Sehr geehrte Damen und Herren, liebe Leserinnen und Leser,
heute habe ich meinen Tätigkeitsbericht zum Datenschutz für das Jahr 2024 an den rheinland-pfälzischen Landtagspräsidenten Hendrik Hering überreicht. Der Tätigkeitsbericht steht ab sofort auf unserer Webseite zum Download zur Verfügung. Dass unsere Zählung der Beschwerden am Jahresende exakt bei der Schnapszahl 1.111 stehen blieb, mag den Fastnachtsbegeisterten unter Ihnen zum Schmunzeln Anlass geben. Der neue Höchststand - ein Plus von 35 Prozent im Vergleich zum Vorjahr- zeigt aber vor allem das gestiegene Bewusstsein der Bürgerinnen und Bürger für ihr Recht auf Datenschutz in Zeiten umfassender Digitalisierung. Für mich und mein Team ist das zusätzliche Motivation für unsere tägliche facettenreiche Arbeit.
Näheres zu den Inhalten meines Tätigkeitsberichts erfahren Sie, neben manch anderem, in diesem Newsletter.
Ich freue mich darauf, viele von Ihnen beim anstehenden Datenschutztag Hessen & Rheinland-Pfalz zu sehen!
Ihr
Prof. Dr. Dieter Kugelmann
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Inhalt:
- I. Tätigkeitsbericht zum Datenschutz für das Jahr 2024
- II. Vorschau: 4. Datenschutztag Hessen & Rheinland-Pfalz am 2. Juli
- III. Biotechnologie: Webinar zu Biotechnologie, Datenschutz und Forschung
- IV. Gesundheit: Praxistipps
- V. Wirtschaft: Abrechnungspraxis in der Grundversorgung
- VI. Sicherheit: Treffen der Datenschutzbeauftragten der Polizeibehörden
- VII. Unsere Angebote
I. Tätigkeitsbericht zum Datenschutz für das Jahr 2024
© LfDI
Ich habe heute meinen aktuellen Tätigkeitsbericht zum Datenschutz für das Jahr 2024 an den Landtagspräsidenten Hendrik Hering übergeben. Der Bericht steht ab sofort auf www.datenschutz.rlp.de zum Download zur Verfügung. Die Zahl der Beschwerden stieg im Vergleich zum Vorjahr um 35 Prozent. Inhaltlich bildeten die Themen Künstliche Intelligenz und Innere Sicherheit Schwerpunkte in der Arbeit meiner Behörde.
1.111 Beschwerden: Das ist ein neuer Höchststand in Rheinland-Pfalz seit Inkrafttreten der Datenschutz-Grundverordnung. Ein annähernd hohes Beschwerdeaufkommen wurde bislang nur in den von der Corona-Pandemie geprägten Jahren 2020 und 2022 erreicht. Auch die Zahl der Datenpannen, die meine Behörde im Berichtsjahr bearbeitete, stieg im Vergleich zum Vorjahr um zehn Prozent auf 752. Nur einmal, im Jahr 2022, lag diese Zahl bisher höher.
Mir zeigt das vor allem die Relevanz und Lebensnähe des Datenschutzrechts für die Menschen in unserem Bundesland: Das Recht auf informationelle Selbstbestimmung sichert die individuellen Freiheiten der Bürgerinnen und Bürger in Rheinland-Pfalz, Deutschland und Europa. Es verpflichtet global tätige Konzerne zur Achtung europäischer Standards und ist ein Grundpfeiler unseres Wertesystems als freie demokratische Gesellschaft.
Die 1.111 Beschwerden und die weiteren knapp 500 Fälle, in denen ich mit meinem Team aufgrund von Hinweisen oder von Amts wegen tätig wurde, betreffen alle Lebensbereiche: Wirtschaft, die digitale Lebenswelt, Medien und Werbung, Videoüberwachung, Beschäftigtendatenschutz, Gesundheit, Soziales, Bildung und mehr.
Ein bedeutender Anteil meiner Arbeit entfiel im Jahr 2024 auf die Beratung privater und öffentlicher Stellen sowie auf die Begleitung von Gesetzgebungsprozessen aus der Perspektive des Datenschutzes. So begleitete ich konstruktiv und kritisch etwa die Änderung des Polizei- und Ordnungsbehördengesetzes in Rheinland-Pfalz. Dieses wurde um neue Befugnisse erweitert, darunter die automatisierte Datenanalyse und die Rechtsgrundlage zum Betrieb der MonoCam. Bestehende Befugnisse wurden verschärft, etwa der Einsatz von Bodycams in Wohnungen. Die damit einhergehende Ausweitung der Grundrechtseingriffe muss mit dem Recht auf informationelle Selbstbestimmung ausbalanciert werden. Dass in der verabschiedeten Fassung des Polizei- und Ordnungsbehördengesetzes Maßnahmen wie etwa die biometrische Gesichtserkennung nicht enthalten sind, werte ich als begrüßenswerte zurückhaltende Linie des rheinland-pfälzischen Gesetzgebers. Bei zukünftigen Gesetzgebungsverfahren werden hier die Anforderungen der europäischen KI-Verordnung zu berücksichtigen sein.
Künstliche Intelligenz, ihre Potenziale und ihre Anziehungskraft, aber auch die zahlreichen noch unzureichend geklärten Rechtsfragen hinsichtlich ihrer Anwendung in Behörden und Unternehmen sind nach wie vor ein Schwerpunkt meiner Arbeit. Mit der Gründung eines eigenen Arbeitskreises Künstliche Intelligenz, dessen Leitung ich gemeinsam mit meinem baden-württembergischen Amtskollegen übernahm, wurde dieser Schwerpunkt Ende 2024 auch innerhalb der Datenschutzkonferenz auf Dauer institutionalisiert. Die rechtlichen und technischen Aspekte, die den Arbeitskreis stark beschäftigen, umfassen die Erhebung und Vorbereitung von Trainingsdaten, das Training mit personenbezogenen Daten, Art und Umfang von risikomindernden Maßnahmen sowie die Auswirkungen eines möglicherweise rechtswidrigen Trainings auf die Rechtmäßigkeit des Einsatzes eines KI-Modells sowie die Umsetzung von Betroffenenrechten.
Einzelheiten zu meiner Arbeit als Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz im Jahr 2024 können dem 88-seitigen Tätigkeitsbericht entnommen werden, der als PDF-Datei auf unserer Webseite zum Download bereitsteht.
II. Vorschau: 4. Datenschutztag Hessen & Rheinland-Pfalz am 2. Juli
Unter dem Motto „Information Overload? Über- und Durchblick für Datenschutzbeauftragte“ findet am 2. Juli 2025 in Frankfurt am Main der vierte Datenschutztag des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. in Kooperation mit meiner Behörde und mit unseren hessischen Kolleginnen und Kollegen statt. Erstmals ist als Gast auch das Unabhängige Datenschutzzentrum Saarland dabei.
Mein Vortrag wird sich dem „Datenschutz als Innovationstreiber“ widmen, mein hessischer Amtskollege Prof. Dr. Alexander Roßnagel nimmt das Thema „Entbürokratisierung im Datenschutz“ in den Blick. Ich freue mich sehr, dass wir Dörte Schall, Ministerin für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz, für die politische Keynote gewinnen konnten. Wir freuen uns auf einen interessanten Austausch mit der Ministerin, die derzeit auch Vorsitzende der Digitalministerkonferenz ist.
Im weiteren Konferenzverlauf erwarten Sie Beiträge etwa zum Datenschutz im Vergabeverfahren, beim Cloud-Computing oder in der Kommunalverwaltung. Künstliche Intelligenz wird unter anderem im Kontext von Sicherheit und Justiz sowie als Synergiepotenziale zwischen DSGVO und KI-VO für Betreiber von KI-Systemen thematisiert.
Das vollständige Tagungsprogramm finden Sie hier.
Wie immer lebt der Datenschutztag nicht zuletzt vom direkten Austausch zwischen den Expertinnen und Experten aus den Datenschutzbehörden und dem fachkundigen Publikum. Ich freue mich darauf!
Falls Sie noch nicht angemeldet sind, beeilen Sie sich: Der Großteil der Teilnahmeplätze ist bereits vergeben.
III. Webinar: Biotechnologie, Datenschutz und Forschung
© geralt / pixabay.com
Gemeinsam mit dem in Mainz ansässigen Unternehmen BioNTech führt der LfDI im Jahre 2025 eine Webinar-Reihe zum Thema „Datenschutz im Biotech-Unternehmen“ durch. Ziel ist es, Akteurinnen und Akteuren aus der Biotechnologie-Szene die Umsetzung und Einhaltung datenschutzrechtlicher Vorgaben auf anschauliche Weise näher zu bringen.
Nachdem sich die erste Ausgabe im März 2025 auf die Vermittlung von Grundlagen zum Datenschutz fokussierte, geht es im zweiten Webinar ums Eingemachte: Wer trägt Verantwortung zur Umsetzung des Datenschutzes bei der Durchführung klinischer Studien – der Sponsor oder das Studienzentrum? Wann gelten die dabei verarbeiteten Gesundheitsdaten als pseudonym oder anonym? Und was erwartet uns, wenn der im März 2025 beschlossene Europäische Gesundheitsdatenraum – kurz EHDS – in wenigen Jahren wirksam wird?
Stefanie Kirchner, Datenschutzbeauftragte von BioNTech, und Michael Heusel-Weiss, Bereichsleiter beim LfDI Rheinland-Pfalz, begrüßen in der aktuellen Webinarfolge Michael Smolle, der sich seit Jahren beim Landesdatenschutzbeauftragten um genau um diese Themen kümmert. Das etwa 70-minütige Webinar, das aus organisatorischen Gründen aufgezeichnet werden musste, steht ab dem 25. Juni 2025 auf unserer Webseite zum Abruf bereit. Eine Anmeldung ist nicht erforderlich.
IV. Gesundheit: Praxistipps
Datenschutz ist ein zentrales Thema in Arzt- und Psychotherapiepraxen. Mit monatlich veröffentlichten Praxistipps gibt die von meiner Behörde mitgetragene rheinland-pfälzische Initiative im Jahr 2025 den Behandelnden konkrete und aktuelle Hilfestellung, um die gesetzlichen Vorgaben in ihren Arbeitsalltag zu integrieren. Die Praxistipps stellen auf der Website www.mit-sicherheit-gut-behandelt.de jeweils eine im Praxisbetrieb relevante datenschutzrechtliche Frage mit dazugehöriger Antwort vor. Zusätzlich erhalten die Behandelnden Hinweise zu Rechtsgrundlagen und weiterführende Links.
Sechs Praxistipps wurden in der ersten Jahreshälfte schon veröffentlicht: Sie befassen sich mit dem datenschutzrechtlichen Auskunftsanspruch – allgemein sowie speziell beim Praxiswechsel oder im Fall von Minderjährigen –, mit der Kommunikation per E-Mail, der Einwilligung und der Informationspflicht nach Art. 13 DS-GVO.
In der zweiten Jahreshälfte werden Praxistipps etwa zur Nutzung sozialer Medien, zur Aktenaufbewahrung und Löschung, zum Cloud-Computing und zum Datenschutz bei Praxisübergabe folgen.
Halten Sie unsere Webseite also im Blick – es lohnt sich!
V. Wirtschaft: Abrechnungspraxis in der Grundversorgung
© Pexels / pixabay.com
Wenn Mieterinnen und Mieter in einer neu bezogenen Wohnung Strom verbrauchen, entsteht ein Stromlieferungsvertrag in der Grundversorgung, sofern sie nicht rechtzeitig zuvor bei einem anderen Versorger einen Stromlieferungsvertrag für die Wohnung abgeschlossen haben. Mieterinnen und Mieter müssen die Stromentnahme dem jeweiligen Grundversorger mitteilen. Diese Pflicht ist jedoch vielen nicht bekannt. Bisher hatten Mieterinnen und Mieter die Möglichkeit, innerhalb der ersten sechs Wochen nach Wohnungsübergabe einen Stromversorger zu wählen, der dann den Leistungszeitraum des Grundversorgers mitabrechnet.
Aufgrund der Umsetzung gesetzlicher Vorgaben ist diese nachträgliche Lieferantenwahl seit dem 6. Juni 2025 nicht mehr möglich. Die Abrechnung des Verbrauchs erfolgt dann durch den Grundversorger, wenn nicht rechtzeitig vor der Wohnungsübergabe ein anderer Versorger gewählt wurde. Daher muss der Grundversorger nunmehr in jedem Fall wissen, wer seine Vertragspartner und somit Schuldner bzw. Schuldnerinnen in der Grundversorgung sind, um die erbrachte Leistung in Rechnung stellen zu können. Aufgrund dieser Änderung der Abrechnungspraxis haben Grundversorger und auch Eigentümer, die gegebenenfalls für den bezogenen Strom der Mieterinnen und Mieter in Anspruch genommen werden könnten, ein Interesse, die Daten der neuen Mieter möglichst früh dem jeweiligen Grundversorger mitzuteilen.
