2 Jahre Datenschutz-Grundverordnung
© GregMontani / pixabay.com
Für staatliche Stellen, für Unternehmen, Vereine sowie Bürgerinnen und Bürger in Rheinland-Pfalz ist seit dem 25. Mai 2018 die Datenschutz-Grundverordnung (DS-GVO) verpflichtend gültig. Dabei handelt es sich um eine neue Grundlage des Datenschutzes in der Europäischen Union, die nationale Regelungen zu großen Teilen ersetzt. Die DS-GVO schafft einen einheitlichen datenschutzrechtlichen Rahmen für Europa. Unternehmen sind etwa zu umfangreicheren Information der Betroffenen und zu größerer Transparenz verpflichtet als zuvor. Das EU-Datenschutzrecht gilt seitdem nicht lediglich für in der EU niedergelassene Unternehmen, sondern auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind (Marktortprinzip). Die Verpflichtungen zu technischem und organisatorischem Datenschutz wurden fortentwickelt. Verantwortliche sind verpflichtet, Datenschutz-Folgenabschätzungen durchzuführen.
Die Aufsichtsbehörden haben überdies eine große Anzahl neuer Aufgaben zugewiesen bekommen und können viel höhere Bußgelder verhängen als zuvor. Für jedes Unternehmen ist eine Datenschutzbehörde federführend zuständig. Jede Bürgerin oder jeder Bürger kann sich seitdem mit Eingaben an seine Datenschutzbehörde wenden, die dann das Verfahren wenn nötig europäisch fortführt.
In der DS-GVO wird zudem an bewährten Prinzipien festgehalten: Wie zuvor ist für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich. Personenbezogene Daten müssen für eindeutig festgelegte Zwecke erhoben werden und dürfen nur soweit verarbeitet werden, wie dies mit diesen Zwecken vereinbar und für sie erforderlich ist. Die betroffenen Personen haben weiterhin ein Reihe von Rechten, mit denen sie Einfluss auf die Verarbeitung ihrer personenbezogenen Daten nehmen können, z.B. Auskunft über die Daten, Berichtigung und Löschung.
Viele Datenpannen werden gemeldet
Seit Wirksamwerden der DS-GVO hat die Zahl der Datenpannen-Meldungen in Rheinland-Pfalz zugenommen. 2018 sind beim LfDI 105 Meldungen von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DS-GVO) eingegangen, 2019 waren es bereits 319. In den ersten Monaten dieses Jahres sind 200 registriert worden. Aufgabe der Datenschutzbehörde ist es unter anderem, den Datenpannen auf den Grund zu gehen und zu prüfen, welche Versäumnisse vorlagen. Für den LfDI hat seit 2018 der Umfang der Prüffälle stark zugenommen.
Aufgrund von Verstößen gegen die DS-GVO hat der Landesbeauftragte seit Mai 2018 in 9 Fällen Bußgelder in einer Gesamthöhe von rund 155.000 Euro verhängt. Die höchste Geldbuße in Höhe von 105.000 Euro erging gegen die Mainzer Universitätsklinik wegen Defiziten beim Patientenmanagement. Gegen ein Erotik-Etablissement in Mainz wurde eine Geldbuße in Höhe von 35.000 Euro verfügt. Gegen ein Unternehmen, das gegen seine Beschäftigten umfassend und rechtswidrig Video-Überwachung einsetzte, wurden 12.000 Euro verhängt. Vor Wirksamwerden der DS-GVO waren gerichtliche Verfahren gegen den LfDI sehr selten. Seit 2018 legten Unternehmen oder staatliche Stellen gegen Sanktionen des LfDI in 30 Fällen Rechtsmittel ein.
Intensive Beratung durch den LfDI
Der LfDI hat in den vergangenen Jahren staatliche Stellen, Behörden und Unternehmen durch Informationsveranstaltungen und durch die Bereitstellung von Informationsmaterial eng bei der Umstellung im Zuge der DS-GVO begleitet. Anfangs war der Beratungsbedarf in Bezug auf den Gesamtdatenschutz gerade bei kleinen und mittleren Unternehmen sowie Vereinen sehr groß. Mittlerweile konzentrieren sich die Anfragen auf einzelne konkrete Rechtsfragen. Aktuelle Problemfelder sind nach wie vor die Einordnung bestimmter Dienstleistungen als Auftragsverarbeitung und die Abgrenzung zur gemeinsamen Verantwortlichkeit. Der Informationsbedarf der Bürgerinnen und Bürger bezüglich ihrer Datenschutzrechte ist weiterhin hoch.
Im Bereich des Beschäftigtendatenschutzes mehren sich seit 2018 Beschwerden zu Auskunftsansprüchen gegenüber dem ehemaligen Arbeitgeber. Noch wenig in der Bevölkerung bekannt ist, dass mit der DS-GVO neue Vorgaben bezüglich der Weitergabe von Meldedaten, etwa an Adressbuchverlage oder öffentlich-rechtliche Religionsgemeinschaften, etabliert sind. Im Gegensatz zum Bundesmeldegesetz sieht die DS-GVO vor, dass eine „eindeutige bestätigende Handlung“ des Bürgers oder der Bürgerin erforderlich ist, damit eine Weitergabe erfolgen darf. Da in vielen Ämtern entsprechende Bestätigungen noch nicht eingeholt werden, beschweren sich zahlreiche Bürgerinnen und Bürger beim LfDI.
Bezüglich des Datenschutz-Agierens von Kommunen hat der LfDI 2019 mit einer umfangreichen Prüfphase von Kommunalverwaltungen begonnen. Es wurden zwei Verbandsgemeindeverwaltungen untersucht, weitere zehn Prüfungen (hierunter auch Kreisverwaltungen) stehen an. Die Verantwortlichen in den Kommunen agieren in der Regel kooperativ. Allerdings bestehen noch große Schwierigkeiten in der Umsetzung der DS-GVO in den Bereichen des technisch-organisatorischen Datenschutzes und der Datenschutz-Folgenabschätzung. Ergebnisse der Prüfungen und daraus gezogene Schlüsse wird der Datenschutzbericht 2020 enthalten.
Rund-um-sorglos-Paket für Schulen und Kitas
Den Schulen und Kindertagesstätten im Land wurde der Übergang mit Informationen, Mustertexten und Handreichungen erleichtert, die gemeinsam mit dem Bildungsministerium erstellt wurden. In kaum einem anderen Bundesland wurde ein so umfangreiches und praxisnahes „Rund-um-sorglos-Paket“ von Seiten einer Datenschutz-Aufsichtsbehörde geschnürt. Zudem ist der Beratungsbedarf von Bildungseinrichtungen deutlich angestiegen: Zu nahezu jeder am Markt erhältlichen Software gehen Anfragen ein, ob gegen die Anschaffung Bedenken bestünden. Einmal musste der LfDI , eine Anordnung zur Löschung von Videoaufnahmen treffen: Eine Kita hatte ohne die erforderliche Einwilligung der Eltern Fotos und Videoaufnahmen für die Bildungs- und Lerndokumentation der Kinder gemacht.
Im Rahmen der Initiative „Mit Sicherheit gut behandelt“ informierte der LfDI zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer und der Landespsychotherapeutenkammer die Ärzte und Psychotherapeuten umfassend und in unterschiedlichen Formaten zu den aus der DS-GVO resultierenden Vorgaben. Hervorzuheben sind dabei neben den 4 Fortbildungsveranstaltungen in Trier, Neustadt/W., Mainz und Koblenz insbesondere die auf der Website der Initiative (www.mit-sicherheit-gut-behandelt.de) bereit gestellten Informationen einschließlich konkreter Muster für den Einsatz im Praxisbetrieb.
Fazit: Umsetzung der DS-GVO erfolgt meist routiniert
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Dieter Kugelmann, sagt: „Nach der intensiven Debatte zur Einführung der Datenschutz-Grundverordnung erfolgt die Umsetzung mittlerweile zunehmend routiniert und in den allermeisten Fällen rechtskonform. Das Bewusstsein für den Datenschutz durchdringt immer mehr Wirtschaft, Verwaltung und Gesellschaft. Es ist viel passiert, aber es bleibt noch viel zu tun. Unsere Aufgabe ist es, hier Triebfeder und zugleich Kontrollinstanz zu sein."