LfDI-Newsletter Nr. 4 - 2018

Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,

auch die Sommerpause wird dazu genutzt, Sie über die Neuigkeiten und spannende Themen aus den Bereichen des Datenschutzes und der Informationsfreiheit zu informieren.

Zwei Monate der Wirksamkeit der Datenschutz-Grundverordnung liegen hinter uns und damit zwei Monate Erfahrung mit deren Umsetzung in der Praxis. In diesem Zusammenhang wird das Internetangebot des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) weiterhin kontinuierlichen Aktualisierungen unterzogen. Aus diesen können Sie hier Einblick in einen sog. Katalog häufig gestellter Fragen, sog. "Frequently Asked Questions" (FAQs), zu der Thematik der Videoüberwachung in Nachbarschaftsverhältnissen, aber auch zum Datenschutz in Vereinen und in Schulen erlangen. Auch der Komplex der Datenübermittlungen in Drittländer und andere Themen des Internationalen Datenverkehrs wurden im Internetangebot mit dem eigenen Themenfeld Internationales ausführlich beleuchtet.

Einen weiteren Schwerpunkt dieses Newsletters bilden zudem unterschiedliche Beiträge zum Thema Medien. Neben einem Beitrag zu dem aus datenschutzrechtlicher Sicht herbeigesehnten Urteil des Europäischen Gerichtshofs (EuGH) zur Thematik der datenschutzrechtlichen Verantwortung für Fanpages in sozialen Netzwerken, werden Sie außerdem über die datenschutzrechtlich zulässige Nutzung des Messengerdienstes WhatsApp, über den richtigen Umgang mit Datenschutzerklärungen auf Webseiten sowie über das Verhältnis des Telemediengesetzes zur Datenschutz-Grundverordnung informiert.

Ich wünsche Ihnen ein spannendes und ertragreiches Lesevergnügen.

Ihr Prof. Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. Die Zeit der Verantwortungslosigkeit ist vorbei – Datenschutzrechtliche Verantwortung für Fanpages

II. Der Wechsel von der Art. 29-Gruppe zum Europäischen Datenschutzausschuss

III. Verhältnis Datenschutz-Grundverordnung zum Telemedien-Gesetz

IV. Videoüberwachung Haus und Grund – Frequently Asked Questions

V. Datenschutzkonferenz verabschiedet gemeinsame Muss-Liste zur Datenschutz-Folgenabschätzung für den nicht-öffentlichen Bereich

VI. Hinweise zu Datenschutzerklärungen auf Webseiten

VII. Datenschutz im Bildungsbereich

VIII. Datenschutzaufsicht im Bereich der Finanzverwaltung

IX. Informationsveranstaltung zum Landestransparenzgesetz in Simmern

X. Hinweise zu Whatsapp

XI. Datenübermittlungen in Drittländer

XII. OVG Rheinland-Pfalz bestätigt Transparenzpflicht für Gutachten des Wissenschaftlichen Dienstes des Landtags.

XIII. Veranstaltungsankündigung: "Datenschutz-Grundverordnung und Justiz" am 25. September 2018 im Landesmuseum Mainz

XIV. Veranstaltungsankündigung: "125 Tage DS-GVO – Beispiele aus der täglichen Praxis" am 26. September 2018 in Mainz

DSK

Die Zeit der Verantwortungslosigkeit ist vorbei – Datenschutzrechtliche Verantwortung für Fanpages

Fanpages sind Internet-Angebote, die Unternehmen, Privatpersonen aber auch öffentliche Stellen bei Facebook einrichten können. Mit seiner Entscheidung vom 5. Juni 2018 hat der Europäische Gerichtshof (EuGH) klargestellt, dass hinsichtlich des Betriebs von Facebook-Fanpages eine gemeinsame datenschutzrechtliche Verantwortung des Anbieters Facebook und des Fanpage-Betreibers besteht.

Hintergrund des Verfahrens war eine Anordnung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, das aufsichtsbehördliche Maßnahmen gegen den Betreiber einer Fanpage – die Wirtschaftsakademie Schleswig-Holstein – ergriffen und im November 2011 angeordnet hatte, die Fanpage zu deaktivieren. Der EuGH führt in seinem Urteil aus, dass die Wirtschaftsakademie ebenso wie das amerikanische Unternehmen Facebook mit seiner irischen Tochtergesellschaft als in der Europäischen Union gemeinsam Verantwortliche für die erfolgte Datenverarbeitung anzusehen sind. Die Betreiber der Fanpages sind durch die Wahl der Facebook-Plattform mitverantwortlich, auch wenn sie keine direkte Einflussmöglichkeit auf die dortige Verarbeitung haben. Der EuGH sieht in der Einrichtung, Gestaltung und Konfiguration durch den Fanpage-Betreiber dessen Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Seite.

Der rheinland-pfälzische LfDI, Prof. Dr. Dieter Kugelmann sieht sich in seiner Linie bestätigt: "Zusammen mit meinen Kolleginnen und Kollegen aus Bund und Ländern weise ich seit Jahren darauf hin, dass die Nutzung von Fanpages eine Vielzahl sensibler Daten generiert, die von Facebook unter intransparenten, datenschutzwidrigen Bedingungen verarbeitet werden. Der Wunsch nach einer Optimierung der Öffentlichkeitsarbeit kann jedoch keine Datenschutzverstöße rechtfertigen. Durch die gestrige Entscheidung des EuGH sehen sich die Datenschutzbeauftragten in dieser Auffassung bestätigt: Es darf durch die Nutzung sozialer Medien keine datenschutzrechtlichen Verantwortungslücken geben. Das Urteil des EuGH fügt sich nahtlos in die neue Rechtslage seit Wirksamwerden der Datenschutz-Grundverordnung ein, die einen weiten Begriff der Verantwortlichkeit prägt."

Der LfDI wird das Urteil des EuGH zum Anlass nehmen, seinen bestehenden Handlungsrahmen für die Nutzung sozialer Medien zu konkretisieren sowie die Verantwortlichen auf die Notwendigkeit der Anpassung ihrer Fanpages hinzuweisen und dies zu überprüfen.

Weitere Informationen:
Entschließung der Datenschutzkonferenz vom 6. Juni 2018 "Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern"

Datenschutz-Grundverordnung/Europäischer Datenschutzausschuss

Der Wechsel von der Art. 29-Gruppe zum Europäischen Datenschutzausschuss

Bereits nach der Datenschutz-Richtlinie 95/46/EG (DSRL) wurde gem. Art. 29 DSRL eine sog. Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten etabliert. Diese hatte unter Geltung der Datenschutz-Richtlinie die Aufgabe, die einheitliche Anwendung der unionsrechtlichen Datenschutzregeln zu gewährleisten. Die Gruppe wurde passend zu dem zu ihr geschaffenen Artikel "Art. 29-Gruppe" genannt.

Mit Geltung der Datenschutz-Grundverordnung (DS-GVO) hat der nach Art. 68 DS-GVO gebildete Europäische Datenschutzausschuss (EDSA) die bisherige Artikel 29-Gruppe abgelöst. Dieser ist eine unabhängige europäische Einrichtung mit der Aufgabe, die einheitliche Anwendung der europäischen Datenschutzregelungen innerhalb der Europäischen Union (EU) sicherzustellen und die Zusammenarbeit zwischen den EU-Datenschutzbehörden zu fördern. Hierzu weist die Datenschutz-Grundverordnung dem Europäischen Datenschutzausschuss eine Reihe von Aufgaben und Befugnissen zu, z.B. Stellungnahmen und Beschlüsse im Rahmen der Kohärenzverfahren nach Art. 63 ff. DS-GVO und die Herausgabe von Leitlinien zur Unterstützung einer einheitlichen Auslegung der Datenschutz-Grundverordnung und der EU-Datenschutz-Richtlinie für den Bereich Justiz und Inneres.

Der Europäische Datenschutzausschuss hat seinen Sitz in Brüssel und besteht aus Vertreterinnen und Vertretern der nationalen Datenschutzaufsichtsbehörden und dem Europäischen Datenschutzbeauftragten (EDSB). Die Europäische Kommission ist berechtigt, an den Aktivitäten und Sitzungen des Ausschusses teilzunehmen, hat jedoch kein Stimmrecht.