Um datenschutzrechtliche Klarheit zu schaffen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder daher in ihrem Beschluss vom 18. Mai 2025 geäußert, dass ab dem Zeitpunkt der Wohnungsübergabe Vermieter:innen bzw. beauftragte Verwalter:innen Daten der Mieterinnen und Mieter an den jeweiligen Grundversorger übermitteln dürfen. Es besteht dann ein überwiegendes berechtigtes Interesse der Vermieter:innen bzw. Verwalter:innen, wenn die Mieterinnen und Mieter noch keinen Stromlieferungsvertrag mit einem Versorger abgeschlossen haben und sie zuvor auf die beabsichtigte Datenübermittlung an den Grundversorger hingewiesen wurden.
Weitere Informationen zum Beschluss finden sich auf der Webseite der Datenschutzkonferenz.
VI. Sicherheit: Treffen der Datenschutzbeauftragten der Polizeibehörden
Im Mai 2025 trafen sich die behördlichen Datenschutzbeauftragten der Polizeibehörden des Landes Rheinland-Pfalz beim LfDI zu einem Fachgespräch, um aktuelle datenschutzrechtliche Fragestellungen und Herausforderungen zu erörtern.
Im Mittelpunkt stand der Erfahrungsaustausch zu Datenschutzprüfungen, insbesondere zu den Prüfungen des LfDI zur Bodycam sowie zur Rechtsextremismus- und Antiterrordatei. Dabei wurde deutlich, dass eine ordnungsgemäße Dokumentation von Anlass, Speichergrund, Frist und Prognose eine effiziente Prüfung sicherstellt. Eine standardisierte und strukturierte Bereitstellung dieser Unterlagen soll künftig als fester Bestandteil der Prüfpraxis etabliert werden. Auch die behördlichen Datenschutzbeauftragten selbst begrüßten es, diese Praxis für eigene Prüfungen zu übernehmen.
Ein weiterer Schwerpunkt lag auf der Rolle der Datenschutzbeauftragten in den Datenverarbeitungsprozessen, die gemäß der EU-Richtlinie 2016/680 (Artikel 32 bis 34, Erwägungsgrund 63) und ihrer nationalen Umsetzung im Landesdatenschutzgesetz Rheinland-Pfalz (§§ 37 bis 39) eine zentrale Funktion innehaben. Gemeinsam wurde herausgearbeitet, dass eine frühzeitige Einbindung der Datenschutzbeauftragten entscheidend ist, um Risiken bei der Verarbeitung personenbezogener Daten rechtzeitig zu erkennen und im Datenverarbeitungsprozess entsprechend abwägen zu können.
Abschließend stand die Novellierung des Polizei- und Ordnungsbehördengesetzes Rheinland-Pfalz (POG) auf der Agenda. Die daraus resultierenden datenschutzrechtlichen Auswirkungen auf die tägliche Arbeit der Polizeibehörden wurden intensiv diskutiert.
Die Veranstaltung bot eine wertvolle Gelegenheit, die Zusammenarbeit im Bereich Datenschutz zu stärken sowie den Austausch und die Vernetzung zwischen den Datenschutzbeauftragten der Polizeibehörden im Land weiter zu fördern.
VII. Unsere Angebote
© LfDI
Unser Podcast Datenfunk versorgt Sie regelmäßig mit aktuellen datenschutzrechtlichen Hintergründen im Audio-Format. Hören Sie rein!
Kennen Sie schon Mastodon, die datenschutzfreundliche Alternative zum Kurznachrichtendienst X? Auf https://social.bund.de/@lfdi_rlp gehen wir in den Dialog mit den Nutzerinnen und Nutzern und informieren tagesaktuell über unsere Aktivitäten und Veröffentlichungen. Folgen Sie uns – ganz ohne datenschutzrechtliche Bedenken und Fallstricke.