Tätigkeitsbericht 2020 - BayLDA
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Bayerisches Landesamt für
Datenschutzaufsicht
10. Tätigkeitsbericht
2020
10. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2020 Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 18 91522 Ansbach Tel.: 0981 180093-0 Fax: 0981 180093-800 E-Mail: poststelle@lda.bayern.de Web: www.lda.bayern.de Vorgelegt im Juli 2021 – Michael Will, Präsident Bildnachweis Cover: de.123rf.com – Urheber everythingpossible – Dateinummer 45551643
Vorwort
Vorwort
Mit seinem 10. Tätigkeitsbericht legt das Lan- Ohne den besonderen Einsatz jeder und jedes
desamt für Datenschutzaufsicht einen Bericht Einzelnen sowie die außerordentliche Flexibilität
über ein Jahr grundlegender Veränderungen und Agilität gerade unseres technischen Stabes
vor. Der Jubiläumsbericht verweist auf den am wäre dieser Erfolg kaum vorstellbar gewesen. Er
1. August 2021 zu begehenden 10. Jahrestag verdient deshalb an dieser Stelle nochmals ganz
des Bestands unserer Behörde als verselbststän- besonderen Dank und Wertschätzung. Nichts
digte und weisungsfreie, im Sinne des Unions- anderes gilt im Übrigen für unsere dem BayLDA
rechts völlig unabhängige Datenschutzauf- durch eine Kooperationsvereinbarung verbun-
sichtsbehörde. dene Nachbarbehörde, die Regierung von Mit-
telfranken, deren Mitarbeiterinnen und Mitar-
Er ist damit zugleich der erste Bericht, der nicht beiter trotz der außerordentlichen Zusatzbelas-
vom Gründungspräsidenten des BayLDA tung der bayerischen Mittelbehörden in Pande-
Thomas Kranig verantwortet wird, der am 31. Ja- mie und Katastrophenfall das BayLDA durch-
nuar 2020 in den Ruhestand getreten ist. Sein gängig mit ihren zentralen Diensten und in der
verdienstreiches Wirken und seine fachliche, or- Personalverwaltung unterstützt haben. Umge-
ganisatorische genauso wie seine menschliche kehrt hat das BayLDA durch eine Freistellung für
Aufbauarbeit sind auch heute weiterhin für uns ein virtuelles Tracing-Team und eine über meh-
alle voll dankbarer Anerkennung nahezu tag- rere Wochen im Frühjahr ermöglichte Abord-
täglich spür- und sichtbar. nung aus unserem Leitungsbereich versucht,
seinen solidarischen Beitrag zur Bewältigung
Das BayLDA im pandemischen Ausnahmezu- der pandemischen Spitzenbelastung der ge-
stand samten bayerischen Staatsverwaltung zu erbrin-
gen.
Auch Dank dieser von Thomas Kranig in langen
Jahren gefestigten Fundamente konnte das Trotz aller Anpassungserfordernisse und meist
BayLDA den mit dem Ausbruch der Pandemie vorübergehender Beschwernisse wird im Rück-
im Frühjahr 2020 einsetzenden Prozess nachhal- blick aber auch ein Vorzug der veränderten Ar-
tiger Veränderungen unbeschadet und trotz al- beitsbedingungen deutlich: Auf Grund des
ler Herausforderungen ohne substantielle Ein- Wechsels in virtuelle Formate und der damit
schränkung seiner Aufgabenwahrnehmung verbundenen Reisezeitersparnisse konnte das
vollziehen. BayLDA mehr als in allen vorangehenden Jahren
seine Aufgaben im Bereich der europäischen
Nicht anders als bei der Mehrzahl der Behörden Zusammenarbeit genauso wie den damit ver-
und Unternehmen unsers Landes war das Jahr bundenen nationalen Abstimmungsaufgaben
2020 seit dem ersten Quartal auch für das nachkommen. Die Vielzahl an möglichst einheit-
BayLDA das Jahr des Home-Office. Virtuelle For- lich anzugehenden datenschutzrechtlichen Fra-
mate unterschiedlicher Dimension von der gen der Pandemiebekämpfung und die seit
Teambesprechung oder dem Konferenzvortrag dem 2. Halbjahr 2020 mindestens gleicherma-
bis hin zur großen , interaktiven Weihnachtsfeier ßen drängenden Fragen des Internationalen Da-
mit dem gesamten BayLDA-Team haben damit tenverkehrs haben im Europäischen Daten-
unsere persönlichen internen Treffen genauso schutzausschuss auf allen Ebenen zu einer au-
nahezu vollständig verdrängt wie die Vielzahl ßerordentlichen Verdichtung der Sitzungen und
unserer sonstigen Auswärtstermine für natio- Abstimmungsprozesse geführt.
nale und europäischen Abstimmungsgespräche
oder Arbeitskreise der Datenschutz-Verbände.
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 1Vorwort
Die Erwartung, dass dieses neue Niveau der In- dem früheren Recht nicht verändert wurde, hat
tensität und Bandbreite der Zusammenarbeit im weder die Pandemie z. B. die Befugnisse von Ar-
Jahr vier der DS-GVO nochmals abebbt, er- beitgebern beim Umgang mit Gesundheitsda-
scheint angesichts der allmählich greifenden ten von Beschäftigten grundlegend erweitert o-
Mechanismen der Zusammenarbeit auch in Ein- der gar relativiert. Ebenso wenig hat der EuGH
zelfallfragen weder realistisch noch wünschens- aus den Anforderungen des Kapitels V der DS-
wert, ohne das Ziel der einheitlichen Anwen- GVO und den bisherigen sog. Standardvertrags-
dung des europäischen Datenschutzrechts in klauseln der EU-Kommission substantiell neues
Frage zu stellen. entnommen, sondern zunächst nur an bereits
bisher explizit ausgestaltete allgemeine Sorg-
Freilich bleibt dann anzuerkennen, dass im Rah- falts- und Prüfpflichten von Datenexporteuren
men der traditionellen Präsenzformate kurzfris- und -importeuren erinnert.
tige Sitzungsterminierungen und Folgeberatun-
gen im Wochentakt für nationale Gremienver- Allerdings hat der EuGH zugleich mit der Adä-
treter kaum zu bewältigen sein werden. Dies gilt quanzentscheidung zum EU-US-Privacy-Shield
erst Recht für Behörden wie das BayLDA, denen gerade für die Unternehmen in Bayern mit ihren
jede neue Inanspruchnahme durch Aufgaben vielfältigen transatlantischen Verflechtungen
der EU-Zusammenarbeit auf Grund nach wie vor ein zentrales Instrument zu praxisgerechten Ab-
allzu knappen Ressourcen stets Kompromisse sicherungen von Datenübermittlungen aufge-
zu Lasten der übrigen Aufgaben im Bereich der hoben, dessen Wegfall gerade für kleine und
Beschwerdebearbeitung und Beratung abver- mittlere Unternehmen komplexe Anpassungs-
langt. aufgaben auslöst. Gemeinsam mit den Verbän-
den der bayerischen Wirtschaft hat das BayLDA
Themenschwerpunkt Internationaler Daten- deshalb frühzeitig in mehreren Informationsver-
verkehr anstaltungen für die damit verbundenen Frage-
stellungen sensibilisiert und Hilfestellungen be-
Neben der Pandemiebekämpfung hat das Urteil reit gestellt, die auch im Jahr 2021 fortgeführt
des Europäischen Gerichtshofs (EuGH) vom 16. werden.
Juli 2020 in der Rechtssache „Schrems II“ unsere
Aufgabenschwerpunkte, teils aber auch die Ausblick
Wahrnehmung des Datenschutzes im Jahr 2020
insgesamt bestimmt und bei manchen verän- Im 11. Jahr als eigenständige Datenschutzauf-
dert. Während im Hinblick auf die Pandemiebe- sichtsbehörde und fast zwanzig Jahre nach sei-
kämpfung der Datenschutz in vielen Diskussio- ner Gründung zum 1. Januar 2002 als Sonder-
nen immer wieder vorschnell und unberechtigt behörde unter dem Dach der Regierung von
als Bremser und Hindernis missverstanden wird, Mittelfranken sieht sich das BayLDA erneut in ei-
erscheint das Urteil des EuGH mit seinen Maß- ner Phase grundlegender Weichenstellungen:
stäben für Datenübermittlungen in Drittstaaten
in vielen Analysen und Rückmeldungen aus der Mit Sorge sehen wir, dass spätestens seit Prüf-
Praxis als kaum bewältigbare und letztlich un- aufträgen der Datenethikkommission in ihrem
verständliche bürokratische Belastung. Ver- Bericht vom Oktober 2019 in der Bundespolitik
gleichbar der Wahrnehmung der DS-GVO in ih- immer wieder Überlegungen zu einer Zentrali-
rer Startphase im Jahr 2018 spiegeln diese Rück- sierung der Datenschutzaufsicht im nicht öf-
meldungen für uns in vielen Fällen Unsicherhei- fentlichen Bereich ausgetauscht werden. Trotz
ten in der Anwendung des geltenden Rechts aller Ungenauigkeiten und Defizite in ihren Ana-
wieder: ähnlich wie der Kern des materiellen Da- lysen zum status quo der Datenschutzaufsicht in
tenschutzrechts durch die DS-GVO gegenüber Deutschland wie auch in der zentralen Frage der
2 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtVorwort
verfassungsrechtlichen Umsetzbarkeit einer in ansteigender Fallzahlen und veränderter Funkti-
der Fläche präsenten Bundesbehörde für die onsbedingungen der Datenschutzaufsicht in ei-
Datenschutzkontrolle bei Unternehmen – im nem europäischen Vollzugsverbund wie die
Kern zeigen uns diese Debatten immer wieder nachfolgenden Kapitel zu unserer Überzeugung
tiefgreifende Vorbehalte gegenüber föderalen zeigen, dank einer Vielzahl tagtäglicher Priori-
Strukturen und ihrer Leistungsfähigkeit bei der sierungskompromisse noch, aber nicht mehr
Bewältigung gesamtwirtschaftlicher und -ge- lange ohne nachhaltige Änderungen gerecht.
sellschaftlicher Herausforderungen wie der Di-
gitalisierung und globalen Vernetzung. Sie sind Soweit dieser Veränderungsprozess z. B. im Hin-
uns daher gleichermaßen Mahnung wie An- blick auf unsere interne Aufgabenverteilung im
sporn. Im Mittelpunkt unserer Arbeit steht Rahmen unserer Gestaltungsmöglichkeiten
schon durch die DS-GVO vorgegeben, die pro- liegt, können wir erste Schritte bereits im Nach-
grammatisch einfache, in der Praxis aber oft ge- folgenden aufzeigen, die zentralen Weichen-
nug herausfordernde Aufgabe der unionsweit stellungen zur Sicherstellung einer zukunftsfähi-
einheitlichen Anwendung des europäischen Da- gen Datenschutzaufsicht obliegen aber letztlich
tenschutzrechts. Unser Ziel bleibt dabei, durch alleine dem bayerischen Haushaltsgesetzgeber.
Verständlichkeit, Nachvollziehbarkeit und
Rechtssicherheit für Bürgerinnen und Bürger
genauso wie für die unserer Aufsicht unterlie- Ansbach, im Juli 2021
genden Unternehmen und Vereine einen Mehr-
wert für den Schutz personenbezogener Daten Michael Will
zu erreichen. Präsident
Diesen Zielen werden die heute bestehenden
Strukturen unserer Behörde angesichts stetig
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 3Inhaltsverzeichnis
Inhaltsverzeichnis
Vorwort ......................................................................................................................................................... 1
Inhaltsverzeichnis ........................................................................................................................................ 4
1 Datenschutzaufsicht im nicht-öffentlichen Bereich ....................................................................... 8
1.1 Gesetzliche Grundlage für den Tätigkeitsbericht .......................................................................................... 8
1.2 Datenschutz in Bayern ............................................................................................................................................. 8
1.3 Das Bayerische Landesamt für Datenschutzaufsicht ................................................................................... 8
2 Zahlen und Fakten ............................................................................................................................. 11
2.1 Beschwerden ............................................................................................................................................................. 11
2.2 Beratungen ................................................................................................................................................................ 14
2.3 Datenschutzverletzungen .................................................................................................................................... 15
2.4 Abhilfemaßnahmen; Europäische Zusammenarbeit ................................................................................. 15
2.5 Förmliche Begleitung von Rechtsetzungsvorhaben ................................................................................. 16
2.6 Ressourcen ................................................................................................................................................................ 16
2.7 Vorträge und Öffentlichkeitsarbeit ................................................................................................................. 17
3 Corona .................................................................................................................................................. 19
3.1 Kontaktdatenerfassung zur Pandemiebekämpfung ................................................................................. 19
3.2 Zutrittskontrollen durch Fiebermessen, Wärmebildkameras oder Vorzeigenlassen der
Corona-Warn-App .................................................................................................................................................. 20
3.3 Videokonferenzsysteme im Home-Office ..................................................................................................... 21
4 Auftragsverarbeitung ........................................................................................................................ 24
4.1 Auftragsverarbeitung, getrennte Verantwortlichkeit oder doch gemeinsame
Verantwortlichkeit? ................................................................................................................................................ 24
5 Datenschutz im Internet.................................................................................................................... 26
5.1 Zulässigkeit von Immobilienbewertungsportalen ..................................................................................... 26
5.2 Google Analytics ..................................................................................................................................................... 26
5.3 Cookies – nur noch mit Einwilligung? § 15 Abs. 3 TMG in richtlinienkonformer Auslegung als
Rechtsgrundlage für Webtracking ................................................................................................................... 27
5.4 Apple Kamerafahrten ............................................................................................................................................ 28
6 Steuerberater und Rechtsanwälte ................................................................................................... 31
6.1 Klarstellende Regelungen zur datenschutzrechtlichen Verantwortlichkeit und den
Verarbeitungsbefugnissen von Steuerberatern im Steuerberatungsgesetz (StBerG) ................. 31
6.2 Datenerhebungsbefugnisse von Insolvenzverwaltern ............................................................................. 31
6.3 Datenschutzrechtliche Verantwortlichkeit und Verarbeitungsbefugnisse gerichtlich bestellter
Sachverständiger ..................................................................................................................................................... 32
4 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtInhaltsverzeichnis
7 Versicherungswirtschaft und Banken .............................................................................................. 35
7.1 Hinweis- und Informationssystem (HIS) der deutschen Versicherungswirtschaft .........................35
7.2 Kontoauszüge im Rahmen des Auskunftsanspruchs.................................................................................36
7.3 Gutachten zur Beleihungswertermittlung im Rahmen des Auskunftsanspruchs ...........................37
7.4 Positivdaten bei Energieversorgungsverträgen ...........................................................................................37
