Mainz, 12. Juli 2016 Zusammenfassung des 25. Datenschutzberichts des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Der 25. Datenschutzbericht des LfDI umfasst die Jahre 2014 und 2015. Entwicklung des Datenschutzes Ende des Jahres 2015 wurden die Verhandlungen über die künftige Neugestaltung des europäischen Datenschutzrechts abgeschlossen. Zwischenzeitlich wurde die europäische Datenschutz-Grundverordnung auch formell verabschiedet, so dass sie im Mai des Jahres 2018 in allen Mitgliedsstaaten in Kraft tritt und bestehende Datenschutzgesetze ablösen wird. Innerhalb der Europäischen Union wird es demnach einen Mindeststandard für die Erhebung und Verarbeitung personenbezogener Daten geben, welcher aber auch innerstaatliche Öffnungsklauseln zu bestimmten Themenbereichen vorsieht. Um die Einhaltung der Datenschutz-Grundverordnung effektiv kontrollieren zu können, werden auch die Aufsichtsbehörden gestärkt, was jedoch gleichermaßen zu einem erhöhten Bedarf an Ressourcen und Personal beim LfDI führen wird (vgl. Tz. I-1.3). Im Rahmen der Safe Harbor-Entscheidung durch den Europäischen Gerichtshof, welche die Zulässigkeit der Datenübermittlung in Drittländer wie die USA in Frage stellt, wurde vom LfDI eine großangelegte Umfrageaktion bei 120 rheinland-pfälzischen Unternehmen gestartet, um einerseits auf die Problemlage hinzuweisen sowie andererseits nach den Grundlagen der unternehmenseigenen Datentransfers in die USA zu fragen. Mehr als die Hälfte der befragten Unternehmen war mit der Thematik vertraut und gut aufgestellt, bei den übrigen Unternehmen herrscht jedoch noch zum Teil erheblicher Aufklärungsbedarf. Hierfür bietet der LfDI Veranstaltungen, Beratungen und Veröffentlichungen an (vgl. Tz. I-1.4 und I-1.5). -2Landesgesetzgebung Bereits 2013 hatte sich der LfDI dahingehend positioniert, dass ein sog. Livestream von öffentlichen Ratssitzungen ohne spezifische Rechtsgrundlage nur mit Einwilligung aller möglicherweise Betroffenen (Mandatsträgerinnen und -träger, Beschäftigte, Zuhörerinnen und Zuhörer) zulässig ist. Da dies in der Praxis nicht oder nur schwer umsetzbar gewesen wäre, konnte nur der Erlass einer entsprechenden gesetzlichen Grundlage weiterhelfen. Eine Regelung der sog. Medienöffentlichkeit, um über digitale Aufzeichnungen und Bild- und Tonübertragungen von Rats- und Ausschusssitzungen die Einwohnerinnen und Einwohner am kommunalen Geschehen teilhaben zu lassen, ist mit dem Landesgesetz vom 22. Dezember 2015 erfolgt. Wesentliche Rechtsgrundlagen sind nunmehr § 35 Abs. 1 S. 4 bis 6 GemO, § 28 Abs. 1 S. 4 bis 6 LKO und § 7 Abs. 3 BezO, die am 01. Juli 2016 in Kraft treten. Ein sog. Livestream wird auf der Grundlage der Hauptsatzung, mit der Näheres zur Art und Weise geregelt werden kann, möglich (vgl. Tz. I-3.2). Ausgewählte Schwerpunkte Die im Dezember 2013 gegen den Debeka-Krankenversicherungsverein a.G. (Debeka) eingeleiteten Ordnungswidrigkeitenverfahren sind im Dezember 2014 mit einem Bescheid des LfDI im Wege der Verständigung mit einer Geldbuße in Höhe von 1,3 Millionen Euro abgeschlossen worden – die höchste Geldbuße, die jemals von einer deutschen Datenschutzbehörde verhängt wurde. Das Unternehmen stellte darüber hinaus zusätzlich 600.000 Euro für eine Stiftungsprofessur bereit, die mittlerweile an der Johannes GutenbergUniversität