Gratulation nach Hessen – Vor 50 Jahren trat weltweit das erste Datenschutzgesetz in Kraft – Rheinland-Pfalz folgte bald

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Heute vor 50 Jahren, am 13. Oktober 1970, trat in Hessen das weltweit erste Datenschutzgesetz in Kraft. Es folgten Schweden (im Jahr 1973) und als Nummer drei Rheinland-Pfalz (1974).

Hierzu erklärt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dieter Kugelmann: „Mit dem hessischen Gesetz brach eine neue Ära der Gesetzgebung zum Schutz personenbezogener Daten an. Zur damaligen Zeit Datenschutzgesetze anzugehen, war mutig und fortschrittlich: Zum einen reagierte man auf die zunehmenden Befürchtungen vor einem „Überwachungsstaat“. Zum anderen hatten die Gesetzgeber im Blick, dass sich in verschiedenen Wirtschafts- und Lebensbereichen die elektronische Verarbeitung von Daten immer weiter ausbreitete. Der Schutz der Daten der Bürgerinnen und Bürger, die kopiert, verschickt und gespeichert werden konnten, wurde immer wichtiger. Die damaligen Gesetze berücksichtigten – entsprechend der Zeit – zwar noch nicht, was heute selbstverständliche Datenschutzgrundsätze sind – etwa die Verarbeitung von personenbezogenen Daten nur mit Rechtsgrundlage, etwa der Einwilligung der betroffenen Personen. Sie legten aber den Grundstein für die folgenden Entwicklungen.“

Kugelmann sagt weiter: „Die Gesetze in Hessen und Rheinland-Pfalz wiesen ähnliche Regelungen, aber auch Unterschiede auf: In Hessen war von Anfang an vorgesehen, dass sich eine offiziell ernannte und unabhängige Persönlichkeit um den Datenschutz kümmert – ähnlich den heutigen Landesdatenschutzbeauftragten. Rheinland-Pfalz ging zunächst einen anderen Weg: Es wurde ein Landtags-Ausschuss für Datenschutz und später eine Datenschutzkommission mit Vertretern aus Parlament und Landesregierung eingesetzt. Ein Landesbeauftragter wurde in Rheinland-Pfalz erst 1991 gewählt.“ Weiter sagt der rheinland-pfälzische Datenschutzbeauftragte: „Was vor 50 Jahren in Hessen begann, ist eines der zentralen Themen des 21. Jahrhunderts – nämlich der Schutz der Daten der Bürgerinnen und Bürger und das Recht auf informationelle Selbstbestimmung in einer digitalen Welt, in der vielfach Algorithmen die Verarbeitung personenbezogener Daten bestimmen. Die digitale und technologische Revolution der vergangenen und künftigen Jahre wird der Datenschutz weiterhin konstruktiv begleiten: So wie die Datenberge anwachsen und immer mehr Lebensbereiche erfassen, muss sich auch der Datenschutz als notwendiges Korrektiv dabei weiterentwickeln.“



Anpassung des Berliner Datenschutzrechts – es gibt noch einiges zu tun

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Anlässlich der Verabschiedung des Gesetzes zur Anpassung datenschutzrechtlicher Bestimmungen in Berliner Gesetzen an die Datenschutz-Grundverordnung (kurz Berliner Datenschutzanpassungsgesetz EU), weist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, darauf hin, dass bisherige Regelungsmängel im Berliner Datenschutzgesetz fortbestehen. Sie fordert den Gesetzgeber auf, diese im Zuge der angekündigten Evaluierung des neuen Berliner Datenschutzgesetzes zu beheben.

Ziel des Berliner Datenschutzanpassungsgesetzes EU ist es, eine Vielzahl Berliner Landesgesetze an die Vorgaben der seit zwei Jahren wirksamen Europäischen Datenschutz-Grundverordnung anzupassen. Leider hat der Gesetzgeber diesen Gesetzgebungsprozess nicht genutzt, um wesentliche Regelungsmängel im Berliner Datenschutzgesetz zu beheben. Insbesondere im Bereich der Datenschutzaufsicht und -kontrolle sieht die Berliner Datenschutzbeauftragte weiterhin dringenden Nachbesserungsbedarf.

