BayLDA: Tätigkeitsbericht für die Jahre 2017 und 2018 vorgestellt

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 22.03.2019

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig, stellte am Freitag, dem 22. März 2019 in den neuen Räumen des BayLDA den Tätigkeitsbericht für die Jahre 2017 und 2018 vor.

Präsident Kranig stellte den 150-seitigen Tätigkeitsbericht für die vergangenen beiden Jahre vor und wies zunächst darauf hin, dass man konkrete Fälle aus dem Zeitraum vor Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO), d.h. vor dem 25. Mai 2018 nur dann in dem Bericht dargestellt habe, wenn sie auch noch für den neuen Rechtsrahmen Bedeutung haben.

Tätigkeitsbericht nur noch digital und in Zukunft jährlich
Er wies ferner darauf hin, dass das BayLDA erstmals darauf verzichtet habe, den Tätigkeitsbericht als Buch herauszugeben. Rückfragen bei den Adressaten der verschickten Tätigkeitsberichte hätten ergeben, dass diese nach Erhalt des Buches eigentlich nur noch mit der digitalen Version gearbeitet hätten. Der vorgelegte Tätigkeitsbericht ist der letzte mit einem zweijährigen Berichtszeitraum, da die Datenschutz-Grundverordnung die Aufsichtsbehörden verpflichtet, in Zukunft jährlich ihren Bericht vorzulegen.

Beratung, Beratung, Beratung
Wie nicht anders zu erwarten, ist das BayLDA – wie andere Aufsichtsbehörden auch – mit Anfragen überhäuft worden, wie die Vorschriften der DS-GVO im Einzelfall auszulegen sind. Große Unternehmen hatten in aller Regel die zweijährige Übergangsfrist vom Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2016 bis zur Anwendbarkeit am 25. Mai 2018 genutzt, um sich darauf vorzubereiten und ihre Verarbeitungsprozesse anzupassen. Viele kleine und mittlere Unternehmen, insbesondere aber auch Vereine, wurden von dem neuen Recht überrascht und durch irreführende Presseberichte (Klingelschilder, Verbietung von Kinderbildern) zusätzlich verunsichert. Die Anstrengungen, die gerade in diesem Bereich, für den die DS-GVO relativ wenig neue Anforderung gebracht hat, erforderlich waren, um die bestehende Verunsicherung zu beseitigen, waren unvorstellbar. Tatsache ist jedoch, dass auch heute knapp ein Jahr nach Anwendbarkeit der DS-GVO das Bedürfnis nach Beratung und Rechtssicherheit noch lange nicht befriedigt ist.

Zahlen und Fakten
Eine größere Anzahl von Aufsichtsbehörden hat sich darauf verständigt, in einem Kapitel „Zahlen und Fakten“ statistische Angaben in einem einheitlichen Format darzustellen. Wir haben uns bemüht, dies erstmals umzusetzen. Besser geworden sind die Zahlen dadurch jedoch nicht.

Um die gestiegene Belastung für jede einzelne Mitarbeiterin oder Mitarbeiter transparent zu machen, wurde ermittelt, wie viele Beratungsanfragen, Beschwerden und Bearbeitung von Datenmitteilung über Datenschutzverletzungen auf jeweils eine Person fallen. Fielen auf eine Person im Jahr 2014 noch 176 Beratungsanfragen, waren dies im Jahr 2018 schon 384. Die Zahl der Beschwerden stieg von 60 auf 152 und die Zahl der Bearbeitung von Datenschutzverletzungen von einem Fall auf 103 Fälle. Wichtig ist in diesem Zusammenhang aber darauf hinzuweisen, dass es darüber hinaus noch eine ganze Menge anderer Arbeiten wie die Teilnahme an Sitzungen der Aufsichtsbehörden, Vortragsveranstaltungen, Erarbeitung von Inhalten für die Homepage, von Papieren für die Datenschutzkonferenz oder den europäischen Datenschutzausschuss usw. gibt.

Personalentwicklung
Aus heutiger Sicht besteht die begründete Erwartung, dass nach Abschluss des derzeit laufenden Verfahrens zur Verabschiedung des Doppelhaushalts für die Jahre 2019 und 2020 wir nicht die beantragte Personalaufstockung um 10 Stellen, aber dennoch eine gewisse Personalverstärkung bekommen werden.

Relevante Einzelthemen
Das neue europäische Datenschutzrecht in Form einer Verordnung, d. h. einer Rechtsnorm die unmittelbar in allen Mitgliedstaaten der Europäischen Union anwendbar ist, stellt uns vor besondere Herausforderungen bei der Interpretation. Einerseits wünschen viele Verantwortliche, wie in der Datenschutz-Grundverordnung diejenigen genannt werden, die mit personenbezogenen Daten von anderen umgehen, Informationen darüber, wie bestimmte Vorschriften zu verstehen sind. Andererseits könnte eine rechtssichere Auskunft nur dann erteilt werden, wenn die europäischen Aufsichtsbehörden darüber ein einheitliches Verständnis erzielt haben. Dies ist aber ein schwieriger und zäher Prozess.

Wir haben uns deshalb entschieden, sehr früh unsere Standpunkte transparent zu machen, in Kurzpapieren zu veröffentlichen und auch bei Beratungen oder Veranstaltungen zu vertreten. Wir haben dabei immer versucht, darauf hinzuweisen, dass dies eine erste vorläufige Einschätzung ist, die dann keinen Bestand mehr hat, wenn sich entweder die Gesamtheit der deutschen und/oder europäischen Aufsichtsbehörden auf ein anderes Verständnis geeinigt hat oder wenn der Europäische Gerichtshof eine verbindliche Auslegung getroffen hat.

Die größten Unsicherheiten und häufigsten Anfragen und auch Aussagen von uns, bezogen sich auf die Informationspflichten, d. h. darauf, in welcher Art und Weise und in welchem Umfang Betroffene Personen darüber informiert werden müssen, wie mit ihren Daten umgegangen wird. Etwa ebenso häufig waren Fragen nach den Rechtsvoraussetzungen für die Veröffentlichung von Bildern von Vereinsfesten, Mitarbeiterzeitungen, Berichte über Veranstaltungen, Erstellen von Chroniken usw.

In 19 von 24 Kapiteln des Tätigkeitsberichts haben wir aus allen Bereichen, vom Datenschutz im Internet, über Werbung, Versicherungswirtschaft, Gesundheit, Videoüberwachung bis zum technischen Datenschutz und der Informationssicherheit Einzelfälle dargestellt und unsere Bewertung transparent gemacht.

Sinn und Zweck des Tätigkeitsberichts
Die Aufsichtsbehörden sind verpflichtet, einen Tätigkeitsbericht zu erstellen. Unser Ansatz dabei war, zum einen durch eine möglichst detaillierte statistische Aufbereitung Transparenz in unsere Arbeit zu bringen. Erfahrungsgemäß wird er am meisten von Datenschutzbeauftragten gelesen, die sich darüber orientieren wollen, welche Rechtsauffassung ihre Aufsichtsbehörde zu bestimmten Themen hat. Wir wünschen uns auch, dass Bürger, die keine Sachverständigen für Datenschutz sind, mit dem Tätigkeitsbericht etwas anfangen können. Wir haben uns deshalb bemüht, die Texte so zu formulieren, dass sie auch für Nichtsachverständige verständlich sind, andererseits aber auch durch Angabe der entsprechenden Rechtsgrundlagen Datenschutzfachleuten eine Orientierung geben.

Fundstelle des Tätigkeitsberichts
Der Tätigkeitsbericht für die Jahre 2017 und 2018 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.