Mainz, Fachbereich Rechts- und Wirtschaftswissenschaften, eingerichtet und zum Wintersemester 2016 besetzt werden konnte (vgl. Tz. II-2). Der Zustrom von Flüchtenden und Asylbewerberinnen und -bewerbern hat auch zahlreiche datenschutzrechtliche Fragen aufgeworfen: Wie kann erreicht werden, dass die Registrierungen effektiver erfolgen und Mehrfacherfassungen vermieden werden? Wie können die ehrenamtlichen Helferinnen und Helfer angemessen über die zu betreuenden Flüchtenden informiert werden? Dürfen Ortsbürgermeisterinnen und Ortsbürgermeister die Identitätsdaten der in ihre Gemeinde Zuwandernden erfahren? Und: Wie kann die Zusammenarbeit der Gemeinden mit der Bundesanstalt für Arbeit (bzw. den Jobcentern) datenschutzkonform erfolgen? Der LfDI hat zu allen wesentlichen Fragen praxisnah Stellung genommen und die betroffenen Behörden informiert (vgl. Tz. II-4). Medien und Telekommunikation Smart TV-Geräte verzahnen traditionelles Fernsehen mit dem Internet und erlauben es, die Fernsehgewohnheiten und die Nutzung von Zusatzdiensten bis ins Detail nachzuvollziehen und das Nutzungsverhalten auszuwerten. Aus Sicht des LfDI muss eine Möglichkeit des anonymen Fernsehens erhalten bleiben und erkennbar sein, wie und welche Nutzungsdaten durch wen erhoben, genutzt und gegebenenfalls an Dritte weitergegeben werden. Nutzerinnen und Nutzer müssen sich darauf verlassen können, dass Dritte nicht ungewollt erfahren, was, wann und wie oft oder wie lange man fernsieht. Die Datenschutzaufsichtsbehörden haben hierzu eine Orientierungshilfe veröffentlicht -3(http://www.datenschutz.rlp.de/downloads/oh/oh_smart-TV.pdf). In eine bundesweite Prüfung wurde auch ein Gerät eines rheinland-pfälzischen Herstellers einbezogen. Dieser hat sich im Rahmen der Prüfung durchgängig kooperativ gezeigt und zugesagt, die notwendigen Änderungen für künftige Modelle sowie für alle vergleichbaren Endgeräte (z.B. SatellitenReceiver) umzusetzen (vgl. Tz. III-1.1). Die Nutzung von Fanpages bei Facebook durch Behörden ist seit vielen Jahren Gegenstand der Aufmerksamkeit des LfDI (vgl. 23.Tb., Tz. I-3.2.2; 24. Tb., Tz. II-7.4.4). Da sich Facebook nach wie vor nicht an die deutschen Datenschutzvorgaben beim Umgang mit den Nutzerdaten hält, tragen öffentliche Stellen, die in Form einer eigenen FacebookFanpage einen „Honigtopf“ aufstellen, dazu bei, dass Facebook weiter Nutzerrechte verletzt. Hier besteht eine eigene Verantwortung besonders der staatlichen Stellen, welche der LfDI mit einem vorgelegten Handlungsrahmen für öffentliche Stellen unterstützt (vgl. Tz. III-1.3). Wirtschaft Rund ein Drittel aller an den LfDI gerichteten Eingaben im privaten Datenschutz betrifft den Bereich der Videoüberwachung, davon in zunehmendem Maße die Videoüberwachung durch Privatpersonen. Der Grund für diesen Anstieg sind offenbar auch die in den vergangenen Jahren gesunkenen Preise für Überwachungstechnik zum Privatgebrauch. Oftmals fühlen sich die Betroffenen einer dauerhaften Überwachung ihrer Nachbarschaft ausgesetzt oder vermuten eine Beobachtung des öffentlichen Verkehrsraums. Dem LfDI ist in solchen Fällen häufig ein Einschreiten nicht möglich, da das Bundesdatenschutzgesetz auf Datenverarbeitungen zu persönlichen bzw. familiären Zwecken keine Anwendung findet. Das bedeutet allerdings nicht, dass die