Im Bereich der Polizei und Justiz fehlen der Datenschutzaufsicht nach wie vor wirksame Durchsetzungsbefugnisse. Die Datenschutzbeauftragte kann gegenüber Polizei- und Justizbehörden weiterhin keine verpflichtenden Anordnungen treffen, sondern festgestellte Verstöße nur unverbindlich beanstanden. Dies widerspricht dem klaren Wortlaut der zugrundeliegenden europarechtlichen Regelungen. Dieses Defizit ist gravierend, weil Polizei- und Justizbehörden häufig besonders sensible Daten über Bürgerinnen und Bürger verarbeiten, etwa Daten von Zeugen in strafrechtlichen Ermittlungsverfahren.

In allen anderen Bereichen der öffentlichen Verwaltung kann die Berliner Datenschutzaufsicht zwar förmliche Anordnungen treffen. Hier fehlen jedoch die dazugehörigen Vollstreckungsmöglichkeiten. Ohne die Möglichkeit, Zwangsgelder festzusetzen oder eine Ersatzvornahme zu veranlassen, können solche Anordnungen – etwa zur Löschung rechtswidrig gespeicherter Daten – letztlich nicht zwangsweise durchgesetzt werden. Eine wirksame Datenschutzaufsicht ist dadurch in der gesamten öffentlichen Verwaltung nicht gewährleistet. Hinzu kommt, dass die Datenschutzbehörde auch keine Bußgelder gegen Behörden oder sonstige öffentliche Stellen verhängen kann. Insbesondere öffentliche Stellen wie Krankenhaus- oder Eigenbetriebe werden so in nicht begründbarer Weise gegenüber privaten Stellen privilegiert.

Kontrolldefizite bestehen auch nach wie vor im wichtigen Bereich der Betroffenenrechte. Das Recht auf Auskunft über die zur eigenen Person gespeicherten Daten ist ein grundlegendes Prinzip der europäischen Datenschutz-Grundverordnung. Sollte die Auskunft im Einzelfall verweigert werden dürfen, sollen Bürgerinnen und Bürger grundsätzlich verlangen können, dass entsprechende Auskünfte zumindest gegenüber der zuständigen Datenschutzbehörde erteilt werden. Durch diese ersatzweise Information an die Aufsichtsbehörde und die daraus folgende Kontrolle soll sichergestellt werden, dass die Verarbeitung der betreffenden Daten datenschutzgerecht erfolgt. Selbst diese ersatzweise Auskunft kann allerdings nach der nunmehr weiterhin geltenden gesetzlichen Berliner Regelung von der betroffenen Behörde verweigert werden, wenn sie der Auffassung ist, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. – Eine solche Einschränkung der Betroffenenrechte ist nicht nachvollziehbar, da es sich bei der Datenschutzbehörde um eine unabhängige, oberste Landesbehörde handelt, deren Beschäftigte zur strikten Geheimhaltung der ihnen im Dienst bekannt gewordenen Informationen verpflichtet sind. Nicht nur wird durch diese Regelung eine wichtige Kontrollfunktion der Berliner Datenschutzaufsicht ausgehebelt. Diese Regelung kann zu Fällen führen, in denen Bürgerinnen und Bürgern ihr wichtigstes Betroffenenrecht, nämlich das Recht auf Auskunft, gänzlich abgesprochen wird. Diese Einschränkung eines Grundrechts ist rechtsstaatlich höchst bedenklich.

