News – Seite 3 – Virtuelles Datenschutzbüro

Gesichtserkennung in Sachsen ist ein tiefer Eingriff in die Grundrechte

Veröffentlicht am: 24. September 2024

Die Sächsische Datenschutz- und Transparenzbeauftragte appelliert an die Sicherheitsbehörden im Freistaat, beim Einsatz von Gesichtserkennungssystemen die Verhältnismäßigkeit und Rechtsstaatlichkeit zu wahren.
Anlässlich des im Gesetzgebungsverfahren befindlichen Asyl- und Sicherheitspakets der Bundesregierung weist Dr. Juliane Hundert auf die aktuelle Situation in Sachsen hin:

»Die Polizeidirektion Görlitz setzt für strafprozessuale Ermittlungsverfahren stationäre und mobile Kameras ein. Mit dieser Technik lassen sich Bildaufzeichnungen in hoher Auflösung anfertigen. Ein automatisierter biometrischer Abgleich von aufgezeichneten Gesichtsbildern mit zuvor hinterlegten Referenzbildern findet nach meinen Erkenntnissen bisher in ausgewählten Fällen und ausschließlich auf richterlicher Anordnung statt. Gleichwohl halte ich diese Maßnahmen für höchst bedenklich. Werden beim Passieren von Videokameras von unbeteiligten und nicht verfahrensrelevanten Personen biometrische Muster ihrer Gesichter erstellt, erreicht die Maßnahme eine Eingriffstiefe, die nicht ansatzweise von den aktuell geltenden Ermittlungsbefugnissen in der Strafprozessordnung gedeckt ist. Für einen solchen massenhaften biometrischen Abgleich im Strafverfahren bedarf es einer bestimmten, normenklaren gesetzlichen Grundlage.
Mit Blick auf die Rechtsprechung des Bundesverfassungsgerichts zu präventiven Maßnahmen der automatisierten Kennzeichenerfassung dürfte kein Zweifel bestehen, dass die biometrische Verarbeitung und ein Abgleich der Gesichtsbilder sämtlicher Personen, die eine Überwachungskamera im öffentlichen Raum passieren, mangels hinreichender Rechtsgrundlage gegen die Verfassung verstößt. Zu beachten sind überdies die europarechtlichen Anforderungen der neuen KI-Verordnung, die von den bestehenden Regelungen nicht annähernd erfüllt werden.«

Die Sächsische Datenschutz- und Transparenzbeauftragte verfügt über keine Interventionsmöglichkeit bei polizeilichen Maßnahmen, die richterlich angeordnet wurden. Gerichte unterliegen nicht ihrer Aufsicht. Insofern sind auch keine datenschutzaufsichtsbehördlichen Anordnungen gegen polizeiliche Datenverarbeitungen möglich, die die Polizei aufgrund richterlicher Beschlüsse durchführt. Gleichwohl appelliert Dr. Juliane Hundert an Polizei und Staatsanwaltschaften in Sachsen, solche Maßnahmen nicht zu beantragen, sowie an die Gerichte, solche Maßnahmen nicht anzuordnen: »Dem Sächsischen Innenministerium und dem Sächsischen Justizministerium habe ich meine Auffassung zur Kenntnis gegeben.«

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich des Themas ebenfalls angenommen und in ihrer Entschließung vom 20. September 2024 auf die hohen rechtlichen Hürden für die Nutzung automatisierter Gesichtserkennungssysteme hingewiesen.
Auch die Bundesbeauftragte für den Datenschutz- und die Informationsfreiheit (BfDI) hat sich zum aktuellen Gesetzgebungsvorhaben des Bundes kritisch zu Wort gemeldet.

Weiterführende Links:
Entschließung der DSK: Vorsicht bei dem Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden
Stellungnahme der BfDI zum Entwurf eines Gesetzes zur Verbesserung der Terrorismusbekämpfung

Entschließung zum Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden

Veröffentlicht am: 23. September 2024

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20.09.2024

Bereits jetzt setzen einige Behörden Technologien zur automatisierten Gesichtserkennung ein und berufen sich dabei auf unspezifische Rechtsgrundlagen. Darüber hinaus gibt es Bestrebungen der Politik, das Instrument der automatisierten Gesichtserkennung in unterschiedlichen Einsatzszenarien zu erlauben

Der Einsatz von Gesichtserkennungssystemen kann ein sehr intensiver Eingriff in die Grundrechte der betroffenen Personen sein, dies gilt insbesondere beim Einsatz im öffentlichen Raum. Erfasst werden dadurch viele Menschen, die dafür keinerlei Anlass gegeben haben.

Weiterlesen Entschließung zum Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden

Veröffentlichung des Jahresberichts 2023

Veröffentlicht am: 17. September 2024

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 17.09.2024

Im Abgeordnetenhaus von Berlin hat heute Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), ihren Jahresbericht für das Jahr 2023 der Öffentlichkeit vorgestellt. Der Bericht gibt auf 174 Seiten detaillierte Einblicke in die Arbeit der Aufsichtsbehörde auf lokaler, nationaler und europäischer Ebene.

