Anfang Juli hat Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, ihren Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Wir haben uns den Bericht angeschaut und möchten gerne einige der vielen interessanten Themen mit Ihnen in diesem und folgenden Newslettern teilen. Wir haben die Themen so gewählt, dass sie für alle unsere Leser interessant sind und nicht nur für Unternehmen in NRW.
Was sofort positiv auffällt: Der Bericht ist sehr gut geschrieben – und auch für nicht-Juristen gut verständlich. An der ein oder anderen Stelle blitzt Humor durch. Großes Kompliment an die Autorinnen und Autoren!
Daten und Fakten:
Im Jahr 2023 gab es ca. 11.050 schriftliche Eingaben an die Behörde. Darin enthalten: 6.298 Beschwerden. Im Vorjahr waren es 6.136 Beschwerden – Tendenz also steigend. Das deckt sich auch mit unserer Wahrnehmung, dass die Anzahl an Beschwerden zunimmt. Und dieses Mittel mitunter auch dazu genutzt wird, z.B. einem ehemaligen Arbeitgeber das Leben schwer zu machen. Da ist es gut, als Unternehmen datenschutzrechtlich gut aufgestellt zu sein, um keinen Anlass für eine Beschwerde zu geben oder im Falle einer Beschwerde nachweisen zu können, dass man ein gutes Datenschutz-Managementsystem lebt.
2.039 der 11.050 Meldungen sind Meldungen von Datenpannen. Hier zeigt sich eine steigende Tendenz: Im Jahr 2020 waren es noch 1.775 Meldungen. Ein Zeichen dafür, dass die Anzahl der Datenpannen steigt? Wir glauben eher, dass das Bewusstsein dafür gestiegen ist, was denn eine Datenpanne überhaupt ist und was dann zu tun ist. So ärgerlich eine Datenpanne ist: Schlimmer als eine Datenpanne ist, eine meldepflichtige Datenpanne nicht zu melden. Wir erleben die Zusammenarbeit mit den Behörden als professionell und hilfreich und haben es selten erlebt, dass Unternehmen eine Verwarnung erhalten hat oder gar ein Bußgeld auf Grund einer Datenpanne zahlen musste. Eher schon, wenn eine Datenpanne verspätet oder gar nicht gemeldet wurde.
In Bezug auf Bußgeldverfahren ist die NRW-Behörde eher moderat: Im Jahr 2023 wurden 111 Bußgeldverfahren eingeleitet, das höchste Bußgeld, das im Jahr 2023 in NRW verhängt wurde, betrug 64.650 Euro.
Neue Organisationsstruktur bei der LDi NRW
Im letzten Jahr hat Frau Gayk ihre Behörde neu aufgestellt und das Personal um ca. 20 Stellen aufgestockt. So gibt es ein neues Referat zum Thema Online- und Mediendienste – ein zukünftiger Arbeitsschwerpunkt? Rasant genug sind die technischen Entwicklungen, die auch datenschutzrechtliche Aspekte haben, in diesem Bereich auf jeden Fall.
Von den zahlreichen Themen aus dem Bericht werden wir die Folgenden aufgreifen und in den kommenden Wochen in unserem Newsletter darüber näher berichten:
- Oft eine Herausforderung: Das Auskunftsersuchen eines Betroffenen. Hierzu gab es weitreichende Entscheidungen des Europäischen Gerichtshofes. Um Klarheit zu schaffen, hat die europäische Behörde EDSA einen Leitfaden herausgegeben.
- Der Dauerbrenner Microsoft 365: Die Behörde ist weiterhin der Auffassung, dass die Verwendung von MS 365 datenschutzrechtlich problematisch ist. Gibt aber auch Hinweise, wie diese Probleme minimiert werden können.
- Mittlerweile fast der Standard: sogenannte Pur-Abo-Modelle im Internet. Das ist das Modell, bei dem Sie beim Besuch einer Seite entscheiden müssen, ob Sie mit Ihren Daten für die Nutzung der Seite „zahlen“ – also Ihr Verhalten analysiert wird. Oder Sie ein kostenpflichtiges Abo abschließen und der Betreiber der Webseite garantiert, dass Ihr Verhalten nicht getrackt wird. Auch hier gilt es einiges zu beachten.
- KI und Datenschutz: Chat GPT und Co. haben in vielen Unternehmen schon Einzug gehalten. Eins ist sicher: KI wird in Zukunft nicht mehr wegzudenken sein. Was sagt der Datenschutz dazu?
- Private E-Mails und Telefonate am Arbeitsplatz: Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörde davon aus, dass für Arbeitgeber nun nicht mehr das Fernmeldegeheimnis gilt, wenn sie die private Nutzung von Internet und E-Mail erlauben oder dulden. Was heißt das aber für die Praxis?
- Ein Thema für Ihre Personalabteilung: Was ist beim Einholen des Elternnachweises für die Pflegeversicherung datenschutzrechtlich zu beachten?
- Datenübermittlung in die USA: der Angemessenheitsbeschluss für das EU-U.S Data Privacy Framework. Der Beschluss macht im Alltag einiges einfacher. Haben Sie aber auch daran gedacht, ggf. Ihre Datenschutzerklärung anzupassen?
- Das Hinweisgeberschutzgesetz feiert seinen ersten Geburtstag. Wir fassen zusammen, was es aus Sicht des Datenschutzes zu berücksichtigen gilt.
- Leitfaden Cyberangriff: Was tun bei einem Cyberangriff? Die Behörde hat hierzu einen Leitfaden veröffentlich, den wir Ihnen vorstellen werden.
Eine Fülle an spannenden und praxisrelevanten Themen, über die wir in den kommenden Wochen berichten werden. Eins der Themen interessiert Sie besonders? Geben Sie uns eine Rückmeldung und wir setzen das Thema gerne nach oben auf die Liste.