8 Werbung und Adresshandel ............................................................................................................. 40
8.1 Koppelungsverbot bei Newsletter-Anmeldungen .....................................................................................40
9 Handel und Dienstleistung ............................................................................................................... 42
9.1 Nutzung personenbezogener Daten für das Anbieten von „Hilfe in einer Notlage“ ...................42
10 Internationaler Datenverkehr ........................................................................................................... 44
10.1 Binding Corporate Rules – ein Wachstumsmarkt .......................................................................................44
10.2 Neue Standarddatenschutzklauseln für Übermittlungen in Drittländer veröffentlicht ...............45
10.3 Das Schrems-II-Urteil: Datenübermittlungen in Drittländer grundsätzlich nicht ohne Prüfung
der Rechtslage im Empfängerland ....................................................................................................................46
11 Beschäftigtendatenschutz ................................................................................................................. 50
11.1 Aushang von Dienstplänen ..................................................................................................................................50
11.2 Datenschutzrechtlicher Auskunftsanspruch von (ehemaligen) Beschäftigten ................................50
11.3 Corona-Tests von Beschäftigten ........................................................................................................................51
11.4 Zeiterfassung mittels Fingerabdruck ...............................................................................................................52
12 Gesundheit und Soziales ................................................................................................................... 54
12.1 Nachweispflicht der Masernschutzimpfung..................................................................................................54
12.2 Videosprechstunde beim Arzt ............................................................................................................................54
12.3 Glaubhaftmachung eines Befreiungsgrundes von der „Maskenpflicht“ ............................................55
12.4 Anwendbarkeit der für öffentliche Schulen geltenden datenschutzrechtlichen Regelungen auf
private Schulen .........................................................................................................................................................56
12.5 Einsatz digitaler Werkzeuge im pandemiebedingten Distanzunterricht ...........................................56
13 Vereine und Verbände ....................................................................................................................... 59
13.1 Segelflieger - Veröffentlichung von Flugdaten auf einer Internetplattform ....................................59
13.2 Veröffentlichung von Videoaufnahmen einer Veranstaltung eines Selbsthilfevereins im
Internet ........................................................................................................................................................................59
14 Wohnungswirtschaft und Mieterdatenschutz ............................................................................... 62
14.1 Mitteilung von Rückständen bei der Hausgeldzahlung in der Eigentümergemeinschaft ..........62
14.2 Umgang mit Adressdaten bei Energieversorgern ......................................................................................62
14.3 Überwachung der Wasserentnahme in einer Eigentümergemeinschaft ...........................................63
14.4 Weitergabe von Kontaktdaten eines Mieters durch Vermieter an Handwerker ............................64
15 Videoüberwachung ............................................................................................................................ 66
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 5Inhaltsverzeichnis
15.1 Fotografien von Kfz-Kennzeichen von Falschparkenden durch Privatpersonen ........................... 66
15.2 Videoüberwachung in Fitnessstudios ............................................................................................................. 67
15.3 Videoüberwachung von Privatpersonen ....................................................................................................... 68
16 Datenschutzverletzungen ................................................................................................................. 70
17 Technischer Datenschutz und Informationssicherheit ................................................................. 73
17.1 Windows 10 – Umgang mit Telemetriedaten .............................................................................................. 73
17.2 Ransomware-Trojaner stehlen zunehmend auch personenbezogene Daten ................................ 74
17.3 Datenverarbeitung durch Tesla-Fahrzeuge .................................................................................................. 75
17.4 Cyberabwehr Bayern ............................................................................................................................................. 76
18 Bußgeldverfahren .............................................................................................................................. 78
18.1 Bericht aus der Zentralen Bußgeldstelle ........................................................................................................ 78
Stichwortverzeichnis ................................................................................................................................. 81
6 Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht1 Datenschutzaufsicht im nicht-öffentlichen Bereich
Datenschutzaufsicht im nicht-öffentlichen Bereich
1 Datenschutzaufsicht im nicht-öffentlichen Bereich
1.1 Gesetzliche Grundlage meinsamen Verpflichtung zur einheitlichen An-
wendung und Durchsetzung der DS-GVO ent-
für den Tätigkeitsbericht
hält Art. 21 BayDSG letztlich klarstellend einen
an alle vier Behörden adressierten Auftrag zur
Seit Geltungsbeginn der DS-GVO ist jede Auf-
gegenseitigen Zusammenarbeit und Unterstüt-
sichtsbehörde durch Art. 59 DS-GVO verpflich-
zung. Im aufsichtlichen Alltag wird diesem Auf-
tet, einen Jahresbericht über ihre Tätigkeit zu er-
trag durch einen stetigen Informationsaus-
stellen.
tausch vor allem in Querschnittsbereichen wie
dem Gesundheitswesen oder dem Internetrecht
Wie bisher vermittelt unser Bericht nicht nur un-
und regelmäßige Positionsabstimmungen ins-
sere rechtliche Beurteilung bestimmter Fall-
besondere mit dem Bayerischen Landesbeauf-
konstellationen, sondern insbesondere auch
tragten für den Datenschutz und dem Medien-
statistische Angaben, die ein Gesamtbild unse-
beauftragten für den Datenschutz für die Baye-
rer Schwerpunkte und Arbeitsbedingungen ab-
rische Landeszentrale für neue Medien Rech-
geben sollen.
nung getragen.
1.2 Datenschutz in Bayern Darüber hinaus haben Kirchen, religiöse Verei-
nigungen oder Gemeinschaften gemäß Art. 91
Im Einklang mit Art. 51 DS-GVO hat der bayeri-
DS-GVO, die Möglichkeit eine spezifische Auf-
sche Gesetzgeber
sichtsbehörde einzurichten, die dann als Auf-
uns, das Bayerische Landesamt für sichtsbehörde anzusehen ist, wenn sie die in Art.
Datenschutzaufsicht (BayLDA), für 51 ff. DS-GVO genannten Voraussetzungen, ins-
nicht-öffentliche Stellen in Bayern besondere der Unabhängigkeit, erfüllen. Dies
(Art. 18 Bayerisches Datenschutzgesetz wird für die Katholische Kirche und die Evange-
- BayDSG), lische Kirche in Deutschland unstrittig ange-
nommen.
den Bayerischen Landesbeauftragten
für den Datenschutz für die
öffentlichen Stellen in Bayern 1.3 Das Bayerische Landesamt
(Art. 15 BayDSG), für Datenschutzaufsicht
den Medienbeauftragten für den
Unabhängig von allen Sonderbedingungen hat
Datenschutz für die Bayerische
alleine die im folgenden Kapitel aufzuzeigende
Landeszentrale für neue Medien, deren
Entwicklung der Fallzahlen das Jahr 2020 erneut
Tochtergesellschaften und Anbieter
zu einer enormen Herausforderung werden las-
(Art. 20 BayMG) und
sen. Stärker als in ihren Anfangsjahren ist in al-
den Rundfunkdatenschutzbeauftragten len Bereichen zudem spürbar geworden, dass
für den Bayerischen Rundfunk und die DS-GVO unsere bisherigen Arbeitsbedin-
ausgewählte Beteiligungsunternehmen gungen verändert und uns mit der Aufgabe der
des Bayerischen Rundfunks Zusammenarbeit mit den anderen Aufsichtsbe-
(Art. 21 BayRG) hörden der Mitgliedsstaaten neue Handlungs-
formen, Abläufe und letztlich auch Organisati-
als gleichwertige und gleichrangige Aufsichts- onsstrukturen abverlangt.
