[datensicherheit.de, 09.01.2024] Nach eigenen Angaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) unterstützte dieser in 248 Fällen Bürger im abgelaufenen Jahr 2023 dabei, ihr Recht auf Informationszugang gegenüber Behörden und anderen öffentlichen Stellen in Rheinland-Pfalz durchzusetzen. Die Zahl der Beratungsanfragen und Beschwerden sei damit im Vergleich zu den Vorjahren erneut gestiegen und habe einen neuen Höchststand erreicht. Inhaltliche Schwerpunkte bildeten demnach die Themen Hochwasserschutz und Innere Sicherheit. Konkrete Fälle und die Arbeitsschwerpunkte des vergangenen Jahres hat der LfDI RLP, Prof. Dr. Dieter Kugelmann, am 9. Januar 2024 in seiner Jahrespressekonferenz „Best of Informationsfreiheit“ vorgestellt.

Informationsfreiheit stößt zuweilen an lebenspraktische Grenzen

Maßnahmenlisten für den Hochwasser- und Katastrophenschutz sowie Konzepte zur Warnung der Bevölkerung seien ebenso angefragt worden wie Unterlagen zu städtischen Mietwohnungen und Prüfungsbögen für das medizinische Staatsexamen. In den allermeisten Fällen habe das Team des LfDI RLP erfolgreich vermitteln und den Antragstellern zu einer rechtskonformen Bearbeitung ihrer Informationsfreiheitsanträge verhelfen können.

In lediglich drei Fällen seien Beanstandungen gegenüber rheinland-pfälzischen Behörden nötig gewesen. In manchen Fällen indes sei das Recht auf Informationszugang nämlich an lebenspraktische Grenzen gestoßen – etwa in einem Fall von baurechtlichen Genehmigungen, in dem Schimmelbefall den Zugang zu den angefragten Akten verzögert habe.

Informationsfreiheit: Staatliche Stellen müssen sich erklären, Vorhaben und Entscheidungsgrundlagen nachvollziehbar machen…

„Staatliche Stellen müssen sich erklären, ihre Vorhaben und Entscheidungsgrundlagen nachvollziehbar machen, veröffentlichen, Barrieren abbauen und sich öffnen“, stellte Professor Kugelmann klar. Sein gegenwärtiges Fazit: „Vieles läuft gut, aber Transparenz ist und bleibt Arbeit – und das ist sie wert. Ich setze mich mit meinem Team täglich dafür ein, dass das Recht auf Informationsfreiheit geachtet und zu einem selbstverständlichen Bestandteil unserer modernen demokratischen Gesellschaft wird.“

Diesem Ziel trage auch der neu konstituierte „Transparenzbeirat“ Rechnung, der sich im November 2023 zu seiner ersten Sitzung getroffen habe. Dieser bestehe aus Vertretern verschiedener gesellschaftlicher Gruppen, der Wissenschaft, des Landtags und der Landesregierung. Unter Leitung der Grünen-Fraktionsvorsitzenden Pia Schellhammer, MdL, werde dieser zukünftig dreimal pro Jahr in öffentlichen Sitzungen zusammenkommen und den LfDI RLP bei der Wahrnehmung seiner Aufgaben nach dem Landestransparenzgesetz unterstützen.

Engagement auf der ICIC – einem global organisierten Gremium aus Informationsfreiheitsbeauftragten

Der LfDI RLP habe sich im Jahr 2023 auch auf internationaler Ebene innerhalb der „International Conference of Information Commissioners“ (ICIC) engagiert: „Die ICIC ist ein global organisiertes Gremium aus Informationsfreiheitsbeauftragten, Ombudspersonen und anderen Stellen, das mit der Überwachung der Umsetzung von Informationsfreiheitsgesetzen betraut ist.“

Gemeinsam mit den Landesbeauftragten von Berlin und Brandenburg sowie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vertrete Professor Kugelmann die Bundesrepublik Deutschland in der ICIC. Dieser „Blick über den Tellerrand“ schärfe das Bewusstsein für die Transparenz in der Demokratie.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Best of Informationsfreiheit: Die spannendsten und interessantesten Fälle im Jahr 2023

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Informationsfreiheit

[datensicherheit.de, 13.11.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) berichtet in einer aktuellen Meldung über die jüngste Tagung des „Runden Tischs der rheinland-pfälzischen Wirtschaft“ – im Fokus habe ein produktiver Austausch zu datenschutzrechtlichen Themen gestanden:

Runder Tisch der rheinland-pfälzischen Wirtschaft: 3. Tagung am 9. November 2023

Zum 9. November 2023 habe der LfDI RLP eingeladen und die Teilnehmer gemeinsam mit seinem Team über datenschutzrechtliche Entwicklungen informiert – und daraus resultierende Praxisfragen diskutiert. Rund 25 Vertreter der Wirtschaft und aus Kammern sowie des Wirtschaftsministeriums des Landes haben demnach an diesem Dialog zu Gast bei der BASF in Ludwigshafen teilgenommen.

„Auf der Tagesordnung standen Themen mit hoher Aktualität und konkretem Praxisbezug für größere ebenso wir für kleinere und mittlere Unternehmen.“ Der Umgang mit Anwendungen aus dem Bereich der Künstlichen Intelligenz (KI) sei ebenso beleuchtet worden wie der im Juli 2023 von der Europäischen Kommission verabschiedete „Angemessenheitsbeschluss zum Datentransfer in die USA“ auf der Grundlage des „EU-US Data Privacy Framework“.

Auch das „Hinweisgeberschutzgesetz“ sowie dessen organisatorische Auswirkungen auf die Wirtschaft seien diskutiert worden. Nicht zuletzt habe der Ausblick auf bevorstehende europäische Rechtsakte wie „Data Act“ oder „AI Act“ eine Rolle gespielt.

Runder Tisch zu Gast bei der BASF: Eröffnung durch Dr. Martin Hummrich

Eröffnet worden sei die Veranstaltung durch ein Grußwort von Dr. Martin Hummrich vom Ministerium für Wirtschaft, Verkehr, Landwirtschaft und Weinbau des Landes Rheinland-Pfalz.

Ziel des nach 2020 und 2022 zum dritten Mal veranstalteten „Runden Tisches“ sei die Förderung einer proaktiven und direkten Kommunikation zwischen der Landesdatenschutzbehörde und den im Land agierenden Unternehmen:

„Ein offener und zielorientierter Austausch mit den Akteurinnen und Akteuren der rheinland-pfälzischen Wirtschaft ist mir wichtig. Nur so können Probleme erkannt und Missverständnisse vermieden werden. Wenn wir datenschutzrechtliche Herausforderungen gemeinsam in den Blick nehmen und Lösungen entwickeln, profitieren alle davon. Innovation ist datenschutzkonform möglich“, so der LfDI, Prof. Dr. Dieter Kugelmann.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz, 06.09.2023
Datenverkehr mit den USA: Anwendungshinweise zum Angemessenheitsbeschluss zum EU-US Data Privacy Framework

[datensicherheit.de, 18.09.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in seinem Kommentar vom 7. September 2023 das neue Bundesdatenschutzgesetz als „Fortschritt“ bezeichnet, fordert aber dazu auf, die „Länderrolle“ widerzuspiegeln.

Bundesdatenschutzgesetz soll Datenschutz-Grundverordnung ergänzen und präzisieren

Anfang August 2023 hat demnach das Bundesinnenministerium den Entwurf für ein novelliertes Bundesdatenschutzgesetz veröffentlicht – die deutschen Datenschutzbehörden haben dazu Position bezogen. Der LfDI RLP, Prof. Dr. Dieter Kugelmann, hat nach eigenen Angaben daran wesentlich mitgewirkt: „Wir haben einige Punkte identifiziert, die der Nachschärfung bedürfen. An einem Punkt ist der Entwurf ein Fortschritt: Erstmalig wird darin die schon lange existierende Datenschutzkonferenz als etabliertes Format der Zusammenarbeit zwischen den deutschen Datenschutzaufsichtsbehörden gesetzlich anerkannt.“

Das Bundesdatenschutzgesetz ergänze und präzisiere die Datenschutz-Grundverordnung (DSGVO) der EU in Bereichen, welche die EU-Staaten jeweils selbst ausgestalten dürften. In Deutschland regele das Bundesdatenschutzgesetz den Datenschutz bei privaten Unternehmen sowie Einrichtungen und insbesondere auch die Zuständigkeiten der Datenschutzaufsichtsbehörden der Länder und des Bundes.

Datenschutzkonferenz soll gesetzlich festgeschrieben werden

Die im Entwurf nun faktisch vorgesehene Institutionalisierung der Datenschutzkonferenz (DSK) hätten die 18 deutschen Datenschutzaufsichtsbehörden in ihrer gemeinsamen Stellungnahme ausdrücklich begrüßt. Die DSK sei als Format für die gelingende Zusammenarbeit der Behörden seit Langem etabliert. Professor Kugelmann leitet den im Jahr 2020 gegründeten Arbeitskreis „DSK 2.0“, welcher auf die weitere Intensivierung und Professionalisierung hinarbeiten soll. Schon heute habe die DSK eine Geschäftsordnung und lasse Mehrheitsbeschlüsse zu.

„Der vorliegende Gesetzentwurf schreibt insoweit die Fortschritte fest, die wir in den vergangenen Monaten erzielt haben. Das ist gut.“ Was in diesem Gesetzentwurf jedoch fehle, sei die Einrichtung einer DSK-Geschäftsstelle. Professor Kugelmann betont: „Die Datenschutzkonferenz braucht eine Geschäftsstelle, um dauerhaft effizient arbeiten zu können. Ich bedaure, dass die Chance zur organisatorischen Festlegung des Gremiums im Gesetzentwurf noch nicht genutzt wurde. Ich werde mich weiter für die Einrichtung einer Geschäftsstelle einsetzen.“

Zuständigkeit der Länder für den Datenschutz auf föderaler Ebene und Mitwirkung auf EU-Ebene

Neben der gemeinsamen DSK-Stellungnahme haben die Landesdatenschutzaufsichtsbehörden laut LfDI RLP eine zweite, eigene Stellungnahme an das Bundesinnenministerium geschickt. Diese Stellungnahme der Länder gehe insbesondere auf diejenigen Aspekte des Gesetzentwurfs ein, welche die Verteilung der Zuständigkeiten der Aufsichtsbehörden auf föderaler Ebene und die Mitwirkung auf der Ebene der EU betreffen. Professor Kugelmann moniert: „Einige der vorgesehenen Änderungen fallen hinter die Lösungen zurück, die die Aufsichtsbehörden in der Praxis für eine schnelle und gute Abstimmung schon gefunden haben.“

Die Stellungnahme formuliere daher aus Ländersicht konstruktive Vorschläge zu denjenigen Passagen im Gesetzentwurf, welche etwa länderübergreifende Datenverarbeitungsvorhaben und die deutsche Vertretung auf EU-Ebene betreffen. Abschließend unterstreicht Professor Kugelmann: „Als rheinland-pfälzischer Landesdatenschutzbeauftragter leitet mich stets das Ziel, eine einheitliche Anwendung der DS-GVO für alle Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung zu erreichen, ohne die zahlreichen Vorteile der regionalen Zuständigkeit zu verlieren.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 06.09.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

LfDI RLP, 06.09.2023
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

[datensicherheit.de, 08.02.2023] „Chat-Roboter, Bildgeneratoren und andere KI-Systeme werden seit einigen Wochen aus den IT-Forschungslaboren auf die Internetnutzer losgelassen“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) in seiner aktuellen Stellungnahme. Aus diesem gegebenen Anlass wirft er „einen genaueren Blick auf Datenschutz“ bei Künstlicher Intelligenz (KI).

Datenschützer begleiteten KI-Entwicklungen seit einigen Jahren und weisen insbesondere auch auf die Gefahren hin

„Den Aufsatz über Vincent van Gogh mit ein paar Klicks schreiben lassen, statt mühsam verschiedene Quellen zusammenzutragen und schöne Sätze zu konstruieren, das verspricht eine Software, die sich derzeit bei Schülern und Studenten großer Beliebtheit erfreut“, berichtet der LfDI RLP anlässlich des diesjährigen „Safer Internet Day“ (SID) am 7. Februar 2023. Seit einigen Wochen sei in Schulen der Sprach-Roboter „ChatGPT“ angekommen, welcher demnach in Sekunden scheinbar von Schülerhand geschriebene Texte über alle möglichen Unterrichtsthemen erstellen kann.

Dies sei nur ein Beispiel, „wie KI-Systeme sich mehr und mehr in digitalen Anwendungen unseres Alltags finden“. Datenschützer begleiteten die Entwicklungen im Bereich KI seit einigen Jahren und wiesen insbesondere auch auf die Gefahren hin, welche diese Systeme bergen könnten: „KI-Systeme, sei es im Sprachassistenten, der Forschung oder bei Sicherheitsbehörden, können menschliche Aufgaben in einem Bruchteil der Zeit erledigen und werden daher als Unterstützung immer verbreiteter. Problematisch ist, dass bei vielen der Systeme der Algorithmus, der die Entscheidungen trifft, eine Black-Box ist“, sagt der Landesdatenschutzbeauftragte Prof. Dr. Dieter Kugelmann und führt weiter aus: „Wer den Algorithmus entwickelt und kontrolliert, der bestimmt die Ergebnisse. Hier kann es schnell zu tendenziösen oder falschen Ergebnissen, politischen Beeinflussungen oder rassistischen Diskriminierungen kommen. Transparenz der Algorithmen und die Möglichkeit, die Systeme durch unabhängige Dritte überprüfen zu lassen, sind daher das A und O, bevor man entsprechende KI-Systeme beispielsweise im Bereich des staatlichen Handelns einführt.“

Die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (DSK) habe bereits 2019 in der „Hambacher Erklärung“ zur Künstlichen Intelligenz sieben Anforderungen an KI-Systeme definiert, welche helfen sollten, missbräuchlichen Einsatz zu verhindern.

Datensammlung: Seit Herbst 2022 bei einigen KI-Systemen Login für alle möglich

Dass die „Intelligenz“ der Systeme noch Grenzen habe, zeige sich bei genauerer Betrachtung der Ergebnisse dieser Chat-Roboter oder Bildgeneratoren. Oftmals seien die Texte zwar sprachlich perfekt geschrieben, „inhaltlich gehen sie aber nicht zu sehr in die Detailtiefe oder sind schlichtweg falsch“.

Auch die Bildgeneratoren versagten beim Erstellen der – ansonsten fotorealistischen – Bilder noch bei Details wie Augen, Fingern oder Gegenständen wie Brillen. Um hierfür wirkliche Perfektion zu liefern, fehlten den Systemen schlicht noch mehr menschliche Daten. Das ist eine Triebfeder, warum seit Herbst 2022 bei einigen Systemen der „Login für Jederfrau und Jedermann“ geöffnet worden sei. Millionen Nutzer seien in den ersten Wochen auf diese Plattformen geströmt, welche sich zum Teil nur angemeldet mit einem Account nutzen ließen, und fütterten den Algorithmus mit jeder ihrer Eingaben mit Daten, einschließlich ihrer Mobilfunknummer. Eine immense, valide Testgruppe, welche die Betreiberfirmen und Geldgeber hinter den Programmen mit eigenen Mitteln nie hätten einkaufen können. „Und das trotz beispielsweise angekündigten Investitionen von 10 Milliarden US-Dollar des US-Konzerns Microsoft in ,ChatGPT’. Erst die vermeintlich spielerische Chat-Tätigkeit vieler Millionen Nutzerinnen und Nutzer mit dem Roboter schafft den rasant wachsender Datenbestand, der sich zur Verbesserung der Systeme ausschlachten lässt.“

Professor Kugelmann betont abschließend: „Die Diskussion um KI nimmt zu Beginn des Jahres somit gerade an Fahrt auf. Für Lehrkräfte ist es jetzt eine gute Gelegenheit, in das Thema einzusteigen und sich mit den Schülerinnen und Schülern konstruktiv-kritisch mit den Programmen auseinanderzusetzen.“ Er möchte mit dem neuen Themenbereich zu KI daher gerade Schulen ansprechen und der LfDI RLP werde hierzu in den kommenden Monaten weitere Informationen bereitstellen, „die Schülerinnen und Schülern den Einblick in die Welt der KI und den Schutz ihrer persönlichen Daten erfahrbarer machen sollen“.

Weitere Informationen zum Thema:

YOUNG DATA
Künstliche Intelligenz

SID23, 07.02.2023
SAFER INTERNET DAY

heise online, Stefan Krempl, 05.02.2023
„Virtueller Freund“: Datenschützer stoppen Chatbot Replika in Italien / Die italienische Datenschutzbehörde hat es dem Replika-Entwickler untersagt, Informationen von Nutzern des Landes zu verarbeiten. Die Risiken seien zu hoch.

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

DSK DATENSCHUTZKONFERENZ, 03.04.2019
Hambacher Erklärung zur Künstlichen Intelligenz / Sieben datenschutzrechtliche Anforderungen

[datensicherheit.de, 11.01.2022] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat nach eigenen Angaben davon Kenntnis erlangt, „dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die ,LUCA‘-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat“ – es seien umgehend aufsichtsrechtliche Verfahren eingeleitet worden.

Eindeutige Rechtslage zur datenschutzrechtlich unzulässigen Abfrage und Nutzung der LUCA-App-Daten…

Der LfDI RLP möchte demnach insbesondere die Umstände geklärt wissen, welche ungeachtet der eindeutigen Rechtslage zu der „datenschutzrechtlich unzulässigen Abfrage und Nutzung“ der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen seien bereits versendet worden.

Hintergrund sei ein Vorfall aus dem November 2021: „Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die ,LUCA‘-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten.“

Gesundheitsamt hat Daten übermittelt, welche auf Anfrage vom LUCA-App-Betreiber zur Verfügung gestellt wurden

Das Gesundheitsamt sei dieser Aufforderung nachgekommen und habe die Daten von 21 Personen übermittelt, welche der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt worden seien. Die Betroffenen seien dann von der Polizei kontaktiert und zu dem Vorfall befragt worden. Mittlerweile hätten die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, so der Kommentar des LfDI RLP, Prof. Dr. Dieter Kugelmann, zu diesem Vorfall.

Vorgehen im LUCA-App-Fall erschüttert Vertrauen der Bürger in Rechtmäßigkeit staatlichen Handelns

Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes gehe eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürften und eine anderen Zwecken dienende Datenverwendung unzulässig sei.

Professor Kugelmann warnt: „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden ,Pandemie‘ das völlig falsche Signal.“ Er kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

[datensicherheit.de, 23.12.2021] In seiner aktuellen Mitteilung berichtet der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine neue Fassung der „Orientierungshilfe zu Telemedien“ veröffentlicht hat. Das Papier bietet demnach für Websites, Apps oder „Smarthome“-Anwendungen konkrete Hilfestellungen bei der Umsetzung der neuen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Zudem vermittele diese Orientierungshilfe betroffenen Bürgern ein besseres Bild der rechtlichen Rahmenbedingungen. Damit reagierten die Aufsichtsbehörden auf die veränderte Rechtslage – seit dem 1. Dezember 2021 regele das TTDSG unter anderem den Schutz der Privatsphäre bei der Nutzung von Telemedien.

In der Orientierungshilfe Kriterien für Fälle, in denen Speichern und Auslesen von Informationen unbedingt erforderlich sind

Prof. Dr. Dieter Kugelmann, LfDI RLP, sieht nach eigenen Angaben die erfolgten Rechtsänderungen als „überfällig“ an: „Eine angepasste gesetzliche Regelung war an der Zeit, um klare Verhältnisse zu schaffen. Aus ihr ergeben sich insbesondere Auswirkungen auf den Einsatz von Cookies und ähnlichen Technologien zur Erfassung des Nutzungsverhaltens. Mit dem TTDSG hat der Bundesgesetzgeber nach über einem Jahrzehnt Verzögerung nunmehr die Vorgaben der europäischen ,ePrivacy-Richtlinie‘ in nationales Recht umgesetzt.“
Das TTDSG fordere „grundsätzlich eine Einwilligung der Nutzerinnen und Nutzer, wenn Informationen auf deren Endeinrichtungen gespeichert werden oder auf solche Informationen zugegriffen wird“. Ausnahmen von diesem Einwilligungserfordernis seien begrenzt auf Fälle, „in denen das Speichern und Auslesen der Informationen unbedingt erforderlich ist, damit ein ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann“. In der „Orientierungshilfe“ fänden sich dazu entsprechende Kriterien.

Hinweise in neuer Orientierungshilfe zur Weiterverarbeitung personenbezogener Daten gemäß DSGVO

„Bei der Prüfung, ob ausnahmsweise eine Einwilligung entbehrlich ist, ist allerdings zu beachten, dass die Voraussetzungen hierfür sich vom Kriterium des berechtigten Interesses nach der Datenschutz-Grundverordnung (DSGVO) unterscheiden,“ so Kugelmann. Eine Interessenabwägung alleine nach der DSGVO erfülle nicht automatisch die engen Voraussetzungen des TTDSG. Zur Umsetzung der neuen Rechtslage sei es daher beispielsweise nicht ausreichend, „wenn lediglich die Bezeichnungen der Rechtsgrundlagen in einer Datenschutzerklärung ausgetauscht werden“.
Seit dem 1. Dezember 2021 fänden für das Speichern und Auslesen von Informationen auf bzw. aus Endgeräten die strengeren Vorschriften des TTDSG nunmehr Anwendung. Für die anschließende Weiterverarbeitung der so erhobenen personenbezogenen Daten gälten weiterhin die Vorschriften der DSGVO. „Auch hierzu finden sich einige Hinweise in der neuen ,Orientierungshilfe‘.“

Zeitnah soll auch englische Fassung der Orientierungshilfe zur Verfügung stehen

Stellen, welche Websites betreiben, oder Apps und andere Telemedien anbieten, sollten die Verwendung von sogenannten Cookies und anderen Technologien daher dringend überprüfen. „Insbesondere sind die genaue Ausgestaltung der Technologien und deren Notwendigkeit einer Revision zu unterziehen. Zeitpunkt, Art und Dauer der Speicherung sowie die nachgelagerte Datenverarbeitung müssen den rechtlichen Anforderungen entsprechen.“ Dazu solle die nun vorliegende „Orientierungshilfe“ eine Hilfestellung geben, so Professor Kugelmann.
Mit Blick auf entsprechende Angebote von außerhalb Deutschlands sei geplant, zeitnah auch eine englische Fassung dieser „Orientierungshilfe“ zur Verfügung zu stellen. Des Weiteren werde ein öffentliches Konsultationsverfahren zu der vorgelegten „Orientierungshilfe“ durchgeführt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2020
Datenschutzkonferenz: Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt

DSK DATENSCHUTZKONFERENZ, 20.12.2021
Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021)

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz, 15.12.2021
Willkommen bei „Datenfunk“, dem Podcast des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz / Folge 014: Ein bunter Teller voller Plätzchen – Cookies, Banner und das neue TTDSG

[datensicherheit.de, 26.11.2021] Seit dem 24. November 2021 gelten im Beschäftigungsverhältnis strengere Regeln zur Eindämmung der „Corona-Pandemie“. Durch eine Änderung des Infektionsschutzgesetzes (IfSG) ist der Zutritt zu einem Arbeitsplatz, bei dem physische Kontakte zu anderen Personen nicht ausgeschlossen werden können, demnach nur noch dann zulässig, wenn Beschäftigte und Besucher den sog. 3G-Nachweis gegenüber dem Arbeitgeber erbringen (§ 28 b Abs. 1 IfSG) – sie müssen entweder geimpft, genesen oder negativ getestet sein. Diese Änderung bringe für die meisten Arbeitsplätze im Land zahlreiche Änderungen mit sich, kommentiert der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP): Denn der Arbeitgeber sei verpflichtet, die Nachweispflicht täglich zu überwachen und auch zu dokumentieren. Bei Verstößen drohten hohe Bußgelder.

Beschäftigte laut LfDI RLP nicht verpflichtet, dem Arbeitgeber Auskunft über eigenen Impf- oder Genesungsstatus zu geben…

Korrespondierend hierzu seien die bisherigen Vorschriften zur Zulässigkeit einer Impfabfrage durch den Arbeitgeber erweitert worden. Es sei dem Arbeitgeber jetzt erlaubt, Informationen zum Impf-, Genesenen- bzw. Teststatus der Beschäftigten zu erfragen und diese Daten – einschließlich der Gültigkeitsdauer des Zertifikates – zu verarbeiten (§ 28b Abs. 3). „Wenn der Arbeitgeber den Genesenen- oder Impfnachweis einmal kontrolliert und dokumentiert hat, können Beschäftigte mit gültigem Zertifikat aber von den täglichen Zugangskontrollen befreit werden.“
Beschäftigte seien auch angesichts der neuen Regelungen nicht verpflichtet, dem Arbeitgeber Auskunft über den eigenen Impf- oder Genesungsstatus zu geben. „Wer diese Frage nicht beantworten möchte, muss aber täglich einen Test vorlegen“, so der LfDI RLP.

LfDI RLP betont, dass auch neue Regelungen kein Freibrief sind

„Auch wenn Arbeitgeber auf der Basis des geänderten Infektionsschutzgesetzes nunmehr auch Gesundheitsdaten ihrer Beschäftigten verarbeiten dürfen, sind dabei datenschutzrechtliche Vorgaben zu beachten“, stellt Prof. Dr. Dieter Kugelmann, der LfDI RLP, in einer ersten Einschätzung klar und betont:
„Die neuen Regelungen sind kein Freibrief, um sich ein umfassendes Bild über den Gesundheitszustand der Mitarbeitenden zu verschaffen! Ziel ist der Gesundheitsschutz, nicht das Ausforschen von Beschäftigten“. Der Grundsatz der Datenminimierung nach Art. 5 Datenschutz-Grundverordnung (DSGVO) gelte weiterhin uneingeschränkt.

LfDI RLP ruft Arbeitgeber auf, die datensparsamste Nachweismethode zu wählen

Arbeitgeber seien daher gehalten, die datensparsamste Nachweismethode zu wählen. Als Beispiel nennt Professor Kugelmann die Nutzung der vom RKI herausgegebenen kostenlosen „CovPassCheck-App“ durch den Arbeitgeber – idealerweise auf dem mobilen Dienst- bzw. Firmentelefon.
Diese Methode sei gegenüber dem Anlegen umfangreicher Namenslisten mit Informationen zum Genesenenstatus oder zu zurückliegenden Impfterminen „vorzugswürdig“. Soweit Nachweis-Zertifikate oder QR-Codes elektronisch übermittelt werden sollen, sei eine ausreichende Vertraulichkeit der Daten sicherzustellen, z.B. durch eine geeignete Verschlüsselung.

Appell des LfDI RLP, umsichtig und sorgsam mit den Daten umzugehen

„Insgesamt hätte ich mir eine Regelung gewünscht, bei der Arbeitgeber bei der Nachweisprüfung nur einen QR-Code einscannen und somit nicht erkennen können, welches der drei ,G‘ bei Beschäftigten vorliegt“, führt Professor Kugelmann aus. Italien habe dies mit dem „Green-Pass“ vorgemacht.
Dadurch, dass die neuen Vorschriften auch die Nutzung der Impfdaten für das Hygienekonzept des Arbeitgebers erlaubten, werde dieses Problem noch verschärft. Der LfDI RLP abschließend: „Ich appelliere an die Arbeitgeberinnen und Arbeitgeber, umsichtig und sorgsam mit den Daten umzugehen!“

Weitere Informationen zum Thema:

ROBERT KOCH INSTITUT
Die CovPassCheck-App / COVID-Zertifikate der EU direkt per App prüfen

Bundesministerium für Arbeit und Soziales, 02.11.2021
Betrieblicher Infektionsschutz / Antworten auf die häufigsten Fragen

[datensicherheit.de, 13.05.2021] Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Informationsoffensive zur Datenübermittlung in Drittländer ein und rät dringend: „Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden!“ Nach den nun erfolgten Informationsschreiben werde es stichprobenartige Kontrollen geben.

Datenschutzverstöße im Kontext von Schrems IIschnellstmöglich abzustellen bzw. verhindern!

Im Rahmen seiner Informationsoffensive hat der LfDI RLP nach eigenen Angaben Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, „um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen“. Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im letzten Jahr – 2020 – seien Datenübermittlungen zum Teil auf eine neue Rechtsgrundlage zu stellen.
Der LfDI RLP, Prof. Dieter Kugelmann, weist in dem nun versandten Schreiben darauf hin: „Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellstmöglich abzustellen oder zu verhindern.“

EuGH-Grundsatzurteil Schrems II betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis

Professor Kugelmann erläutert: „Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte ,Schrems II‘-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums.“
Diese bewegten sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe des Jahres 2021 sei es Aufgabe des LfDI RLP zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. „Zuvor wollen meine Mitarbeiterinnen und Mitarbeiter nochmals die Unternehmen und Behörden sensibilisieren. Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, sofern dies denn nötig ist“, so Professor Kugelmann.

Datenschutzrechte der betroffenen Personen sind mit Blick auf Schrems II zu stärken

Ziel der Informationsoffensive sei es, „das Bewusstsein der datenverarbeitenden Stellen zu schärfen und damit die Datenschutzrechte der betroffenen Personen, also aller Bürgerinnen und Bürger, mit Blick auf das ,Schrems II‘-Urteil zu stärken“. In der Entscheidung vom 16. Juli 2020 habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten.
Der Einsatz der „Standarddatenschutzklauseln“ für Datenübermittlungen in Drittstaaten sei ferner generell nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“. Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Nach Schrems II: EuGH erwartet, dass unzulässige Transfers ausgesetzt oder verboten werden

Der Gerichtshof habe überdies seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“
Nach den nun erfolgten Informationsschreiben werde es stichprobenartige Kontrollen geben: „Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren.“ Dies könne sanktionsmildernd wirken, sollte der LfDI RLP zu dem Ergebnis kommen, „dass sehr wohl Anpassungen zu treffen waren und sind“, sagt Professor Kugelmann.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Schrems II

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 22.04.2021] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dieter Kugelmann, geht in seiner aktuellen Stellungnahme auf die Diskussion um die Neuausrichtung der Datei „Gewalttäter Sport“ und fordert: „Behörden müssen betroffene Fans aktiv informieren!“ Bei dieser handelt es sich um eine bundesweite Verbunddatei, mit gespeicherten Daten von Personen, welche Polizeibehörden im Zusammenhang mit Sportveranstaltungen (vor allem Fußballspielen) aufgefallen sind. Zugriff haben demnach Polizeibeamte sowie Beamten der Länder und des Bundes. Die Behörden, in denen Vorfälle registriert werden, speicherten die Daten und seien für Auskünfte verantwortlich. In den vergangenen Monaten sei es verstärkt zu Kritik an dieser Datei gekommen.

Gewalttäter Sport: Neuausrichtung der Datei sinnvoll laut LfDI RLP sinnvoll

Kugelmann führt hierzu aus: „Aus meiner Sicht wäre eine Neuausrichtung der Datei ,Gewalttäter Sport‘ sinnvoll und könnte dazu führen, dass die Datensammlung transparenter und nachvollziehbarer ausgestaltet wird. Es ist überfällig, dass die Betroffenenrechte gestärkt werden: Personen, deren Daten in die Datei eingespeist wurden, müssen proaktiv von den Behörden benachrichtigt werden; bisher geschieht dies erst in einzelnen Bundesländern, etwa in Rheinland-Pfalz.“
Betroffene müssten überdies verbindlich wissen, an wen sie sich bei Nachfragen und Beschwerden wenden könnten – „etwa wenn Informationen aus ihrer Sicht falsch gespeichert wurden oder Verfahren mittlerweile eingestellt sind“. Damit würde endlich ein zentrales Prinzip des Datenschutzrechts Berücksichtigung finden. Das Auskunftsrecht sei auch Voraussetzung dafür, dass Betroffene ihren Rechtsschutz wahrnehmen könnten.

Höhere Datenqualität der Datei Gewalttäter Sport wäre auch im Sinne der Sicherheitsbehörden

Nach eigenen Angaben seit über zehn Jahren mit der Datei „Gewalttäter Sport“ befasst, erläutert Kugelmann ein zusätzliches Problem: „Eine weitere Schwachstelle der aktuellen Datei ist die mangelnde Transparenz mit Blick auf die gespeicherten Daten. Welche Datenkategorien aufgrund welcher Erhebung überhaupt versammelt sind, ist zum Teil nicht bekannt. Im Zuge einer Neuausrichtung der Datei sollte auch überprüft werden, ob die Schwellenwerte erhöht werden können, ob also leichte Delikte oder Vergehen, die derzeit zu einer Aufnahme führen, gestrichen werden können.“
Dass Behörden grundsätzlich eine entsprechende Datei befürworteten, sei indes nachvollziehbar. Eine neue Struktur und eine höhere Datenqualität wären aber auch im Sinne der Sicherheitsbehörden. „Es würde den Polizeien des Bundes und der Länder ermöglichen, Sicherheit im Fußball effektiv zu gewährleisten“, betont der LfDI RLP.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2021
LfDI RLP warnt: Registermodernisierungsgesetz gefährdet Informationelle Selbstbestimmung

POLIZEI Nordrhein-Westfalen
Datei Gewalttäter Sport

[datensicherheit.de, 12.04.2021] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) lädt zum „Speyerer Forum zur digitalen Lebenswelt“ am 21. und 22. April 2021 ein. Dieses werde sich mit der Umsetzung digitaler Anwendungen in der Verwaltung befassen. Diese Veranstaltung mit dem LfDI RLP, Prof. Dieter Kugelmann, als Mitveranstalter ist, findet demnach zum zehnten Mal statt und feiert somit ein Jubiläum. Leitfragen sind laut LfDI RLP: „Welche Themen und Trends zeichnen sich für die 2020er-Jahre ab? Was kann und muss der Staat nun tun, um die Digitalisierung in Deutschland zu einer Erfolgsgeschichte zu machen?“

LfDI RLP einer der Mitveranstalter der diesjährigem Online-Veranstaltung

Das diesjährige „Speyerer Forum“ finde virtuell statt. Neben dem LfDI RLP seien die Deutsche Universität für Verwaltungswissenschaften Speyer und die Universitätsprofessoren Mario Martini und Hermann Hill sowie der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink die Veranstalter.
Den Eingangsvortrag „Die DSGVO aus der heutigen Perspektive“ werde Jan Philipp Albrecht, Minister für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung Schleswig-Holstein, halten. Die rheinland-pfälzische Staatssekretärin Heike Raab, Bevollmächtigte des Landes Rheinland-Pfalz beim Bund und für Europa, für Medien und Digitales, spreche zum Stand der Digitalisierung.

LfDI RLP sieht aktuell starken Digitalisierungsschub

Das Tagungsprogramm soll Akteure aus Wissenschaft, Politik und Verwaltungspraxis zusammenbringen. Leitgedanke der diesjährigen Tagung sei: „Die Bürgerinnen und Bürger wollen und sollen rasch auf digitale Angebote des Staates zugreifen können.“
Dass Deutschland gerade einen starken Digitalisierungsschub erfahre, sei allerorts zu spüren: Die Umsetzung des Onlinezugangsgesetzes sei in vollem Gange, die Elektronische Patientenakte verfügbar und mobiles Arbeiten in „Pandemie“-Zeiten für viele Menschen gelebte Realität. Die Tagung gelte als renommierte Ideenwerkstatt und biete zahlreiche Möglichkeiten zur Fort-, Netzwerk- und Meinungsbildung.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2021
LfDI RLP warnt: Registermodernisierungsgesetz gefährdet Informationelle Selbstbestimmung

10. Speyerer Forum zur digitalen Lebenswelt
10 Jahre Speyerer Forum – Von der Strategie zur Umsetzung

weiterbildung.uni-speyer.de
10. Speyerer Forum zur digitalen Lebenswelt / Online-Teilnahme 10 Jahre Speyerer Forum – Von der Strategie zur Umsetzung