News

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

Wie gehen eigentlich brandenburgische Cafés und Restaurants mit den Daten ihrer Gäste um, die sie während der Corona-Pandemie zu erfassen verpflichtet sind? Mitarbeiterinnen und Mitarbeiter der Landesbeauftragten haben 54 Gaststätten überprüft, um eine Antwort auf diese Frage zu finden. Sie waren in den Landkreisen Dahme-Spreewald, Oberspreewald-Lausitz, Oder-Spree, Potsdam-Mittelmark sowie in allen vier kreisfreien Städten unterwegs.

Im Ergebnis stellte sich heraus, dass in 30 Restaurationsbetrieben zu viele Datenkategorien erfasst werden. Häufig wurde insbesondere nach der Anschrift gefragt, deren Angabe nach Maßgabe der aktuellen Verordnung gar nicht mehr erforderlich ist. Auch erkannten viele Gastwirtinnen und Gastwirte nicht, dass entweder die Telefonnummer oder die E-Mail-Adresse anzugeben ist, nicht aber beides. 36 Cafés und Restaurants hielten sich nicht an die Löschfristen; 16 davon hatten sogar noch gar keine Daten gelöscht. Auch mussten wir feststellen, dass ein vertraulicher Umgang mit den Gästedaten nicht immer gewährleistet war. In elf Gaststätten lagen Kontaktdaten so aus, dass jedermann die Angaben anderer Gäste unproblematisch zur Kenntnis nehmen konnte. Sieben Betriebe haben überhaupt keine Daten erfasst. Dagmar Hartge:

„Ein sorgsamer Umgang mit den Daten der Gäste ist kein Selbstzweck, sondern Voraussetzung für das nötige Vertrauen. Nur wenn die Gäste sicher sind, dass ihre Daten nicht in falsche Hände geraten, werden sie richtige und vollständige Angaben machen. Diese wiederum sind notwendig, um den Gesundheitsbehörden im Bedarfsfall zu ermöglichen, potenziell Infizierte zu finden und dadurch Infektionsketten zu unterbrechen. Gaststätten, die den Datenschutz beachten, zeigen somit nicht nur ihren Gästen, dass sie deren Persönlichkeitsrechte ernst nehmen; sie erleichtern auch die wichtige Aufgabe des Infektionsschutzes.“

In allen Fällen haben die Wirtinnen und Wirte unsere Hinweise aufgegriffen und zugesichert, die vorgefundenen Mängel künftig zu vermeiden. Die Mitarbeiterinnen und Mitarbeiter der Landesbeauftragten hatten bei ihren Gesprächen den Eindruck, dass häufig schlicht eine gewisse Unsicherheit bestand, wie mit den Daten umzugehen ist. Um die Praxis zu erleichtern, stellen wir in unserem Internetangebot ein Musterformular zur Datenerfassung sowie Erläuterungen in Form häufig gestellter Fragen (FAQs) zur Verfügung. Ziel unserer unangekündigten Prüfungen war es, die Verantwortlichen für einen datenschutzgerechten Umgang mit der Erfassung der Daten ihrer Gäste zu sensibilisieren. Ob die Landesbeauftragte in wenigen Ausnahmefällen mit schwerwiegenden Verstößen eine förmliche Verwarnung ausspricht oder weitere Maßnahmen ergreift, prüfen wir derzeit noch. Sanktionen stehen hier jedoch nicht im Vordergrund.

Zur Rechtslage: Die aktuelle brandenburgische SARS-CoV-2-Umgangsverordnung sieht vor, dass unter anderem Gaststätten die Kontaktdaten ihrer Gäste in einer Anwesenheitsliste erfassen. Zweck ist die Nachverfolgung von Kontakten im Fall einer festgestellten Infektion. Anzugeben sind laut Verordnung „der Vor- und Familienname und die Telefonnummer oder die E-Mail-Adresse der Betroffenen. Bei der Erfassung dieser Daten ist zu verhindern, dass Betroffene Kenntnis von personenbezogenen Daten anderer Betroffener erhalten. Die Anwesenheitsliste ist für die Dauer von vier Wochen unter Einhaltung datenschutzrechtlicher Vorschriften aufzubewahren oder zu speichern und auf Verlangen an das zuständige Gesundheitsamt herauszugeben. Nach Ablauf der Aufbewahrungsfrist ist die Anwesenheitsliste zu vernichten oder zu löschen.“