behörden im Sinne des Art. 51 DS-GVO gesetz-
lich festgelegt. Vor dem Hintergrund der ge-
8 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtDatenschutzaufsicht im nicht-öffentlichen Bereich
Parallel dazu haben Entwicklungen außerhalb Vollzugsverbund der Datenschutzaufsichtsbe-
des Datenschutzrechts wie der Brexit sowie wei- hörden ertüchtigen und Schwerpunktverlage-
tere – vor allem mit der später noch detailliert rungen gerecht werden. Zuletzt soll er aber auch
anzusprechenden „Schrems II-Entscheidung“ Defiziten entgegen wirken, die wir uns gerade
des EuGH verbundene - Rechtsunsicherheiten im Bereich unserer strategischen Prüfaufgaben
und Anpassungserfordernisse im Internationa- eingestehen mussten.
len Datenverkehr und schließlich einmal mehr
die Rückwirkungen der Digitalisierung auf das Obgleich letzte Nachjustierungen erst im Jah-
Datenschutzrecht letztlich strukturelle Verände- resverlauf 2021 vollzogen wurden und damit
rungen innerhalb unsere Behörde erforderlich jenseits des Stichtages des Berichtszeitraums
gemacht. Auch wenn diese – wie wir hoffen: nur liegen, sollen die beiden nachfolgenden Orga-
vorläufig – trotz aller Belastungen alleine im bis- nigramme mit den bisherigen und den aktuellen
herigen Personalbestand und damit erstmals im Strukturen unserer Behörde diesen Verände-
BayLDA mit der Übernahme von Mehrfachfunk- rungsprozess illustrieren:
tionen umgesetzt werden können, soll der Um-
bauprozess des Jahres 2020 das BayLDA für
seine gewandelten Aufgaben im europäischen
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 92 Zahlen und Fakten
Zahlen und Fakten
2 Zahlen und Fakten
Wie schon in den letzten Tätigkeitsberichten ge- der Archivierung soll es bis spätestens Jahres-
zeigt, verfügt das BayLDA aufgrund seines be- ende 2021 eine vollelektronische Aktenführung
reits seit Jahren aufgebauten elektronischen bieten.
Vorgangsverwaltungssystems „IGOR“ über sehr
detailgenaue statistische Auswertungsmöglich- 2.1 Beschwerden
keiten, die weit über die in Art. 59 der DS-GVO
aufgenommenen Mindestinformationen hin- Die Gesamtanzahl der Beschwerden und Kon-
ausgehen. „IGOR“ hat unter den besonderen trollanregungen, die 2020 bei uns eingegangen
Bedingungen des Jahres 2020 derart an Bedeu- sind, ist der unten folgenden Grafik zu entneh-
tung gewonnen, dass er schon zur Komplettie- men. Sie zeigt im Vergleich zu den bereits sin-
rung des Gesamtbildes als „34. Mitarbeiter des gulären Vorjahreszahlen einen abermaligen An-
BayLDA“ näher vorzustellen bleibt: stieg, der sich einer Verzehnfachung der Fall-
zahlen im zurückliegenden Jahrzehnt annähert.
„IGOR“ ist gleichsam das digitale Rückgrat des
BayLDA. Das im BayLDA eigenständig entwi- Als Beschwerden werden dabei zum einen sol-
ckelte und kontinuierlich passgenau ausge- che Vorgänge gezählt, die schriftlich eingehen
baute Programm erlaubt als frühe Ausprägung und bei denen eine natürliche Person eine per-
von eGovernement für zahlreiche Fallgestaltun- sönliche Betroffenheit darlegt, für die Art. 78
gen einfacher Komplexität eine weitgehend DS-GVO anwendbar ist. Dies schließt Abgaben
elektronische, standardisierte Fallbearbeitung. ein. Telefonische „Beschwerden“ werden dann
Gleichzeitig war es damit das Fundament für gezählt, wenn sie z. B. durch einen Vermerk ver-
den pandemiebedingten Rückzug nahezu sämt- schriftlicht werden.
licher Beschäftigter ins Home-Office bei Fort-
führung der bisherigen Produktivität. Mit ge-
ringfügigen Ergänzungen vor allem im Bereich
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 11Zahlen und Fakten
Unter dem Obergriff „Beschwerden“ erhielten aller Fallbelastungen vorrangig bestrebt, der
wir auch im Jahr 2020 eine erhebliche Anzahl Drei-Monatsfrist des Art. 78 Abs. 2 DS-GVO ge-
von Meldungen über Datenschutzverstöße, bei recht zu werden.
denen die Eingabeführer nicht glaubhaft ge-
macht haben, durch den vorgetragenen Sach- Demgegenüber besteht bei Kontrollanregun-
verhalt in den eigenen Rechten verletzt zu sein. gen kein Anspruch darauf, vom BayLDA inner-
Diese Eingänge bezeichnen wir nicht als Be- halb einer bestimmten Frist über den Stand des
schwerden, sondern als Kontrollanregungen. Verfahrens unterrichtet zu werden. Bei Kon-
trollanregungen erhält der Mitteilende daher
Die Notwendigkeit einer Unterscheidung zwi- regelmäßig nur eine Bestätigung, dass wir seine
schen Kontrollanregung und Beschwerden Mitteilung als Kontrollanregung erfasst haben
ergibt sich aus ihren unterschiedlichen Rechts- und nach pflichtgemäßem Ermessen entschei-
folgen: Art. 78 Abs. 2 DS-GVO verlangt, be- den werden, ob und inwieweit wir dieser Anre-
troffene Personen innerhalb von drei Monaten gung nachgehen.
über den Stand oder das Ergebnis des Be-
schwerdeverfahrens in Kenntnis zu setzen.
Kann die Aufsichtsbehörde dieser Verpflichtung Der abermalige Anstieg der Beschwerdezahlen
nicht nachkommen, steht dem Betroffenen eine kann mittlerweile nicht mehr als Sondereffekt
(Untätigkeits-)Klage offen. Zu berücksichtigen der DS-GVO betrachtet werden. Er ist gleicher-
bleibt freilich, dass im Wege der Untätigkeits- maßen Spiegelbild einer wünschenswerten Sen-
klage lediglich die gerichtliche Feststellung er- sibilität für Datenschutzfragen wie Konsequenz
reicht werden kann, dass die Aufsichtsbehörde einer alle Lebensbereiche durchdringenden Di-
zur umgehenden Prüfung des Beschwerdevor- gitalisierung. Dieser Grundlast ist freilich auch
bringens verpflichtet ist, nicht aber eine Sach- der seit Jahresende 2019 um sieben Beschäf-
entscheidung z. B. in Gestalt einer Untersagung tigte angewachsene Personalkörper des BayLDA
der strittigen Datenverarbeitung. Im allseitigen nicht gewachsen. Wie im Jahr 2019 gab es auch
Interesse an der Vermeidung solch eigentlich 2020 kaum einen Monat, in dem es gelang,
unproduktiver Streitigkeiten sind wir daher trotz mehr Beschwerdeverfahren abzuschließen als
12 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtZahlen und Fakten
neue Vorgänge eingingen. Bestanden bereits
zum Jahresende 2019 rund 2500 offene Vor-
gänge, wurde dieser Wert zum Jahresende 2020
nochmals mit mehr als 3100 offenen Verfahren
übertroffen. Statistisch entspricht dieser Rück-
stand etwa 75 % eines derzeitigen jährlichen
Gesamteingangs aller Beschwerden.
