Immer mehr Datenpannen und Beschwerden gehen beim Datenschutzbeauftragten ein – Kugelmann: „Pandemie braucht Datenschutz“

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Gut zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) steigen die Beschwerden, Meldungen und Nachfragen zu Datenschutzfragen in Rheinland-Pfalz weiter an. So werden immer mehr Datenpannen beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) angezeigt. „Während die Zahl 2018 bei 105 und 2019 bei 319 lag, sind in den ersten acht Monaten dieses Jahres bereits 388 Datenpannen durch private und öffentliche Stellen gemeldet worden“, sagt Professor Dieter Kugelmann. Eine weitreichende Datenpanne ereignete sich bei den Technischen Werken Ludwigshafen: Die TWL haben nach eigenen Angaben am 20. April 2020 entdeckt, dass Kriminelle die Daten von 150.000 Kunden und 1.300 Beschäftigten aus internen Systemen gestohlen hatten. Kugelmann betont: „Den LfDI erreichen bis heute zahlreiche Anfragen und Hinweise von Betroffenen, die Angst um ihre Daten haben, die sich mittlerweile im Darknet befinden sollen. Die Ermittlungen zu dem Hackerangriff dauern noch an: Es wird insbesondere noch geprüft, ob die TWL die Betroffenen rechtzeitig unterrichtet hat.“

Auf hohem Niveau hat sich die Zahl der Beschwerden über tatsächliche oder mutmaßliche Datenverstöße sowie die Zahl der Beratungen etabliert. Während im Jahr 2018 704 Beschwerden gegen öffentliche und private Stellen vorgebracht wurden, waren es 2019 1005. In den ersten acht Monaten dieses Jahres beläuft sich die Zahl auf 772. Der LfDI hat 2020 zudem bereits570 Beratungen und Stellungnahmen vorgenommen. Kugelmann betont: „Die vergangenen Monate standen im Zeichen der Corona-Pandemie und der Digitalisierung. Es gab und gibt immer wieder einen immensen Beratungsbedarf, welche technischen Anwendungen und Verfahren datenschutzkonform sind. Pandemie braucht Datenschutz. Seit Mitte Juli beschäftigt uns das Urteil des Europäischen Gerichtshofs, wonach der EU-U.S. Privacy Shield ungültig ist. Die Datenübermittlung in Staaten jenseits der EU wird damit schwieriger und anspruchsvoller. Der LfDI plant, im Dezember dieses Jahres einen Runden Tisch mit Vertreterinnen und Vertretern der rheinland-pfälzischen Wirtschaft zum EuGH-Urteil einzuberufen.“

Ein Schwerpunkt der Pressekonferenz „Best of Datenschutz 2020“ lag auf Fällen mit Bezug zur Corona-Pandemie, insbesondere der Kontakterfassung in Restaurants und anderen Einrichtungen. Seit April hat der LfDI rund 40 Beschwerden und Hinweise mit (mutmaßlichen) Datenschutzverstößen gemeldet bekommen sowie 55 Anfragen allgemeiner Art von Bürgerinnen und Bürgern und kontakterfassenden Stellen. Der LfDI hat rund 30 rechtliche Hinweise unter anderem an Restaurants verschickt, weil die Daten nicht korrekt erfasst wurden. Es wurden auch mehrere Verwaltungsverfahren eröffnet. In einem offensichtlichen Missbrauchsfall wurde eine 16-Jährige, die in Mainz ein Restaurant besuchte und ihre Kontaktdaten angab, noch während des Restaurantbesuchs per WhatsApp angeschrieben, ob man sich nicht nach dem Restaurantbesuch treffen könne. In einem anderen Fall beachtete eine staatliche Behörde (Die Aufsichts- und Dienstleistungsdirektion ADD) nicht den Datenschutz im Rahmen von Telefonkonferenzen: Da den Teilnehmerinnen und Teilnehmern verschiedener Sitzungen jeweils die gleiche PIN gegeben wurde, konnte sich ein Unbefugter in eine Schaltkonferenz eines Personalratsgremiums einwählen.

An den LfDI wenden sich regelmäßig Mietinteressenten, die Beschwerde einlegen, weil Vermieter, Wohnungsverwalter und Makler sehr weitreichende Informationen von Interessenten verlangen. Erlaubt ist es zu diesem frühen Zeitpunkt lediglich, Kontaktdaten zu erfassen. Der LfDI sprach in dem Zusammenhang eine Verwarnung gegenüber dem Immobilienunternehmen GAG Ludwigshafen aus. Die GAG hatte von einer älteren Dame, die eine langjährige, zuverlässige Mieterin ist, weitgehende Finanzauskünfte verlangt, weil diese sich für eine neue Wohnung interessiert hatte. In einem skurrilen Fall handelte eine pfälzische Rechtsanwaltskanzlei grob fahrlässig: Sie verwechselte zwei Personen, prüfte die Daten nicht und schickte daher zu jemand völlig Unbeteiligten einen Gerichtsvollzieher.



