BfDI legt Berichte vor

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­filing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Darknet Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Bre­x­it, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Datenpannen in Transparenz

Hat­ten Sie 2020 in Ihrer Orga­ni­sa­ti­on eine Daten­pan­ne? Wenn Sie direkt Nein sagen, gehö­ren Sie ent­we­der zu den episch sel­te­nen Fäl­len, in denen der Fak­tor Mensch sowie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu 100% dis­zi­pli­niert sind oder es gibt bei der inter­nen /​ exter­nen Kom­mu­ni­ka­ti­on ein­fach noch Opti­mie­rungs­be­darf bei der Iden­ti­fi­ka­ti­on und Bewer­tung von Daten­pan­nen nach Art. 33 und 34 DSGVO. 

Ver­mei­den und kom­mu­ni­zie­ren 

Es ist bereits die hal­be Mie­te, Daten­pan­nen prä­ven­tiv — u.a. durch star­ke IT-Sicher­heit, die rich­ti­ge Soft­ware­im­ple­men­tie­rung und kla­re Richt­li­ni­en — auf einen Bruch­teil zu redu­zie­ren. Und zusätz­lich sein Per­so­nal auf einem Sen­si­bi­li­täts­ni­veau zu haben, dass es Ver­stö­ße gegen Daten­schutz /​ Infor­ma­ti­ons­si­cher­heit sowie ent­spre­chen­de Ver­dachts­fäl­le angst­frei und pro­ak­tiv intern mit­teilt und einer sach­ge­mä­ßen Doku­men­ta­ti­on zuführt, ist die Königs­klas­se des geleb­ten Datenschutzes. 

Mel­dun­gen von Daten­pan­nen 

Seit dem Wirk­sam­wer­den der DSGVO wird ein erheb­li­cher Anstieg der Mel­dun­gen von Daten­pan­nen ver­zeich­net. Eine Mel­dung ist nach den Kri­te­ri­en des Art. 33 DSGVO gesetz­li­che Pflicht. Mehr als 40.000 Daten­pan­nen wur­den seit DSGVO-Ein­füh­rung euro­pa­weit (Bericht der EU-Kom­mis­si­on) und weit über 10.000 in Deutsch­land allein für 2019 gemel­det. Dabei sind die Gewich­tun­gen in den Bun­des­län­dern sehr unter­schied­lich. Wäh­rend das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) „einen gro­ßen Anteil“ sei­ner täg­li­chen Arbeit in der Bear­bei­tung von Daten­schutz­ver­let­zun­gen mit 4.111 gemel­de­ten Daten­pan­nen in 2019 sieht, wird den 349 in 2019 dem Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz in Schles­wig-Hol­stein gemel­de­ten Daten­pan­nen ver­ständ­li­cher­wei­se reser­viert begegnet. 

Dun­kel­zif­fer von Daten­pan­nen 

Eine höhe­re Trans­pa­renz durch mehr Mel­dun­gen und, ins­be­son­de­re im EU-Ver­gleich, hohes Pflicht­be­wusst­sein sind sehr gute Ten­den­zen. Aller­dings müss­ten es rea­lis­tisch betrach­tet noch wesent­lich mehr Mel­dun­gen sein. In Deutsch­land sind mehr als 3 Mil­lio­nen Unter­neh­men ange­mel­det, hin­zu kom­men die staat­li­chen Ein­rich­tun­gen und ande­re Stel­len, die aus der DSGVO her­aus zur Mel­dung von Daten­pan­nen nach Art. 33 DSGVO ver­pflich­tet sind. 

Auf­sichts­be­hör­den 

Mel­dun­gen von Daten­pan­nen müs­sen durch­aus nicht mit Nach­fra­gen, Vor­ort­kon­trol­len oder Buß­gel­dern ver­bun­den sein. Viel­mehr kommt es den Auf­sichts­be­hör­den auch kon­kret inhalt­lich auf Erkennt­nis­se an, in wel­chen Berei­chen nach­ge­steu­ert wer­den muss. Im Ver­gleich zu auf­ge­flo­ge­nen Daten­schutz­ver­stö­ßen wird das akti­ve Mel­den honoriert. 

Nicht nur Unter­neh­men, son­dern auch öffent­li­che Ein­rich­tun­gen wur­den von den Daten­schutz­auf­sich­ten einer nähe­ren Prü­fung unter­zo­gen, wobei zu bei­den Berei­chen posi­ti­ve wie nega­ti­ve Ergeb­nis­se fest­ge­hal­ten wurden. 

