den Nutzer
32 DS-GVO zur Sicherheit der Verarbeitung mit
durch den Registrierungs- und Login-Prozess
einer nicht unerheblichen Geldbuße geahndet
begleiten und inwieweit sie dabei angemessen
werden kann, mögen wir nicht beurteilen.
mit den Passwörtern ihrer Nutzer umgehen. Im
Rahmen der mehrstufigen Prüfung wurden ver-
18 Tätigkeitsbericht 2019 - Bayerisches Landesamt für DatenschutzaufsichtKontrollen und Prüfungen
Auch im Bereich Tracking fiel das Ergebnis un- für den Fall, dass in seiner Bar Straftaten wie bei-
serer Prüfung desolat aus: Keine der geprüften spielsweise Diebstahl begangen werden, ent-
Websites erfüllte die Anforderung an eine zuläs- sprechendes Beweismaterial zur Verfügung ha-
sige Einwilligung nach der DS-GVO, obwohl die ben. Ferner habe es vor längerer Zeit einen Ein-
Websites Tracking-Tools von Drittanbietern ein- bruchsversuch gegeben. Diese Zwecke vermö-
gebunden hatten und somit eine Datenverar- gen die Videoüberwachung des Gastraums
beitung durch fremde Dienste veranlassten. Ei- nicht zu rechtfertigen. Wir stellten gegenüber
nige Website-Betreiber verschwiegen den Ein- dem Unternehmen klar, dass es in einem gast-
satz von Tracking-Tools, andere hingegen infor- ronomischen Betrieb wie etwa seiner Bar nicht
mierten pauschal über verschiedenste Tools, die zulässig ist, die Bereiche, in denen sich die Gäste
zum Teil gar nicht auf der Website eingebunden zum Verzehr von Speisen und Getränken oder
sind. Im Ergebnis wurde der Nutzer nur selten zum „Relaxen“ aufhalten, mit Videokameras zu
transparent darüber informiert, ob und welche erfassen.
seiner Daten für welche Zwecke verarbeitet wer-
den. Wir haben uns daher veranlasst gesehen, Als zulässig haben wir lediglich die Erfassung
entsprechende Verfahren gegen die Verant- des unmittelbaren Eingangsbereichs und auch
wortlichen einzuleiten und die Verstöße dies nur außerhalb der Öffnungszeiten bewer-
dadurch abzustellen. Weitere Informationen tet. Diese Erfassung zum Zwecke der Dokumen-
sind den Pressemitteilungen vom 1. und 5. Feb- tation etwaiger Einbruchsversuche kann als ein
ruar 2019 sowie der dazugehörigen Ergebnis- berechtigtes Interesse des Unternehmens aner-
präsentation zu entnehmen. kannt werden, so dass die Verarbeitung perso-
www.lda.bayern.de/media/pm2019_3_de.pdf nenbezogener Daten zu diesem Zweck insoweit
datenschutzrechtlich nach Art. 6 Abs. 1 Buchst. f
3.2 Videoüberwachung in DS-GVO legitimiert ist, dies jedoch begrenzt auf
die Zeiten, in denen sich kein Personal vor Ort
Shisha-Bars befindet, so dass etwaige Einbruchsversuche
andernfalls somit nicht dokumentiert werden
Beschwerden, die Videoüberwachung zum
könnten. Was die Speicherdauer betrifft, erach-
Gegenstand haben, nehmen quantitativ ten wir nach wie vor eine Dauer von grundsätz-
seit vielen Jahren einen Spitzenplatz in un- lich bis zu maximal 72 Stunden als ausreichend,
serer Tätigkeit ein. Regelmäßig erreichen da während dieses Zeitraums normalerweise die
uns Beschwerden über Videokameras in Auswertung der Videoaufzeichnungen möglich
Restaurants, Bars und anderen gastrono- ist.
mischen Einrichtungen. Im Rahmen einer
Vor-Ort-Kontrolle haben wir daher im Be- In einer der Bars wurde zudem der Kassenbe-
reich von einer Videokamera überwacht. Zweck
richtszeitraum mehrere sog. Shisha-Bars
der Überwachung war hier – wie häufig in der
überprüft, gegen die Beschwerden bei uns
Gastronomie und im Handel – die Verhinderung
eingegangen waren.
von sog. Wechselgeldbetrug durch Mitarbeiter
bzw. Aufdeckung entsprechender Vorgänge.
