Pressegespräch „Best of Datenschutz“ – Lebensnahe Datenschutzfälle aus 2023 und 2024

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 04.09.2024

Ob beim Beratungsgespräch mit der Hausbank, beim Doppelkopf-Kurs an der Volkshochschule oder beim Einkauf smarter Geräte im Elektronikmarkt: Datenschutz betrifft den Alltag der Bürgerinnen und Bürger in Rheinland-Pfalz ganz unmittelbar. Das hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz heute in seinem Pressegespräch „Best of Datenschutz“ hervorgehoben. Vorgestellt wurden lebensnahe Datenschutzfälle aus den vergangenen zwölf Monaten, die auf Beschwerden und Datenpannenmeldungen rheinland-pfälzischer Bürgerinnen und Bürger sowie Unternehmen zurückgehen.

„Das Datenschutzrecht wird manches Mal als abstrakt und mühsam wahrgenommen. Für die Bürgerinnen und Bürger ändert sich diese Wahrnehmung aber schlagartig, wenn die Überwachungskamera des Nachbarn plötzlich auf den eigenen Garten ausgerichtet ist oder wenn die halbe Ortsgemeinde aufgrund einer Indiskretion am Bankschalter über die eigenen Finanzverhältnisse Bescheid weiß. Dann wird die Bedeutung des Schutzes von Privatheit für jede und jeden Einzelnen deutlich“, erklärt Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Gemeinsam mit meinem Team gehe ich jährlich mehr als 1.500 Beschwerden und Datenpannenmeldungen nach. Meine Aufgabe ist es, das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung sicherzustellen. Und das betrifft alle Lebenslagen, denn Datenschutz ist gerade auch im Alltag von praktischer Bedeutung.“

Zu den vorgestellten Datenschutzfällen aus 2023 und 2024 gehörte ein missglücktes Weihnachtsgeschenk: Eine Frau hatte in einem Elektronikmarkt eine Virtual-Reality-Brille für ihren Sohn erworben. Auf die Bescherung folgte eine böse Überraschung: Mit dem Gerät waren bereits Facebook- und Instagram-Konten verknüpft – mit personenbezogenen Daten und vermutlich wenig kindgerechten Inhalten. Ein anderer Kunde hatte die Virtual-Reality-Brille zuvor gekauft, ausprobiert und innerhalb der Widerrufsfrist zurückgegeben. Im Vorweihnachtsstress hatte ein Mitarbeiter des Elektronikgeschäfts vergessen, die auf dem Gerät gespeicherten Daten des ersten Kunden vor dem Wiederverkauf zu löschen.

Über die Datenschutzfolgen eines vermeintlich alltäglichen Kundengesprächs in einer rheinland-pfälzischen Bankfiliale berichtete die stellvertretende Landesdatenschutzbeauftragte, Dr. Daniela Franke: Weil eine Bankberaterin ein Beratungstelefonat nicht in einem separaten Büro, sondern im öffentlichen Schalterraumgeführt hatte, waren sensible Informationen zu den Vermögenswerten und den Lebensplänen einer Kundin in unbefugte Ohren gelangt.

In einem anderen Fall wehrte sich eine Bürgerin dagegen, dem Jugendamt zur Anerkennung der Vaterschaft für ihr bald erwartetes Kind ihren Mutterpass mit den darin enthaltenen schützenswerten Gesundheitsdaten vorlegen zu müssen. Mit Erfolg: Auf Intervention des Landesbeauftragten hin änderte das Jugendamt seine Vorgehensweise zur Anerkennung von Vaterschaften, künftig wird dort keine Vorlage des Mutterpasses mehr verlangt.

Eine unglückliche IT-Panne ereignete sich bei der rheinland-pfälzischen Polizei. Eine Fahndungswebseite sollte eigentlich Hinweise zu einem Tankstellenräuber sammeln. Aufgrund eines IT-Fehlers waren dort zeitweise jedoch nicht bloß Fotos des Täters zu sehen, sondern – beim Aufruf der Vergrößerungsfunktion für die Bilder – auch Zeugniskopien von gänzlich unbeteiligten Praktikantinnen und Praktikanten, ein Lichtbild eines Polizeibeamten sowie ein Video zu einem mutmaßlichen Wohnungseinbruchsdiebstahl.

