Safer Internet Day 2024 – TLfDI Hasse räumt mit Datenschutzirrtümern auf

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 06.02.2024

Den heutigen Safer Internet Day möchte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse nutzen, um über einige, sich hartnäckig haltende Datenschutzirrtümer aufzuklären.

Los geht`s:

1. Datenschutz will Digitalisierung verhindern.
Unsinn – Datenschützer wollen die Digitalisierung, aber eben rechtskonform. Sonst bräuchte man das Recht nicht, wenn man es nicht einhalten will.

2. Alle Produkte, die ab Inkrafttreten der Datenschutz-Grundverordnung auf den Markt kommen, sind nun auch zu 100% datenschutzkonform.
Das sollten sie bestenfalls sein, viele sind es aber nicht. Um sich in dem Dschungel von Produkten zurechtzufinden, können zwar Zertifizierungsverfahren dazu dienen, die Einhaltung der DS-GVO bei Verarbeitungsvorgängen nachzuweisen. Art. 42 DS-GVO sieht insoweit jedoch nur Folgendes vor: „Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.“ Da Verarbeitungsvorgänge aber keine Produkte sind, lässt Art. 42 DS-GVO eine Zertifizierung von Produkten dem Wortlaut nach nicht zu. An einer nationalen Lösung dieses Problems wird – unter Einbindung des TLfDI – derzeit intensiv gearbeitet.

3. Der TLfDI ist eine Außenstelle eines Ministeriums.
Unsinn. Der TLfDI ist die selbstständige datenschutzrechtliche Aufsichtsbehörde, die die datenschutzrechtliche Aufsicht u.a. auch über Ministerien und die Thüringer Staatskanzlei ausübt und weisungsberechtigt ist.

4. Mit einer Einwilligung ist alles erlaubt.
Nein, denn gem. Art. 6 Abs. 1 S. 1 Buchst. a) DS-GVO hat die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten nur für einen bestimmten Zweck erteilt. Und über diesen Zweck hinaus dürfen ihre personenbezogenen Daten nicht verwendet werden. Eine Einwilligung muss immer freiwillig und informiert erfolgen. Sie kann außerdem jederzeit widerrufen werden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) beschloss zudem am 24. November 2021, dass „ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 Buchstabe a) DS-GVO nicht zulässig ist.“

5. Mit der Pseudonymisierung von Daten entfällt der Anwendungsbereich der Datenschutz-Grundverordnung.
Nein, das ist nicht der Fall, da bei einer Pseudonymisierung Daten und Namen durch Ident-Nummer, Kennziffern oder auch Zufallszahlen ersetzt werden. Diese können mit zusätzlichen Hilfsmitteln wie Listen der vergebenen Kennziffern oder Zufallszahlen in ihre Ausgangsdaten zurückgeführt werden. Und hinter den repseudonymisierten Daten ist dann wieder eine natürliche Person erkennbar. Fazit: Die Pseudonymisierung von personenbezogenen Daten fällt definitiv in den Anwendungsbereich der Datenschutz-Grundverordnung. Anders ist es bei einer Anonymisierung von personenbezogenen Daten. Da besteht keine Möglichkeit mehr, die ursprünglichen Daten wiederherzustellen. Anonyme Daten sind demnach nicht mehr personenbezogen oder personenbeziehbar. Eine Anonymisierung ist nicht immer realisierbar, sodass es mitunter sehr schwierig ist, überhaupt Anonymität herzustellen.

6. Die Datenschutz-Grundverordnung gilt nicht für Privatpersonen, sondern nur für gewerbliche oder behördliche Tätigkeiten.
Stimmt nicht. Verantwortlicher kann jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Auch Privatpersonen können datenschutzrechtlich verantwortlich gemacht werden, wenn sie außerhalb der persönlichen oder familiären Sphäre handeln und beispielsweise den öffentlichen Raum vor ihrem Haus mittels Videokamera aufzeichnen.

7. Die Datenschutz-Grundverordnung gilt nur für die elektronische Datenverarbeitung, nicht für analoge Daten.
Gemäß Art. 2 Abs. 1 Datenschutz-Grundverordnung gilt die Datenschutz- Grundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Dateisystem ist dabei gem. Art. 4 Nr. 6 Datenschutz-Grundverordnung jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Somit gilt die Datenschutz-Grundverordnung grundsätzlich auch für geordnete, strukturierte Papierakten oder schriftliche Aufzeichnungen. Der Thüringer Gesetzgeber hat den Anwendungsbereich für die unter das ThürDSG fallenden öffentlichen Stellen darüber hinaus erweitert. Für öffentliche Stellen in Thüringen gilt gem. § 2 Abs. 4 S. 2 ThürDSG, dass die Bestimmungen der Datenschutz-Grundverordnung auch für die nicht automatisierte Verarbeitung von personenbezogenen Daten entsprechend gelten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (z.B. ungeordnete Papierakten).

