[datensicherheit.de, 09.10.2025] Die Datenschutzkonferenz (DSK) besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder und hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. „Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.“ Die DSK stellt sich ebenfalls gegen die Pläne der dänischen EU-Ratspräsidentschaft für eine Chat-Kontrolle und fordert die Bundesregierung auf, bei ihrem Nein zur anlasslosen Massenüberwachung der Bürger zu bleiben.

© Annette Koroll

Meike Kamp: Anlasslose Massenüberwachungen, die Millionen Bürgerinnen und Bürger in der Europäischen Union unter Generalverdacht stellen, sind unverhältnismäßig!

Massenüberwachung privater Chats sowie flächendeckendes Scannen privater Nachrichten

Die dänische Regierung habe als amtierende EU-Ratspräsidentschaft die Verordnung zur sogenannten Chat-Kontrolle auf die Tagesordnung des EU-Rats am 14. Oktober 2025 gesetzt.

• Im Entwurf dieser Verordnung seien jetzt wieder verpflichtende Möglichkeiten zur Massenüberwachung privater Chats („Aufdeckungsanordnungen“) sowie die Möglichkeit des flächendeckenden Scannens von privaten Nachrichten auf den Endgeräten der Nutzer eingefügt worden.

Mit diesem „Client-Side-Scanning“ könne die Ende-zu-Ende-Verschlüsselung umgangen werden, da Nachrichten bereits vor dem verschlüsselten Versand durchsucht werden könnten.

Bundesregierung soll Verordnungsentwurf zur Chat-Kontrolle in vorliegender Fassung ablehnen

Die diesjährige Vorsitzende der DSK, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, fordert im Namen der gesamten DSK die Bundesregierung auf, weiter für sichere und vertrauenswürdige Kommunikation einzutreten und den Verordnungsentwurf zur Chat-Kontrolle in dieser Fassung abzulehnen, da weiter rechtsstaatliche Grenzen überschritten würden.

• Kamp unterstreicht: „Anlasslose Massenüberwachungen, die Millionen Bürgerinnen und Bürger in der Europäischen Union unter Generalverdacht stellen, sind unverhältnismäßig. Die vorgeschlagene Chat-Kontrolle gefährdet die sichere Kommunikation in unserer offenen Gesellschaft!“

Eine Untergrabung der Ende-zu-Ende-Verschlüsselung durch „Client-Side-Scanning“ und damit die Überwachung direkt auf den Endgeräten aller Personen wäre das „Ende der Privatsphäre, wie wir sie kennen“.

In der technischen Umsetzung bedeutet Chat-Kontrolle eine „Hintertür“

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, fügt hinzu: „In der technischen Umsetzung bedeutet die Chat-Kontrolle eine ,Hintertür’, die den Weg in die Überwachung sämtlicher Inhalte eröffnet. Das Missbrauchspotenzial ist enorm!“

• Hansen ist entschieden der Überzeugung, dass die Sicherheit unserer Kommunikation und der technischen Infrastruktur gestärkt werden müsse – und eben keinesfalls geschwächt.

Die DSK sei sich im Klaren darüber, dass Sicherheitsbehörden wirksame Werkzeuge und rechtliche Möglichkeiten zur Bekämpfung und Vermeidung von sexuellem Kindesmissbrauch benötigten. Auch die DSK unterstütze diese Zielsetzung. Dieses Ziel dürfe jedoch nicht auf Kosten der Privatsphäre von Millionen von Personen verfolgt werden, die dafür keinen Anlass gegeben hätten. „Hintertüren“ in der Verschlüsselung gefährdeten die Sicherheit der Kommunikation aller Personen und könnten auch von Kriminellen missbraucht werden.

Weitere Informationen zum Thema:

DSK DATENSCHUTZONFERENZ
Herzlich willkommen auf dem offiziellen Webauftritt der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. 

DSK DATENSCHUTZONFERENZ
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 17. Oktober 2023 / Geplante Chatkontrolle führt zu einer unverhältnismäßigen, anlasslosen Massenüberwachung!

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang

datensicherheit.de, 08.10.2025
Vereint gegen die Chat-Kontrolle: Offener Brief der europäischen Tech-Branche / Die Chat-Kontrolle würde den Datenschutz zerstören, die Verschlüsselung schwächen und die Wettbewerbsfähigkeit europäischer Unternehmen erheblich beeinträchtigen

datensicherheit.de, 07.10.2025
Chat-Kontrolle in der EU: DAV-Warnung vor dem Ende vertraulicher Kommunikation / DAV-Appell an die Bundesregierung, auf EU-Ebene standhaft zu bleiben

datensicherheit.de, 05.10.2025
Chat-Kontrolle droht: Privatsphäre im Internet für Peer Heinlein nicht verhandelbar / Während Befürworter wie Dänemark, Frankreich und Spanien Druck machen, warnt die Wirtschaft vor einer Chat-Kontrolle im Internet

datensicherheit.de, 22.08.2025
Chat-Kontrolle zum Scheitern verurteilt – doch Schlimmeres droht / Benjamin Schilz geht kritisch auf aktuelle Überwachungspläne ein: Er umreißt, welche Folgen tatsächlich drohen, und führt aus, wieso die Chat-Kontrolle den versprochenen Nutzen nicht bringen wird

datensicherheit.de, 21.06.2024
Chat-Kontrolle: Bitkom unterstützt Schutz der Kinder und Wahrung der Bürgerrechte / Mit der Chat-Kontrolle beabsichtigt die EU-Kommission, dass Web-Plattform-Anbieter ihre Dienste umfassend durchsuchen, um Darstellungen sexueller Gewalt gegen Kinder zu finden

[datensicherheit.de, 15.09.2025] Die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) betont in ihrer aktuellen Stellungnahme, dass seit dem 12. September 2025 nach einer Übergangsphase endgültig die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ gilt, kurz: „Datenverordnung“ („Data Act“). Nutzer sollen fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen. Für den Datenschutz besonders wichtig ist demnach, dass Anbieter den Nutzern auf Anforderung Produktdaten und verbundene Dienstdaten bereitstellen müssen. Das ULD – seit jeher für Beschwerden bei vermuteten Datenschutzverstößen zuständig – werde nun ebenfalls zuständig für solche Beschwerden, die mit der Verarbeitung personenbezogener Daten und den Rechten nach dem „Data Act“ zusammenhängen.

„Data Act“ verschafft Nutzern neue Rechte auf Datenzugang, -nutzung und -weitergabe

„Vernetzte Produkte sind insbesondere Gegenstände, die mit dem Internet verbunden sind und Daten über ihre Nutzung und deren Umgebung verarbeiten. Verbundene Dienste sind digitale Dienste mit deren Hilfe die vernetzten Produkte ihre Funktionen ausführen können.“

• Erfasst seien zum Beispiel elektronische Haushaltsgeräte, Fahrzeuge oder auch Produktionsmaschinen, die Daten speichern. Nutzer, die ein vernetztes Produkt besitzen oder denen zeitweilig vertragliche Rechte für die Nutzung des Produkts übertragen wurden oder die verbundene Dienste in Anspruch nehmen, erhielten mit dem „Data Act“ neue Rechte auf Zugang zu den Produktdaten.

Zusätzlich bestehen laut ULD „Weitergaberechte“, welche einen Dateninhaber verpflichten, verfügbare Produktdaten sowie die für die Auslegung und Nutzung dieser Daten erforderlichen Metadaten einer anderen Stelle zur Verfügung zu stellen.