Dieser Rückstand verschlechtert unsere durch-
schnittliche Bearbeitungsdauer erheblich, ent-
täuscht die berechtigten Erwartungen der Bür-
gerinnen und Bürger in eine effektive Durchset-
zung ihrer durch das Unionsrecht gewährleiste-
ten Rechte und wird unserem Selbstverständnis
als Teil eines bürgernahen und leistungsfähigen
Rechtsstaates nicht gerecht. Überdies führt er
zum Gesamtbefund einer reaktiv-verwaltenden
statt proaktiv-gestaltenden Datenschutzauf-
sicht. Je stärker der datenschutzaufsichtliche
Alltag durch Fristen im Grenzbereich und alle
Ressourcen ausschöpfenden Eingangszahlen
bestimmt wird, desto mehr droht die Zurück-
stellung notwendiger strategischer Schwer-
punkte insbesondere im Bereich von Prävention
und Beratung. Ungeachtet der Sonderbedin-
gungen der Pandemie zeigt dies die Jahresbi-
lanz 2020 mit einer weiteren „0“ bei anlasslosen
Prüfungen und Vor-Ort-Kontrollen überdeut-
lich. Einer unserer Handlungsschwerpunkte des
Jahres 2021 wird deshalb die Wiederaufnahme
solcher Prüfungen sein, für die wir alle organi-
satorisch machbaren Ansätze wie z. B. Online-
Prüfungen oder Fragebogenversendungen aus-
schöpfen werden.
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 13Zahlen und Fakten
2.2 Beratungen wandelnden Fragestellungen im Bereich des Be-
schäftigtendatenschutzes, privater Schulen oder
Um die Vergleichbarkeit mit den Berichten an- bei Handel und Dienstleistungen genauso wie
derer Aufsichtsbehörden sicherzustellen, ver- im Bereich der Cybersicherheit, versuchen wir
stehen wir unter Beratungen im vorliegenden weiterhin, absehbaren Wellen neuer Beratungs-
Bericht nur die schriftliche Beantwortung von anfragen zuvorzukommen.
Anfragen von Verantwortlichen, betroffenen
Personen und der eigenen Regierung, sowie te-
lefonische Beratungen, die im Vorgangsverwal-
tungssystem erfasst wurden. Schulungen, Vor-
träge etc. werden nicht mehr berücksichtigt,
aber derzeit dennoch von uns separat erfasst.
In der nebenstehenden Tabelle sind die Bera-
tungen im Berichtszeitraum aufgeführt. Sie um-
fasst wie in den Vorjahren auch telefonische Be-
ratungen im eben genannten Sinne. Abermals
ist die Anzahl der Beratungen im Verhältnis zum Weiterhin bietet unsere Webseite die Möglich-
letzten Jahr deutlich gesunken. Diese Entwick- keit der Online-Beratung. Interessierte Personen
lung ist im Ergebnis nicht Grund zur Besorgnis, können dabei zu bestimmten Themenbereichen
sondern gerade im Rückblick auf ein Jahr mit ei- Fragen an uns schicken. In diesem Prozess wer-
ner Unzahl neuer Fragen und Fallgestaltung des den ihnen dann vor Eingabe der Frage die FAQs
pandemischen Infektionsschutzes ermutigend: zu dem ausgewählten Thema angegeben, die
wir erstellt haben.
Mit dem kontinuierlichen Ausbau unserer On-
line-Informationen, z. B. detailgenauen Hinwei- www.lda.bayern.de/de/beratung.html
sen auf die sich mit der Pandemielage stetig
14 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtZahlen und Fakten
2.3 Datenschutzverletzungen 2.4 Abhilfemaßnahmen; Europäi-
sche Zusammenarbeit
Wie schon in den vorangegangenen Jahren ist
die Zahl der Meldungen von Verletzungen der Entsprechend einer im Kreis der Aufsichtsbehör-
Sicherheit bei der Verarbeitung personenbezo- den festgelegten, von statistischen Befunden
gener Daten weiterhin hoch. Datenschutzverlet- der einzelnen Behörde zunächst losgelösten
zungen bestimmten damit neben den Be- formalen Struktur soll bei der Darstellung der
schwerden und den Beratungen unseren Ar- Abhilfemaßnahmen grundsätzlich der Befugnis-
beitsalltag. Trotz ihrer Masse verlangen sie Fall katalog des Art. 58 Abs. 2 DS-GVO abgebildet
für Fall eine genaue, aufmerksame Untersu- werden. Im Einzelnen handelt es sich dabei um:
chung, um frühzeitig neue Angriffsstrategien
von Cyberkriminellen genauso wie strukturelle Warnungen
Defizite einzelner Verantwortlicher zu identifi- (Art. 58 Abs. 2 Buchst. a DS-GVO)
zieren.
Verwarnungen
In der unten aufgeführten Grafik werden die bei (Art. 58 Abs. 2 Buchst. b DS-GVO)
uns eingegangenen Meldungen nach Art. 33 Anweisungen und Anordnungen
DS-GVO, die von den jeweiligen Verantwortli- (Art. 58 Abs. 2 Buchst. c - g und j
chen abgegeben wurden, dargestellt. Weitere DS-GVO)
Informationen zum Thema Datenschutzverlet-
Geldbußen
zungen im Allgemeinen sind im Kapitel 16 die-
(Art. 58 Abs. 2 Buchst. i DS-GVO)
ses Berichts zu finden.
Widerruf von Zertifizierungen
(Art. 58 Abs. 2 Buchst. h DS-GVO)
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 15Zahlen und Fakten
stimmung das BayLDA häufig zwar außeror-
Trotz seiner zu Beginn des Kapitels dargestell- dentlich kurzfristig, aber unkompliziert und weit
ten Vorzüge und Fortentwicklungen erlaubt es über die Grenzen der formalen Unterrichtungs-
unser internes Fachverfahren IGOR auch 2020 pflicht des Art. 16 Abs. 3 BayDSG hinaus einbe-
noch nicht, diese Angaben automatisiert auszu- zogen wurde.
werten. Da die Dimension unserer Fallzahlen die
Möglichkeiten einer manuellen Auswertung bei Neben der Wahrung datenschutzrechtlicher
weitem übersteigt, bleibt unser Ziel, diese An- Grundprinzipien, insbesondere der klaren Gren-
gaben zu Abhilfemaßnahmen im Tätigkeitsbe- zen des Erforderlichkeitsgrundsatzes standen
richt 2021 präsentieren zu können. Entspre- dabei regelmäßig die Praxistauglichkeit und da-
chendes gilt für Verfahren der europäischen Zu- mit die Gewährleistung datenschutzgerechter
sammenarbeit, für die wir ebenfalls noch keine Verarbeitungsbedingungen für nicht öffentliche
belastbaren Zahlen liefern können, die jedoch Stellen wie z. B. Arztpraxen, Gastwirte oder Ver-
ebenfalls in nicht unerheblichem Umfang anfal- eine im Vordergrund.
len.
