BfDI kritisiert 1.000 Tage ohne Umsetzung von JI-Richtlinie

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, fordert von der Bundesregierung die vollständige Umsetzung der Richtlinie 2016/680 (JI-Richtlinie) in nationales Recht. Sie regelt den durch Behörden einzuhaltenden Datenschutz bei der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Gemäß Richtlinie müssen die Datenschutzaufsichtsbehörden in nationalen Gesetzen zwingend eine Anordnungskompetenz gegenüber diesen Behörden erhalten.BfDI Ulrich Kelber kritisiert die Verzögerung durch den Gesetzgeber: „Die EU-Mitgliedsstaaten haben sich verpflichtet, alle notwendigen Gesetze bis zum 6. Mai 2018 zu erlassen. Deutschland überschreitet diese Frist heute um 1.000 Tage. Ich kann Datenschutzverstöße bei Bundespolizei und Zollfahndung nur beanstanden. Ohne nationale Gesetze fehlen mir wirksame Durchsetzungsbefugnisse. Das untergräbt die demokratische Legitimation der Datenschutzaufsicht und der Strafverfolgungsbehörden gleichzeitig. Hier muss der Gesetzgeber sofort handeln.“

Im Frühjahr 2020 hatte der BfDI zwar den Entwurf eines neuen Bundespolizeigesetzes erhalten. Dieser gelangte jedoch nicht in den Bundestag. Das Zollfahndungsdienstegesetz wurde umfassend überarbeitet, vom Bundespräsidenten aber noch nicht gezeichnet. Der Gesetzgeber hätte stattdessen auch eine Änderung im 3. Teil des Bundesdatenschutzgesetzes vornehmen können, um die Regelungen nicht für jede Behörde in Fachgesetzen wiederholen zu müssen. Immerhin wurde die JI-Richtlinie für den Bereich des Bundeskriminalamtes (BKA) grundsätzlich umgesetzt. Im BKA-Gesetz ist geregelt, dass der BfDI geeignete (Abhilfe-)Maßnahmen anordnen kann, wenn dies zur Beseitigung eines erheblichen Verstoßes gegen datenschutzrechtliche Vorschriften erforderlich ist. Anordnungsbefugnisse fehlen dem BfDI neben der Bundespolizei und der Zollfahndung im Übrigen auch im Bereich der Nachrichtendienste.



Europa hat das weltweit beste Datenschutzregime – Kugelmann äußert sich zu neuen Apps wie „Clubhouse“

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Zum Europäischen Datenschutztag, am 28. Januar, erklärt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Dieter Kugelmann: „Die Europäische Union hat in Sachen Datenschutz in den vergangenen Jahren Großes geleistet: Es wurde mit der Datenschutz-Grundverordnung das weltweit beste Datenschutzregime etabliert. Die Datenschutz-Standards liegen auf hohem Niveau und die Kooperation der europäischen Datenschutz-Wächter funktioniert immer besser. Wie ein superneuer Prozessor die Digitalisierung antreibt, hat die Datenschutz-Grundverordnung Europa vorangebracht: Die EU kann kraftvoll als Bastion der Freiheit und als Schutzwall gegen Angriffe auf die Privatsphäre handeln. Es wird immer deutlicher, dass der europäische Weg der Digitalisierung ohne Datenschutz nicht denkbar ist. Der andere Ansatz, der US-amerikanische, sowie der gänzlich andere Ansatz, der chinesische, verlangen einen dritten, eben europäischen Weg: Dieser verbindet kreative Innovation mit konstruktivem Datenschutz. Er verknüpft schnelle Digitalisierung mit effektivem Datenschutz.“