Der Landesbeauftragte berichtete auch über den Stand der umfangreichen Prüfungen zur IT-Sicherheit in rheinland-pfälzischen Gesundheitsämtern. Im Ergebnis stellten sich die Befürchtungen hinsichtlich einer unzureichenden IT-Sicherheit in den Gesundheitsämtern als weniger gravierend heraus als in den Ende 2023 erschienenen Presseberichten zunächst angenommen. Anhaltspunkte für ein unbefugtes Abfließen von Gesundheitsdaten der betroffenen Personen an Stellen außerhalb der Verwaltung bestanden nicht. Allerdings deckte der Landesbeauftragte im Rahmen seiner Prüfungen diverse datenschutzrelevante Schwachstellen auf. So verfügte die eingesetzte IT-Anwendung weder über eine datenschutzkonforme Protokollierungsfunktion noch über die gebotene Unterstützung für eine hinreichende Verschlüsselung der Datenbanken. Auch hatte die Software im Auslieferungszustand bislang das Prinzip der datenschutzfreundlichen Voreinstellungen nicht ausreichend beachtet. Auf der Seite der Kreisverwaltungen wiederum entsprach das Datenschutzmanagement häufig nicht den rechtlichen Anforderungen. Der Landesbeauftragte forderte die betroffenen Kreisverwaltungen zur Beseitigung der festgestellten Defizite auf. Zugleich sprach er gegenüber dem zuständigen Ministerium für Wissenschaft und Gesundheit konkrete Empfehlungen<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Datenschutz-Empfehlungen_LfDI_OEGD.pdf> zur datenschutzkonformen Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz aus. Zudem wird der Austausch mit dem Hersteller der in den Gesundheitsämtern eingesetzten IT-Anwendung fortgesetzt.

Neben den täglichen Beschwerden und Datenpannen prägten Gesetzgebungsprozesse und Zukunftsfragen die Arbeit der rheinland-pfälzischen Datenschutzaufsicht. Verhandlungen auf Bundesebene zur Änderung des Bundesdatenschutzgesetzes wurden intensiv von den Datenschutzaufsichtsbehörden begleitet. Parallel dazu ist die Diskussion um Künstliche Intelligenz in exponentiellem Maße angewachsen. Beide Themen beschäftigen gerade auch den LfDI Rheinland-Pfalz, der in entsprechenden Gremien Leitungspositionen innehat: dem Arbeitskreis „DSK 2.0“ sowie der „Taskforce KI“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Weitere Informationen:

· Handout mit Beschreibung der vorgestellten Datenschutzfälle<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Handout_Best_of_Datenschutz_2024.pdf>

· Empfehlungen des LfDI Rheinland-Pfalz<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Datenschutz-Empfehlungen_LfDI_OEGD.pdf> an das Ministerium für Wissenschaft und Gesundheit für eine datenschutzkonforme Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz

Datensparsamkeit beim Online-Einkauf – Informationskampagne zur datenschutzrechtlichen Notwendigkeit eines Gastzugangs

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat im August 2024 eine Informationskampagne für rheinland-pfälzische Online-Shops gestartet. Mehr als 100 Unternehmen wurden zuvor im Rahmen einer Stichprobe auf das Vorhandensein von Gastzugängen in ihren Online-Shops hin überprüft. 13 Unternehmen, bei denen der Landesbeauftragte Mängel feststellte, wurden mit Informationsschreiben auf die Notwendigkeit der Bereitstellung von Gastzugängen für den Bestellprozess hingewiesen. Ziel ist die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich.

In vielen Online-Shops ist es gängig, für Bestellungen ein Kundenkonto anzulegen, das über den einzelnen Kauf hinaus besteht. Die Erstellung eines solchen Kundenkontos kann mit Vorteilen für den Kunden einhergehen. So ist beispielsweise das weitere Bestellen ohne nochmalige Eingabe aller Daten möglich, bisherige Bestellungen können eingesehen, Bestell- und Lieferstatus können bequem überprüft und favorisierte Artikel abgespeichert werden. Nicht immer wird jedoch von den Kundinnen und Kunden eine derartige dauerhafte Geschäftsbeziehung angestrebt.

