Schlagwort: Bayerisches Landesamt für Datenschutzaufsicht

Verwaltungsgericht Ansbach: Fotos von „Falschparkern“ erlaubt

9. November 2022

Wer Fotos von sog. Falschparkern zum Zwecke der Übermittlung an die Polizei anfertigt, verstößt laut dem Verwaltungsgericht Ansbach (VG) in der Regel nicht gegen Datenschutzrecht.

Hintergrund

Die beiden Kläger fotografierten ordnungswidrig geparkte Fahrzeuge, um diese Fotos mitsamt Anzeige an die zuständige Polizei zu übersenden. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verwarnte daraufhin die beiden Männer. Das Landesamt rügte, dass mit den Fotos oft auch nicht erforderliche, über den Parkvorgang hinausgehende Daten erhoben würden. So würden auch bspw. andere Fahrzeuge oder Menschen abgelichtet werden. Insgesamt hätten die beiden Kläger daher kein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f Datenschutz-Grundverordnung (DS-GVO) an dieser Datenverarbeitung.

Dagegen erwiderten die Kläger, dass für die Verfolgung des Parkverstoßes eine möglichst genaue Dokumentation der Ordnungswidrigkeit erforderlich sei.

Der Tenor

Die 14. Kammer des VG Ansbach gab den zwei Klagen gegen die Verwarnungen des BayLDA statt. Das Gericht urteilte, dass es sich bei dem Vorgehen um eine rechtmäßige Datenverarbeitung handelte. Die genaue Begründung liegt allerdings noch nicht vor. Gegen die beiden Entscheidungen kann der Antrag zur Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.

Videoüberwachung im Fitnessstudio unzulässig

6. Mai 2022

Das Verwaltungsgericht (VG) Ansbach hat mit Urteil vom 23.02.2022 entschieden, dass die Videoüberwachung eines Fitnessstudios unzulässig ist.

Die Klägerin betreibt ein Fitnessstudio, welches drei Trainingsräume hat. Alle Trainingsräume wurden auf der gesamten Fläche durchgehend während der Öffnungszeiten videoüberwacht (ohne Tonaufzeichnung). Die Aufzeichnungen wurden 48 Stunden lang gespeichert und anschließend gelöscht. Hinweisschilder zur Videoüberwachung befanden sich auf Innen- und Außenseite der Eingangstür.

Ein Kunde des Fitnessstudios wandte sich an die zuständige Datenschutzbehörde, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und schilderte die Videoüberwachung. Daraufhin sandte das BayLDA einen Fragebogen an das Fitnessstudio. Der Betreiber des Fitnessstudios erklärte die Überwachung damit, dass sie der Prävention und Aufklärung von Diebstählen und Sachbeschädigungen, welche es in der Vergangenheit mehrfach gegeben habe, diene. Das BayLDA sah jedoch keine Notwendigkeit, dafür die gesamte Trainingsfläche zu überwachen. Vielmehr würde bei einer Interessenabwägung der Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) der Trainierenden, das Interesse des Betreibers überwiegen. Kernpunkt der Streitigkeit ist die Frage, ob die umfassende Videoüberwachung auf eine Rechtsgrundlage der DSGVO gestützt werden kann. Das BayLDA geht nicht davon aus und ordnete deswegen an, die Videoüberwachung auf die konkret gefährdeten Bereiche zu beschränken, z.B. die Spiegelwände. Gegen diese Anordnung erhob der Fitnessstudiobetreiber Klage.

Dieser Klage hat das VG Ansbach aber nicht stattgegeben. Das Gericht geht davon aus, dass die Anordnung des BayLDA rechtmäßig war und die Videoüberwachung beschränkt werden muss. Es schließt sich der Ansicht des BayLDA an, dass keine Rechtsgrundlage für die Überwachung vorliege. So lag insbesondere keine Einwilligung der Betroffenen (Art. 6 Abs. 1 a) DSGVO) vor, die Videoüberwachung war nicht für die Erfüllung des Vertrages notwendig (Art. 6 Abs. 1 b) Alt. 1 DSGVO) und der Betreiber kann sich auch nicht auf ein überwiegendes, berechtigtes Interesse (Art. 6 Abs. 1 f) Alt. 1 DSGVO) stützen. Um Straftaten zu verhindern, muss der Betreiber zunächst auf mildere Mittel zurückgreifen, z.B. auf eine Aufstockung des Personals.

