News – Seite 30 – Virtuelles Datenschutzbüro

LfDI Rheinland-Pfalz: Datenschutz als Daueraufgabe – Der Landesbeauftragte im Praxisaustausch mit Kommunen

Veröffentlicht am: 25. September 2024

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 25.09.2024

Die Datenschutzbeauftragten von rund 50 rheinland-pfälzischen Kommunen treffen sich heute in Landstuhl. Eingeladen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit. Im Zentrum des Treffens stehen datenschutzrechtliche Fragen aus dem Alltag der Kommunen und ihrer Bürgerinnen und Bürger. Das Netzwerktreffen, das seit 2007 jährlich stattfindet, ist als wichtiges Forum für den engen und praxisnahen Austausch zwischen den Kommunen und der Aufsichtsbehörde etabliert.

Die Datenschutzbeauftragten der rheinland-pfälzischen Kommunen sind in ihrem Arbeitsalltag mit einer großen Bandbreite an Rechts- und Verwaltungsfragen konfrontiert. Neue Gesetze, zusätzliche kommunale Pflichten und die Anforderungen der Digitalisierung sorgen dabei für steigende Herausforderungen. „Wir wissen und erkennen an, welch gute Arbeit die behördlichen Datenschutzbeauftragten in den rheinland-pfälzischen Städten und Gemeinden leisten. Wir setzen uns stetig dafür ein, dass die Datenschutzbeauftragten seitens ihrer Dienststellen mit genügend Zeit und Ressourcen für ihren Job ausgestattet sind“, betont Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Zu unserer Unterstützung der Datenschutzbeauftragten zählt aber insbesondere auch die Wissensvermittlung und die Möglichkeit, über konkrete, manchmal knifflige datenschutzrechtliche Fragen direkt mit uns ins Gespräch zu gehen. Unser jährliches Netzwerktreffen ist dafür ein großartiges Forum. Nicht zuletzt lernen wir als Aufsichtsbehörde von den geschilderten Fällen der Kommunen – und von den Lösungsstrategien, die sich im Alltag bewähren.“

Auf der Tagesordnung des Netzwerktreffens stehen etwa der Datenschutz in der Schule, die Digitalisierung von Verwaltungsleistungen im Rahmen des Onlinezugangsgesetzes sowie die datenschutzrechtlichen Herausforderungen bei der kommunalen Wärmeplanung. Auch die datenschutzrechtlichen Rahmenbedingungen bei der Erbenermittlung werden in den Blick genommen. Vertreter der Kommunen berichten über die Erfolge der bereits gelebten interkommunalen Zusammenarbeit im Bereich des Datenschutzes und stellen eine Software zum Datenschutzmanagement vor. Daneben gibt es reichlich Raum für die Erörterung konkreter Datenschutzfälle aus Sicht der kommunalen Datenschutzbeauftragten und der Aufsichtsbehörde.

Das Netzwerktreffen ist ein Baustein der Informationsangebote des Landesdatenschutzbeauftragten für Kommunen, zu denen insbesondere die im Internet frei verfügbare „Kommunale Fallbörse“ (https://www.datenschutz.rlp.de/themen/fallboerse) gehört. Auch die Informationen und Erkenntnisse aus dem Netzwerktreffen werden in die ständig aktualisierte und mit neuen Fällen angereicherte Fallbörse einfließen. Der Landesbeauftragte wertet zudem aktuell eine Umfrage zu den zeitlichen und personellen Ressourcen behördlicher Datenschutzbeauftragter in Rheinland-Pfalz aus. Die Erkenntnisse aus der Erhebung sollen für die weitere Unterstützung der Datenschutzbeauftragten genutzt werden.