„Kundinnen und Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen möchten oder nicht. Die Möglichkeit der sogenannten Gastbestellung muss beim Einkauf im Internet deshalb immer eine gleichwertige Alternative sein“, erläutert Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Erfreulich ist, dass nur rund jeder zehnte der in unserer Stichprobe überprüften Online-Shops hier Mängel aufwies. Es zeigt, dass die Unternehmen in Rheinland-Pfalz das Prinzip der Datensparsamkeit grundsätzlich befolgen. Mit unserer Kampagne wollen wir nun das Erfordernis der Einrichtung von Gastzugängen auch für die weiteren Anbieter von Online-Shops in unserem Bundesland klarstellen. Im Kern geht es um die Sicherung der Entscheidungsfreiheit in der digitalen Welt.“

Die Pflicht zum Angebot von Gastzugängen für Online-Bestellungen ergibt sich aus den Artikeln 5 und 6 der Datenschutz-Grundverordnung. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann Verstöße ahnden, Anordnungen treffen und in schwerwiegenden Fällen Geldbußen gegen die Verantwortlichen verhängen.

Weitere Informationen: Online-Shops – Gastbestellungen<https://www.datenschutz.rlp.de/themen/online-shops-gastbestellungen>

Datenschutz in der 1. Liga – Kooperation des 1. FSV Mainz 05 e.V. mit dem Landesdatenschutzbeauftragten geht in eine neue Saison

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 23.08.2024

Datenschutz in der 1. Liga: Kooperation des 1. FSV Mainz 05 e.V. mit dem Landesdatenschutzbeauftragten geht in eine neue Saison

Wenn am kommenden Wochenende im Stadion des 1. FSV Mainz 05 e.V. wieder der Ball rollt, geht auch die Kooperation zwischen dem Erstligaverein und dem rheinland-pfälzischen Landesdatenschutzbeauftragten in eine neue und hoffentlich erfolgreiche Saison. Seit 2021 engagiert sich das Team des Landesbeauftragten für das Projekt „05ER Klassenzimmer“ des Fußballbundesligisten. Mit dem Workshop „Videoanalyse“ zum Thema „Digitale Selbstverteidigung“ werden Schülerinnen und Schüler ab der 5. Klasse für einen selbstbestimmteren Umgang mit ihrem digitalen Alltag fit gemacht. Die Workshops sind Teil des lebensnahen, experimentierfreudigen Medienbildungskonzepts des Landesdatenschutzbeauftragten.

„Das Programm 05ER Klassenzimmer des 1. FSV Mainz 05 hat mich von Beginn an überzeugt“, so Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Der Verein macht damit ein tolles Angebot für seine jungen Fans, die Kinder und Jugendlichen aus der Region. Das Konzept baut darauf, durch die emotionale Strahlkraft des Bundesligavereins auch Neugier und Verständnis für wichtige Themen außerhalb des Fußballplatzes zu wecken: für Soziales, für die Umwelt und eben auch für unsere digitale Lebensrealität. Es geht um Sensibilisierung der Jugendlichen und Aufmerksamkeit für sie unmittelbar betreffende Vorgänge, zu denen eben auch die selbstbestimmte Nutzung von Apps gehört. Meine medienpädagogischen Teams, die vor Ort die Bedeutung von Privatsphäre gerade in Social Media und anderen virtuellen Kommunikationsräumen an die Schülerinnen und Schüler vermitteln, berichten immer wieder, wie eindrücklich dies gelingt. Wir freuen uns, auch weiterhin die digitale Selbstverteidigung im 05ER Klassenzimmer zu vertreten, denn alle wissen, wie wichtig eine gute Verteidigung ist.“

Das Programm des 05ER Klassenzimmers beinhaltet Module zu den Themen „Diversität und Teilhabe“, „Sucht- und Gewaltprävention“, „Gesundheit und Sport“, „Arbeit und Leben“ sowie „Umwelt- und Klimaschutz“. Die Workshops finden direkt im Stadion des Bundesligavereins statt. Aktuell nehmen fast 40 Schulen an dem Programm teil.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz ist seit Herbst 2021 Partner des 05ER Klassenzimmers und hat in diesem Rahmen inzwischen mehr als 20 Workshops für rund 500 Schülerinnen und Schüler veranstaltet. Die Kooperation ist Teil der umfangreichen Vermittlungsarbeit, mit der das Team des Landesbeauftragten in Workshops, Fortbildungen, Webinaren und Vorträgen jährliche viele Tausend Schülerinnen und Schüler sowie deren Lehrkräfte erreicht. Allein im Jahr 2023 führte der Landesbeauftragte 450 Schülerworkshops an rheinland-pfälzischen Schulen durch.