Bayerisches Landesamt für Datenschutzaufsicht: Nutzung von Mailchimp in einem Fall unzulässig

7. April 2021

Für die Übermittlung personenbezogener Daten in Drittländer sind durch Entscheidung des EuGH bereits Voraussetzungen für Unternehmen entwickelt worden. Diese sollten insbesondere in Anbetracht der aktuellen Arbeit der Datenschutzbehörden von den Unternehmen regelmäßig überprüft werden.

In dem konkreten Fall geht es um Mailchimp, einem US-Newsletter Dienstleister. Ein Newsletter Empfänger war an die bayerische Datenschutzbehörde herangetreten. Die Datenschützer entschieden, dass die Nutzung des Newsletter Dienstes nicht zulässig sei.

Mailchimp nutzt für die Übermittlung der personenbezogenen Daten in Drittländer die EU-Standardvertragsklauseln nach Artikel 46 der DSGVO. Zusätzlich muss jedoch eine Prüfung vorgenommen werden, die das Datenschutzniveau ermittelt, um die Notwendigkeit “zusätzlicher Maßnahmen” festzustellen.

Weil die Prüfung nicht geschah, entschied das Bayerische Landesamt für Datenaufsicht, dass Mailchimp von dem Unternehmen nicht weiter genutzt werden darf. Die Entscheidung der Datenschutzbehörde zeigt die Notwendigkeit der Einhaltung der Vorgaben bei der Übermittlung von Daten in Drittländer. Damit wird bei der Datenübertragung in die USA die Datenschutzkonformität in den Vordergrund gestellt.

Es liegt im Verantwortungsbereich des Unternehmens die Maßnahmen, die der Anbieter im Drittland trifft, datenschutzrechtlich zu prüfen, um die personenbezogenen Daten zu schützen. Daraus folgend kann das Unternehmen alternative Anbieter ermitteln oder den Aufwand für eine Umstellung festhalten.

Cybersicherheit für medizinische Einrichtungen

8. Juli 2020

Zunahme von Hackerangriffen

Hackerangriffe werden von der breiten Bevölkerung weder groß gefürchtet, noch wird das Thema Cybersicherheit besonders beachtet. Dabei nimmt ihre Zahl von Jahr zu Jahr zu. Im Jahr 2018 vermeldete das Bundeskriminalamt die Zahl von 87.106 Fällen von Cybercrime. Dies entspricht einer Zunahme von 1,3% im Vergleich zum Vorjahr.

Von Hackerangriffen sind nicht nur Unternehmen betroffen, die über Kundendaten wie Kreditkarten verfügen, sondern auch Justizbehörden und sogar Bundesministerien (siehe Blog vom 05.12.2018).

Sogar das Rote Kreuz ist Anfang des Jahres Opfer eines Hackerangriffs geworden. Glücklicherweise diente dieser Angriff jedoch nur dem Aufsuchen von Sicherheitslücken. Böswillige Hacker hätten hingegen sensible Patientendaten abgreifen können. Eine Krankheitshistorie kann man nicht, wie bei gestohlenen Kreditkartendaten, sperren und ersetzen. Für die Betroffenen wäre eine Veröffentlichung ihrer Gesundheitsdaten mit unangenehmen Konsequenzen verbunden.

Zu diesem Thema hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine Prüfliste veröffentlicht, die Empfehlungen zur Cybersicherheit für medizinische Einrichtungen ausspricht.

Die Maßnahmen sind jedoch auch für nicht-medizinische Unternehmen von Relevanz.

Empfohlene Maßnahmen

Bei den empfohlenen Maßnahmen sollten unter anderem folgende Punkte besonders beachtet werden:

  • Regelmäßige Aktualisierung der verwendeten Software.
  • Nutzung von Antiviren-Programmen. Zu beachten ist, dass immer nur ein Antiviren-Programm gleichzeitig installiert sein sollte. Mehrere Programme blockieren sich gegenseitig und schaden mehr, als sie nutzen.
  • Schutz vor Ransomware. Wenn möglich, sollte auf Makros in Office-Dokumenten verzichtet werden und wenn, nur signierte Makros verwendet werden.
  • Nutzung starker Passwörter. Es sollten keine banalen Begriffe wie „1234“ oder „passwort“ genutzt werden. Auch sollten Passwörter niemals am Arbeitsplatz liegen gelassen werden.
  • Nutzung von Zwei-Faktor-Authentifizierung. Näheres dazu ist in unserem Blog nachzulesen.
  • E-Mails sollten nur als Text angezeigt werden. So lassen sich leichter manipulierte Links erkennen. Außerdem sollten E-Mails grundsätzlich von einem Antiviren-Programm überprüft werden.
  • Es sollten regelmäßig Backups durchgeführt werden.
  • Bei der Arbeit im Homeoffice sollte der Zugang über eine VPN-Verbindung gesichert sein. Im Falle der Nutzung mobiler Endgeräte sollten diese über starke Verschlüsselungsmechanismen verfügen.
  • Falls Laborergebnisse online abgerufen werden können, muss der Zugang besonders geschützt werden.
  • Es sollte eine leistungsstarke Firewall installiert sein, um unbefugte Zugriffe von außen zu verhindern.
  • Das Thema Social Engineering darf nicht unterschätzt werden. Hacker versuchen vermehrt Kontakte über Portale wie Xing, LinkedIn oder auch Facebook zu knüpfen, um das Vertrauen ihrer Opfer zu gewinnen und zum Beispiel über manipulierte E-Mails zu missbrauchen.

Neuer Leitfaden zur Umsetzung der DSGVO für Krankenhäuser

12. März 2018

Das Bayerische Landesamt für Datenschutzaufsicht hat gemeinsam mit dem Bayerischen Landesbeauftragten für Datenschutz einen Leitfaden zur Umsetzung der Datenschutzgrundverordnung in bayerischen öffentlichen und privaten Krankenhäusern veröffentlicht. Ziel des Leitfadens ist es, praktische Hinweise zur Umsetzung der DSGVO zur Verfügung zu stellen und bestehende Unsicherheiten abzubauen. Da es bislang nur wenige Hilfstellungen in diesem Bereich gab, war es das erklärte Ziel beider Datenschutzaufsichtsbehörden, erste Hinweise zur Auslegung der DSGVO im Bereich des Gesundheitsdatenschutzes zu geben. Der Leitfaden eignet sich zur Orientierung ebenfalls für Krankenhäuser in anderen Bundesländern.

Schwerpunkt des Leitfadens ist das Datenschutzmanagement, um den erhöhten Anforderungen der DSGVO Rechnung zu tragen. Nach Auffassung der Verfasser sollte das Datenschutzmanagement im Wesentlichen neun Punkte erhalten. Genannt wird in diesem Zuge unter anderem die Festlegung eines Teams, das zur Umsetzung der datenschutzrechtlichen Anforderungen den Datenschutzbeauftragten unterstützen soll. Darüber hinaus enthält der Leitfaden Handlungsempfehlungen zur Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten, der Auflistung von Datenschutzkonzepten für Verfahren und Auftragsverarbeitungsverträgen, sowie der Erstellung von Datenschutzfolgenabschätzungen. Zudem werden die Punkte der Risikoabschätzung, der Behandlung von Datenschutzverletzungen sowie der Implementierung von Informationspflichten und der Umsetzung von Betroffenenrechten thematisiert.

Online-Test zur Vorbereitung auf die DSGVO für Unternehmen und Verantwortliche

27. November 2017

Das bayerische Landesamt für Datenschutzaufsicht, kurz BayLDA, hat am vergangenen Freitag einen Online-Selbsttest, für Unternehmen und andere Verantwortliche, hinsichtlich Compliance mit der EU-Datenschutzgrundverordnung (DSGVO) veröffentlicht.

Inzwischen sollte es kein Geheimnis mehr sein, dass die DSGVO am 25.Mai 2018 wirksam wird und bis dahin die Änderungen und Anforderungen der DSGVO umgesetzt sein müssen. Von der 2 jährigen Umsetzungszeit seit in Kraft treten der DSGVO ist nur noch ein Viertel, sechs Monate, über. Es ist also höchste Zeit sich einen Überblick über die Anforderungen zu machen und mit der Umsetzung der erforderlichen Maßnahmen zu beginnen.

Der Test führt bildlich durch alle EU-Mitgliedsstaaten und enthält 28 Fragen mit jeweils drei Antwortmöglichkeiten zu Themen der DSGVO. Die detaillierte Auswertung am Ende des Tests gibt Aufschluss über den Stand der Umsetzung der DSGVO im Unternehmen und zeigt auf, welche gesetzlichen Anforderungen bis zum 25. Mai 2018 noch umgesetzt werden müssen.

