Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Februar 2024 seinen 13. Tätigkeitsbericht zum Datenschutz nach der DSGVO veröffentlicht und bietet Interessierten erneut einen spannenden Einblick, was im Jahr 2023, dem „Jahr voller Herausforderungen“, datenschutzrechtlich alles passiert ist. Im Folgenden soll ein Überblick über den Inhalt des Berichts erfolgen.

Zahlen und Fakten

Werfen wir zunächst wieder einen Blick auf die Beschwerden und Datenpannen.

Beschwerden

Die Gesamtanzahl der Beschwerden und Kontrollanregungen, die 2023 eingegangen sind, beträgt 5523, was einem ca. zehnprozentigen Anstieg im Vergleich zum Vorjahr entspricht. Waren im letzten Jahr noch Beschwerden im Bereich Internet (Tracking, Einwilligungsbanner, Datenschutzerklärungen) auf der Spitzenposition, wurden diese nun abgelöst von Eingaben zur Videoüberwachung. Es lässt sich sagen, dass die Hälfte der Beschwerdevorgänge insgesamt die Themenbereiche Videoüberwachung, Internet und Werbung betreffen.

Datenschutzverletzungen

Auch bei den gemeldeten Datenschutzverletzungen ist ein weiterer Rückgang zu verzeichnen. Hier ist die Zahl von 2991 in 2022 auf 2753 Fälle in 2023 gesunken. Die gemeldeten Datenpannen erfolgten meist im Zusammenhang mit „Cybersicherheit und technischem Datenschutz“, weshalb diesem Thema ein gesondertes Kapitel im Bericht (Bereich 4 des BayLDA („Cybersicherheit und technischer Datenschutz“) gewidmet wurde.

Inhalte

Datenschutz im Internet

Entsprechend der Ankündigung im letzten Jahr, waren Apps im Jahr 2023 verstärkt Gegenstand der aufsichtlichen Tätigkeit im Bereich Telemedien. Der Fokus der Prüfung verschiedenster Apps aus unterschiedlichen Themenbereichen, wie beispielsweise Parken, Kundenbindungssysteme, Supermärkte oder Versicherungen liegt auf den Vorgängen, die bei erstem Öffnen der jeweiligen App durchgeführt werden. Es geht allen voran um die rechtswirksame Einwilligungseinholung bei Nutzung der App. Nur wenn diese eingeholt wird, dürfen Dienste wie Google Analytics und Facebook Pixel eingesetzt werden.

Beschäftigtendatenschutz

In einem Beschwerdeverfahren beschäftigte sich das BayLDA mit der Speicherung von Bewerberdaten nach einer erteilten Absage. In diesem Zusammenhang wurde die Frist von 6 Monaten, die in datenschutzrechtlichen Kreisen bekannt ist, bestätigt. Nach einer Ablehnung wird die Notwendigkeit einer weiteren Speicherung anerkannt, die damit begründet wird, bei Ansprüchen und Klagen nach dem AGG reagieren zu können. Die Klageerhebungsfrist beträgt hier sechs Monate ab dem Eingang der Ablehnung. Nach Ablauf dieser Frist müssen die personenbezogenen Daten aktiv durch den Verantwortlichen gelöscht werden. Eine weitere Speicherung, etwa für den Fall, dass es sich um einen interessanten Kandidaten handelt, dem ggf. zu einem späteren Zeitpunkt eine Stelle angeboten werden könnte, ist möglich, wenn hierfür eine wirksame Einwilligung in eine weitere Speicherung und Verarbeitung der Bewerberdaten seitens der sich bewerbenden Person eingeholt wurde.

Bußgeldverfahren

Hier kam es zu einer wahrhaftigen Sensation, denn im Jahr 2023 wurde die höchste Zahl an Bußgeldern seit Geltungsbeginn der DSGVO verhängt. Vorbei sind also die Zeiten der DSGVO als zahnloser Tiger. Im Berichtszeitraum wurden Bußgelder gegen Unternehmen und Privatpersonen in einer Höhe von insgesamt ca. 3,8 Millionen Euro festgesetzt. Die Spanne reicht dabei von Bußgeldern in dreistelliger Höhe gegen Privatpersonen bis zu siebenstelligen Geldbußen gegen Unternehmen.

Der wohl kurioseste Fall, der mit einem Bußgeld geahndet wurde, betrifft eine Videoüberwachung durch eine Wildkamera, die in einem FKK-Badebereich eines Badesees angebracht wurde. Die Kamera fertigte nicht nur Videoaufnahmen der Badegäste an, die sich auf der Liegewiese aufhielten, sondern auch Tonaufnahmen, weshalb es in diesem Zusammenhang auch zu einem strafrechtlichen Verfahren kam (vgl.  §§ 201 bzw. 201a StGB, Verdacht der unbefugten Aufnahme des nichtöffentlich gesprochenen Wortes eines anderen).

Dauerbrenner bleiben auch in diesem Jahr Fälle, bei denen Mitarbeiter zweckwidrig Telefon- oder Mobilnummer von Datenbanken ihres Arbeitgebers, beispielsweise Kundendatenbanken, entnommen und zur privaten Kontaktaufnahme genutzt wurde. Zwar scheint eine Kontaktaufnahme verlockend, es ist jedoch stets auf die zweckgebundene Verarbeitung hinzuweisen, die es eben nicht erlaubt, vorhandene Daten zu einem anderen Zweck zu nutzen und sich zu eigen machen.

Auch in diesem Jahr lohnt sich wieder der Blick in den Bericht, der neben vielen spannenden Artikeln auch stets hilfreiche Einsichten gewährt.