LfDI-Newsletter Nr. 1 -2020

Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,

Willkommen in der Dekade 2020. Das Jahrzehnt fängt für den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) bereits produktiv und innovativ an.

In der Jahres-Pressekonferenz Best of Informationsfreiheit konnte der LfDI Anfang Januar zeigen, dass die Informationsfreiheit und Transparenz weiterhin ein wichtiges Thema für die Verwaltungen und besonders die interessierten Bürgerinnen und Bürger darstellen. Im Zuge dessen war er mit interessanten Anfragen befasst und stellte der Presse einige Fallszenarien vor.

Außerdem richtete der LfDI den 14. Europäischen Datenschutztag in den Räumlichkeiten der Vertretung der Europäischen Kommission in Berlin aus. Die Veranstaltung stand unter dem Titel: "Künstliche Intelligenz – Zwischen Förderung und Bändigung".

Über diese Themen und weitere wird in diesem Newsletter berichtet.

Besonders freut es mich zudem, Ihnen die erste Folge des Podcast „Datenfunk – Der Podcast des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz“ präsentieren zu können. Ein weiteres Medium, um die Öffentlichkeit und die Verantwortlichen zu Themen des Datenschutzes und der Informationsfreiheit zu informieren.

Man hört sich!

Ihr Prof. Dr. Dieter Kugelmann


Inhaltsverzeichnis

I. Aktuelles

II. 14. Europäischer Datenschutztag 2020

III. Örtliche Datenschutzprüfungen in Kommunalverwaltungen des Landes Rheinland-Pfalz

IV. Hospitationen des LfDI in Europa

1. Lettland

2. Polen

V. Auskunftsanspruch in der Heilbehandlung

VI. Best of Informationsfreiheit

VII. Einbindung von Google Analytics & Co auf Webseiten

VIII. Bestellung eines Datenschutzbeauftragten jetzt erst ab 20 Personen 

IX. „Datenschutz meets Schule“ – teaching the teachers


Aktuelles

Daten Funk – Der Podcast des Landesbeauftragten für den Datenschutz und die Informationsfreiheit

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz beschreitet neben seiner Webseite und dem Newsletter ab 2020 einen weiteren Kanal, um die Bürgerinnen und Bürger, Verwaltungen und die Wirtschaft über Themen des Datenschutzes und der Informationsfreiheit zu informieren und Einblicke in sein Tätigkeitsfeld zu geben.

Mit seinem Podcast „Datenfunk“ werden Fachthemen durch die Mitarbeiterinnen und Mitarbeiter und den Landesbeauftragten selbst beleuchtet und diskutiert. Die erste Episode „Der LfDI stellt sich vor“ ist am 17.02.2020 erschienen und hier im Internetangebot des LfDI abrufbar.

Viel Spaß beim Reinhören!


Datenschutzkonferenz

14. Europäischer Datenschutztag 2020

Systeme der Künstlichen Intelligenz (KI) stellen eine substanzielle Herausforderung für Freiheit und Demokratie dar. Entwicklungen und Anwendungen von KI müssen in demokratisch-rechtsstaatlicher Weise den Grundrechten entsprechen. Dies gilt in der Bundesrepublik Deutschland, aber selbstverständlich darüber hinaus in Europa. Diesen Fragen und dem Versuch, politische, wirtschaftliche und rechtliche Antworten zu finden, widmete sich der 14. Europäische Datenschutztag.

Nicht alles, was technisch möglich und ökonomisch erwünscht ist, darf in der Realität umgesetzt werden. Dies gilt in besonderem Maße für den Einsatz von selbstlernenden Systemen, die massenhaft Daten verarbeiten und durch automatisierte Einzelentscheidungen in Rechte und Freiheiten Betroffener eingreifen. Die Wahrung der Grundrechte ist Aufgabe aller staatlichen Instanzen. Wesentliche Rahmenbedingungen für den Einsatz von KI sind vom Gesetzgeber vorzugeben und durch die Aufsichtsbehörden zu vollziehen. Nur wenn der Grundrechtsschutz und der Datenschutz mit dem Prozess der Digitalisierung Schritt halten, ist eine Zukunft möglich, in der am Ende Menschen und nicht Maschinen über Menschen entscheiden.

Als Abschluss seines Vorsitzes der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im zurückliegenden Jahr 2019 richtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz den 14. Europäischen Datenschutztag in den Räumlichkeiten der Vertretung der Europäischen Kommission in Berlin aus. Die Veranstaltung stand unter dem Titel: "Künstliche Intelligenz – Zwischen Förderung und Bändigung".

Zur Bedeutung von KI-Lösungen und Algorithmen in Wirtschaft und Technik und den damit verbundenen Herausforderungen referierten Vertreter aus Politik, Wissenschaft, Justiz und Praxis. Damit wird das Schwerpunktthema des Vorsitzjahres 2019 weiter geführt, das auch künftig auf der Agenda der deutschen Datenschutzaufsichtsbehörden steht.

Die Beiträge der Referentinnen Prof. Dr. Birgit Stark und Prof. Dr. Katharina Zweig können Sie unter der nachfolgenden Adresse aufrufen:

Prof. Dr. Birgit Stark

Prof. Dr. Katharina Zweig

Den Vortrag von Herrn Prof. Dr. Mario Martini finden Sie hier.


Kommunales

Örtliche Datenschutzprüfungen in Kommunalverwaltungen des Landes Rheinland-Pfalz

Der LfDI ist Aufsichtsbehörde und kontrolliert in dieser Funktion die Einhaltung der Vorschriften der Datenschutz-Grundverordnung, des Bundesdatenschutzgesetzes, des Landesdatenschutzgesetzes Rheinland-Pfalz und anderer datenschutzrechtlicher Bestimmungen.

Er kann bei Verstößen gegen datenschutzrechtliche Bestimmungen unter anderem Verwarnungen aussprechen, Anweisungen verschiedener Art erteilen und dabei letztlich auch den Einsatz einzelner Verfahren gänzlich untersagen.

Um seine Aufgaben erfüllen zu können, verfügt der LfDI über verschiedene Befugnisse. Neben weiteren ihm zustehenden Untersuchungsbefugnissen kann er örtliche Kontrollen auf der Grundlage von § 16 Abs. 1 und § 17 Abs. 3 Landesdatenschutzgesetz (LDSG)  i.V.m. den Art. 57 und 58 der Datenschutz-Grundverordnung (DS-GVO) durchführen.

Im Herbst 2019 hat der LfDI mit einer umfangreichen Prüfphase von Kommunalverwaltungen begonnen. Bisher wurden drei Verbandsgemeindeverwaltungen geprüft, weitere neun Prüfungen (hierunter auch drei Kreisverwaltungen) sind für dieses Kalenderjahr bereits terminiert. Etwa vier Wochen vor einem Prüfungstermin werden die betreffenden Kommunen angeschrieben und – neben der Mitteilung des Prüfungstermins – um die Übersendung verschiedener Unterlagen gebeten.

Dies sind unter anderem:

- alle Dienstanweisungen bzw. –vereinbarungen dieser Verwaltung zum Datenschutz, wie die allgemeine Dienstanweisung über die Maßnahmen zum technischen und organisatorischen Datenschutz bzw. Dienstanweisung Datenschutz, zur Nutzung von Internet- und Intranetdiensten sowie elektronischer Post, Dienstanweisung über den automatisierten Abruf von Meldedaten (DA Abruf Meldedaten), für den Betrieb von Videoüberwachungsanlagen, zur elektronischen Zeiterfassung, zur elektronischen Zugangskontrolle

- Verzeichnis von Verarbeitungstätigkeiten

- Informationen nach Art. 13 DS-GVO

- Aufstellung der Verträge zur Auftragsdatenverarbeitung (Artikel 28 Abs. 3 DS-GVO)

- Vorlage des Muster über die Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf das Datengeheimnis (§ 8 LDSG)

- Übersicht über die eingesetzten IT-Verfahren inklusive eines Netzwerkplans

- Übersicht über die jeweiligen Verantwortlichen zu den eingesetzten IT-Verfahren inklusive der Dokumentation (Arbeitshinweis oder Dienstanweisung) der Rechtevergabe

Die bisherigen Prüfungen waren für alle Beteiligten sehr aufschlussreich. Gerade in den Vorstellungs- und Abschlussgesprächen mit der jeweiligen Behördenleitung konnten die Mitarbeiter des LfDI hilfreich beraten und individuelle Fragen beantworten und somit wirksam aufklären.

