Allgemein – Virtuelles Datenschutzbüro

Landesdatenschutzbeauftragter: „Heimliche Spannervideos sind strafbar“

Veröffentlicht am: 17. Januar 202017. Januar 2020

„Heimliche Spannervideos verletzen den höchstpersönlichen Lebensbereich und sind strafbar“, sagt Heinz Müller, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern. „Die auf dem Festival ‚Monis Rache‘ offenbar benutzten Minikameras gibt es in allen möglichen Ausfertigungen. Sie können in einem Rauchmelder, einem Kugelschreiber oder auch einem Ladegerät versteckt sein. Aufnahmen solcher Kameras können im Grunde jeden von uns treffen.“ Müller warnt: „Auch, wenn sie auf dem freien Markt erhältlich sind, lassen sich Minikameras nicht datenschutzkonform betreiben“.

Auf dem Festival „Monis Rache“ in Tutow (Vorpommern-Greifswald) hat ein Mann Medienberichten zufolge Kameras auf den Toiletten versteckt und die Benutzerinnen gefilmt. Nach einer Recherche des ARD-Magazins „Strg_F“ hat er die Aufnahmen später geschnitten und auf Porno-Plattformen verteilt. Damit soll er fast 8000 Euro verdient haben.

Die Polizeiinspektion Anklam hat nach der Veröffentlichung der Reportage von Amts wegen eine Anzeige gegen Unbekannt erstattet. Die dortige Kriminalpolizeiinspektion hat inzwischen Ermittlungen wegen des Verdachts der Begehung von Straftaten nach §§ 184 und 201a Strafgesetzbuch sowie § 23 Kunsturheberrechtsgesetz aufgenommen. Die Polizei bittet Personen, die 2018 auf dem Festival waren, die Dixi-Toiletten benutzt haben und somit Betroffene dieser Tat sein könnten, Anzeige zu erstatten. Das könne auch online unter www.polizei.mvnet.de geschehen.

Der oberste Datenschützer des Landes nimmt den Sachverhalt sehr ernst. Seine Behörde werde alle in ihrem Zuständigkeitsbereich möglichen Maßnahmen ergreifen. Zunächst liege das Verfahren aber bei der zuständigen Staatsanwaltschaft.

Download Landesdatenschutzbeauftragter: „Heimliche Spannervideos sind strafbar“ als PDF

Von Kennzeichenerfassung bis Künstliche Intelligenz – Ergebnisse der 98. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Veröffentlicht am: 13. November 201914. November 2019

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 98. Sitzung am 6. und 7. November 2019 in Trier eine Reihe von Entschließungen und Beschlüssen gefasst. Die Bandbreite der Themen reichte dabei von der Kritik an einer massenhaften automatisierten Erfassung von Kfz-Kennzeichen über Risiken der Digitalisierung im Gesundheitswesen bis zu Empfehlungen für den datenschutzgerechten Einsatz von Künstlicher Intelligenz.

Empfehlungen für eine datenschutzkonforme Gestaltung von KI-Systemen

Auf der Grundlage der Hambacher Erklärung vom 3. April 2019 hat die DSK in einem Positionspapier Anforderungen an KI-Systeme erarbeitet, deren Umsetzung sie für eine datenschutzkonforme Gestaltung von KI-Systemen empfiehlt. Die DSK legt dieses Positionspapier auch vor, um den Dialog mit den relevanten Akteuren aus Politik, Wirtschaft, Wissenschaft und Gesellschaft wie den Verbrauchervereinigungen auf dieser Grundlage weiter zu intensivieren.

Massenhafte automatisierten Erfassung von Kfz-Kennzeichen

Seit einiger Zeit werden eigentlich für Zwecke der polizeilichen Gefahrenabwehr eingerichtete automatisierte Kennzeichenerfassungssysteme auch für Zwecke der Strafverfolgung eingesetzt und dabei massenhaft und teilweise längerfristig Kfz-Daten unabhängig von der Beschuldigteneigenschaft der betroffenen Personen erfasst. Die DSK kritisiert in einer Entschließung, dass eine Ausweitung des Betroffenenkreises in dieser Größenordnung durch keinerlei Tatsachen begründbar und nicht zu rechtfertigen ist.

Digitalisierung im Gesundheitswesen

Angesichts der fortschreitenden Digitalisierung des Gesundheitswesens fordert die DSK sicherzustellen, dass Patientendaten in medizinischen Einrichtungen jeder Größe nach dem Stand der Technik geschützt werden. Auch Gesundheitswebseiten und –Apps müssen die Erwartungen ihrer Nutzerinnen und Nutzer an Vertraulichkeit gewährleisten, und bei der Weitergabe personenbezogener Daten bestimmte Anforderungen einhalten. Für den Einsatz von Messenger-Diensten im Krankenhausbereich wurden in einem „Whitepaper“ technische Anforderungen zusammengestellt, die als Grundlage für weitere Gespräche mit den einschlägigen Verbänden (DKG, VKD, KH-IT, BÄK, bvitg) dienen sollen.

