Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,
kurz vor der Sommerpause bietet der dritte Newsletter 2019 die Möglichkeit, datenschutzrechtliche Themen frisch aufzutanken und sich über Beispiele meiner Aktivitäten der vergangenen zwei Monate zu informieren.
Da Rheinland-Pfalz im Jahr 2019 den Vorsitz der Datenschutzkonferenz (DSK) innehat, fand die 97. DSK auf rheinland-pfälzischem Boden und unter dem Motto der Freiheit in den historischen Räumlichkeiten des Hambacher Schlosses statt. Die für die Freiheiten und Rechte der betroffenen Personen kämpfenden Datenschutzaufsichtsbehörden verabschiedeten dort die sogenannte „Hambacher Erklärung“ zur Künstlichen Intelligenz, die auf keine geringe Aufmerksamkeit in Presse und Öffentlichkeit stieß. Als Reaktion auf den „Hackerangriff“ zu Jahresbeginn beschlossen die Datenschutzaufsichtsbehörden eine Orientierungshilfe an Betreiber von Online-Diensten, sie berieten in Hambach über den Brexit und vieles mehr.
In den nachfolgenden Seiten werden Sie u.a. lesen, wie ich mich im Rahmen meiner Tätigkeiten z.B. für strukturelle Verbesserungen bei der Sicherstellung von Datenschutz und Datensicherheit in den Kommunen einsetze, wie ich zum Regelungsvorschlag über die Medienöffentlichkeit in Strafverfahren des Arbeitskreises für Strafprozess- und Polizeirecht beitrage und wie ich Datenschutzbeauftragte der nicht-öffentlichen Stellen hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung informiere.
Zudem werden Sie über die Rechtsprechung in der Videoüberwachung unterrichtet, die sich hinsichtlich des Einsatzes von Videodrohnen und Videoüberwachung zur Verhinderung von Straftaten nunmehr konkretisiert.
Ich wünsche Ihnen ein spannendes und ertragreiches Lesevergnügen.
Ihr Prof. Dr. Dieter Kugelmann (LfDI) |
| |
|
|
InhaltsverzeichnisI. Datenschützer beschließen Hambacher Erklärung zur Künstlichen Intelligenz
II. Festes Zeitkontingent für Datenschutzbeauftragte von Kommunen
III. Justizielle Medienarbeit in Strafsachen
IV. Sicherheitslücken in vernetzten Videokameras
V. Drohnenabschuss im Rahmen der Selbsthilfe?
VI. Urteil des Bundesverwaltungsgerichts zur Videoüberwachung in einer Zahnarztpraxis
VII. Veranstaltung „Zentralisierung des Verfassungsschutzes?“ im Rahmen der „Mainzer Vorträge“ am 22. Mai 2019
VIII. Veranstaltung „350 Tage DSGVO – Neue Beispiele aus der täglichen Praxis“ am 16. Mai 2019 |
| |
|
|
DSKDatenschützer beschließen Hambacher Erklärung zur Künstlichen Intelligenz Die 97. Konferenz der Datenschutzbeauftragten des Bundes und der Länder tagte auf dem Hambacher Schloss
Unter dem Vorsitz des Landesbeauftragten für den LfDI Rheinland-Pfalz, Prof. Dr. Kugelmann, tagte die 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) am 3. und 4. April 2019 auf dem Hambacher Schloss. Der historische Ort des Kampfes um die Freiheit war gewählt worden, um den Willen der deutschen Datenschutzaufsichtsbehörden zu verdeutlichen, für einen effektiven Grundrechtsschutz einzutreten und ihren Beitrag zur Sicherung von Freiheit in der digitalen Welt zu leisten.
Landtagspräsident Hendrik Hering begrüßte die Teilnehmerinnen und Teilnehmer und stellte den Zusammenhang zwischen Demokratie und Datenschutz heraus. Er hob hervor:
„Die Parlamente und die Beauftragten für den Datenschutz sind Verbündete, wenn es darum geht, die Selbstbestimmung der Bürgerinnen und Bürger in einer demokratischen Gesellschaft zu schützen. Ein unabhängiger und professioneller Datenschutz ist unverzichtbar. Er ist unverzichtbar, um beides zu gewährleisten: Transparenz, wo sie möglich ist, und Privatheit und Vertraulichkeit, wo sie nötig sind.“
Hambacher Erklärung zur Künstlichen Intelligenz
Einen Schwerpunkt der Konferenz bildete die Diskussion um die Künstliche Intelligenz (KI). Die deutschen Datenschutzaufsichtsbehörden haben die Hambacher Erklärung zur KI verabschiedet. Sie nennt beispielhaft den Einsatz von KI-Systemen in der Medizin, insbesondere in der Diagnose, in der Sprachassistenz und bei der Bewertung von Bewerbungsunterlagen in der Bewerberauswahl. Aus dem geltenden Datenschutzrecht werden sieben Anforderungen abgeleitet, die bereits heute eingehalten werden müssen. So muss der Einsatz von KI-Systemen nachvollziehbar und erklärbar sein, den Grundsatz der Datenminimierung enthalten, Diskriminierungen vermeiden und benötigt technische und organisatorische Standards. Die Datenschutzaufsichtsbehörden wollen die Entwicklung begleiten und fordern Wissenschaft, Politik und Anwender auf, die Entwicklung von KI im Sinne des Datenschutzes zu steuern. Im Kern geht es darum, dass am Ende Menschen und nicht Maschinen über Menschen entscheiden.