2.6 Ressourcen
2.5 Förmliche Begleitung von
Rechtsetzungsvorhaben Im Berichtszeitraum konnte das BayLDA auf
Grundlage der bereits im vorangehenden Be-
richt ausführlicher dargestellten Stellenum-
Anders als im Vorjahr hatte das BayLDA auf-
schichtungen eine zusätzliche Kraft für seine
grund der Sonderbedingungen der Pandemie
Geschäftsstelle gewinnen, die die bisherigen
im Jahresverlauf 2020 in einer statistisch bislang
Strukturen entlasten und die Einführung einer
nicht erfassten Größenordnung Gelegenheit, zu
vollständigen elektronischen Aktenführung un-
den zahlreichen vor allem untergesetzlichen in-
terstützen soll.
fektionsschutzrechtlichen Neuregelungen und
ihrer wiederholten Fortschreibung durch den
Weitere Verstärkungen, die eine quantitative
Landesgesetzgeber Stellung zu nehmen. Glei-
und qualitative Fortentwicklung der bestehen-
ches gilt für die nicht unerhebliche Zahl ergän-
den Strukturen eröffnen würden, waren mit
zender exekutivischer Regelungen in Gestalt
Rücksicht auf die auch für den Haushaltsgesetz-
von Ministerialverfügungen, Rahmenplänen o-
geber durch die Pandemie grundlegend verän-
der sonstigen Schutzkonzepten, in deren Ab-
derten Rahmenbedingungen nicht durchsetz-
bar.
16 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtZahlen und Fakten
Angesichts der in diesem Kapitel aufgezeigten
Fallzahlen müssen und werden sie von uns mit
Nachdruck in die kommenden Haushaltsauf-
stellungsverfahren eingebracht werden.
2.7 Vorträge und
Öffentlichkeitsarbeit
Wir haben auch im Jahr 2020 eine erhebliche
Anzahl von Vorträgen gehalten und dabei über-
wiegend Datenschutzbeauftragte geschult bzw.
informiert. Ein besonderes Anliegen war es uns
wieder, die meist von den Industrie- und Han-
delskammern und der Gesellschaft für Daten-
schutz und Datensicherheit e.V. (GDD) organi-
sierten ERFA-Kreise in München, Nürnberg,
Würzburg, Coburg und Bayreuth zu besuchen
und dort die zahlreich vorab eingereichten Fra-
gen zu beantworten.
Im Rahmen unserer Öffentlichkeitsarbeit erwei-
terten wir fortlaufend unser Angebot auf unse-
rer Webseite, damit Interessierte einfach und
schnell Antworten auf ihre Fragen finden konn-
ten. Dabei war es uns wichtig, die Informationen
so praxisgerecht zu kondensieren und mit Mus-
tern zu ergänzen, dass Vereine, freiberuflich Tä-
tige und auch sehr kleine Unternehmen eine ef-
fektive alltagstaugliche Unterstützung in der
Wahrnehmung ihrer datenschutzrechtlichen
Verantwortlichkeit finden konnten.
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 173 Corona
Corona
3 Corona
3.1 Kontaktdatenerfassung zur zum Spätherbst 2020), eine erhebliche Anzahl
von Beschwerden bei uns ein. In den meisten
Pandemiebekämpfung
Fällen beschwerten sich Gäste darüber, dass die
Kontaktdaten mittels (oft auf den Tischen aus-
Zur Nachverfolgung von Infektionsketten
liegenden) Listen erfasst wurden, d. h . so, dass
zur Bekämpfung der COVID-19-Pandemie
jede sich eintragende Person Kenntnis von den
wurden Gastronomie- und einige andere personenbezogenen Daten anderer Personen
Betriebe durch Landesverordnung zur Er- nehmen konnte. Wir sind jeder Beschwerde die-
fassung der Kontaktdaten von Kunden ser Art nachgegangen und haben darauf hinge-
verpflichtet. Wir haben die Unternehmen wirkt, dass für die Erfassung Einzelformulare
hierbei intensiv beraten. Dennoch kam es verwendet werden. Wir haben auch entspre-
immer wieder zu datenschutzrechtlichen chende Muster bereitgestellt und über die o. g.
Beschwerden, insbesondere wenn zur Er- Multiplikatoren bekannt gemacht. In diese Mus-
ter haben wir auch die den betroffenen Perso-
fassung Listen eingesetzt und so die erfor-
nen nach Art. 13 DS-GVO zu erteilenden Infor-
derliche Vertraulichkeit nicht gewahrt
mationen über die Verarbeitung ihrer Daten
wurde.
aufgenommen, da es nach unserer Beobach-
tung in den von den Betrieben verwendeten
Im Rahmen der Bekämpfung der COVID-19-
Mustern gerade hieran vielfach gefehlt hat.
Pandemie wurde durch den Landesgesetzgeber
im Rahmen der Infektionsschutzmaßnah-
Zwischenzeitlich war im Jahr 2020 auch die Aus-
menverordnung unter anderem die Erfassung
übung von Wettkampf- und Trainingsbetrieb im
von Kontaktdaten in zahlreichen Bereichen des
Freizeitsport in gewissen Umfang zulässig, wo-
öffentlichen Lebens vorgeschrieben. Danach
bei eine Kontaktdatenerfassung jedoch nicht
wurden u. a. Gastronomen und später auch Fri-
vorgeschrieben war, sondern lediglich die Maß-
seur- und andere Betriebe verpflichtet, Namen,
gabe bestand, dass Personen mit typischen CO-
Aufenthaltszeitraum und entweder Telefon-
VID-19-Krankheitssymptomen der Zugang zu
nummer oder E-Mail- oder postalische Adresse
Sportanlagen zu verwehren war. In solchen und
von Kunden zu erfassen, für vier Wochen aufzu-
anderen Fällen, in denen die Erfassung von Kon-
bewahren und dem Gesundheitsamt auf Verlan-
taktdaten rechtlich nicht vorgeschrieben war
gen zum Zwecke der Nachverfolgung von Infek-
bzw. ist, darf diese auch nicht stattfinden, weil
tionsketten vorzulegen.
hierfür keine datenschutzrechtliche Rechts-
grundlage besteht. Soweit keine ausdrückliche
Unser Haus wurde von der Staatsregierung im
gesetzliche Verpflichtung zur Kontaktdatener-
Rahmen der Erarbeitung der entsprechenden
fassung besteht, lässt sich diese insbesondere
Rechtsgrundlage einbezogen. Zudem haben wir
auch nicht etwa auf Art. 6 Abs. 1 Buchst. e DS-
Kontakt mit den Berufsverbänden der Gastrono-
GVO stützen, weil bei Fehlen einer ausdrückli-
mie sowie den Industrie- und Handelskammern
chen gesetzlichen Pflicht gerade nicht davon
aufgenommen, um auf diesem Weg die Gastro-
ausgegangen werden kann, dass die Erfassung
nomen für die datenschutzkonforme Umset-
im Rahmen einer Aufgabenwahrnehmung im
zung der Kontaktdatenerfassung zu sensibilisie-
öffentlichen Interesse geschieht. Sportvereine,
ren.
Trainingsgruppen und andere Akteure, die sich
mit der Frage nach der Zulässigkeit der Erfas-
Dennoch ging während der Zeiträume, in denen
sung von Kontaktdaten an uns gewandt haben,
die Gastronomiebetriebe geöffnet waren (bis
haben wir entsprechend beraten.