Weitere Informationen: https://www.datenschutz.rlp.de/themen/fallboerse

Gesichtserkennung in Sachsen ist ein tiefer Eingriff in die Grundrechte

Veröffentlicht am: 24. September 2024

Die Sächsische Datenschutz- und Transparenzbeauftragte appelliert an die Sicherheitsbehörden im Freistaat, beim Einsatz von Gesichtserkennungssystemen die Verhältnismäßigkeit und Rechtsstaatlichkeit zu wahren.
Anlässlich des im Gesetzgebungsverfahren befindlichen Asyl- und Sicherheitspakets der Bundesregierung weist Dr. Juliane Hundert auf die aktuelle Situation in Sachsen hin:

»Die Polizeidirektion Görlitz setzt für strafprozessuale Ermittlungsverfahren stationäre und mobile Kameras ein. Mit dieser Technik lassen sich Bildaufzeichnungen in hoher Auflösung anfertigen. Ein automatisierter biometrischer Abgleich von aufgezeichneten Gesichtsbildern mit zuvor hinterlegten Referenzbildern findet nach meinen Erkenntnissen bisher in ausgewählten Fällen und ausschließlich auf richterlicher Anordnung statt. Gleichwohl halte ich diese Maßnahmen für höchst bedenklich. Werden beim Passieren von Videokameras von unbeteiligten und nicht verfahrensrelevanten Personen biometrische Muster ihrer Gesichter erstellt, erreicht die Maßnahme eine Eingriffstiefe, die nicht ansatzweise von den aktuell geltenden Ermittlungsbefugnissen in der Strafprozessordnung gedeckt ist. Für einen solchen massenhaften biometrischen Abgleich im Strafverfahren bedarf es einer bestimmten, normenklaren gesetzlichen Grundlage.
Mit Blick auf die Rechtsprechung des Bundesverfassungsgerichts zu präventiven Maßnahmen der automatisierten Kennzeichenerfassung dürfte kein Zweifel bestehen, dass die biometrische Verarbeitung und ein Abgleich der Gesichtsbilder sämtlicher Personen, die eine Überwachungskamera im öffentlichen Raum passieren, mangels hinreichender Rechtsgrundlage gegen die Verfassung verstößt. Zu beachten sind überdies die europarechtlichen Anforderungen der neuen KI-Verordnung, die von den bestehenden Regelungen nicht annähernd erfüllt werden.«

Die Sächsische Datenschutz- und Transparenzbeauftragte verfügt über keine Interventionsmöglichkeit bei polizeilichen Maßnahmen, die richterlich angeordnet wurden. Gerichte unterliegen nicht ihrer Aufsicht. Insofern sind auch keine datenschutzaufsichtsbehördlichen Anordnungen gegen polizeiliche Datenverarbeitungen möglich, die die Polizei aufgrund richterlicher Beschlüsse durchführt. Gleichwohl appelliert Dr. Juliane Hundert an Polizei und Staatsanwaltschaften in Sachsen, solche Maßnahmen nicht zu beantragen, sowie an die Gerichte, solche Maßnahmen nicht anzuordnen: »Dem Sächsischen Innenministerium und dem Sächsischen Justizministerium habe ich meine Auffassung zur Kenntnis gegeben.«

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich des Themas ebenfalls angenommen und in ihrer Entschließung vom 20. September 2024 auf die hohen rechtlichen Hürden für die Nutzung automatisierter Gesichtserkennungssysteme hingewiesen.
Auch die Bundesbeauftragte für den Datenschutz- und die Informationsfreiheit (BfDI) hat sich zum aktuellen Gesetzgebungsvorhaben des Bundes kritisch zu Wort gemeldet.

Weiterführende Links:
Entschließung der DSK: Vorsicht bei dem Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden
Stellungnahme der BfDI zum Entwurf eines Gesetzes zur Verbesserung der Terrorismusbekämpfung

Entschließung zum Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden

Veröffentlicht am: 23. September 2024

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20.09.2024

Bereits jetzt setzen einige Behörden Technologien zur automatisierten Gesichtserkennung ein und berufen sich dabei auf unspezifische Rechtsgrundlagen. Darüber hinaus gibt es Bestrebungen der Politik, das Instrument der automatisierten Gesichtserkennung in unterschiedlichen Einsatzszenarien zu erlauben

Der Einsatz von Gesichtserkennungssystemen kann ein sehr intensiver Eingriff in die Grundrechte der betroffenen Personen sein, dies gilt insbesondere beim Einsatz im öffentlichen Raum. Erfasst werden dadurch viele Menschen, die dafür keinerlei Anlass gegeben haben.

