[datensicherheit.de, 11.01.2022] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat nach eigenen Angaben davon Kenntnis erlangt, „dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die ,LUCA‘-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat“ – es seien umgehend aufsichtsrechtliche Verfahren eingeleitet worden.

Eindeutige Rechtslage zur datenschutzrechtlich unzulässigen Abfrage und Nutzung der LUCA-App-Daten…

Der LfDI RLP möchte demnach insbesondere die Umstände geklärt wissen, welche ungeachtet der eindeutigen Rechtslage zu der „datenschutzrechtlich unzulässigen Abfrage und Nutzung“ der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen seien bereits versendet worden.

Hintergrund sei ein Vorfall aus dem November 2021: „Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die ,LUCA‘-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten.“

Gesundheitsamt hat Daten übermittelt, welche auf Anfrage vom LUCA-App-Betreiber zur Verfügung gestellt wurden

Das Gesundheitsamt sei dieser Aufforderung nachgekommen und habe die Daten von 21 Personen übermittelt, welche der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt worden seien. Die Betroffenen seien dann von der Polizei kontaktiert und zu dem Vorfall befragt worden. Mittlerweile hätten die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, so der Kommentar des LfDI RLP, Prof. Dr. Dieter Kugelmann, zu diesem Vorfall.

Vorgehen im LUCA-App-Fall erschüttert Vertrauen der Bürger in Rechtmäßigkeit staatlichen Handelns

Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes gehe eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürften und eine anderen Zwecken dienende Datenverwendung unzulässig sei.

Professor Kugelmann warnt: „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden ,Pandemie‘ das völlig falsche Signal.“ Er kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

[datensicherheit.de, 12.04.2021] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) lädt zum „Speyerer Forum zur digitalen Lebenswelt“ am 21. und 22. April 2021 ein. Dieses werde sich mit der Umsetzung digitaler Anwendungen in der Verwaltung befassen. Diese Veranstaltung mit dem LfDI RLP, Prof. Dieter Kugelmann, als Mitveranstalter ist, findet demnach zum zehnten Mal statt und feiert somit ein Jubiläum. Leitfragen sind laut LfDI RLP: „Welche Themen und Trends zeichnen sich für die 2020er-Jahre ab? Was kann und muss der Staat nun tun, um die Digitalisierung in Deutschland zu einer Erfolgsgeschichte zu machen?“

LfDI RLP einer der Mitveranstalter der diesjährigem Online-Veranstaltung

Das diesjährige „Speyerer Forum“ finde virtuell statt. Neben dem LfDI RLP seien die Deutsche Universität für Verwaltungswissenschaften Speyer und die Universitätsprofessoren Mario Martini und Hermann Hill sowie der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink die Veranstalter.
Den Eingangsvortrag „Die DSGVO aus der heutigen Perspektive“ werde Jan Philipp Albrecht, Minister für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung Schleswig-Holstein, halten. Die rheinland-pfälzische Staatssekretärin Heike Raab, Bevollmächtigte des Landes Rheinland-Pfalz beim Bund und für Europa, für Medien und Digitales, spreche zum Stand der Digitalisierung.

LfDI RLP sieht aktuell starken Digitalisierungsschub

Das Tagungsprogramm soll Akteure aus Wissenschaft, Politik und Verwaltungspraxis zusammenbringen. Leitgedanke der diesjährigen Tagung sei: „Die Bürgerinnen und Bürger wollen und sollen rasch auf digitale Angebote des Staates zugreifen können.“
Dass Deutschland gerade einen starken Digitalisierungsschub erfahre, sei allerorts zu spüren: Die Umsetzung des Onlinezugangsgesetzes sei in vollem Gange, die Elektronische Patientenakte verfügbar und mobiles Arbeiten in „Pandemie“-Zeiten für viele Menschen gelebte Realität. Die Tagung gelte als renommierte Ideenwerkstatt und biete zahlreiche Möglichkeiten zur Fort-, Netzwerk- und Meinungsbildung.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2021
LfDI RLP warnt: Registermodernisierungsgesetz gefährdet Informationelle Selbstbestimmung

10. Speyerer Forum zur digitalen Lebenswelt
10 Jahre Speyerer Forum – Von der Strategie zur Umsetzung

weiterbildung.uni-speyer.de
10. Speyerer Forum zur digitalen Lebenswelt / Online-Teilnahme 10 Jahre Speyerer Forum – Von der Strategie zur Umsetzung

[datensicherheit.de, 24.07.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Konsequenzen aus dem EuGH-Urteil „Schrems II“ ein. Der EuGH hatte Datenübermittlungen in die USA auf der Grundlage des sog. Privacy Shield für unzulässig erklärt. Der „Privacy Shield“ ist demnach ungültig und kann keine Datenübermittlung in die USA mehr rechtfertigen. „Als Konsequenz aus diesem Urteil wird der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.“ Dazu müssten die Unternehmen aussagefähig sein.

Abbildung: epbd

FAQ des European Data Protection Board zum EuGH-Urteil „Schrems II“

LfDI RLP: Standardvertragsklauseln ggf. durch weitere Vereinbarungen ergänzen

Die Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union (EU) auf der Grundlage von „Standardvertragsklauseln“ sei und bleibe möglich. „Sie ist aber voraussetzungsvoll. Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist.“
Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei aber eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, „ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt“. Dies sei vorher schon so gewesen und nunmehr erst recht dringend erforderlich – „hier werden einschlägige Nachprüfungen angeraten“. Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.