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den 

Es liegt nahe, dass sich Orga­ni­sa­tio­nen eher unglaub­wür­dig machen, wenn kei­ner­lei Daten­pan­nen gemel­det bzw. doku­men­tiert sind. Es emp­fiehlt sich, Daten­pan­nen und ver­gleich­ba­re Auf­fäl­lig­kei­ten gene­rell — z.B. in Check­lis­ten­form — zu doku­men­tie­ren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Mel­de­pflicht, wenn „die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt.“ Reich­lich unprä­zi­se wird hier ein ein­zel­fall­be­zo­ge­ner Ermes­sens­spiel­raum eröff­net. Das heißt für harm­lo­se (=nicht mel­de­pflich­ti­ge) Fäl­le: Das Ereig­nis wird intern doku­men­tiert und man stimmt sich mit sei­nem Daten­schutz­be­auf­trag­ten über eine fall­ge­rech­te Abgren­zung ab und das war´s. 

Für mel­de­pflich­ti­ge Fäl­le ste­hen übli­cher­wei­se Online-For­mu­la­re auf den Web­sei­ten der Auf­sichts­be­hör­den zur Verfügung. 

Öffentliche Register - wie im vorliegenden Fall das der Lobbys

Die Deut­sche Gesell­schaft für Poli­tik­be­ra­tung (dege­pol) hat eine Ver­war­nung wegen Daten­schutz­ver­sto­ßes von der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit erhal­ten. In die­sem Zuge erfolg­te die Klar­stel­lung, dass die Gewin­nung von Daten aus öffent­li­chen Regis­tern nicht zu jedem Zweck — wie etwa dem Ver­sand per­so­na­li­sier­ter Wer­bung — zuläs­sig ist. Dies hat Aus­wir­kun­gen sowohl auf die werb­li­che Kon­takt­auf­nah­me als sol­che als auch auf Umfra­gen, die mit Hil­fe sol­cher Infor­ma­tio­nen durch­ge­führt wer­den, im vor­lie­gen­den Fall gegen­über Lobbys.

Beschwer­de durch Betrof­fe­nen aus Lobbys 

Im vor­lie­gen­den Fall waren Ver­bän­de /​ deren Ver­tre­ter aus dem öffent­li­chen Regis­ter über Lob­bys des Bun­des­tags mit­tels Tabel­len­ex­port in Excel ange­schrie­ben und zu Umfra­gen ein­ge­la­den wor­den. Die zugrun­de lie­gen­de Beschwer­de wur­de durch einen Betrof­fe­nen Lob­by-Ange­hö­ri­gen eingegeben. 

Quel­len­an­ga­ben 

Die Daten aus dem Lob­by-Regis­ter sei­en von der dege­pol an den Dienst­leis­ter online​um​fra​gen​.com wei­ter­ge­ge­ben wor­den für den Ver­sand von Anschrei­ben mit per­so­na­li­sier­ter Anre­de und ohne Hin­weis auf Daten­quel­len. Unter ande­rem hier­in wur­de ein Daten­schutz­ver­stoß gese­hen. Eine Quel­len­an­ga­be habe mit dem ers­ten Anschrei­ben erfol­gen müs­sen und wur­de auch in der ver­link­ten Daten­schutz­er­klä­rung ver­misst — so die Datenschutzaufsicht. 

Namen von Lobbyisten

Die Ber­li­ner DSB zog ein berech­tig­tes Inter­es­se der Deut­schen Gesell­schaft für Poli­tik­be­ra­tung in Zwei­fel, nach dem die­se die Daten zur Anfer­ti­gung einer “aus­sa­ge­kräf­ti­gen Stu­die” zu Hono­rar­zah­lun­gen in der Lob­by­welt Deutsch­lands für erfor­der­lich hielt. Fer­ner wur­de moniert, dass in die­sem Zusam­men­hang Namen Ange­hö­ri­ger von Lob­bys ohne Not­wen­dig­keit ver­ar­bei­tet wor­den seien.

“Wei­te­re auf­sichts­recht­li­che Mit­tel”, auch für einen Wie­der­ho­lung­fall, schloss die Daten­schutz­be­hör­de nicht aus. Gene­rell gespro­chen kann es sich bei sol­chen etwa um Vor-Ort-Prü­fun­gen, die Anord­nung von Maß­nah­men oder die Ver­hän­gung von Buß­gel­dern han­deln, um eini­ge Befug­nis­se der unab­hän­gi­gen Daten­schutz­be­hör­den zu nennen.

Regis­ter des Bun­des­tags 

Der Bun­des­tag hat bis­her kein ver­bind­li­ches Ver­zeich­nis hier­zu her­aus­ge­ge­ben. Das Regis­ter des Bun­des­ta­ges über Lob­bys umfasst momen­tan über 2300 Ein­rich­tun­gen, “die eine Auf­nah­me von sich aus bean­tragt“ hät­ten, um ihre Tätig­kei­ten damit trans­pa­rent machen zu wollen. 