ULD-Zuständigkeit nach „Data Act“ im Falle der Verarbeitung personenbezogene Daten

„Soweit im Zusammenhang vor allem mit der Wahrnehmung der Nutzungsrechte der Zugang, die Nutzung oder Weitergabe personenbezogener Daten zu prüfen ist, übernimmt das ULD nunmehr für die in Schleswig-Holstein verpflichteten Stellen die Datenschutzaufsicht.“ Die zugrundeliegende Aufgabenzuweisung ergebe sich aus Art. 37 Abs. 3 „Data Act“.

• „Sollten Personen der Ansicht sein, dass Unternehmen in Schleswig-Holstein ihre Rechte nach dem ,Data Act’ in Bezug auf die Verarbeitung personenbezogener Daten verletzen, haben diese die Möglichkeit, beim ULD eine Beschwerde einzureichen.“

Das ULD prüfe dann den vorgetragenen Sachverhalt und wirk im Falle einer Verletzung mit den bestehenden Befugnissen auf die Einhaltung der Vorgaben des „Data Act“ hin. Das Beschwerdeformular des ULD, das auch für Beschwerden nach dem „Data Act“ verwendet werden kann, steht online zur Verfügung.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang / Wir über uns

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Meldungen an das ULD

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI / Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 28.06.2025] Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) der Landesbeauftragten für Datenschutz Schleswig-Holstein, Dr. h.c. Marit Hansen, weist darauf hin, dass am 8. September 2025 in Kiel die diesjährige „Datenschutz-Sommerakademie“ zum Thema „Im Alarmmodus: Sicherheit und Datenschutz?“ stattfinden soll. „Expertinnen und Experten aus dem Bundesgebiet werden die aktuellen Entwicklungen im Datenschutz diskutieren.“ Aktuell schnüre die Politik neue Sicherheitspakete in Bund und Ländern – es gehe darin auch um zusätzliche Befugnisse zur Überwachung, beispielsweise auf Basis biometrischer Gesichtserkennung oder verbunden mit dem Einsatz Künstlicher Intelligenz (KI). Das Verhältnis zwischen Sicherheit und Freiheit gehöre indes zu den klassischen Grundthemen des Datenschutzes. Das Bundesverfassungsgericht (BVerfG) und der Europäische Gerichtshof (EuGH) zeigten in ihren Entscheidungen immer wieder Grenzen auf, „wenn der Eingriff in die Grundrechte und Grundfreiheiten überhandnimmt“.

Abbildung: ULD

„Sommerakademie 2025: Im Alarmmodus: Sicherheit und Datenschutz?“ am 8. September 2025 in Kiel

In der Diskussion: Rote Linien im Spannungsfeld Datenschutz vs. Überwachung

In der digitalisierten Welt mit Daten über jeden Bürger und angesichts des fortwährenden Ausbaus von rechtlichen und technischen Überwachungsinstrumenten stelle sich die Frage, wo die Roten Linien verliefen:

• „Unter welchen Bedingungen soll sich der Staat welcher Kontrollmöglichkeiten bedienen können?
• Wie kann es sein, dass verfassungs- oder europarechtswidrige Gesetze in Kraft treten?
• Vorgeschlagen wird ein Konzept zur Erfassung der Gesamtheit aller staatlichen Überwachungsmaßnahmen in Form einer Überwachungsgesamtrechnung – geht dies überhaupt und was ließe sich damit bewirken?“

Auch Unternehmen installierten Überwachungswerkzeuge bzw. werten Daten über Nutzer aus

Es sei aber nicht nur der Staat: Auch Unternehmen installierten Überwachungswerkzeuge zur Kontrolle ihrer Beschäftigten oder werteten Daten über das Verhalten von Nutzern aus. Wieder spiele Sicherheit als Motiv für mehr Überwachung eine Rolle – „denn zwingen nicht die neuen gesetzlichen Anforderungen im Bereich der Netz- und Informationssicherheit zu mehr Kontrolle?“

„Ist der Einsatz der fortschrittlichsten Überwachungstools also quasi alternativlos? Und wie passt dies mit Datenschutzanforderungen wie dem Grundsatz der Datenminimierung zusammen?“

Infobörsen zu zahlreichen Themen rund um Datenschutz und Informationsfreiheit

Die „Sommerakademie 2025“ ist der Diskussion solcher Fragen mit Experten rund um Sicherheit, Freiheit und Selbstbestimmung gewidmet – und dabei solle das Augenmerk insbesondere auf die neuen technischen und rechtlichen Entwicklungen gelegt werden.

Das Nachmittagsprogramm soll praxisrelevantes Wissen in zwölf „Infobörsen“ vermitteln, welche zahlreiche Themen rund um den Datenschutz und die Informationsfreiheit abdecken.

„Sommerakademie 2025“: „Im Alarmmodus: Sicherheit und Datenschutz?“

Montag, 8. September 2025 im „ATLANTIC Hotel“ ab 9.00 Uhr
Raiffeisenstraße 2 in 24103 Kiel
Kostenpflichtige Veranstaltung – Online-Anmeldung bis 22.08.2025 möglich

Vortragende (ohne Gewähr):

• Dr. h. c. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein
• Dr. Ulf Kämpfer, Oberbürgermeister der Landeshauptstadt Kiel
• Staatssekretärin Magdalena Finke, Ministerium für Inneres, Kommunales, Wohnen und Sport des Landes Schleswig-Holstein
• Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, Vorsitz der Datenschutzkonferenz im Jahr 2025
• David Werdermann, Gesellschaft für Freiheitsrechte e.V.
• Prof. Dr. Dennis-Kenji Kipker, cyberintelligence.institute, Frankfurt/Main
• Prof. Dr. Peter Wedde, Institut für Datenschutz, Arbeitsrecht und Technologieberatung in Wiesbaden
• Maria-Christina Rost, Landesbeauftragte für den Datenschutz Sachsen-Anhalt
• Dr. Heinke Bastek, Kontor Business IT GmbH & Splitbot GmbH, Lübeck
• sowie weitere Beschäftigte des ULD

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2025: Programm

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2025: Faltblatt

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2025: Im Alarmmodus: Sicherheit und Datenschutz? / Anmeldung

datensicherheit.de, 03.05.2025
Überwachungsgesamtrechnung: DAV fordert angemessene Reaktion auf Ergebnisse / Swen Walentowski als stellvertretender DAV-Hauptgeschäftsführer nimmt Stellung

datensicherheit.de, 12.04.2025
Koalitionsvertrag: Digitalcourage warnt vor untoten Überwachungsallüren / Vehemente Kritik an der Priorisierung „Datennutzung vor Datenschutz“

[datensicherheit.de, 23.06.2025] Das Unabhängige Landeszentrum für Datenschutz (ULD) als Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang, Dr. h.c. Marit Hansen, überwacht die Einhaltung des Datenschutzrechts bei schleswig-holsteinischen Behörden und nichtöffentlichen Stellen mit Sitz in Schleswig-Holstein. Bei Verstößen kann sie Maßnahmen zu deren Beseitigung ergreifen sowie gegenüber nichtöffentlichen Stellen Bußgelder verhängen. Bürger können sich mit Beschwerden an das ULD wenden, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen den Datenschutz verstößt und sie dadurch in ihren Rechten verletzt sind. Die Landesbeauftragte für Datenschutz und das ULD wirken mit beim „Tag der offenen Tür“ im Schleswig-Holsteinischen Landtag am 13. Juli 2025.

Foto: Markus Hansen, ULD

Dr. h.c. Marit Hansen stellt sich dem Gespräch am „Tag der offenen Tür 2025“

ULD beim „Tag der offenen Tür 2025“ mit Informationsstand vertreten

Das ULD wird beim „Tag der offenen Tür“ im Schleswig-Holsteinischen Landtag am Sonntag, dem 13. Juli 2025, mit einem Informationsstand vertreten sein. Bei dieser Veranstaltung im Zeitraum 10.00 bis 18.00 Uhr gibt es demnach die Möglichkeit, mit der Landesbeauftragten für Datenschutz und weiteren Datenschutzexperten der Dienststelle ins Gespräch zu kommen:

Das Spektrum der Themen reicht laut ULD u.a. von der Video-Überwachung, über die Datenverarbeitung im Gesundheitsbereich, Künstliche Intelligenz (KI), das Informationszugangsgesetz (IZG SH) bis hin zur Medienkompetenz für Kinder und Jugendliche. „Wir halten eine Vielzahl von Informationen und Broschüren für Sie vor Ort bereit.“

Marit Hansen erwartet Besucher am ULD-Informationsstand:

„Tag der offenen Tür“
Sonntag, 13. Juli 2025, 10.00 bis 18.00 Uhr
Schleswig-Holsteinischer Landtag
Landeshaus
Düsternbrooker Weg 70
24105 Kiel

Der ULD-Informationsstand befindet sich im 1. Stock auf der Wasserseite im „Schleswig-Holstein-Saal“. Dort steht Marit Hansen zu folgenden Zeiten für Gespräche zur Verfügung (ohne Gewähr):

• 11.00 – 11.20 Uhr
• 12.00 – 12.20 Uhr
• 13.00 – 13.20 Uhr
• 14.00 – 14.20 Uhr
• 15.00 – 15.20 Uhr

Weitere Informationen zum Thema:

SCHLESWIG-HOLSTEINISCHER LANDTAG
Tag der offenen Tür

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang

datensicherheit.de, 23.02.2022
Aktueller ULD-Datenschutzbericht: Viel zu wenig aus Fehlern und Pannen gelernt! / Landesbeauftragte für Datenschutz Schleswig-Holstein hat Tätigkeitsbericht für 2021 vorgelegt

datensicherheit.de, 29.04.2020
ULD: Leitfaden zu Videokonferenzen und Datenschutz / Empfohlende Regeln und Maßnahmen zur Einhaltung der Anforderungen

datensicherheit.de, 09.08.2019
ULD: Beim Datenschutz ist Vorsorge besser als Nachsorge / Auch ohne Abmahnwelle sollte DSGVO ernstgenommen werden

datensicherheit.de, 27.03.2017
Neues ULD-Faltblatt: Datenschutz im Melderecht / Informationen zu den Fragen „Welche Daten von Ihnen stehen im Melderegister? Und welchen Datenübermittlungen können Sie widersprechen?“

datensicherheit.de, 17.03.2016
Datenschutz-Folgenabschätzung wird zur Pflicht: ULD rät zu Vorsorge / White Paper des Forums Privatheit und selbstbestimmtes Leben in der Digitalen Welt erschienen

datensicherheit.de, 05.12.2014
Neuer ULD-Kriterienkatalog für Datenschutz-Gütesiegel Schleswig-Holstein / Ausgezeichnete Produkte werden bei öffentlichen Ausschreibungen in Schleswig-Holstein bevorzugt eingesetzt

[datensicherheit.de, 05.05.2025] Die Landesbeauftragte für Datenschutz Schleswig-Holstein weist in einer Vorankündigung auf die am 8. September 2025 in Kiel stattfindende „Sommerakademie“ hin, welche diesmal unter dem Motto „Im Alarmmodus: Sicherheit und Datenschutz?“ steht.

Abbildung: ULD

„Im Alarmmodus: Sicherheit und Datenschutz?“ am 8. September 2025 in Kiel

Verhältnis zwischen Sicherheit und Freiheit klassische Grundthemen des Datenschutzes

Am Montag, dem 8. September 2025, wird in Kiel die jährliche „Datenschutz-Sommerakademie“ zum Thema „Im Alarmmodus: Sicherheit und Datenschutz?“ stattfinden: Datenschutz-Experten aus dem gesamten Bundesgebiet werden die aktuellen -Entwicklungen diskutieren. „Aktuell schnürt die Politik neue Sicherheitspakete in Bund und Ländern. Es geht darin auch um zusätzliche Befugnisse zur Überwachung, beispielsweise auf Basis von biometrischer Gesichtserkennung oder verbunden mit dem Einsatz von Künstlicher Intelligenz.“

Das Verhältnis zwischen Sicherheit und Freiheit gehöre nun zu den klassischen Grundthemen des Datenschutzes. Das Bundesverfassungsgericht (BVG) und der Europäische Gerichtshof (EuGH) zeigten in ihren Entscheidungen immer wieder Grenzen auf, „wenn der Eingriff in die Grundrechte und Grundfreiheiten überhandnimmt“.

In der Datenschutz-Diskussion: Grundrechte-Check der Gesetzgebung

„In der digitalisierten Welt mit Daten über jede und jeden und angesichts des fortwährenden Ausbaus von rechtlichen und technischen Überwachungsinstrumenten stellt sich die Frage, wo die Roten Linien verlaufen: Unter welchen Bedingungen soll sich der Staat welcher Kontrollmöglichkeiten bedienen können? Wie kann es überhaupt sein, dass verfassungs- oder europarechtswidrige Gesetze in Kraft treten?“ Vorgeschlagen wird demnach ein Konzept zur Erfassung der Gesamtheit aller staatlichen Überwachungsmaßnahmen in Form einer sogenannten Überwachungsgesamtrechnung – „geht dies überhaupt und was ließe sich damit bewirken?“

Es sei aber nicht nur der Staat: Auch Unternehmen installierten Überwachungswerkzeuge zur Kontrolle ihrer Beschäftigten oder werteten Daten über das Verhalten von Nutzern aus. „Wieder spielt ,Sicherheit’ als Motiv für mehr Überwachung eine Rolle, denn zwingen nicht die neuen gesetzlichen Anforderungen im Bereich der Netz- und Informationssicherheit zu mehr Kontrolle? Ist der Einsatz der fortschrittlichsten Überwachungstools also quasi alternativlos? Und wie passt dies mit Datenschutzanforderungen wie dem Grundsatz der Datenminimierung zusammen?“

Verschiedene aktuelle Themen zum Datenschutz und zur Informationsfreiheit im Fokus

Im Rahmen der „Sommerakademie 2025“ sollen mit Experten diese und weitere Fragen rund um Sicherheit, Freiheit und Selbstbestimmung diskutiert und dabei das Augenmerk insbesondere auf die neuen technischen und rechtlichen Entwicklungen geleget werden. Am Nachmittag sollen – wie gewohnt – zahlreiche „Infobörsen“ stattfinden, in denen verschiedene aktuelle Themen im Datenschutz und in der Informationsfreiheit aufgegriffen werden.