LfDI RLP: Unternehmen sollten europäische Lösungen anstreben

Der LfDI Rheinland-Pfalz weist darauf hin, „dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil ,Schrems II‘ konkretisiert hat, nicht entsprechen“. Darüber hinaus müssen die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des „Privacy Shield“ übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI RLP entsprechende Maßnahmen ergreifen. „Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.“
Der LfDI Rheinland-Pfalz rät zu Prüfungen, „ob und inwieweit Datenübermittlungen in Drittstaaten außerhalb der EU in konkreten Zusammenhängen zwingend erforderlich sind“. Lösungen, die sich innerhalb der EU abspielen, „waren und sind nach wie vor vorzugswürdig und deutlich unproblematischer“. Es könne vermutet werden, dass Wirtschaftsunternehmen mit Hauptsitz in den USA ihre Strukturen daraufhin überprüfen, „ob europäische Lösungen, die keine Datenübermittlung in die USA beinhalten, möglich sind“. Derartige Überlegungen sollten die Geschäftspartner von solchen Unternehmen im Auge behalten.

LfDI RLP: So früh wie möglich Hilfestellungen und Empfehlungen geben

Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stünden ihm sämtliche von der DSGVO vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kämen insbesondere entsprechende Anordnungen in Frage, „mit denen ein rechtswidriger Zustand abgestellt wird“. Im Fall von anhaltenden und nachhaltigen Verstößen stünden auch Geldbußen im Raum.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiteten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden könnten. Hierbei gehe es etwa um zusätzliche Vorkehrungen, die mit „Standardvertragsklauseln“ zusammen die internationalen Datenübermittlungen weiterhin tragen würden. Angesichts der dynamischen Entwicklung der Materie werde der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und „so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen“.

Weitere Informationen zum Thema:

InfoCuria Rechtsprechung
C-311/18 – Facebook Ireland und Schrems

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenübermittlungen in Drittländer

edpb European Data Protection Board, 23.07.2020
Frequently Asked Questionson the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems

datensicherheit.de, 20.07.2020
Privacy Shield: Deutsche Wirtschaft holt Daten zurück

datensicherheit.de, 18.07.2020
Privacy Shield: Ungültigkeit als Vorstoß für mehr Datenschutz / Stärkung für den Datenschutz Europas – Schutz der Privatsphäre und sicherer kommerzieller Datenaustausch

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil

datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa / Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert

[datensicherheit.de, 01.10.2013] Es sei mehr möglich als gedacht, so der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI RLP), Edgar Wagner, zu den Ergebnisse einer Podiumsdiskussion mit nationalen und internationalen Gästen, die sich am 30. September 2013 in der rheinland-pfälzischen Landesvertretung in Berlin mit der Verbesserung der Transparenz in der Drittmittelforschung befasst haben.
Mehr als 1,3 Milliarden Euro pro Jahr lässt sich die Wirtschaft kosten, dass sie die wissenschaftliche Kompetenz der deutschen Hochschulen für Forschungs- und Entwicklungszwecke in Anspruch nehmen kann. Eine Reihe fragwürdiger Kooperationen hatte in der Vergangenheit allerdings die Frage aufgeworfen, ob die Akquise und Verwendung dieser Drittmittel noch weit stärker als bisher durch die Einbindung der Öffentlichkeit kontrolliert werden sollten. Während sich unter anderem die Informationsfreiheitsbeauftragten, der Deutsche Hochschulverband und mehrere Fraktionen des Deutschen Bundestages in entsprechender Weise geäußert haben, hatten sich Vertreter der Hochschulen und der Wirtschaft mit großem Nachdruck gegen mehr Transparenz ausgesprochen, da dadurch die Betriebs- und Geschäftsgeheimnisse der Unternehmen und damit verbunden der Hochschulen gefährdet würden.
Überraschenderweise habe die Veranstaltung eine Annäherung der unterschiedlichen Auffassungen bewirkt. Nahezu einhellig sei die Zustimmung zu einer begrenzten Erweiterung der Transparenz gewesen – dabei müssten auch die Interessen der Hochschulen und der Wirtschaft berücksichtigt werden. Mehr Transparenz sei ein Wagnis, betont LfDI Wagner. Sie verlange von allen Beteiligten Mut und Einsicht. So wie die eine Seite erkennen müsse, dass Transparenz in den wohlverstandenen Interessen von Wirtschaft und Hochschulen eine Grenze finden kann, müsse die andere Seite akzeptieren, dass Transparenz als Grundlage einer demokratischen Ordnung auch für die Zusammenarbeit von Hochschulen und Wirtschaft von Vorteil sein kann. Das eine wie das andere setze Vertrauen voraus. Diese Veranstaltung in Berlin habe gezeigt, so Wagner, dass die Beteiligten aufeinander zugehen könnten, und dass eine Einigung möglich sei. Spätestens bei den Beratungen über das von der rheinland-pfälzischen Landesregierung angekündigte Transparenzgesetz werde sich zeigen, ob man zu einem Ausgleich der unterschiedlichen Interessen kommen kann.