Sicher auch aus Daten­schutz­sicht eine begrü­ßens­wer­te Intention. 

Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Mann mit Lupe - Unter Beobachtung

Auf 158 Sei­ten gibt der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig einen Über­blick über die Arbeit der Daten­schutz­auf­sichts­be­hör­de für den nicht-öffent­li­chen Bereich in Bay­ern für die Jah­re 2015 und 2016 ab.

Das BayL­DA ist für ca. 700.000 ver­ant­wort­li­che Stel­len im nicht-öffent­li­chen Bereich (Unter­neh­men, Ver­ei­ne, Ver­bän­de, frei­be­ruf­lich Täti­ge etc.) in Bay­ern zuständig.

Im vor­de­ren Teil des Berichts wird anschau­lich auf die Ent­wick­lung von Bür­ger­be­schwer­den, Daten­pan­nen, aber auch Bera­tungs­an­fra­gen sei­tens nicht-öffent­li­cher Stel­len ein­ge­gan­gen. Der Über­sicht ab 2013 ist zu ent­neh­men, dass es sich bei der zuneh­men­den Stei­ge­rung nicht um ein­zel­ne Spit­zen, son­dern klar um einen Trend han­delt. Sind 2013 “nur” 925 Beschwer­den über baye­ri­sche Unter­neh­men und Unter­neh­mer ein­ge­gan­gen, so waren es 2016 schon 1.424. Iden­tisch ver­hält es sich mit der Zahl der Daten­pan­nen (2013 32 gegen­über 85 in 2016). Wobei hier eine deut­lich höhe­re Dun­kel­zif­fer sei­tens des Amts ver­mu­tet wird. Bei den Beschwer­den liegt das The­ma Video­über­wa­chung auf dem vor­ders­ten Platz. Unter ande­rem sind dafür die mitt­ler­wei­le sehr preis­wer­ten Über­wa­chungs­ka­me­ras (wie Wild­ka­me­ras, Dash­cams usw.) ver­ant­wort­lich, jedoch auch ein gestei­ger­tes Sicher­heits­be­dürf­nis. Letz­te­res führt schnell mal dazu, nicht nur (zuläs­si­ger­wei­se) das eige­ne Grund­stück zu obser­vie­ren, son­dern (zumeist unzu­läs­sig) angren­zen­de Grund­stü­cke oder öffent­li­che Ver­kehrs­flä­chen mit einzuschließen.

Klas­si­sche Daten­pan­nen wie Ver­lust, Dieb­stahl oder Fehl­ver­sen­dun­gen sind im Berichts­zeit­raum nahe­zu gleich geblie­ben. Eine ver­mehr­te Zunah­me wur­de jedoch im Bereich Cybercrime fest­ge­stellt. Hacking von Web­sei­ten, Daten­klau in Web­shops sowie Ver­schlüs­se­lungs­tro­ja­ner stan­den dabei ganz oben auf der Lis­te. Gera­de die ers­ten bei­den Punk­te oft aus­ge­löst durch feh­len­de Sicher­heits­up­dates der Web­sei­ten- und Shop-Soft­ware inklu­si­ve dazu­ge­hö­ri­ger Erwei­te­run­gen durch die ver­ant­wort­li­chen Unter­neh­men und Unternehmer.

Im wei­te­ren Ver­lauf des Tätig­keit­be­richts wird ein Blick auf die ab Mai 2018 gel­ten­de EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) gewor­fen und wel­che Aus­wir­kun­gen die­se auf nicht-öffent­li­che Stel­len haben wird. Die Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten wird vor­aus­sicht­lich in bekann­ter Wei­se fort­ge­führt. Neu ist jedoch die Mel­de­pflicht der Bestel­lung an die Lan­des­da­ten­schutz­be­hör­de. Die­se rech­net mit einem erheb­li­chen Arbeits­auf­wand auf­grund der zu erwar­ten­den tau­send­fa­chen Mel­dun­gen. [Anmer­kung des Autors: Die­se Mel­de­pflicht wird natür­lich auch Aus­wir­kun­gen auf Unter­neh­men haben, die bis­her der Bestell­pflicht unter­la­gen, sich aber eine Bestel­lung erspart haben. Eine Nicht­mel­dung kann im wei­te­ren Ver­lauf unan­ge­neh­me Nach­fra­gen — und bei Ver­stö­ßen auf Buß­gel­der auslösen.]

Eine kur­ze Zusam­men­fas­sung kön­nen Sie hier her­un­ter­la­den. Der kom­plet­te Tätig­keits­be­richt steht hier zum Down­load bereit.