Weiterlesen Veröffentlichung des Jahresberichts 2023

Pressegespräch „Best of Datenschutz“ – Lebensnahe Datenschutzfälle aus 2023 und 2024

Veröffentlicht am: 5. September 2024

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 04.09.2024

Ob beim Beratungsgespräch mit der Hausbank, beim Doppelkopf-Kurs an der Volkshochschule oder beim Einkauf smarter Geräte im Elektronikmarkt: Datenschutz betrifft den Alltag der Bürgerinnen und Bürger in Rheinland-Pfalz ganz unmittelbar. Das hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz heute in seinem Pressegespräch „Best of Datenschutz“ hervorgehoben. Vorgestellt wurden lebensnahe Datenschutzfälle aus den vergangenen zwölf Monaten, die auf Beschwerden und Datenpannenmeldungen rheinland-pfälzischer Bürgerinnen und Bürger sowie Unternehmen zurückgehen.

„Das Datenschutzrecht wird manches Mal als abstrakt und mühsam wahrgenommen. Für die Bürgerinnen und Bürger ändert sich diese Wahrnehmung aber schlagartig, wenn die Überwachungskamera des Nachbarn plötzlich auf den eigenen Garten ausgerichtet ist oder wenn die halbe Ortsgemeinde aufgrund einer Indiskretion am Bankschalter über die eigenen Finanzverhältnisse Bescheid weiß. Dann wird die Bedeutung des Schutzes von Privatheit für jede und jeden Einzelnen deutlich“, erklärt Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Gemeinsam mit meinem Team gehe ich jährlich mehr als 1.500 Beschwerden und Datenpannenmeldungen nach. Meine Aufgabe ist es, das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung sicherzustellen. Und das betrifft alle Lebenslagen, denn Datenschutz ist gerade auch im Alltag von praktischer Bedeutung.“

Zu den vorgestellten Datenschutzfällen aus 2023 und 2024 gehörte ein missglücktes Weihnachtsgeschenk: Eine Frau hatte in einem Elektronikmarkt eine Virtual-Reality-Brille für ihren Sohn erworben. Auf die Bescherung folgte eine böse Überraschung: Mit dem Gerät waren bereits Facebook- und Instagram-Konten verknüpft – mit personenbezogenen Daten und vermutlich wenig kindgerechten Inhalten. Ein anderer Kunde hatte die Virtual-Reality-Brille zuvor gekauft, ausprobiert und innerhalb der Widerrufsfrist zurückgegeben. Im Vorweihnachtsstress hatte ein Mitarbeiter des Elektronikgeschäfts vergessen, die auf dem Gerät gespeicherten Daten des ersten Kunden vor dem Wiederverkauf zu löschen.

Über die Datenschutzfolgen eines vermeintlich alltäglichen Kundengesprächs in einer rheinland-pfälzischen Bankfiliale berichtete die stellvertretende Landesdatenschutzbeauftragte, Dr. Daniela Franke: Weil eine Bankberaterin ein Beratungstelefonat nicht in einem separaten Büro, sondern im öffentlichen Schalterraumgeführt hatte, waren sensible Informationen zu den Vermögenswerten und den Lebensplänen einer Kundin in unbefugte Ohren gelangt.

In einem anderen Fall wehrte sich eine Bürgerin dagegen, dem Jugendamt zur Anerkennung der Vaterschaft für ihr bald erwartetes Kind ihren Mutterpass mit den darin enthaltenen schützenswerten Gesundheitsdaten vorlegen zu müssen. Mit Erfolg: Auf Intervention des Landesbeauftragten hin änderte das Jugendamt seine Vorgehensweise zur Anerkennung von Vaterschaften, künftig wird dort keine Vorlage des Mutterpasses mehr verlangt.

Eine unglückliche IT-Panne ereignete sich bei der rheinland-pfälzischen Polizei. Eine Fahndungswebseite sollte eigentlich Hinweise zu einem Tankstellenräuber sammeln. Aufgrund eines IT-Fehlers waren dort zeitweise jedoch nicht bloß Fotos des Täters zu sehen, sondern – beim Aufruf der Vergrößerungsfunktion für die Bilder – auch Zeugniskopien von gänzlich unbeteiligten Praktikantinnen und Praktikanten, ein Lichtbild eines Polizeibeamten sowie ein Video zu einem mutmaßlichen Wohnungseinbruchsdiebstahl.