Vortragende sind u.a. (ohne Gewähr):

• Staatssekretärin Magdalena Finke, Ministerium für Inneres, Kommunales, Wohnen und Sport des Landes Schleswig-Holstein
• Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, Vorsitz der Datenschutzkonferenz im Jahr 2025
• David Werdermann, Gesellschaft für Freiheitsrechte e.V.,
• Prof. Dr. Dennis-Kenji Kipker, cyberintelligence.institute, Frankfurt/Main
• Prof. Dr. Peter Wedde, Wissenschaftlicher Leiter des Instituts für Datenschutz, Arbeitsrecht und Technologieberatung, d+a consulting GbR, Wiesbaden
• Dr. h. c. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein mit ihrem Team im ULD

„Sommerakademie 2025“
„Im Alarmmodus: Sicherheit und Datenschutz?“
Montag, 8. September 2025, „ATLANTIC Hotel“ in Kiel um 9.00 Uhr
Das detaillierte Programm und die Möglichkeit zur Online-Anmeldung wird in Kürze auf der Website des ULD zu finden sein.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2025 – Im Alarmmodus: Sicherheit und Datenschutz?

datensicherheit.de, 03.05.2025
Überwachungsgesamtrechnung: DAV fordert angemessene Reaktion auf Ergebnisse / Swen Walentowski als stellvertretender DAV-Hauptgeschäftsführer nimmt Stellung

datensicherheit.de, 01.12.2021
eco-Forderung: Überwachungsgesamtrechnung darf nicht nur Ampel-Lippenbekenntnis bleiben / eco-Vorstand Klaus Landefeld kommentiert Koalitionsvertrag

[datensicherheit.de, 27.07.2024] Die Landesbeauftragte für Datenschutz Schleswig-Holstein (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / ULD) lädt zur „Datenschutz-Sommerakademie 2024“ nach Kiel ein: Unter dem Motto „Digitale Datenräume und Archive: Brückenschlag zwischen Vergangenheit und Zukunft“ wird u.a. das Spannungsfeld Daten-Vertraulichkeit im Interesse Einzelner vs. Daten-Verfügbarkeit im öffentlichen Interesse (etwa für die Forschung) erörtert.

Abbildung: ULD

Das ULD lädt nach Kiel ein: Sommerakademie 2024 – Digitale Datenräume und Archive: Brückenschlag zwischen Vergangenheit und Zukunft

Zielkonflikt: Daten-Verfügbarkeit einerseits, Daten-Vertraulichkeit andererseits

„Sommerakademie 2024 – ,Digitale Datenräume und Archive: Brückenschlag zwischen Vergangenheit und Zukunft’“
Montag, 9. September 2024 von 9.00 bis 17.00 Uhr
ATLANTIC Hotel Kiel, Raiffeisenstraße 2 in 24103 Kiel
Kostenpflichtige Veranstaltung, Anmeldung bis 31.08.2024 erforderlich.

„Seit einigen Jahren werden auf allen Ebenen – von Europa über Deutschland bis hin nach Schleswig-Holstein – Datenstrategien erarbeitet: Daten sollen in größerem Umfang und in besserer Qualität genutzt werden, um Vorteile für die Weiterentwicklung von Staat, Gesellschaft, Wirtschaft und Forschung auszuschöpfen.“ Unabhängig davon gälten indes die gesetzlichen Schutzpflichten, insbesondere das Datenschutzrecht, um die Rechte der Betroffenen zu wahren. Datentreuhänder seien wichtige Komponenten in den Datenstrategien, beispielsweise beim Aufbau von Datenräumen zur Gesundheit oder Mobilität.

Nicht immer sind Datenschutz-Regelungen eindeutig…

Eine ganz besondere Rolle spielten die Archive im öffentlichen Bereich: „Alle heutigen Datenschutzgesetze enthalten weitreichende Ausnahmebestimmungen für die Archive, die sich als verlässliche Datentreuhänder ein besonderes Vertrauen verdient haben.“ Ein reflektierter Umgang mit Informationen müsse sich in der Praxis niederschlagen, in der es Zielkonflikte zwischen Informationeller Selbstbestimmung und Erinnerungsauftrag zu lösen gelte. Nicht immer seien die Regelungen eindeutig und nicht immer könnten die Archive berechtigte Interessen von Bürgern berücksichtigen – „sowohl der Personen, die die archivierten Informationen betreffen, als auch derjenigen, die Einsicht in personenbezogenes Archivgut erhalten möchten“.

Auch in der eigentlich gesetzlich geregelten Zusammenarbeit zwischen Behörden und öffentlichen Archiven sorge das Thema Datenschutz häufig für Diskussionen: „Warum müssen personenbezogene Daten auch dann dem Archiv übergeben werden, wenn aus Gründen des Datenschutzes eine Löschung vorgesehen ist? Warum müssen betroffene Personen einer Weitergabe ihrer Daten an ein Archiv nicht zustimmen? Und was unterscheidet eigentlich ein öffentliches Archiv von einer privaten Einrichtung oder gar dem Anbieter einer ,Datencloud’?“

Weitreichende Fragen beim Aufbau der Datenräume in der EU und in Deutschland sind zu klären

Im Unterschied zu den Archiven hielten die digitalen Datenräume in der Regel Kopien von noch weiter in Verarbeitung befindlichen Daten bereit, statt mit archivierten Originalakten zu arbeiten: „Es geht um eine Verarbeitung im Hier und Jetzt, und nicht um eine historische Auswertung in der Zukunft nach Ablauf von Schutzfristen.“ Daher müssten weitergehende Fragen beim Aufbau der Datenräume in der EU und in Deutschland geklärt werden: „Wer stellt unter welchen Bedingungen Daten bereit, wer darf wann darauf zugreifen, wie sind Daten und Auswertungsergebnisse zu schützen? Ist die Weiterverarbeitung von Kopien nach dem Ablauf von Löschfristen und der Abgabe der Originale an ein Archiv zulässig?“

Die Rolle von Datentreuhändern sowie das Verhältnis von Datenschutz und Archivierung, aber auch Informationsfreiheit biete Raum für verschiedenste Perspektiven, von denen einige im Rahmen der „Sommerakademie 2024“ vorgestellt und diskutiert werden sollen. „Wie gewohnt finden am Nachmittag zahlreiche Infobörsen statt, in denen verschiedene aktuelle Themen im Datenschutz, zu Archiven und im Bereich der Informationsfreiheit vorgestellt werden.“

Weitere Informationen zum Thema und zur Anmeldung:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2024: Programm

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2024: Organisatorisches und Teilnahmebeitrag

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2024: Anmeldung

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2024: Faltblatt

[datensicherheit.de, 23.02.2022] Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2021 vorgelegt. Dieser greift demnach zahlreiche Themen des Datenschutzes und der Informationsfreiheit auf, mit denen sich das Unabhängige Landeszentrum für Datenschutz (ULD) 2021 beschäftigt hatte. Wiederkehrende Probleme seien der Missbrauch vorhandener Daten, Rechtsverstöße aus Unachtsamkeit und viele Datenpannen.

Foto: ULD Schleswig-Holstein

Marit Hansen: Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund…

Anfragen und Beschwerden zu einer breiten Palette von Themen, alle möglichen Formen der Verarbeitung von Daten betreffend

Wie schon 2020 sei ihre Tätigkeit im Jahr 2021 von der „Pandemie“ geprägt gewesen: „,Corona‘ und Datenschutz, ,Corona‘ und Informationsfreiheit – aber wir bekamen auch wieder Anfragen und Beschwerden zu einer breiten Palette von Themen, die alle möglichen Formen der Verarbeitung von Daten betrafen.“ Das ULD habe 1.464 Beschwerden zu mutmaßlichen Datenschutzverstößen erhalten, weitere 712 Beratungsanfragen seien bearbeitet worden.

Dies entspreche etwa den Zahlen des Jahres 2020. Eine Zunahme um 50 Prozent sei im Bereich der Informationsfreiheit zu verzeichnen gewesen, in dem das ULD in 78 Fällen eingeschaltet worden sei – „und häufig erreichen konnte, dass mehr Informationen herausgeben wurden“.

