Nachdem der erste Blog-Artikel die allgemeine Arbeit der Datenschutz-Aufsichtsbehörde NRW auf Basis ihres Berichts vom 24.05.2019 thematisierte, geht es nun ans Eingemachte: Ab Seite 47 äußert sich die Behörde zu Internas ihrer Arbeit.
Abschnitt 4 des Berichts beginnt mit Aussagen zu Fahrerbewertungsportalen, bei denen das Verhalten von Privatpersonen im Internet bewertet werden (konnte). Ganze drei Jahre hat es gedauert, bis die Behörde die datenschutzkonforme Verarbeitung personenbezogener Daten auf dem entsprechenden Internetportal durchsetzen konnte. Übrigens wird das betroffene Portal selbst seitdem kaum noch genutzt, denn die Denunzierung von Fahrerinnen und Fahrern bietet sie nicht mehr als Funktionalität.
Die nächsten vier Seiten behandeln die Verarbeitung von personenbezogenen Daten durch Automobilwerkstätten und -hersteller. Wieso Werkstätten hier wichtiger sind als Hersteller erschließt sich mir nicht, immerhin bestimmen nicht die Werkstätten die Mittel und Zwecke der Verarbeitung, sondern die Herstellung von Automobilen. Auch die von Automobilwerkstätten vorgelegten Einwilligungen, die in dem Abschnitt angesprochen werden, sind sicherlich nicht auf deren eigenen Mist gewachsen, sondern kommen direkt von den Zentralen von BMW, Mercedes und Co. Umso erfreulicher ist der richtige Schluss der Aufsichtsbehörde am Ende: " Wir werden unseren Fokus daher zukünftig auf die Hersteller legen."
Dann folgt eine Seite zum Einsatz von Dashcams. Die Ausführungen sind leider in sich gegensätzlich. Denn einerseits wird Einsatz von Dashcams von der Behörde als Verstoß gegen die DSGVO mit einem Bußgeld geahndet. Andererseits gibt sie zu, dass derartige Aufnahmen vor Gericht im Einzelfall als Beweismittel dienen können.
Kommen wir zum wichtigen Abschnitt 5 "Wirtschaft". Der Verband der Wirtschaftsauskunfteien hat einem Code of Conduct zum Thema Prüf- und Löschfristen erstellt und genehmigt bekommen. Glückwunsch!
Dann folgt das Ergebnis von Außenprüfungen. Das LDI testiert geprüften Inkassounternehmen eine gute Verankerung von Geschäftsprozessen zur Umsetzung der datenschutzrechtlichen Anforderungen. Dies ist eine wichtige Aussage für die Unternehmen, die im Rahmen von Auftragsverarbeitungen externe Dienstleister prüfen wollen. Nach dieser Aussage des LDI NRW würde ich also nun nicht bei Inkassounternehmen anfangen.
Der Abschnitt 5.3 behandelt die Identitätsprüfung beim Online-Banking, hier insbesondere das POSTIDENT-Verfahren und das POSTID-Portal. Mein Rat an die Datenschutz-Aufsichtsbehörde lautet hier, dass sie nicht den Anschluß an die digitale Zukunft verschlafen soll. Denn es gibt mittlerweile andere Verfahren, die mehr Beachtung benötigen, z. B. Verfahren zur Identifizierung von Personen auf Basis künstlicher Intelligenz.
Es folgt im Abschnitt "Datenschutz im Verein und Ehrenamt" ein dezenter Hinweis (Eigenwerbung) zu der herausgegebenen Broschüre "Datenschutz im Verein". Dafür von mir "Daumen hoch". Anders als Bayern hat NRW hier ihre Beratung nicht eingestellt. Und an der Aussage "Bei der Umsetzung der DS-GVO stehen für die Landesbeauftragte Beratung und Unterstützung der Vereine im Vordergrund." sollte sich die Düsseldorfer Behörde in den folgenden zwei Jahren selber messen.
Es folgen Ausführungen zu "Datenschutz am Arbeitsplatz". Dazu gerne mehr in meinem folgenden Blogartikel (wird am 29.05.2019 veröffentlicht).
Viele Grüße aus Bad Aachen.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen