10. Tätigkeitsbericht des BayLDA für 2020 veröffentlicht

Das Jahr 2020 war, wie zu erwarten, für das BayLDA von Corona geprägt – sowohl für die eigene Arbeit als auch in Bezug auf alle Fragestellungen, die sich im Zusammenhang mit der Bekämpfung der Pandemie aus Datenschutzsicht ergaben. Behandelt wurden schwerpunktmäßig Fragen wie die Kontaktdatenerfassung und Zutrittskontrollen sowie Videokonferenzsysteme im Homeoffice.

Als weiteren Themenschwerpunkt macht das BayLDA die folgenschwere Entscheidung des EuGHs vom 16.07.2020 aus, der mit dem sog. Schrems II-Urteil das EU-US Privacy Shield kippte. Das BayLDA stellt fest, dass der EuGH mit seinem Urteil lediglich an ohnehin bestehende Pflichten von Verantwortlichen und Auftragsverarbeitern erinnerte, jedoch keine neuen Anforderungen aufstellte. Die Behörde weiß jedoch auch, dass sich durch den Wegfall dieser praxisnahen Lösung für den transatlantischen Datenverkehr gerade kleine und mittlere Unternehmen vor ein schwer lösbares Problem gestellt sehen.

Parallel dazu hat sich das BayLDA vermehrt mit Genehmigungsverfahren für Binding Corporate Rules (BCR) befasst. Das BayLDA sieht als Erklärung dafür den Glauben der Konzerne, durch BCR mehr Rechtssicherheit bei internationalen Datentransfers in der Unternehmensgruppe zu erlangen. Das BayLDA weist jedoch darauf hin, dass dies nicht zwangsläufig der Fall ist. Denn auch bei konzerninternen Datentransfers müssen Unternehmen Datenzugriffe durch ausländische Behörden mit zusätzlichen Maßnahmen verhindern.

Dasselbe Problem mit der Unterbindung von Datenzugriffen durch Behörden in Drittländern betrifft auch die neuen EU-Standardvertragsklauseln. Verantwortliche können diese seit dem 21. Juni 2021 verwenden und müssen bis zum 27.12.2022 die bisher verwendeten Standardvertragsklauseln ersetzen. Auch wenn die neuen Standardvertragsklauseln nicht alle Probleme lösen, so bilden sie nun praxisnähere Konstellationen zwischen Datenim- und -exporteuren ab. Das BayLDA weist darauf hin, dass die Kommission angekündigt hat, begleitende FAQ zu veröffentlichen, die Anwendern Hilfestellung für die Standardvertragsklauseln geben sollen.

Insbesondere die Prüfung der Rechtslage im Empfängerland dürfte für kleine und mittlere Unternehmen kaum praktikabel sein. Dennoch stellt das BayLDA klar, dass diese Prüfung unbedingt durchzuführen und anschließend zu dokumentieren ist. Gelingt dem exportierenden Unternehmen nicht, den Nachweis über ein angemessenes Datenschutzniveau im Empfängerland zu führen, müssten die Aufsichtsbehörden die Datenübermittlungen untersagen.

Auch wenn das BayLDA auf das Empfehlungspapier Nr. 1/2020 vom Europäischen Datenschutzausschuss verweist, räumt es im Bericht ein: Es wird Datenübermittlungen geben, die Unternehmen in der Vergangenheit durchgeführt haben, die aber nun nicht mehr datenschutzkonform durchgeführt werden können.

Darüber hinaus nennt das BayLDA in seinem Tätigkeitsbericht für 2020 einige statistische Zahlen:

Die Anzahl der gemeldeten Datenschutzverletzungen war im Vergleich zum Vorjahr rückläufig. In Bayern wurden 3.752 Datenschutzverletzungen gemeldet.

2020 waren 230 Bußgeldverfahren durchgeführt worden. Teile davon betrafen noch Altverfahren aus 2018. 64 Bußgeldverfahren waren zum Stichtag des 31.12.2020 noch offen.

Insgesamt waren im Jahr 2020 in Bayern 6.185 Beschwerden und Kontrollanregungen eingegangen. Aus dem Tätigkeitsbericht des BayLDA geht hervor, dass im Dezember 2020 etwa 3.500 Beschwerden offen waren. Beschwerden umfassen dabei auch sog. Kontrollanregungen, bei denen die meldenden Personen nicht angaben, durch Datenschutzverstöße in eigenen Rechten verletzt zu sein. Das BayLDA erklärt in seinem Bericht, dass aufgrund der begrenzten Ressourcen die Bearbeitung von Beschwerden zulasten von Prävention und Beratung gehe.

Gegenüber den Vorjahren 2018 und 2019 ging die Zahl der durchgeführten Beratungen im Jahr 2020 zurück. 2.657 Beratungen hat das BayLDA durchgeführt, wobei etwas mehr als 1.000 auf Verantwortliche entfielen. Das BayLDA sieht als Grund für das Sinken der Zahlen den erfolgreichen Ausbau seiner Informationsangebote auf der Website. Gerade mit Blick auf die vielen neuen Fragen im Zusammenhang mit der Corona-Pandemie hätte das BayLDA durch die Online-Informationen vielen Anfragen zuvorkommen können.

Laut dem 10. Tätigkeitsbericht will das BayLDA im laufenden Jahr mit Online-Prüfungen und Fragebogenversendungen auch anlasslose Prüfungen zu einem Handlungsschwerpunkt seiner aufsichtlichen Tätigkeit machen.

Unternehmen sollten sich auch mit Blick auf anlasslose Prüfungen durch das BayLDA stets gut für den Datenschutz rüsten. Sich mit Datenschutz erst zu befassen, wenn sich die Aufsichtsbehörde meldet, ist der falsche Weg.

Wenn Sie vom BayLDA Anfragen zum Datenschutz erhalten und nicht wissen, wie Sie damit umgehen sollen – kommen Sie zu uns! Als erfahrene Datenschutzbeauftragte unterstützen wir Sie bei der Kommunikation mit den Aufsichtsbehörden und begleiten Sie gerne bei Prüfungen.

Rufen Sie uns dafür einfach in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 an oder nutzen Sie unser Kontaktformular.