Gemeinsame Vertreterin für die deutschen Datenschutzbehörden im Europäischen Datenschutzausschuss ist der oder die Bundesbeauftragte für den Datenschutz (BfDI). Sie wird von einem Stellvertreter bzw. einer Stellvertreterin begleitet, den bzw. die der Bundesrat aus dem Kreise der Leiter und Leiterinnen der Aufsichtsbehörden der Länder wählt. In Angelegenheiten, für die die Länder das alleinige Recht zur Gesetzgebung haben oder die die Einrichtung oder das Verfahren von Landesbehörden betreffen, überträgt ihm bzw. ihr die BfDI auf Verlangen das Stimmrecht im Europäischen Datenschutzausschuss.

Der Europäische Datenschutzausschuss verfügt über Unterarbeitsgruppen, die themenbezogen die Stellungnahmen und Entscheidungen des Ausschusses vorbereiten. Diese werden Expertgroups genannt.

In seiner konstituierenden Sitzung am 25. Mai 2018 hat der Ausschuss von der bisherigen Art. 29-Gruppe zur Datenschutz-Grundverordnung erlassene Leitlinienübernommen.

Datenschutz-Grundverordnung/Medien

Verhältnis Datenschutz-Grundverordnung zum Telemediengesetz

Mit Blick auf die besonderen Regelungserfordernisse im Bereich der Online-Dienste war ursprünglich vorgesehen, dass die sogenannte ePrivacy-Verordnung gemeinsam mit dem Wirksamwerden der Datenschutz-Grundverordnung in Kraft treten sollte. Die ePrivacy-Verordnung sollte die Datenschutz-Grundverordnung im Hinblick auf die elektronische Kommunikation präzisieren und ergänzen (Verordnung über Privatsphäre und elektronische Kommunikation v. 10. Januar 2017, COM/2017/010 2017/03 (COD)). Das Gesetzgebungsverfahren zur ePrivacy-Verordnung verzögert sich jedoch erheblich, so dass voraussichtlich nicht mehr mit einem Inkrafttreten im Jahr 2018 zu rechnen ist.

In der Praxis betrifft dies insbesondere die Verarbeitung von Nutzungsdaten bei der Inanspruchnahme von Informations- und Kommunikationsdienste wie Webseiten, Online-Shops, Blogs usw. und die Frage, inwieweit dabei der Einsatz von Tracking-Mechanismen an eine Einwilligung der Nutzer gebunden ist.

Für den Bereich solcher Telemedien, enthält das Telemediengesetz (TMG) datenschutzspezifische Vorschriften. Der Gesetzgeber hat das Telemediengesetz bislang nicht an die Datenschutz-Grundverordnung angepasst, so dass sich mit deren Wirksamkeit die Frage ergibt, ob die datenschutzrechtlichen Regelungen des Telemediengesetzes weiterhin anwendbar sind.

Die 95. Konferenz der unabhängigen Datenschutzaufsichtsbehörden hat hierzu ein Positionspapier veröffentlicht. Darin kommt sie zum Ergebnis, dass die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden können.

Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Art. 6 Abs. 1, insbesondere lit. a, lit. b und lit. f DS-GVO in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Art. 5 Abs. 1 DS-GVO, sowie die besonderen Vorgaben z. B. aus Art. 25 Abs. 2 DS-GVO einzuhalten. Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Abs. 1 lit. b oder lit. f DS-GVO gestützt werden.

Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Art. 6 Abs.1 lit. f DS-GVO geprüft werden.

Einer vorherigen Einwilligung bedarf es beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen sowie bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. Datenschutz-Grundverordnung in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. bevor z.B. Cookies platziert werden oder auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Videoüberwachung/FAQ

Videoüberwachung Haus und Grund – Frequently Asked Questions

Videoüberwachung im Nachbarschaftskontext führt mitunter häufig zu Beschwerden, Streitigkeiten und im schlimmsten Fall gerichtlichen Verfahren. Auch wenn die Beobachtung des angrenzenden Nachbargrundstücks oder des öffentlichen Verkehrsraums häufig nicht gewollt ist, so fühlen sich mögliche betroffene Personen allein vom Vorhandensein einer Kamera in der Nähe ihres privaten Umfeldes gestört. Es ist für diese oft nicht ohne weiteres ersichtlich, welche Bereiche von der Kamera erfasst werden.