8. Die Datenschutz-Grundverordnung ist so streng, und es wird immer schwerer, Daten zu verarbeiten.
Stimmt nicht. Die Regelungen zum Umgang mit personenbezogenen Daten in der Datenschutz-Grundverordnung sind im Vergleich zur vorherigen Datenschutz-Richtlinie und deren damaliger Umsetzung nicht nur weitestgehend gleichgeblieben, die Datenschutz-Grundverordnung hat zudem das Datenschutzrecht auch weitgehend harmonisiert. Aus diesem Grund ist der Datenverkehr innerhalb Europas deutlich einfacher geworden, was ein erklärtes aber gern übersehenes Ziel der Datenschutz-Grundverordnung ist. Zudem gilt die Datenschutz-Grundverordnung auch für Verantwortliche außerhalb der EU, wenn sie Daten von Personen innerhalb der EU verarbeiten. Die gleichförmige Anwendung und Umsetzung der Datenschutzregeln in allen europäischen Mitgliedsstaaten wird durch den Europäischen Datenschutzausschuss zum Beispiel im Rahmen der Zusammenarbeit aller europäischen Aufsichtsbehörden und durch Leitlinien zur Auslegung der Datenschutz-Grundverordnung gewährleistet.

9. Datenschutz schützt Daten.
Das ist so nicht ganz korrekt. Gem. Art. 1 Abs. 1 DS-GVO schützt die Datenschutz-Grundverordnung natürliche Personen bei der Verarbeitung ihrer personenbezogener Daten und damit deren Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 2 DS-GVO).

10. Wer sich bei der Verarbeitung personenbezogener Daten eines Auftragsverarbeiters bedient, ist raus aus der datenschutzrechtlichen Verantwortung.
Stimmt nicht. Die Datenschutz-Grundverordnung definiert den Verantwortlichen als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Wenn der Verantwortliche bei der Verarbeitung personenbezogener Daten sich eines Auftragsverarbeiters bedient, regelt die Datenschutz-Grundverordnung, dass der Auftragsverarbeiter als tätiger Dienstleister weisungsgebunden ist. Er führt daher die Verarbeitung für den Verantwortlichen (=Auftraggeber) und nicht als Dritter durch. Es besteht vielmehr zwischen dem Auftraggeber (dem Verantwortlichen) und seinem Auftragsverarbeiter ein „Innenverhältnis“ und die wechselseitigen Vertragspflichten müssen in einem sog. Auftragsverarbeitungsvertrag festgelegt sein (Art. 28 DS-GVO). Dazu gehören auch Weisungs- und Kontrollpflichten für den Verantwortlichen. Ein Vertragsmuster ist hier zu finden (https://www.tlfdi.de/fileadmin/tlfdi/themen/tlfdi_formulierungshilfe_fur_auftragsverarbeitungsvertraege.pdf ). Die Verarbeitung durch den Auftragsverarbeiter wird deshalb grundsätzlich dem Verantwortlichen zugerechnet.

Siehe hierzu auch das Kurzpapier Nr. 13 der Datenschutzkonferenz unter https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf .

11. Die Datenschutz-Grundverordnung verbietet seit ihrer Geltung sämtliche Verarbeitungen personenbezogener Daten.
Stimmt nicht. Bei der Verarbeitung personenbezogener Daten gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Dieser besagt, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn eine Erlaubnisnorm gestattet sie oder sie beruht auf der Einwilligung der betroffenen Person. Liegt also beispielsweise eine gesetzliche Regelung wie in der Datenschutz-Grundverordnung oder anderen Datenschutzvorschriften vor, die die Verarbeitung erlaubt, dürfen personenbezogene Daten natürlich verarbeitet werden.

12. Datenschutz kann vom Gesetzgeber einfach abgeschafft werden.
Nein, das ist nicht richtig, eine Einschränkung aufgrund gesetzlicher Normen ist aber möglich. Das Recht auf informationelle Selbstbestimmung leitet sich aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG her. Auch nach Art. 8 der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Gemäß Art. 6 Abs. 2 der Verfassung des Freistaats Thüringen hat jeder Anspruch auf Schutz seiner personenbezogenen Daten. Nach Art. 6 Abs. 3 der Verfassung des Freistaats Thüringen ist eine Einschränkung des Rechts grundsätzlich möglich. Jedoch darf diese nur auf Grund eines Gesetzes geschehen (Gesetzesvorbehalt). Dabei muss die Wesensgehaltsgarantie beachtet werden und die Verhältnismäßigkeit gewahrt bleiben.

13. Nur große „Datenpannen“ muss ich der Aufsichtsbehörde melden.
Stimmt nicht. Eine Datenpanne ist im Falle einer Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde möglichst binnen 72 Stunden zu melden, nachdem ihre Verletzung bekannt wurde (Art. 33 Abs. 1 Satz 1 DS-GVO). Die Verletzung des Schutzes personenbezogener Daten ist gem. Art. 4 Nr. 12 DS-GVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Dies muss der Verantwortliche im Einklang mit den Grundsätzen der Rechenschaftspflicht nachweisen können. Da die Fälle, in denen wirklich kein Risiko besteht, nur sehr eingeschränkt vorliegen, ist auch bei kleineren Vorkommnissen eine Meldung nach Art. 33 DS-GVO in der Regel unumgänglich. Ein Datenschutzverstoß, der keine Meldung an die Aufsichtsbehörde auslöst, liegt beispielsweise vor, wenn der Kunde eine E-Mail mit Werbung von einem Unternehmen erhält, aber die Einwilligung hierzu unwirksam ist.

14. Wenn eine Datenschutz-Folgenabschätzung (DS-FA) notwendig ist, muss der TLfDI beteiligt werden.
Was ist eine Datenschutz-Folgenabschätzung?

Die DS-FA stellt eine Verpflichtung für die verantwortliche Stelle dar, in bestimmten Fällen bzw. für bestimmte Verarbeitungsprozesse eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken vorzunehmen.

Muss der TLfDI immer beteiligt werden?

Nein, der TLfDI muss gem. Art. 36 Abs. 1 DS-GVO erst einbezogen werden, wenn aus einer erfolgten DS-FA hervorgeht, dass die Verarbeitung der personenbezogenen Daten ein hohes Risiko zur Folge hätte und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Eine Handreichung findet sich auf der Homepage www.tlfdi.de unter https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/handreichung_ds-fa.pdf und auf der Seite der DSK unter https://www.datenschutzkonferenz-online.de/media/wp/20171004_wp248_rev01.pdf .

15. Die Prüfung der Umsetzung der Datenschutz-Grundverordnung, insbesondere die Sicherheit der Verarbeitung nach Art. 32 DS-GVO ist nur ein Mal am Anfang durchzuführen.
Stimmt nicht. Entsprechend der Datenschutz-Grundverordnung sind die technischen und organisatorischen Maßnahmen (TOM) nicht nur einmalig zu implementieren, sondern vielmehr sollte ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM vorgesehen werden (Art. 32 Abs. 1 Buchst. d) DS-GVO). Die aktuelle Angemessenheit der TOM orientiert sich dabei jeweils am Stand der Technik. (https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/Kommunales/DS-Anforderungen-IT-Sicherheit_oefftl_Stellen_Stand_Februar_2021.pdf)

Insbesondere das Aufkommen von Datenpannen kann dazu führen, dass bestehende Abläufe und technische Implementierungen einer erneuten Überprüfung zu unterziehen sind.

16. Der Einsatz von Künstlicher Intelligenz (KI) unterliegt nicht der DS-GVO. KI ist so kompliziert, dass gar kein Personenbezug mehr nachgewiesen werden kann.
Stimmt gar nicht. Personenbezug findet sich beim Einsatz von KI-Systemen an vielen Stellen: es können täuschend echte Fotos von tatsächlich lebenden Personen generiert werden, KI kann Texte über echte Personen schreiben oder KI kann z.B. medizinische Unterlagen als Eingaben verarbeiten, um Ärzten Diagnosevorschläge und Behandlungsempfehlungen zu unterbreiten. Personenbezug ist daher häufig sehr einfach nachweisbar. Das Verständnis, „wie“ die KI arbeitet, ist dabei gar nicht nötig. Dabei können personenbeziehbare Daten bei der Eingabe, bei Trainingsdaten oder bei der Ausgabe erzeugt werden. Auch Zwischenergebnisse können Personenbezug aufweisen. Eine KI zu trainieren ist aber tatsächlich sehr aufwändig und kann bisher nur durch spezialisierte Firmen oder Experten erfolgen. Die Datenschutzkonferenz fordert eine klare Verantwortlichkeit für Hersteller und Betreiber von Künstlicher Intelligenz. Dazu gehört auch, dass diese ihren Kunden (d.h. betroffene Nutzer oder Auftraggeber) das Produkt ausreichend erklären können. Auf welchen Trainingsdaten basiert die KI? Wie wurde die Funktionsfähigkeit der KI geprüft und mit welchem Ergebnis? Welche Risiken bestehen bei der Nutzung der KI? Welche Gegenmaßnahmen wurden implementiert? Wie und zu welchen Zwecken werden Daten der Nutzer verarbeitet? Sind dies evtl. auch Trainingsdaten? Wenn Verantwortliche diese Informationen nicht haben, können sie keine KI betreiben oder sind nicht Verantwortliche. Im letzten Fall müssen die Antworten auf die oben aufgeworfenen Fragen aber dennoch den Nutzern zur Verfügung gestellt werden. Dies fordert mindesten Art.13 DS-GVO oder Art. 14 DS-GVO. Auch daran erkennt man, dass die DS-GVO nicht nur anwendbar ist, sondern der DS-GVO sogar eine wichtige Aufklärungsrolle zufällt.