Videoüberwachung damit zulässig ist, vielmehr muss deren Beurteilung auf Grundlage des Zivilrechts durch die Gerichte erfolgen (vgl. Tz. III-2.2). Auch der Einsatz von Drohnen und von Wildkameras nimmt weiter zu - im Falle der Wildkameras zeichnet sich allerdings in Rheinland-Pfalz eine Lösung ab. Beschäftigtendatenschutz Gerade im Bereich der Arbeitswelt wird sowohl bei Behörden als auch in den Unternehmen eine große Zahl an personenbezogenen Daten der Beschäftigten erhoben. Der Beratungsbedarf ist in diesem Bereich sehr groß. Der LfDI unterstützt die Behörden und Unternehmen, fit bei der digitalen Verarbeitung von Beschäftigtendaten zu werden. Mit einer Orientierungshilfe zur IT-Nutzung am Arbeitsplatz sowie zum datenschutzkonformen Einsatz von Online-Bewerbungsverfahren gab der LfDI den Arbeitgeberinnen und -gebern Ratschläge an die Hand, den Wandel von Papier zu elektronischen Daten im Büro auch datenschutzrechtlich einwandfrei zu vollziehen (vgl. Tz. III-3.2.2 und III-3.1.3). Daneben haben sowohl die Gerichte bei den Bediensteten im öffentlichen Bereich als auch das Bundesarbeitsgericht den Schutz der Beschäftigten vor unerlaubten Kontrollen und Datenübermittlungen weiter gestärkt. Das Bundesarbeitsgericht erklärte zum einen Beweismittel für eine Kündigung, die in unzulässiger Weise gewonnen wurden, als nicht verwertbar. Der Bundesgerichtshof ging in einem anderen Fall sogar so weit, für -4datenschutzwidrige erhobene Beschäftigtendaten durch Detektive Haftstrafen für die jeweiligen Detektive auszusprechen. Polizei und Verfassungsschutz Aufgrund eines Urteils des Bundesverfassungsgerichts zum Antiterrordateigesetz wurde die Verpflichtung der Datenschutzbeauftragten des Bundes und der Länder in das Gesetz aufgenommen, spätestens alle zwei Jahre die Antiterrordatei (ATD) zu prüfen. Dementsprechend hat der LfDI eine Kontrolle der ATD-Nutzung beim Verfassungsschutz sowie beim Landeskriminalamt und den Polizeipräsidien durchgeführt. Die Prüfung hat ergeben, dass sämtliche in der ATD geführten Personen rechtmäßig und nachvollziehbar gespeichert waren. Die vergebenen Zugriffsberechtigungskonzepte entsprachen den datenschutzrechtlichen Anforderungen (vgl. III-4.1). Seit April 2015 werden bei der Polizei im Rahmen eines Pilotprojekts Bodycams in besonders kriminalitätsbelastenden Gebieten oder bei besonderen Gefahrenlagen eingesetzt. Die Videoaufzeichnungen erfolgen zur Eigen- und zur Beweissicherung. In einer Verwaltungsvorschrift werden Einsatzbedingungen und Löschung der Daten geregelt. Die ersten Erfahrungen mit den Bodycams sind aus polizeilicher Sicht positiv; das Einschalten der Kamera - was dem polizeilichen Gegenüber mitgeteilt wird - habe im Allgemeinen zur Deeskalation geführt. Noch in diesem Jahr ist eine wissenschaftliche Evaluation des Pilotprojekts vorgesehen; in dieser Evaluation wird auch die Frage der Erforderlichkeit der Bild- und Tonaufzeichnungen behandelt. Der LfDI wird diese Ergebnisse bei seiner datenschutzrechtlichen Bewertung mit einbeziehen (vgl. Tz. III-4.3). Gesundheit Von zunehmender Bedeutung ist die Verarbeitung von Gesundheitsdaten. Der LfDI hat vor diesem Hintergrund gemeinsam mit der Kassenärztlichen Vereinigung Rheinland-Pfalz eine bundesweit einmalige Website erstellt, die Ärztinnen und Ärzten und anderen Angehörigen