Welche Kontrollstrategie für 2020?

Im Jahr 2020 wird die CNIL ihre Kontrollmaßnahmen neben Kontrollen aufgrund von Beschwerden, in den Nachrichten aufgedeckten Problemen oder Korrekturmaßnahmen auf drei vorrangige Themen konzentrieren, die mit den alltäglichen Sorgen der Franzosen verbunden sind:

• Gesundheitsdaten,
• Geolokalisierung für lokale Dienste sowie
• Cookies und andere Tracker.

Wie jedes Jahr wird die CNIL nicht nur Fachleute bei der Anwendung der DSGVO unterstützen, sondern auch die Einhaltung ihrer Verpflichtungen durch die Kontrolle der durchgeführten Verarbeitung sicherstellen.

In dieser Funktion führt sie jährlich Tausende von Ermittlungshandlungen durch, insbesondere durch die Prüfung von Beschwerden, die Durchführung von Kontrollen im Rahmen des Verfahrens zur indirekten Einsichtnahme in bestimmte behördliche Akten, die Bearbeitung von Meldungen über Verletzungen des Schutzes personenbezogener Daten oder die Eröffnung formeller Kontrollverfahren.

Diese 300 pro Jahr ermöglichen die Untersuchung von Beschwerden, um diese weiter zu untersuchen, auf aktuelle Probleme zu reagieren, die Einhaltung früherer Korrekturmaßnahmen sicherzustellen oder bestimmte Themen zu untersuchen, die als vorrangig erachtet werden.

Mehr als fünfzig dieser formellen Kontrollverfahren werden im Rahmen von drei Themen durchgeführt, die als Prioritäten für 2020 ausgewählt wurden:

Sicherheit von Gesundheitsdaten

Aktuelle Nachrichten aus dem Gesundheitssektor (Telemedizin, vernetzte Gesundheitsgeräte, Datenschutzverletzungen in öffentlichen Einrichtungen usw.) zeigen, dass der Sicherheit von Gesundheitsbehandlungen große Aufmerksamkeit geschenkt werden muss.

Gesundheitsdaten sind sensible Daten, die durch Gesetze (DSGVO, Datenschutzgesetz, Gesetz über das öffentliche Gesundheitswesen usw.) einem besonderen Schutz unterliegen, um die Wahrung der Privatsphäre des Einzelnen zu gewährleisten.

Mit diesem Schwerpunktthema möchte die CNIL den Schwerpunkt insbesondere auf die Sicherheitsmaßnahmen legen, die von Angehörigen der Gesundheitsberufe oder in deren Auftrag umgesetzt werden.

Mobilität und lokale Dienste: Neue Einsatzmöglichkeiten für Geolokalisierungsdaten

Viele Lösungen werden mit dem erklärten Ziel entwickelt, den Alltag zu erleichtern: Empfehlung geeigneter Verkehrsmittel auf Basis einer festgelegten Route, Optimierung von Reiserouten usw.

Diese Lösungen verwenden meistens Geolokalisierungsdaten und bergen möglicherweise Datenschutzrisiken.

Die Kontrollen werden sich daher insbesondere auf die Verhältnismäßigkeit der in diesem Zusammenhang erhobenen Daten, die festgelegten Aufbewahrungsfristen, die den Personen bereitgestellten Informationen und die implementierten Sicherheitsmaßnahmen konzentrieren.

Einhaltung der für Cookies und andere Tracer geltenden Bestimmungen

Dieses Thema, das von der CNIL bereits im Sommer 2019 angekündigt wurde, zielt darauf ab, sicherzustellen, dass Fachleute ihren Verpflichtungen hinsichtlich der Überwachung von Internetnutzern auf der Grundlage von Cookies oder anderen Trackern, die insbesondere für gezielte Werbung und die Erstellung von Benutzerprofilen verwendet werden, vollständig nachkommen.

Tatsächlich schreibt Artikel 82 des französischen Datenschutzgesetzes, der die ePrivacy-Richtlinie vom 12. Juli 2002 in französisches Recht umsetzt, seit vielen Jahren eine Reihe grundlegender Anforderungen vor (Pflicht zur Einholung einer vorherigen Einwilligung, Pflicht zur Information des Nutzers über die Zwecke der platzierten Cookies usw.).

Die CNIL wird die Einhaltung dieser grundlegenden Anforderungen auch im Jahr 2020 weiterhin überprüfen.

Mit dem Inkrafttreten der DSGVO, auf die sich die ePrivacy-Richtlinie bezieht, sind allerdings bestimmte Anforderungen verschärft worden, insbesondere hinsichtlich der Art und Weise der Einholung der Einwilligung, die nun freiwillig, informiert, ausdrücklich und eindeutig erfolgen muss.

Insbesondere kann das bloße Fortsetzen des Browsens auf einer Website keine gültige Zustimmung des Benutzers zur Hinterlegung von Cookies mehr darstellen.

Aus diesem Grund hat die CNIL im vergangenen Juli Leitlinien zur Klarstellung der neuen Rechtslage verabschiedet.

Im Frühjahr 2020 wird sie eine Empfehlung herausgeben, die den Betreibern bei der operativen Umsetzung der neuen Anforderungen helfen soll.

Ab der Veröffentlichung dieser Empfehlung wird den Organisationen eine Frist von sechs Monaten eingeräumt, um die neuen Verpflichtungen aus der DSGVO zu erfüllen.

Die Kontrollen dieser neuen Verpflichtungen beginnen im Herbst 2020 und werden im Jahr 2021 fortgesetzt.

Diese drei Themen wurden von der CNIL aufgrund ihrer Auswirkungen auf das tägliche Leben der Bürger ausgewählt.

Sie zielen in der Tat auf Behandlungen ab, die im Rahmen von Interaktionen mit medizinischem Fachpersonal oder bei der Verwendung neuer Hilfsmittel zur Unterstützung alltäglicher Abläufe (Wahl eines Transportmittels, Suche nach einem lokalen Dienst usw.) oder schließlich beim Surfen im Internet durchgeführt werden.

Diese drei Themen werden etwa 20 % der formellen Kontrollverfahren darstellen, die von der CNIL im Jahr 2020 durchgeführt werden.

Tatsächlich werden wie in den Vorjahren auch Kontrollen eingeleitet, um Folgendes zu überprüfen:

• Beschwerden und Ansprüche, die an die CNIL gerichtet werden;
• Aktuelle Probleme, die eine Kontrolle der durchgeführten Behandlungen erfordern;
• Korrekturmaßnahmen (Abmahnungen, Sanktionen etc.), die neue Kontrollen erfordern.

Abschließend, im Anschluss an die beiden vorangegangenen Jahre, Die CNIL wird die Zusammenarbeit mit anderen europäischen Datenschutzbehörden für die grenzüberschreitende Verarbeitung fortsetzen.

Sie wird daher die beiden in der DSGVO vorgesehenen Methoden der Zusammenarbeit nutzen:

• Gegenseitige Unterstützung, die es Ihnen ermöglicht, alle nützlichen Informationen mit Ihren Kollegen zu teilen, und
• Die Durchführung gemeinsamer Aktionen ermöglicht die Durchführung von Kontrollen in Frankreich oder in anderen Mitgliedstaaten der Europäischen Union in Anwesenheit von Vertretern der zuständigen Behörden.