Die bisherigen Prüfungen haben deutlich gezeigt, dass große Schwierigkeiten in der Umsetzung der Datenschutz-Grundverordnung in den Bereichen des technisch-organisatorischen Datenschutzes und der Datenschutz-Folgenabschätzung liegen.

Im Ergebnis der ersten Prüfungen wird der LfDI seinen bereits eingeschlagenen Weg fortsetzen und das Beratungs- und Informationsangebot auf der Webseite aber auch im Rahmen seiner regelmäßig stattfindenden Regionaltreffen der behördlichen Datenschutzbeauftragten an den identifizierten Bedarf noch mehr anpassen.


Kooperation

Hospitationen des LfDI

Lettland

Im Zuge der Harmonisierung und Modernisierung des Datenschutzrechts in der Europäischen Union durch die Datenschutz-Grundverordnung und der daraus resultierenden und stets wichtiger werdenden Kooperation Europäischer Datenschutzaufsichtsbehörden hospitierte ein Mitarbeiter des LfDI RLP im November 2019 bei der lettischen Aufsichtsbehörde in Riga.

Ziel des Austauschs war es hierbei der jeweils anderen Aufsichtsbehörde einen Einblick in die Ressourcenverteilung, Zuständigkeiten, Priorisierung, Beschwerdebearbeitung und Sanktionierung zu ermöglichen.

Die Hospitation war ein voller Erfolg und ermöglichte beiden Seiten einen Blick in die Arbeitsweise der Kollegen und soll den Weg für eine erfolgreiche internationale Zusammenarbeit zwischen Deutschland und Lettland ebnen. Gerade im Bereich der Digitalisierung und Automatisierung von Arbeitsabläufen kann der LfDI RLP von den Erkenntnissen und Erfahrungen der lettischen Aufsichtsbehörde profitieren. Den Bericht der lettischen Aufsichtsbehörde zum internationalen Austausch finden Sie hier.

Polen

Die Europäisierung der Datenschutzaufsicht wird erleichtert, wenn man gegenseitig besser versteht, wie andere Behörden arbeiten. Der Aufenthalt des LfDI in Polen diente diesem Zweck.

Die polnische Datenschutzaufsichtsbehörde (UODO) hat seit Wirksamwerden der Datenschutz-Grundverordnung einen erheblichen Wandel durchlaufen. Nicht nur wurden über 100 neue Mitarbeiterinnen und Mitarbeiter eingestellt, auch die neuen Aufgaben stellten Herausforderungen. Nach dem alten polnischen Recht konnte die Behörde z.B. keine Bußgelder verhängen. Nun hat sie mit 200.000 Euro ein beträchtliches Bußgeld erlassen. Auch die vielfältigen weiteren Handlungsfelder der DS-GVO werden nach und nach genutzt. So konnte der LfDI einem Gespräch mit Banken und Versicherungen zur Vorbereitung von Verhaltensregeln beiwohnen.

Die sprichwörtliche polnische Gastfreundschaft bewahrheitete sich auch bei diesem Aufenthalt. Die polnischen Kolleginnen und Kollegen schilderten freundlich und nachvollziehbar ihre Arbeitsweise und ihre Vorstellungen. Besonderes Augenmerk wurde auf die Kooperation auf europäischer Ebene, insbesondere im Europäischen Datenschutzausschuss gelegt. Die Erläuterungen zu den Tätigkeiten des LfDI stießen auf großes Interesse. Die Erkenntnisse der Aufenthalte bei anderen Behörden werden in der Behörde des LfDI RP vorgestellt. Damit ist das verfolgte Ziel des Austausches und des Kennenlernens erreicht worden.