Der Landesbeauftragte berichtete auch über den Stand der umfangreichen Prüfungen zur IT-Sicherheit in rheinland-pfälzischen Gesundheitsämtern. Im Ergebnis stellten sich die Befürchtungen hinsichtlich einer unzureichenden IT-Sicherheit in den Gesundheitsämtern als weniger gravierend heraus als in den Ende 2023 erschienenen Presseberichten zunächst angenommen. Anhaltspunkte für ein unbefugtes Abfließen von Gesundheitsdaten der betroffenen Personen an Stellen außerhalb der Verwaltung bestanden nicht. Allerdings deckte der Landesbeauftragte im Rahmen seiner Prüfungen diverse datenschutzrelevante Schwachstellen auf. So verfügte die eingesetzte IT-Anwendung weder über eine datenschutzkonforme Protokollierungsfunktion noch über die gebotene Unterstützung für eine hinreichende Verschlüsselung der Datenbanken. Auch hatte die Software im Auslieferungszustand bislang das Prinzip der datenschutzfreundlichen Voreinstellungen nicht ausreichend beachtet. Auf der Seite der Kreisverwaltungen wiederum entsprach das Datenschutzmanagement häufig nicht den rechtlichen Anforderungen. Der Landesbeauftragte forderte die betroffenen Kreisverwaltungen zur Beseitigung der festgestellten Defizite auf. Zugleich sprach er gegenüber dem zuständigen Ministerium für Wissenschaft und Gesundheit konkrete Empfehlungen<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Datenschutz-Empfehlungen_LfDI_OEGD.pdf> zur datenschutzkonformen Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz aus. Zudem wird der Austausch mit dem Hersteller der in den Gesundheitsämtern eingesetzten IT-Anwendung fortgesetzt.

Neben den täglichen Beschwerden und Datenpannen prägten Gesetzgebungsprozesse und Zukunftsfragen die Arbeit der rheinland-pfälzischen Datenschutzaufsicht. Verhandlungen auf Bundesebene zur Änderung des Bundesdatenschutzgesetzes wurden intensiv von den Datenschutzaufsichtsbehörden begleitet. Parallel dazu ist die Diskussion um Künstliche Intelligenz in exponentiellem Maße angewachsen. Beide Themen beschäftigen gerade auch den LfDI Rheinland-Pfalz, der in entsprechenden Gremien Leitungspositionen innehat: dem Arbeitskreis „DSK 2.0“ sowie der „Taskforce KI“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Weitere Informationen:

· Handout mit Beschreibung der vorgestellten Datenschutzfälle<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Handout_Best_of_Datenschutz_2024.pdf>

· Empfehlungen des LfDI Rheinland-Pfalz<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Datenschutz-Empfehlungen_LfDI_OEGD.pdf> an das Ministerium für Wissenschaft und Gesundheit für eine datenschutzkonforme Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz

Datensparsamkeit beim Online-Einkauf – Informationskampagne zur datenschutzrechtlichen Notwendigkeit eines Gastzugangs

Veröffentlicht am: 28. August 2024

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat im August 2024 eine Informationskampagne für rheinland-pfälzische Online-Shops gestartet. Mehr als 100 Unternehmen wurden zuvor im Rahmen einer Stichprobe auf das Vorhandensein von Gastzugängen in ihren Online-Shops hin überprüft. 13 Unternehmen, bei denen der Landesbeauftragte Mängel feststellte, wurden mit Informationsschreiben auf die Notwendigkeit der Bereitstellung von Gastzugängen für den Bestellprozess hingewiesen. Ziel ist die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich.

In vielen Online-Shops ist es gängig, für Bestellungen ein Kundenkonto anzulegen, das über den einzelnen Kauf hinaus besteht. Die Erstellung eines solchen Kundenkontos kann mit Vorteilen für den Kunden einhergehen. So ist beispielsweise das weitere Bestellen ohne nochmalige Eingabe aller Daten möglich, bisherige Bestellungen können eingesehen, Bestell- und Lieferstatus können bequem überprüft und favorisierte Artikel abgespeichert werden. Nicht immer wird jedoch von den Kundinnen und Kunden eine derartige dauerhafte Geschäftsbeziehung angestrebt.

„Kundinnen und Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen möchten oder nicht. Die Möglichkeit der sogenannten Gastbestellung muss beim Einkauf im Internet deshalb immer eine gleichwertige Alternative sein“, erläutert Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Erfreulich ist, dass nur rund jeder zehnte der in unserer Stichprobe überprüften Online-Shops hier Mängel aufwies. Es zeigt, dass die Unternehmen in Rheinland-Pfalz das Prinzip der Datensparsamkeit grundsätzlich befolgen. Mit unserer Kampagne wollen wir nun das Erfordernis der Einrichtung von Gastzugängen auch für die weiteren Anbieter von Online-Shops in unserem Bundesland klarstellen. Im Kern geht es um die Sicherung der Entscheidungsfreiheit in der digitalen Welt.“

Die Pflicht zum Angebot von Gastzugängen für Online-Bestellungen ergibt sich aus den Artikeln 5 und 6 der Datenschutz-Grundverordnung. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann Verstöße ahnden, Anordnungen treffen und in schwerwiegenden Fällen Geldbußen gegen die Verantwortlichen verhängen.

Weitere Informationen: Online-Shops – Gastbestellungen<https://www.datenschutz.rlp.de/themen/online-shops-gastbestellungen>