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 19Corona
3.2 Zutrittskontrollen durch Fie- Regel nicht als „erforderlich“ zur Verfolgung
dieses Interesses gelten. Denn eine erhöhte Kör-
bermessen, Wärmebildkame-
pertemperatur ist kein ausreichend klares Indiz
ras oder Vorzeigenlassen der auf eine Infektion mit SARS-CoV-2, denn eine
Corona-Warn-App Reihe von Infektionen verlaufen symptomlos.
Zudem kann eine erhöhte Temperatur auch auf
Zahlreiche Anfragen erreichten uns im Zu- anderen Gründen als gerade einer Infektion mit
sammenhang mit Überlegungen, den Zu- diesem Virus beruhen. Darauf hat die Daten-
tritt von Kundinnen und Kunden und/oder schutzkonferenz im o. g. Beschluss hingewiesen.
Entsprechend haben wir die bei uns eingehen-
Beschäftigten zu Geschäftsräumen aller
den Beratungsanfragen beantwortet.
Art durch Fiebermessen – oft mittels Wär-
mebildkameras – zu regeln. Dadurch er- Diese Erwägungen gelten gleichermaßen, so-
hofften sich manche Unternehmen, das weit Fiebermessung von Beschäftigten als be-
Risiko des Zutritts von mit SARS-CoV-2 in- triebliche Maßnahme des Arbeitsschutzes durch
fizierten Personen zu reduzieren. Doch da- Arbeitgeber erwogen und somit datenschutz-
tenschutzrechtlich ist diese Zutrittskon- rechtlich als Rechtsgrundlage § 26 BDSG in Be-
trolle in aller Regel unzulässig. tracht gezogen wird. Zudem stehen mildere
Mittel zur Verfügung, etwa nach gesundheitli-
Zahlreiche Unternehmen wollten angesichts der chen Beeinträchtigungen der Arbeitsfähigkeit
Pandemie den Zutritt von Beschäftigten und/o- zu fragen, soweit diese für die auszuübenden
der Kundinnen und Kunden zu ihren Geschäfts- Tätigkeiten relevant sind, so dass es auch des-
räumen von einer Kontrolle auf – tatsächliche o- halb in aller Regel an der Erforderlichkeit fehlt.
der vermeintliche – Verdachtsmomente auf eine In Betracht kommen können jedoch ggf. bei Be-
Corona-Infektion abhängig machen. Uns er- schäftigten Befragungen zu etwaigen Aufent-
reichten zahlreiche Anfragen zur Zulässigkeit halten in einem Corona-Risikogebiet.
kontaktloser Temperaturerfassungen – meist
per Infrarotmessung mittels Thermometer oder Ein Unternehmen wollte im Rahmen der Zu-
Wärmebildkameras. Da auch andere Aufsichts- trittskontrolle von Kunden verlangen, die
behörden Anfragen dieser Art erhielten, hat sich Corona-Warn-App vorzuzeigen. Auch dies ha-
die Datenschutzkonferenz hierzu am 10.09.2020 ben wir als datenschutzrechtlich unzulässig be-
in einem Beschluss geäußert: wertet. Die App zeigte (im Berichtszeitraum) le-
diglich „Risikobegegnungen“ an, indes liefert
https://www.datenschutzkonferenz-online.de/me- auch diese Information keinen ausreichenden
dia/dskb/20200910_beschluss_waeremebildkame- Anhaltspunkt für eine Infektion mit SARS-CoV-
ras.pdf 2, so dass die Verarbeitung dieser Information
ebenso wenig als „erforderlich“ im Sinne der
Ausgangspunkt für die datenschutzrechtliche Wahrnehmung eines berechtigten Interesses
Bewertung der Datenschutzkonferenz war der des Unternehmens gelten kann. Der Anwen-
Umstand, dass für nicht-öffentliche Stellen – dungsbereich der DS-GVO ist bei diesem Vor-
etwa Unternehmen – zwar grundsätzlich ein für gehen im Übrigen eröffnet, denn das kontrollie-
sich gesehen berechtigtes Interesse im Sinne rende Unternehmen verwendet durch das An-
von Artikel 6 Abs. 1 Buchst. f DS-GVO in Betracht schauen der Informationen in der App zweifel-
käme, durch die Verhinderung des Zutritts infi- los personenbezogene Daten. Zweck der Verar-
zierter Personen Gefährdungen für die Beschäf- beitung ist die Entscheidung über die Zugangs-
tigten und/oder die übrige Kundschaft zu ver- gewährung etwa zu Geschäftsräumen. Es han-
meiden. Jedoch kann die Fiebermessung in aller delt sich somit um eine „teilweise automatisierte
20 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtCorona
Verarbeitung, für die die DS-GVO gemäß ihrem Die zahlreichen bei uns eingegangenen Bera-
Artikel 2 Abs. 1 gilt. Nicht maßgeblich ist der tungsanfragen zeigten, dass gerade kleine und
Umstand, dass sich die technischen Mittel der mittlere Unternehmen, aber auch Vereine und
Verarbeitung nicht „in den Händen“ des kon- andere Akteure aus dem nichtöffentlichen Be-
trollierenden Unternehmens befinden; letzteres reich (im Folgenden: nutzende Unternehmen)
ist keine Voraussetzung für die Anwendbarkeit keine eigenen Videokonferenzsysteme betrei-
der DS-GVO. ben, sondern auf Systeme externer Anbieter zu-
rückgreifen. Den nutzenden Unternehmen muss
3.3 Videokonferenzsysteme im bewusst sein, dass sie hierbei als datenschutz-
rechtlich Verantwortliche für die Verarbeitung
Home-Office
der Daten ihrer Beschäftigten und ggf. Kundin-
nen und Kunden agieren und mit Dienstleistern
Die Datenschutzkonferenz hat eine Orien-
einen Vertrag zur Auftragsverarbeitung ab-
tierungshilfe und eine ergänzende Check-
schließen müssen.
liste zum Einsatz von Videokonferenzsys-
temen veröffentlicht. Soweit eine Besprechung aufgrund der Home-
Office-Situation als Videokonferenz durchge-
Die Corona-Pandemie hat in vielen Branchen zu führt werden muss, legitimiert § 26 Abs. 1 Satz 1
einer massiven Ausweitung der Arbeit von Be- BDSG als Rechtsgrundlage für den Arbeitgeber
schäftigten im Home-Office geführt. Viele Un- die zur Durchführung der Besprechung notwen-
ternehmen waren dadurch kurzfristig vor die dige Verarbeitung personenbezogener Daten
Notwendigkeit gestellt, interne Besprechungen seiner Beschäftigten. Eine Einwilligung der Be-
oder Besprechungen mit Geschäftspartnern als schäftigten ist daher insoweit nicht erforderlich.
Telefon- oder Videokonferenzen durchzufüh- Dabei ist jedoch im Einzelfall zu prüfen, ob ne-
ren. Gerade der Einsatz von Videokonferenzsys- ben der Übertragung von Ton auch die Übertra-
temen wirft eine Vielzahl datenschutzrechtlicher gung von Bilddaten erforderlich ist.