Gesundheit

Auskunftsanspruch in der Heilbehandlung

Nach Wirksamwerden der Datenschutz-Grundverordnung im Mai 2018 wurde verstärkt die Frage aufgeworfen, ob sich der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DS-GVO im Rahmen der Heilbehandlung auch auf die Bereitstellung einer vollständigen Kopie der Behandlungsdokumentation erstreckt. Die Angelegenheit hat für die Praxen hinsichtlich der dabei anfallenden Kosten eine praktische Relevanz: denn anders als nach § 630g Abs. 2 Satz BGB und den jeweiligen Berufsordnungen vorgesehen wäre eine auf Art. 15 Abs. 3 Satz 1 DS-GVO gestützte Kopie zumindest in der ersten Ausfertigung für die Betroffenen unentgeltlich. Im Ergebnis ist dies nach Ansicht des LfDI Rheinland-Pfalz aufgrund der besonderen Umstände im Bereich der Heilbehandlung der Fall, wenn dies dem Auskunftsbegehren des Patienten entspricht. Unerheblich ist, ob sich die Patienten dabei ausdrücklich auf ihr Auskunftsrecht nach Art. 15 DS-GVO berufen oder nicht.

Verankert ist das Einsichts- und Auskunftsrecht an mehreren Stellen: einerseits im Berufsrecht (vgl. § 10 Abs. 2 der Berufsordnung für Ärzte in Rheinland-Pfalz und § 11 der Berufsordnung für Psychotherapeuten in Rheinland-Pfalz), darüber hinaus im Vertragsrecht (§ 630g BGB) und im allgemeinen Datenschutzrecht (Art. 15 DS-GVO). Den Patienten steht danach ein einklagbarer Rechtsanspruch auf Einsicht in und Auskunft aus sämtlichen ihn betreffenden Krankenakten zu, ohne dass dies vor der Behandlung vereinbart werden muss. Der Rechtsanspruch gilt auch nach Abschluss der Behandlung. Der Patient kann zugleich die Anfertigung von Kopien verlangen. Lediglich hinsichtlich der Frage der Kostenerstattung unterscheiden sich die Vorgaben aus dem Berufs- und Vertragsrecht (Kopie mit Kostenerstattung) von denen aus dem Datenschutzrecht (erste Kopie unentgeltlich). Mit der Positionierung des LfDI Rheinland-Pfalz zur Auslegung des Art. 15 Abs. 3 DS-GVO im Bereich der Heilbehandlung haben die betroffenen Praxen im Lande nun eine klare und nachvollziehbare Orientierung bei der Behandlung derartiger Anliegen ihrer Patienten.

Einschränkungen des Zugangsrechts ergeben sich nach der gegenwärtigen Rechtslage lediglich dann, wenn entweder erhebliche Persönlichkeitsrechte Dritter dagegen stehen oder aus therapeutischen Gründen eine Einsichtnahme für den Betroffenen zu einer erheblichen Gesundheitsgefahr führen würde. Begehrt der Patient Einsicht, muss im konkreten Fall auch bei den subjektiven Bestandteilen der Dokumentation geprüft werden, ob ein Verweigerungsgrund im Sinne von § 630g Abs. 1 Satz 1 BGB vorliegt. Nur in diesem Fall wäre eine Ablehnung der Einsicht, die begründet werden muss, zulässig. Grundsätzlich darf der Patient jedoch nicht vor der Kenntnis seiner gesundheitlichen Verfassung geschützt werden. Denkbar wäre eine Ablehnung nur, wenn die Einsichtnahme den Erfolg der aktuellen Behandlung oder die Gesundheit oder vergleichbare Rechtsgüter Dritter konkret gefährden würde.

Ausführliche Informationen zu der o.g. Rechtsauffassung sind auf der Homepage des LfDI abrufbar.


Informationsfreiheit

Best of Informationsfreiheit

In einer Pressekonferenz am 07.01.2020 stellte der LfDI die spannendsten und interessantesten Fälle im Bereich Informationsfreiheit im Jahr 2019 vor.

