Der Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit von NRW wurde am 24.05.2019 veröffentlicht. Darin enthalten ist die Zusammenfassung der behördlichen Arbeit von zwei Jahren. Es sind jedoch nicht irgendwelche zwei Jahre. Es sind die 1,5 Jahre vor und das halbe Jahr nach dem Wirksamwerden der EU-Datenschutz-Grundverordnung, spricht der Zeitraum der Jahre 2017-2018.
Das ist der erste gute Grund, wieso die 145 Seiten des 24. Datenschutz-und Informationsfreiheitsbericht lesenswert sind. Der zweite Grund ist, dass jede Datenschutzaufsichtsbehörde in ihren Berichten praxisnahe Beispiele ihrer Arbeit erläutert, spricht: Wie tickt die Behörde, wenn man mit ihr zu tun hätte. Damit Sie sich nicht durch die 145 Seiten durchzwängen müssen, erhalten Sie im Folgenden einen Auszug wichtiger Aussagen des Berichts.
Fangen wir an mit dem Vorwort - hier spricht Frau Block, die Datenschutzbeauftragte des Landes NRW, konkrete Situationen an, bei denen Bürgerinnen und Bürger im privaten Umfeld das Thema Datenschutz thematisieren: "beim Arztbesuch, in Kindergärten und Schulen und nicht zuletzt in Vereinen." Interessant finde ich, dass hier Suchmaschinen, Social-Media-Anbieter oder Smartphone-Hersteller nicht von Frau Block genannt werden. Die machen mir nämlich mehr Sorgen als die Verarbeitung personenbezogener Daten im Kindergarten.
Weiter geht es mit Teil 1, dem Datenschutzbericht. Die ersten Punkte davon (Übersicht, DSGVO, Anpassungen auf Bundesebene, Anpassungen auf Landesebene und Zusammenarbeit mit anderen Behörden) beinhalten nichts Neues und vor allem nicht das, was ich suche: "Insights" und Einblick in die tagtägliche Arbeit der Behörde. Gleiches gilt für die Abschnitte "Datenschutzbeauftragte: Stellung und Aufgaben nach neuem Recht".
Dann folgt die erste Überraschung. Im Abschnitt "Neue Verfahren nach der DS-GVO: Akkreditierung und Zertifizierung" wird mit keinem Wort erwähnt, dass aufgrund der Verzögerungen durch die Behörden auch ein Jahr nach der DSGVO noch keine Akkreditierung nach DSGVO (Art. 42 f.) auf dem Markt vorhanden ist. Das ist sehr schade, denn das bedeutet, dass immer noch jeder ein Siegel "DSGVO-konform" mit Photoshop bauen und danach zertifizieren kann, ohne dass angemessene Qualitätskriterien dafür exisitieren. Ich hätte mir in diesem Abschnitt etwas mehr Selbstkritik durch die Behörde gewünscht.
Der folgende Abschnitt "Neue Sanktionsmöglichkeiten nach der DS-GVO: Praxis in NRW" beinhaltet dagegen die Klarheit an Informationen, die ich erwarte:
- 25. Mai bis zum 31. Dezember 2018
- 52 Bußgeldverfahren anhängig.
- 36 Fälle mit Bußgeldbescheiden
- Gesamtsumme 15.600 €
- die verhängten Bußgelder sind "maßvoll"
Bußgeldtatbestände überwiegend
- nicht erteilte Auskünfte gegenüber der LDI NRW
- Einsatz von Dashcams im Straßenverkehr
Danach kommen Abschnitte mit "kaltem Kaffee" wie Ausblick zur ePrivacy-Verordnung, Facebook-Fanpages, Einbindung von Social Plugins auf Websites (ohne Bezug zur aktuellen Orientierungshilfe der DSK - wann war Redaktionsschluss?) sowie Unsicherheiten beim internationalen Datenverkehr (übersetzt: Cloud-Nutzung).
Ab Seite 43 wird es nun spannend. Die Behörde äußert sich zu Internas ihrer Arbeit. Um was es da geht, lesen Sie in meinem folgenden Blogartikel.
Viele Grüße aus Bad Aachen.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen