Von Kennzeichenerfassung bis Künstliche Intelligenz – Ergebnisse der 98. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 98. Sitzung am 6. und 7. November 2019 in Trier eine Reihe von Entschließungen und Beschlüssen gefasst. Die Bandbreite der Themen reichte dabei von der Kritik an einer massenhaften automatisierten Erfassung von Kfz-Kennzeichen über Risiken der Digitalisierung im Gesundheitswesen bis zu Empfehlungen für den datenschutzgerechten Einsatz von Künstlicher Intelligenz.

Empfehlungen für eine datenschutzkonforme Gestaltung von KI-Systemen

Auf der Grundlage der Hambacher Erklärung vom 3. April 2019 hat die DSK in einem Positionspapier Anforderungen an KI-Systeme erarbeitet, deren Umsetzung sie für eine datenschutzkonforme Gestaltung von KI-Systemen empfiehlt. Die DSK legt dieses Positionspapier auch vor, um den Dialog mit den relevanten Akteuren aus Politik, Wirtschaft, Wissenschaft und Gesellschaft wie den Verbrauchervereinigungen auf dieser Grundlage weiter zu intensivieren.

Massenhafte automatisierten Erfassung von Kfz-Kennzeichen

Seit einiger Zeit werden eigentlich für Zwecke der polizeilichen Gefahrenabwehr eingerichtete automatisierte Kennzeichenerfassungssysteme auch für Zwecke der Strafverfolgung eingesetzt und dabei massenhaft und teilweise längerfristig Kfz-Daten unabhängig von der Beschuldigteneigenschaft der betroffenen Personen erfasst. Die DSK kritisiert in einer Entschließung, dass eine Ausweitung des Betroffenenkreises in dieser Größenordnung durch keinerlei Tatsachen begründbar und nicht zu rechtfertigen ist.

Digitalisierung im Gesundheitswesen

Angesichts der fortschreitenden Digitalisierung des Gesundheitswesens fordert die DSK sicherzustellen, dass Patientendaten in medizinischen Einrichtungen jeder Größe nach dem Stand der Technik geschützt werden. Auch Gesundheitswebseiten und –Apps müssen die Erwartungen ihrer Nutzerinnen und Nutzer an Vertraulichkeit gewährleisten, und bei der Weitergabe personenbezogener Daten bestimmte Anforderungen einhalten. Für den Einsatz von Messenger-Diensten im Krankenhausbereich wurden in einem „Whitepaper“ technische Anforderungen zusammengestellt, die als Grundlage für weitere Gespräche mit den einschlägigen Verbänden (DKG, VKD, KH-IT, BÄK, bvitg) dienen sollen.

Standard-Datenschutzmodell

Die DSK hat mit der Version 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM) verabschiedet [Link auf SDM]. Mit dem SDM stellt die DSK ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. In ihrer Pressemitteilung [Link auf PM] empfiehlt die DSK den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden und ihre Erfahrungen den Datenschutzaufsichtsbehörden mitzuteilen.

Windows Betriebssystem- und Anwendungslösungen

Um Verantwortlichen eine Möglichkeit zu geben, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz des Betriebssystems Windows 10, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten, hat die DSK ein Prüfschema veröffentlicht.

Im Zusammenhang mit der automatisierten Übertragung sogenannter Telemetriedaten bei Windows Betriebssystem- und Anwendungslösungen hat die Konferenz im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel ist es dabei, den Personenbezug von Nutzungsdaten zu vermindern bzw. deren Übertragung in die Entscheidung der Nutzerinnen und Nutzer zu stellen.

Weiterentwicklung der DS-GVO und Zusammenarbeit mit Europäischen Aufsichtsbehörden

Die DSK hat einen Erfahrungsbericht über die Anwendung der Datenschutz-Grundverordnung beschlossen, der einen Beitrag zur Erstellung eines Berichts auf europäischer Ebene leisten soll. Für eine verbesserte Abstimmung und Zusammenarbeit mit den Europäischen Aufsichtsbehörden hat die Konferenz verschiedene interne Verfahrensregelungen beschlossen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zog folgendes Fazit des diesjährigen rheinland-pfälzischen Vorsitzes in der Datenschutzkonferenz: „Die umfangreichen Tagesordnungen der 98. Datenschutzkonferenz sowie der vorhergehenden zeigen einmal mehr, dass die fortschreitende Digitalisierung Datenschutzfragen in nahezu allen Lebensbereichen aufwirft. Die Datenschutzbeauftragten stehen dabei vor der Herausforderung, relevante Entwicklungen frühzeitig zu erkennen und den Datenschutz so einzubringen, dass Risiken begegnet wird und Chancen nicht vergeben werden. Ich freue mich daher, dass es im Jahr des rheinland-pfälzischen Vorsitzes der Konferenz gelungen ist, für das Zukunftsthema „Künstliche Intelligenz“ entsprechende Empfehlungen zu erarbeiten.“

Die erwähnten Entschließungen und Beschlüsse der DSK stehen unter https://www.datenschutz-mv.de/datenschutz/publikationen/entschliessungen_2020_2011/ zum Download bereit.



Standard-Datenschutzmodell Version 2.0 von der Datenschutzkonferenz verabschiedet

Standard-Datenschutzmodell

Eine Methode zur Datenschutzberatung und –prüfung
auf der Basis einheitlicher Gewährleistungsziele

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit der Version 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM) entwickelt.

Die rechtlichen Anforderungen der Datenschutzgrundverordnung (DS-GVO) werden vom SDM nun vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert. Der Katalog generischer Maßnahmen ermöglicht einen niederschwelligen Einstieg in die praktische Anwendung des SDM. Das im SDM beschriebene Datenschutzmanagement führt Verantwortliche durch alle Phasen der Verarbeitung personenbezogener Daten und ermöglicht somit auch die kontinuierliche Aufrechterhaltung einer rechtssicheren Verarbeitung.

Mit dem SDM stellt die Konferenz ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. Diese Maßnahmen sollen sicherstellen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. Das SDM bietet mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik und unterstützt damit einen ständigen Dialog zwischen Beteiligten aus den juristischen und technisch-organisatorischen Bereichen.

Die Anwendungsbereiche des Standard-Datenschutzmodells sind Planung, Einführung und Betrieb von Verarbeitungstätigkeiten, mit denen personenbezogene Daten verarbeitet werden (personenbezogene Verarbeitungen) sowie deren Prüfung und Beurteilung. Damit unterstützt das SDM Verantwortliche in Wirtschaft und Verwaltung, die von der DS-GVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden. Das SDM soll kontinuierlich weiterentwickelt werden. Anwenderinnen und Anwender sind eingeladen, den Datenschutzaufsichtsbehörden ihre Erfahrungen bei der Nutzung des SDM mitzuteilen, um zu einer stetigen Verbesserung des Modells beizutragen.



Verschlüsselung der Videoaufnahmen auf dem Schweriner Marienplatz

Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern:

Verschlüsselung der Videoaufnahmen auf dem Schweriner Marienplatz

Im Streit um die Videoüberwachung auf dem Schweriner Marienplatz hat die Polizei nunmehr nachgegeben und neue Technik beschafft. „Die Polizei hat plausibel gemacht, dass die Aufnahmen neuerdings bei der Übertragung per Funk verschlüsselt werden“, sagt Heinz Müller, Landesbeauftragter für Datenschutz und Informationsfreiheit. „Ich gehe daher davon aus, dass meine Kernforderung erfüllt ist.“ Er habe deshalb gestern seinen Eilantrag vor dem Schweriner Verwaltungsgericht für erledigt erklärt.

In einer Schneepause waren zwei Mitarbeiter des Landesbeauftragten gestern auf die Dächer der Marienplatz Galerie und eines Hochhauses auf dem Großen Dreesch gestiegen und hatten sich von der Polizei die Antennenanlagen zeigen lassen. Außerdem hatten sie dazugehörige IT im Schweriner Polizeizentrum in Augenschein genommen. „Auch wenn der allerletzte Nachweis noch nicht erbracht ist: Meine Mitarbeiter haben den Eindruck, dass eine angemessene Sicherheit der personenbezogenen Daten nunmehr gewährleistet ist“, zeigte sich Heinz Müller zufrieden.

Obwohl der Landesbeauftragte die Videoüberwachung auf dem Marienplatz ohne zusätzliche Sicherheitsmaßnahmen verboten hatte, war diese unverändert fortgesetzt worden. Ihm war daher nur die gerichtliche Auseinandersetzung geblieben. „Dieses Verfahren hat mehr als deutlich gemacht“, so Heinz Müller, „dass der Landesbeauftragte im öffentlichen wie im nicht-öffentlichen Bereich die Möglichkeit haben sollte, seine nach Europarecht verbindlichen Anordnungen auch durchzusetzen.“



Landesdatenschutzbeauftragter zieht für datenschutzkonforme und sichere Videoüberwachung vor Gericht

Pressemitteilung des Landesbeauftragten für Datenschutz und
Informationsfreiheit Mecklenburg-Vorpommern:

Landesdatenschutzbeauftragter zieht für datenschutzkonforme und sichere Videoüberwachung vor Gericht

Um eines vorwegzunehmen: „Wir wollen die Videoüberwachung auf dem Marienplatz in Schwerin nicht generell verbieten. Die Sicherheit der Bürgerinnen und Bürger ist uns ein sehr wichtiges Anliegen. Dazu gehört aber auch die Sicherheit ihrer Daten.“, stellt Heinz Müller, der Landesbeauftragte für Datenschutz und Informationsfreiheit M-V klar.

Ebenso steht fest, dass sich die Polizei und das Ministerium für Inneres und Europa M-V bei der Verarbeitung der Daten der Bürgerinnen und Bürger an Vorschriften halten müssen. Beim Thema Datenschutz gelten dabei für Behörden die gleichen Gesetze wie für Unternehmer oder Krankenhäuser. Eine Regel lautet: Wer personenbezogene Daten verarbeitet, muss von Anfang an sicherstellen, dass niemand unberechtigt auf die Daten zugreifen oder diese verändern kann. „Genau das kann bei der Videoüberwachung auf dem Marienplatz jedoch gerade nicht gewährleistet werden.“, kritisiert Heinz Müller. Der Polizei und dem Ministerium für Inneres und Europa ist das bewusst. Natürlich hat man sich auch dort, wie vom Gesetz gefordert, Gedanken um die Datensicherheit gemacht und ist zu dem Schluss gekommen, dass die Daten bei der Übertragung verschlüsselt werden müssen.

„Warum nun die Polizei und das Ministerium für Inneres und Europa M-V von ihren eigenen Vorgaben abweichen und auf eine gesicherte Übertragung der Daten verzichten, ist uns nicht klar. In jedem Fall ist das ein Datenschutzverstoß, der uns zum Handeln zwingt.“, so Müller weiter.

Da die nach Europarecht verbindlichen Anordnungen des Datenschutzbeauftragten für mehr Sicherheit der Videoüberwachung bisher nicht befolgt wurden, bleibt nur eine gerichtliche Auseinandersetzung. Gestern Abend wurde bei Gericht ein Antrag gestellt, dass die derzeit unverschlüsselte Bildübertragung bei der Videoüberwachung auf dem Marienplatz in Schwerin untersagt werden soll. „Es ist jedoch nicht unser Ziel, dass die Kameras ausgeschaltet werden, sondern die Videoüberwachung so betrieben wird, dass sie sicher ist. Dazu gibt es Lösungen auf dem Markt, und wir sind gern zu weiteren konstruktiven Gesprächen bereit.“, erklärt Heinz Müller abschließend.



Verbot der Videoüberwachung auf dem Schweriner Marienplatz

Der Landesbeauftragte für Datenschutz und Informationsfreiheit hat heute nach Artikel 58 Absatz 2 Buchstabe f der europäischen Datenschutz-Grundverordnung ein Verbot der Videoüberwachung auf dem Schweriner Marienplatz verhängt. Die Aufnahmen der acht Kameras werden unverschlüsselt per Funk in das Schweriner Polizeizentrum übertragen. „Eine angemessene Sicherheit der Daten der Bürgerinnen und Bürger ist dabei nicht gewährleistet,“ sagt Heinz Müller.

„Damit verstößt die Polizei nicht nur gegen das geltende Datenschutzrecht, sondern missachtet zudem auch noch eigene Datenschutz- und Sicherheitsvorgaben, die für die Landesverwaltung verbindlich sind,“ sagt Müller. „Und das weiß die Polizei auch. In ihrer Datenschutz-Folgenabschätzung zur Videoüberwachung auf dem Marienplatz erklärt sie die Verschlüsselung der Daten zu einer notwendigen Sicherheitsmaßnahme. Doch aus der mir heute zugegangenen Anordnung der Fortsetzung der Videoüberwachung ergibt sich, dass eine Verschlüsselung nicht stattfindet.“

Diesen Rechtsverstoß könne Müller als Leiter der zuständigen Aufsichtsbehörde nicht hinnehmen. „Meine Aufgabe ist es, die Anwendung des Datenschutzrechts zu überwachen und durchzusetzen. Und diese Aufgabe nehme ich sehr ernst.“