Weitere Informationen: Alle medienpädagogischen Angebote des LfDI Rheinland-Pfalz
Projektseite 05er Klassenzimmer des 1. FSV Mainz 05 e.V.<https://www.mainz05.de/05er-klassenzimmer>

LfDI Rheinland-Pfalz: Diagnose geht fehl, aber Kurs des LfDI bestätigt – Bericht der EU-Kommission zur Evaluation der Datenschutz-Grundverordnung

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Die EU-Kommission hat am 25. Juli 2024, sechs Jahre nach Wirksamwerden der Datenschutz-Grundverordnung, ihren Bericht zur Anwendung und Wirkung dieses grundlegenden Rechtsaktes zum Schutz personenbezogener Daten vorgelegt. Der Bericht<https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52024DC0357> nimmt insbesondere die Anwendung und Durchsetzung der DS-GVO in den Blick und betrifft damit die Datenschutzaufsichtsbehörden der Mitgliedstaaten. Einige Einschätzungen der Kommission gehen an der Sache vorbei. Dagegen decken sich die Empfehlungen der Kommission zur Verbesserung der Kommunikation mit den Verantwortlichen weitgehend mit der bereits gelebten Praxis des Landesdatenschutzbeauftragten in Rheinland-Pfalz.

Der EU-Kommission ist darin zuzustimmen, dass die inhaltlichen Vorschriften der Datenschutz-Grundverordnung zu Datenverarbeitungen und Betroffenenrechten in ihrer Konkretisierung durch Rechtsprechung und Behörden funktionieren. Es ist daher nachvollziehbar, die wenigen denkbaren Änderungen etwa zur stärkeren Stufung von Anforderungen an Verantwortliche mit unterschiedlichen Geschäftsmodellen nicht zum Anlass einer Änderung der Datenschutz-Grundverordnung zu nehmen. Wenn man diese Büchse der Pandora öffnet, steht eine Lobbyschlacht zu befürchten, die dem Datenschutz mehr schadet als nutzt.

An der Anwendung der Vorschriften durch die Behörden und damit der Durchsetzung gilt es weiter zu arbeiten – aber an anderen Stellen als es die Kommission meint. Prof. Dr. Dieter Kugelmann stellt klar: „Als Leitung des Arbeitskreises DSK 2.0 der Datenschutzkonferenz kann ich nur hervorheben, wie erfolgreich die Arbeit zur Harmonisierung der Tätigkeiten der deutschen Aufsichtsbehörden war und ist. Wir arbeiten eng und effektiv in der Datenschutzkonferenz zusammen – anders als es viele glauben machen wollen und es die EU-Kommission wohl annimmt. Die von der Kommission behauptete Vielfalt in der Anwendung der Datenschutz-Grundverordnung gibt es in Deutschland so nicht. Meinungsunterschiede zwischen den Behörden werden identifiziert und wenn möglich ausgeräumt. In der Datenschutzkonferenz sind nicht nur Verfahren zu Konsensfindung und gemeinsamem Vorgehen etabliert, sondern alle haben auch die Bereitschaft und den Willen zur Kooperation.“

Die EU-Kommission regt in ihrem Bericht auch an, dass die Datenschutzaufsichtsbehörden verstärkt dialogisch und beratend vorgehen sollen. Dies ist bereits gelebte Realität in der Arbeit des Landesdatenschutzbeauftragten in Rheinland-Pfalz. Dazu Prof. Kugelmann: „Wir betreiben proaktiven Datenschutz, wo immer es geht. Unsere Forderung, Datenschutz früh mitzudenken, funktioniert nur, wenn wir auch früh helfen können. Wir beraten Verantwortliche vor der Implementierung von Systemen, um ein datenschutzkonformes Arbeiten der Systeme von Anfang an sicherzustellen. Das einzige Hindernis sind unsere begrenzten Ressourcen. Aber die Grundhaltung bleibt: Der beste Datenschutzverstoß ist der, der gar nicht erst passiert.“

Sachsens Datenschutzbeauftragte veröffentlicht neue Auflage von »Achtung Kamera!«