der Heilberufe die Beachtung der datenschutzrechtlichen Vorgaben bei dem Betrieb einer eigenen Praxis erleichtern soll (www.mit-sicherheit-gut-behandelt.de). Der Aufbau des bislang gut angenommenen Informationsangebots war eingebettet in eine landesweite Initiative zur Verbesserung des Datenschutzes im ärztlichen Bereich, mit der insbesondere die Sensibilisierung der Praxisinhaberinnen und -inhaber erreicht werden sollte (vgl. Tz. III5.2.1). Wie zukunftsträchtig das Thema Gesundheit im datenschutzrechtlichen Kontext ist, zeigt sich am steigenden Einsatz telematischer Anwendungen im Bereich der gesundheitlichen und pflegerischen Versorgung. Beispiele hierfür sind intelligente Assistenzsysteme, die den Menschen trotz gesundheitlicher Einschränkungen ein weitgehend selbstbestimmtes Leben ermöglichen sollen. Der LfDI hat sich frühzeitig um eine angemessene Beachtung des informationellen Selbstbestimmungsrechts bei der Entwicklung entsprechender Verfahren bemüht. Auf seine Initiative hin soll die Vereinbarkeit der Telematik im Gesundheitswesen mit den Grundsätzen des Datenschutzes als strategisches Ziel von der Gesundheitsministerkonferenz benannt werden (vgl. Tz. III-5.4). -5- Bildung und Erziehung Die Bildungsaktivitäten des LfDI wurden auch in den zurückliegenden beiden Jahren weiter vorangebracht. Hervorzuheben ist, dass das Jugendportal www.youngdata.de, welches als Eigenentwicklung des LfDI im Jahr 2013 gestartet war, im Februar 2015 in die Hände aller Datenschutzbeauftragten des Bundes und der Länder überführt wurde. Youngdata ist seitdem das gemeinsame Jugendangebot aller Datenschutzbeauftragten (vgl. Tz. III-8.1). Erstmals veranstaltete der LfDI im Mai 2015 ein Coding Camp für programmierbegeisterte Jugendliche. Mit Unterstützung von Informatikstudierenden der Fachhochschule Bingen, der Hochschule Mainz und Mitgliedern des Chaos Computer Clubs Mainz/Wiesbaden gelang es, Smartphone-Apps zu entwickeln, die von einer Jury ausgezeichnet wurden. Aufgrund des erfolgreichen Verlaufs wird sich der LfDI auch künftig an vergleichbaren Projekten mit Jugendlichen zum Thema „Informatik“ beteiligen (vgl. Tz. III-8.4). Justiz Der LfDI hat sich wiederholt zu strafprozessualen Ermittlungsmaßnahmen geäußert und für eine Verbesserung der Normenklarheit sowie für eine Stärkung der Transparenz für Betroffene eingesetzt. So hat er gegenüber dem Justizministerium dargelegt, dass nach seiner Einschätzung eine rechtskonforme Durchführung der sog. Quellen-TKÜ (vgl. 24. Tb., Tz. III-4.1.8) nicht möglich ist. Gleiches gilt für den Einsatz sog. stiller SMS, die nach ihrem Versand durch die Ermittlungsbehörden beim SMS-Empfänger zwar nicht angezeigt werden und auch kein Empfangssignal auslösen, die aber gleichwohl Verbindungsdaten generieren, welche polizeilich ausgewertet werden. Gleichzeitig hat der LfDI aber das ermittlungstaktische Bedürfnis für stille SMS anerkannt und wird deren Einsatz nur dann nicht beanstanden, wenn er im Rahmen der strengen Voraussetzungen einer Telekommunikationsüberwachung nach §§ 100a, 100b StPO erfolgt. In Bezug auf die Funkzellenabfrage (vgl. hierzu § 100g Abs. 3 n.F. StPO) regt der LfDI an, neue Benachrichtigungsinstrumente für Betroffenen zu schaffen (vgl. Tz. III-10.2). Verbraucherschutz Der LfDI hat im Berichtszeitraum die Zusammenarbeit