Druckfrisch zu berichten — die Landesbeauftragte für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland (UZD) hat dieser Tage den 28. Tätigkeitsbericht im Datenschutz für das Saarland vorgelegt (Landtagsdrucksache Saarland 16/1200). Darin wurde unter anderem auf konkrete, einzelfallbezogene Entwicklungen und Maßnahmen, erfolgte Vorträge, Verfahren und Beratungen sowie auf fachliche Aspekte der DSGVO-Vorgaben und ‑umsetzungen und Rechtsprechung detailliert eingegangen.
News in 2019
Im Jahr 2019 wurden zwei neue Stellen für Mitarbeiter im UDZ vom Landtag Saarland bewilligt, die erfolgreich besetzt wurden, allerdings sieht das UDZ hier quantitativen Optimierungsbedarf.
Die Website des UDZ wurde mit einem neuen CMS angebunden und hat ein neues Design bekommen mit Optimierung auf Barrierefreiheit, der Melde- und Kontaktformulare sowie für Mobilgeräte.
Vor dem Hintergrund der Notwendigkeit, wachsenden Anforderungen, rechtlichen Vorgaben und einer effektiven, angemessenen Abwehr von Cyber-Angriffen kosteneffizient nachzukommen, wurde in dem Bericht die Einführung eines ISMS erläutert und dabei insbesondere ISIS12 „als pragmatisches und leicht skalierbares Vorgehensmodell“, das auch gerade Kommunen eine gute Verbindung von den Vorgaben und realen Ressourcen ermögliche.
„Der gesamte Prozess von der Sensibilisierung der Mitarbeiter, Einschätzung der Gefährdungslage bis hin zur Abwehr von Angriffen kann durch ein ISMS wie ISIS12 gesteuert und überwacht werden.“
Nach der Implementierung und einem TOM-bezogenen Audit wurde das UDZ zum 09.10.2019 zertifiziert.
Beratungen und Öffentlichkeitsarbeit
Das UDZ hat im Berichtsjahr 50 Veranstaltungen zur Information und Sensibilisierung zum Datenschutz und der DSGVO ausgerichtet, bei denen es unter anderem schwerpunktmäßig um Auslegungsfragen der DSGVO ging. Insgesamt sieht man auch bei der Öffentlichkeit ein steigendes Interesse an Datenschutzthemen und ‑fragen.
In Bezug auf das im Dezember 2019 beschlossene Justizvollzugsdatenschutzgesetz, bei dessen Entwürfen das UZD beratend involviert war, stellt der Bericht fest, dass man sich eine umfassende Modernisierung des Datenschutzrechts auch in diesem Bereich gewünscht hätte.
Die UDZ nahm an Beratungsgesprächen mit der Enquêtekommission „Digitalisierung im Saarland“ teil und führte hier unter anderem die wichtige Rolle des Datenschutzes in der Entwicklung des E‑Government aus.
In Brüssel tauschte man sich bei der EU-Vertretung des Saarlandes über die innereuropäische Zusammenarbeit der Datenschutzbehörden aus. In den 154 Fällen nahm die Landesdatenschutzbehörde ihre Verfahrenszuständigkeit iSd. Art. 56 DSGVO in Bezug auf innereuropäische, länderübergreifende Verarbeitungen wahr. Die Behörde war an elf Rechtsetzungsvorhaben beteiligt.
Datenschutzverletzungen nach Art. 33 DSGVO
Dem Bericht zufolge wurden im vergangenen Jahr 286 Datenschutzverletzungen an die Landesdatenschutzbehörde gemeldet und elf amtliche Maßnahmen iSd. Art. 58 DSGVO zur Prävention von Datenpannen vorgenommen. Den Anstieg der Meldungen von Datenpannen wird auf höhere Kriterien durch die DSGVO, aber auch eine höhere Sensibilität für Datenschutzthemen gesehen.
Prüfungen
In seinem Bericht spricht das UZD von „mehreren Prüfungen“, die — meist anlassbezogen und oft im Kontext des Beschäftigtendatenschutzes — in 2019 in Einrichtungen sowohl angekündigt als auch unangekündigt durchgeführt wurden. Kriterium für die Frage der Vorabankündigung sei die Abwägung der Wahrscheinlichkeit eines Wegfalls des Prüfgegenstands durch Manipulation im Falle der Ankündigung. Im Vorfeld würden Prüfgegenstand und ‑ablauf klar definiert und im Regelfall zunächst die Vorlage von VVT, einer DSFA „oder zumindest [..] Risikobewertung“, der TOM, Dokumentationen zum Umgang mit Betroffenenrechten, Löschfristen und weitere Datenschutzkriterien vor Ort angefordert. Darauffolgend die Prüfung des konkreten Anlasses und Verfertigung einer Kurzzusammenfassung vor Ort, die zusammen mit dem Verantwortlichen erörtert wird.
Der eigentliche Prüfbericht wird der Einrichtung / dem Verantwortlichen zugestellt und dieser kann dazu Stellung nehmen. Gegebenenfalls erfolgen Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO und die Verhängung einer Geldbuße.
Das UZD führte nach der Einführung des Einsatzes von Body-Cams bei der Polizei Saarland Stichproben durch, bei denen es erhebliche Defizite bei der Einhaltung der Datenschutzvorgaben festgestellt hat.
Bei der Prüfung von BCR (Binding Corporate Rules) zur Datensicherheit innerhalb international agierdender Konzernstrukturen iSd. Art. 47 DSGVO war das UDZ in 2019 insgesamt zweimal beteiligt — bei 20 BCR-Verfahren europaweit.
Rechenschaftspflicht Großunternehmen
Ende 2018, Anfang 2019 wurden drei der größten Unternehmen des Saarlands um Rechenschaft ersucht hinsichtlich DSGVO Umsetzungsstand, VVT, Risikoabschätzungen und Prozesse und die datenschutzkonforme Verarbeitung von personenbezogener Daten im allgemeinen sowie im Detail.
Weitere Themen
Der Bericht enthält außerdem detaillierte Kapitel unter anderem zu Rechtsfragen, rechtlichen Auslegungen und Bewertungen sowie Rechtsanwendung der DSGVO, die interessante und wichtige Aspekte beleuchten:
- Informationspflichten
- Auskunftsrecht
- Abgrenzung der klassischen AV zur Gemeinsamen Verantwortlichkeit
- DSFA
- Zertifizierung und Akkreditierung
- Fashion ID
- Planet49
- Orientierungshilfe Telemedien der DSK
- ePrivacy-Verordnung
- Windows 10
- Datenschutzkonforme Nutzung von WhatsApp im Rahmen kommunaler Bürgerdienste
- Streaming von Ratssitzungen
- Nutzung von Geodaten
- Telearbeit bei der Polizei
- Lichtbildabgleich in Ordnungswidrigkeitenver- fahren
- Fotografieren an Schulen und Kindergärten
- Videoüberwachung
- Datenschutz im Verein
- Datenschutzrechtliche Bewertung telefonischer Werbeansprachen
- Einsicht in die Patientenakte
Den Bericht finden Sie im pdf Volltext auf der Website der Landesbeauftragten für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland — UZD.
Wenn Sie Fragen zu Themen oder Begriffen des Berichts haben, nutzen Sie hierfür gerne die Kommentarfunktion — Ihr Team von a.s.k. Datenschutz.