Schlagwort: LfDI BaWü

VfB Stuttgart: Bußgeldverfahren eröffnet

9. Februar 2021

In einer Presseerklärung vom 03.02.2021 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg – Stefan Brink – angekündigt, dass aufgrund festgestellter “erheblicher” Datenschutzverstöße ein Bußgeldverfahren gegen den VfB Stuttgart (e.v. und AG) eröffnet wurde. Die Behörde habe über mehrere Monate ermittelt, insbesondere in Bezug auf Datenverarbeitungen, die im Zusammenhang mit der Mitgliederversammlung des Vereins im Jahr 2017 stehen. Aber auch weitere Datentransfers an externe Dienstleister sowie die generelle Umsetzung der DS-GVO standen im Fokus der Behörde. Dabei seien – auch in Kooperation mit den Verantwortlichen des Vereins sowie der AG – hinreichende tatsächliche Anhaltspunkte für Datenschutzverstöße festgestellt worden.

Hintergrund der Ermittlungen

Ausgangspunk der Ermittlungen war ein Bericht des Sportmagazins Kicker, wonach im Vorfeld der fraglichen Mitgliederversammlung wiederholt Mitgliederdaten an Dritte übermittelt wurden. Auf der Mitgliederversammlung wurde darüber entschieden, die Fußballabteilung des e.V. in eine AG auszugliedern. Um für dieses Vorhaben zu werben, soll der Verein mit einer externen PR-Agentur zusammengearbeitet haben. Der Inhaber der Agentur sollte zudem über eine Facebook-Seite eine Empfehlung zur Ausgliederung abgeben, heißt es. An den Inhaber der Agentur sollen zu diesem Zweck im Vorfeld der Mitgliederversammlung verschiedenste Daten der Mitglieder übermittelt worden seien. Nach Angaben des Vereins soll dieser Übermittlung ein Auftragsverarbeitungsvertrag zugrunde gelegen haben, der Kicker äußerte an dieser Darstellung jedoch Zweifel.

Bereits unmittelbar nach Erscheinen des Berichts kündigte Brink an, ein Auskunftsverfahren einzuleiten, um den erhobenen Vorwürfen nachzugehen. Auch der VfB Stuttgart selbst ließ den Sachverhalt extern durch eine Kanzlei untersuchen, wobei aber auch Berichte kursierten, die AG habe versucht, Einfluss auf die Ermittlungen seitens der Kanzlei zu nehmen. Auch sei festgestellt worden, dass zehntausende Mitglieder von den angeblich unzulässigen Datentransfers betroffen gewesen seien.

“Spürbares” Bußgeld droht

Zwar betonte Brink, dem Verein und der AG drohe trotz der ausdrücklich gelobten Kooperation ein “spürbares” Bußgeld, jedoch ereigneten sich die vorgeworfenen Verstöße bereits in den Jahren 2016 und 2017, also noch vor Inkraftreten der DS-GVO mit ihren weitaus gravierenderen Bußgeldmöglichkeiten. Insofern könnte der Imageschaden für den VfB Stuttgart unter Umständen größer sein als der wirtschaftliche Verlust. Mit der Verhängung des Bußgelds soll noch im Februar zu rechnen sein.

Die Stadt Tübingen darf keine Liste mit „auffälligen“ Asylbewerbern führen

7. Oktober 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink (LfDI) untersagte der Stadt Tübingen die Nutzung polizeilicher Daten für eine Liste mit „auffälligen“ Asylbewerbern.

Seit eineinhalb Jahren streiten der Oberbürgermeister der Stadt Tübingen Boris Palmer und der LfDI bezüglich der Rechtmäßigkeit einer von der Stadtverwaltung geführten „Gefährderliste“. Gespeist wird die Liste mit Daten die die Polizei aufgrund ausländerrechtlicher Vorgaben an die städtische Ausländerbehörde übermittelt und die auch an die städtische Verwaltung weitergegeben werden. Nach eigenen Angaben der Stadt dient die Liste dazu, die städtischen Bediensteten und die Bevölkerung vor Übergriffen dieses Personenkreises zu schützen.

Der LfDI bewertet diesen Datenaustausch als rechtswidrig. Die betroffenen Daten unterlägen einer Zweckbindung, die nur Maßnahmen für ausländerrechtliche Zwecke umfasse. Für eine Übermittlung zu anderen Zwecken der Verwaltung bestehe demnach keine Rechtsgrundlage. Die Eintragung der personenbezogenen Daten einer betroffenen Person in die Liste erfolge außerdem, ohne dass die Staatsanwaltschaft oder ein Gericht sich bereits mit dem Vorwurf befasst und diesen in einem rechtsstaatlichen Verfahren bestätigt hätten. Nach Einschätzung des LfDI würden solche „Gefährderlisten“ auf Grundlage eines bloßen Verdachts, der rechtsstaatlich nicht überprüft wurde, die Rechte ausländischer Mitbürger verletzen.

