Schonzeit für Verantwortliche nach Einführung der DSGVO ist vorbei

Auch wenn derzeit sicherlich andere Themen für Unternehmen im Vordergrund stehen, dürfen datenschutzrechtliche Aspekte nicht außer Acht gelassen werden. Anfang Mai 2020 veröffentlichte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (nachfolgend Landesbeauftragte) Informationen zu seiner Rolle, seinen Strategien und seinem Aktionsplan im Jahr 2020. Aus diesem ergibt sich, dass das Corona-Virus für die Aufsichtsbehörden keine „Ausrede“ für Fehler im Datenschutzmanagement ist.

Zunächst wird im „Konzept zur effektiven Durchsetzung des Datenschutzrechts“ festgestellt, dass sich die Beschwerdebereitschaft der betroffenen Personen auf einem hohen Niveau stabilisiert hat. Insofern werden Datenschutzverstöße nicht nur durch anlasslose Kontrollen der Aufsichtsbehörden festgestellt, sondern vor allem durch Beschwerden. Beschwerden erreichten den Landesbeauftragten vor allem zu den Themen: (i) Weiterleitung von Daten an Dritte, (ii) Problemen bei der Auskunft nach Art. 15 DSGVO, (iii) Tracking-Maßnahmen auf Webseiten. (iv) Videoüberwachung und (v) Bewerbungsverfahren.

Der Landesbeauftragte kündigt an, dass das Jahr 2020 im „Zeichen der konsequenten Beseitigung und Ahndung festgestellter Datenschutzverstöße“ stehen wird. Die Behörde befindet sich nunmehr in der Phase der konsequenten Anwendung der Abhilfebefugnisse und Sanktionsmaßnahmen. Defiziten wird je nach Schwere des Verstoßes, mit angemessenen Abhilfebefugnissen und Sanktionen zu begegnen sein, wobei die Instrumentarien des DSGVO vollständig ausgeschöpft werden können. Zurückhaltung sei aufgrund der bereits weit zurückliegenden Einführung der Verordnung nicht mehr geboten.

Neben der Prüfung von Beschwerden werden jedoch auch Kontrollen des Landesbeauftragen und seiner Behörde stattfinden. Diese sind im Aktionsplan 2020 festgehalten. Danach soll zum einen der Bereich Biometrie und automatisierte Kennzeichenlesesysteme im Fokus stehen. Einen weiteren Schwerpunkt bildet zusammen mit anderen Aufsichtsbehörden die Durchsetzung der Position der Datenschutzkonferenz im Bereich Tracking auf Webseiten. Die Datenschutzkonferenz fordert hier eine Einwilligung der Webseitennutzer. Zudem werden zumindest in Rheinlandpfalz Versicherungsunternehmen und Banken sowie die Immobilienverwaltung und das Maklerwesen genauer geprüft.

Fazit: Unternehmen sollten sich auf vermehrte Kontrollen der Aufsichtsbehörden einstellen. Die Schonzeit der letzten Jahre ist vorbei und Datenschutzverstöße werden rigoros verfolgt werden. Dazu trägt sicherlich auch das neue Bußgeldmodell​​​​​​​ bei, auf welches sich die Aufsichtsbehörden in Deutschland geeinigt haben. Mit Kontrollen durch die Aufsichtsbehörden ist insofern deutschlandweit zu rechnen. Aus dem Aktionsplan ergibt sich insofern, dass zumindest im Bereich des Tracking deutschlandweit zusammen gearbeitet werden wird. Andere Behörden setzen unter Umständen aber andere Schwerpunkte in ihren Kontrollen.