Haushaltsprivileg, Informationspflichten & Videoüberwachung

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Helga Block hat vor Kurzem ihren Tätigkeitsbericht für 2019 vorgelegt. Was gibt es also Neues in Sachen Datenschutz in NRW?

Haushaltsprivileg ist eng auszulegen

Auch die LDI äußert sich in ihrem Tätigkeitsbericht zur Reichweite des sogenannten Haushaltsprivilegs (siehe ausführlich hierzu den Datenschutz-PRAXIS-Beitrag Das Haushaltsprivileg der DSGVO).

Sie hält die Datenschutz-Grundverordnung (DSGVO) für anwendbar, wenn Privatpersonen personenbezogene Daten mit Bezug zum Internet und Social-Media verarbeiten, etwa durch eine Veröffentlichung von Daten.

Im Berichtszeitraum bekam die LDI 147 Beschwerden über „Privatpersonen“. Diese Beschwerden betrafen insbesondere Fälle der Veröffentlichung personenbezogener Daten Dritte im Internet und in den sozialen Medien sowie die Weitergabe personenbezogener Informationen über Beschäftigte am Arbeitsplatz.

Informationspflichten im Handel bei Kartenzahlung

Gerade in der aktuellen Zeit ist die Kartenzahlung bei vielen Bürgern beliebt. Doch wie sieht es damit aus, die Informationspflichten zu erfüllen (Art. 13 und 14 DSGVO)? Wer der einzelnen Beteiligten (Händler, Bank, Netzbetreiber und ggf. Acquirer ) ist zuständig?

In Abstimmung mit dem Branchenverband BecN e.V. und der Datenschutzkonferenz (DSK) kann laut LDI der Händler die Informationspflichten für alle Beteiligten erfüllen. Denn er hat „direkten“ Kontakt zu den betroffenen Personen.

Hierfür genügt ein gut sichtbarer Aufkleber mit der Aufschrift „Datenschutz-Information für Karteninhaber“ amPOS-Terminal oder an der Ladenkasse.

Der Aufkleber soll neben den Kontaktdaten des Händlers einen QR-Code und / oder eine URL enthalten. QR-Code oder URL führen dann zu einer Webseite mit den ausführlichen Datenschutzinformationen.

Zusätzlich muss der Händler einen Ausdruck dieser Information an der Kasse hinterlegen. So kann er bei Bedarf die Information direkt bereitstellen.

Die LDI betont hierbei – vollkommen zurecht –, dass diese Vorgehensweise eine praxisorientierte Lösung ist. Sie verhindert, dass betroffene Personen drei oder mehr Datenschutzinformationen der jeweiligen Beteiligten erhalten würden.

Krankmeldungen per WhatApp sind unzulässig

Die LDI hält es grundsätzlich für datenschutzrechtlich unzulässig, dass ein Arbeitgeber WhatsApp nutzt, wenn es um Beschäftigtendaten geht. Das gilt insbesondere für die Übermittlung von sensiblen Gesundheitsdaten.

Eine wirksame Einwilligung scheitere in der Praxis nicht nur häufig an der erforderlichen Freiwilligkeit, sondern auch – mangels Kenntnis – an den Risiken einer Kommunikation über WhatsApp und damit an der fehlenden Informiertheit der Einwilligung.

Klassiker: Videoüberwachung

Im Tätigkeitsbericht finden sich dieses Mal auch Ausführungen zu neuartigen Einsatzformen der Videoüberwachungstechnik. So etwa

• zur „Kfz-Kennzeichenerfassung beim Parken“,
• zur „Videotechnik im Kino zur Abrechnungskontrolle“ oder
• zur Prüfung von Videoüberwachungsmaßnahmen in (Groß-)Bäckereien.

Initiativprüfung von Personaldienstleistern und Leiharbeitsunternehmen

Aufgrund der Sensitivität der Datenverarbeitung im Beschäftigungsverhältnis und der wirtschaftlichen Abhängigkeit hat die LDI eine Initiativprüfung vorbereitet und bereits Anfang 2020 in die Wege geleitet.

Die Prüfschwerpunkte reichen

• von der Prüfung der Umsetzung der Betroffenenrechte (Art. 12-21 DSGVO)
• über die Erforderlichkeit der Datenerhebung (z.B. Ausweiskopien) bis hin
• zur Umsetzung der Löschung der Daten, mit besonderem Fokus auf Bewerberunterlagen.

Auf die Ergebnisse der Prüfung mag man gespannt sein!

Prüfungen im Gesundheitsbereich

Hier lagen die Schwerpunkte der Beanstandungen oder der Prüfungen – neben dem Klassiker Videoüberwachung – etwa in der Lichtbildspeicherung der elektronischen Gesundheitskarte durch die Krankenkassen sowie in unzureichenden Sicherheitsmaßnahmen (Art. 32 DSGVO).

Die LDI weist auf ein Urteil des Bundessozialgerichts (BSG) vom 18. Dezember 2018 (Az. B 1 KR 31/17 R) hin. Lange Zeit war umstritten, ob gesetzliche Krankenkassen das Foto der versicherten Person weiterhin speichern dürfen, nachdem sie die elektronische Gesundheitskarte erstellt haben.