Hansen sieht dies als Ansporn zur Verbesserung der Situation im Land, denn: „Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund. Die Nachvollziehbarkeit des Behördenhandelns hat aber gerade in ,Pandemie‘-Zeiten an Wichtigkeit gewonnen.“

Im Vergleich zu 2020 stieg 2021 Zahl der Datenpannen-Meldungen um etwa 60 Prozent

In einem anderen Bereich sehe man ebenfalls einen auffälligen Zuwachs, so Hansen: „Im Vergleich zum Vorjahr stieg die Zahl der Datenpannen-Meldungen um etwa 60 Prozent. Dennoch zeigt sich in unseren Prüfungen, dass es noch immer Fälle gibt, in denen die Verantwortlichen ihrer Meldepflicht nicht nachgekommen sind.“

Die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten – kurz: „Datenpannen“ – sei eine rechtliche Anforderung und müsse von den Verantwortlichen umgesetzt werden. Ihre Dienststelle werbe aber auch dafür, diese Pflicht als Chance zu begreifen, damit alle Beteiligten aus den Fehlern lernen könnten. Denn: „Hinterher ist man immer schlauer“ gelte ja nur dann, wenn die Verantwortlichen feststellen könnten, was schiefgelaufen ist, und wenn sie daraus abgeleitete Maßnahmen treffen, „damit sich die Datenschutzverletzungen nicht wiederholen“.

Im vorliegenden Tätigkeitsbericht fänden sich viele Beispiele für Datenpannen. Hansen kommentiert: „Unser Bericht dient auch dazu, dass alle aus Fehlern lernen können, die passiert sind. Diese Beispiele können dabei helfen, das Risiko zu bewerten, das mit der Verarbeitung personenbezogener Daten in der eigenen Firma oder Behörde verbunden ist, und geeignete Gegenmaßnahmen zu treffen.“

Sich immer wieder verändernde Corona-Regelungen haben zur Verunsicherung bei der Datenverarbeitung geführt

Das Titelbild des Tätigkeitsberichts zeige dieses Jahr ein Labyrinth, dessen Wände mit schwarz-weißen QR-Codes gepflastert seien – „ein Sinnbild für die Komplexität unseres Lebens mit oft nur schwer durchschaubaren Regeln, in dem sich viele nur mit Mühe zurechtfinden“. Ebenso komplex sei die Technikwelt mit dem sich dynamisch ändernden Zusammenspiel diverser Hard- und Softwarekomponenten. Technik könne helfen, Technik bringe aber auch neue Risiken mit sich.

Selbst das simple Beispiel der QR-Codes verdeutliche das Problem des Verstehens, denn Menschen könnten nicht direkt ersehen, welche Daten darin enthalten sind, sondern müssten das Muster erst per Smartphone scannen. „Und: Wer bei einer Einlasskontrolle einen solchen QR-Code etwa als Impfnachweis vorzeigt, weiß nicht, ob dieser beim Scannen lediglich gelesen und die Gültigkeit geprüft wird oder ob der Code kopiert und die ausgelesenen Informationen gespeichert werden.“

Auch die sich immer wieder verändernden „Corona“-Regelungen haben im „Pandemie“-Jahr 2021 zu einer Verunsicherung bei der Datenverarbeitung geführt: „Wie muss mit Kontaktdaten umgegangen werden? Was ist aus Datenschutzsicht bei der Prüfung von Impf-, Genesen- und Testnachweisen zu beachten?“ Beim ULD seien viele Beschwerden eingegangen, „wenn Verantwortliche personenbezogene Daten beispielsweise von Gästen oder Beschäftigten verlangten, die gar nicht erforderlich waren, oder wenn das Risiko bestand, dass unbefugt auf sensible Daten zugegriffen werden konnte“.

Einige der Datenpannen betrafen -verarbeitung rund um das Impfen oder Testen

Einige der eingetretenen Datenpannen hätten sich auf Verarbeitungen rund um das Impfen oder Testen bezogen, andere mit dem Arbeiten im Home-Office zusammengehangen, „z.B. die Fälle, in denen Akten oder Datenträger auf dem Transport zwischen Dienstort und dem Zuhause abhandenkamen“. Offene E-Mail-Verteiler, Fehladressierungen oder verlorene unverschlüsselte USB-Sticks gehörten zu den Dauerthemen bei den Datenpannen-Meldungen. Der große Anstieg der Meldezahlen habe sich aber aus mehreren Wellen von Angriffen über das Internet auf Server von Firmen und Behörden ergeben, bei denen personenbezogene Daten betroffen gewesen seien.

Hansen unterstreicht: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können. Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind. Einige Akteure haben ein Interesse daran, Sicherheitslücken zu kultivieren statt sie zu schließen – dies ermöglicht dann ein heimliches Infiltrieren von Smartphones und Ausspionieren von Menschen mit Überwachungssoftware wie ‚Pegasus‘, die in vielen Ländern zum Einsatz kommt.“

Sie sieht darin einen Verstoß gegen das Grundrecht auf Gewährleistung der Vertraulichkeit sowie Integrität informationstechnischer Systeme – und fordert daher: „Datenschutz und Sicherheit müssen eine Selbstverständlichkeit bei jeder Verarbeitung personenbezogener Daten sein.“

Verantwortliche müssen eigene Prozesse datenschutzgerecht gestalten!

Für die Verantwortlichen bedeute dies, „dass ihre eigenen Prozesse datenschutzgerecht zu gestalten sind“. Bei der Auswahl von Produkten und Dienstleistern müssten sie sorgfältig vorgehen und Datenschutzkonformität einfordern. Wichtige Ansprechpartner seien die Datenschutzbeauftragten im Unternehmen oder in der Behörde. Das bewusst missbräuchliche Verwenden von personenbezogenen Daten und das absichtliche Verstoßen gegen das Recht durch Verantwortliche und deren Dienstleister würden in der täglichen Arbeit des ULD, dessen Zuständigkeitsbereich auf Schleswig-Holstein beschränkt sei, vergleichsweise selten festgestellt.

Sehr viel häufiger seien solche Fälle, in den die Verantwortlichen unachtsam gewesen seien oder die Datenschutzanforderungen grob fahrlässig ignoriert hätten. Zu den am meisten nachgefragten Bereichen gehört die Videoüberwachung (179 Beschwerden, 36 Beratungsanfragen). Auch Datenschutz-Fehler bei der Website-Gestaltung – etwa durch ein unzulässiges Einbinden problematischer Tracking-Technik – seien mittlerweile stärker in den Fokus gelangt, beispielsweise im Rahmen der länderübergreifenden Branchenprüfung im Bereich Medien.

Die rechtlichen Anforderungen und Hinweise zur korrekten Umsetzung ließen sich den Orientierungshilfen, Leitlinien und Informationsbroschüren entnehmen, „die auf den Webseiten der Aufsichtsbehörden abrufbar sind und regelmäßig aktualisiert werden, wenn sich Gesetze ändern (im Jahr 2021 mit der Einführung des Telekommunikations-Telemedien-Datenschutzgesetz) oder gerichtliche Entscheidungen zu den Sachverhalten rechtskräftig werden“.

Wissensvermittlung und Sensibilisierung zum Datenschutz und zur Informationsfreiheit

Ein weiterer wichtiger Bereich des ULD im Jahr 2022 sei die Wissensvermittlung und Sensibilisierung zu den Themen Datenschutz und Informationsfreiheit über die Datenschutzakademie in Kursen, für Schulklassen und in Präsenzveranstaltungen wie der „Sommerakademie“. Nach dem der „Pandemie“ geschuldeten Aussetzen in den letzten beiden Jahren solle diese Konferenz nun am 12. September 2022 unter dem Thema „Informationsfreiheit by Design – und der Datenschutz?!“ stattfinden.

