Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

wir hoffen, dass Sie gut in das neue Jahr gestartet sind! Das vergangene Jahr hat – nicht nur aufgrund der DSGVO – zahlreiche Veränderungen und Neuigkeiten im Datenschutzrecht mit sich gebracht. Die wichtigsten Themen des letzten Jahres, die für das neue Jahr weiterhin Bedeutung haben werden, fassen wir in diesem Newsletter noch einmal für Sie zusammen.

Natürlich werden Sie auch in diesem Jahr an jedem ersten Dienstag im Monat unseren Datenschutz-Newsletter erhalten, in dem wir über neue Entwicklungen und Ereignisse informieren, die Themen aus den Bereichen Datenschutz und Datensicherheit betreffen. Wir gehen mit unserem Newsletter, der sich wachsender Beliebtheit erfreut, mittlerweile in das fünfte Jahr und es gibt weiterhin ausreichend Themen, auf die sich zumindest ein kurzer Blick lohnt.

Das Schwerpunktthema in dieser Ausgabe befasst sich mit der datenschutzrechtlichen Zulässigkeit der Erstellung von Ausweiskopien. Anlass für das Schwerpunktthema war eine Vielzahl von Mandantenanfragen, die wir zu diesem Thema im vergangenen Jahr erhalten haben.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback.

Dr. Sebastian Meyer und das Datenschutzteam von den BRANDI Rechtsanwälten.

Thema des Monats: Anfertigung von Ausweiskopien

In der Vergangenheit waren die gesetzlichen Vorgaben im Hinblick auf die Anfertigung von Ausweiskopien in Deutschland sehr restriktiv. Nach Einführung der elektronisch lesbaren Personalausweise wurden die entsprechenden Regelungen so interpretiert, dass ein Auslesen der Ausweisdaten nur noch über die entsprechende Schnittstelle zulässig sei. Danach wäre die klassische Anfertigung von Ausweiskopien oder das Einscannen des Ausweises bis auf wenige Ausnahmen unzulässig gewesen. Die gesetzlichen Vorgaben und deren Interpretation haben zu erheblichen Unsicherheiten geführt, so dass sich der Gesetzgeber zu einer Korrektur veranlasst gesehen hat.

Seit dem 15.07.2017 dürfen Personalausweise und Reisepässe gemäß § 20 Abs. 2 Personalausweisgesetz (PAuswG) bzw. § 18 Abs. 3 Passgesetz (PassG) grundsätzlich gescannt, fotografiert oder kopiert werden. Die Ablichtung muss aber als Kopie erkennbar sein und es ist erforderlich, dass der Pass- bzw. Ausweisinhaber in die Ablichtung eingewilligt hat.

Aus der Tatsache, dass die gesetzlichen Regelungen jetzt die Erstellung von Ablichtungen zulassen, kann aber nicht automatisch von einer datenschutzrechtlichen Zulässigkeit der weiteren Verarbeitung der erhobenen Daten ausgegangen werden. Für die weitere Verarbeitung ist nach den allgemeinen Grundsätzen weiterhin erforderlich, dass eine datenschutzrechtliche Ermächtigungsgrundlage einschlägig ist, beispielsweise die Einwilligung der Betroffenen in die weitere Verarbeitung oder eines überwiegenden Interesses der verarbeitenden Stelle.

Zusätzlich müssen auch die weiteren allgemeinen Grundsätze der Datenverarbeitung eingehalten werden, wie etwa der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO. Danach dürfen nur solche personenbezogenen Daten erhoben werden, die zur Erreichung des verfolgten (Verarbeitungs-) Zwecks angemessen, erheblich sowie auf das notwendige Maß beschränkt sind. Soll beispielsweise die Identifizierung einer Person dokumentiert werden, ist die Erstellung einer Ausweiskopie regelmäßig nicht erforderlich. Anstelle der Ausweiskopie, die zahlreiche nicht benötigte Details wie z. B. das Foto und die Ausweisnummer umfasst, können die erforderlichen Angaben auch schriftlich festgehalten werden. Alternativ kann eine Kopie erstellt werden, auf der die überflüssigen Angaben geschwärzt sind.

In Einzelfällen kann allerdings die Anfertigung einer vollständigen Ausweiskopie gesetzlich gefordert sein. Eine entsprechende Pflicht zur Anfertigung von Ausweiskopien ergibt sich etwa aus dem Geldwäschegesetz (GwG).

Zum vollständigen Schwerpunktthema

Jahresrückblick 2018 / Ausblick 2019

Aus unserer Sicht gibt es drei Themenbereiche, über die wir bereits im vergangenen Jahr berichtet haben und die weiterhin aktuell sind. Das größte Thema ist natürlich die Anwendung der neuen Regelungen zur DSGVO seit dem 25. Mai 2018. Das harmonisierte Datenschutzrecht der DSGVO hat alle Unternehmen vor Herausforderungen gestellt und auch jetzt, mehr ein halbes Jahr nach dem Stichtag für die Umstellung, sind noch nicht alle offenen Fragen geklärt. Alle Unternehmen sollten auch weiterhin die aktuellen Entwicklungen der Auslegung und die kommenden Gerichtsentscheidungen zur DSGVO im Auge behalten.