Da Fragen im Zusammenhang mit Videoüberwachung durch Privatpersonen einen großen Anteil an der täglichen Arbeit des LfDI haben, soll die folgende Fragen-Antwort-Zusammenstellung dazu beitragen, auf diesem Gebiet etwas mehr Klarheit für Verantwortliche und betroffene Personen zu schaffen. Der LfDI stößt hier aufgrund der Vielzahl der eingehenden Beratungsanfragen und Beschwerden oft an seine Grenzen.

Die Fragen und Antworten finden Sie hier.

Datenschutz-Grundverordnung

Datenschutzkonferenz verabschiedet gemeinsame Muss-Liste zur Datenschutz-Folgenabschätzung für den nicht-öffentlichen Bereich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat auf einer Sonderkonferenz am 6. Juni 2018 eine gemeinsame Muss-Liste zur Datenschutz-Folgenabschätzung für den nicht-öffentlichen Bereich nach Art. 35 Abs. 4 DS-GVO verabschiedet. Letztendlich soll die Muss-Liste zur Entscheidungsfindung beitragen, in dem eine Hilfestellung zur Eingruppierung eigener Verarbeitungen (Datenschutz-Folgenabschätzung erforderlich: ja oder nein?) bereitgestellt wird. Das Ziel der Liste ist die Erzeugung von Transparenz, die sowohl der betroffenen Person als auch dem Verantwortlichen zu Gute kommt. Gegenwärtig arbeiten die Datenschutzaufsichtsbehörden an der Vereinheitlichung der unterschiedlichen Muss-Listen für den öffentlichen Bereich sowie an einem gemeinsamen Verfahren zur Weiterführung der verabschiedeten Liste.

Sobald die Liste im europäischen Kohärenzverfahren veröffentlicht worden ist, wird sie in dem Internetangebot des LfDI veröffentlicht.

Datenschutz-Grundverordnung/Medien

Hinweise zu Datenschutzerklärungen auf Webseiten

Den LfDI erreicht derzeit eine große Anzahl an Anfragen von Webseitenbetreibern bezüglich der Anforderungen an die Datenschutzerklärungen in ihren Angeboten nach der Datenschutz-Grundverordnung.

Datenschutzerklärungen sind eine der wichtigsten Datenschutzpflichten, die sowohl private als auch öffentliche Webseitenbetreiber umsetzen sollten. Sie dienen der Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten beim Besuch der Webseite. Damit erfüllen die Seitenbetreiber einerseits ihre Informationspflichten gemäß Art. 12 und 13 DS-GVO, andererseits legen sie die Grundlage für informierte Einwilligungen in die Verarbeitung personenbezogener Daten gemäß Art. 7 DS-GVO, sofern die Daten der Besucherinnen und Besucher verarbeitet werden.

Jede Datenschutzerklärung muss auf die konkreten Verarbeitungsschritte und Umstände der Verarbeitung der jeweiligen Webseite hin spezifiziert werden. Es existieren aber Formulierungshilfen und Bausteine, die den Webseitenbetreibern dabei helfen sollen, alle Anforderungen zu erfüllen und Datenschutz-Grundverordnungs-konforme Datenschutzerklärungen für das eigene Angebot zu generieren.

Im Internetangebot des LfDI finden sich weitere Informationen und Verweise auf empfohlene Formulierungshilfen.

Datenschutz und Bildung

Datenschutz im Bildungsbereich

Die Datenschutz-Grundverordnung weist den Aufsichtsbehörden in Art. 57 Abs. 1 lit. b DS-GVO die Aufgabe zu, Kinder über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung von Daten durch spezifische Maßnahmen zu sensibilisieren. Der LfDI hat daher sein bisheriges Beratungsangebot für Kinder und Jugendliche nochmals erweitert.

Bereits seit 2010 führen Referenten des LfDI in rheinland-pfälzischen Schulen kostenlose Workshops zur digitalen Bildung durch. Im letzten Jahr kam die Zielgruppe der Eltern und Großeltern von Schülern durch Seminare in Familienbildungsstätten hinzu.

Nun wurde ein neues und erweitertes Konzept für den Bereich der Grundschulen entwickelt, welches die Referenten Bildungsmaßnahmen zukünftig mit mehr zeitlicher Ressource und Themenspektren durchführen lässt.

Denn Youtube und Smartphones sind als Aspekte der kindlichen Lebenswelt inzwischen bis in die Grundschulwelt vorgedrungen. Angesichts dieser rasanten technischen Veränderungen muss Datenschutz auch Gegenstand einer digitalen Grundbildung sein. Das beinhaltet die kindgerechte Sensibilisierung für die Risiken, die hiermit verbunden sind, sowie die Vermittlung von Möglichkeiten, sich im Netz selbst helfen zu können oder Hilfe zu finden.

Das medienpädagogische Konzept hierzu umfasst ein Handbuch, Arbeitsblätter, PowerPoint Präsentationen, Spiele, Filmvorschläge und Methoden zur aktiven Arbeit im Computerraum. Es ist auf vier Schulstunden in den Klassen 3 und 4 konzipiert. Alle Materialien sind unter der Lizenz CC By LfDI-RLP 4.0 frei kopier- und veränderbar sowie digital verfügbar.

Um Bildungseinrichtungen, insbesondere Schulen und Kitas die Umstellung auf die Datenschutz-Grundverordnung zu erleichtern, hat der LfDI zudem verschiedene Muster und Orientierungshilfen zur Verfügung gestellt. Diese finden sich unter:

Themenfeld Umsetzung der Datenschutz-Grundverordnung in den Schulen

FAQ für Erzieherinnen und Erzieher

Datenschutz-Grundverordnung/Finanzen

Datenschutzaufsicht im Bereich der Finanzverwaltung

Mit Wirksamwerden der Datenschutz-Grundverordnung ergeben sich Änderungen bei der Datenschutzaufsicht im Bereich der Finanzverwaltung. So wird für die Verarbeitung personenbezogener Daten im Anwendungsbereich der novellierten Abgabenordnung (AO) die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die zuständige datenschutzrechtliche Aufsichtsbehörde über die Finanzbehörden sein (§ 32 Absatz 1 AO-neu). Kommunale Steuerämter werden auch zukünftig vom LfDI datenschutzrechtlich beaufsichtigt. Nur für den Bereich der Realsteuern (Grund- und Gewerbesteuern) wird zukünftig die BfDI die zuständige Datenschutzaufsichtsbehörde für die kommunalen Steuerämter sein, soweit das Besteuerungsverfahren auf der Grundlage der novellierten Abgabenordnung erfolgt.

Informationsfreiheit

Informationsveranstaltung zum Landestransparenzgesetz in Simmern

Der LfDI lud zusammen mit dem Bündnis Energiewende für Mensch und Natur am 15. Juni 2018 interessierte Bürgerinnen und Bürger in Simmern zu einem Informationsabend zu dem Landestransparenzgesetz ein. Das Bündnis Energiewende für Mensch und Natur setzt sich kritisch mit der Energiewende, insbesondere mit dem Ausbau der Windkraft, auseinander. Die zahlreichen Teilnehmerinnen und Teilnehmer der Veranstaltung hatten ein großes Interesse an dem Umfang und den Grenzen der Verwaltungstransparenz nach dem Landestransparenzgesetz, insbesondere im Bereich der Umweltinformationen. Ausgehend von einem Vortrag zu dieser Thematik entwickelte sich eine rege Diskussion über die bisher gesammelten Erfahrungen der Anwesenden mit Informationsanfragen bei öffentlichen Stellen.

Medien/Verbraucherschutz

Hinweise zu WhatsApp

Ca. 70% aller deutschen Bürgerinnen und Bürger nutzen WhatsApp. Der Facebook Dienst ist damit der meistgenutzte Messengerdienst in Deutschland. Bei der seinerzeitigen Übernahme von WhatsApp durch Facebook hatte der Konzern zugesichert, dass WhatsApp auch künftig selbstständig bleibe und kein Datenaustausch zwischen den beiden Unternehmen stattfinde. Im Rahmen einer Änderung der Nutzungsbedingungen ist nunmehr jedoch vorgesehen, dass WhatsApp Daten seiner Nutzer mit anderen Facebook-Unternehmen teilt. In diesem Zusammenhang hat die EU-Kommission Facebook mit einer Strafzahlung von mehr als 100 Mio. Euro belegt.

Neben der Frage des Datenaustauschs war eine WhatsApp-Nutzung insbesondere hinsichtlich dreier Aspekte problematisch:
a)    der Tatsache, dass WhatsApp als Anbieter außerhalb des Geltungsbereichs europäischer Datenschutzvorschriften fungiert;
b)    der Vertraulichkeit der Kommunikation sowie
c)    der regelmäßigen Übertragung von Kontaktdaten aus dem Adressbuch des Smartphones.

Nach dem Angemessenheitsbeschluss der Europäischen Kommission ist bei einer Datenverarbeitung durch Unternehmen, die sich den Regelungen des EU-US Datenschutz-Abkommens ("EU-US Privacy Shield") unterwerfen, ein angemessenes Datenschutz-Niveau gewährleistet. WhatsApp ist dem Abkommen im Januar 2018 beigetreten, so dass, auch wenn das Privacy Shield aus Sicht der Datenschutzaufsichtsbehörden und des Europäischen Parlaments mit gravierenden Mängeln behaftet ist, formal ein angemessenes Datenschutzniveau gegeben ist.

Seit April 2016 hat WhatsApp eine Ende-Zu-Ende-Verschlüsselung implementiert, die eine vertrauliche Kommunikation gewährleistet und verhindert, dass WhatsApp oder Dritte auf Chat-Inhalte zugreifen können. Diese entspricht dem Stand der Technik, so dass, solange keine Schwachstellen der Implementierung oder anderweitige Zugriffsmöglichkeiten Dritter bekannt werden, von einer ausreichenden Vertraulichkeit der Kommunikation auszugehen ist.

Unabhängig von den Kommunikationsinhalten hat WhatsApp jedoch weiterhin Zugriff auf die Metadaten der Kommunikation (Absender, Empfänger, Zeitpunkt, Größe etc.). Weitere, aus Sicht des LfDI problematische Punkte sind die unverschlüsselte Speicherung von WhatsApp-Daten im Rahmen von Cloud-Backups, die unverschlüsselte Speicherung der Daten auf dem jeweiligen Endgerät sowie die Speicherung von Chat-Anhängen (Fotos, Videos) in der jeweiligen Smartphone Mediathek. Letzteres insbesondere deshalb, da im Rahmen der erteilten Berechtigungen gegebenenfalls andere Apps Zugriff erhalten.

Den größten Kritikpunkt stellt jedoch weiterhin die regelmäßige Übertragung der Telefonnummern aus dem Adressbuch des Nutzers an WhatsApp da, da diese automatisch und ohne Differenzierung nach dem Status der Telefonbucheinträge erfolgt.