Für die Gaststätten ist die Formulierung der Verordnung gleichbedeutend mit der Quadratur des Kreises: Einerseits sollen Gäste sich in eine Anwesenheitsliste eintragen, andererseits muss diese aber vor den Blicken anderer Gäste verborgen bleiben. Letzteres ist mit einer Liste kaum zu realisieren. Zwei Drittel der überprüften Gaststätten waren deshalb bereits aus eigener Initiative zu einer separaten Erfassung für jeden Gast übergegangen. Eine solche empfehlen wir auch mit unserem Musterformular. Gegenüber der Landesregierung setzt Frau Hartge sich dafür ein, bei einer bevorstehenden Überarbeitung der SARS-CoV-2-Umgangsverordnung auf den Begriff einer „Anwesenheitsliste“ zwecks Klarstellung zu verzichten.

Verantwortlich: Sven Müller

Download Datenschutz dient dem Infektionsschutz - Landesbeauftragte überprüft Erfassung von Gästedaten in brandenburgischen Cafés und Restaurants als PDF

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 06.08.2020

Das Vertrauen der Bevölkerung in die Corona-Infektionsschutzmaßnahmen bröckelt. In die Kritik geraten dabei u.a. die Maßnahmen der Kontakterfassung von betroffenen Personen bei Gaststätten-, Friseur- oder Spielothekbesuchen. Nicht nur, dass durch die Datenerfassung Rückschlüsse auf den Freizeitaufenthalt und das Konsumverhalten der Besucherinnen und Besucher, Kundinnen und Kunden möglich sind, zuletzt gerieten die Listen aufgrund vereinzelter Zugriffe der Polizeibehörden in Kritik.

Weiterlesen Corona-Freiheitsschutz-Begleitgesetz für mehr gesellschaftliche Akzeptanz und Rechtssicherheit!

Download Corona-Freiheitsschutz-Begleitgesetz für mehr gesellschaftliche Akzeptanz und Rechtssicherheit! als PDF

Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 04.08.2020.

Kontaktdaten, die zum Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten erhoben werden sollen, werden zusehends durch die Polizei zum Zweck der Verfolgung von Straftaten verwendet. Die Möglichkeit, dass Strafverfolgungsbehörden diese Daten zu eigenen Zwecken nutzen, wird durch die Strafprozessordnung und das Bundesdatenschutzgesetz weitgehend unbeschränkt zugelassen. Zwar muss eine entsprechende Datenverarbeitung, soweit sie zur Ermittlung oder Ahndung von Straftaten oder Ordnungswidrigkeiten erfolgt, dem Verhältnismäßigkeitsgrundsatz entsprechen. Dies ist jedoch stets eine Frage des konkreten Falles und bedarf insoweit einer Einzelabwägung, die einen Einschätzungsspielraum eröffnet und auch häufig vom Vorverständnis des Rechtsanwenders getragen ist.

Weiterlesen Kontaktdaten sind vertraulich zu behandeln! – Bundesgesetzgeber sollte aktiv werden

Download Kontaktdaten sind vertraulich zu behandeln! - Bundesgesetzgeber sollte aktiv werden als PDF

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.
5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Auch wenn der EuGH in seiner Entscheidung an verschiedenen Stellen die vorrangige Verantwortung des Übermittlers von personenbezogenen Daten und des Empfängers betonte, hat er auch den Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten.

Nach dem Urteil des EuGH hat der Europäische Datenschutzausschuss nach einer ersten Stellungnahme in seiner Sitzung am 23. Juli 2020 zentrale Fragen und Antworten (FAQ) zur Umsetzung des Urteils veröffentlicht. Die DSK befürwortet die Positionierung des Europäischen Datenschutzausschusses. Der englische Text der FAQ ist auf der Webseite des Europäischen Datenschutzausschusses unter https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de zu finden.

Die Webseite der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kann hier abgerufen werden.

Download Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer ("Schrems II") stärkt den Datenschutz für EU-Bürgerinnen und Bürger als PDF

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 24.07.2020

Der Europäische Datenschutzausschuss (EDSA) hat sich gestern auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber betont, dass es sich um ein ‚lebendes Dokument‘ handelt: „Der EDSA klärt mit der FAQ entscheidende Fragen, die sich nach dem Urteil stellen. Das Dokument ist aber nicht abschließend. Der EDSA wird weitere Antworten ergänzen. Jetzt kommt es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten.“

Weiterlesen EDSA beschließt FAQ zu Schrems II

Download EDSA beschließt FAQ zu Schrems II als PDF