Bei dem Selbsttest handelt es sich nicht um ein Wissensquiz, sondern um eine Hilfe für Unternehmen und Verantwortliche, um festzustellen, was noch getan werden muss.

Der Test ist auch in englischer Sprache verfügbar.

Windows 10 Enterprise kann datenschutzkonform im Unternehmen eingesetzt werden

19. September 2017

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Datenströme in Microsofts Betriebssystem Windows 10 untersucht. Im 19-seitigen Prüfbericht kommen die Datenschützer zu dem Ergebnis, dass die Enterprise-Version des Betriebssystems mit gewissen Einstellungen an den Gruppenrichtlinien datenschutzkonform eingesetzt werden kann.

Im Mittelpunkt der Prüfung stand die automatisierte Übermittlung von Nutzerdaten an Microsoft. Auch sog. Telemetrie-Daten sorgten im Vorfeld für Kritik an Windows 10. Die Windows-Telemetrie ist meist voreingestellt und übermittelt im Hintergrund Daten über die Art der Nutzung an Microsoft. Dazu gehören technische Daten wie z.B. Absturzberichte oder Typ der verwendeten Hardware. Die vom Betriebssystem ermittelten Daten kann Microsoft u.a. für Werbung oder Produktverbesserungen verwenden.

Die Prüfer des BayLDA stellten fest, dass die Unternehmensversion von Windows 10 mit wenig Aufwand datenschutzkonform konfiguriert werden kann. Kritische Datenübertragungen lassen sich mit gezielten Einstellungen in den Windows Gruppenrichtlinien unterbinden. Die Prüfung des BayLDA fand in Abstimmung mit anderen europäischen Aufsichtsbehörden statt. Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) wie z.B. “Privacy by Design” bewerteten die Prüfer nicht.

Bis Mai 2018 plant Microsoft zwei neue Betriebssystem-Updates. Wie die Aufsichtsbehörden das aktualisierte Windows 10 mit Blick auf den Datenschutz und eventuell der DSGVO bewerten, bleibt abzuwarten.

BayLDA: Verstärkte Ahndung von rechtswidrigen Werbemaßnahmen

10. Dezember 2014

Einer Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vom 25.11.2014 zufolge werden die Beschwerden von Verbrauchern über belästigende Werbung bei den Datenschutzaufsichtsbehörden nicht weniger. Insbesondere die unerwünschte Telefon- und E-Mail-Werbung und die Nichtbeachtung von Werbewidersprüchen verärgere regelmäßig die Betroffenen.

Damit Wirtschaftsunternehmen für ihre Produkte und Dienstleistungen werben können, müssen sie sich an verschiedene datenschutz- und wettbewerbsrechtliche Regelungen halten. Dabei sind hinsichtlich der unterschiedlichen Werbeformen wie Telefon-, E-Mail-, SMS- und Postwerbung auch unterschiedliche rechtliche Voraussetzungen zu beachten.

Um als Unternehmen eine sowohl aus datenschutzrechtlichen als auch aus wettbewerbsrechtlichen Gesichtspunkten zulässige Telefonwerbung durchführen zu können, ist die vorherige ausdrückliche Einwilligung des Verbrauchers notwendig. Dem BayLDA zufolge würde dies jedoch von den werbenden Unternehmen und Callcentern häufig ignoriert werden. Bei einem Missbrauch von Rufnummern hat die Bundesnetzagentur die Befugnis einzuschreiten und die Möglichkeit geeignete Maßnahmen wie die Durchführung eines Bußgeldverfahren oder die Abschaltung der Telefonanschlüsse der Täter zu ergreifen.

Ebenfalls notwendig ist eine vorherige ausdrückliche Einwilligung für die Werbung neuer Kunden auf elektronischem Wege per E-Mail oder per SMS. Dessen ungeachtet meldet das BayLDA laufend Beschwerden über die Verwendung von E-Mail-Adressen für Werbung gegen den Willen der kontaktierten Verbrauchern. Die werbenden Unternehmen können im Rahmen dieser Beschwerdeverfahren jedoch in den meisten Fällen die angeblich vorliegenden Einwilligungen für die Werbung per E-Mail nicht belegen.