mit dem Verbraucherschutz weiter verstärkt. So veranstaltete er zusammen mit der Verbraucherzentrale Rheinland-Pfalz eine Podiumsdiskussion zur Zukunft des Bargelds in der digitalen Gesellschaft, in welcher auch unter datenschutzrechtlichen Gesichtspunkten über die Chancen und Risiken einer bargeldlosen Zukunft diskutiert wurde. Bargeldlose Zahlungen bergen die Gefahr, dass künftig jeder einzelne Bezahlvorgang nachvollziehbar dokumentiert und somit die Verbraucherinnen und Verbraucher zu gläsernen Konsumenten gemacht werden (vgl. Tz. III11.3). Auch der vierte Verbraucherdialog „Smart Home“ in Zusammenarbeit mit dem damaligen Ministerium der Justiz und für Verbraucherschutz Rheinland-Pfalz und der -6Verbraucherzentrale Rheinland-Pfalz setzte die enge Zusammenarbeit fort. Ziel der Verbraucherdialoge ist es, zusammen mit Experten aus Wirtschaft, Wissenschaft, Verbänden und Behörden datenschutz- und verbraucherfreundliche Anforderungen an neue digitale Technologien zu formulieren. Diese werden in Empfehlungen zusammengefasst und veröffentlicht, die sich zum einen an Verbraucherinnen und Verbraucher, zum anderen aber auch an Produktanbieter richten. Da die im intelligenten Zuhause anfallenden Daten die räumliche Privatsphäre und damit einen besonders schützenswerten Rückzugsort betreffen, war es aus Sicht des LfDI wichtig, Leitlinien zur Umsetzung grundlegender datenschutzrechtlicher Prinzipien für Smart Home-Anwendungen zu definieren. Besondere Bedeutung kommt in den Empfehlungen daher den Aspekten der Transparenz, der Datensouveränität, der Datensparsamkeit aber nicht zuletzt auch der Datensicherheit zu (vgl. Tz. III-11.4). Das Thema Scoring ist ein datenschutzrechtlicher Dauerbrenner. Nachdem durch die Änderung des Bundesdatenschutzgesetzes im Jahr 2010 insbesondere die Auskunftsrechte der Verbraucherinnen und Verbraucher gestärkt wurden, entschied der Bundesgerichtshof im Januar 2014, dass diese Auskunftsrechte durch das Recht der Wirtschaftsauskunfteien an ihrem Geschäftsgeheimnis eingeschränkt werden. Angesichts der existentiellen Bedeutung von Einträgen bei Wirtschaftsauskunfteien für viele Bürgerinnen und Bürger hält der LfDI eine gesetzliche Nachbesserung für dringlich geboten (vgl. Tz. III-11.5). Finanzen Im Bereich der Steuerverwaltung beschäftigten die Auskunftsansprüche der Steuerpflichtigen den LfDI auch in diesem Berichtszeitraum. Während der LfDI zuletzt verhalten optimistisch war, dass Betroffene zukünftig voraussetzungslos Auskunft über ihre bei der Finanzverwaltung vorhandenen persönlichen Daten erlangen können, hat sich diese Hoffnung im Berichtszeitraum leider zerschlagen. Das gemeinsame Konzept von Bund und Ländern zur Modernisierung des Besteuerungsverfahrens sah zwar die Schaffung bereichsspezifischer Regelungen zum Datenschutz und insbesondere einen Auskunftsanspruch vor. Doch wurden die geplanten Regelungen mit Hinweis auf die nunmehr unmittelbar bevorstehende EU-Datenschutz-Grundverordnung verworfen, da man zunächst die europäischen Vorgaben abwarten wolle. Dies bedeutet eine erneute Verzögerung für ein klar definiertes Auskunftsrecht der Steuerpflichtigen (vgl. Tz. III-12.2). Verkehr Das moderne Auto verfügt über vielfältige Systeme, die den Nutzerinnen und Nutzern das Leben im Auto sicher und angenehm machen sollen. Dazu