Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit 2019 vorgestellt

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.

Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.

Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.

Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.

Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.

Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!

Bei Betroffenenanfragen muss der jeweils Verantwortliche – also das Unternehmen – sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.

Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.

Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.

Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!

Florian S.
Justiziar | M.A.
Consultant für Datenschutz