Er berichtete unter anderem über einen Vorgang, bei dem einem Rechtsanwalt eine Akteneinsicht trotz vorheriger Einladung verweigert wurde, von der Beanstandung einer Verbandsgemeinde aufgrund vorgeschobener entgegenstehender Belange sowie von einem Antrag auf Informationszugang zu E-Mails eines Landrats.

Die Anzahl der beim Landesbeauftragten eingehenden schriftlichen Beratungsanfragen und Beschwerdeeingaben ist mit insgesamt 190 im Jahr 2019 im Vergleich zu 180 im Jahr 2018 erneut angestiegen. Hinzu kommen die zahlreichen telefonischen Beratungen von Bürgerinnen und Bürgern oder Verwaltungen, die sich über ihre Informationsansprüche bzw. Herausgabeverpflichtungen informieren möchten. Auch der Landesbeauftragte selbst unterliegt den Regelungen des Transparenzgesetzes und trägt entsprechenden Ersuchen Rechnung. So ist die Zahl der auf Informationszugang gerichteten Anträge, welche bei dem Landesbeauftragten selbst gestellt wurden, von 12 im Jahr 2018 auf 55 im Jahr 2019 angestiegen.

„Die steigende Anzahl von Anträgen auf Informationszugang zeigt, dass die Bürgerinnen und Bürger ihr Recht auf Informationszugang bewusst wahrnehmen. Die Fälle, in welchen der Landesbeauftragte vermittelnd eingeschaltet wird, lassen dabei erkennen, dass die Bürgerinnen und Bürger regelmäßig für Sie wichtige Anliegen verfolgen, zumeist aus ihrem regionalen Umfeld. Es geht um ganz konkrete Informationen der Kommune oder der Behörde, die den Einzelnen betreffen“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Dieter Kugelmann. „Dies belegt, dass, gerade in einer komplexer werdenden Welt, die Transparenz und Nachvollziehbarkeit staatlichen Handelns zunehmend eingefordert wird. Bürgerinnen und Bürger wollen verstehen, aus welchen Gründen staatliche Stellen in gewisser Weise handeln. Sie nehmen ihr demokratisches Recht in Anspruch, das Handeln des Staates kontrollieren zu können.“


Maßnahmen/Sanktionen

Einbindung von Google Analytics & Co auf Webseiten

Der LfDI hat in einer Reihe von Verfahren eine Anweisung an Webseitenbetreiber erlassen. Hierin wird gefordert, die Webseite so umzustellen, dass die Übermittlung von Nutzungsdaten an andere Anbieter nur aufgrund informierter und ausdrücklicher Einwilligung der Webseitennutzer durchgeführt wird. Insbesondere geht es hier um die Nutzung der Dienste von Google Analytics und Google Remarketing.

Der LfDI stützt seine Anweisung maßgeblich auf ein überwiegendes Interesse der Nutzer im Rahmen der Abwägung mit den berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 lit. f DS-GVO, welche nicht erwarten können oder müssen, dass ihre Nutzungsdaten an dritte Dienstleister weitergegeben werden. Dies entspricht der Auffassung der DSK im Rahmen ihrer Orientierungshilfe für Anbieter von Telemedien. Auch sieht sich der LfDI in seiner Anwendung von Art. 6 DS-GVO durch die Entscheidung des EuGH (EuGH, Urteil v. (01. Oktober 2019, Az. (C 673/17)) bestärkt.

In einem ersten Gerichtsverfahren zu einer solchen Anweisung hat der Webseitenbetreiber nunmehr auf die Nutzung von Google Analytics verzichtet. Das VG Mainz hat die Anwendbarkeit von Art. 6 DS-GVO auf diese Fallkonstellation bestätigt und die Ausführungen zum überwiegenden Interesse der Nutzer als „grundsätzlich überzeugend“ gewürdigt. Weitere Verfahren zu diesem Thema sind anhängig.