Kugelmann zeigt auf, welche täglich neuen Fragen sich den Datenschützerinnen und Datenschützern stellen: „Vor wenigen Tagen verbreitete sich die Meldung, dass der neue US-Präsident Joe Biden sein „Peloton“-Trainingsgerät womöglich nicht mit in das Weiße Haus nehmen dürfe. Die vorinstallierten Kameras und Mikrofone seien ein Datenschutzrisiko. Das Beispiel zeigt, dass High Tech-Fitness-Geräte zu einem großen Datenschutzproblem werden können. Bei verschiedenen Herstellern ist unklar, welche Daten gespeichert, genutzt und wohin sie übermittelt werden. Womöglich gelangen gar besonders sensible Gesundheitsdaten in die Hände Dritter. Oft mangelt es überdies an Informationen, wer Verantwortlicher ist, bei wem man also Betroffenenrechte geltend machen kann. Der Fall verdeutlicht: Jeder und jede sollte bei Anschaffungen und Nutzungen prüfen, ob sein Recht auf informationelle Selbstbestimmung respektiert wird.“

Mit Blick auf die neue App „Clubhouse“ sagt Kugelmann: „Nach ersten Erkenntnissen ist die US-App aus Datenschutzperspektive höchst problematisch und verstößt wahrscheinlich gegen Anforderungen der Datenschutz-Grundverordnung. Sie verlangt beispielsweise, dass Nutzerinnen und Nutzer die auf ihrem Gerät gespeicherten Kontaktdaten anderer Personen zur Verfügung stellen, ohne dass diese dem zustimmen müssten. Zudem ist in keiner Weise transparent, welche Daten die App dauerhaft speichert, etwa Mitschnitte von Gesprächen, und wie diese in Zukunft genutzt werden. Man weiß als Nutzer nicht, was mit den Daten genau passiert. Allein schon aus diesen Gründen kann ich als Landesdatenschutzbeauftragter den Rheinland-Pfälzerinnen und Rheinland-Pfälzern nur empfehlen, die App nicht herunterzuladen und nicht zu verwenden.“

Der europäische Datenschutztag wird seit 2006 durch den Europarat jährlich am 28. Januar begangen. In diesem Jahr feiert zudem die Datenschutzkonvention 108 des Europarats ihren 40. Geburtstag. Die Konvention war der erste völkerrechtlich verbindliche Vertrag zum Datenschutz und Vorbild für eine Vielzahl datenschutzrechtlicher Regelungen.



Gezielte Informationen für Lehrerinnen und Lehrer: Datenschutzbeauftragter stellt Wissen zu schulischem Datenschutz kompakt zur Verfügung

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Der Bedarf an verlässlichen Informationen rund um Datenschutz in der Schule ist im vergangenen Jahr stark angestiegen und nimmt voraussichtlich auch 2021 weiter zu. Um die wichtigsten Fragen von Lehrkräften zu beantworten, ist ein neuer Frage- und Antwort-Bereich (FAQ) im Internetangebot des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz geschaffen worden: www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-in-der-schule-fragen-und-antworten-fuer-lehrkraefte/. Durch die pandemiebedingte flächendeckende Umstellung auf Online-Unterricht im Frühjahr 2020 setzen viele Schulen verstärkt Systeme und Dienste ein, bei denen sich oft Fragen der erhobenen und verarbeiteten Daten stellen. Aber auch der Wegfall des „Privacy-Shields“ nach einem Urteil des Europäischen Gerichtshofs (EuGH) im vergangenen Sommer hat die Anforderungen an die in Schulen zum Einsatz kommenden Systeme nochmals verändert.

Im November und Dezember 2020 haben der LfDI und das Pädagogische Landesinstitut Rheinland-Pfalz (PL) gemeinsam mit dem Bildungsministerium daher sieben Online-Seminare für Lehrkräfte unter dem Titel „Schulischer Datenschutz in der Praxis – Was Sie schon immer fragen wollten“ durchgeführt. Die Fortbildungen hatten neben einer datenschutzrechtlichen Grundsensibilisierung das Ziel, häufig aufkommende technische und juristische Fragen im schulischen Kontext zu beantworten. Um möglichst konkret auf die Anforderungen der einzelnen Schulformen einzugehen, wurde nach den Zielgruppen Grund- und Förderschulen, weiterführende und berufsbildende Schulen sowie Medienzentren und Multiplikatoren unterschieden. Insgesamt nahmen über 350 Lehrkräfte an den Seminaren teil. Das Spektrum reichte von Fragen zur Funktion und zu Aufgaben schulischer Datenschutzbeauftragter über den Umgang mit außereuropäischen Online-Diensten nach dem EuGH-Urteil bis hin zur Verarbeitung von Schülerdaten auf privaten Endgeräten.