Die Prüfung ergab insgesamt ein gemischtes
Dies bewerteten wir als zulässig unter der Vo-
Bild. Im Falle einer der überprüften Bars waren
raussetzung, dass tatsächlich durch entspre-
im Gastraum, in dem sich wohl vornehmlich jun-
chende Kameraeinstellung gewährleistet ist,
ges Publikum aufhält, vier Videokameras ange-
dass lediglich der unmittelbare Kassenbereich
bracht, durch die mehr oder minder der ge-
erfasst wird, nicht jedoch der Mitarbeiter insge-
samte Gastraum erfasst wurde. Als Grund für die
samt.
Überwachung gab der Betreiber pauschal Si-
cherheitsinteressen an. Insbesondere wolle er
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 19Kontrollen und Prüfungen
Bei mehreren der überprüften Bars waren Ka- schutzbeauftragte eingebunden wird. Nicht sel-
meras zudem außen am Gebäude angebracht, ten ergab unsere Kontrolle, dass selbst die Ge-
die z. T. größere Bereiche des Gehsteigs erfass- schäftsleitung hiervon keine Kenntnis hatte.
ten. Hier ist höchstens eine Erfassung eines
schmalen, unmittelbar an die Gebäudehaut bzw. Dies veranlasste uns, die Prüfung umzustellen.
Eingangstür angrenzenden Bereichs hinnehm- Schwerpunkt der Prüfung war nicht mehr nur
bar und nur, sofern gewährleistet ist, dass nicht die Frage, ob für die Einbindung von Tracking-
die gesamte Breite des Gehsteigs erfasst wird, Tools eine Einwilligung eingeholt werden muss
sondern Fußgänger die Möglichkeit haben, den oder Art. 6 Abs. 1 Buchst. f) DS-GVO eine aus-
Gehsteig zu nutzen, ohne von den Kameras er- reichende Rechtsgrundlage ist. Da die Website-
fasst zu werden. Prüfung grundlegende Mängel im Datenschutz-
Management zu Tage brachte, prüften wir auch,
Der Erlass förmlicher Anordnungen gegen die ob die Verantwortlichen ihrer Rechenschafts-
im Rahmen dieser Prüfungsaktion von uns über- pflicht gem. Art. 5 Abs. 2 DS-GVO hinreichend
prüften Betriebe war nicht erforderlich, weil die nachgekommen sind.
Betriebe unsere mündlich mitgeteilten Hinweise
befolgt haben. Wenngleich die Rechenschaftspflicht gem. Art.
5 Abs. 2 DS-GVO eine der wenigen großen Ver-
3.3 Rechenschaftspflicht beim änderungen des neuen Datenschutzrechts ist,
so hätte jeder Verantwortliche in den letzten
Einsatz von Tracking-Tools
Jahren die Gelegenheit gehabt, sich hinreichend
damit auseinanderzusetzen.
Viele Unternehmen kennen ihre eigenen
Verarbeitungstätigkeiten oft nicht hinrei-
Sowohl auf deutscher als auch europäischer
chend und befassen sich nur ungenügend Ebene haben sich die Datenschutzaufsichtsbe-
mit den rechtlichen Anforderungen der hörden in mehreren Veröffentlichungen zur Re-
DS-GVO. chenschaftspflicht geäußert, zuletzt in der „Ori-
entierungshilfe für Anbieter von Telemedien“.