Fragen auf. Die Konferenz der Datenschutzauf-
sichtsbehörden von Bund und Ländern hat da- Besonders wichtig ist es, den betroffenen Perso-
her in ihrer Orientierungshilfe „Videokonferenz- nen gemäß Art. 13 DS-GVO die Informationen
systeme“ und einer ergänzenden Checkliste über die im Rahmen der Videokonferenz statt-
Antworten auf die wichtigsten datenschutz- findenden Verarbeitungen ihrer personenbezo-
rechtlichen Fragen für die Nutzung von Video- genen Daten zu erteilen. Hierbei muss auch
konferenzsysteme gegeben: transparent informiert werden, ob eine Auf-
zeichnung erfolgen soll. In den meisten Fällen
https://www.datenschutzkonferenz-online.de/orien- wird eine Aufzeichnung nicht erforderlich sein
tierungshilfen.html
und es somit an einer Rechtsgrundlage für die
Aufzeichnung fehlen. Eine Aufzeichnung darf
Unser Haus hat im Rahmen einer „Checkliste zu
dann nur stattfinden, wenn alle Beteiligten
datenschutzrechtlichen Regelungen bei Home-
hierzu ihre Einwilligung erteilen.
Office“ die zentralen datenschutzrechtlichen
Anforderungen, die neben Videokonferenzen
Beim Einsatz von Videokonferenzsystemen ex-
insbesondere technische und organisatorische
terner Anbieter ist darauf zu achten, ob der An-
Maßnahmen in den Blick nehmen, im Rahmen
bieter sich vorbehält, die anfallenden personen-
einer praxisnahen Übersicht zusammengefasst:
bezogenen Daten auch für eigene Zwecke zu
verwenden. In solchen Fällen würde der Arbeit-
https://www.lda.bayern.de/de/checklisten.html
geber bzw. das nutzende Unternehmen eine
Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht 21Corona Rechtsgrundlage benötigen, um die personen- bezogenen Daten zu diesen – meist anderen – Zwecken an den Anbieter zu übermitteln. Hieran wird es häufig fehlen. Daher ist diese Frage an- hand der Nutzungsbedingungen und des Auf- tragsverarbeitungsvertrags des Anbieters be- sonders sorgfältig zu prüfen. Ferner muss das nutzende Unternehmen darauf achten, ob das eingesetzte System zu Übermitt- lungen personenbezogener Daten in Drittländer führt. Das ist häufig der Fall, insbesondere wer- den zahlreiche der am Markt befindlichen Dienste von US-Unternehmen angeboten. Fin- den Übermittlungen in Drittländer statt, sind die hierfür geltenden besonderen Anforderungen nach Kapitel V der DS-GVO zu erfüllen. Diese Fälle haben aufgrund der Schrems-II-Entschei- dung des Europäischen Gerichtshofs vom 16.07.2020 eine zusätzliche Brisanz bekommen (vgl. dazu die Ausführungen in unserem Kapitel zum Internationalen Datenverkehr). 22 Tätigkeitsbericht 2020 - Bayerisches Landesamt für Datenschutzaufsicht
4 Auftragsverarbeitung
Auftragsverarbeitung
4 Auftragsverarbeitung
4.1 Auftragsverarbeitung, ge-
Nach dem Gesetzeswortlaut (Art. 26 DS-GVO)
trennte Verantwortlichkeit o-
liegt eine gemeinsame Verantwortlichkeit vor,
der doch gemeinsame Verant- wenn zwei oder mehr Verantwortliche die Zwe-
wortlichkeit? cke und wesentlichen Mittel der Verarbeitung
gemeinsam festlegen. Dies wiederum kommt in
Wirken mehrere Beteiligte an einer Verar- zwei Varianten vor: in der „einfachen“ Variante
beitung personenbezogener Daten mit, ist verfolgen die Beteiligten einen gemeinsamen
für die Abgrenzung zwischen Auftragsver- Zweck. Gemeinsame Verantwortlichkeit gibt es
aber – so der Europäische Gerichtshof – auch
arbeitung, gemeinsamer Verantwortlich-
dann, wenn mehrere Beteiligte zwar jeweils un-
keit und getrennter Verantwortlichkeit die
terschiedliche Zwecke festlegen, die Zwecke
Beteiligung der Akteure an der Entschei- sich jedoch ergänzen, weil die Verarbeitung nur
dung über die Zwecke und wesentlichen deshalb stattfinden kann, weil jeder Beteiligte
Mittel der Verarbeitung maßgeblich. jeweils seinen Zweck festgelegt und zudem ei-
nen Beitrag zur Festlegung der wesentlichen
Schon vor Geltungsbeginn der DS-GVO erhiel- Mittel der Verarbeitung geleistet hat (etwa ei-
ten wir viele Anfragen zu den unterschiedlichs- nen Social Media Button in seine Webseite ein-
ten Praxiskonstellationen der Verarbeitung per- gebunden hat). Die Abgrenzung zur getrennten
sonenbezogener Daten unter Mitwirkung meh- Verantwortlichkeit ist in dieser zweiten Variante
rere Akteure, verbunden mit der Bitte um Ein- der gemeinsamen Verantwortlichkeit nicht im-
schätzung, ob es sich um Auftragsverarbeitung mer ganz einfach.
handele. Unter der DS-GVO ist nun verstärkt
auch die Abgrenzung zur gemeinsamen Verant- Der Umstand, dass alle Beteiligten ein wirt-
wortlichkeit sehr relevant, zumal der Europäi- schaftliches Interesse an der Verarbeitung ha-
sche Gerichtshof bereits in mehreren Fällen aus ben, reicht für sich gesehen nicht aus, um ge-
dem Internetbereich eine gemeinsame Verant- meinsame Verantwortlichkeit zu begründen.
wortlichkeit bejaht hat. Dienstleister, die lediglich Verarbeitungsleistun-
gen gegen Entgelt erbringen, haben zwar natur-
Wichtige Hinweise für die Einordnung der Ak- gemäß hieran ein wirtschaftliches Interesse, sie
teure als getrennte oder gemeinsame Verant- sind jedoch – soweit sie die Zwecke der Verar-
wortliche oder als Auftragsverarbeiter gibt das beitung nicht festlegen – nicht (gemeinsam)
Leitlinienpapier Nr. 7/2020 des Europäischen Verantwortliche, sondern Auftragsverarbeiter.
Datenschutzausschusses (EDSA), das die maß- Darauf weist das oben zitierte EDSA-Leitlinien-
geblichen Kriterien für die datenschutzrechtli- papier (Rn. 60) ausdrücklich hin. Im Ergebnis be-
che Rollenzuweisung erläutert. Das Papier be- stätigt diese Aussage das von uns schon vor
rücksichtigt auch die einschlägigen Entschei- Geltungsbeginn der DS-GVO vertretene maß-
dungen des Europäischen Gerichtshofs (EuGH) gebliche Abgrenzungskriterium zwischen Ver-
in den Rechtssachen „Fashion ID“, „Wirtschafts- antwortlichkeit und Auftragsverarbeitung. Die
akademie“ und „Zeugen Jehovas“. größere Herausforderung für die Praxis dürfte
es demgegenüber sein, wie oben dargestellt
https://edpb.europa.eu/our-work- zwischen getrennter und gemeinsamer Verant-
tools/documents/public-consultations/2020/guide-
wortlichkeit zu unterscheiden.
lines-072020-concepts-controller-and_de
24 Tätigkeitsbericht 2020 - Bayerisches Landesamt für DatenschutzaufsichtSie können auch lesen