Weiterlesen Entschließung zum Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden

Veröffentlichung des Jahresberichts 2023

Veröffentlicht am: 17. September 2024

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 17.09.2024

Im Abgeordnetenhaus von Berlin hat heute Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), ihren Jahresbericht für das Jahr 2023 der Öffentlichkeit vorgestellt. Der Bericht gibt auf 174 Seiten detaillierte Einblicke in die Arbeit der Aufsichtsbehörde auf lokaler, nationaler und europäischer Ebene.

Weiterlesen Veröffentlichung des Jahresberichts 2023

Pressegespräch „Best of Datenschutz“ – Lebensnahe Datenschutzfälle aus 2023 und 2024

Veröffentlicht am: 5. September 2024

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 04.09.2024

Ob beim Beratungsgespräch mit der Hausbank, beim Doppelkopf-Kurs an der Volkshochschule oder beim Einkauf smarter Geräte im Elektronikmarkt: Datenschutz betrifft den Alltag der Bürgerinnen und Bürger in Rheinland-Pfalz ganz unmittelbar. Das hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz heute in seinem Pressegespräch „Best of Datenschutz“ hervorgehoben. Vorgestellt wurden lebensnahe Datenschutzfälle aus den vergangenen zwölf Monaten, die auf Beschwerden und Datenpannenmeldungen rheinland-pfälzischer Bürgerinnen und Bürger sowie Unternehmen zurückgehen.

„Das Datenschutzrecht wird manches Mal als abstrakt und mühsam wahrgenommen. Für die Bürgerinnen und Bürger ändert sich diese Wahrnehmung aber schlagartig, wenn die Überwachungskamera des Nachbarn plötzlich auf den eigenen Garten ausgerichtet ist oder wenn die halbe Ortsgemeinde aufgrund einer Indiskretion am Bankschalter über die eigenen Finanzverhältnisse Bescheid weiß. Dann wird die Bedeutung des Schutzes von Privatheit für jede und jeden Einzelnen deutlich“, erklärt Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Gemeinsam mit meinem Team gehe ich jährlich mehr als 1.500 Beschwerden und Datenpannenmeldungen nach. Meine Aufgabe ist es, das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung sicherzustellen. Und das betrifft alle Lebenslagen, denn Datenschutz ist gerade auch im Alltag von praktischer Bedeutung.“

Zu den vorgestellten Datenschutzfällen aus 2023 und 2024 gehörte ein missglücktes Weihnachtsgeschenk: Eine Frau hatte in einem Elektronikmarkt eine Virtual-Reality-Brille für ihren Sohn erworben. Auf die Bescherung folgte eine böse Überraschung: Mit dem Gerät waren bereits Facebook- und Instagram-Konten verknüpft – mit personenbezogenen Daten und vermutlich wenig kindgerechten Inhalten. Ein anderer Kunde hatte die Virtual-Reality-Brille zuvor gekauft, ausprobiert und innerhalb der Widerrufsfrist zurückgegeben. Im Vorweihnachtsstress hatte ein Mitarbeiter des Elektronikgeschäfts vergessen, die auf dem Gerät gespeicherten Daten des ersten Kunden vor dem Wiederverkauf zu löschen.

Über die Datenschutzfolgen eines vermeintlich alltäglichen Kundengesprächs in einer rheinland-pfälzischen Bankfiliale berichtete die stellvertretende Landesdatenschutzbeauftragte, Dr. Daniela Franke: Weil eine Bankberaterin ein Beratungstelefonat nicht in einem separaten Büro, sondern im öffentlichen Schalterraumgeführt hatte, waren sensible Informationen zu den Vermögenswerten und den Lebensplänen einer Kundin in unbefugte Ohren gelangt.

