Aktuelles, Experten - geschrieben von am Freitag, Mai 22, 2020 21:41 - noch keine Kommentare

Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO

Zunehmendes Datenschutz-Bewusstsein in Wirtschaft, Verwaltung und Gesellschaft

[datensicherheit.de, 22.05.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht mit seiner aktuellen Stellungnahme auf ein Jubiläum ein: Im Kontext der nunmehr seit zwei Jahren endgültig in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) sind demnach Bußgelder in Gesamthöhe von rund 155.000 Euro verhängt worden. Die DSGVO war zum 25. Mai 2018 endgültig wirksam geworden, nachdem sie bereits 2016 in Kraft getreten war und die zweijährige Übergangszeit endete.

Kugelmann: Es bleibt noch viel zu tun

Zwei Jahre nach Wirksamwerden der DSGVO sieht der LfDI RLP, Professor Dieter Kugelmann, ein „wachsendes Bewusstsein für den Datenschutz“: Nach der intensiven Debatte vor zwei Jahren erfolge die Umsetzung mittlerweile zunehmend routiniert und in den allermeisten Fällen rechtskonform.

Prof. Kugelmann: „Das Bewusstsein für den Datenschutz durchdringt immer mehr Wirtschaft, Verwaltung und Gesellschaft. Es ist viel passiert, aber es bleibt noch viel zu tun. Unsere Aufgabe ist es, hier Triebfeder und zugleich Kontrollinstanz zu sein.“

Trotz „Corona-Pandemie“ kein Rabatt für den Datenschutz

Auch während der derzeitigen „Corona-Pandemie“ dürfe es für den Datenschutz keinen Rabatt geben, betont der der LfDI RLP: Gerade Gesundheits-Informationen seien sehr sensible Daten. „So lange die Maßnahmen der staatlichen Stellen, der Arbeitgeber und der Unternehmen verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Wege.“

Auch in dieser ungewöhnlichen Zeit, in der manche Grundrechte beschränkt seien, könne die DS-GVO angewandt werden und gleichzeitig der Gesundheitsschutz der Bürger im Vordergrund stehen, so Prof. Kugelmann.

Bei Verstößen Sanktionen wie Bußgelder und Verwarnungen möglich

Mit der DSGVO habe die unabhängige Datenschutzbehörde weitreichende Befugnisse erhalten: Bei Verstößen seien Sanktionen wie Bußgelder und Verwarnungen möglich. Der LfDI RLP hat nach eigenen Angaben seit Mai 2018 in neun Fällen Bußgelder in einer Gesamthöhe von rund 155.000 Euro verhängt. Die höchste Geldbuße in Höhe von 105.000 Euro sei „gegen die Mainzer Universitätsklinik wegen Defiziten beim Patientenmanagement“ ergangen.

Gegen ein Erotik-Etablissement in Mainz sei „eine Geldbuße in Höhe von 35.000 Euro verfügt“ worden. Gegen ein Unternehmen, das gegen seine Beschäftigten umfassend und rechtswidrig Video-Überwachung eingesetzt habe, „wurden 12.000 Euro verhängt“. Vor dem endgültigen Wirksamwerden der DSGVO seien gerichtliche Verfahren gegen den LfDI RLP sehr selten gewesen. Seit 2018 hätten Unternehmen oder staatliche Stellen gegen dessen Sanktionen in 30 Fällen Rechtsmittel eingelegt.

Seit 2018 hat der Umfang der Prüffälle stark zugenommen

Seit dem endgültigen Wirksamwerden der DSGVO habe die Zahl der Datenpannen-Meldungen zugenommen: 2018 sind beim LfDI nach eigenen Angaben „105 Meldungen von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) eingegangen“, 2019 seien es bereits 319 gewesen.

In den ersten Monaten 2020 seien 200 registriert worden. Aufgabe der Datenschutzbehörde sei es unter anderem, den Datenpannen auf den Grund zu gehen und zu prüfen, welche Versäumnisse vorlagen. Für den LfDI habe seit 2018 der Umfang der Prüffälle stark zugenommen.

Informationsbedarf der Bürger bezüglich ihrer Datenschutzrechte weiterhin hoch

Der LfDI habe staatliche Stellen, Behörden und Unternehmen durch Informationsveranstaltungen und durch die Bereitstellung von Informationsmaterial eng bei der Umstellung im Zuge der DSGVO begleitet. Anfangs sei der Beratungsbedarf in Bezug auf den Gesamtdatenschutz gerade bei kleinen und mittleren Unternehmen (KMU) sowie Vereinen sehr groß gewesen.

Mittlerweile konzentrierten sich die Anfragen auf einzelne konkrete Rechtsfragen. Aktuelle Problemfelder seien nach wie vor die Einordnung bestimmter Dienstleistungen als Auftragsverarbeitung und die Abgrenzung zur gemeinsamen Verantwortlichkeit. Der Informationsbedarf der Bürger bezüglich ihrer Datenschutzrechte sei weiterhin hoch.

Neue Vorgaben bezüglich der Weitergabe von Meldedaten

Im Bereich des Beschäftigtendatenschutzes mehrten sich seit 2018 Beschwerden zu Auskunftsansprüchen gegenüber dem ehemaligen Arbeitgeber. Noch wenig in der Bevölkerung bekannt sei, dass mit der DSGVO neue Vorgaben bezüglich der Weitergabe von Meldedaten, etwa an Adressbuchverlage oder öffentlich-rechtliche Religionsgemeinschaften, etabliert seien.

Im Gegensatz zum Bundesmeldegesetz sehe die DSGVO vor, dass eine „eindeutige bestätigende Handlung“ des Bürgers erforderlich sei, damit eine Weitergabe erfolgen darf. Da in vielen Ämtern entsprechende Bestätigungen noch nicht eingeholt würden, beschwerten sich zahlreiche Bürger beim LfDI RLP.

Verantwortliche in den Kommunen agieren in der Regel kooperativ

Bezüglich des Datenschutz-Agierens von Kommunen habe der LfDI RLP 2019 mit einer umfangreichen Prüfphase von Kommunalverwaltungen begonnen. Es seien zwei Verbandsgemeindeverwaltungen untersucht worden, weitere zehn Prüfungen (hierunter auch Kreisverwaltungen) stünden an. Die Verantwortlichen in den Kommunen agierten in der Regel kooperativ.

Allerdings bestehen laut LfDI RLP „noch große Schwierigkeiten in der Umsetzung der DS-GVO in den Bereichen des technisch-organisatorischen Datenschutzes und der Datenschutz-Folgenabschätzung“. Ergebnisse der Prüfungen und daraus gezogene Schlüsse werde der „Datenschutzbericht 2020“ enthalten.

Umfangreiches und praxisnahes „Rund-um-sorglos-Paket“

Den Schulen und Kindertagesstätten im Land sei der Übergang mit gemeinsam mit dem Bildungsministerium erstellten Informationen, Mustertexten und Handreichungen erleichtert worden. In kaum einem anderen Bundesland sei ein so umfangreiches und praxisnahes „Rund-um-sorglos-Paket“ von Seiten einer Datenschutz-Aufsichtsbehörde geschnürt worden. Zudem sei der Beratungsbedarf von Bildungseinrichtungen deutlich angestiegen: Zu nahezu jeder am Markt erhältlichen Software gingen Anfragen ein, ob gegen die Anschaffung Bedenken bestünden.

Einmal habe der LfDI RLP eine Anordnung zur Löschung von Videoaufnahmen treffen müssen: „Eine Kita hatte ohne die erforderliche Einwilligung der Eltern Fotos und Videoaufnahmen für die Bildungs- und Lerndokumentation der Kinder gemacht.“

Initiative „Mit Sicherheit gut behandelt“

Im Rahmen der Initiative „Mit Sicherheit gut behandelt“ habe der LfDI RLP zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer und der Landespsychotherapeutenkammer die Ärzte und Psychotherapeuten umfassend und in unterschiedlichen Formaten zu den aus der DSGVO resultierenden Vorgaben informiert:

Hervorzuheben seien dabei neben vier Fortbildungsveranstaltungen in Trier, Neustadt/W., Mainz und Koblenz insbesondere die auf der Website der Initiative bereitgestellten Informationen einschließlich konkreter Muster für den Einsatz im Praxisbetrieb.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Der Landesbeauftragte

Mit Sicherheit gut behandelt.
Wir sorgen für die Sicherheit der Gesundheitsdaten / Whitepaper „Datenschutz und Informationssicherheit in der Telematikinfrastruktur“

datensicherheit.de, 22.05.2020
Zwei Jahre EU-DSGVO

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung