Tätigkeitsberichte und Positionen
Hauptinhalt
Der Rundfunkbeauftragte für den Datenschutz veröffentlicht jährlich einen Tätigkeitsbericht und bei Bedarf Positionspapiere zu legislativen und administrativen Maßnahmen zur Gewährleistung eines effektiven Datenschutzes.
Tätigkeitsberichte
Der Rundfunkdatenschutzbeauftragte legt als Aufsichtsbehörde gemäß Art. 59 DSGVO seit 2019 jährlich einen Tätigkeitsbericht vor. Dieser Tätigkeitsbericht dient in erster Linie dazu, Transparenz über die Rechtsauffassungen und Aktivitäten der Datenschutzaufsichtsbehörde sowie über die Einhaltung der datenschutzrechtlichen Vorgaben im öffentlich-rechtlichen Rundfunk gegenüber der Öffentlichkeit herzustellen. Außerdem dient er der Orientierung über wichtige datenschutzrechtliche Entscheidungen und Entwicklungen im Mediendatenschutz und gibt Diskussionsanstöße sowie Anregungen zur Weiterentwicklung des Datenschutzes und Datenschutzrechts im Medienbereich.
Tätigkeitsbericht 2023
Abschlussbericht 2022
Da die Amtszeit des ersten gemeinsamen Rundfunkdatenschutzbeauftragten beim BR, SR, WDR, Deutschlandradio und ZDF am 31. Dezember 2022 endet, ersetzt dessen Abschlussbericht den üblicherweise im Frühjahr anstehenden Tätigkeitsbericht. Der Bericht fasst einige wesentliche Aktivitäten in den ersten elf Monaten des Jahres 2022 zusammen. Außerdem enthält er eine summarische Auswertung des Aufsichtsgeschehens seiner Amtszeit.
Schwerpunktthemen der eigenen Praxis
- Leitfaden Kinderdatenschutz
- Eckpunkte Verhaltenskodex
- Nutzung von Social Media
- Öffentlichkeitsarbeit (Überarbeitung der Website, Mastodon, Fachpublikationen)
- Bilanz, Ausblick und Empfehlungen
Kontrollen und Prüfungen
Im Jahr 2022 hat der Rundfunkdatenschutzbeauftragte die Löschkonzepte der fünf Rundfunkanstalten in seinem Zuständkeitsbereich (BR, SR, WDR, Deutschlandradio und ZDF) geprüft. Ziel war festzustellen, wie die Verantwortlichen gewährleisten, dass die Grundsätze der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO eingehalten werden. Aus dem Audit ergaben sich eine Reihe von Hinweisen und Empfehlungen für eine Optimierung der dafür erforderlichen technischen und organisatorischen Maßnahmen. Zweckmäßigerweise sollten sich die Rundfunkanstalten dazu auch untereinander abstimmen und einheitliche Standards anwenden.
Zahlen und Fakten
Entwicklung der aggregierten Kennzahlen in den Jahren 2019 bis 2022*:
Zuschriften von Bürgerinnen und Bürgern
- Anzahl: Die Zahl der Eingaben (förmliche Beschwerden, Hinweise und Beratungsanfragen) hat seit 2020 abgenommen. So gut wie keine Zuschriften stammten von den Beschäftigten von Rundfunkanstalten, deren Gemeinschaftseinrichtungen und Beteiligungsgesellschaften im Zuständigkeitsbereich des Rundfunkdatenschutzbeauftragten.
- Häufige Themen:
(a) Beschwerden oder Fragen zum Recht auf Auskunft
(b) Rechtmäßigkeit der Datenerhebung und -verarbeitung durch den Beitragsservice
(c) der Einsatz von Cookies zum Zwecke der Nutzungsmessung durch die Rundfunkanstalten
(d) Datenverarbeitung für die Personalisierung von Mediatheken und insbesondere für die Altersverifikation
(e) Datenverarbeitung im Zusammenhang der Social-Media-Nutzung
(f) Datenverarbeitungstätigkeiten in der Recherche und Berichterstattung der Rundfunkanstalten
Beratungsanfragen von Verantwortlichen
- Anzahl: Die Zahl der Beratungsanfragen unterlag in den Jahren 2019 bis 2022 Schwankungen, zeigte aber - im Gegensatz zur Anzahl an Zuschriften von Bürgerinnen und Bürgern - keine abnehmende Tendenz.
- Häufige Themen:
(a) Zuständigkeitsfragen, sowohl in Bezug auf die Zuständigkeit des Rundfunkdatenschutzbeauftragten als auch auf die Verantwortlichen untereinander und im Verhältnis zu Partnern und Auftragsverarbeitern
(b) Datenschutzkonformität geplanter Verarbeitungstätigkeiten
Datenschutzvorfälle
- Anzahl: Die Anzahl der Meldungen hat sich nicht wesentlich verändert. Pro Jahr wurden dem Rundfunkdatenschutzbeauftragten zwischen fünf und zehn Datenschutzvorfälle gemeldet.
Gerichtsverfahren
- Anzahl: Im gesamten Betrachtungszeitraum wurde zwei Mal gegen Bescheide, die der Rundfunkdatenschutzbeauftragte erlassen hatte, Klage erhoben. Beide Verfahren sind noch rechtshängig und sind gegebenenfalls an das künftig örtlich zuständige Verwaltungsericht Leipzig zu verweisen.
* Für 2022 sind nur die Zahlen bis Ende November berücksichtigt.
Schwerpunktthemen der eigenen Praxis
- Beauftragung von Inkassounternehmen im Beitragseinzugsverfahren
- Berichtigung von "Altdaten"
- Verhältnis zwischen beitrags- und datenschutzrechtlichen Fragen
- Arbeitnehmerüberlassung und Gemeinsame Verantwortung
- Nutzung Sozialer Medien
- Verarbeitung von Nutzungsdaten
- Personalisierung und gerätebezogene Individualisierung der ZDF-Mediathek
- Datenschutz und Datenschutzaufsicht im journalistischen Bereich
- Beschäftigtendatenschutz
Kontrollen und Prüfungen
Im Jahr 2021 hat der Rundfunkdatenschutzbeauftragte insgesamt 24 Datenschutzerklärungen von Rundfunkanstalten bzw. deren Gemeinschaftseinrichtungen sowie Beteiligungsunternehmen überprüft.
Bei allen untersuchten Datenschutzerklärungen zeigte sich Verbesserungspotenzial und sie entsprachen in einigen Punkten nicht vollständig den gesetzlichen Vorgaben. Keine von ihnen enthielt vollständig alle erforderlichen Informationen zu den erhobenen Daten, den Zwecken der Verarbeitung und deren Rechtsgrundlagen. In den meisten Fällen war die Datenschutzerklärung für Apps nicht eigens für die Verarbeitung von personenbezogenen Daten innerhalb der App formuliert. Stattdessen wurde die DSE der jeweiligen Website (oder ein Ausschnitt daraus) verwendet, ohne den Text adäquat anzupassen. Dadurch waren die Anforderungen an die Transparenz der Information besonders häufig nicht erfüllt, und Angaben zu Verarbeitungsvorgängen fehlten.
Änderungen können aufsichtsbehördlich jedoch weit überwiegend nur empfohlen und nicht konkret vorgegeben werden. Denn formalrechtlich gewähren die Vorschriften der in den Artikeln 12 ff. DSGVO festgelegten Informations- und Transparenzpflichten dem Verantwortlichen einen beträchtlichen Spielraum zur Formulierung und Gestaltung seiner DSE. Nur punktuell ergeben sich aus ihnen unmittelbar ableitbare konkrete Vorgaben.
Zahlen und Fakten
- Anzahl der Eingaben: rund 200
- Förmliche Beschwerden: 90 (davon berechtigt: 3)
- Beratungsanfragen von Betroffenen: 15
- Gemeldete Datenschutzvorfälle: 10
Schwerpunktthemen der eigenen Praxis
- Auskunftsverfahren
- Beitragsbescheid und Art. 22 DSGVO
- Meldedatenabgleich
- Beitragsnummer
- Einsatz von Videokonferenzsystemen
- Nutzung von "Social Media"
- Verarbeitung von Nutzungsdaten, Tracking
- Personalisierungsfunktion
- Datenschutz und Datenschutzaufsicht im journalistischen Bereich
- Beschäftigtendatenschutz
Kontrollen und Prüfungen
Im Jahr 2020 hat der Rundfunkdatenschutzbeauftragte stichprobenartig das Verzeichnis von Verarbeitungstätigkeiten der fünf Rundfunkanstalten überprüft. In diesem Verzeichnis sind gemäß Artikel 30 DSGVO alle Prozesse und Mittel der Verarbeitung personenbezogener Daten zu dokumentieren. Zusätzlich hat der Rundfunkdatenschutzbeauftragte bei den meisten Beteiligungsunternehmen der Rundfunkanstalten eine Querschnittsprüfung mit dem Ziel durchgeführt, einen ersten Überblick darüber zu erhalten, ob und inwieweit die Unternehmen die Anforderungen der DSGVO bereits umgesetzt hatten.
In unterschiedlichem Umfang ergab die Prüfung einige Defizite bei der Ausgestaltung der Verarbeitungsverzeichnisse und den dafür erforderlichen Verfahren. Struktureller Klärungsbedarf zeigte sich in Bezug auf die Gemeinschaftseinrichtungen der Rundfunkanstalten. Die Querschnittsprüfung vermittelte den Eindruck, dass alle Verantwortlichen die Anforderungen der DSGVO im Großen und Ganzen kennen und sich um eine Umsetzung bemühen.
Zahlen und Fakten
- Anzahl der Eingaben: 200
- Förmliche Beschwerden: 70 (davon berechtigt: 7)
- Beratungsanfragen von Betroffenen: 12
- Gemeldete Datenschutzvorfälle: 6
Schwerpunktthemen der eigenen Praxis
- Auskunftsverfahren
- Speicherung von Logdaten / SIEM
- Einsatz cloudbasierter Office-Systeme (Office 365)
- Nutzung von "Social Media"
- Platzierung, Gestaltung und Formulierung von Datenschutzhinweisen
- Verarbeitung von Nutzungsdaten
- Personalisierungsfunktionen
- HbbTV: IP-Autostart
- Datenschutz und Datenschutzaufsicht im journalistischen Bereich
- Beschäftigtendatenschutz
- Status des internen Datenschutzbeauftragten
- Meldungen nach Art. 33 DSGVO
Kontrollen und Prüfungen
Im Jahr 2019 hat der Rundfunkdatenschutzbeauftragte einen Prüfplan entwickelt. Dieser sieht eine jährliche anlasslose Datenschutzprüfung (Audit) bei einer oder mehreren Organisationen im Zuständigkeitsbereich des Rundfunkdatenschutzbeauftragen zu einem Schwerpunktthema vor.
Zahlen und Fakten
- Anzahl der Eingaben: 212
- Gemeldete Datenschutzvorfälle: 8
Positionen
Der Rundfunkdatenschutzbeauftragte nimmt zu aktuellen Fragen, die die effektive Durchsetzung datenschutzrechtlicher Vorgaben im öffentlich-rechtlichen Rundfunk betreffen, in Positionspapieren Stellung. Das entspricht seiner Aufgabe gemäß Art. 57 Abs. 1 lit. c DSGVO, die Parlamente, Regierungen und andere Einrichtungen und Gremien in legislativen und administrativen Datenschutzangelegenheiten zu beraten.
- Positionspapier der RDSK zur Zusammenarbeit der nationalen Datenschutzbehörden, insbesondere im Verfahren nach § 18 ABS. 1 BDSG