Auswirkungen der bundesweiten Datenpanne bei Gästelisten auf rheinland-pfälzische Betriebe – LfDI fordert Informationen zur Kontakterfassungs-App der Dehoga an

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

In den vergangenen Tagen haben Meldungen für Wirbel gesorgt, wonach Sicherheitslücken bei einem in Bremen ansässigen Dienstleister dazu geführt haben sollen, dass bundesweit Millionen Kontakterfassungs-Daten aus der Gastronomie leicht zugänglich gewesen seien. Hierzu erklärt Professor Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI): „Erste Gastronomie-Betriebe aus Trier und Landau haben sich als von der Datenpanne betroffen gemeldet. Ich gehe davon aus, dass weitere Restaurants hinzukommen. Als rheinland-pfälzische Behörde stehen wir mit der für den Bremer Dienstleister zuständigen Aufsichtsbehörde in der Hansestadt in Kontakt. Im Zuge dessen ist auch zu klären, ob und wie zwischen dem Bremer Dienstleistungs-Unternehmen und den örtlichen Restaurants die Verantwortlichkeit für die Löschung der Daten aus der Kontakterfassung geregelt wurde. Klar ist, dass die Daten aus der Corona-Kontakterfassung zwingend nach Ablauf eines Monats zu löschen sind und auch allgemeine Reservierungsdaten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden. Rheinland-Pfälzische Gastronomie-Betriebe und andere Unternehmen, die eine entsprechende (mutmaßliche) Datenpanne bei sich feststellen, sind nach Artikel 33 Datenschutz-Grundverordnung (DS-GVO) verpflichtet, diese bei uns zu melden. Wir empfehlen den Betrieben, die Kunden des bremischen Dienstleisters waren, dies zeitnah zu prüfen, um Sanktionen wegen unterbliebener Meldepflichten zu vermeiden.“

Mit Blick auf die am Freitag von der Dehoga (Deutsche Hotel- und Gaststättenverband) Rheinland-Pfalz vorgestellte Kontakterfassungs-App für die Gastronomie erklärt Kugelmann: „Die Kontakterfassung in Corona-Zeiten kann grundsätzlich digital erfolgen, sofern die Vorgaben der Datenschutz-Grundverordnung beachtet werden. Das kann sogar besser als schlecht geführte Listen auf Papier sein, wenn es datenschutzrechtlich gut gemacht ist. So sind etwa technisch-organisatorische Maßnahmen zu ergreifen, so dass die Daten angemessen gesichert werden und nur Berechtigte darauf zugreifen können. Die Verantwortlichen müssen zudem die Nutzerinnen und Nutzer in einer Datenschutzerklärung unter anderem über die Datenverarbeitung, die Speicherdauer und ihre Rechte informieren (Art. 13 DS-GVO). Als für den Datenschutz zuständige Stelle in Rheinland-Pfalz fordern wir zeitnah Informationen an, um überprüfen zu können, ob bei der präsentierten App alle Datenschutz-Vorgaben berücksichtigt sind.“

Kugelmann betont: „Kontaktdaten, die in Zeiten der Corona-Pandemie zur Nachverfolgung von Covid19-Infektionen erfasst und gespeichert werden, sind sensible Daten: Aus ihnen geht unter Umständen hervor, wer sich mit wem an welchem Ort zu welcher Uhrzeit getroffen hat. Der Schutz der Privatsphäre der Bürgerinnen und Bürger muss in jedem Fall gewahrt bleiben. Auch in Zeiten der Corona-Krise darf das Datenschutz-Niveau in der Europäischen Union und in Deutschland nicht ausgehöhlt werden: Datenschutz und Gesundheitsschutz müssen Hand in Hand gehen.“



Save the Date: TLfDI – Profiling 2.0 – 5. Oktober 2020

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit

Erfurt, 26.08.2020: Das Abfischen von Daten zur Bildung von Persönlichkeitsprofilen z. B. beim Einkaufen oder Bestellen im Netz, in sozialen Netzwerken, in persönlichen Blogs oder von Kontakt-, Gesundheits-, Bewegungs- oder Geodaten ist seit unserer letzten Veranstaltung im Jahr 2017 immer weiter fortgeschritten – Kunden sind Versicherer, Arbeitgeber, unbekannte Dritte mit unterschiedlichen Zielsetzungen. Wir haben Profiling 2.0 erreicht! Oft geschieht es ohne unser Wissen.

Wie geht das? Was kann man damit machen? Wie machen die das?
Wo ist es im Einsatz? Für welche Zwecke?
Welches Missbrauchspotential steckt dahinter?
Brauchen wir KI?