Der Landesdatenschutzbeauftragte Professor Dieter Kugelmann sagt: „Die hohe Teilnehmerzahl ist sehr erfreulich. Sie zeigt, dass Lehrkräfte großes Interesse und ein ausgeprägtes Bewusstsein haben, den Fernunterricht datenschutzgerecht zu gestalten. Webinare und Online-Schulungen sind auch für meine Behörde derzeit das Mittel der Wahl, um Datenschutzwissen zu vermitteln. Bei über 40.000 Lehrkräften in Rheinland-Pfalz werden wir die Zielgruppe daher auch zukünftig stark mit digitalen Angeboten sowie kompakten Infos und Handreichungen unterstützen.“ Bereits im Sommer werden der LfDI und das PL weitere gemeinsame Online-Schulungen zu Datenschutz in der Schule anbieten.

Der LfDI stellt die Fragen und Antworten aus den Veranstaltungen sowie Mustertexte und Vorlagen zentral auf folgender FAQ-Seite bereit: www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-in-der-schule-fragen-und-antworten-fuer-lehrkraefte/



Digitaler Unterricht -Missstände müssen so schnell wie möglich behoben werden

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Nach den erneuten Schulschließungen ist die hohe Anzahl an Anfragen zum datenschutzkonformen Einsatz digitaler Lernmittel von Schulen, Lehrkräften, Eltern und Medienvertreter*innen, die die Berliner Beauftragte für Datenschutz und Informationsfreiheit erreicht, noch einmal gestiegen. Die Datenschutzbehörde stellt mit Bedauern fest, dass es im Bildungsbereich noch immer nicht gelungen ist, funktionierende und dem geltenden Recht entsprechende digitale Infrastrukturen bereitzustellen sowie rechtssichere Softwarelösungen auszuwählen und zu beschaffen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellt klar, dass ein Distanzlernen – unter Einsatz digitaler Lehr- und Lernmittel – in diesen schwierigen Zeiten dennoch möglich sein muss. Sie wird ihrer Aufsichtstätigkeit deshalb in der aktuellen Pandemielage, wie auch in den vergangenen Monaten, mit Bedacht und Augenmaß nachgehen und von Maßnahmen gegen einzelne Schulen, die problematische Dienste einsetzen, soweit möglich absehen.

Der temporäre Verzicht auf durchgreifende Maßnahmen gegen die verantwortlichen Schulen bedeutet jedoch keinesfalls, dass der Einsatz nicht datenschutzgerechter digitaler Dienste dadurch rechtmäßig wird und grundsätzlich von der Datenschutz-Aufsichtsbehörde akzeptiert wird. Der derzeitige Einsatz digitaler Produkte, deren Datenschutzkonformität nicht gesichert ist, darf sich in Berliner Schulen keinesfalls verstetigen. Die anstehenden Sommermonate müssen von den Verantwortlichen intensiv dafür genutzt werden, einen datenschutzgerechten und störungsfreien digitalen Unterricht bis zum neuen Schuljahr zu ermöglichen.

Nach der europäischen Datenschutz-Grundverordnung (DS-GVO) dürfen Daten nur dann verarbeitet werden, wenn dabei die Anforderungen dieses unmittelbar auch in Berlin geltenden Gesetzes eingehalten werden. Dabei ist es nach dem Gesetz Aufgabe der jeweils verantwortlichen Stellen, vor einer Datenverarbeitung sicherzustellen, dass die Verarbeitung gemäß der DS-GVO erfolgt. Dies muss von der verantwortlichen Stelle nachgewiesen werden können. Nach dem geltenden Berliner Landesrecht sind derzeit die einzelnen Schulen selbst verantwortlich für den Einsatz digitaler Dienste im Unterricht. Konkret bedeutet dies, dass jede einzelne Schule für jedes einzusetzende Produkt eine umfassende Prüfung im Hinblick auf die Einhaltung der datenschutzrechtlichen Anforderungen und die Sicherheit der Daten vornehmen muss, bevor sie das Produkt einsetzt.