Ein bekanntes Kontrolldefizit im Geschäftsbereich des Abgeordnetenhauses wurde mit dem neuen Gesetz sogar noch verschärft. Denn obwohl es nach wie vor keine Datenschutzregelung für das Berliner Parlament gibt, weitet das nun verabschiedete Gesetz die Möglichkeiten weiter aus, auch sensitive personenbezogene Daten an das Abgeordnetenhaus zu übermitteln. Auch wenn man davon ausgeht, dass das Parlament nicht unmittelbar den Regelungen der europäischen Datenschutz-Grundverordnung unterliegt, bedürfen derartige personenbezogene Daten wirksamer und verlässlicher Schutzmaßnahmen und Kontrollmechanismen auf der Grundlage nachvollziehbarer Regelungen. Dies wurde zuletzt in Zusammenhang mit dem von der AfD-Fraktion initiierten Projekt „Neutrale Schule“ deutlich, das zeigte, dass Organe der Gesetzgebung durchaus sensible personenbezogene Daten verarbeiten. Betroffene Bürgerinnen und Bürger stehen solchen Initiativen in Berlin bisher ohne Kontrollmöglichkeiten gegenüber. Hier muss dringend nachgebessert werden. Schutzvorkehrungen, mit denen auch im Parlament ein an die Datenschutz-Grundverordnung angelehntes Datenschutzniveau sichergestellt wird, sind unverzichtbar.

Maja Smoltczyk:
„Ziel des Datenschutzanpassungsgesetzes war es, zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung das Berliner Landesrecht endlich vollständig an die Vorgaben des europäischen Rechts anzupassen. Leider wurden dabei immer noch nicht alle notwendigen Regelungen getroffen. Noch immer kann sich die öffentliche Verwaltung in mehrfacher Hinsicht einer wirksamen Datenschutzkontrolle entziehen. Dies widerspricht den Anforderungen an eine moderne, transparente und bürger*innenfreundliche Verwaltung. Ich hoffe sehr, dass der Gesetzgeber die teils gravierenden Mängel im Rahmen der von ihm noch vor Ablauf der Legislaturperiode angekündigten Evaluierung des neuen Berliner Datenschutzgesetzes beheben wird.“



Immer mehr Datenpannen und Beschwerden gehen beim Datenschutzbeauftragten ein – Kugelmann: „Pandemie braucht Datenschutz“

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Gut zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) steigen die Beschwerden, Meldungen und Nachfragen zu Datenschutzfragen in Rheinland-Pfalz weiter an. So werden immer mehr Datenpannen beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) angezeigt. „Während die Zahl 2018 bei 105 und 2019 bei 319 lag, sind in den ersten acht Monaten dieses Jahres bereits 388 Datenpannen durch private und öffentliche Stellen gemeldet worden“, sagt Professor Dieter Kugelmann. Eine weitreichende Datenpanne ereignete sich bei den Technischen Werken Ludwigshafen: Die TWL haben nach eigenen Angaben am 20. April 2020 entdeckt, dass Kriminelle die Daten von 150.000 Kunden und 1.300 Beschäftigten aus internen Systemen gestohlen hatten. Kugelmann betont: „Den LfDI erreichen bis heute zahlreiche Anfragen und Hinweise von Betroffenen, die Angst um ihre Daten haben, die sich mittlerweile im Darknet befinden sollen. Die Ermittlungen zu dem Hackerangriff dauern noch an: Es wird insbesondere noch geprüft, ob die TWL die Betroffenen rechtzeitig unterrichtet hat.“

Auf hohem Niveau hat sich die Zahl der Beschwerden über tatsächliche oder mutmaßliche Datenverstöße sowie die Zahl der Beratungen etabliert. Während im Jahr 2018 704 Beschwerden gegen öffentliche und private Stellen vorgebracht wurden, waren es 2019 1005. In den ersten acht Monaten dieses Jahres beläuft sich die Zahl auf 772. Der LfDI hat 2020 zudem bereits570 Beratungen und Stellungnahmen vorgenommen. Kugelmann betont: „Die vergangenen Monate standen im Zeichen der Corona-Pandemie und der Digitalisierung. Es gab und gibt immer wieder einen immensen Beratungsbedarf, welche technischen Anwendungen und Verfahren datenschutzkonform sind. Pandemie braucht Datenschutz. Seit Mitte Juli beschäftigt uns das Urteil des Europäischen Gerichtshofs, wonach der EU-U.S. Privacy Shield ungültig ist. Die Datenübermittlung in Staaten jenseits der EU wird damit schwieriger und anspruchsvoller. Der LfDI plant, im Dezember dieses Jahres einen Runden Tisch mit Vertreterinnen und Vertretern der rheinland-pfälzischen Wirtschaft zum EuGH-Urteil einzuberufen.“

Ein Schwerpunkt der Pressekonferenz „Best of Datenschutz 2020“ lag auf Fällen mit Bezug zur Corona-Pandemie, insbesondere der Kontakterfassung in Restaurants und anderen Einrichtungen. Seit April hat der LfDI rund 40 Beschwerden und Hinweise mit (mutmaßlichen) Datenschutzverstößen gemeldet bekommen sowie 55 Anfragen allgemeiner Art von Bürgerinnen und Bürgern und kontakterfassenden Stellen. Der LfDI hat rund 30 rechtliche Hinweise unter anderem an Restaurants verschickt, weil die Daten nicht korrekt erfasst wurden. Es wurden auch mehrere Verwaltungsverfahren eröffnet. In einem offensichtlichen Missbrauchsfall wurde eine 16-Jährige, die in Mainz ein Restaurant besuchte und ihre Kontaktdaten angab, noch während des Restaurantbesuchs per WhatsApp angeschrieben, ob man sich nicht nach dem Restaurantbesuch treffen könne. In einem anderen Fall beachtete eine staatliche Behörde (Die Aufsichts- und Dienstleistungsdirektion ADD) nicht den Datenschutz im Rahmen von Telefonkonferenzen: Da den Teilnehmerinnen und Teilnehmern verschiedener Sitzungen jeweils die gleiche PIN gegeben wurde, konnte sich ein Unbefugter in eine Schaltkonferenz eines Personalratsgremiums einwählen.

An den LfDI wenden sich regelmäßig Mietinteressenten, die Beschwerde einlegen, weil Vermieter, Wohnungsverwalter und Makler sehr weitreichende Informationen von Interessenten verlangen. Erlaubt ist es zu diesem frühen Zeitpunkt lediglich, Kontaktdaten zu erfassen. Der LfDI sprach in dem Zusammenhang eine Verwarnung gegenüber dem Immobilienunternehmen GAG Ludwigshafen aus. Die GAG hatte von einer älteren Dame, die eine langjährige, zuverlässige Mieterin ist, weitgehende Finanzauskünfte verlangt, weil diese sich für eine neue Wohnung interessiert hatte. In einem skurrilen Fall handelte eine pfälzische Rechtsanwaltskanzlei grob fahrlässig: Sie verwechselte zwei Personen, prüfte die Daten nicht und schickte daher zu jemand völlig Unbeteiligten einen Gerichtsvollzieher.



Auswirkungen der bundesweiten Datenpanne bei Gästelisten auf rheinland-pfälzische Betriebe – LfDI fordert Informationen zur Kontakterfassungs-App der Dehoga an

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

In den vergangenen Tagen haben Meldungen für Wirbel gesorgt, wonach Sicherheitslücken bei einem in Bremen ansässigen Dienstleister dazu geführt haben sollen, dass bundesweit Millionen Kontakterfassungs-Daten aus der Gastronomie leicht zugänglich gewesen seien. Hierzu erklärt Professor Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI): „Erste Gastronomie-Betriebe aus Trier und Landau haben sich als von der Datenpanne betroffen gemeldet. Ich gehe davon aus, dass weitere Restaurants hinzukommen. Als rheinland-pfälzische Behörde stehen wir mit der für den Bremer Dienstleister zuständigen Aufsichtsbehörde in der Hansestadt in Kontakt. Im Zuge dessen ist auch zu klären, ob und wie zwischen dem Bremer Dienstleistungs-Unternehmen und den örtlichen Restaurants die Verantwortlichkeit für die Löschung der Daten aus der Kontakterfassung geregelt wurde. Klar ist, dass die Daten aus der Corona-Kontakterfassung zwingend nach Ablauf eines Monats zu löschen sind und auch allgemeine Reservierungsdaten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden. Rheinland-Pfälzische Gastronomie-Betriebe und andere Unternehmen, die eine entsprechende (mutmaßliche) Datenpanne bei sich feststellen, sind nach Artikel 33 Datenschutz-Grundverordnung (DS-GVO) verpflichtet, diese bei uns zu melden. Wir empfehlen den Betrieben, die Kunden des bremischen Dienstleisters waren, dies zeitnah zu prüfen, um Sanktionen wegen unterbliebener Meldepflichten zu vermeiden.“

Mit Blick auf die am Freitag von der Dehoga (Deutsche Hotel- und Gaststättenverband) Rheinland-Pfalz vorgestellte Kontakterfassungs-App für die Gastronomie erklärt Kugelmann: „Die Kontakterfassung in Corona-Zeiten kann grundsätzlich digital erfolgen, sofern die Vorgaben der Datenschutz-Grundverordnung beachtet werden. Das kann sogar besser als schlecht geführte Listen auf Papier sein, wenn es datenschutzrechtlich gut gemacht ist. So sind etwa technisch-organisatorische Maßnahmen zu ergreifen, so dass die Daten angemessen gesichert werden und nur Berechtigte darauf zugreifen können. Die Verantwortlichen müssen zudem die Nutzerinnen und Nutzer in einer Datenschutzerklärung unter anderem über die Datenverarbeitung, die Speicherdauer und ihre Rechte informieren (Art. 13 DS-GVO). Als für den Datenschutz zuständige Stelle in Rheinland-Pfalz fordern wir zeitnah Informationen an, um überprüfen zu können, ob bei der präsentierten App alle Datenschutz-Vorgaben berücksichtigt sind.“

Kugelmann betont: „Kontaktdaten, die in Zeiten der Corona-Pandemie zur Nachverfolgung von Covid19-Infektionen erfasst und gespeichert werden, sind sensible Daten: Aus ihnen geht unter Umständen hervor, wer sich mit wem an welchem Ort zu welcher Uhrzeit getroffen hat. Der Schutz der Privatsphäre der Bürgerinnen und Bürger muss in jedem Fall gewahrt bleiben. Auch in Zeiten der Corona-Krise darf das Datenschutz-Niveau in der Europäischen Union und in Deutschland nicht ausgehöhlt werden: Datenschutz und Gesundheitsschutz müssen Hand in Hand gehen.“



Save the Date: TLfDI – Profiling 2.0 – 5. Oktober 2020

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit

Erfurt, 26.08.2020: Das Abfischen von Daten zur Bildung von Persönlichkeitsprofilen z. B. beim Einkaufen oder Bestellen im Netz, in sozialen Netzwerken, in persönlichen Blogs oder von Kontakt-, Gesundheits-, Bewegungs- oder Geodaten ist seit unserer letzten Veranstaltung im Jahr 2017 immer weiter fortgeschritten – Kunden sind Versicherer, Arbeitgeber, unbekannte Dritte mit unterschiedlichen Zielsetzungen. Wir haben Profiling 2.0 erreicht! Oft geschieht es ohne unser Wissen.

Wie geht das? Was kann man damit machen? Wie machen die das?
Wo ist es im Einsatz? Für welche Zwecke?
Welches Missbrauchspotential steckt dahinter?
Brauchen wir KI?

Lassen Sie uns auch diesmal wieder mit prominenten Gästen, wie u.a. Herrn Prof. Dr. Harald Lesch die Antworten auf unsere oben genannten Fragen suchen. Schirmherrin der Veranstaltung ist die Landtagspräsidentin Frau Birgit Keller

Herzliche Einladung!

Wann: 5. Oktober 2020, 10 Uhr – 15 Uhr
Wo: Augustinerkloster zu Erfurt
Wichtig: Die Teilnehmeranzahl ist derzeit begrenzt auf 35 Gäste.

Anmeldungen können ab sofort per E-Mail an poststelle@datenschutz.thueringen.de erfolgen. Anbei auch der vorläufige Folder zur Veranstaltung, mit Programm!

Dr. Lutz Hasse
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Häßlerstraße 8 99096 Erfurt www.tlfdi.de<http://www.tlfdi.de/tlfdi/>