Das diesjährige Thema sei passend dazu gewählt, dass die Landesbeauftragte für Datenschutz für das Jahr 2022 den jährlich wechselndem Vorsitz der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder übernommen habe. Schleswig-Holstein leiste mit seinem Informationszugangsgesetz, dem Transparenzportal und den Open-Data-Initiativen einen bedeutenden Beitrag für eine bessere Nachvollziehbarkeit des Verwaltungshandelns und für Transparenz. Die häufigsten Fragen aus der Praxis beantworte das ULD in einer neuen Informationsbroschüre.

Hansen freue sich auf den kommenden Austausch mit Bund und Ländern sowie mit weiteren Initiativen und Akteuren. „Am besten werden Technik und Prozesse von Anfang an so gestaltet, dass sowohl Datenschutz- als auch Informationsfreiheitsanforderungen berücksichtigt werden“, betont die als Landesbeauftragte für beide Bereiche Zuständige. „Das Ziel sind praxistaugliche Umsetzungen, um die Wahrnehmung des Rechts auf Informationszugang sowohl für die Antragstellenden als auch für diejenigen, die die Informationen bereitstellen müssen, zu erleichtern. Klar: mit Datenschutz!“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Tätigkeitsbericht 2022 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein / Berichtszeitraum: 2021

[datensicherheit.de, 28.08.2020] Die „Corona-Bekämpfungsverordnung Schleswig-Holstein“ verpflichte u.a. Gastronomen und Veranstalter zur Erfassung von Kontaktdaten ihrer Gäste. Diese Daten dürften aber nicht in falsche Hände gelangen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD-SH) hat nach eigenen Angaben immer wieder auf Probleme hingewiesen: „Sammlungen per Liste, herumfliegende Zettel, in Einzelfällen sogar Missbrauch der Daten.“ Aufgeworfen wird die Frage in einer aktuellen Stellungnahme, ob es mit technischen Lösungen besser gehen würde.

Foto: Markus Hansen, ULD-SH

Marit Hansen zeigt sich offen für Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte

Schon mehrfach Datenlecks bei Kontaktdaten-Servern vorgekommen

Für die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, ist dies nach ULD-SH-Angaben nicht selbstverständlich: „Bei den Kontaktformularen sehen die Gäste, wie damit umgegangen wird. Gastronomen und Veranstalter können aktiv dafür sorgen, dass die Papierdaten so gelagert werden, dass sie für Unbefugte nicht zugänglich sind. Beim täglichen Schreddern nach der Aufbewahrungsfrist von vier Wochen bleiben nur noch kleine Schnipsel über – die Daten sind dann weg.“
Bei technischen Angeboten müsse man sich dagegen in der Regel auf Dienstleister verlassen. Leider seien schon mehrfach Datenlecks der Kontaktdaten-Server solcher Angebote vorgekommen. Das betreffe dann nicht nur ein einzelnes Restaurant, „sondern oft sind in solchen Fällen sämtliche gespeicherte Daten abrufbar“. Aus diesen Daten gehe hervor, „wer wann wo gegessen hat – und wer zur selben Zeit ebenfalls vor Ort war“.

Kontaktnachverfolgung nur im Infektionsfall zulässig

Nach Hansens Überzeugung sollten nicht nur Berufsgruppen wie Anwälte oder Journalisten darauf achten, „dass ihre Gesprächspartnerinnen und -partner nicht in ,Corona‘-Kontaktdatenbanken landen, bei denen es zu unerwünschten Abrufen kommen kann“. Im Prinzip betreffe es uns alle: „Es geht keinen etwas an, wo und wann wir essen gehen oder an Veranstaltungen teilnehmen.“ Deswegen sei die sichere Verwahrung der Daten so wichtig, die eben nur während der „Pandemie“ und nur für den Zweck der Kontaktnachverfolgung im Infektionsfall erfasst werden dürften.
Für Datenschutz und Datensicherheit von IT-Angeboten müsse der Betreiber ständig am Ball bleiben: „Pfusch geht nicht, Sorgfalt und Qualität sind stets mit Kosten verbunden.“ Die Landesbeauftragte für Datenschutz habe zwar Verständnis dafür, wenn man zur Vereinfachung technische Angebote wählen möchte, doch gebe sie zu bedenken: „Nicht jede Person hat ein Smartphone und kann ihre Daten per App oder Webbrowser melden. Das bedeutet für die Gastronomen und Veranstalter, dass ohnehin auch noch eine Lösung ohne Informationstechnik bereitgehalten werden muss.“

Marit Hansen offen für Entwicklung von Technik für datensparsame Erfassung der Kontaktdaten…

Offen zeigt sich Hansen demnach „für die Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte – zum Beispiel mit pseudonymen digitalen Erreichbarkeitsadressen, die jeweils nur einmal verwendet werden und nicht den Namen und die Postadresse enthalten“.
Dies würde einige Datensicherheitsprobleme lösen. Doch es sei noch „Zukunftsmusik“ und in dieser Form bisher nicht in den aktuellen „Corona“-Verordnungen zugelassen. Heutzutage benötigten die Gesundheitsämter für ihre Aufgabe der Kontaktnachverfolgung den Namen und die Adresse.

Die häufigsten Fragen an das ULD zu Kontaktdaten

Das ULD verweist hierzu auf § 4 Abs. 2 „Corona-Bekämpfungsverordnung Schleswig-Holstein“ mit Stand v. 24.08.2020).

• Welche Kontaktdaten werden zum jeweiligen Datum abgefragt? Name, Anschrift und, soweit vorhanden, Telefonnummer oder E-Mail-Adresse.
• Wie lange werden die Daten aufbewahrt? Vier Wochen. Danach müssen sie vernichtet werden, z.B. geschreddert.
• Dürfen die Daten anderweitig verwendet werden? Nein! Die Kontaktdaten dürfen nicht für andere Zwecke (z.B. Werbung) verwendet werden.
• Wann muss ein Gastronom oder Veranstalter die Daten herausgeben? Nur wenn das Gesundheitsamt (die zuständige Behörde) die Daten anfordert. Das kann geschehen, wenn es darum geht, Infektionswege nachzuvollziehen und Personen, die sich angesteckt haben könnten, zu informieren.
• Woran muss ein Veranstalter oder Betreiber noch denken? Vor allem an die Datensicherheit: Bei Aufbewahrung und Umgang mit den Daten muss gewährleistet sein, dass Unbefugte darauf nicht zugreifen können.
• Und wenn der Datenschutz nicht eingehalten wird? Dann kann man sich beschweren. Das ULD geht jeder Beschwerde nach.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 28.08.2020
Hinweise zur Erfassung von Kontaktdaten gemäß Corona-Bekämpfungsverordnung

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sonderinformationen zu Datenschutz in der Corona-Krise

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben

[datensicherheit.de, 09.08.2019] Als die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 endgültig eingeführt wurde, hätten viele Unternehmer mit Angst und Panik vor Datenschutz-Bußgeldern und Abmahnwellen reagiert. Dieses Schreckensszenario sei nicht eingetreten: „Bußgelder für Datenschutzverstöße werden in Deutschland und in Europa mit Augenmaß verhängt, die prophezeite Abmahnwelle ist bisher ausgeblieben“, so Die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Dennoch gelte: „Vorsorge ist besser als Nachsorge. Wer sich gut in Sachen Datenschutz aufstellt, hat nichts zu befürchten.“