Lassen Sie uns auch diesmal wieder mit prominenten Gästen, wie u.a. Herrn Prof. Dr. Harald Lesch die Antworten auf unsere oben genannten Fragen suchen. Schirmherrin der Veranstaltung ist die Landtagspräsidentin Frau Birgit Keller

Herzliche Einladung!

Wann: 5. Oktober 2020, 10 Uhr – 15 Uhr
Wo: Augustinerkloster zu Erfurt
Wichtig: Die Teilnehmeranzahl ist derzeit begrenzt auf 35 Gäste.

Anmeldungen können ab sofort per E-Mail an poststelle@datenschutz.thueringen.de erfolgen. Anbei auch der vorläufige Folder zur Veranstaltung, mit Programm!

Dr. Lutz Hasse
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Häßlerstraße 8 99096 Erfurt www.tlfdi.de<http://www.tlfdi.de/tlfdi/>



Datenschutz findet im neuen Polizeigesetz Beachtung – Kugelmann: Freiheit und Sicherheit müssen in Balance stehen

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 19.08.2020

Im Innenausschuss des Landtags Rheinland-Pfalz werden am heutigen Mittwoch Änderungen am Polizei- und Ordnungsbehördengesetz beraten. Professor Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), nimmt in der Anhörung Stellung. „Durch die geplanten Änderungen wird das Polizei- und Ordnungsbehördengesetz des Landes modernisiert, und die Polizeibehörden werden mit zeitgemäßen und verhältnismäßigen Befugnissen ausgestattet“, sagt Kugelmann. „Es zeigt sich, dass der Gesetzgeber neben den polizeilichen Erfordernissen auch die Wahrung des Rechts auf informationelle Selbstbestimmung der Bürgerinnen und Bürger im Blick hat. Insbesondere die Umsetzung der Europäischen Datenschutzreform ist dem Landesgesetzgeber gelungen. Das Ziel, Freiheit und Sicherheit in Balance zu bringen, kann mit dem Gesetzentwurf erreicht werden. Durch eine stärkere Transparenz der polizeilichen Datenverarbeitung werden auch die Kontrollrechte des LfDI gestärkt.“

Kugelmann betont: „Dem Entwurf zufolge wird darauf verzichtet, Befugnisse der Polizei- und Ordnungsbehörden, die für manche Bedrohungslagen gefordert werden, übermäßig zu erweitern. Es ist etwa nicht vorgesehen, neue Möglichkeiten zur elektronischen Aufenthaltsüberwachung oder zu DNA-Analysen (etwa zur Feststellung des Geschlechts, des Alters, der Augen-, Haar- und Hautfarbe von Spurenverursachern) zu schaffen. Zudem ist nicht geplant, der Polizei künftig zu erlauben, Bodycams innerhalb von Wohnungen einzusetzen; kommunale Vollzugsbedienstete sollen weiterhin Bodycams nicht nutzen dürfen. Diese Entscheidungen des Gesetzgebers sind schon allein deswegen klug, weil entsprechende Regelungen in anderen Bundesländern derzeit teilweise gerichtlich überprüft werden.“

Der Landesdatenschutzbeauftragte sagt weiter: „Der 200 Seiten lange Gesetzentwurf ist ausführlich, zukunftsgewandt und hat zum Teil Vorbildcharakter. Aus meiner Sicht ist er an wenigen Stellen verbesserungswürdig: So sind etwa die Vorgaben an die Polizei, wann Daten gelöscht werden müssen, weiterhin zu weitgehend. Die pauschale Beibehaltung langer Höchstspeicherfristen ist unabhängig vom Speicherungsanlass nicht überzeugend. Dies gilt insbesondere, da im Polizei- und Ordnungsbehördengesetz die sogenannte „Mitziehautomatik“ vorgesehen ist. Diese führt dazu, dass durch jede neue Speicherung personenbezogener Daten über eine Person ältere Daten zu dieser Person länger aufbewahrt werden müssen. Eine Löschung wird dann unter Umständen auf den Sankt Nimmerleinstag verschoben. Dies hätte man in der Novelle aufgreifen und verbessern können.“



Datenschutz dient dem Infektionsschutz – Landesbeauftragte überprüft Erfassung von Gästedaten in brandenburgischen Cafés und Restaurants

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

Wie gehen eigentlich brandenburgische Cafés und Restaurants mit den Daten ihrer Gäste um, die sie während der Corona-Pandemie zu erfassen verpflichtet sind? Mitarbeiterinnen und Mitarbeiter der Landesbeauftragten haben 54 Gaststätten überprüft, um eine Antwort auf diese Frage zu finden. Sie waren in den Landkreisen Dahme-Spreewald, Oberspreewald-Lausitz, Oder-Spree, Potsdam-Mittelmark sowie in allen vier kreisfreien Städten unterwegs.

Im Ergebnis stellte sich heraus, dass in 30 Restaurationsbetrieben zu viele Datenkategorien erfasst werden. Häufig wurde insbesondere nach der Anschrift gefragt, deren Angabe nach Maßgabe der aktuellen Verordnung gar nicht mehr erforderlich ist. Auch erkannten viele Gastwirtinnen und Gastwirte nicht, dass entweder die Telefonnummer oder die E-Mail-Adresse anzugeben ist, nicht aber beides. 36 Cafés und Restaurants hielten sich nicht an die Löschfristen; 16 davon hatten sogar noch gar keine Daten gelöscht. Auch mussten wir feststellen, dass ein vertraulicher Umgang mit den Gästedaten nicht immer gewährleistet war. In elf Gaststätten lagen Kontaktdaten so aus, dass jedermann die Angaben anderer Gäste unproblematisch zur Kenntnis nehmen konnte. Sieben Betriebe haben überhaupt keine Daten erfasst. Dagmar Hartge:

„Ein sorgsamer Umgang mit den Daten der Gäste ist kein Selbstzweck, sondern Voraussetzung für das nötige Vertrauen. Nur wenn die Gäste sicher sind, dass ihre Daten nicht in falsche Hände geraten, werden sie richtige und vollständige Angaben machen. Diese wiederum sind notwendig, um den Gesundheitsbehörden im Bedarfsfall zu ermöglichen, potenziell Infizierte zu finden und dadurch Infektionsketten zu unterbrechen. Gaststätten, die den Datenschutz beachten, zeigen somit nicht nur ihren Gästen, dass sie deren Persönlichkeitsrechte ernst nehmen; sie erleichtern auch die wichtige Aufgabe des Infektionsschutzes.“

In allen Fällen haben die Wirtinnen und Wirte unsere Hinweise aufgegriffen und zugesichert, die vorgefundenen Mängel künftig zu vermeiden. Die Mitarbeiterinnen und Mitarbeiter der Landesbeauftragten hatten bei ihren Gesprächen den Eindruck, dass häufig schlicht eine gewisse Unsicherheit bestand, wie mit den Daten umzugehen ist. Um die Praxis zu erleichtern, stellen wir in unserem Internetangebot ein Musterformular zur Datenerfassung sowie Erläuterungen in Form häufig gestellter Fragen (FAQs) zur Verfügung. Ziel unserer unangekündigten Prüfungen war es, die Verantwortlichen für einen datenschutzgerechten Umgang mit der Erfassung der Daten ihrer Gäste zu sensibilisieren. Ob die Landesbeauftragte in wenigen Ausnahmefällen mit schwerwiegenden Verstößen eine förmliche Verwarnung ausspricht oder weitere Maßnahmen ergreift, prüfen wir derzeit noch. Sanktionen stehen hier jedoch nicht im Vordergrund.

Zur Rechtslage: Die aktuelle brandenburgische SARS-CoV-2-Umgangsverordnung sieht vor, dass unter anderem Gaststätten die Kontaktdaten ihrer Gäste in einer Anwesenheitsliste erfassen. Zweck ist die Nachverfolgung von Kontakten im Fall einer festgestellten Infektion. Anzugeben sind laut Verordnung „der Vor- und Familienname und die Telefonnummer oder die E-Mail-Adresse der Betroffenen. Bei der Erfassung dieser Daten ist zu verhindern, dass Betroffene Kenntnis von personenbezogenen Daten anderer Betroffener erhalten. Die Anwesenheitsliste ist für die Dauer von vier Wochen unter Einhaltung datenschutzrechtlicher Vorschriften aufzubewahren oder zu speichern und auf Verlangen an das zuständige Gesundheitsamt herauszugeben. Nach Ablauf der Aufbewahrungsfrist ist die Anwesenheitsliste zu vernichten oder zu löschen.“

Für die Gaststätten ist die Formulierung der Verordnung gleichbedeutend mit der Quadratur des Kreises: Einerseits sollen Gäste sich in eine Anwesenheitsliste eintragen, andererseits muss diese aber vor den Blicken anderer Gäste verborgen bleiben. Letzteres ist mit einer Liste kaum zu realisieren. Zwei Drittel der überprüften Gaststätten waren deshalb bereits aus eigener Initiative zu einer separaten Erfassung für jeden Gast übergegangen. Eine solche empfehlen wir auch mit unserem Musterformular. Gegenüber der Landesregierung setzt Frau Hartge sich dafür ein, bei einer bevorstehenden Überarbeitung der SARS-CoV-2-Umgangsverordnung auf den Begriff einer „Anwesenheitsliste“ zwecks Klarstellung zu verzichten.

Verantwortlich: Sven Müller