Nach den ernüchternden Ergebnissen der www.datenschutzkonferenz-online.de/
Website-Prüfung im Rahmen des Safer Internet media/oh/20190405_oh_tmg.pdf
Days 2019, siehe Kapitel 3.1 dieses Berichts, ha-
ben wir aufsichtliche Verfahren gegen die Ver- Zudem prüften wir seit Oktober 2018 die Re-
antwortlichen eingeleitet. chenschaftspflicht bei Großkonzernen. Ziel die-
ser Prüfung war es, festzustellen, inwieweit
Bei der weitergehenden Prüfung stellte sich her- große Unternehmen in der Lage sind, die Ein-
aus, dass sich viele Verantwortliche nicht im Kla- haltung der gesetzlichen Vorgaben aus der DS-
ren darüber sind, welche Dienste auf ihren GVO nachzuweisen. Zu diesem Zweck hatten wir
Websites überhaupt eingebunden werden. einen Prüfkatalog mit 50 Fragen zur Rechen-
Grund hierfür ist häufig, dass die Betreuung der schaftspflicht mit folgenden Schwerpunkten er-
Websites von Agenturen übernommen wird stellt:
oder die Marketing-Abteilung des Verantwortli-
Aufbauorganisation
chen selbstständig Tracking-Tools zur Werbefi-
nanzierung in das Webangebot integriert. Basis-Anforderungen
Datenschutzkonforme Verarbeitung
Bedauerlicherweise erfolgt dies in vielen Fällen,
ohne dass der interne oder externe Daten- Umgang mit Betroffenenrechten
Umgang mit Datenschutzverletzungen
20 Tätigkeitsbericht 2019 - Bayerisches Landesamt für DatenschutzaufsichtKontrollen und Prüfungen
Über diese Prüfung wurde in einer eigenen Darüber hinaus kann die Rechenschaftspflicht
Pressemitteilung vom 07.11.2018 informiert. durch sonstige Datenschutzdokumentation er-
www.lda.bayern.de/media/pm2018_17_de.pdf folgen, wie beispielsweise hierdurch:
Vertragsmanagement
Zudem haben wir den vollständigen Prüfkatalog
zur Rechenschaftspflicht veröffentlicht: Konzepte zur Sicherstellung der
Betroffenenrechte
www.lda.bayern.de/media/pruefungen/
201810_rechenschaftspflicht_fragebogen.pdf Prozesse der Datenschutzorganisation
Einführung von Datenschutzrichtlinien
Trotz dieser und der zahlreichen Veröffentli-
chungen der Aufsichtsbehörden insgesamt wa- Interne oder externe Audits
ren viele Verantwortliche in puncto Rechen-
Mitarbeiterschulungen
schaftsplicht überfordert. Einige Unternehmen
waren der Ansicht, es sei damit getan, wenn Rechtsgutachten
man der Aufsichtsbehörde die Datenschutzbe- Zertifizierungen nach DIN- und ISO-
stimmung der Website ausdruckt oder erklärt, Normen
„Werbung ist ein berechtigtes Interesse und
Sonstige Aufzeichnungen wie z. B.
deshalb darf man das“.
Berichte, Vermerke oder Protokolle
Das dies keinesfalls ausreichend ist, um den Sinn und Zweck der Dokumentation ist es, dass
Nachweis zu erbringen, dass eine Datenverar- der Verantwortliche sich umfassend mit den
beitung rechtmäßig erfolgt, dürfte auf der Hand weitergehenden Anforderungen der DS-GVO
liegen. Dabei ist es keine große Herausforde- auseinandersetzt und prüft, ob eine Datenverar-
rung, die Rechenschaftspflicht zu erfüllen. Die beitung rechtmäßig erfolgt oder ggf. noch wei-
DS-GVO enthält eine Vielzahl von Nachweis- tere Maßnahmen erforderlich sind, um die
pflichten, die der Verantwortliche ohnehin erfül- rechtmäßige Verarbeitung sicherzustellen.
len muss.
Im Rahmen des aufsichtlichen Verfahrens haben
Hierzu gehören u. a. die meisten Verantwortlichen erheblich nachge-
bessert, sodass wir das Thema Rechenschafts-
Verzeichnis über
pflicht abschließen konnten.
Verarbeitungstätigkeiten
(Art. 30 DS-GVO),
Hiervon unberührt bleibt die Frage, ob für den
Datenschutz-Folgenabschätzung Einsatz von Tracking-Tools zwingend die Einwil-
(Art. 35 DS-GVO), ligung der Nutzer eingeholt werden muss.
genehmigte Verhaltensregeln Hierzu führen wir das aufsichtliche Verfahren
(Art. 40 DS-GVO), fort bis hin zur Anordnung. Sollte der Verant-
wortliche mit unserer Entscheidung nicht ein-
Zertifizierung (Art. 42 DS-GVO),
verstanden sein, ist mit einer Klage vor dem Ver-
Meldungen über waltungsgericht zu rechnen.
Datenschutzverletzungen
(Art. 33 DS-GVO) sowie
Verträge zur Auftragsverarbeitung
(Art. 28 Abs. 3 DS-GVO).
Tätigkeitsbericht 2019 - Bayerisches Landesamt für Datenschutzaufsicht 21Sie können auch lesen