zählen z.B. Navigation, Notruf (das sog. eCall-System), Werkstattdokumentation und auch Mulitmediaanwendungen. Diese fortschreitende Technik bietet einerseits vielfältige Vorteile im Bereich Verkehrssicherheit und Komfort. Doch beeinträchtigt sie andererseits auch die Persönlichkeitsrechte der Fahrzeugnutzerinnen und -nutzer in nicht unerheblichem Umfang, denn es fallen zahlreiche persönliche Daten an. Die Datenschutzbeauftragten des Bundes und der Länder begleiten die moderne Entwicklung konstant: sie haben eine Entschließung zu den aus ihrer Sicht -7besonders gravierenden Risiken gefasst und gemeinsam mit dem Verband der Automobilindustrie ein Papier veröffentlicht, um für das Thema weiter zu sensibilisieren und sicherzustellen, dass Kfz-Nutzerinnen und -Nutzer von den Vorteilen profitieren, ohne ihr Persönlichkeitsrecht im hohen Maße einzuschränken (vgl. Tz. III-13.1). Der LfDI hat zudem am 4. Juli 2016 im Landesmuseum Mainz eine Podiumsdiskussion zu diesem Thema veranstaltet: Unter dem Titel „Der unsichtbare Beifahrer – Chancen und Risiken des Connected Car“ diskutierten Vertreter des Verbraucherschutzes, der Wissenschaft und der Automobil-, Internet- und Versicherungsbranche. Im Zusammenhang mit einem Angriff auf ein IT-Verfahren der Zulassungsbehörden wurde eine Speicherung der Zugriffsdaten einschließlich der vollständigen IP-Adressen problematisiert. Als Konsequenz aus dem Angriff auf das Verfahren hat der Landesbetrieb Daten und Information in Abstimmung mit dem LfDI eine Verfahrensweise festgelegt, bei der die für Sicherheitszwecke erforderlichen Zugriffsdaten auf einem separaten Protokollserver für sieben Tage gespeichert werden. Mit der gewählten Lösung wird sowohl dem Datenschutz als auch den Notwendigkeiten für die Abwehr und Analyse von Angriffen entsprochen. Im Fall eines strafrechtlichen Ermittlungsverfahrens stehen die jeweiligen Zugriffsdaten auch für einen darüber hinausgehenden Zeitraum zur Verfügung (vgl. III-13.2). Weitere technische Themen Gütesiegel und Zertifikate zum Datenschutz sind wertvolle Instrumente, um gegenüber Verbraucherinnen und Verbrauchern die Datenschutzkonformität digitaler Angebote nachzuweisen. Sie schaffen Transparenz, Vertrauen und Sicherheit innerhalb von Unternehmen und gegenüber Kundinnen und Kunden und Geschäftspartnerinnen und partnern. Die Vorteile entsprechender Zertifizierungen von Unternehmen waren daher Gegenstand der im Oktober 2015 gemeinsam mit der Landesregierung veranstalteten Landesdatenschutzkonferenz. Solche Gütesiegel sind jedoch auch in der Verwaltung von Bedeutung. Mit Blick auf die Digitalisierungsstrategie der Landesregierung und die geplante Zunahme digitaler Verwaltungsdienste sollten die Möglichkeiten genutzt werden, gegenüber Bürgerinnen und Bürgern durch entsprechende Kennzeichnungen auf eine datenschutzfreundliche oder datensparsame Gestaltung der Verfahren hinzuweisen. Der LfDI hat daher den Vorschlag an die Landeregierung herangetragen, bei der anstehenden Umsetzung der europäischen Datenschutz-Grundverordnung vorzusehen, dass öffentliche Stellen zur Verbesserung des Datenschutzes und der Datensicherheit ihre Verfahren sowie ihre technischen Einrichtungen im Rahmen einer Zertifizierung prüfen und bewerten lassen (vgl. Tz. II-2.3 und III-14.7).
© Copyright 2024 ExpyDoc