Datenschutz in den Unternehmen angekommen

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, zieht nach eigenen Angaben ein Resümee des letzten Jahres: „Datenschutz ist in den Unternehmen angekommen. Kundinnen und Kunden sind sensibilisiert und wollen sichergehen, dass ihre personenbezogenen Daten fair verarbeitet werden. Auch haben viele Unternehmer gemerkt, wie wichtig es ist, die eigene Datenverarbeitung gegen die Angriffe wie Hacking oder Erpressungstrojaner abzusichern.“

Beim ULD keine Meldungen über Abmahnwellen eingegangen

Im ULD seien „keine Meldungen über Abmahnwellen eingegangen“. Auch habe das ULD in seiner aufsichtsbehördlichen Tätigkeit „keine Hinweise auf eine rechtswidrige Abmahnpraxis zu Datenschutzfragen“ erhalten. Aus den anderen Bundesländern lägen dem ULD ebenfalls keine entsprechenden Erkenntnisse vor. Die DSGVO habe auch nicht etwa den Weg für Abmahnungen bzw. Unterlassungsverpflichtungen wegen Datenschutzverstößen gebahnt.

Wer personenbezogene Daten verarbeitet, muss Datenschutzanforderungen erfüllen

Unter Geltung des alten Datenschutzrechts und der Anwendung wettbewerbsrechtlicher Regelungen seien in der Vergangenheit im privatwirtschaftlichen Bereich vereinzelt Abmahnungen ausgesprochen worden. Auch damals hätten weder Abmahnwellen noch rechtswidrige Abmahnpraktiken festgestellt werden können. Neu in der DSGVO sei eine Vertretung betroffener Personen durch „Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht“ (Artikel 80 DSGVO). Hansen begrüßt gesetzliche Klarstellungen auf Bundesebene, „die schon 2018 angekündigt waren“. Davon unabhängig macht Hansen nach eigenen Angaben aber deutlich, dass Datenschutz ernstgenommen werden muss: „Wer personenbezogene Daten verarbeitet, muss sicherstellen, dass die Datenschutzanforderungen erfüllt sind. Dazu gehört auch die regelmäßige Überprüfung der eigenen Datenverarbeitung.“

Die wichtigsten ULD-Tipps auf einen Blick:

• Ihre Webseite wirkt wie eine Visitenkarte. Informieren Sie die Nutzer in einer verständlichen Datenschutzerklärung. Sofern Sie Formulare für die Eingabe von Kundendaten anbieten, sorgen Sie für eine Verschlüsselung auf Ihrem Webserver.
• Dokumentieren Sie die Rechtsgrundlagen (Vertrag, Einwilligung oder berechtigte Interessen) für Ihre Verarbeitungstätigkeiten.
• Legen Sie in Ihrem Unternehmen die Zuständigkeiten für Datenschutz und Sicherheit fest, auch wenn Sie nicht  erpflichtet sein sollten, einen Datenschutzbeauftragten zu benennen. Richten Sie standardisierte Abläufe ein, damit Sie problemlos auf Anfragen von Betroffenen reagieren können, die ihre Rechte wahrnehmen wollen.
• Prüfen Sie die Verträge mit Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, auf die Datenschutzanforderungen. Achten Sie bei Beschaffungen und Ausschreibungen darauf, dass Produkte und Dienste datenschutzkonform sind.
• Denken Sie an die Informationssicherheit – vom Schutz gegen Viren und Trojaner über Firewall-Absicherung bis hin zu regelmäßigen Datensicherungen.
• Schärfen Sie bei Ihren Mitarbeitern das Bewusstsein für Datenschutzfragen und schulen Sie sie im Umgang mit Daten. Ermutigen Sie dazu, Verbesserungsmöglichkeiten oder Datenschutzpannen rasch zu melden.

Evtl. Abmahnungen ggf. mit anwaltlicher Hilfe genau prüfen

Sollten dennoch Datenschutz-Abmahnungen eintreffen, rät Hansen, diese genau – ggf. mit anwaltlicher Hilfe – zu prüfen, statt in Panik zu geraten und ungeprüft den geforderten Betrag zu bezahlen. „Wird man auf vorhandene Datenschutz-Fehler hingewiesen, muss man dem nachgehen und Maßnahmen treffen, um im Grünen Bereich zu sein. Achtung: Falls Datenpannen passiert sind und daraus ein Risiko für die betroffenen Personen folgt, muss dies bei der Datenschutzaufsichtsbehörde gemeldet werden. In Fällen mit hohem Risiko müssen außerdem die Betroffenen benachrichtigt werden,“ betont Hansen.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“

datensicherheit.de, 05.08.2019
Urlaub: Sommer, Sonne, Strand, Meer und Videoüberwachung

datensicherheit.de, 29.07.2019
Apple: Kamera-Autos fahren bald durch Schleswig-Holstein

[datensicherheit.de, 18.09.2017] Im Rahmen der „Sommerakademie 2017“ des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH) am 18. September 2017 in Kiel haben Experten mit den mehr als 400 Teilnehmern die heutige Technik-Nutzung, Effekte der Digitalisierung und die neue Welt des „Internet of Things“, wenn alle Geräte miteinander vernetzt sein können und sich austauschen, ohne einzelne Entscheidungen ihrer Nutzer abzuwarten, diskutiert. Erörtert wurde demnach, wie viel Datenschutz im „Smart Car“ oder in der „Smart City“ vorkonfiguriert sein muss, ob die Hersteller über die Datenschutz-Voreinstellungen bestimmen und ob sich der Staat einmischen muss…

1983 Begründung des Rechte auf informationelle Selbstbestimmung

In seinem Grußwort führte Dr. Ulf Kämpfer, Oberbürgermeister der Landeshauptstadt Kiel, aus, wie wichtig das Zusammenspiel von Digitalisierung und Datenschutz sei. Die Wichtigkeit des für den Datenschutz zentralen Bundesverfassungsgerichtsurteils von 1983, in dem das Recht auf informationelle Selbstbestimmung begründet wurde, sei ihm schon als Kind deutlich geworden; später im Berufsleben habe Datenschutz natürlich auch dazugehört. Als Begründer der „Digitalen Woche Kiel“ sei er begeistert von dem Engagement so vieler Akteure: Das ULD mit 15 eigenen Veranstaltungen – neben der Sommerakademie – gehöre auch dazu.