Diese Aufgabenzuteilung ist schon deshalb nicht sachgerecht, weil es höchst ineffizient ist, wenn eine Vielzahl von Schulen jeweils für sich die im Zweifel gleichen Prüfungen durchführen muss. Zum anderen aber sind Schulen mit diesen Prüfungen regelmäßig komplett überfordert, weil es hier nicht um eine rein pädagogische Beurteilung digitaler Lehrmittel geht, sondern weit darüber hinaus um die Prüfung und Bewertung höchst komplexer rechtlicher und technischer Sachverhalte, für die Lehrkräfte normalerweise nicht ausgebildet sind und wofür sie auch nicht über die notwendigen zeitlichen Ressourcen verfügen. Diese Aufgabe kann daher sinnvollerweise nur zentral von der ihnen übergeordneten Fachbehörde wahrgenommen werden. Diese steht in der Pflicht, Mindeststandards für digitale Lehr- und Lernmittel festzulegen und so eine Vorauswahl an pädagogisch und rechtlich geeigneten digitalen Diensten und Produkten zu treffen. Nur so kann den Schulen die notwendige Rechtssicherheit gegeben werden.

Diese Aufgabe kann die Datenschutzaufsicht der Bildungsverwaltung nicht abnehmen. Die gesetzliche Aufgabe der Datenschutzaufsichtsbehörde ist es, die Anwendung der Datenschutz-Grundverordnung zu kontrollieren und durchzusetzen (Artikel 57 Abs. 1 der Datenschutz-Grundverordnung). Daneben hat sie die Aufgabe, die Verantwortlichen für die ihnen aus der Datenschutz-Grundverordnung entstehenden Pflichten zu sensibilisieren und u. a. Parlament und Regierung über legislative und administrative Maßnahmen zum Datenschutz zu beraten.

Um den so wichtigen Prozess der Digitalisierung des Schulunterrichts in der pandemiebedingten Ausnahmesituation zu unterstützen, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit dementsprechend schon früh im vergangenen Jahr eine Reihe von Hilfestellungen veröffentlicht und eine Vielzahl von Anfragen einzelner Schulen, Lehrkräfte und Eltern beantwortet. Bereits im Frühjahr 2020 erarbeitete und veröffentlichte sie konkrete Hinweise zum datenschutzkonformen Einsatz digitaler Lernplattformen sowie zum Einsatz von Videokonferenz-Diensten für Berliner Verantwortliche. Parallel dazu führte sie eine detaillierte Prüfung von verschiedenen Videokonferenz-Diensten durch, deren Ergebnis am 3. Juli 2020 veröffentlicht wurde und die deutschlandweite Beachtung fand (www.datenschutz-berlin.de/corona-pandemie). Eine Aktualisierung dieser Übersicht wird in Kürze erfolgen.

Maja Smoltczyk:
„Datenschutz ist kein Selbstzweck. Kinder und Jugendliche gehören zu den besonders zu schützenden Mitgliedern unserer Gesellschaft. Für mich ist es von Beginn meiner Amtszeit an ein zentrales Anliegen gewesen, dass Schülerinnen und Schüler klug und nachhaltig an die Herausforderungen der digitalisierten Gesellschaft herangeführt werden und dabei ein solides Bewusstsein für die darin verborgenen Gefahren entwickeln. In Zeiten, in denen sich der Einsatz algorithmischer Verfahren und künstlicher Intelligenz in allen Lebensbereichen rasant ausbreitet, muss deshalb sichergestellt sein, dass die digitalen Dienste, die in den Schulen zum Einsatz kommen, den Kindern einen geschützten Raum zum Lernen und sich Entfalten bieten. Der Einsatz von nicht datenschutzgerechten digitalen Diensten ist rechtswidrig und daher als dauerhafte Lösung nicht hinnehmbar. Derartige Dienste stellen eine ernstzunehmende Gefährdung für die Schülerinnen und Schüler dar. Dieser Zustand muss so schnell wie möglich beendet werden. Ich erwarte, dass die Verantwortlichen in diesem Bereich kontinuierlich und mit Hochdruck daran arbeiten, dass spätestens mit Beginn des nächsten Schuljahres alle Berliner Schulen rechtmäßig arbeiten können.“



