BayLDA veröffentlicht Tätigkeitsbericht 13/14

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seinen Tätigkeitsbericht für die Jahre 2013 und 2014 veröffentlicht. Wir fassen relevanten Stellen zusammen.

BayLDA-Tätigkeitsbericht zeigt wichtige Entwicklungen auf

Zahl der Beschwerden und Beratungen angestiegen

Die Zahl der Beschwerden und Beratungen ist in den Jahren 2013 und 2014 gestiegen. Zudem waren 2014 mehr Bußgeldverfahren zu verzeichnen, als im Jahr 2013. Insgesamt kam es in den beiden Jahren zu 117 Bußgeldverfahren, wobei in 37 Fällen Bußgelder verhängt wurden. Die Gesamtsumme der verhängten Bußgelder von 200.000 EUR lässt darauf schließen, dass die festgestellten Verstöße nicht gravierend waren, schnell behoben wurden und sich die betreffenden Unternehmen oder Stellen kooperativ verhalten haben. Strafverfahren wurden kaum gestellt, allerdings gibt das BayLDA an, dass viele „datenschutzrechtliche“ Strafverfahren zwar von der Staatsanwaltschaft nicht verfolgt wurden, aber mit der Bitte um Einleitung eines Ordnungswidrigkeitenverfahrens an das Landesamt zurück übermittelt wurden.

Über ein Drittel der Beschwerden betraf die Bereiche „Internet“, „Videoüberwachung“ und „IT-Sicherheit und Technik“. Bei den Beratungen verzeichnete das BayLDA einen Anstieg, sowohl bei der Beratung von Bürgern als auch von Unternehmen.

Nicht wenige Prüfungen mussten erzwungen werden

Auch 2013 und 2014 hat das Landesamt anlasslose Prüfungen zur stichprobenartigen Kontrolle bei Unternehmen durchgeführt. Laut dem Tätigkeitsbericht musste das BayLDA in „einer nicht zu vernachlässigenden Anzahl von Fällen“ mit der Androhung von Zwangsgeld und der Einleitung von Bußgeldverfahren auf die Unternehmen einwirken, damit diese dem Auskunftsersuchen der Behörde nachkamen. Viele Prüfungen werden mittlerweile weitestgehend automatisiert eingeleitet.

Viele „Klassiker“ unter den Beanstandungen

Das BAyLDA führte, teils umfangreiche, schriftliche Prüfungen durch, die sich u.a. auf folgende Themen konzentrierten: Erlaubnis-Rechtsvorschriften des Unternehmens bzw. der Stelle zur Verarbeitung personenbezogener Daten, Datenschutzbeauftragter sowie dessen Position und konkrete Tätigkeiten, ADV-Verträge und Richtlinien zur privaten Nutzung von E-Mail, Internet und anderen Online-Diensten am Arbeitsplatz. Bei diesen Überprüfungen kam öfter heraus, dass die Bestellung des Datenschutzbeauftragten (z.B. aufgrund von Interessenkonflikten wegen unzulässiger Personalunion), das fehlende schriftliche Konzept der Videoüberwachung und fehlende Richtlinien zur privaten Nutzung von E-Mail und Internet am Arbeitsplatz zu beanstanden waren.

Aufgrund der positiven Erfahrungen will das BayLDA auch in Zukunft solche schriftlichen Prüfungen durchführen, an die sich ggf. Prüfungen vor Ort anschließen.

Seit 2013 auch „fokussierte Vor-Ort-Prüfungen“

Im Jahr 2013 wurden außerdem erstmalig sog. „fokussierte Vor-Ort-Prüfungen“ durchgeführt. Diese beinhalten einen Fragenkatalog, der zuerst verschickt und anschließend immer vor Ort überprüft wird. Dabei werden u.a. die Passwortrichtlinien, rechtskonforme Datenvernichtung, Videoüberwachung und die Auftragsdatenverarbeitung überprüft.

Risiko eines Bußgeldes beim Einsatz von Facebook „Custom Audiences“

„Custom Audiences“ ist ein Tracking-Tool zur personalisierten Werbung, bei dem vom Werbetreibenden Daten der Zielgruppe an Facebook gegeben werden. Facebook gibt an, dass die Verarbeitung dieser Daten anonym geschieht. Laut dem BayLDA ist die von Facebook eingesetzte Technik zur Anonymisierung aber unzureichend. Teilweise könnten über 90 % der Datensätze zurückgerechnet und so der Personenbezug hergestellt werden.

Das BayLDA weist deshalb darauf hin, dass der Einsatz von „Custom Audience“ ordnungswidrig ist, wenn keine Einwilligung des Betroffenen vorliegt. Unternehmen riskieren in diesem Fall ein Bußgeldverfahren.

Wann und wie ein Arbeitgeber Telefondaten der Mitarbeiter erfassen und einsehen darf

Ein Arbeitgeber darf Telefondaten seiner Mitarbeiter erfassen und kontrollieren, aber nur unter bestimmten Voraussetzungen:

Bei den in Frage kommenden Telefonen muss es sich um Dienstgeräte handeln, auf denen eine private Nutzung ausdrücklich verboten ist. In diesem Fall gilt der Arbeitgeber nicht als Telekommunikationsanbieter i.S.d. Telekommunikationsgesetzes. Folglich kommt nicht der erhöhte Schutz des Fernmeldegeheimnisses zum Tragen. Um die Kontrolle des Verbots privater Nutzung nachzukommen, darf der Arbeitgeber in diesem Fall die Telefondaten einsehen (z.B. Zeitpunkt und Dauer der Telefonate, Nummern der Gesprächspartner).

Unbedingt zu beachten sind aber folgende Anforderungen: der Arbeitgeber muss der Telefongesellschaft schriftlich bestätigen, dass er die betroffenen Mitarbeiter informiert hat und zukünftige Mitarbeiter informieren wird, der Betriebsrat beteiligt ist oder seine Beteiligung nicht erforderlich war (§ 99 Abs.1 S. 3 TKG).

Das BayLDA betrachtet aber eine vollständige Erfassung der Telefonnummer als problematisch und erachtet die Speicherung der Vorwahl mit der um einige Ziffern gekürzten Nummer als ausreichend. Unternehmen sollten daher diese Methode wählen.

Der gesamte Tätigkeitsbericht ist unter diesem Link abrufbar: http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht2014.pdf