Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW), Frau Bettina Gayk, hat gestern den jährlichen Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2023 veröffentlicht. Der Bericht bietet einen umfassenden Einblick in die Datenschutzaktivitäten des vergangenen Jahres. In diesem Artikel möchten wir Sie über einige interessante Themeninhalte des Berichts informieren.
Der Inhalt im Überblick
Zahlen und Fakten aus dem Tätigkeitsbericht
Im Jahr 2023 sind laut dem Tätigkeitsbericht der LDI NRW bei der Datenschutzbehörde insgesamt rund 11.050 schriftliche Eingaben eingegangen. Bei diesen Eingaben handelt es sich unter anderem um Beschwerden nach Art. 77 DSGVO, um Hinweise von Dritten, um Genehmigungsverfahren und um schriftliche Beratungsanfragen. Sogennante Datenpannen, d.h. Meldungen nach Art. 33 DSGVO, wurden im letzten Jahr insgesamt 2039 erfasst. Bei der zentralen Bußgeldstelle der LDI NRW wurden 111 Bußgeldverfahren eingeleitet bzw. zur weiteren Verfolgung von den Staatsanwaltschaften übernommen. 65 Bußgeldbescheide wurden erlassen und 115 Verfahren wurden durch Rechtskraft, Einstellung oder Gerichtsentscheidungen abgeschlossen. Das höchste Bußgeld betrug dabei 64.650 Euro.
Wie immer gehts ums Auskunftsrecht
Identität der Datenempfänger
Das Auskunftsrecht ist und bleibt das mit Abstand relevanteste Betroffenenrecht. Wie wir berichteten, entschied der EuGH in seinem Urteil vom 12. Januar 2023, Az. C-154/21, dass Verantwortliche betroffenen Personen die konkrete Identität der Datenempfänger mitteilen müssen. Es genügt insbesondere nicht aus, im Rahmen eines Auskunftsersuchens ausschließlich die Kategorien der Datenempfänger zu benennen. Der EuGH begründet diese Entscheidung unter anderem mit der notwendigen Transparenz über Datenverarbeitungen. Betroffene Personen müssen insbesondere prüfen können, ob Daten durch den Verantwortlichen zulässig verarbeitet werden.
Die erste Kopie einer Patientenakte ist kostenlos
Mit seinem Urteil vom 26. Oktober 2023, Az. C-307/22, entschied der EuGH, dass Patienten auch ohne Angaben von Gründen einen datenschutzrechtlichen Anspruch auf eine erste unentgeltliche Kopie ihrer Patientenakte haben. Dies war bisher umstritten, weil es im deutschen Bürgerlichen Gesetzbuch eine Regelung zur Kostenerstattung gibt. Aufgrund des Urteils steht nun fest, dass allenfalls bei einem erneuten Antrag auf Kopie der Akte Kosten entstehen können. Der Anspruch auf Kopie gilt selbst dann, wenn aus der Patientenakte Daten vor Gericht gegen Ärzte verwendet werden können.
EDSA-Leitlinien zum Auskunftsrecht
In diesem Zusammenhang informiert die Landesbeauftragte zusätzlich über die im letzten Jahr aktualisierten EDSA-Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO. In diesen gibt die EDSA eine umfassende Hilfestellung für die Anwendung des Auskunftsrechts, um eine möglichst einheitliche Verwirklichung des Auskunftsrechts in allen Ländern erreichen zu können.
MS 365 bleibt in aller Munde
Mit weiteren Datenschutzbehörden hat die LDI NRW eine Handreichung für Verantwortliche für den Einsatz von MS 365 erstellt. Die Handreichung dient dazu, Verantwortliche dabei zu unterstützen, gegenüber Microsoft auf die nötigen vertraglichen Änderungen hinzuwirken, um eine Anpassung des Standard-Auftragsverarbeitungsvertrags zu erreichen. Die DSK hatte bereits im November 2022 festgestellt, dass der Vertrag nicht den Anforderungen der DSGVO, insbesondere des Art. 28 Abs. 3 DSGVO entspricht. Die in der Handreichung in Teil I kompakt dargestellten To-Do’s helfen zum Beispiel Verantwortlichen für die digitale Ausstattung von Schulen, die notwendigen Anpassungen gegenüber Microsoft einzufordern, damit eine Nutzung der Daten von Schülern und Lehrern für eigene Zwecke von Microsoft unterbleibt.
Datenschutzrechtliche Zulässigkeit von „Pur-Abos“
Immer häufiger treffen Internetnutzer auf sog. Pur-Abo-Modelle. Im Rahmen dieser Abo Modelle haben User in der Regel zwei Möglichkeiten: Entweder willigen sie ein, dass ihre Daten über Tracking zum Zweck der profilbasierten, personalisierten und zielgerichteten Werbung genutzt werden können oder sie schließen alternativ ein Pur-Abo für einen geringen Betrag ab und stellen somit sicher, dass kein Tracking erfolgt.
Die LDI NRW vertritt, ebenso wie die DSK in ihrem Beschluss vom 22. März 2023, die Ansicht, dass der datenschutzkonforme Einsatz von Pur-Abo-Modellen unter Berücksichtigung bestimmter Bedingungen, grundsätzlich möglich ist. Das zahlungspflichtige Pur-Abo reicht als Alternative zum herkömmlichen Ablehnen-Button grundsätzlich aus, um trackingfrei die Webseite zu besuchen. Die Nachverfolgung, d.h. das Tracking von Nutzerverhalten kann damit grundsätzlich auf eine Einwilligung gestützt werden, wenn alternativ ein trackingfreies Modell angeboten wird, selbst wenn dies zahlungspflichtig ist. Sofern mehrere Verarbeitungszwecke vorliegen, müssen Einwilligungen allerdings für jeden einzelnen Zweck oder zumindest für zusammengefasste ähnliche Zwecke erteilt werden können, sog. granulare Einwilligungen.
Löschfristen von Patientenakten
Ärzte und andere Behandelnde sind nach § 603 des bürgerlichen Gesetzbuchs (BGB) dazu verpflichtet, die Patientenakte für eine Dauer von 10 Jahren aufzubewahren, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen gelten. Als Fristbeginn gilt dabei der Abschluss der Behandlungen. Dies gilt auch bei chronischen, d.h. bei fortdauernden Erkrankungen. Andererseits sehen andere Gesetze, wie bspw. das Transplantationsgesetz, deutlich längere Aufbewahrungsfristen (30 Jahre) vor. Anders hingegen verhält es sich bei Daten des Gesundheitsamts. Zwar werden Personen, die vom Gesundheitsamt untersucht werden oder von dessen Maßnahmen betroffen sind, ebenfalls als Patienten bezeichnet. Untersuchungen vom Gesundheitsamt sind allerdings öffentlich-rechtlicher Natur und begründen damit keinen Behandlungsvertrag im Sinne des BGB. Sollte keine ausdrückliche gesetzliche Aufbewahrungsvorschrift existieren, dürfen öffentliche Stellen personenbezogene Daten damit nur so lange aufbewahren, wie es für die eigene Aufgabenerfüllung erforderlich ist.
Die Rechtsgrundlagen im Beschäftigtendatenschutz
Auch im Beschäftigtendatenschutz blieb es spannend im letzten Jahr. In seinem Urteil vom 30. März 2023, Az. C-34/21, stellte der EuGH fest, dass § 23 Hessisches Datenschutz- und Informationsfreiheits-Gesetz (HDSIG) den besonderen Anforderungen des Art. 88 DSGVO an spezifische Rechtsgrundlagen nicht gerecht wird. § 23 HDSIG kann somit neben den bestehenden Regelungen der DSGVO nicht mehr als eigenständige Rechtsgrundlage herangezogen werden. Arbeitgeber können zwar weiterhin die Daten ihrer Beschäftigten verarbeiten, allerdings nun ausschließlich auf Basis der DSGVO.
§ 18 Abs. 1 Satz 1 DSG NRW weist große Ähnlichkeiten zur hessischen Regelung zur Verarbeitung von Beschäftigtendaten im öffentlichen Bereich auf, sodass auch diese Regelung keine spezifische Vorschrift im Sinne des Art. 88 DSGVO darstellt. Als Rechtsgrundlage für die Verarbeitung von Daten der Beschäftigten öffentlicher Stellen sollte § 18 Abs. 1 Satz 1 DSG NRW damit nicht mehr herangezogen werden. In der Folge kann eine entsprechende Verarbeitung allerdings auf die allgemeinen Rechtsgrundlagen der DSGVO gestützt werden.
Das Bundesarbeitsgericht (Beschluss vom 9. Mai 2023, Az. 1 ABR 14/22) bewertet die Sachlage in privatrechtlichen Arbeitsverhältnissen ähnlich. § 26 BDSG genügt den Vorgaben der Öffnungsklausel in Art. 88 DSGVO nicht. Der Wortlaut des Abs. 1 der Regelung entspricht im Wesentlichen der im EuGH-Verfahren betrachteten hessischen Regelung.
Ein kleiner Einblick in einen umfassenden Bericht
Der Tätigkeitsbericht der LDI NRW umfasst viele spannende Datenschutz-Themen von denen wir hier nur einige wenige dargestellt haben. Neben dem Thema Nr. 1, dem Einsatz von KI, ging es zudem um die Frage, inwieweit kassenlose Supermärkte datenschutzrechtlich möglich sind, insbesondere, ob Überwachungen durch Kameras und Sensoren zulässig sein können. Zusätzlich befasste sich die LDI NRW mit der Frage, inwieweit eine Datenweitergabe an Subunternehmen im Handwerk möglich ist, d.h. inwieweit personenbezogene Daten von Kunden an Subunternehmer weitergegeben werden dürfen. Diese und weitere spannende Datenschutz Themen finden Sie im Tätigkeitsbericht des LDI NRW.