Sehr geehrte Damen und Herren, liebe Leserinnen und Leser,

der Datenschutz kennt keine Sommerpause. Im Juli veröffentlichte die EU-Kommission ihren zweiten, sehr aufschlussreichen Bericht zur Anwendung der Datenschutz-Grundverordnung, der den Kurs meiner Behörde als proaktive und präventive Aufsicht bestärkt. Am 1. August trat die KI-Verordnung in Kraft, auf deren Umsetzung wir uns längst tatkräftig vorbereiten. Wir führen Erhebungen zum Auskunftsrecht und zur Ausstattung von behördlichen Datenschutzbeauftragten durch und begleiten ein Pilotprojekt zur mobilen Videoüberwachung gegen illegale Müllablagerungen, das bundesweit einmalig ist. Damit auch der Herbst nicht langweilig wird, haben wir schöne Veranstaltungen für Sie im Programm: Im Oktober laden wir Sie ins Kino ein, um – 40 Jahre nach der fiktiven Gegenwart von George Orwells „1984“ – mit Vertretern von Sicherheitsbehörden, Kultur und Gesellschaft das Spannungsfeld von Sicherheit und Datenschutz zu diskutieren. Einen Film gibt’s natürlich obendrein.

Ich wünsche Ihnen eine interessante Lektüre zu diesen und anderen Themen – ob am Strand im Liegestuhl oder am hoffentlich angenehm temperierten Arbeitsplatz.

Ihr
Prof. Dr. Dieter Kugelmann
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Inhalt:

I. Bericht der EU-Kommission über die Anwendung der DS-GVO: Der LfDI ist auf dem richtigen Kurs

II. Veranstaltungen

III. Kommunales

IV. Videoüberwachung

V. Medienkompetenz

VI. Europa

VII. Unsere Angebote


I. Bericht der EU-Kommission über die Anwendung der DS-GVO: Der LfDI ist auf dem richtigen Kurs

Am 25. Juli 2024 hat die Kommission der Europäischen Union ihren zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. Hintergrund ist Art. 97 DS-GVO, wonach die Kommission die Anwendung und Funktionsweise der internationalen Übermittlung personenbezogener Daten an Drittländer (d. h. Länder außerhalb der EU/ des EWR) sowie die Mechanismen für die Zusammenarbeit und Kohärenz zwischen den nationalen Datenschutzbehörden prüfen soll. Darüber geht der Bericht hinaus, indem im Rahmen einer allgemeinen Bewertung der Anwendung der DS-GVO Maßnahmen aufgeführt werden, die nach Auffassung der Kommission erforderlich sind, um eine wirksame Anwendung der Datenschutz-Grundverordnung zu erreichen.

In ihrem Bericht bekräftigt die Kommission die Bedeutung der Datenschutz-Grundverordnung insbesondere im Verhältnis zu den weiteren, nach ihr verabschiedeten Daten- und Digitalisierungsrechtsakten: „Die DS-GVO ist einer der Eckpfeiler des Ansatzes der EU für den digitalen Wandel. Ihre Grundsätze – eine faire, sichere und transparente Verarbeitung personenbezogener Daten, die sicherstellt, dass Einzelpersonen die Kontrolle behalten – liegen allen EU-Maßnahmen zugrunde, die die Verarbeitung personenbezogener Daten betreffen.“ Gerade im Hinblick auf die nunmehr neben der DS-GVO geltende KI-Verordnung habe ich die Interdependenzen und Synergien der beiden europäischen Rechtsakte im Rahmen der Digitalstrategie der EU jüngst herausgestellt.

Als Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz sehe ich mich durch viele Aspekte des Berichts in meiner Haltung und meinem Leitbild bestätigt. Eine Reihe der Maßnahmen, die nach Auffassung der Kommission durch die Datenschutzaufsichtsbehörden umgesetzt werden sollen, um eine Wirksamkeit der Datenschutz-Grundverordnung sicherzustellen, gehören bereits zum Werkzeugkasten meiner Behörde.

Dazu zählt insbesondere eine effektive Zusammenarbeit der Datenschutzaufsichtsbehörden untereinander und mit anderen Regulierungsbehörden – ein maßgebliches Thema, das derzeit im Arbeitskreis DSK 2.0 unter meiner Leitung behandelt wird.

Des Weiteren sollen Datenschutzaufsichtsbehörden in einen konstruktiven Dialog mit Verantwortlichen und Auftragsverarbeitern eintreten und Schlüsselthemen priorisieren, um z.B. durch Orientierungshilfen die Verantwortlichen effektiv zu unterstützen. Aufgrund der Vielfalt der Verantwortlichen und datenschutzrechtlichen Themen, die meiner Aufsicht unterliegen, ist es mir seit jeher ein Anliegen, proaktiv und präventiv durch Beratungen, Veranstaltungen, Orientierungshilfen und Öffentlichkeitsarbeit datenschutzrechtliche Themen und die Einhaltung der datenschutzrechtlichen Anforderungen voranzubringen. Die Aufgabe der (repressiven) Beschwerdebearbeitung ist für den Grundrechtsschutz der Einzelnen wichtig. Eine breitere Wirksamkeit des Schutzes der Freiheitsrechte im digitalen Zeitalter lässt sich jedoch gerade auch durch den steten Dialog mit den Verantwortlichen erreichen.

Dabei berücksichtigt meine Behörde auch sektorspezifische Anforderungen bestimmter Verantwortlicher, z.B. im Rahmen der Netzwerktreffen mit den behördlichen Datenschutzbeauftragten der Kommunen, spezifischen Informationsveranstaltungen für kleine und mittlere Unternehmen in Kooperation mit den Industrie- und Handelskammern oder dem Runden Tisch der rheinland-pfälzischen Wirtschaft. Für meine Behörde ist nicht zuletzt die Förderung des Selbstdatenschutzes und der Medienkompetenz insbesondere von Kindern und Jugendlichen ein gewichtiges Thema.

Lesen Sie zu diesem Thema gerne auch unsere Pressemitteilung. Gestärkt durch die Sichtweise der EU-Kommission werde ich meinen Weg weiterverfolgen und weiterhin in unabhängiger Weise einen wesentlichen Beitrag zum Schutz der Freiheitsrechte im digitalen Zeitalter leisten.

PfeilNach oben


II. Veranstaltungen

Die Industrie- und Handelskammern in Rheinland-Pfalz haben in Kooperation mit meiner Behörde für 2024 und 2025 eine Veranstaltungsreihe zu KI und Datenschutz ins Leben gerufen, die sich insbesondere an kleine und mittlere Unternehmen richtet. Nachdem ich vor einigen Wochen bei der IHK Trier mit einem Vortrag zu Gast sein durfte, werde ich am 18. September 2024 anlässlich des Tags des Rechts bei der IHK Koblenz zu den datenschutzrechtlichen Chancen und Maßstäben beim Einsatz von KI im unternehmerischen Kontext sprechen. Das vollständige Programm der um 15 Uhr beginnenden, kostenfreien Veranstaltung finden Sie auf der Webseite der IHK Koblenz. Der Tag des Rechts richtet sich insbesondere an Unternehmensjuristinnen und -juristen, Syndikusanwältinnen und -anwälte und Mitarbeitende von Rechtsabteilungen. Aber auch andere Interessierte sind willkommen. Die IHK Koblenz, die den Tag des Rechts veranstaltet, nimmt Anmeldungen auf ihrer Webseite entgegen.

Am 17. Oktober 2024 um 18 Uhr erwartet Sie ein besonderer Abend im Kino Cinémayence in Mainz: Unter dem Titel Watching You: Freiheit vs. Sicherheit. Wo stehen wir 40 Jahre nach Orwells 1984? werden wir uns aus gesellschaftlicher, sicherheitspolitischer und datenschutzrechtlicher Perspektive mit dem allgegenwärtigen Konflikt zwischen objektivem Sicherheitsbedürfnis und persönlichen Freiheitsrechten befassen. Freuen Sie sich auf den hochaktuellen Film WATCHING YOU – DIE WELT VON PALANTIR UND ALEX KARP (DE 2024 / Regie: Klaus Stern) und eine lebendige, kompetente Diskussion mit dem Präsidenten des Landeskriminalamts Rheinland-Pfalz Mario Germano, dem Autor und Journalisten Adrian Lobe sowie dem Juristen und Projektkoordinator bei der Gesellschaft für Freiheitsrechte Jürgen Bering. Weitere Details zur Veranstaltung finden Sie in Kürze auf den Webseiten des LfDI und des Kinos Cinémayence.

PfeilNach oben


III. Kommunales

Noch bis zum 1. September 2024 läuft unsere aktuelle Umfrage zum behördlichen Datenschutz in rheinland-pfälzischen Kommunen: Wie stellt sich die Situation des behördlichen Datenschutzmanagements dar? Welches Zeitbudget steht den behördlichen Datenschutzbeauftragten für die Erledigung ihrer Aufgaben zur Verfügung? Städte, Gemeinden und Landkreise in Rheinland-Pfalz sind aufgerufen, diese und andere Fragen in unserer Online-Umfrage zu beantworten. Falls Sie als kommunale Datenschutzbeauftragte oder kommunaler Datenschutzbeauftragter den Link zur Umfrage nicht erhalten haben oder noch einmal benötigen, wenden Sie sich gerne für eine (erneute) Zusendung an uns – alle Kontaktmöglichkeiten finden Sie hier.

Eines unserer Ziele ist es, festzustellen, ob den Mitarbeiterinnen und Mitarbeitern vor Ort genügend Zeit für die Erledigung ihrer Arbeiten zur Verfügung steht. Auch möchten wir einen Eindruck davon gewinnen, welchen Stellenwert der Datenschutz in der Fläche genießt. Auf Grundlage des Umfrageergebnisses will sich der LfDI anschließend insbesondere bei den Leitungen der Kommunalverwaltungen für eine Stärkung der behördlichen Datenschutzbeauftragten einsetzen. Die Umfrage ist daher als Unterstützung für diejenigen zu sehen, die vor Ort täglich mit den unterschiedlichsten Aufgaben und Fragestellungen des Datenschutzes konfrontiert sind.

Die Umfrage wird faktisch anonym durchgeführt, die Teilnahme ist freiwillig und es sind keine unmittelbaren Rückschlüsse auf die Teilnehmenden bzw. die jeweiligen Kommunen möglich. Dies ist mit Rücksicht auf den Beratungsgedanken auch gar nicht notwendig, denn vielmehr geht es darum, die Kommunen präventiv zu unterstützen, anstatt bei eventuellen Verstößen im Nachhinein sanktionierend tätig zu werden.

Die Vorstellung erster Teilergebnisse ist für das kommende Netzwerktreffen der behördlichen Datenschutzbeauftragten geplant, welches am 25. September in Landstuhl stattfindet. Eine Einladung zum Netzwerktreffen geht den behördlichen Datenschutzbeauftragten noch gesondert zu.

PfeilNach oben


IV. Videoüberwachung

In diesen Tagen startet die Stadt Ludwigshafen ein Pilotprojekt zur mobilen Videoüberwachung gegen illegale Müllablagerungen. Ich habe die Konzeption begleitet und das Pilotprojekt aufgrund der Einhaltung hoher datenschutzrechtlicher Anforderungen gebilligt. Im Laufe des sechsmonatigen Testzeitraums wird meine Behörde überprüfen, ob die Videoüberwachung zu einem Rückgang der Müllverschmutzung führt und ob die von der Stadt Ludwigshafen ergriffenen Maßnahmen zum Schutz unbescholtener Bürgerinnen und Bürger greifen.

Illegale Müllablagerung macht vielen Städten und Gemeinden in Rheinland-Pfalz zu schaffen. Immer wieder treten Kommunen mit dem Wunsch nach Videoüberwachung von Müllcontainern und anderen Müllsammelstellen an meine Behörde heran. Aus datenschutzrechtlicher Sicht ist der Einsatz von Kameras in diesen Fällen jedoch grundsätzlich nicht zulässig. Videoüberwachung im öffentlichen Raum ist gesetzlich streng geregelt, denn sie bedeutet immer auch eine Überwachung der übergroßen Mehrheit von unbescholtenen Bürgerinnen und Bürgern.

Dem Start des Ludwigshafener Konzepts konnte ich aufgrund der sehr besonderen Situation nach intensiver Prüfung und Beratung zustimmen, zumal die Stadt große Anstrengungen zum Schutz der Rechte Unschuldiger unternimmt. Unsere Zustimmung basiert auf mehreren Faktoren: Hier geht es zum einen um die Belastung durch illegale Müllverschmutzung nicht allein an Müllsammelplätzen, sondern in städtischen Wohnbereichen, was konkrete Gefahren für Gesundheit und Umwelt nach sich zieht. Zum zweiten hat die Stadtverwaltung in der Vergangenheit schon zahlreiche mildere Maßnahmen ausprobiert, um das Problem – beispielsweise durch sogenannte Müllsheriffs oder kreative Öffentlichkeitsarbeit – in den Griff zu bekommen. Zum dritten ergreift die Stadt Ludwigshafen anerkannte technisch-organisatorische Maßnahmen, die den datenschutzrechtlichen Eingriff reduzieren. Hierzu zählen die Verpixelung und Schwärzung bestimmter Bereiche des Kamerabildes und die Festlegung klarer Speicherfristen.

Mehr Informationen zu den Hintergründen des Pilotprojekts finden Sie in unserer Pressemitteilung. Zudem können Sie das detaillierte Gesamtkonzept auf der Webseite der Stadt Ludwigshafen herunterladen.

PfeilNach oben


V. Medienkompetenz

Im Juni 2024 bot mein Team ein Webinar zu datenschutzrechtlichen Fragen im Kita-Alltag an. Die Resonanz hat uns überwältigt: Rund 500 Erzieherinnen und Erzieher sowie Mitarbeitende von Kita-Trägern verfolgten die Veranstaltung mit dem Schwerpunkt „Bildrechte und Einwilligung“ live. Um weiteren Interessierten die Möglichkeit zum Zugriff auf das Informationsangebot zu geben, haben wir eine Aufzeichnung des Webinars auf unsere Internetseite gestellt. Die Aufzeichnung steht nunmehr kostenfrei und ohne Anmeldung zur Verfügung – begleitet von umfangreichen FAQs, die weitere praktische Aspekte des Datenschutzes im frühkindlichen Bereich beleuchten.

PfeilNach oben


VI. Europa

KI-Verordnung ist in Kraft getreten

Am 1. August 2024 trat die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz, kurz: die sogenannte KI-Verordnung der EU in Kraft. Damit fand ein umfangreiches und langwieriges Gesetzgebungsvorhaben seinen Abschluss. Hersteller, Anbieter, Betreiber und Händler von KI-Systemen haben nun einen Orientierungsrahmen, der die Anforderungen an KI-Systeme in den einzelnen Phasen der Wertschöpfungskette klarstellt.

Das Verhältnis von Künstlicher Intelligenz zum Datenschutz ist ein Schwerpunkt unserer Behörde. Schon 2019 haben wir in unserer Hambacher Erklärung als deutsche Datenschutzaufsichtsbehörden eine humanistische und damit grundrechtsschützende Ausrichtung von KI als Standard gefordert. Umso erfreulicher ist es, dass dieser Anspruch sich nun im europäischen Regulierungsrahmen wiederfindet. Die KI-Verordnung stellt sicher, dass die Entwicklung und Verwendung von KI-Systemen einen menschenzentrierten, vertrauenswürdigen und damit wertebasierten Ansatz verfolgt. In der EU soll die KI den Menschen dienen und nicht umgekehrt.

Für die KI-Verordnung gelten diverse Umsetzungsfristen. Schon bis zum 2. August 2025 muss der deutsche Gesetzgeber die nationale Aufsichtsstruktur der KI-Verordnung regeln. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat ihre Bereitschaft zur Übernahme der nationalen Aufsicht über die KI-Verordnung bereits erklärt und entsprechende personelle Ausstattung eingefordert. Unser Positionspapier dazu finden Sie hier.

 

CEF-Aktion zum Auskunftsrecht: Erste Ergebnisse aus Rheinland-Pfalz

Der Europäische Datenschutzausschuss (EDSA) hat seine diesjährige europaweite Aktion „Coordinated Enforcement Framework (CEF)“ im März 2024 gestartet. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat sich mit weiteren deutschen Datenschutzaufsichtsbehörden an dieser Initiative zum Auskunftsrecht beteiligt. Der LfDI führt die auf einem strukturierten Fragebogen basierende Aktion als formelle Verfahren bei ausgewählten Kommunen, Inkassounternehmen und Banken durch.

Aus der Auswertung der Rückmeldungen hat sich folgender erster Eindruck ergeben:

  • Grundsätzlich sind ausreichende Vorkehrungen/Prozesse zur Gewährleistung des Auskunftsrechts bei den Verantwortlichen getroffen worden.
  • Das Auskunftsrecht spielt bei den angefragten nichtöffentlichen Verantwortlichen zahlenmäßig eine größere Rolle als bei den angefragten öffentlichen Verantwortlichen, trotzdem besteht bei allen Verantwortlichen gleichermaßen ein hohes Bewusstsein für die datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung.
  • Die Datenschutzbeauftragten spielen bei der Auskunftserteilung eine Schlüsselrolle und bilden das Bindeglied zwischen Verantwortlichen und betroffenen Personen.

Nachbesserungsbedarf besteht demgegenüber in folgenden Bereichen:

  • Speicherdauer der Auskunftsanträge und korrespondierender Unterlagen

In vielen Fällen wurden die Vorgänge zum Auskunftsrecht als allgemeiner Verwaltungs- oder Geschäftsvorgang gewertet, mit der Folge, dass die übliche Speicherdauer zugrunde gelegt wurde und keine dem Zweck entsprechend kürzere.

  • Form der Auskunftserteilung

Verantwortliche beider Sektoren haben strenge Formvorschriften der Antragstellung zugrunde gelegt. Zum einen wurde grundsätzlich ein Antrag in Schriftform verlangt und die mündliche Antragstellung ausgeschlossen, zum anderen wurde teilweise per se ein Identifikationsnachweis in Form einer teilgeschwärzten Kopie des Personalausweises verlangt. Nach der DS-GVO sind die formalen Antragsvoraussetzungen dagegen sehr niedrigschwellig angelegt und auch die mündliche Auskunftsbeantragung sollte möglich sein. Zudem sollten Identitätsnachweise nur dann verlangt werden, wenn tatsächliche Zweifel an der Identität der antragstellenden Person besteht – je nach Fallgestaltung kommen hier auch mildere Mittel in Betracht, wie die postalische Zusendung der Auskunft an die Meldeadresse.

  • Auskunftserteilung im gestuften Ansatz

Die Verantwortlichen erteilen bei allgemein gehaltenen Auskunftsanträgen – wie auch grundsätzlich vom LfDI empfohlen – in gestufter Weise Auskunft. Dabei ist der Detailgrad der Auskunft sehr unterschiedlich ausgestaltet. Grundsätzlich sind bereits auf erster Stufe auf die betroffene Person zugeschnitten die Auskünfte nach Art. 15 Abs. 1 lit. a bis h DS-GVO zu erteilen. Allgemeine Informationen zur Datenverarbeitung, wie sie bereits nach Art. 13 DS-GVO erteilt werden, reichen nicht aus. Hier muss im Detail nachgeschärft werden.

  • Einschränkung des Auskunftsrechts

Das Auskunftsrecht ist elementarer Bestandteil des Grundrechts auf den Schutz personenbezogener Daten und darf nur aufgrund gesetzlich geregelter Ausnahmen eingeschränkt oder verweigert werden. Diesbezüglich werden bei den Verantwortlichen sehr unterschiedliche Maßstäbe angesetzt, insbesondere im Hinblick auf die Frage, wann Auskunftsanträge offenkundig unbegründet und exzessiv sind.

Insgesamt sollte ein stärkeres Bewusstsein für die bereits erfolgten Konkretisierungen des Auskunftsrechts durch ergangene einschlägige Entscheidungen des Europäischen Gerichtshofs und die Leitlinien 01/2022 - Version 2.1 des EDSA zum Auskunftsrecht geschaffen werden.

Diese und weitere ersten Ergebnisse werden nunmehr in einem nationalen Bericht zusammengefasst, der dem EDSA für einen gesamtheitlichen Report zugeht. Parallel werden die formellen Untersuchungen in den Fachbereichen des LfDI weiter durchgeführt.

Der LfDI wird die Ergebnisse und die darauf basierenden Empfehlungen in Schulungen und Informationsveranstaltungen verwenden, um das gute Niveau der Gewährleistung des Auskunftsrechts in Rheinland-Pfalz noch weiter zu steigern.

PfeilNach oben


VII. Unsere Angebote

Unser Podcast Datenfunk versorgt Sie regelmäßig mit aktuellen datenschutzrechtlichen Hintergründen im Audio-Format.

Kennen Sie schon Mastodon, die datenschutzfreundliche Alternative zum Kurznachrichtendienst X? Auf https://social.bund.de/@lfdi_rlp gehen wir in den Dialog mit den Nutzerinnen und Nutzern und informieren tagesaktuell über unsere Aktivitäten und Veröffentlichungen. Folgen Sie uns – ganz ohne datenschutzrechtliche Bedenken und Fallstricke.

PfeilNach oben

Wenn Sie das Abonnement beenden möchten, rufen Sie bitte den folgenden Link auf: Newsletter abmelden.