Viele Gründe für faktisch „informationelle Nichtbestimmung“

Marit Hansen, Leiterin des ULD und Landesbeauftragte für Datenschutz Schleswig-Holstein erläuterte, dass viele Gründe zu einer faktischen „informationellen Nichtbestimmung“ führen könnten: Überlastung, Bequemlichkeit, zu hoher Aufwand, Hilflosigkeit oder Resignation.
Sie stellte die heutige Situation des „eingebauten Datenschutzes“ dar: Dieser sei leider keineswegs eine Selbstverständlichkeit, stattdessen seien Verkettbarkeit und Identifizierbarkeit in der Technik implementiert, gegen die sich Nutzende kaum wehren könnten. Als Beispiele nannte sie die „yellow dots“ (gelbe Punkte), die von den meisten Farbkopierern ohne Wissen der Nutzer in die gedruckten Seiten eingefügt werden und Informationen über Datum, Zeit und Seriennummer des Geräts enthalten. Obwohl dies schon im Jahr 2005 von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) bekannt gemacht worden sei, habe bisher niemand etwas dagegen unternommen. Im Sommer 2017 sei bekannt geworden, dass diese gelben Punkte dazu beigetragen haben sollen, eine Whistleblowerin zu enttarnen. Eine Rechtsgrundlage für das Eincodieren dieser Informationen sei nicht bekannt – die Hersteller seien vermutlich einem Wunsch der US-amerikanischen Sicherheitsbehörden nachgekommen. Ein Beispiel, in dem Nutzende gar nicht bestimmen könnten – und die meisten von diesen kennzeichnenden Punkten wohl noch nicht einmal wüssten. Ähnliches gelte für Metadaten in Office-Dateien und in Fotos, bei denen unwissentlich sensible Informationen weitergegeben werden könnten.
Hansen kritisierte außerdem die Zumutung des Prinzips „Take it or leave it“ („Nimm es, wie es ist, oder lass es bleiben“), mit dem datenhungrige Apps auf dem Smartphone alle möglichen Zugriffsberechtigungen begehrten. Sich gegen zu weitgehende Zugriffe der Apps zu wehren, funktioniere allenfalls eingeschränkt – oft könne man die App dann nicht nutzen. Dies muss sich nach Auffassung der Landesdatenschutzbeauftragten dringend ändern – im Sinne einer fairen Digitalisierung und spätestens ab dem 25. Mai 2018 auch wegen der Anforderungen der Europäischen Datenschutz-Grundverordnung, die eingebauten Datenschutz und datenminimierende Voreinstellungen verlangt.

Zivilisatorische Werte bleiben in eigener Verantwortung

Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz und Bundesbeauftragter für den
Datenschutz und die Informationsfreiheit a. D., hat sich seit Jahrzehnten mit der Entwicklung des Datenschutzes beschäftigt. Er knüpfte an Erwartungen aus der Vergangenheit an den Datenschutz an: „Datenschutz soll sexy sein!“, kam aber zu dem Schluss, dass der Sex-Appeal des Datenschutzes immer noch begrenzt sei.
Viele Nutzer machten sich mit der Installation von mit Mikrofonen ausgestatteten Lautsprecherboxen freiwillig zu Opfern großer Lauschangriffe – dies sei eine bereitwillige Selbst-Verwanzung der Privaträume.
Ähnlich wie beim Umweltschutz gehe es auch beim Datenschutz um Nachhaltigkeit: Zivilisatorische Werte und Prinzipien, Demokratie, Freiheit des Individuums, verbriefte Grund- und Menschenrechte ließen sich in der Informationsgesellschaft nur bewahren, wenn wir ihre Durchsetzung als persönliche, technologische und gesellschaftliche Aufgabe begreifen, die sich nicht auf eine Behörde oder einen Datenschutzbeauftragten delegieren lassen.

Datenschutz als Individualrechtsschutz bei Algorithmen unwirksam

Die Forscherin Lorena Jaume-Pasalí von AlgorithmWatch wies darauf hin, dass Datenschutz als Individualrechtsschutz bei Algorithmen nicht wirke, um Diskriminierungen und andere unerwünschte Effekte zu verhindern.
Vielmehr wäre ein kollektiver Ansatz erforderlich, der jedoch rechtlich und gesellschaftlich heutzutage unterentwickelt sei. Auch seien die Datenschutzbehörden nicht die richtigen Akteure, um Fairness der technischen Systeme zu gewährleisten. Selbst wenn kein Personenbezug vorläge, könnten Algorithmen gesellschaftlich wesentliche Auswirkungen
haben.

Best-Practice-Beispiele für Datenschutz durch Technik gefordert

Susanne Dehmel vom Bitkom e.V. stellte aus Sicht der Wirtschaft drei Thesen auf:

1. Datenschutz könne durch Voreinstellung die Selbstbestimmung des Nutzers nicht ersetzen.
2. Niemand kaufe ein Produkt, nur weil der Datenschutz so gut sei – allerdings könnten Konsumenten durchaus auf ein Produkt verzichten, wenn IT-Sicherheits- und Datenschutzmängel bestünden.
3. Das Prinzip „Viel hilft viel“ gelte nicht für Datenschutzerklärungen. Sie wünsche sich Best-Practice-Beispiele für Datenschutz durch Technik.

„Privacy by Design“ muss schon am Anfang einer Entwicklung stehen!

Frank Wagner, Deutsche Telekom AG, gab einen Einblick in die Datenschutz-Entwicklungen bei dem Telekommunikationsunternehmen.
Datenschutz gehöre einfach dazu – wie bei einem Neuwagen, bei dem auch ein bestandener TÜV eine Selbstverständlichkeit sei. „Privacy by Design“ müsse schon am Anfang einer Entwicklung stehen.
Wichtig seien nicht nur die Voreinstellungen – „Privacy by Default“ käme zu spät, wenn nicht schon die richtigen Design-Entscheidungen getroffen seien. Dazu solle man auch „out of the box“ denken:
Statt z.B. einen Dienstleister einzuschalten, der bei verlorenen Handys eine Lokalisierung oder eine Löschung ermöglichen würde und dafür jederzeit auch bei der berechtigten Nutzung den Aufenthaltsort sehen und speichern könne, wäre dies auch möglich ohne Einbindung eines Dienstleisters – so hätten sie eine Lösung entwickelt, bei der im Fall des Verlusts des Handys eine Fernsteuer-SMS mit einem Kennwort von einem anderen Gerät abgesandt werden könne, um die Lokalisierung vorzunehmen.

Datenschützer als „Agenten der Demokratie und der Freiheit“

Paul Nemitz, Leitender Beamter in der Generaldirektion für Justiz und Verbraucher der Europäischen Kommission, richtete seinen Appell zunächst an die Wirtschaft, weil seiner Ansicht nach mit Datenschutz viel Geld zu verdienen sei.
Zudem gebe es aber auch viel Potenzial bei Anwendungen, die ohne personenbezogene Daten auskommen würden. Für die Umsetzung der Datenschutz-Grundverordnung könnten mit unternehmerischer Offenheit insbesondere zwei Arten von IT-Lösungen entwickelt werden:
Zum einen Lösungen für Anwender, beispielsweise Dashboards für Unternehmen, um festzustellen und zu visualisieren, wo welche personenbezogenen Daten verarbeitet werden, zum anderen Prüftechniken für Behörden und die Zivilgesellschaft, um die Einhaltung der Datenschutzregeln überprüfen zu können.
Alle, die sich mit Datenschutz beschäftigen, seien „Agenten der Demokratie und der Freiheit“.

Neue Spielregeln auf Basis der EU-DSGVO gelten für alle

In der sich anschließenden, von Barbara Körffer, der stellvertretenden Landesbeauftragten für Datenschutz Schleswig-Holstein, moderierten Podiumsdiskussion ging es um die Erwartungen an die Wirtschaft und an Datenschutzbehörden:
Alle müssten nun die neuen Spielregeln, die sich mit der Datenschutz-Grundverordnung ändern würden, verwenden. Es böte sich an, dass Anwender ebenso wie Entwickler gleichzeitig „Security by Design“ und eingebauten Datenschutz voranbrächten. Transparenz sei auch bei Algorithmen vonnöten; die Datenschutz-Grundverordnung sehe aussagekräftige Informationen über die Logik vor.

Weitere Informationen zum Thema:

ULD Schleswig-Holstein
Sommerakademie 2017: Herausforderung „Informationelle Nichtbestimmung“

datensicherheit.de, 31.07.2017
Datenschutz-Sommerakademie 2017 am 18. September in Kiel