Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Juli 2023 seinen 12. Tätigkeitsbericht zum Datenschutz nach der DSGVO veröffentlicht und bietet Interessierten erneut einen spannenden Einblick, was im Jahr 2022, dem „Jahr der Zeitenwende“, datenschutzrechtlich alles passiert ist.
In seinem Vorwort schreibt der Präsident des BayLDA, Michael Will, vom Wendepunkt des Datenschutzjahres 2022 und macht dies am 30. November 2022 fest, dem Tag als der Chatbot ChatGPT zum ersten Mal der Öffentlichkeit zugänglich gemacht wurde. Auch die voranschreitende Digitalisierung stellt das Landesamt sowie alle Datenschutzbehörden vor Herausforderungen, die es nicht nur im Jahr 2022 zu meistern galt. Im Folgenden soll ein Überblick über den Inhalt des Berichts erfolgen.
Zahlen und Fakten
Beschwerden
Die Gesamtanzahl der Beschwerden und Kontrollanregungen, die 2022 eingegangen sind, beträgt 5032, was einem Rückgang um 16 % im Vergleich zum Vorjahr entspricht. Beschwerden im Bereich Internet (Tracking, Einwilligungsbanner, Datenschutzerklärungen) nehmen, wie auch in den letzten Jahren, die zahlenmäßig umfangreichste Position ein, dicht gefolgt von Beschwerden im Bereich Videoüberwachung.
Datenschutzverletzungen
Auch bei den gemeldeten Datenschutzverletzungen ist ein Rückgang zu verzeichnen. Hier ist die Zahl von 3946 in 2021 auf 2991 Fälle im Jahr 2022 gesunken. Die gemeldeten Datenschutzpannen erfolgten meist im Zusammenhang mit „Cybersicherheit und technischer Datenschutz“, weshalb diesem Thema ein gesondertes Kapitel im Bericht gewidmet wurde.
Inhalte
Datenschutz im Internet
Im Zusammenhang mit dem „Datenschutz im Internet“ wurden den Anforderungen an Cookie-Banner viel Aufmerksamkeit gewidmet. Auch wenn immer häufiger über neue Trackingtechnologien gesprochen wird, so betrifft die weit überwiegende Anzahl der Beschwerden und Kontrollanregungen im Bereich Internet noch immer den Einsatz von Cookies auf Websites. Das BayLDA empfiehlt hier den Websitebetreiber*innen, möglichst wenige Dienste einzusetzen und kündigt an, in diesem Jahr verstärkt den Fokus auf die Prüfung von Apps legen zu wollen.
Beschäftigtendatenschutz
Beim Thema „Kontrolle von Beschäftigten im Homeoffice“ stellt das BayLDA fest, dass eine Überprüfung der Beschäftigten im Homeoffice aus datenschutzrechtlicher Sicht nur eingeschränkt erlaubt ist. Von Arbeitgeberseite aus wurden vermehrt Nachfragen gestellt, ob es zulässig sei zu prüfen, ob sich die Beschäftigten an die vereinbarten Rahmenbedingungen (örtlich, zeitlich) halten und inwieweit diese ihren arbeitsvertraglichen Pflichten nachkommen. So wurde etwa eine Kontrolle vor Ort aufgrund des Rechts auf Unverletzlichkeit der Wohnung als kritisch erachtet, zumindest dann, wenn die Wohnung des Beschäftigten betreten werden sollte. Der Einsatz von Keylogger-Anwendungen zur Prüfung der Produktivität bzw. zur Kontrolle der tatsächlichen Tätigkeit oder inwieweit konkrete Programme genutzt werden ohne einen auf konkrete Tatsachen gegründeten Verdacht zumindest einer schwerwiegenden Pflichtverletzung, wurde i. d. R. als nicht zulässig bewertet.
Cybersicherheitslage
Die Anzahl von Datenschutzverletzungen aufgrund komplexer Cyberattacken bleibt leider auch 2022 auf hohem Niveau. Hauptangriffspunkte waren neben Cyberangriffen, die von kriminellen Gruppierungen ausgingen, auch Sicherheitsverletzungen, die keine kriminelle Ursache hatten, sondern durch einen nicht sachgemäßen IT-Betrieb verursacht wurden. Bei genauerem Hinsehen kann leider keine Abnahme der grundsätzlichen Gefährdungslage festgestellt werden, sondern eine Verschiebung hin zu komplexeren Angriffen mit einer zeitgleichen deutlichen Abnahme der Meldungen im Bereich bloßer Fehlversendungen. Als Fallbeispiel wurde ein DAX-Unternehmen im Bereich Mobilität herangezogen, das Opfer der Gruppierung „BlackBasta“ wurde, die seit Frühjahr 2022 zunehmend durch spektakuläre Cyberangriffe auf sich aufmerksam macht. Ob und wie viele Daten abgeflossen sind, wurde jedoch nicht veröffentlicht. Auch wenn den Aufsichtsbehörden oft die Verfolgung anderer Interessen vorgeworfen wird und Unternehmen diese als Belastung wahrnehmen, eint sie doch ein gemeinsames Ziel: Eine wirksame Abwehr von Cyberangriffen ist im Interesse der Grundrechte und Grundfreiheiten sowohl der Bürger*innen als auch der datenschutzrechtlich Verantwortlichen. Dies kann nur durch einen guten datenschutzrechtlichen Standard gewährleistet werden.
Zögern Sie deshalb nicht, sich an Ihren Datenschutzbeauftragten zu wenden und diesem um Rat zu bitten.