Betroffen sind damit nicht nur die Telefonnummern von WhatsApp-Nutzern sondern auch diejenigen der sonstigen Kontakte, d.h. von Personen, die mit WhatsApp in keinerlei Verbindung stehen. WhatsApp verlagert die Verantwortung hierfür auf die Nutzer, indem diese mit der Anerkennung der Nutzungsbedingung bestätigen, zur Weitergabe der Daten autorisiert zu sein. Die dabei unterstellte Abstimmung eines Nutzers mit den in seinem Adressbuch genannten Personen über deren Einverständnis in die Weitergabe ihrer Daten an WhatsApp bzw. die Löschung der Kontakte, die ihre Einwilligung hierzu nicht erteilen, dürfte nach Einschätzung des LfDI in der Praxis nicht erfolgen. Damit würden in den allermeisten Fällen Daten ohne Kenntnis und Zustimmung betroffener Personen an WhatsApp übermittelt. Deswegen ist eine rechtskonforme WhatsApp-Nutzung nur möglich, wenn sichergestellt ist, dass eine entsprechende Datenübermittlung nicht erfolgt bzw. alle betroffenen Personen eine wirksame Einwilligung erteilt haben. Ersterem kann dadurch entsprochen werden, dass für entsprechende WhatsApp-Szenarien dienstliche/geschäftliche Mobiltelefone zum Einsatz kommen, die eine Vermischung privater und dienstlicher/geschäftlicher Kontakte vermeiden und deren Adressbücher ausschließlich Telefonnummern der WhatsApp-Kontakte enthalten bzw. allein die Telefonnummer des jeweiligen Diensteanbieters.

Als problematisch erweist sich in diesem Zusammenhang zumeist die Nutzung privater Mobiltelefone für dienstliche/geschäftliche Zwecke, da es hierbei zu einer Vermischung privater mit dienstlichen/geschäftlichen Daten kommt. Weiterhin hat der Arbeitgeber nur bedingt Einflussmöglichkeiten auf die Konfiguration der privaten Geräte und deren Nutzung.

Fazit:

WhatsApp als Messenger-Dienst ist nicht a priori datenschutzwidrig, aktuelle Probleme resultieren weniger aus der Gestaltung des Dienstes, sondern aus dessen Einsatzbedingungen in der Praxis. Unabhängig von weiter bestehenden Bedenken hinsichtlich des Privacy Shields ist ein datenschutzkonformer WhatsApp-Einsatz unter bestimmten Voraussetzungen möglich. Hierzu zählen
-    der Einsatz aktueller Software-Versionen, um eine Verschlüsselung der Kommunikationsinhalte zu gewährleisten
-    der Einsatz dienstlicher/geschäftlicher Mobiltelefone; eine Nutzung privater Endgeräte kommt nur ausnahmsweise und verbunden mit tragfähigen Container-Lösungen in Betracht
-    die Nutzung eines „one-record-Adressbuchs“ mit ausschließlich der Telefonnummer des Diensteanbieters, eines Telefonbuchs mit ausschließlich WhatsApp-Kontakten oder eine Sperre des Adressbuchzugriffs durch WhatsApp
-    die Deaktivierung von Cloud-Backups
-    die Sicherstellung, Chat-Anhänge nicht in der Mediathek des Mobiltelefons gespeichert werden bzw. Dritt-Applikationen keine Zugriff darauf haben
-    eine ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung)

Internationales

Datenübermittlung in Drittländer

Das Datenschutzverständnis in Ländern außerhalb der Europäischen Union unterscheidet sich von dem in der Europäischen Union erheblich. Für die Übertragung personenbezogener Daten in Drittländer gelten daher besondere Anforderungen, die von Verantwortlichen und Auftragsverarbeitern zu beachten sind. Das heißt, dass sie neben den für alle Datenverarbeitungsvorgänge geltenden Vorschriften der Kapitel I bis IV darüber hinaus gemäß Kapitel V geeignete Garantien für den Schutz personenbezogener Daten im jeweiligen Land vorsehen müssen, es sei denn, die EU-Kommission hat bereits das Bestehen eines angemessenen Schutzniveaus in dem bestimmten Drittland festgestellt, wie etwa für die Schweiz, Neuseeland, Argentinien, Uruguay, in den Vereinigten Staaten von Amerika für Privacy Shield-zertifizierte US-Unternehmen und für sieben weitere Staaten.

Die Möglichkeiten zur Verankerung geeigneter Garantien, wie z.B. mithilfe von Standarddatenschutzklauseln, verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) oder Verhaltensregeln (Codes of Conduct), bleiben mit der Datenschutz-Grundverordnung (DS-GVO) im Wesentlichen erhalten. Vor dem 25. Mai 2018 erteilte Genehmigungen bleiben gemäß Art. 46 Abs. 5 DS-GVO zunächst gültig, müssen aber von den Verantwortlichen bzw. Auftragsverarbeitern im Rahmen der turnusgemäßen Überprüfung inhaltlich an das neue Datenschutzrecht angepasst werden. Bei wesentlichen Änderungen ist eine erneute Genehmigung durch die zuständige Aufsichtsbehörde erforderlich.

Die EU-Kommission passt ihre noch auf der Datenschutz-Richtlinie aus dem Jahr 1995 basierenden Standarddatenschutzklauseln ebenfalls an.
Mithilfe des Kurzpapiers Nr. 4 "Datenübermittlung in Drittländer" erhalten Sie einen Überblick über die verschiedenen Möglichkeiten des datenschutzkonformen Datentransfers in Drittländer.

Weiterführende Informationen stellt der LfDI auf seiner Internetseite in dem neuen Themenfeld "Internationales" zur Verfügung.

Informationsfreiheit

OVG Rheinland-Pfalz bestätigt Transparenzpflicht für Gutachten des Wissenschaftlichen Dienstes des Landtags

Das Oberverwaltungsgericht Rheinland-Pfalz hat eine Entscheidung des Verwaltungsgerichts Mainz zur Transparenzpflicht für Gutachten des Wissenschaftlichen Dienstes des Landtags bestätigt. Demnach unterfallen Gutachten, die im Auftrag von Landtagsfraktionen durch den Wissenschaftlichen Dienst des Landtags Rheinland-Pfalz erstellt werden, grundsätzlich der Transparenzpflicht nach dem Landestransparenzgesetz. Das Landestransparenzgesetz gelte nach der Auffassung des OVG für den rheinland-pfälzischen Landtag nur, soweit er Aufgaben der öffentlichen Verwaltung wahrnehme. Das Verwaltungsgericht habe zu Recht die Gutachtenerstellung im Auftrag von Landtagsfraktionen durch den Wissenschaftlichen Dienst des Landtags nicht als parlamentarische Angelegenheit, sondern als transparenzpflichtige Aufgabe der öffentlichen Verwaltung qualifiziert.

"Der Beschluss des OVG ist ein Erfolg für die Offenheit und Transparenz staatlichen Handelns", so der LfDI Rheinland-Pfalz, Prof. Dr. Kugelmann.

Veranstaltungen

Veranstaltungsankündigung: "Datenschutz-Grundverordnung und Justiz" am 25. September 2018 im Landesmuseum Mainz

Am 25. September 2018 führt der LfDI mit und für die Justiz eine Veranstaltung zu dem Thema "Datenschutz-Grundverordnung und Justiz" durch. Unter Teilnahme des Staatssekretärs Fernis und des LfDI Prof. Dr. Kugelmann werden Expertinnen und Experten über die Auswirkungen des neuen Datenschutzrechts auf die Organisation und Rechtsprechung diskutieren.

Die Veranstaltung wird um 15 Uhr beginnen und im Plenarsaal des Landesmuseums in Mainz stattfinden. Weitere Informationen zur Veranstaltung und zur Anmeldung folgen zeitnah.

Veranstaltungen

Veranstaltungsankündigung: "125 Tage DS-GVO – Beispiele aus der täglichen Praxis" am 26. September 2018 in Mainz

In einer Kooperationsveranstaltung des LfDI, der SCHOTT AG, Boehringer Ingelheim Deutschland sowie der Birkenstock GmbH & Co. KG wird das Thema "125 Tage DS-GVO – Beispiele aus der täglichen Praxis" in den Fokus gerückt. Dabei werden Expertinnen und Experten berichten und unter Einbindung des Publikums eine Diskussion durchführen.

Termin: 26. September 2018, 14:00 – 18:00 Uhr

Veranstaltungsort: SCHOTT AG, Erich-Schott-Centrum, Hattenbergstrasse 10, 55122 Mainz

Anmeldungen zu der Veranstaltung sind bis zum 10. September 2018 über die SCHOTT AG unter info.datenschutz(at)schott.com möglich.

Newsletterarchiv

Die bisherigen Newsletter des LfDI finden Sie hier.