wohin führt der Weg unserer modernen Technologie- und Kommunikationsgesellschaft: in die digitale Souveränität? Oder doch eher in die digitale Kolonie? Wenn Sie mehr über Lock-in-Effekte, Selbstbestimmung der Einzelnen, Hyperscaler und nachhaltige IT erfahren möchten, lege ich Ihnen die gerade erschienene Folge unseres Podcasts DATENFUNK ans Herz. Ich diskutiere darin mit Harald Wehnes, Informatikprofessor mit beeindruckender Expertise für digitale Souveränität. Aber auch für den Fall, dass Sie lieber lesen statt zu hören, hält unser Newsletter viel Material für Sie bereit – insbesondere meine aktuellen Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit.

Ich wünsche Ihnen eine spannende Lektüre.

Ihr
Prof. Dr. Dieter Kugelmann
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Inhalt:

I. In eigener Sache: Stellenangebot

II. Tätigkeitsberichte

III. Veranstaltung WATCHING YOU

IV. Wirtschaft: Funkbasierte Zähler, Asset-Deals und Energieausweise

V. Im Austausch mit den Kommunen: Netzwerktreffen der behördlichen Datenschutzbeauftragten

VI. Medien: Gastbestellungen in Online-Shops

VII. Sicherheit: Tag des Datenschutzes an der Hochschule der Polizei

VIII. Unsere Angebote

Wir bieten eine Vollzeitstelle als Jurist/Juristin für die Betreuung eines Datenschutz-Sandbox-Projektes in Zusammenarbeit mit der Universität Bayreuth. Projektbedingt ist das Arbeitsverhältnis für die Dauer von 36 Monaten befristet.

Das Sandbox-Projekt beschäftigt sich mit dem testweisen Einsatz von KI-Systemen in realer Umgebung (Real-Labor-KI-System). Im Rahmen des Projektes wollen wir erforschen, wie sich einzelne Anwendungen unter realen Marktbedingungen verhalten und ob bzw. inwieweit die Anwendungen mit dem geltenden Datenschutzrecht vereinbar sind.

Die vollständige Stellenausschreibung finden Sie auf unserer Webseite. Bewerbungen nehmen wir gerne bis zum 18. November 2024 entgegen.

Am 30. September habe ich meine aktuellen Tätigkeitsberichte an den Landtagspräsidenten Hendrik Hering übergeben. Der Bericht zum Datenschutz für das Jahr 2023 und der Bericht zur Informationsfreiheit 2022/2023 stehen für Sie zum Download auf unserer Webseite bereit. Die Berichte geben Einblick in die breit gefächerte Arbeit meiner Behörde. Neben der Bearbeitung konkreter Beschwerden und Datenschutzverletzungen standen im Berichtszeitraum komplexe Beratungen von Unternehmen und öffentlichen Stellen zu KI-Themen im Zentrum.

Meine Behörde erhielt im Jahr 2023 insgesamt 822 Beschwerden zu Datenschutzthemen, in weiteren 494 Fällen wurde ich aufgrund von Hinweisen oder von Amts wegen tätig. 687 sogenannte „Datenpannen“ wurden uns zudem gemeldet. 497 Beschwerden und Beratungsanfragen wurden für die Jahre 2022 und 2023 im Bereich der Informationsfreiheit bearbeitet. Die Zahl der Fälle hält damit sowohl im Datenschutz als auch in der Informationsfreiheit – nach einem leichten Anstieg in den Pandemiejahren – das erreichte hohe Niveau.

Neben den Beschwerden und Datenpannen prägten Gesetzgebungsprozesse und Zukunftsfragen meine Arbeit. Verhandlungen auf Bundesebene zur Änderung des Bundesdatenschutzgesetzes wurden intensiv von den Datenschutzaufsichtsbehörden begleitet. Parallel dazu ist die Diskussion um Künstliche Intelligenz in exponentiellem Maße angewachsen. Beide Themen beschäftigen gerade auch mich in Rheinland-Pfalz, da ich in entsprechenden Gremien Leitungspositionen innehabe: dem Arbeitskreis „DSK 2.0“ sowie der „Taskforce KI“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Biotechnologie und die Verwaltungsdigitalisierung in Rheinland-Pfalz sind zudem langfristig gesetzte Schwerpunkte, die ich kontinuierlich bearbeite und ausbauen möchte.