17. Datenschutz ist gewährleistet, wenn ich auf der Internetseite eine Datenschutzerklärung zur Verfügung stelle.
Nicht ganz. Bei einigen Verantwortlichen besteht Datenschutz ausschließlich darin, eine Datenschutzerklärung auf der firmeneigenen Webseite zur Verfügung zu stellen. Damit allein ist es jedoch noch nicht getan.

Denn neben den Informationspflichten nach Art. 13/14 DS-GVO, die mit einer Datenschutzerklärung zumeist erfüllt werden sollen, bestehen für die Verantwortlichen weitere Verpflichtungen nach der Datenschutz-Grundverordnung. Das Führen eines Verarbeitungsverzeichnisses gem. Art. 30 DS-GVO zum Beispiel, welches ebenfalls Angaben zu den technischen und organisatorischen Maßnahmen beinhaltet, oder das Benennen eines Datenschutzbeauftragten nach Art. 37 DS-GVO i. V. m. § 38 BDSG, wenn die Voraussetzungen dafür vorliegen. Weiterhin bestehen auch grundsätzlich die Nachweis- und Rechenschaftspflichten der Verantwortlichen nach Art. 5 Abs. 2 DS-GVO und Art. 7 Abs.1 DS-GVO.

18. Eine Datenschutzerklärung auf der Website ist doch nicht zu beanstanden, wenn sie vorsorglich alles aufführt, was technisch möglich wäre?
Stimmt so nicht. Eine Datenschutzerklärung erfüllt die Anforderungen gemäß Art. 12 Abs. 1 und 13 DS-GVO nur dann, wenn sie präzise und somit für den Websitebesucher transparent informiert. Vorsorglich auch Dienste und Cookie-Beschreibungen zu benennen, die auf der Website gar nicht eingebunden sind, sind dagegen für Websitebesucher irreführend. Denn die betroffene Person muss davon ausgehen, dass hierüber personenbezogene Daten gegen seinen Willen verarbeitet werden, obwohl das in der Praxis dann gar nicht geschieht. Notwendige Angaben die wiederum fehlen, sind für Websitebesucher genauso irreführend und intransparent. Eine Datenschutzerklärung für den Betrieb einer Webseite muss zunächst die allgemeinen Informationen aus Art. 13 DS-GVO enthalten. Wichtig sind jedoch hier die Empfänger von Daten, zum Beispiel Websitehoster oder bei Shopsystemen externe Zahlungsdienstleister Transportunternehmen, etc.

Weiterhin muss angegeben werden, wenn Drittdienste wie Videoplattformen oder dynamische Wegkarten genutzt werden. Auch die Nutzung von Cookies muss transparent erfolgen. Hier muss der Ausgestaltung des sog. Cookiebanners besondere Aufmerksamkeit gelten.

Wichtig ist also für den Betreiber der Website, die genaue technische und die dazugehörige rechtliche Ausgestaltung seines Webauftrittes zu kennen. Auch gilt zu beachten, dass sich Rechtsgrundlagen jederzeit ändern können. Dies war in der Vergangenheit z.B. bei Datenübertragungen in die USA öfters der Fall.

19. Dr. Lutz Hasse ist auf Lebenszeit Datenschutzbeauftragter des Freistaates Thüringen.
Dieser Wunsch wird von vielen Seiten an uns herangetragen. Er kann aber aufgrund der Gesetzeslage, die nur eine Wiederwahl zulässt, nicht in Erfüllung gehen. 🙂

20. Der TLfDI muss pragmatisch sein!
In Art. 57 Abs. 1 Buchstabe a) DS-GVO heißt es eindeutig: „Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet die Anwendung dieser Verordnung überwachen und durchsetzen.“ Ein Landesdatenschutzbeauftragter muss daher Datenschutzverstöße abstellen und ahnden; Pragmatismus kann bei dieser Aufgabenwahrnehmung daher leicht als Einfallstor für Willkür und Beliebigkeit missgedeutet werden.

Neben der Überwachung und Durchsetzung der DS-GVO kann ein Datenschutzbeauftragter auch beraten, helfen, informieren und Lehrveranstaltungen zum Datenschutz anbieten.