LfDI-Newsletter Nr. 1 - 2018

Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,

der Newsletter des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) wird ein Jahr alt. Seit einem Jahr möchte ich die Bürgerinnen und Bürger, die Verwaltungen und die Unternehmen über aktuelle Themen des Datenschutzes und der Informationsfreiheit und über aktuelle Aktivitäten und Veranstaltungen des LfDI unterrichten. Die Zahl der Abonnements verdeutlicht, dass auch dieser Teilaspekt meiner Öffentlichkeitsarbeit Anklang findet. Die Leserschaft ist im Laufe des Jahres 2017 beständig gewachsen.

Die Sensibilisierung und Aufklärung der Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten wird nicht zuletzt in der Datenschutz-Grundverordnung als eine der vielen Aufgaben der Datenschutzaufsichtsbehörden manifestiert. Da ich diese Aufgabe ernst nehme und der Erfolg insbesondere von der Zufriedenheit der Öffentlichkeit, bzw. in diesem Fall von der Zufriedenheit der Leserschaft abhängt, bin ich an Ihrer Meinung zu den bisherigen Newslettern interessiert. Insoweit würde ich Sie bitten, etwaiges Feedback an anregungen(at)datenschutz.rlp.de zu senden.

Ich freue mich auf Ihre Rückmeldung und wünsche Ihnen ein spannendes und informatives Lesevergnügen.

Ihr Prof. Dr. Dieter Kugelmann


Inhaltsverzeichnis

I. Aktuelles

II. Landesbehörden sind ab 2018 zu mehr Transparenz verpflichtet

III. Neue Kurzpapiere der DSK zur Datenschutz-Grundverordnung

IV. Follow Up: Digitalisierung im Gesundheitswesen

V. Gutachten des wissenschaftlichen Dienstes für alle! Entscheidung des Verwaltungsgerichts Mainz klärt einige Grundregeln für den Ausbau der Transparenz in Rheinland-Pfalz

VI. Bericht zum "Tag des Datenschutzes" an der Hochschule der Polizei

VII. Der LfDI bereitet die Landkreisverwaltungen auf die Datenschutz-Grundverordnung vor

VIII. Ergebnis der Umfrage bei rheinland-pfälzischen Unternehmen zur Datenübermittlung in Staaten außerhalb der EU

IX. Neue Entwicklungen zum zulässigen Betrieb von Dashcams

X. Veranstaltungsankündigung "Neues Datenschutzrecht: Update oder Upgrade? Die Datenschutz-Grundverordnung unter der Lupe“ im April 2018 im Landesmuseum Mainz


Aktuelles

Souveränität in der digitalen Welt – eine Illusion? Veranstaltung zum Europäischen Datenschutztag 2018

Der digitale Wandel und das steigende Aufkommen datenbasierter und datengetriebener Geschäftsmodelle führen dazu, dass vorhandene Konzepte und Mechanismen des Datenschutzes bei neuen Anforderungen gegebenenfalls neu justiert werden müssen. Anlässlich des Europäischen Datenschutztags am 28. Januar 2018 setzten sich die Teilnehmerinnen und Teilnehmer der Veranstaltung "Souveränität in der digitalen Welt – eine Illusion? Veranstaltung zum Europäischen Datenschutztag 2018" mit dem Begriff der "Digitalen Souveränität" auseinander.

Mehr Informationen finden Sie in der Pressemitteilung.

Youngdata als Datenschutz-Beitrag zur Digitalen Bildung

Staatssekretärin Heike Raab, Bevollmächtigte des Landes Rheinland-Pfalz beim Bund und für Europa, für Medien und Digitales, hat sich heute im Rahmen eines Informationsbesuchs beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), Herrn Prof. Dr. Dieter Kugelmann, über die Jugendseite www.youngdata.de und die weiteren Aktivitäten und Kooperationen im Bereich Medienbildung informiert. Als Koordinatorin des Digital-Dialogs zeigte sie sich an den vielfältigen Bildungsaktivitäten des LfDI interessiert.

Mehr Informationen finden Sie in der Pressemitteilung.

"Alle Jahre wieder – Die besten Informationsfreiheitsanfragen 2017" – Das Pressegespräch des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Wie schon in den vergangenen Jahren hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Prof. Dr. Dieter Kugelmann, die Vertreterinnen und Vertreter der Medien zu einem vorweihnachtlichen Jahresrückblick auf seine Arbeit im Bereich der Informationsfreiheit eingeladen. Neben allgemeinen Informationen zur Arbeit seiner Behörde – wie die Zahl der anhängigen Verfahren oder Initiativen zur Förderung des Rechts auf Informationszugang – stellte er die spannendsten Fragen des Jahres 2017, die zugehörigen Verfahren und Antworten vor und gab die entsprechenden Hintergrundinformationen.

Mehr Informationen finden Sie in der Pressemitteilung.

Mainzer Vorträge zum Sicherheits- und Informationsrecht: "Abhören unter Freunden – über den Grundrechtsschutz in der digitalen Welt. Konsequenzen aus dem NSA-Untersuchungsausschuss"

Im Rahmen der Veranstaltungsreihe "Mainzer Vorträge zum Sicherheits- und Informationsrecht" referierte Dr. Konstantin von Notz, MdB (Bündnis 90/Die Grünen) am Mittwoch, den 24. Januar 2018 im Zentrum Baukultur in Mainz. Der Obmann des ersten parlamentarischen Untersuchungsausschusses des 18. Bundestages berichtete von der Arbeit des Gremiums, von den damit verbundenen Herausforderungen und diskutierte im Anschluss intensiv mit den interessierten Zuhörerinnen und Zuhörern.


Informationsfreiheit

Landesbehörden sind ab 2018 zu mehr Transparenz verpflichtet

Das Landestransparenzgesetz trat am 1. Januar 2016 in Kraft. Es verpflichtet rheinland-pfälzische Landesbehörden, amtliche Informationen auf einer zentralen Internetplattform zu veröffentlichen. Auf dieser Transparenz-Plattform, die nach und nach ausgebaut wird, sind ausgewählte Informationen von allen Landesbehörden zu finden.

Das Landestransparenzgesetz sieht für die Veröffentlichung auf der Transparenz-Plattform  Übergangsfristen von zwei, drei und fünf Jahren vor. Nach Ablauf dieser Fristen muss jeweils gewährleistet sein, dass bestimmte Informationen auf der Transparenz-Plattform eingesehen werden können.

Am 1. Januar 2018, zwei Jahre nach Inkrafttreten des Landestransparenzgesetzes, endete die erste Übergangsfrist: Die Transparenz-Plattform für die obersten Landesbehörden muss nun voll funktionsfähig sein und wesentliche veröffentlichungspflichtige Informationen bereitstellen. Für die übrigen transparenzpflichtigen Stellen muss die Transparenz-Plattform nach fünf Jahren voll funktionsfähig sein.

Zu den Informationen, die ab 1. Januar 2018 von den obersten Landesbehörden  proaktiv veröffentlicht werden müssen, gehören:

  • Haushalts-, Stellen-, Organisations-, Geschäftsverteilungs- und Aktenpläne, Amtliche Statistiken und Tätigkeitsberichte,
  • Von den transparenzpflichtigen Stellen erstellte öffentliche Pläne, Zuwendungen an die öffentliche Hand ab einem Betrag von 1 000,00 EUR,
  • Die wesentlichen Unternehmensdaten von Beteiligungen des Landes an privatrechtlichen        Unternehmen,
  • Daten über die wirtschaftliche Situation der durch das Land errichteten rechtlich selbstständigen   Anstalten, rechtsfähigen Körperschaften des öffentlichen Rechts mit wirtschaftlichem Geschäftsbetrieb und Stiftungen einschließlich einer Darstellung der jährlichen Vergütungen und Nebenleistungen für die Leitungsebene.

Bisher schon wurden im Vorgriff die folgenden Informationen veröffentlicht:

  • Ministerratsbeschlüsse,
  • Berichte und Mitteilungen der Landesregierung an den Landtag,
  • In öffentlicher Sitzung gefasste Beschlüsse und
  • Geodaten.

Des Weiteren müssen Informationen, die von obersten Landesbehörden auf einen individuellen Informationsantrag  hin in elektronischer Form zugänglich gemacht wurden, ebenfalls auf die Transparenz-Pplattform eingestellt werden. Dieser Grundsatz "access for one = access for all" besagt, dass Informationen, die einmal im Rahmen eines Antragsverfahrens von einer öffentlichen Stelle geprüft und ganz oder in Teilen zugänglich gemacht wurden, allen Interessierten zugänglich gemacht werden sollen.

Ab dem 1. Januar 2019 müssen unter anderem die wesentlichen Inhalte von Verträgen mit einem Auftragswert von mehr als 20.000 EUR, von Behörden in Auftrag gegebene Gutachten und Studien sowie Zuwendungen und Förderungen ab einem Betrag von 1.000 EUR veröffentlicht werden.


Datenschutz-Grundverordnung

Neue Kurzpapiere der DSK zur Datenschutz-Grundverordnung

Wie bereits mehrfach berichtet, unterstützt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Verantwortlichen bei der Umsetzung der europäischen Datenschutzreform. Unter anderem veröffentlicht sie sogenannte Kurzpapiere, die als Orientierung dienen und Hinweise für den praktischen Vollzug der Datenschutz-Grundverordnung liefern sollen. Zwischenzeitlich hat die DSK vier neue Kurzpapiere veröffentlicht.

Das Kurzpapier Nr. 12 "Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern" enthält Erläuterungen zu der Benennung, der Stellung und den Aufgaben der Datenschutzbeauftragten nach der Datenschutz-Grundverordnung. Bereits bislang hatten sowohl Unternehmen bzw. sonstige private Stellen als auch öffentliche Stellen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten zu bestellen. Wer bisher einen Datenschutzbeauftragten bestellen musste, wird in aller Regel auch zukünftig einen solchen benennen müssen. Die Benennungspflicht wird aber künftig in einigen Bereichen etwas weitgehender sein: insbesondere haben nach der Datenschutz-Grundverordnung alle öffentlichen Stellen – unabhängig vom Vorliegen weiterer Voraussetzungen – einen Datenschutzbeauftragten zu benennen. Der Datenschutzbeauftragte wird auch künftig eine herausgehobene Stellung haben – er wird weisungsfrei sein und wegen der Erfüllung seiner Aufgaben als Datenschutzbeauftragter nicht benachteiligt werden dürfen. Das gesetzlich vorgegebene Aufgabenspektrum des Datenschutzbeauftragten wird künftig sehr vielfältig sein: von der Beratung hin zu Überwachungsaufgaben und hin zur Zusammenarbeit mit der Aufsichtsbehörde.

In dem Kurzpapier Nr. 13 "Auftragsverarbeitung, Art. 28 DS-GVO" wird die Nachfolgerin der bisherigen Auftragsdatenverarbeitung, die sog. Auftragsverarbeitung, thematisiert. Neben der Erläuterung des Begriffs des Auftragsverarbeiters enthält das Kurzpapier unter anderem Hinweise zu den Pflichten des Verantwortlichen und des Auftragsverarbeiters im Zusammenhang mit der Auftragsverarbeitung und benennt Fälle, in denen regelmäßig eine Auftragsverarbeitung anzunehmen ist.

Im Kurzpapier Nr. 14 "Beschäftigtendatenschutz" wird ein Thema aufbereitet, das aufgrund einer Öffnungsklausel in der Datenschutz-Grundverordnung weiterhin erheblich durch nationale Regelungen geprägt sein wird. Aufgrund dessen beschäftigt sich das Kurzpapier vorwiegend mit der Regelung des § 26 BDSG-neu. Da sich der Beschäftigtendatenschutz daneben aber auch nach den allgemeinen Regelungen der Datenschutz-Grundverordnung richten wird, enthält das Kurzpapier auch Erläuterungen zur Anwendbarkeit der Datenschutz-Grundverordnung in diesem Kontext.

Mit dem Kurzpapier Nr. 15 "Videoüberwachung nach der Datenschutz-Grundverordnung" wird ein Thema mit erheblicher praktischer Relevanz näher beleuchtet. Nach der Klärung der Frage nach den einschlägigen Regelungen der Datenschutz-Grundverordnung für eine Videoüberwachung werden in dem Kurzpapier die zukünftigen formellen und materiellen Anforderungen für den Einsatz einer Videoüberwachung dargelegt.

Nähere Informationen können Sie dem Internetangebot des LfDI entnehmen.


Gesundheit

Follow-up: Digitalisierung im Gesundheitsbereich

Auf Initiative des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) hat sich im Dezember 2017 eine Arbeitsgruppe des Arbeitskreises Gesundheit und Soziales der DSK zur Digitalisierung im Gesundheitswesen konstituiert. Vorrangiges Ziel ist es, eine gemeinsame Strategie der staatlichen Datenschutzaufsichtsbehörden im Umgang mit den vielfältigen Digitalisierungslösungen im Gesundheitsbereich zu entwickeln. Zugleich sollen konkrete Anforderungen zur Sicherstellung des Datenschutzes in einzelnen Anwendungsszenarien wie z.B. bei Gesundheits-Apps oder der elektronischen Patientenakte formuliert werden. Erste Ergebnisse sollen 2018 vorliegen. In diesem Zusammenhang wird der LfDI seine Zusammenarbeit mit der Landesärztekammer Rheinland-Pfalz deutlich ausweiten.

Weiterhin beteiligte sich der LfDI im Dezember 2017 zum ersten Mal an der Ausbildung von Medizinern im Zusammenhang mit dem an der Universitätsmedizin Mainz entwickelten "Curriculum 4.0 Medizin im digitalen Zeitalter". Das bundesweit vielbeachtete und ausgezeichnete Projekt hat das Ziel, künftigen Ärzten die für einen Einsatz der neuen Kommunikations- und Kooperationsformen notwendigen zusätzlichen Kompetenzen und Qualifikationen zu vermitteln. Diesen Ansatz unterstützt der LfDI ausdrücklich. Denn für einen angemessenen Schutz von Patientendaten spielen auch im digitalen Zeitalter die Ärzte eine entscheidende Rolle, so dass deren Sensibilisierung und Weiterbildung von entscheidender Bedeutung ist. Eine künftige Beteiligung des LfDI an dem Curriculum ist dankenswerterweise sichergestellt.

Schließlich wird mit der Ende 2017 veröffentlichten Stellungnahme des Deutschen Ethikrats zum Thema "Big Data und Gesundheit – Datensouveränität als informationelle Freiheitsgestaltung" letztendlich eine gesamtgesellschaftliche Auseinandersetzung mit der Digitalisierung im Gesundheitswesen gefordert. Ob und ggf. in welcher Weise dabei das Datenschutzrecht – wie verlangt – weiterentwickelt oder neu gestaltet werden muss, wird sich zeigen. Der LfDI ist bereit, sich an dem Prozess einer gemeinsamen Konzeption von Big Data im Gesundheitsbereich und darüber hinaus zu beteiligen.


Informationsfreiheit

Gutachten des wissenschaftlichen Dienstes für alle! Entscheidung des Verwaltungsgerichts Mainz klärt einige Grundregeln für den Ausbau der Transparenz in Rheinland-Pfalz

Das Landestransparenzgesetz Rheinland-Pfalz gilt auch für den Zugang zu Gutachten des wissenschaftlichen Dienstes des Landtags Rheinland-Pfalz. Diese Entscheidung hat das Verwaltungsgericht Mainz unlängst in einem Urteil (4K 147/17.MZ) getroffen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Prof. Dr. Dieter Kugelmann, begrüßt diese Entscheidung: "Wissenschaftliche Dienste sind die Denkfabriken der Parlamente in Bund und Ländern. Ihre Ausarbeitungen zeichnen sich durch ihre Qualität und das hohe Maß an gesellschaftlicher und politischer Relevanz der bearbeiteten Fragen aus. Dieses Wissen allen Interessierten so weit als irgend möglich zugänglich zu machen, ist ein bedeutender Schritt zu mehr Transparenz und Teilhabe. Daher hoffe ich, dass die Entscheidung Bestand hat."

Der Landtag Rheinland-Pfalz hat angekündigt, die Zulassung der Berufung durch das Oberverwaltungsgericht Rheinland-Pfalz zu beantragen. Es bleibt also abzuwarten, ob und wie die nächste Instanz entscheiden wird.

Die Gutachten des wissenschaftlichen Dienstes müssen aufgrund des Gesetzeswortlauts nicht proaktiv auf der Transparenz-Plattform publiziert werden. Dies kann aber freiwillig erfolgen. Nach dem seit dem 1. Januar 2018 anwendbaren Grundsatz "access for one – access for all" sind zudem Gutachten, die aufgrund eines Antrags im Einzelfall elektronisch zugänglich gemacht werden, auch verpflichtend auf der Transparenz-Plattform zu veröffentlichen.

Wie groß das Interesse an der Expertise wissenschaftlicher Dienste ist, zeigt die Reaktion auf eine Entscheidung des Bundesverwaltungsgerichts. Dieses hatte im Juni 2015 (BVerwG 7 C 1.14 und 7 C 2.14) entschieden, dass die Bundestagsverwaltung Zugang zu den Ausarbeitungen der wissenschaftlichen Dienste gewähren muss. Die Organisation abgeordnetenwatch.de hatte im Jahr 2016 eine Liste der Ausarbeitungen des Wissenschaftlichen Dienstes zwischen 2005 und 2015 veröffentlicht. Das Bundesverwaltungsgericht entschied, dass der Deutsche Bundestag, soweit es um Gutachten und sonstige Zuarbeiten der Wissenschaftlichen Dienste geht, eine informationspflichtige Behörde ist und das Urheberrecht weder der Einsicht in diese Unterlagen noch der Anfertigung einer Kopie entgegensteht. Innerhalb einer Woche wurden an den Deutschen Bundestag 1.100 Anfragen nach Gutachten gerichtet. Dieser hat auf die große Nachfrage reagiert und stellt nun unter https://www.bundestag.de/ausarbeitungen Fachinformationen und Analysen in einer frei zugänglichen Datenbank online.


Medien/Sicherheit

Bericht zum "Tag des Datenschutzes" an der Hochschule der Polizei Rheinland-Pfalz

Am 4. Januar 2018 fand der 4. Tag des Datenschutzes an der Hochschule der Polizei Rheinland-Pfalz statt. Auf Einladung der Hochschulleitung gestalteten Mitarbeiter des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) den Informationstag für die Studierenden mit der Durchführung von Workshops zum wiederholten Mal mit.

Ca. 400 Polizeibeamtinnen und -beamte verfolgten den Einführungsvortrag von Prof. Dr. Dieter Kugelmann, der besonders die globale Dimension des Datenschutzes unter dem Aspekt der polizeilichen Aufgabenzuweisung in einen rechtlichen Kontext brachte. Im Anschluss wurde den Studierenden in insgesamt acht Workshops die Gelegenheit gegeben, sich mit verschiedenen datenschutzrechtlichen Themen auseinanderzusetzen, die auch die Aktualität und den hohen Stellenwert im täglichen Berufsalltag widerspiegeln. Einen ergänzenden Schwerpunkt dieses Hochschulgesprächstages bildeten die Themen Informationsfreiheit und Datentransparenz, auf deren gesetzlicher Grundlage öffentliches Verwaltungshandeln für Bürger transparenter und nachvollziehbar gemacht wird.

Einen Abschluss fand der Tag des Datenschutzes mit einer Podiumsdiskussion, an der sich auch ein Student beteiligte. Er vertrat die Position der Studierenden, die in der Regel einen sehr liberalen Umgang mit persönlichen Daten gewohnt sind und in ihrer neuen Rolle als Funktionsträger zum ersten Mal mit Fragen des Datenschutzes konfrontiert werden.

Weitere Informationen und die Pressemitteilung dazu finden sie hier.


Datenschutz-Grundverordnung/Kommunales

Der LfDI bereitet die Landkreisverwaltungen auf die Datenschutz-Grundverordnung vor

Am 18. Januar 2018 fand die Tagung der Büroleiter der Kreisverwaltungen Rheinland-Pfalz beim Landkreistag in Mainz statt. Im Rahmen der Tagung informierte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) über den bevorstehenden Wechsel zur Datenschutz-Grundverordnung (DS-GVO) und über Maßnahmen, die von den Kreisverwaltungen in diesem Zusammenhang umgesetzt werden müssen.

Zu den grundlegendsten Maßnahmen gehört es, einen behördlichen Datenschutzbeauftragten/eine behördliche Datenschutzbeauftragte, der/die auch nach alter Rechtslage schon bestellt sein musste, mit ausreichenden Ressourcen zu versorgen und seine/ihre Stellung in der Behörde an die neue Rechtslage anzupassen. Weiterhin müssen die – ebenfalls nach alter Rechtslage bereits erforderlichen Verarbeitungsverzeichnisse – an die Vorgaben der DS-GVO angepasst werden. Hierbei sollten auch die eigenen Verarbeitungsverfahren und Verarbeitungen bewertet werden, sowohl im Hinblick darauf, ob für sie eine Rechtsgrundlage besteht und im Hinblick darauf, welches Risiko von ihnen für die Rechte der betroffenen Personen ausgeht. Diese Risikobewertung ist für gleich mehrere weitere Pflichten die Grundlage, um adäquate Datenschutzmaßnahmen zu planen und umzusetzen, namentlich für den Datenschutz durch Technik, die Sicherheit der Verarbeitung und für Datenschutz-Folgenabschätzungen. Bestehende Einwilligungen und Verträge zur Auftragsverarbeitung müssen überprüft und gegebenenfalls an die neue Rechtslage angepasst werden. Überdies sollten Leitlinien für den Datenschutz in der Behörde erarbeitet oder an die neue Rechtslage angepasst sowie regelmäßige Datenschutzschulungen für Mitarbeiter geplant und durchgeführt werden.

Diese und weitere Maßnahmen sollten von den Verantwortlichen und den bei ihnen zuständigen Personen proaktiv und nicht erst ab dem 25. Mai 2018, sondern jetzt, in Angriff genommen werden. Um alle Maßnahmen vollständig, adäquat und nachhaltig zu implementieren, wird es besonders wichtig sein, ein Datenschutzmanagement einzurichten und zu betreiben, das den Datenschutz systematisch plant, umsetzt, überwacht und fortlaufend aktualisiert. Die DS-GVO nimmt insofern die Verantwortlichen selbst, nicht nur ihre behördlichen Datenschutzbeauftragten, ausdrücklich in die Pflicht, ihrer Verantwortung für die Einhaltung der Datenschutzregeln in dieser prozessorientierten Weise nachzukommen.

Der LfDI hat insbesondere im Rahmen seines "Kommunalprojekts" schon in den letzten beiden Jahren darauf hingewirkt, die Kommunalverwaltungen im Bereich Datenschutz zu fördern und im Hinblick auf die kommende DS-GVO möglichst gut vorzubereiten, z.B. durch die Entwicklung von "Best-Practice-Empfehlungen zum Datenschutz in der Kommunalverwaltung". Auch weiterhin steht er bei der Umsetzung der notwendigen Maßnahmen und Prozesse für die Kreisverwaltungen und andere Zweige der Verwaltung in Rheinland-Pfalz als Ansprechpartner beratend zur Verfügung.

Weitere Informationen finden sich insbesondere auch im Internet-Angebot des LfDI:

Fragen zur DS-GVO

Datenschutzbeauftragter und Datenschutz-Management

Materialien aus dem Kommunalprojekt, inkl. Best Practice-Empfehlungen


Internationaler Datentransfer

Ergebnis der Umfrage bei rheinland-pfälzischen Unternehmen zur Datenübermittlung in Staaten außerhalb der EU

Das Ergebnis der Ende 2016 durchgeführten Umfrage des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) bringt die zunehmende Globalisierung privatwirtschaftlicher Geschäftsprozesse zum Ausdruck, die weit in den Mittelstand hineinreicht. Gut die Hälfte der befragten Unternehmen übermittelt Daten in die USA und andere Staaten außerhalb der Europäischen Union. Dabei wird kein Kontinent ausgespart. Die Zwecke der Datenübermittlung könnten vielfältiger nicht sein, darunter Fernwartung, Verwendung außereuropäischer Kommunikationsdienste oder Cloud-Speicherlösungen, ausgelagertes Personal-Recruiting oder Reisemanagement.

Alle der zur Verfügung stehenden rechtlichen Instrumente für die Datenübermittlung in Drittstaaten werden von den Unternehmen genutzt. Von über 60 % der befragten Unternehmen werden die von der Europäischen Kommission erlassenen Standardvertragsklauseln verwendet. Sie galten bislang als geeignete Garantie für ein angemessenes Schutzniveau, werden aber auf Vorlage des irischen High Court vom Oktober letzten Jahres nun einer rechtlichen Überprüfung durch den Europäischen Gerichtshof unterzogen. Betroffene Unternehmen sollten die rechtlichen Entwicklungen aufmerksam verfolgen.

Das gleiche gilt für Unternehmen, die als Grundlage für die Datenübermittlung in die USA den EU-US-Privacy Shield nutzen, wie fast ein Drittel der befragten Unternehmen mit Datenexporten in die USA. Zwar erklärte die EU-Kommission nach Abschluss ihrer ersten jährlichen Überprüfung, dass der Privacy Shield – abgesehen von punktuellem Nachbesserungsbedarf – ein angemessenes Datenschutzniveau gewährleiste. Die europäischen Datenschutzaufsichtsbehörden äußern jedoch in ihrem Bericht und in der Presseerklärung vom Dezember letzten Jahres erhebliche Bedenken und haben sich, sollten diese nicht durch entsprechende Änderungen ausgeräumt werden, rechtliche Schritte vorbehalten.

Weitere Informationen zum Ergebnis der Umfrage sind demnächst auf der Website des LfDI abrufbar.


Sicherheit/Videoüberwachung

Neue Entwicklungen zum zulässigen Betrieb von Dashcams

Immer mehr Kraftfahrzeuge sind heutzutage mit Dashcams ausgestattet. Die Aufnahmen dieser auf dem Armaturenbrett oder an der Windschutzscheibe installierten Kameras dienen in der Regel Beweiszwecken zur Klärung von Haftungsfragen und zur Schadensregulierung. Häufig erfolgt der Einsatz schranken- und anlasslos. Dies ist jedoch datenschutzrechtlich unzulässig.

Die Voraussetzungen des § 6b BDSG sind in aller Regel nicht erfüllt, da die schutzwürdigen Interessen der betroffenen Verkehrsteilnehmer überwiegen. Das informationelle Selbstbestimmungsrecht umfasst das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. Dashcams zeichnen in der Regel den Verkehr sowie Personen, die sich in der Nähe einer Straße aufhalten, ohne Anlass und permanent auf, so dass eine Vielzahl von Verkehrsteilnehmern betroffen ist. Diese werden sämtlich unter einen Generalverdacht gestellt, ohne dass sie von der Überwachung Kenntnis erlangen oder sich dieser entziehen können. Das Interesse des Autofahrers, für den eher theoretischen Fall eines Verkehrsunfalls Videoaufnahmen als Beweismittel zur Hand zu haben, kann diesen gravierenden Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer nicht rechtfertigen. Die Hinweispflicht nach § 6b Abs. 2 BDSG wird beim Einsatz von Dashcams ebenfalls in der Regel nicht erfüllt.

Auf Hard- und Softwareseite (Stichworte "privacy by design" und "privacy by default") zeichnen sich neuerdings Lösungen ab, mit denen die Intensität des Eingriffs in das Recht auf informationelle Selbstbestimmung der Verkehrsteilnehmer deutlich verringert werden kann und somit der Einsatz von Dashcams im Einzelfall datenschutzrechtlich hinnehmbar sein kann. So sollte die Dashcam über die technische Möglichkeit verfügen, lediglich anlassbezogen bei einem Aufprall aufzuzeichnen. Ferner sollte sich der interne Speicher in einem Schleifenmodus mit einer konfigurierten Aufnahmedauer und Zwischenspeicherung von max. 30 – 60 Sekunden automatisch überschreiben.

Bei einer derartigen Funktionsweise ist im Rahmen der Interessenabwägung gem. § 6b Abs. 1 BDSG ein tatsächliches und nicht ein potentielles Interesse der Verantwortlichen an der Beweissicherung des Unfallgeschehens in die Abwägungsentscheidung einzubeziehen und gegenüber den Interessen der betroffenen Personen, die in einem vergleichsweise geringfügigeren Umfang erfasst werden, abzuwägen. Die Interessenabwägung kann bei einer solchen anlassbezogenen und somit konkreteren Nutzung der Kamera dahingehend ausfallen, dass die berechtigten Interessen des Dashcambetreibers die der betroffenen Personen überwiegen. Jedoch entbindet dies die Betreiber als Verantwortliche nicht davon, weitere datenschutzrechtliche Vorgaben einzuhalten, wie Löschverpflichtungen, das Vorsehen von technischen und organisatorischen Maßnahmen sowie die Sicherstellung der Hinweispflicht nach § 6b Abs. 2 BDSG. In diesem Zusammenhang sei auch auf die künftig steigenden Verantwortlichkeiten der Dashcambetreiber durch die Anforderungen der Datenschutz-Grundverordnung verwiesen.

Näheres zur datenschutzfreundlichen Einstellung von Dashcams finden Sie hier.


Veranstaltungen

Veranstaltungsankündigung: "Neues Datenschutzrecht: Update oder Upgrade? Die Datenschutz-Grundverordnung unter der Lupe" am Montag, 16. April 2018, 18:00 bis 20:00 Uhr in Mainz

Ab dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung. Das neue Regelwerk ist das Ergebnis eines langwierigen politischen Verhandlungsprozesses. Die Verordnung wird das deutsche Datenschutzrecht erheblich verändern. Nicht nur den Verbraucherinnen und Verbrauchern, sondern auch den Unternehmen und Behörden stellen sich bei der Anwendung der neuen Regeln ganz neue Herausforderungen.

Das neue Datenschutzrecht verspricht, modern und flexibel zu sein. Ist es angesichts der rasanten Entwicklungen bei der künstlichen Intelligenz und den neuartigen Geschäftsmodellen vielleicht sogar schon veraltet? Wie setzen die Unternehmen die neuen Rechte in der Praxis um? Sind Verbraucherinnen und Verbraucher tatsächlich besser geschützt? Bestehen noch Lücken?

In Kooperation mit der Verbraucherzentrale Rheinland-Pfalz lädt der LfDI Sie ein zu einer Veranstaltung, in deren Rahmen die neuen Datenschutzrechte unter die Lupe genommen werden. Kontrovers diskutieren werden unter anderem Per Meyerdierks, Senior Privacy Counsel von Google Germany, Tabea Rößner, Sprecherin für Medien, Kreativwirtschaft und digitale Infrastruktur der Bundestagsfraktion von Bündnis 90/Die Grünen, und Klaus Müller, Vorstand des Bundesverbands der Verbraucherzentralen.

Bitte merken Sie sich diesen Termin vor. Weitere Informationen finden Sie in Kürze in dem Internetangebot des LfDI.


Newsletterarchiv

Die bisherigen Newsletter des LfDI finden Sie hier.