Datenschutzrecht ist in großen Teilen ein europäisches Thema. Dennoch gibt es zahlreiche nationale Gesetze und in Deutschland hat jedes Bundesland zusätzlich sein eigenes Landesdatenschutzgesetz, welches in erster Linie für Verwaltungen und Behörden gilt. Für Nordrhein-Westfalen ist es das Datenschutzgesetz Nordrhein-Westfalen. Dieses regelt auch die Aufsicht durch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI). Die LDI veröffentlicht jedes Jahr einen Tätigkeitsbericht, welcher die Aktivitäten des vergangenen Berichtsjahres dokumentiert und auch für lokale Unternehmen, als datenverarbeitende Stellen, interessant ist. Es kann dadurch ein Einblick in den Fokus und die Maßnahmen der Aufsichtsbehörde gewonnen werden.
Am 29.06.2022 wurde durch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Bettina Gayk, der 27. Tätigkeitsbericht vorgestellt. Dieser gilt für das Jahr 2021. Wir wollen uns in diesem Beitrag ausgewählten Hinweisen des Berichts widmen und dabei Wissenswertes für Unternehmen aus NRW herausstellen.
Die LDI hat sich mit verschiedenen Themen auseinandergesetzt, sei es in der Beratung oder durch Einreichungen Betroffener. Auch bei der Überwachung wurde sich auf diverse Branchen fokussiert. Des Weiteren wurden Arbeits- und Orientierungshilfen veröffentlicht.
Erleben Sie Datenschutz neu. Wir unterstützen Sie im Rheinland als externer Datenschutzbeauftragter Köln bei der rechtssicheren Nutzung von Daten. Mit persönlichen Legal Consultants, unserer Software DataDesk und Mitarbeiterschulung über E-Learning haben Sie keinen DSGVO-Stress und Zeit für Ihre Projekte
TTDSG
Zum neuen TTDSG hat die Datenschutzkonferenz eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht, in welche auch die Ansichten aus Nordrhein-Westfalen eingeflossen sind. Es ist davon auszugehen, dass die Aufsichtsbehörden hier eine entsprechend geschlossene Sichtweise haben und diese auch gegenüber verantwortlichen Stellen vertreten werden. Der Schwerpunkt liegt in der Umsetzung der Cookie-Einwilligung in der Praxis. Die Orientierungshilfe legt die Vorgaben recht strikt aus, sodass Einwilligungsbuttons aussagekräftig sein müssen und beispielsweise auf der gleichen Ebene wie Ablehnen-Buttons liegen müssen. Videokonferenzdienste sind nunmehr wie Telekommunikationsdienste zu behandeln und sind entsprechend keine Auftragsverarbeiter mehr, sondern für die Datenverarbeitung Verantwortliche.
Prüfungen und Maßnahmen
Die LDI hat zwei Branchen im Rahmen ihrer Überwachungstätigkeiten mithilfe umfassender Fragebögen überprüft. Es handelte sich dabei um Polizeibehörden und Energieversorger. Dies geschah, nachdem im Vorjahr bereits Banken und Versicherungen geprüft wurden. Das Ziel ist, in jedem Jahr schrittweise mit weiteren Branchen fortzufahren, in denen die überprüften Stellen zufällig ausgewählt werden. In der Theorie könnte damit jedes Unternehmen, das in der fokussierten Branche tätig ist, einer anlasslosen Datenschutzkontrolle unterzogen werden. Die Fragebögen finden sich im Anhang des Tätigkeitsberichts und können als Orientierung für die Vorbereitung auf solche Kontrollen verwendet werden.
Als weitere Maßnahmen hat die LDI 57 Bußgeldbescheide erlassen, 41 Verwarnungen ausgesprochen und 68 Anweisungen erteilt. Das bezieht sich auf alle verantwortlichen Stellen in NRW in einem Jahr.
Ausgewählte Einzelthemen
Einwilligungen in E-Mail-Werbung
Bei der LDI gehen viele Beschwerden über Werbemails ein, bei denen sich Betroffene nicht an eine Einwilligung erinnern können. Die verantwortlichen Unternehmen konnten dann oft nicht in ausreichendem Umfang nachweisen, ob eine Einwilligung tatsächlich abgegeben wurde. Das verdeutlicht die Wichtigkeit, elektronische Einwilligungen im nachweissicheren Double-Opt-in-Verfahren einzuholen und dabei auch den Einwilligungstext zu dokumentieren, um die informierte Zustimmung belegen zu können.
Verwendung von BEM-Daten
Ein Bußgeldbescheid wurde erlassen, als ein Arbeitgeber Gesundheitsdaten aus dem betrieblichen Eingliederungsmanagement mehrerer Beschäftigter genutzt und an den Betriebsrat weitergeleitet hat. Das geschah zum Beispiel, um krankheitsbedingte Kündigungen vorzubereiten. BEM-Daten sind allerdings strikt von anderen Personalaktendaten zu trennen und dürfen für keine anderen Zwecke verwendet werden.
Abwesenheitsgründe in Dienstplänen
Fast schon ein Klassiker im Datenschutz sind personenbezogene Daten in öffentlichen Dienstplänen. Die LDI hatte es hier mit einem Fall zu tun, in dem alle Abwesenheitsgründe in öffentlich einsehbaren Dienstplänen zu finden waren – also auch Krankheit. Gerade diese Angabe ist als besonders sensible Information nicht zulässig. Für die Kolleg:innen genügt die Information „abwesend“.
Datenschutz-Zertifizierung
Viele Unternehmen arbeiten sehr datenschutzkonform. Da dies mitunter aufwändig sein kann und gegenüber weniger sorgfältigen Mitbewerbern in vielen Fällen einen Wettbewerbsvorteil darstellt, möchten diese Unternehmen möglicherweise ihren Datenschutzstandard zertifizieren lassen. Es gibt allerdings bis heute keine offiziell akkreditierte Datenschutzzertifizierung gemäß DSGVO. Die Datenschutzbehörden sind für die Akkreditierung unter anderem zuständig. In diesem Jahr sollen noch erste Zertifizierungen am Markt angeboten werden können.
Datenpannen bei Auftragsverarbeitern
Hat ein Auftragsverarbeiter eine Datenpanne und sind dadurch Daten der verantwortlichen Stellen betroffen, unterliegen diese (ebenfalls) der möglichen Meldepflicht. Die LDI hat hierzu mehrfach im Zusammenhang mit Datenpannen von Auftragsverarbeitern bei deren Auftraggebern nachgehakt, wenn von dort keine Meldung eingegangen ist, was ein DSGVO-Verstoß sein kann. Wenn Ihnen eine Datenpanne eines Auftragnehmers bekannt wird, prüfen Sie daher bestenfalls umgehend Ihre eigene Meldepflicht. Die LDI geht außerdem davon aus, dass unter bestimmten Umständen, bei vielen Auftraggebern auch eine Sammelmeldung durch eine zentrale Stelle (etwa den Auftragsverarbeiter) möglich ist.
Digitales Handelsregister
Auch unabhängig vom Tätigkeitsbericht gibt es erwähnenswerte Entwicklungen im Datenschutz mit Bezug zu NRW. Die LDI ist als Datenschutzaufsicht zuständig für das neue digitale Handelsregister. Diesbezüglich gab es bereits mehrere Beschwerden von betroffenen Unternehmer:innen, Geschäftsführer:innen etc., die darin mit vollem Namen und teils Wohnanschrift und Unterschrift nun von jeder Person ohne Hürden (i.S.v. Kosten) abrufbar sind. Die LDI stellt in Aussicht, hier noch Änderungen anzuregen.
Unterstützung für Unternehmen aus NRW
Der Tätigkeitsbericht 2021 der Aufsichtsbehörde NRW lenkt den Fokus auf ausgewählte Themen, mit denen sich die Behörde befasst hat. Für Unternehmen aus Nordrhein-Westfalen sind diese Informationen wertvoll, weil sie eine selbstkritische Reflexion über die eigenen Datenverarbeitungen und DSGVO-Prozesse ermöglichen.
Die Datenschutzkanzlei begleitet als externe Datenschutzbeauftragte Unternehmen aus dem Rheinland und unterstützt bei der Umsetzung von DSGVO-Vorgaben – sowohl durch den Aufbau eines strukturierten Datenschutz-Managements als auch bei den täglichen Datenschutzfragen und natürlich bei Verfahren der LDI. Unsere Berater:innen am Kölner Mediapark erreichen Sie per E-Mail an koeln@datenschutzkanzlei.de und telefonisch unter +49. 221. 669 66 29 0.
Philipp Lehmann ist Wirtschaftsjurist (LL.M) und Senior Legal Consultant bei der Datenschutzkanzlei am Standort Köln.