Zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung sieht der Landesdatenschutzbeauftragte Dieter Kugelmann ein „wachsendes Bewusstsein für den Datenschutz“. „Nach der intensiven Debatte vor zwei Jahren erfolgt die Umsetzung mittlerweile zunehmend routiniert und in den allermeisten Fällen rechtskonform. Das Bewusstsein für den Datenschutz durchdringt immer mehr Wirtschaft, Verwaltung und Gesellschaft. Es ist viel passiert, aber es bleibt noch viel zu tun. Unsere Aufgabe ist es, hier Triebfeder und zugleich Kontrollinstanz zu sein“, sagt Professor Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI). Die Datenschutz-Grundverordnung (DS-GVO) ist zum 25. Mai 2018 wirksam geworden. Sie war 2016 in Kraft getreten, eine zweijährige Übergangszeit folgte.
Kugelmann betont: "Auch während der derzeitigen Corona-Pandemie darf es für den Datenschutz keinen Rabatt geben. Gerade Gesundheits-Informationen sind sehr sensible Daten. So lange die Maßnahmen der staatlichen Stellen, der Arbeitgeber und der Unternehmen verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Wege. Auch in dieser ungewöhnlichen Zeit, in der manche Grundrechte beschränkt sind, kann die Datenschutz-Grundverordnung angewandt werden und gleichzeitig der Gesundheitsschutz der Bürgerinnen und Bürger im Vordergrund stehen."
Mit der DS-GVO hat die unabhängige Datenschutzbehörde weitreichende Befugnisse erhalten. Bei Verstößen sind Sanktionen wie Bußgelder und Verwarnungen möglich. Der Landesbeauftragte hat seit Mai 2018 in 9 Fällen Bußgelder in einer Gesamthöhe von rund 155.000 Euro verhängt. Die höchste Geldbuße in Höhe von 105.000 Euro erging gegen die Mainzer Universitätsklinik wegen Defiziten beim Patientenmanagement. Gegen ein Erotik-Etablissement in Mainz wurde eine Geldbuße in Höhe von 35.000 Euro verfügt. Gegen ein Unternehmen, das gegen seine Beschäftigten umfassend und rechtswidrig Video-Überwachung einsetzte, wurden 12.000 Euro verhängt. Vor Wirksamwerden der DS-GVO waren gerichtliche Verfahren gegen den LfDI sehr selten. Seit 2018 legten Unternehmen oder staatliche Stellen gegen Sanktionen des LfDI in 30 Fällen Rechtsmittel ein.
Seit Wirksamwerden der DS-GVO hat die Zahl der Datenpannen-Meldungen zugenommen. 2018 sind beim LfDI 105 Meldungen von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DS-GVO) eingegangen, 2019 waren es bereits 319. In den ersten Monaten dieses Jahres sind 200 registriert worden. Aufgabe der Datenschutzbehörde ist es unter anderem, den Datenpannen auf den Grund zu gehen und zu prüfen, welche Versäumnisse vorlagen. Für den LfDI hat seit 2018 der Umfang der Prüffälle stark zugenommen.
Der LfDI hat staatliche Stellen, Behörden und Unternehmen durch Informationsveranstaltungen und durch die Bereitstellung von Informationsmaterial eng bei der Umstellung im Zuge der DS-GVO begleitet. Anfangs war der Beratungsbedarf in Bezug auf den Gesamtdatenschutz gerade bei kleinen und mittleren Unternehmen sowie Vereinen sehr groß. Mittlerweile konzentrieren sich die Anfragen auf einzelne konkrete Rechtsfragen. Aktuelle Problemfelder sind nach wie vor die Einordnung bestimmter Dienstleistungen als Auftragsverarbeitung und die Abgrenzung zur gemeinsamen Verantwortlichkeit. Der Informationsbedarf der Bürgerinnen und Bürger bezüglich ihrer Datenschutzrechte ist weiterhin hoch.
Im Bereich des Beschäftigtendatenschutzes mehren sich seit 2018 Beschwerden zu Auskunftsansprüchen gegenüber dem ehemaligen Arbeitgeber. Noch wenig in der Bevölkerung bekannt ist, dass mit der DS-GVO neue Vorgaben bezüglich der Weitergabe von Meldedaten, etwa an Adressbuchverlage oder öffentlich-rechtliche Religionsgemeinschaften, etabliert sind. Im Gegensatz zum Bundesmeldegesetz sieht die DS-GVO vor, dass eine „eindeutige bestätigende Handlung“ des Bürgers oder der Bürgerin erforderlich ist, damit eine Weitergabe erfolgen darf. Da in vielen Ämtern entsprechende Bestätigungen noch nicht eingeholt werden, beschweren sich zahlreiche Bürgerinnen und Bürger beim LfDI.
Bezüglich des Datenschutz-Agierens von Kommunen hat der LfDI 2019 mit einer umfangreichen Prüfphase von Kommunalverwaltungen begonnen. Es wurden zwei Verbandsgemeindeverwaltungen untersucht, weitere zehn Prüfungen (hierunter auch Kreisverwaltungen) stehen an. Die Verantwortlichen in den Kommunen agieren in der Regel kooperativ. Allerdings bestehen noch große Schwierigkeiten in der Umsetzung der DS-GVO in den Bereichen des technisch-organisatorischen Datenschutzes und der Datenschutz-Folgenabschätzung. Ergebnisse der Prüfungen und daraus gezogene Schlüsse wird der Datenschutzbericht 2020 enthalten.
Den Schulen und Kindertagesstätten im Land wurde der Übergang mit Informationen, Mustertexten und Handreichungen erleichtert, die gemeinsam mit dem Bildungsministerium erstellt wurden. In kaum einem anderen Bundesland wurde ein so umfangreiches und praxisnahes „Rund-um-sorglos-Paket“ von Seiten einer Datenschutz-Aufsichtsbehörde geschnürt. Zudem ist der Beratungsbedarf von Bildungseinrichtungen deutlich angestiegen: Zu nahezu jeder am Markt erhältlichen Software gehen Anfragen ein, ob gegen die Anschaffung Bedenken bestünden. Einmal musste der LfDI , eine Anordnung zur Löschung von Videoaufnahmen treffen: Eine Kita hatte ohne die erforderliche Einwilligung der Eltern Fotos und Videoaufnahmen für die Bildungs- und Lerndokumentation der Kinder gemacht.
Im Rahmen der Initiative „Mit Sicherheit gut behandelt“ informierte der LfDI zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer und der Landespsychotherapeutenkammer die Ärzte und Psychotherapeuten umfassend und in unterschiedlichen Formaten zu den aus der DS-GVO resultierenden Vorgaben. Hervorzuheben sind dabei neben den 4 Fortbildungsveranstaltungen in Trier, Neustadt/W., Mainz und Koblenz insbesondere die auf der Website der Initiative (www.mit-sicherheit-gut-behandelt.de) bereit gestellten Informationen einschließlich konkreter Muster für den Einsatz im Praxisbetrieb.