In gesetzlich normierten Ausnahmefällen (§ 28 Abs. 3 S. 2 BDSG) kann die Werbung per Post auch ohne vorherige Einwilligung des Betroffenen erfolgen. Dennoch besteht in diesen Fällen zumindest ein Widerspruchsrecht, worauf der Betroffene in der jeweiligen Werbesendung hinzuweisen ist. Wenn ein solcher Widerspruch missachtet und trotzdem Postwerbung zugesandt werde, sei die Verärgerung der Verbraucher über solche unerwünschten Belästigungen verständlich, so das BayLDA. Allein im Jahre 2013 seien 162 und im Jahre 2014 bisher 149 Eingaben und Beschwerden zum Thema unzulässige Werbung eingegangen. Auch nach Überprüfung dieser Beschwerden durch das BayLDA hätten sich noch mehr als zwei Drittel dieser Beschwerden als Datenschutzverstoß und damit als begründet herausgestellt.

Der gegenständlichen Pressemitteilung zufolge werde das BayLDA die in der letzten Zeit eher zurückhaltende Praxis der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die “Missachtung von Werbewidersprüchen” und die unzulässige “E-Mail-Werbung zur Neukundengewinnung” mit Bußgeldern sanktionieren. Dieser Kurswechsel sei notwendig, da trotz intensiver Informationsarbeit durch alle Datenschutzaufsichtsbehörden und auch guten Hinweisen aus den Verbänden der Werbewirtschaft selbst die Zahl der begründeten Eingaben und Beschwerden nicht zurückgegangen seinen.

Die Tatbestände der unzulässigen Nutzung von E-Mail-Adressen und Telefonnummern für elektronische Werbung sowie die Postwerbung trotz ausdrücklichem Widerspruchs können Bußgelder bis zu einer Höhe von 300.000,00 Euro vorsehen.

Google Analytics: Was Sie als Website-Betreiber beachten müssen!

9. Mai 2012

Obwohl es seit geraumer Zeit eine Möglichkeit gibt, Google Analytics datenschutzkonform zu betreiben, machen davon nur sehr wenige Website-Betreiber Gebrauch. Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht ergaben beispielsweise, dass lediglich 3 % der bayerischen Website-Betreiber Google Analytics in datenschutzkonformer Weise einsetzen. Beanstandungen durch die zuständige Datenschutzaufsichtsbehörde, Kundenunzufriedenheit und Komplikationen im Alltagsgeschäft sind bei rechtswidrigem Einsatz vorprogrammiert.

Erforderliche Schritte zum rechtskonformen Einsatz von Google Analytics

Vier Schritte sind erforderlich, um Google Analytics rechtskonform einsetzen zu können:

  • Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
  • Erweiterung um die Funktion „anonymize IP“
  • Einräumung eines Widerspruchsrechtes der User (Browser Add-On)
  • Anpassung Ihrer Datenschutzerklärung: Information über Einsatz von Google Analytics und Widerspruchsrecht

Was tun bei derzeit rechtswidrigem Einsatz von Google Analytics?

Sollten Sie bis dato die oben genannten Maßnahmen nicht umgesetzt haben, ist der Einsatz von Google Analytics rechtswidrig. Ihre Website sollte daher dringend den derzeitigen rechtlichen Regelungen entsprechend angepasst werden und Sie sollten sicherstellen, dass mittels Google Analytics gewonnene Altdaten  gelöscht werden. Dies erfordert eine Schließung des bestehenden Google Analytics Profils und die Neueröffnung eines neuen Profils.

Benötigen Sie Unterstützung bei der datenschutzkonformen Ausgestaltung des Einsatzes von Goolge Analytics oder Unterstützung bei der Kommunikation mit Ihrer Aufsichtsbehörde?

Treten Sie mit uns in Kontakt!

Microsoft: Datenschutz bei Cloud-Dienst Office 365

7. Dezember 2011
Microsoft wird Medienberichten zufolge im Laufe dieses Monats seine Vertragsbe- stimmungen für den Cloud-Dienst Office 365 anpassen. Die Anpassung werde dazu führen, dass die nationalen datenschutzrechtlichen Vorgaben hinreichend Berück- sichtigung finden, was das bayerische Landesamt für Datenschutzaufsicht bereits schriftlich bestätigt haben soll. Zudem seien die von der Europäischen Kommission vorgegebenen Standardvertragsklauseln enthalten, die die Übermittlung personen- bezogener Daten betreffen. Den Kunden sollen künftig alle Informationen zur Cloud-Sicherheit und zum Datenschutz in einem Portal (“Trustcenter”) zur Verfügung gestellt werden. (sa)