In einem anderen Fall wehrte sich eine Bürgerin dagegen, dem Jugendamt zur Anerkennung der Vaterschaft für ihr bald erwartetes Kind ihren Mutterpass mit den darin enthaltenen schützenswerten Gesundheitsdaten vorlegen zu müssen. Mit Erfolg: Auf Intervention des Landesbeauftragten hin änderte das Jugendamt seine Vorgehensweise zur Anerkennung von Vaterschaften, künftig wird dort keine Vorlage des Mutterpasses mehr verlangt.

Eine unglückliche IT-Panne ereignete sich bei der rheinland-pfälzischen Polizei. Eine Fahndungswebseite sollte eigentlich Hinweise zu einem Tankstellenräuber sammeln. Aufgrund eines IT-Fehlers waren dort zeitweise jedoch nicht bloß Fotos des Täters zu sehen, sondern – beim Aufruf der Vergrößerungsfunktion für die Bilder – auch Zeugniskopien von gänzlich unbeteiligten Praktikantinnen und Praktikanten, ein Lichtbild eines Polizeibeamten sowie ein Video zu einem mutmaßlichen Wohnungseinbruchsdiebstahl.

Der Landesbeauftragte berichtete auch über den Stand der umfangreichen Prüfungen zur IT-Sicherheit in rheinland-pfälzischen Gesundheitsämtern. Im Ergebnis stellten sich die Befürchtungen hinsichtlich einer unzureichenden IT-Sicherheit in den Gesundheitsämtern als weniger gravierend heraus als in den Ende 2023 erschienenen Presseberichten zunächst angenommen. Anhaltspunkte für ein unbefugtes Abfließen von Gesundheitsdaten der betroffenen Personen an Stellen außerhalb der Verwaltung bestanden nicht. Allerdings deckte der Landesbeauftragte im Rahmen seiner Prüfungen diverse datenschutzrelevante Schwachstellen auf. So verfügte die eingesetzte IT-Anwendung weder über eine datenschutzkonforme Protokollierungsfunktion noch über die gebotene Unterstützung für eine hinreichende Verschlüsselung der Datenbanken. Auch hatte die Software im Auslieferungszustand bislang das Prinzip der datenschutzfreundlichen Voreinstellungen nicht ausreichend beachtet. Auf der Seite der Kreisverwaltungen wiederum entsprach das Datenschutzmanagement häufig nicht den rechtlichen Anforderungen. Der Landesbeauftragte forderte die betroffenen Kreisverwaltungen zur Beseitigung der festgestellten Defizite auf. Zugleich sprach er gegenüber dem zuständigen Ministerium für Wissenschaft und Gesundheit konkrete Empfehlungen<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Datenschutz-Empfehlungen_LfDI_OEGD.pdf> zur datenschutzkonformen Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz aus. Zudem wird der Austausch mit dem Hersteller der in den Gesundheitsämtern eingesetzten IT-Anwendung fortgesetzt.

Neben den täglichen Beschwerden und Datenpannen prägten Gesetzgebungsprozesse und Zukunftsfragen die Arbeit der rheinland-pfälzischen Datenschutzaufsicht. Verhandlungen auf Bundesebene zur Änderung des Bundesdatenschutzgesetzes wurden intensiv von den Datenschutzaufsichtsbehörden begleitet. Parallel dazu ist die Diskussion um Künstliche Intelligenz in exponentiellem Maße angewachsen. Beide Themen beschäftigen gerade auch den LfDI Rheinland-Pfalz, der in entsprechenden Gremien Leitungspositionen innehat: dem Arbeitskreis „DSK 2.0“ sowie der „Taskforce KI“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Weitere Informationen:

· Handout mit Beschreibung der vorgestellten Datenschutzfälle<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Handout_Best_of_Datenschutz_2024.pdf>

· Empfehlungen des LfDI Rheinland-Pfalz<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Datenschutz-Empfehlungen_LfDI_OEGD.pdf> an das Ministerium für Wissenschaft und Gesundheit für eine datenschutzkonforme Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz