LfDI-Newsletter Nr. 1 - 2019

Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,

der Newsletter des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz wird nun zwei Jahre alt und das neue Jahr 2019 verleiht erfrischenden Schwung, sich mit Engagement der Auslegung der Datenschutz-Grundverordnung (DS-GVO) und den eingehenden Beschwerden von Bürgerinnen und Bürgern zu widmen.

Das Datenhack eines Schülers über Prominente und Politiker zog Datenschutzexperten direkt aus der Weihnachtspause zurück an den Schreibtisch. Denn der Vorfall verdeutlicht, wie wichtig der sensible Umgang mit personenbezogenen Daten im Netz ist und dass man auch selbst Vorsichtsmaßnahmen treffen muss, wie zum Beispiel die Vergabe guter Passwörter oder Verschlüsselung. Genau deshalb sensibilisieren wir regelmäßig die unterschiedlichsten Berufs- und Gesellschaftsgruppen, z.B. berieten wir kürzlich Schulen und Polizeibehörden in Bezug auf den rechtlichen Rahmen der Datenschutz-Grundverordnung. Auch die Tatsache, dass wir den datenschutzrelevanten Film „LOMO“ im CineMayence zeigten und ich danach dem Publikum für Fragen zur Verfügung stand, zeigt unser Bemühen, auch einem jüngeren Publikum Datenschutzbewusstsein auf den Weg zu geben.

Neben dem Datenhack versetzte auch das Votum gegen das zwischen EU und Vereinigtem Königreich (UK) ausgehandelte Brexit-Abkommen die Datenschutzwelt in Unbehaglichkeit, da UK künftig als Drittland ohne Angemessenheitsbeschluss zu betrachten sein könnte und nun innerhalb kürzester Zeit zusätzliche Schutzmaßnahmen gemäß der Datenschutz-Grundverordnung getroffen werden müssen.

Zum Thema „Künstliche Intelligenz“ (KI) der Datenschutzkonferenz (DSK) 2019 referierte ich beim Datenschutztag von Boehringer Ingelheim über die politischen Bemühungen zur Aufklärung von KI und die rechtlichen Voraussetzung für deren Einsatz.

Ich wünsche Ihnen ein spannendes und ertragreiches Lesevergnügen.

Ihr Prof. Dr. Dieter Kugelmann (LfDI)


Inhaltsverzeichnis

I. Das „Datenhack“ im Januar 2019 und seine Konsequenzen

II. Aktuelles zum Brexit

III. Aktuelles zum EU-U.S. Privacy Shield

IV. LfDI unterstützt die Fortbildung der Datenschutzbeauftragten der rheinland-pfälzischen Polizeibehörden

V. Teach! – Datenschutz meets Schule

VI. „Best of Informationsfreiheit“ 2018

VII. Kooperationsveranstaltung „Außer Balance? Das Verhältnis von Freiheit und Sicherheit im deutschen Polizeirecht“ am 24. Januar 2019

VIII. Filmvorstellung „LOMO“ – im Rahmen der Veranstaltungsreihe „Datenschutz goes Kino“ am 30.01.2019

IX. Datenschutztag zum Thema „Künstliche Intelligenz“ am 31.01.2019 bei Boehringer Ingelheim


Aktuelles

Das „Datenhack“ im Januar 2019 und seine Konsequenzen

Der Polit-Hack, bei dem ein Schüler Daten von Politikern und Personen des öffentlichen Lebens im Netz veröffentlicht hat, betrifft auch Rheinland-Pfalz und Politiker und Prominente, darunter fast 45 Landtagsabgeordnete. Zwar scheint der Täter ermittelt und bestätigt – jedoch wurden die personenbezogenen Daten dermaßen im Netz veröffentlicht, sodass deren vollkommene Einsammlung nur schwer durchführbar ist.

Mit diesem Vorfall wird die essentielle Bedeutung des Datenschutzes sowie der Datensicherheit für die moderne Demokratie ebenso verdeutlicht, wie die Notwendigkeit, auf eine solch unbefugte Verbreitung von personenbezogenen Daten vorbereitet zu sein und dann effektiv zu reagieren.

Deshalb hebt der LfDI, Prof. Dr. Dieter Kugelmann, die Notwendigkeit des Selbstdatenschutzes hervor: „Jede und jeder muss sich bewusst machen, dass die alltägliche Kommunikation unter Nutzung moderner Kommunikationsmittel eine gewisse Aufmerksamkeit erfordert, weil man auf Anbieter von Diensten und technische Infrastrukturen angewiesen ist“, so Kugelmann. „Hält man sich aber an einige Grundregeln wie die Datensparsamkeit und trifft Vorkehrungen etwa zur Verschlüsselung und Sorgfalt bei der Wahl von Passworten, gibt es keinen Grund, sich in der freien Kommunikation als zentralem Element der Demokratie beirren zu lassen.“

Unmittelbar nach Bekanntwerden des Vorfalls beriet der LfDI Rheinland-Pfalz die rheinland-pfälzischen betroffenen Personen und stand der Presse Rede und Antwort.

Mit Blick auf die Konsequenzen prüft der LfDI Rheinland-Pfalz im Rahmen seiner Zuständigkeiten und in Kooperation mit anderen Behörden, ob und wie zeitnah eine Löschung oder zumindest Sperrung der Daten herbeigeführt werden kann. Da die Daten teils im außereuropäischen Ausland abgelegt und bereits gespiegelt sind, ist internationale Zusammenarbeit gefragt. Zudem prüft der LfDI, inwieweit die Strafbestimmungen der Datenschutzgesetze greifen.

Weitere Informationen zum LfDI und dem Hack finden Sie hier.


Internationales

Aktuelles zum Brexit

Die Verhandlungen zwischen der Europäischen Kommission und der britischen Regierung rund um den Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU) sind gescheitert. Übergangslösungen wird es voraussichtlich nicht geben. Damit ist klar, dass das UK wie ein „gewöhnliches“ Drittland im Sinne der Datenschutz-Grundverordnung zu behandeln ist – mit allen Konsequenzen. Alle öffentlichen und nicht-öffentlichen verantwortlichen Stellen und alle Auftragsverarbeiter, die personenbezogene Daten aus einem Mitgliedstaat der EU in das UK übermitteln, müssen sich spätestens jetzt auf den Brexit vorbereiten, um die Einhaltung des Datenschutzrechts auch nach dem 29. März 2019 gewährleisten zu können.

An Vorschriften für die Datenübermittlung in Drittländer sind insbesondere die folgenden zu berücksichtigen, die einen mal mehr und mal weniger großen Umsetzungsaufwand für die betroffenen Stellen bedeuten:

1.    Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.

2.    Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Datenübermittlung in Drittländer zu beauskunften.

3.    Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.

4.    Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DS-GVO).

5.    Es sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn nicht Ausnahmetatbestände greifen. Kurz gesagt ist Kapitel V DS-GVO (Art. 44 ff. DS-GVO) anzuwenden.

Insbesondere für die Umsetzung des letzten Punktes ist die Zeit nun äußerst knapp. Gelingt sie nicht rechtzeitig, dann liegt in jeder Datenübermittlung in das UK ein Verstoß gegen Art. 5 Abs. 1 lit. a in Verbindung mit Art. 44 DS-GVO, der durch die zuständige Datenschutzaufsichtsbehörde mit der Ausübung von Befugnissen bis hin zur Verhängung von Geldbußen geahndet werden kann. Die Aufsichtsbehörden loten noch mögliche Übergangslösungen aus. Faktisch bietet die Datenschutz-Grundverordnung jedoch keinen Spielraum.
 
Mehr Informationen zum Brexit


Internationales

Aktuelles zum EU-U.S. Privacy Shield

Die Europäische Kommission hat ihren Bericht über das Ergebnis der zweiten jährlichen Überprüfung des EU-U.S. Privacy Shield veröffentlicht. Er fällt positiver aus, als manch einer vermutet hätte und erkennt weiterhin das Bestehen eines angemessenen Datenschutzniveaus an. Allerdings setzt die EU-Kommission der US-Regierung auch eine klare Frist. Bis zum 28. Februar 2019 soll eine ständige Ombudsperson benannt sein, die an die Stelle der amtierenden tritt. Eine Nominierung ist zwischenzeitlich erfolgt. Sollte die tatsächliche Ernennung nicht rechtzeitig vollzogen sein, werde die Kommission von den in der Datenschutz-Grundverordnung verankerten Maßnahmen Gebrauch machen. Dies kann z.B. den Widerruf, die Änderung oder die Aussetzung des Angemessenheitsbeschlusses bedeuten.

Die Überprüfung fand am 18. und 19. Oktober 2018 in Brüssel statt. Dabei wurden insbesondere die bereits ein Jahr zuvor identifizierten Schwächen der Umsetzung des Privacy Shield ins Visier genommen. Die amerikanischen Behörden haben eine Reihe der Forderungen der EU-Kommission umgesetzt bzw. in die Wege geleitet – wenn auch teilweise erst kurz vor dem Treffen. Die Kommission bemängelt jedoch nach wie vor die Umsetzung von nun noch sechs der ursprünglich zehn Kritikpunkte. Sie betreffen:

1. die Effektivität der Kontrollmechanismen gegenüber zertifizierten Unternehmen,
2. die Effektivität der Aufdeckung von Unternehmen oder Organisationen, die fälschlicherweise vorgeben, Privacy Shield-zertifiziert zu sein,
3. den Fortschritt bei der Aufdeckung von Verstößen gegen das Privacy Shield,
4. die Beteiligung an der Klärung mehrdeutiger Rechtsbegriffe,
5. die Benennung einer dauerhaften Ombudsperson,
6. die Effektivität und Verschaffung von Abhilfe im Wege von Beschwerdeverfahren vor der Ombudsperson.

Ein weiterer entscheidender Aspekt im Vorfeld der zweiten Überprüfung des Privacy Shield war im Zusammenhang mit der Berücksichtigung der datenschutzrechtlichen Vorgaben durch US-Nachrichtendienste die Wiederinkraftsetzung des Abschnitts 702 des Foreign Intelligence Surveillance Act Anfang 2018. Die Kommission hat in ihrem Bericht befunden, dass letztlich die datenschutzfreundliche Presidential Policy Directive 28 davon unberührt blieb und die Befugnisse der U.S. Intelligence Community zur Beschaffung nachrichtendienstlicher Informationen durch Abhörmaßnahmen gegenüber Nicht-U.S.-Bürgern dadurch nicht erweitert wurden.

Begleitend zum Bericht der EU-Kommission zur zweiten jährlichen Überprüfung des Privacy Shield wurde ein ausführlicheres Arbeitspapier der Kommissiondienststellen veröffentlicht. Die Stellungnahme der Vertreter der europäischen Datenschutzaufsichtsbehörden zum Ergebnis der Überprüfung steht noch aus.


Polizei

LfDI unterstützt die Fortbildung der Datenschutzbeauftragten der rheinland-pfälzischen Polizeibehörden

Der LfDI Rheinland-Pfalz unterstützte mit zwei Referenten zu den Themen „Datenschutz-Folgeabschätzung/Datenschutzverstöße“ und „Auftragsdatenverarbeitung“ eine zweitägige Fortbildungsveranstaltung des Innenministeriums Rheinland-Pfalz für die Datenschutzbeauftragten der Polizeipräsidien Mitte Dezember.

Dabei wurde deutlich, dass die Umsetzung des neuen Datenschutzrechts auf die Belange der rheinland-pfälzischen Polizei in den verschiedenen Bereichen des Datenschutzes, besonders auch im Rahmen der Informationspflicht bei Datenerhebungen, in der praktischen Durchführung einige Fragen aufwirft. Die Referenten standen nach Abschluss ihres Vortrags für Einzelfragen zur Verfügung. Der LfDI und das Innenministerium Rheinland-Pfalz werden zur Klärung weiterer Fragen in engem Kontakt bleiben.


Bildung

Teach! – Datenschutz meets Schule

… unter diesem Motto fand am 17. Januar 2019 die erste gemeinsame Veranstaltung des LfDI mit dem Zentrum für Lehrerbildung (ZfL) an der Johannes-Gutenberg-Universität (JGU) in Mainz statt. Einem noch kleinen aber nicht minder interessierten Teilnehmerkreis aus Lehramtsstudierenden, Referendarinnen und Referendaren, Schulleitungen und Verantwortlichen aus Studienseminaren brachten Herr Bigos, wissenschaftlicher Mitarbeiter des ZfL, und zwei Mitarbeiter des LfDI den Datenschutz an Schulen in Theorie und Praxis näher.

Themen waren unter anderem Fragestellungen im Zusammenhang mit der Nutzung privater Endgeräte zur dienstlichen Datenverarbeitung (Bring Your Own Device), die Kommunikation mit Schülerinnen und Schülern über Messengerdienste oder auch der Einsatz von Cloud-Produkten im Unterrichtsalltag.

Beleuchtet wurden dabei einerseits die rechtlichen Aspekte, die sich aus der Datenschutz-Grundverordnung ergeben, andererseits die mögliche Umsetzung dieser Anforderungen im Lehralltag, beispielsweise durch technisch-organisatorische Maßnahmen.

Aufgrund der guten Resonanz ist beabsichtigt, die Kooperation mit dem ZfL fortzusetzen und die Veranstaltung in regelmäßigen Abständen anzubieten.


Informationsfreiheit

„Best of Informationsfreiheit“ 2018

Der LfDI lud am 22. Januar 2019 zum Pressegespräch „Best of Informationsfreiheit 2018“ ein. Darin wurde der Presse eine Best-Auswahl der beim LfDI eingegangenen Informationsgesuche aus dem Jahre 2018 vorgestellt. Darunter fielen eine örtliche Feststellung im Bereich der Informationsfreiheit in Rheinland-Pfalz, ein Antrag auf UFO-Handlungskonzepte oder eine Informationsanfrage an den Verfassungsschutz Rheinland-Pfalz.

Dass Rheinland-Pfälzer und Rheinland-Pfälzerinnen immer öfter die Möglichkeit des Informationszugangs in Anspruch nehmen, zeigt sich anhand der Anzahl der Beratungsanfragen und Beschwerdeeingänge beim LfDI. Diese ist mit insgesamt 180 im Jahr 2018 im Vergleich zu 140 im Jahr 2017 erneut gestiegen. Rheinland-Pfalz liegt damit in Punkto Anfragen der Informationsfreiheit an der Spitze der Bundesländer.

Weitere Informationen finden Sie hier.


Veranstaltungen

Kooperationsveranstaltung „Außer Balance? Das Verhältnis von Freiheit und Sicherheit im deutschen Polizeirecht“ am 24. Januar 2019

Am 24. Januar 2019 fand die Kooperationsveranstaltung „Außer Balance? Das Verhältnis von Freiheit und Sicherheit im deutschen Polizeirecht“ der Reihe „Mainzer Vorträge“ zwischen der Johannes Gutenberg Universität (JGU) und dem LfDI statt. Prof. Bettina Schöndorf-Haubold beschäftigte sich mit den zugrunde liegenden Strukturen dieses Verhältnisses. Überwachungsmöglichkeiten aufgrund von anhaltenden Terrorismusgefahren wurden Freiheitseingriffen unbekannten Ausmaßes gegenübergestellt. Zudem wurde erörtert, ob die klassische Polizeirechtsdogmatik als verlässlicher Rückzugspunkt für das Verhältnis von Freiheit und Sicherheit ausgedient hat, und wer im demokratischen Rechtsstaat für die Austarierung des Verhältnisses von Freiheitsrechten und Sicherheitsgewährleistung zuständig ist.

Weitere Informationen zu den „Mainzer Vorträgen“ finden Sie hier.


Veranstaltungen

Filmvorstellung „LOMO“ – im Rahmen der Veranstaltungsreihe „Datenschutz goes Kino“ am 30. Januar 2019

Am 30. Januar 2019 zeigte der LfDI um 20.30 Uhr im CineMayence den Film „LOMO“, welcher die Preisgabe von höchstpersönlichen Informationen im Internet durch Jugendliche thematisiert.
Bei dem Film handelt es sich konkret darum, dass ein Schüler persönliche Aufnahmen seines Familien- und Privatlebens relativ unbekümmert und ohne Einwilligung der betroffenen Personen ins Internet postet. Diese unüberlegte Veröffentlichung scheint sein ganzes Leben auf den Kopf zu stellen und veranlasst seine Follower dazu, sich in sein privates Leben einzuschleichen, was brisante Folgen hat.

Der Film unterstreicht die Notwendigkeit zur Vorsicht mit dem Umgang personenbezogener Daten im Netz, worauf Prof. Dr. Kugelmann in einer anschließenden Diskussion mit dem Publikum ausdrücklich hinwies. Für Jugendliche scheint das Internet ein Refugium der Anonymität, welches es auf den zweiten Blick aufgrund der Menge und der Kombinierbarkeit der Daten aber keines Falls ist. Zugleich zeigt der Film, dass eine strikte Trennung der analogen von der digitalen Welt von vielen Jugendlichen nicht mehr vorgenommen wird.

Weitere Informationen zum Film finden Sie hier.


Veranstaltungen

Datenschutztag zum Thema Künstlichen Intelligenz am 31. Januar 2019 bei Boehringer Ingelheim

Anlässlich des Europäischen Datenschutztages am 28.01.2019 fand vor 350 anwesenden Teilnehmern und über 1000 Livestream Nutzern am 31. Januar 2019 eine Informationsveranstaltung zum Thema KI bei Boehringer Ingelheim statt, bei der der LfDI die politischen Bemühungen (u.a. der Bundesregierung, des Bundestages, der Europäischen Kommission, der Internationalen Datenschutzkonferenz „ICDPPC“ und anderer europäischer Datenschutzbehörden) skizzierte und den datenschutzrechtlichen Rahmen für die KI (Transparenz, Verantwortung, Gewährleistung der Betroffenenrechte, Zweckbindung, Vermeidung von Diskriminierung) präsentierte.

Leitende Mitarbeiter von Boehringer Ingelheim definierten und erklärten KI, nannten Beispiele der KI aus dem täglichen Leben (u.a. künstliche Sprachassistenten, Tippvorschläge von Smartphones) und präsentierten konkrete KI-Anwendungen von Boehringer Ingelheim (u.a. der „Chatbot“, der auf wiederkehrende Fragen bezüglich pharmazeutischer Produkte des Unternehmens antwortet).

Diese Vorträge gingen in eine Podiumsdiskussion mit dem Publikum über, das die interessantesten Fragen stellte, u.a.: Könnte es KI als Rechtsberatung in Form von Anwälten oder Richtern geben? Ist eine Anonymisierung bei KI überhaupt möglich? Wo sind die Grenzen der Anwendung von KI im militärischen Bereich und wer trägt hierfür die Verantwortung? Diese und weitere Fragen wurden von den Referenten und Referentinnen, u.a. dem LfDI, aus ethischer Perspektive und auf Basis der Datenschutz-Grundverordnung beantwortet und diskutiert.


Newsletterarchiv

Die bisherigen Newsletter des LfDI finden Sie hier.