Datenschutzbeauftragter stellt Fragen und Antworten zum Datenschutz bei Corona-Impfungen online

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

In den vergangenen Tagen hat sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz aufgrund zahlreicher Nachfragen von Bürgerinnen und Bürgern, aber auch von Verwaltungen oder Krankenhausträgern mit diversen Fragen zum Datenschutz bei den seit Ende Dezember 2020 begonnenen Corona-Schutzimpfungen befasst. Der LfDI veröffentlicht nun auf seiner Internetseite eine Liste mit Fragen und Antworten (FAQs) zu den Impfungen: www.datenschutz.rlp.de/de/themenfelder-themen/corona-datenschutz/#c3830. Professor Dieter Kugelmann sagt: „In diesen Wochen und Monaten werden in Rheinland-Pfalz hunderttausende Corona-Schutzimpfungen durchgeführt, bei denen auch Datenschutz-Aspekte zu berücksichtigen sind. Im Sinne einer größtmöglichen Transparenz beantworten wir auf unserer Internetseite die ersten wichtigen Fragen hierzu. Es geht darum, dass Jede und Jeder weiß, welche Daten wofür verarbeitet und gespeichert werden. Zugleich sollen die mit den Impfungen befassten Stellen Handlungssicherheit erhalten. In der Corona-Pandemie hat sich gezeigt, dass alle Beteiligten größtmögliche Transparenz und Rechtssicherheit schaffen sollten. Nur so sind die Maßnahmen erfolgreich.“

Der LfDI informiert in den FAQs zu Fragen wie: Unter welchen Voraussetzungen dürfen Dritte Terminanmeldungen für an einer Corona-Schutzimpfung interessierte Bürgerinnen und Bürger vornehmen? Auf welcher Rechtsgrundlage dürfen vor der Impfung Informationen über die zu impfende Person wie Name und Anschrift sowie Angaben zu Kontraindikationen und Vorerkrankungen erhoben werden? Was gilt zum Datenschutz bei Impfungen durch Betriebsärzte? Was ist die Impfdokumentation Rheinland-Pfalz? Welchen Voraussetzungen unterliegt eine an den Standorten der Impfzentren durchgeführte Videoüberwachung?

Die FAQs stellen klar, dass Daten über die erfolgten Impfungen an das Robert Koch-Institut und das Paul-Ehrlich-Institut nur in pseudonymisierter Form gegeben werden dürfen. Beim RKI werden sie zur Feststellung der Inanspruchnahme von Schutzimpfungen und mit Blick auf etwaige Impfeffekte verwendet. Die Daten müssen so gespeichert werden, dass Rückschlüsse auf einzelne Personen ausgeschlossen sind.

Die FAQs dienen auch als Orientierung für die in den Impfprozess eingebundenen Personen und Stellen, zumal die datenschutzrechtlichen Bewertungen von dem Ministerium für Soziales, Arbeit, Gesundheit und Demografie geteilt werden, das für die Impfzentren und die mobilen Impfteams zuständig ist. Der LfDI hat überdies an dem vom Ministerium erstellten Informationsblatt mitgewirkt, welches allen an einer Corona-Schutzimpfung interessierten Bürgerinnen und Bürgern zur Verfügung gestellt wird. Mit diesem Blatt werden die datenschutzrechtlichen Informationspflichten erfüllt.