Bildung

„Datenschutz meets Schule“ – teaching the teachers

Was ist überhaupt Datenschutz? Wo kommt er her und welche Rolle spielt er im schulischen Alltag? Welche Fehler gilt es zu vermeiden und wie können sich Lehrende im vermeintlichen „Datenschutz-Dschungel“ zurechtfinden? Antworten auf diese Fragen gaben der LfDI zusammen mit dem Zentrum für Lehrerbildung (ZfL) an der Johannes-Gutenberg-Universität am 14. Januar 2020.

Bereits zum zweiten Mal ist der LfDI einer Einladung des ZfL gefolgt, um unter dem Motto „Datenschutz meets Schule“ im Rahmen eines Vortrages mit anschließender Diskussionsrunde Studierende, Referendar*innen, Lehrende, Studienseminarleitungen und weitere interessierte Personen fit im schulischen Datenschutz zu machen.

Die zunehmende Relevanz des Themas wurde bereits an der im Vergleich zum Vorjahr mehr als verdoppelten Teilnehmerzahl deutlich. Aber auch die Menge und Inhalte der Fragen der Teilnehmer*innen zeigte, dass der Schulungsbedarf noch vorhanden und das Interesse am Datenschutz nach wie vor ungebrochen sind.

Angefangen bei den „ersten Regeln des Datenschutzes“, über die Entwicklung des Datenschutzrechts vor der Datenschutz-Grundverordnung, bis hin zu schulspezifischen Verarbeitungsszenarien, wurde die Zuhörerschaft dazu befähigt, die Rechtmäßigkeit von geplanten oder bereits stattfindenden Datenverarbeitungsvorgängen selbst zu beurteilen und sich so im Arbeitsalltag selbst im „Datenschutz-Dschungel“ bewegen zu können.

Ein besonderes Augenmerk lag auf der Bedeutung des Rechts am eigenen Bild in verschiedenen schulischen Kontexten und auf der digitalen Kommunikation der Lehrenden untereinander oder mit Schüler*innen und deren Erziehungsberechtigten.

Aufgrund der im Nachgang zur diesjährigen Veranstaltung erfolgten durchweg positiven Rückmeldungen, freuen sich sowohl das ZfL als auch der LfDI darauf, die begonnene Kooperation im nächsten Jahr fortzuführen und hoffen, dann noch mehr Interessierte zu erreichen.


Wirtschaft, Vereine, nicht-öffentliche Stellen

Bestellung eines Datenschutzbeauftragten jetzt erst ab 20 Personen

Seit dem 21. November 2019 gilt die Pflicht zur Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Stellen, wie Unternehmen und Vereine erst dann, soweit in der Regel mindestens 20 – und nicht wie bisher zehn – Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. § 38 Abs. 1 S. 1 BDSG wurde insoweit durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (BGBl. 2019, Teil I Nr. 41, S. 1626 ff.) geändert.

Dies verleitet zu der Annahme, dass hierdurch eine immer wieder geforderte Erleichterung insbesondere für kleine und mittelständische Unternehmen sowie Vereine geschaffen worden wäre. Das Entfallen der Bestellpflicht befreit die Verantwortlichen jedoch nicht von ihrer Pflicht, die Datenschutzvorschriften einzuhalten. Wenn sie also keinen Datenschutzbeauftragten bestellen, der ihnen beratend zur Seite steht, müssen sie dennoch entweder eine andere fachkundige Person mit dieser Aufgabe betrauen oder sich ggf. selbst entsprechende datenschutzrechtliche Kenntnisse aneignen, um etwa Betroffenenrechte ordnungsgemäß zu erfüllen, Datenschutzverstöße zu erkennen und der Aufsichtsbehörde zu melden bzw. Verstöße zu vermeiden.

Weitere Informationen zum Thema Datenschutzbeauftragter im nicht-öffentlichen Bereich finden Sie auf der Webseite des LfDI unter den folgenden Links:

Betriebliche Datenschutzbeauftragte

Vereine

Datenschutz-Grundverordnung FAQ

Datenschutzbeauftragter und Datenschutzmanagement