Standard-Datenschutzmodell

Die DSK hat mit der Version 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM) verabschiedet [Link auf SDM]. Mit dem SDM stellt die DSK ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. In ihrer Pressemitteilung [Link auf PM] empfiehlt die DSK den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden und ihre Erfahrungen den Datenschutzaufsichtsbehörden mitzuteilen.

Windows Betriebssystem- und Anwendungslösungen

Um Verantwortlichen eine Möglichkeit zu geben, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz des Betriebssystems Windows 10, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten, hat die DSK ein Prüfschema veröffentlicht.

Im Zusammenhang mit der automatisierten Übertragung sogenannter Telemetriedaten bei Windows Betriebssystem- und Anwendungslösungen hat die Konferenz im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel ist es dabei, den Personenbezug von Nutzungsdaten zu vermindern bzw. deren Übertragung in die Entscheidung der Nutzerinnen und Nutzer zu stellen.

Weiterentwicklung der DS-GVO und Zusammenarbeit mit Europäischen Aufsichtsbehörden

Die DSK hat einen Erfahrungsbericht über die Anwendung der Datenschutz-Grundverordnung beschlossen, der einen Beitrag zur Erstellung eines Berichts auf europäischer Ebene leisten soll. Für eine verbesserte Abstimmung und Zusammenarbeit mit den Europäischen Aufsichtsbehörden hat die Konferenz verschiedene interne Verfahrensregelungen beschlossen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zog folgendes Fazit des diesjährigen rheinland-pfälzischen Vorsitzes in der Datenschutzkonferenz: „Die umfangreichen Tagesordnungen der 98. Datenschutzkonferenz sowie der vorhergehenden zeigen einmal mehr, dass die fortschreitende Digitalisierung Datenschutzfragen in nahezu allen Lebensbereichen aufwirft. Die Datenschutzbeauftragten stehen dabei vor der Herausforderung, relevante Entwicklungen frühzeitig zu erkennen und den Datenschutz so einzubringen, dass Risiken begegnet wird und Chancen nicht vergeben werden. Ich freue mich daher, dass es im Jahr des rheinland-pfälzischen Vorsitzes der Konferenz gelungen ist, für das Zukunftsthema „Künstliche Intelligenz“ entsprechende Empfehlungen zu erarbeiten.“

Die erwähnten Entschließungen und Beschlüsse der DSK stehen unter https://www.datenschutz-mv.de/datenschutz/publikationen/entschliessungen_2020_2011/ zum Download bereit.

Download Von Kennzeichenerfassung bis Künstliche Intelligenz – Ergebnisse der 98. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder als PDF

Standard-Datenschutzmodell Version 2.0 von der Datenschutzkonferenz verabschiedet

Veröffentlicht am: 13. November 201915. November 2019

Standard-Datenschutzmodell

Eine Methode zur Datenschutzberatung und –prüfung
auf der Basis einheitlicher Gewährleistungsziele

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit der Version 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM) entwickelt.

Die rechtlichen Anforderungen der Datenschutzgrundverordnung (DS-GVO) werden vom SDM nun vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert. Der Katalog generischer Maßnahmen ermöglicht einen niederschwelligen Einstieg in die praktische Anwendung des SDM. Das im SDM beschriebene Datenschutzmanagement führt Verantwortliche durch alle Phasen der Verarbeitung personenbezogener Daten und ermöglicht somit auch die kontinuierliche Aufrechterhaltung einer rechtssicheren Verarbeitung.

Mit dem SDM stellt die Konferenz ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. Diese Maßnahmen sollen sicherstellen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. Das SDM bietet mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik und unterstützt damit einen ständigen Dialog zwischen Beteiligten aus den juristischen und technisch-organisatorischen Bereichen.

Die Anwendungsbereiche des Standard-Datenschutzmodells sind Planung, Einführung und Betrieb von Verarbeitungstätigkeiten, mit denen personenbezogene Daten verarbeitet werden (personenbezogene Verarbeitungen) sowie deren Prüfung und Beurteilung. Damit unterstützt das SDM Verantwortliche in Wirtschaft und Verwaltung, die von der DS-GVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden. Das SDM soll kontinuierlich weiterentwickelt werden. Anwenderinnen und Anwender sind eingeladen, den Datenschutzaufsichtsbehörden ihre Erfahrungen bei der Nutzung des SDM mitzuteilen, um zu einer stetigen Verbesserung des Modells beizutragen.

Download Standard-Datenschutzmodell Version 2.0 von der Datenschutzkonferenz verabschiedet als PDF

Verbot des Lehrerprangers durch Landesdatenschutzbeauftragten: AfD beugt sich Anordnung

Veröffentlicht am: 24. September 20191. Oktober 2019

Der Landesverband der AfD hat die vom Landesdatenschutzbeauftragten angeordneten Maßnahmen zum „Informationsportal Neutrale Schule“ fristgerecht befolgt, geht aber juristisch weiter dagegen vor. Der Landesdatenschutzbeauftragte prüft seinerseits, ob weitere Maßnahmen gegen den Landesverband der AfD verhängt werden müssen.

Mit dem Informationsportal „Neutrale Schule“ hatte der AfD-Landesverband in Mecklenburg-Vorpommern Schülerinnen und Schüler dazu aufgerufen, Lehrerinnen und Lehrer zu melden, die sich negativ über die AfD äußern. Das hat den Landesdatenschutzbeauftragten auf den Plan gerufen. „Die Zeiten, in denen eine Partei Lehrerinnen und Lehrer wegen ihrer politischen Überzeugung nachstellt, sind vorbei. Wir müssen alles dafür tun, die Meinungsfreiheit zu schützen. Lehrerinnen und Lehrer müssen entsprechend ihrem Bildungsauftrag ohne Angst vor Repressalien Schülerinnen und Schüler zur politischen Auseinandersetzung und eigenständigem Denken anhalten“, so der Landesdatenschutzbeauftragte Heinz Müller.

Der Landesdatenschutzbeauftragte hatte dem AfD-Landesverband untersagt, über das Portal zur Meldung von AfD-kritischen Lehrerinnen und Lehrern aufzurufen. Gestützt wird das Verbot auf die seit dem letzten Jahr gültige europäische Datenschutz-Grundverordnung. Diese hat für die Verarbeitung von besonders sensiblen Daten, wozu auch politische Meinungen gehören, klare Spielregeln. An diese hat sich der Landesverband der AfD in Mecklenburg-Vorpommern nicht gehalten. „Bei einer rechtswidrigen Datenverarbeitung müssen wir tätig werden, so will es die Datenschutz-Grundverordnung, “ erklärt Heinz Müller.

„Der Fall macht deutlich: Datenschutz ist kein bloßes Bürokratiemonster, sondern schützt elementare Grundrechte. Dazu gehört insbesondere das Recht auf freie Entfaltung der Persönlichkeit und die freie Meinungsäußerung“, so Heinz Müller abschließend.

Download Verbot des Lehrerprangers durch Landesdatenschutzbeauftragten: AfD beugt sich Anordnung als PDF

Landesdatenschutzbeauftragter verbietet AfD-Portal

Veröffentlicht am: 13. September 201916. September 2019

Der Landesbeauftragte für Datenschutz und Informationsfreiheit hat heute das Meldeportal „Neutrale Schule“ des AfD-Landesverbands verboten. Die dort veröffentlichten Textpassagen, in denen Schüler zur Meldung angeblicher Verstöße gegen das Neutralitätsgebot aufgefordert werden, sind bis zum 20. September 2019 zu entfernen, ansonsten droht die Verhängung eines Zwangsgeldes.

„Es darf nicht sein, dass Lehrer durch so ein Portal in ihrer Unterrichtstätigkeit eingeschüchtert werden“, erklärt Behördenchef Heinz Müller. „Genau das ist die Aussage der hier zur Anwendung kommenden datenschutzrechtlichen Vorschriften. Selbstverständlich ist es die Aufgabe der Lehrer, für die Demokratie, das Grundgesetz und die darin gewährleistete Menschenwürde einzutreten. Dabei sollen sie keine Angst haben, von selbsternannten AfD-Aufpassern behelligt zu werden.“

Der Landesverband der AfD erhebt in seinem Portal, anders als in seiner Pressemitteilung vom 2. September 2019 angegeben, nicht nur die personenbezogenen Daten der Schüler, die eine Meldung verfassen, sondern sammelt ganz gezielt auch die politischen Meinungen der gemeldeten Lehrer. Als besondere Kategorie personenbezogener Daten steht die politische Meinung jedoch unter besonderem rechtlichen Schutz.

In seiner Stellungnahme stützt der AfD-Landesverband die Datenverarbeitung auf sein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. „Hierbei wird verkannt“, so Müller, „dass die Verarbeitung von Daten, aus denen die politische Meinung hervorgeht, nach Artikel 9 Absatz 1 DS-GVO grundsätzlich untersagt ist.“ Eine solche Verarbeitung sei nur ausnahmsweise, unter den Voraussetzungen des Artikels 9 Absatz 2 DS-GVO, erlaubt. Doch die seien hier nicht gegeben.

Zwar hole der Landesverband der AfD die ausdrückliche Einwilligung der Verfasser einer Meldung in die „Nutzung ihrer Daten zu Zwecken der Arbeit der AfD Mecklenburg-Vorpommern“ ein. Doch sei diese Einwilligungserklärung viel zu unbestimmt und daher unwirksam. Mit Blick auf die gemeldeten Lehrer scheide eine Verarbeitung auf der Grundlage einer Einwilligung von vornherein aus. „Dem AfD-Landesverband ist es nicht gelungen, die Rechtmäßigkeit der von ihm zu verantwortenden Datenverarbeitung nachzuweisen“, sagt Müller. „Ein Verbot war daher angebracht.“

Mit Blick auf die Rechte der Betroffenen fügt Müller hinzu: „Übrigens kann jeder vom AfD-Landesverband nach Artikel 15 DS-GVO Auskunft darüber verlangen, ob ihn betreffende Daten verarbeitet werden. Ein formloses Schreiben genügt!“

Download Landesdatenschutzbeauftragter verbietet AfD-Portal als PDF