Datenschutz-Grundverordnung

Am 25. Mai 2018 wurde das Datenschutzrecht europaweit vereinheitlicht. Gemeinsam mit der DSGVO trat auch ein neues Bundesdatenschutzgesetz (BDSG) in Kraft. Zu Ihrer Unterstützung haben wir in den vergangenen anderthalb Jahren in unseren Schwerpunktthemen über zahlreiche Aspekte der Anwendung der neuen Datenschutzvorschriften berichtet:


Selbstverständlich werden wir auch im Rahmen der kommenden Ausgaben unseres Newsletters wichtige Erkenntnisse und Neuigkeiten zur DSGVO behandeln.

Aktivitäten der Aufsichtsbehörden

Die Aufsichtsbehörden in Deutschland haben im vergangenen Jahr zahlreiche Materialien zur Verfügung gestellt, die Unternehmen bei der Umsetzung der Anforderung der DSGVO unterstützen können. Die Datenschutzaufsichtsbehörde in Schleswig-Holstein („ULD“) hat beispielsweise eine Reihe von Informationsdokumenten zugänglich gemacht, in denen Praxistipps zur Erfüllung der Anforderungen der DSGVO gegeben werden. Die Aufsichtsbehörde aus Baden-Württemberg hat eine exemplarische Datenschutzfolgenabschätzung für die Twitter-Nutzung durch Behörden  veröffentlicht, an der sich Unternehmen hinsichtlich der Erstellung eigener Datenschutzfolgenabschätzungen orientieren können.

Die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzaufsichtsbehörden des Bundes und der Länder, hat ebenfalls eine Reihe von Informationsmaterialien erarbeitet. Diese können auf der neuen Homepage der DSK heruntergeladen werden.

Neben ihren Beratungsleistungen haben die Aufsichtsbehörden im vergangenen Jahr auch diverse Prüfverfahren durchgeführt. Die Aufsichtsbehörde in Niedersachsen hatte im Rahmen einer branchenübergreifenden Querschnittsprüfung  50 Unternehmen unterschiedlichster Größe zur Umsetzung der Anforderungen der DSGVO befragt. Ein erstes deutsches Bußgeld unter der DSGVO in Höhe von 20.000 Euro hat der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg gegen das Social-Media-Portal „Knuddels.de“  verhängt. Kurz zuvor hatte die Datenschutz-Aufsichtsbehörde in Portugal ein Bußgeld in Höhe von 400.000 Euro gegen ein Krankenhaus ausgesprochen, das über ein unzureichendes Zugriffsberechtigungskonzept verfügte.

Die Aufsichtsbehörden werden Unternehmen im kommenden Jahr weiter beraten und auch weitergehend überprüfen. Dies gilt umso mehr, wenn die Behörden weiterhin aktiv neue Mitarbeiter einstellen.

Datenschutzvorfälle

Im vergangenen Jahr verging kaum ein Monat, in dem nicht ein Fall des unberechtigten Umgangs mit personenbezogenen Daten bekannt wurde. Im Vergleich zu den Vorjahren hat die Zahl entsprechender Meldungen spürbar zugenommen. Wir haben wie gewohnt über ausgewählte Vorfälle berichtet:

In den letzten Tagen wurde schließlich in den Medien darüber berichtet, dass über einen gekaperten Twitter-Account schon im Dezember private Daten von verschiedenen Politikern und anderen Personen des öffentlichen Lebens veröffentlicht wurden. Die Daten stammen vermutlich aus verschiedenen Quellen, über die genaue Herkunft und die Motivation für die Veröffentlichung wird aktuell noch spekuliert.

Die aufgetretenen Datenschutzvorfälle hatten verschiedenste Ursachen. Wie in den Jahren zuvor spielten Angriffe böswilliger Dritter eine große Rolle. Es zeigte sich, dass auch vermeintlich gut geschützte Systeme von Hackerangriffen betroffen sein können. Daneben tritt auch weiterhin menschliches Versagen als eine mögliche Ursache für Datenschutzvorfälle auf. Allen Unternehmen ist deswegen zu empfehlen, zur eigenen Absicherung Vorbereitungen für entsprechende Ernstfälle zu treffen, in denen die Daten trotz aller Sicherheitsvorkehrungen abhandenkommen.

Das Treffen von entsprechenden Vorkehrungen ist nicht zuletzt auch wegen der kurzen Meldefrist bei Datenschutzvorfällen von nur 72 Stunden zu raten.