Allgemein

Last-Minute-Weihnachtsgeschenk – der Tätigkeitsbericht des sächsischen Datenschutzbeauftragten

By 24. Dezember 2019 März 13th, 2020 No Comments

Wer heute noch nach einem passenden Weihnachtsgeschenk sucht, dem sei der Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten Berichtszeitraum: 1. April 2017 bis 31. Dezember 2018 (https://saechsdsb.de/images/stories/sdb_inhalt/DSGVO/TB/Taetigkeitsbericht_2017_2018.pdf) ans Herz gelegt. Wir sind uns sicher, dass Sie mit diesem Geschenk bei jeder Zielgruppe richtig liegen.

Spaß beiseite 😊.

Pünktlich zum Weihnachtsfest hat der Sächsische Datenschutzbeauftragte (DSB) seinen Tätigkeitsbericht für 2017 und 2018 veröffentlicht (Ja, wir sind bald im Jahr 2020). Dieser ist offiziell in zwei Teile gegliedert, trennt jedoch tatsächlich in folgende drei auf:

  1. Tätigkeitsbericht – Schutz des Persönlichkeitsrechts im öffentlichen Bereich – Berichtszeitraum: 1. April 2017 bis 24. Mai 2018 – (Teil 1)
  2. Tätigkeitsbericht – Schutz des Persönlichkeitsrechts im nicht-öffentlichen Bereich – Berichtszeitraum: 1. April 2017 bis 24. Mai 2018 – (Teil 1)
  3. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2018 Datenschutz-Grundverordnung (EU) 2016/679, Richtlinie (EU) 2016/680 und sonstige Bereiche – Berichtszeitraum: 25. Mai bis 31. Dezember 2018 – (Teil 2)

Der sächsische DSB berichtet demnach also einmal zum Datenschutz im „Vor-DS-GVO-Zeitalter“ und einmal zum Datenschutz nach Geltung (Ablauf Übergangsfrist) der DS-GVO (Datenschutz-Grundverordnung) und den daraufhin novellierten Bundes- und Fachdatenschutzgesetzen.

Wir picken uns hier einmal die für uns spannendsten und oder praxisrelevantesten Aussagen heraus:

  • Begrüßungstafel und Begrüßungsmonitor in Hotel und Autohaus (altes Recht, aber vergleichbare Wertungen)

Um Ihren Gästen und Kunden ein Gefühl des Willkommenssein und der persönlichen Nähe zu vermitteln setzen viele Hotels und Autohäuser auf persönliche Begrüßungen auf Monitoren oder Tafeln, meisten mit Namen und Vornamen sowie teilweise mit Wohnort – aus datenschutzrechtlicher Perspektive fällt diese Praxis in den Bereich „Gut gewollt, ist nicht gleich gut gemacht“. Am Ende benötigt man für eine solche Datenverarbeitung die Einwilligung der Gäste, mit all den Anforderungen, die an eine wirksame Einwilligung gestellt werden.

  • Internetpranger (altes Recht, aber vergleichbare Wertungen)

Frustrierte und unbefriedigte Gläubiger haben eine Webseite über den mittlerweile insolventen Schuldner online gestellt und darauf Informationen zu Ermittlungsverfahren und weiteren die schlechte Zahlungsmoral betreffende Sachverhalte aufgelistet. So nachvollziehbar der Frust der Gläubiger ist, so unzulässig war die gewählte Form aus Datenschutzsicht.

  • Lohnabrechnung per E-Mail (altes Recht, aber vergleichbare Wertungen)

Ein Arbeitgeber versendete die Lohnabrechnung an seine Mitarbeiter per E-Mal und verzichtete auf seine sog. „Inhaltsverschlüsselung“, also der Möglichkeit z.B. ein PDF-Dokument erst nach Eingabe eines Passwortes kenntlich zu machen. Da Lohndaten besonders sensible Informationen über die Mitarbeiter sind, sind an deren Umgang deutlich höhere Anforderungen gestellt. Mithin war diese unverschlüsselte Übermittlung unrechtmäßig. Der unverschlüsselte Versand von sensiblen Informationen ist ein Problem, welches wir nahezu bei allen Kunden und jeder Größe vorfinden. Die Lösung ist einfach, daher bitte nachbessern!

  • Veröffentlichung von Mitarbeiterdaten auf der Webseite (altes Recht, aber vergleichbare Wertungen)

Eine Praxis beabsichtigte Namen und Foto einer Mitarbeiterin auf deren Webseite zu veröffentlichen. Der sächsische DSB bewertete in Abhängigkeit konkreter Umstände, die Veröffentlichung von Mitarbeiterportraits als einwilligungspflichtig und die Veröffentlichung der Namen als zulässig ohne Einwilligung, soweit es für den Geschäftszweig üblich ist. Fazit: als wie gehabt.

Vielfach brennt es den Verantwortlichen (Unternehmen etc.) mit gerade solchen praxisbezogenen Einzelfragen unter den Nägeln, daher bieten die Tätigkeitsberichte der einzelnen Aufsichtsbehörden immer eine gute Gelegenheit nach solchen Einzelbewertungen Ausschau zu halten. In Deutschland haben wir ja auch das „Glück“, auf 17 verschiedene Berichte zurückgreifen zu können.

Mit diesen Einsichten aus der Tätigkeit des sächsischen DSB, entlassen wir Sie nun auch in die Feiertage und wünschen Ihnen natürlich eine besinnliche Zeit im Kreise Ihrer Lieben. Tanken Sie neue Kraft!

PS: Auch während der Feiertage und des Jahreswechsels, sind die Meldefristen für etwaige Datenschutzpannen und Datenschutzverletzungen zu beachten – 72 Stunden (Artt. 33 und 34 DS-GVO).

Wir sind auch in dieser Zeit für Sie da!

kontakt@patronus-datenschutz.de

+49 (0)3594 77 76 70 6

Sie finden uns in Leipzig, Dresden sowie im Raum Bautzen. Kommen Sie gerne auf ein Kaffee vorbei.

Kontakt