Weiterhin Anstieg bei Beschwerden zur Videoüberwachung
Bei der Sächsischen Datenschutz- und Transparenzbeauftragten sind in der ersten Jahreshälfte mehr Beschwerden zu Videoüberwachungen eingegangen. Gegenüber dem Vorjahreszeitraum stieg die Zahl auf 115 – ein Plus von 20 Prozent.
Der Anstieg ist bislang ausschließlich auf Fälle zurückzuführen, in denen Privatpersonen oder Unternehmen Kameras einsetzen. Meist reichen Betroffene aus der Nachbarschaft eine Beschwerde ein. Eingaben zur Videoüberwachung durch öffentliche Stellen, wie Kommunen oder die Polizei, gibt es weiterhin nur wenige.
Dr. Juliane Hundert: »Der Zuwachs an Beschwerden macht deutlich, dass sich immer mehr Menschen durch privatmotivierte Videoüberwachung in ihrer Freiheit eingeschränkt fühlen. Inwieweit die Beschwerden berechtigt sind, lässt sich jedoch erst nach Abschluss der Verfahren sagen. Es deutet derzeit aber vieles darauf hin, dass in der Mehrzahl Datenschutzverstöße vorliegen. Erfahrungsgemäß überwiegen die Persönlichkeitsrechte der Betroffenen fast immer das berechtigte Interesse der Kamerabetreibenden.«

Mehr Bußgelder
Wer mit seiner Kamera gegen das Datenschutzrecht verstößt, dem drohen Schadensersatzklagen der betroffenen Personen und ein Bußgeld. Letzteres verhängte die Sächsische Datenschutz- und Transparenzbeauftragte bereits in der ersten Jahreshälfte so oft wie im gesamten Jahr zuvor:
Bis Ende Juni 2024 betrafen fünf Bußgelder Videokameras in Fahrzeugen (Dashcams) sowie in zwei Fällen stationäre Kameras in Mehrfamilienhäusern. Die Bußgeldhöhe bewegte sich jeweils zwischen 100 Euro und 900 Euro. In einem weiteren Fall sprach die Sächsische Datenschutz- und Transparenzbeauftragte ein Bußgeld von 30.000 Euro aus. Von der – auch eine Audioaufzeichnung umfassenden – Videoüberwachung eines Gewerbebetriebs waren nicht nur Kunden auf einem Parkplatz, sondern auch Fahrzeugführer und Passanten, insbesondere Kinder, betroffen. Die Kameras erfassten neben öffentlichen Straßen und Gehwegen zudem Nachbarn auf ihren Privatgrundstücken und Beschäftigte einer angrenzenden Baustelle. Das Bußgeld ist allerdings noch nicht rechtskräftig.

Mit »Achtung Kamera!« dem Ärger aus dem Weg gehen
Unter welchen Voraussetzungen eine Videoüberwachung überhaupt zulässig ist, darüber informiert die Sächsische Datenschutz- und Transparenzbeauftragte in der Broschüre »Achtung Kamera!«. Der Ratgeber für Verantwortliche und Betroffene war Anfang des Jahres erschienen und umfasste in der 1. Auflage 1.000 Exemplare. Knapp sechs Monate später waren diese bereits vergriffen.
»Die gestiegenen Fallzahlen sowie die große Nachfrage nach der Broschüre sprachen klar für eine zweite Auflage. In dieser wurde die Entscheidung des Sächsischen Verfassungsgerichtshofs von Ende Januar berücksichtigt. Durch das Urteil liegen die rechtlichen Hürden für Polizeibehörden höher, wenn sie gefährdete öffentliche Anlagen oder Einrichtungen mit Kameras überwachen möchten«, erklärt Dr. Juliane Hundert.
Weiterhin erhalten Leserinnen und Leser in »Achtung Kamera!« einen umfassenden Überblick zur Rechtslage für die häufigsten Verarbeitungssituationen, unter anderem zur Videoüberwachung von Beschäftigten, in der Nachbarschaft, in Kleingärten, auf Baustellen, in der Gastronomie, im Handel, in Freizeiteinrichtungen, in medizinischen Einrichtungen, im ÖPNV, in Autos, mit Drohnen etc. Ebenso wird die Rechtslage bei der Videoüberwachung durch sächsische Kommunen und die Polizei erläutert.

Die Broschüre können Interessierte auf der Website der Sächsischen Datenschutz- und Transparenzbeauftragten herunterladen: www.datenschutz.sachsen.de
In gedruckter Form ist »Achtung Kamera!« über den zentralen Broschürenversand des Freistaates Sachsen erhältlich: publikationen.sachsen.de

Weiterführende Links:
Download der Broschüre »Achtung Kamera!«