Das BSG gab nun einem klagenden Krankenkassenmitglied Recht: Sobald die elektronische Gesundheitskarte ausgestellt ist, muss de Krankenkasse das Foto löschen. Denn mit der Ausstellung ist der Zweck entfallen.

Auf mangelhafte technische und organisatorische Maßnahmen in Arztpraxen und diesbezüglich eingegangen Beschwerde geht die LDI ebenfalls ein (S. 75).

Beanstandungen erfolgten zu den Themen

• „fehlende Vertraulichkeit bei der Anmeldung,
• „unbefugte Zugriffsmöglichkeiten im Behandlungszimmer“ sowie
• zur „fehlenden SSL/TLS-Verschlüsselung der Webseite“.

Die LDI rät den Verantwortlichen, diese Punkte bei sich dringend zu überprüfen und nachzujustieren, wo nötig. Vielleicht werden in der Zukunft diese Bereiche auch verstärkt Gegenstand aufsichtsbehördlicher Kontrolltätigkeit.

Datensicherheit – Auswahl

1.    Unsichere Passwortspeicherung

Einige Auskünfte von Verantwortlichen zum Thema „Passwortspeicherung“ zeigten, dass sie weiterhin oftmals veraltete Hash-Verfahren verwenden, um Passwörter in Onlinesystemen zu speichern. An dieser Stelle müssen Verantwortliche daher regelmäßig nachbessern.

Aufgrund der Entwicklungen bei den Kryptowährungen sei auch der Einsatz aktueller Hash-Verfahren kritisch zu überprüfen. Sind alte Hash-Verfahren im Einsatz, so ist nach Ansicht der LDI in Abhängigkeit vom Risiko der Verarbeitung eine Aktualisierung auf Verfahren wie bcrypt oder Argon2 vorzunehmen.

In diesem Zusammenhang verweist die LDI auch auf die Technische Richtlinie „BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, die zu berücksichtigen sei.

2.    Unsachgemäße Datenlagerung und Entsorgung

Ein altbekanntes, aber immer noch brandaktuelles Thema betrifft die unsichere Datenlagerung und Entsorgung. Und dies (leider) gerade in sehr sensiblen Bereichen, wie in Arztpraxen oder Rechtsanwaltskanzleien.

Hier gingen im Jahr 2019 zahlreiche Beschwerden bei der LDI ein. Dabei wurden auch sensible Unterlagen wie Patienten- und Mandantenakten an offen zugänglichen Orten wie Hausfluren oder gemeinschaftlich genutzten Tiefgaragen gelagert oder – ohne diese geeignet zu vernichten – in öffentlich zugänglichen Containern oder Mülltonnen entsorgt.

Die LDI weist auch darauf hin, dass einige Prüffälle derzeit noch anhängig seien und sie erwägt, Bußgelder zu verhängen.

Verhängte Bußgelder & sonstige Abhilfemaßnahmen

Im Berichtszeitraum machte die LDI in 242 Fällen von den Abhilfebefugnissen Gebrauch, die Art. 58 Abs. 2 DSGVO nennt.

Davon wurden 73 Geldbußen gemäß Art. 58 Abs. 2 Buchst. i DSGVO verhängt, von 123 eingeleiteten Bußgeldverfahren. Es sind jedoch noch nicht alle Verfahren abgeschlossen (wie viele genau, verrät der Bericht nicht).

Die Höhe der Bußgelder reicht von 100 bis 1.500 Euro. Warum und in welchen Fällen die LDI die jeweiligen Bußgelder verhängte, ist dem Bericht leider nicht zu entnehmen. Das wäre im Sinne eines transparenten Handelns durchaus zielführend gewesen.

Zahlreiche (vermeintliche) Datenpannen und Meldungen

Im Berichtszeitraum meldeten Verantwortliche 2.235 (vermeintliche) Datenpannen an die LDI.

Das Wort „vermeintlich“ deutet darauf hin, dass die Verantwortlichen die Meldepflicht wohl nicht immer rechtlich korrekt ermittelt haben. Nicht alle der gemeldeten Datenpannen sind vermutlich tatsächlich gemäß Art. 33 DSGVO meldepflichtig gewesen, etwa mangels eines (mittleren) Risikos für die Rechte und Freiheiten der Betroffenen.

Weitere Zahlen & Fakten im Jahr 2019

Auch die Zahl der Eingaben bei der LDI stieg im Jahr 2019 noch einmal stark an. Es gab insgesamt über 12.500 schriftliche Eingaben. Im Jahr 2018 waren es gerundet 12.000, im Jahr 2017 etwa 4.400. Die unzähligen telefonischen Anfragen sind nicht erfasst.

Die große Anzahl zeigt, dass das Datenschutzrecht in der Bevölkerung mehr und mehr an Bedeutung gewinnt:

• Von den über 12.500 schriftlichen Eingaben in 2019 waren 2.235 Meldungen nach Art. 33 DSGVO zu Datenpannen.
• Von den übrigen Eingaben waren etwa 80 Prozent Beschwerden nach Art. 77 DSGVO.
• Etwa 20 Prozent waren Beratungsanfragen von Unternehmen und öffentlichen Stellen.