Biometrische Gesichtserkennung, komplexe automatisierte Datenanalysen: Die Tendenz zur allumfassenden Überwachung und deren Grenzen stehen im Mittelpunkt der Kino- und Diskussionsveranstaltung „Watching You – Freiheit vs. Sicherheit. Wo stehen wir 40 Jahre nach Orwells 1984?“, die wir am Donnerstag, 17. Oktober 2024, ab 18 Uhr im CinéMayence in Mainz veranstalten. Alle Tickets sind bereits vergriffen. Aber: An der Abendkasse besteht die Chance auf Restkarten.

Wir freuen uns über die enorme Resonanz – und auf einen spannenden Abend mit Ihnen!

Orientierungshilfe zu funkbasierten Zählern

Die digitale Erhebung und Verarbeitung von Kaltwasser-, Strom-, Heizungs- und Warmwasserzählern wird nach und nach flächendeckend funkgesteuert und fernablesbar umgesetzt. Den Bürgerinnen und Bürgern soll mit dieser Technik die Einsparung von Energie dadurch erleichtert werden, dass sie ihre Energieverbräuche genauer im Blick behalten können und nicht erst durch eine jährliche Abrechnung ihres Versorgers von diesen Kenntnis erlangen. In unserer Praxis lässt sich allerdings feststellen, dass bei den Bürgerinnen und Bürgern im Hinblick auf Datenverarbeitungen im Zusammenhang mit funkbasierten Zählern Unsicherheiten z.B. darüber bestehen, welche Daten verarbeitet werden, wie häufig sie verarbeitet werden dürfen, welche Stelle sie verarbeitet und ob man sich gegen den Einbau der Zähler und/oder gegen die Datenverarbeitung selbst wehren kann. Die Datenschutzkonferenz hat daher eine Orientierungshilfe erarbeitet und veröffentlicht, die mehr Klarheit hinsichtlich der Rechtmäßigkeit dieser Datenverarbeitungen  für Bürgerinnen und Bürger schaffen soll.

Beschluss zum Asset-Deal

Im September 2024 hat die Datenschutzkonferenz ihren Beschluss aus dem Jahr 2019 zum „Asset-Deal“ durch einen neuen differenzierteren Beschluss ersetzt, um die Anwendung der DS-GVO stärker zu harmonisieren und den betroffenen Unternehmen einen klaren Handlungsrahmen zu bieten. Unter dem Begriff des „Asset Deal“ versteht man einen Unternehmenskauf, bei dem Wirtschaftsgüter wie beispielsweise Grundstücke, Gebäude, Maschinen und Rechte an Erwerber übertragen werden. Zu den Wirtschaftsgütern können auch Daten über Kunden, Lieferanten oder Beschäftigte gehören. Bei Einzelkaufleuten oder Handwerksbetrieben kann dies das einzige Wirtschaftsgut sein, wenn eine andere Person das Unternehmen übernimmt und den Betrieb fortführt. Daher sind unterschiedliche Rahmenbedingungen in derartigen Situationen zu berücksichtigen. In ihrem Beschluss hat die Datenschutzkonferenz detailliert festgestellt, unter welchen Voraussetzungen solche Daten an einen Nachfolger übertragen werden dürfen.

Datenerhebung für Energieausweise

Für die Erstellung verbrauchsorientierter Energieausweise werden vielfach Daten über den Energieverbrauch der Mieter:innen benötigt. Da individuelle Verbrauchswerte personenbezogene Daten der Mietparteien sind, ist der Datenschutz zu beachten.

Die Erstellung des kostengünstigeren Energieverbrauchsausweises auf Grundlage der Verbrauchsbasis der letzten Jahre ist bei Mietshäusern häufig mit dem Problem verbunden, dass die erforderlichen Verbrauchsdaten den Eigentümer:innen nicht vorliegen, wenn die Verträge zwischen den Versorgungsunternehmen und den Mieter:innen selbst bestehen. Die Versuche, die notwendigen Daten zu erhalten, können fehlschlagen, weil z. B.  die Mieter:innen ihre Abrechnungen nicht zur Verfügung stellen, ihnen die Abrechnungen nicht mehr vorliegen oder die Mietparteien zwischenzeitlich unbekannt verzogen oder verstorben sind.

Das Anliegen, die Energieverbrauchsdaten dann unmittelbar von den Versorgungsunternehmen zu erhalten, ist naheliegend und nachvollziehbar, aber nur unter bestimmten Voraussetzungen zulässig.

Im Grunde haben Vermieter:innen drei Möglichkeiten, Verbrauchsdaten der Parteien in ihren Miethäusern zu erheben.

• Da die Vermieter:innen aufgrund des datenschutzrechtlichen Grundsatzes der Datensparsamkeit die Datenverarbeitung auf das notwendige Maß zu beschränken haben, sind die Vermieter:innen grundsätzlich dazu verpflichtet, zunächst die Mieter:innen um die Herausgabe der Verbrauchsdaten, soweit diese ihnen noch vorliegen, zu bitten. Eine Pflicht zur Herausgabe der Verbrauchsdaten besteht für die Mieter:innen allerdings nicht.
• Mieter:innen können auch in die Erhebung der eigenen Verbrauchsdaten beim Energieversorgungsunternehmen einwilligen, sodass Vermieter:innen die Daten dann dort erheben können. Die Mieter:innen sind allerdings nicht zur Erteilung der Einwilligung verpflichtet
• Sollte eine Einwilligung nicht vorliegen, können Vermieter:innen nicht selbstständig die Verbrauchsdaten der Mieter:innen unmittelbar bei den Versorgungsunternehmen erfragen, da eine Rechtsgrundlage für die Datenerhebung nicht6 vorliegt. Auch die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DS-GVO liegt bzgl. des unmittelbaren Erhebens der Verbrauchsdaten der Mieter:innen beim Versorgungsunternehmen nicht vor, da die Erhebung nur zulässig wäre, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und kein Grund zur Annahme besteht, dass die betroffene Person ein schutzwürdiges Interesse an dem Ausschluss der Erhebung hat. Dabei scheitert es allerdings bereits an der Erforderlichkeit er Erhebung, da der Energieausweis auch ohne die Verbrauchsdaten erstellt werden kann, nämlich auf der Grundlage des berechneten Energiebedarfs nach § 17 Abs. 1 Satz 1 Variante 1 EnEV.

Zu einer anderen Bewertung führt auch nicht der Einwand, der Aufwand der Erstellung auf dieser Grundlage sei erheblich höher. Da der Energieausweis zehn Jahre gültig sein soll und ein hoher Aufwand lediglich bei der erstmaligen Ausstellung eines Energieausweises anfallen dürfte, überwiegt das schutzwürdige Interesse der Mieter:innen daran, dass die Verbrauchsdaten nicht ohne Weiteres übermittelt werden, das Interesse der Vermieter:innen, den hohen Aufwand zu vermeiden.

Eine Lösung wäre letztlich die Übermittlung anonymisierter Daten. Wenn die Verbrauchsdaten für ein Gebäude für mindestens drei Mietparteien als anonymisierte aggregierte Durchschnittswerte übermittelt werden, liegt kein personenbezogenes Datum vor. Die Datenschutz-Grundverordnung wäre daher nicht einschlägig.

Ende September veranstaltete der LfDI das bereits seit 2007 regelmäßig stattfindende Netzwerktreffen der behördlichen Datenschutzbeauftragten. Gemeinsam mit Vertreterinnen und Vertretern von mehr als 40 rheinland-pfälzischen Kommunen sowie mit Mitarbeitenden der kommunalen Spitzenverbände fand in den Räumlichkeiten der Verbandsgemeinde Landstuhl, der herzlicher Dank für die Gastfreundschaft gebührt, ein enger und praxisnaher Fachaustausch statt.

Auf der Tagesordnung des Netzwerktreffens standen etwa der Datenschutz in der Schule und die Digitalisierung von Verwaltungsleistungen im Rahmen des Onlinezugangsgesetzes. Auch die datenschutzrechtlichen Rahmenbedingungen bei der Erbenermittlung wurden in den Blick genommen. Vertreter der Kommunen berichteten über die Erfolge der bereits gelebten interkommunalen Zusammenarbeit im Bereich des Datenschutzes und stellten eine Software zum Datenschutzmanagement vor. Daneben gab es reichlich Raum für die Erörterung konkreter Datenschutzfälle aus Sicht der kommunalen Datenschutzbeauftragten und der Aufsichtsbehörde.

Der Verlauf der Veranstaltung sowie die individuellen Rückmeldungen haben einmal mehr gezeigt, dass der persönliche Kontakt zwischen den behördlichen Datenschutzbeauftragten und der Aufsichtsbehörde einen wichtigen Stellenwert genießt und wertvolle Impulse für die tägliche Arbeit auf beiden Seiten bieten kann.

Eine Fortsetzung des Formats ist spätestens für das zweite Quartal des kommenden Jahres geplant. Auch dann sollen die vor Ort tätigen Datenschutzbeauftragten wieder über aktuelle Entwicklungen und Schwerpunkte rund um das Thema Datenschutz informiert werden.

In vielen Online-Shops ist es gängig, für Bestellungen ein Kundenkonto anzulegen, das über den einzelnen Kauf hinaus besteht. Kundinnen und Kunden müssen jedoch frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen möchten oder nicht. Die Möglichkeit der sogenannten Gastbestellung muss beim Einkauf im Internet deshalb immer eine gleichwertige Alternative sein

Mein Team hat deshalb im August 2024 eine Informationskampagne für rheinland-pfälzische Online-Shops gestartet. Mehr als 100 Unternehmen haben wir zuvor im Rahmen einer Stichprobe auf das Vorhandensein von Gastzugängen in ihren Online-Shops hin überprüft. 13 Unternehmen, bei denen wir Mängel feststellten, wurden mit Informationsschreiben auf die Notwendigkeit der Bereitstellung von Gastzugängen für den Bestellprozess hingewiesen. Unser Ziel ist die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich.

Erfreulich ist, dass nur rund jeder zehnte der in unserer Stichprobe überprüften Online-Shops hier Mängel aufwies. Es zeigt, dass die Unternehmen in Rheinland-Pfalz das Prinzip der Datensparsamkeit grundsätzlich befolgen. Mit unserer Kampagne wollen wir nun das Erfordernis der Einrichtung von Gastzugängen auch für die weiteren Anbieter von Online-Shops in unserem Bundesland klarstellen.

Unser Podcast Datenfunk versorgt Sie regelmäßig mit aktuellen datenschutzrechtlichen Hintergründen im Audio-Format. Gerade ist die neue Folge erschienen: Digitale Souveränität vs. Digitale Kolonie – Quo vadis? Dr. Philipp Richter und ich haben uns dazu mit Prof. Dr. Harald Wehnes getroffen, Informatiker von der Universität Würzburg und Vorsitzender des Arbeitskreises „Digitale Souveränität“ der Gesellschaft für Informatik. Mit ihm sprechen wir über Lock-in-Effekte, digitale Kolonien, die Selbstbestimmung der Einzelnen im Netz, nachhaltige IT und viele weitere Aspekte, die sich hinter dem Begriff der digitalen Souveränität verbergen können. Hören Sie rein!

Kennen Sie schon Mastodon, die datenschutzfreundliche Alternative zum Kurznachrichtendienst X? Auf https://social.bund.de/@lfdi_rlp gehen wir in den Dialog mit den Nutzerinnen und Nutzern und informieren tagesaktuell über unsere Aktivitäten und Veröffentlichungen. Folgen Sie uns – ganz ohne datenschutzrechtliche Bedenken und Fallstricke.