In seiner Pressemitteilung wies der LfDI außerdem darauf hin, wie mühsam sich die Klärung der gegenständlichen Frage mit der Stadt Tübingen darstellte. So würden bis heute zugesagte Akten noch fehlen. Mit der Untersagungsverfügung hat der LfDI erstmals eine Anordnung gegenüber einer Kommune erlassen.

Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg verhängt

1. Juli 2020

Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.

Der Sachverhalt

Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.

Begründung der Bußgeldhöhe

Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.

Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.

Fazit

Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine “Daueraufgabe”, und nicht mit der einmaligen Implementierung der TOMs erledigt.

Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.

Polizei sammelt Covid-19 Patientenlisten

15. April 2020

In verschiedenen Bundesländern wurden Covid-19 Patientenlisten von den Gesundheitsämtern an die Polizeibehörden weitergeleitet. Derzeit bekannt ist eine Weitergabe in Niedersachsen, Bremen, Mecklenburg-Vorpommern und Baden-Württemberg. In Bayern erhielt der Landesbeauftragte für Datenschutz mehrere Anfragen, die er ablehnte. Die Covid-19 Patientenlisten enthalten personenbezogene Daten über die Personen, die sich in Quarantäne befinden. Dazu zählen sowohl sensible Gesundheitsdaten, als auch Informationen zu Quarantänebestimmungen und Kontaktpersonen.

Kritik:

Die Datenschutzbeauftragten sprechen sich überwiegend gegen eine Datenweitergabe an die Polizei aus. Der Datenschutzbeauftragte des Landes Baden-Württemberg Stefan Brink kritisierte, dass den Polizeibehörden die Rechtsgrundlage für das Handeln fehle und die Weitergabe rechtswidrig sei. Das Gesetz über den Gesundheitsdienst käme als Rechtsgrundlage nicht in Betracht, da es eine konkrete Gefahr voraussetze. Vor einem polizeilichen Einsatz bestünde für die Beamten lediglich eine potentielle Gefahr, die nicht ausreiche. Zusätzlich warnte er davor, dass auf der Grundlage weitere Behörden die Listen anfordern könnten und so eine klare Grenzziehung erschwert werden könnte. Der Präsident der Ärztekammer Mecklenburg-Vorpommern, Andreas Crusius, stellte die Erforderlichkeit der Listenweitergabe in Frage. Bei Bedarf könnte sich die Polizei alternativ jederzeit an die Amtsärzte wenden, die im Einzelfall eine Auskunft zum Gesundheitszustand der Person erteilen könnten. Außerdem bezweifelte er, dass die Listen zum Zeitpunkt der Ankunft überhaupt noch aktuell sind. Die niedersächsische Datenschutzbehörde äußerte sich ebenfalls kritisch und untersagte die Datenweitergabe. Der Datentransfer verstoße gegen den Datenschutz, die ärztliche Schweigepflicht und die Verhältnismäßigkeit. Die Polizei hatte die Datenverarbeitung auf die Gefahrenabwehr gemäß § 41 NPOG, auf das Infektionsschutzgesetz sowie den rechtfertigenden Notstand nach§ 34 StGB gestützt. Dem widersprach die niedersächsische Datenschutzbeauftrage Barbara Thiel, da der rechtfertigende Notstand gemäß § 34 StGB nicht pauschal für alle Personen gelten könne, die auf der Liste stehen.

Der Datenschutzbeauftragte von Mecklenburg-Vorpommern Heinz Müller stuft die Weitergabe der Covid-19 Liste als vertretbar ein. Die Polizei könnte ihr Vorgehen auf ihr berechtigtes Interesse, dem Infektionsschutz von Polizeibeamten, stützen. Beispielsweise müssten die Beamten vor dem Einsatz in einer häuslichen Umgebung wissen, ob in der Wohnung Covid-19 Infizierte leben. Diesbezüglich könnte jedoch erneut die fehlende Erforderlichkeit der Maßnahme und die Pauschalität kritisiert werden.

Lösungsansatz:

Das Innenministerium von Baden-Württemberg liefert einen möglichen Lösungsvorschlag für die Problematik. Es wurde eine Rechtsverordnung erarbeitet, die der Polizei, nur in Einzelfällen, den Zugriff auf eine passwortgeschützte Datenbank mit den Covid-19 Infizierten erlaubt. Die kursierenden Patientenlisten sollen vernichtet und die Betroffenen darüber informiert werden.