Brexit – Vorkehrungen der Aufsichtsbehörden auf einen ungeregelten Austritt Großbritanniens aus der EU
Die DSK hat über die Konsequenzen eines ungeregelten Brexits beraten. Bereits am 8. März 2019 hat sie einen Beschluss gefasst, der auf die rechtlichen Pflichten der Verantwortlichen im Falle eines ungeregelten Austritts hinweist. Im Falle eines ungeregelten Austritts ist das Vereinigte Königreich als Drittland im Sinne der Datenschutz-Grundverordnung zu betrachten und dorthin führende Datentransfers sind dementsprechend gesondert abzusichern. In Ermangelung einer solchen Absicherung könnten Datenverarbeitungen ausgesetzt und Bußgelder verhängt werden.
Hackerangriff – Guidelines für Provider
Als Reaktion auf den Hackerangriff auf Politiker und Politikerinnen sowie Personen des öffentlichen Lebens im Januar 2019 haben die Datenschützer eine Orientierungshilfe „Anforderungen an Betreiber von Online-Diensten zur Zugangssicherung“ verabschiedet. Darin werden Online-Diensten Maßnahmen zur Zugangssicherung nach dem Stand der Technik empfohlen. Dies betreffen Vorgaben für Aufbau, Übertragung, Speicherung und Nutzung von Passwörtern sowie den Umgang mit Angriffen und fehlgeschlagenen Anmeldeversuchen.
Anwendbarkeit des Telemediengesetzes bei nicht-öffentlichen Stellen
Als Ergänzung zu der Positionsbestimmung der DSK vom 26. April 2018 bezüglich der Anwendbarkeit des Telemediengesetzes (TMG) für nicht-öffentliche Stellen ab dem Wirksamwerden der Datenschutz-Grundverordnung wurde eine Orientierungshilfe beschlossen. Die Orientierungshilfe beschäftigt sich mit der Geltung des Telemediengesetztes im Rahmen der Wirksamkeit der Datenschutz-Grundverordnung und weist darauf hin, dass die Interessensabwägung im Rahmen des Art. 6 Abs. 1 lit. f der Datenschutz-Grundverordnung auf den konkreten Einzelfall bezogen werden sollte. Insbesondere konkretisiert sie anhand von Beispielen die Interessensabwägung beim Einsatz von Tracking-Tools.
Positionspapier zur Biometrischen Analyse
Die Zahl der Analysen von Videoaufnahmen, bei der Gesichtsmerkmale erfasst und ausgewertet werden, um z.B. durch eine Analyse der Mimik Rückschlüsse auf die Gefühlslage eines Menschen (Emotional Decoding) zu erhalten oder um die Wirksamkeit von Werbung zu messen und genauer auf die gewünschten Zielgruppen zuzuschneiden, nimmt zu. Die DSK hat daher ein Positionspapier erstellt, in dem entsprechende Verfahren rechtlich bewertet und Empfehlungen zur Gestaltung abgeleitet werden.
Facebook-Fanpages – Gemeinsame Verantwortlichkeit
Nach dem Urteil des EuGH zu Facebook-Fanpages hat sich die DSK in einem Beschluss zum (Weiter-)Betrieb von Facebook-Fanpages geäußert. In diesem wird verdeutlicht, dass Fanpage-Betreiber die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und in der Lage sein müssen, die Einhaltung der Grundsätze der Verarbeitung (Art. 5 Abs. 1 DSGVO) nachzuweisen. Die DSK unterstreicht die datenschutzrechtliche Verantwortlichkeit sowohl von Facebook wie der Fanpage-Betreiber und erwartet, dass sie ihrer Verantwortung entsprechend nachkommen.
|
| |
|
|
KommunalesFestes Zeitkontingent für Datenschutzbeauftragte von Kommunen Im Rahmen des Projekts “Datenschutz update in der Kommunalverwaltung“ wurde vom LfDI Rheinland-Pfalz nach Möglichkeiten gesucht, strukturelle Verbesserungen bei der Sicherstellung von Datenschutz und Datensicherheit in den Kommunen herauszuarbeiten. Als ein Ergebnis wurde der maßgebliche Anteil einer bzw. eines kommunalen Datenschutzbeauftragten daran festgestellt, dass Kommunen dazu in der Lage sind, die ihnen übertragenen Aufgaben effektiv und zugleich datenschutzgerecht erfüllen zu können.
Um diese Feststellung zu konkretisieren, wurde zusätzlich zur Vorlage von Best-Practice-Empfehlungen zur Stärkung des Datenschutzes in der Kommunalverwaltung ein Papier zur Stellenbemessung und Stellenbewertung der Funktion des kommunalen Datenschutzbeauftragten erstellt und eine Empfehlung zur Höhe des Personalbedarfes für diese Aufgabe getroffen. Diese Empfehlung konnte durch eine Abstimmung mit dem Rechnungshof RP mit einer gemeinsamen Position abgesichert werden.
Im Einzelnen soll Folgendes gelten:
1. Die Bewertung der Stelle einer bzw. eines Datenschutzbeauftragten ist bis zur Besoldungsgruppe A 11 möglich.
2. Als Personalbedarf für die Wahrnehmung der Funktion der bzw. des Datenschutz-beauftragten kann in Kreisverwaltungen sowie in Verwaltungen kreisfreier und großer kreisangehöriger Städte grundsätzlich bis zu 50 % einer Vollzeitarbeitskraft angesetzt werden.
Vorübergehend kann in einer Phase der Implementierung und Umsetzung des Datenschutzrechts in diesen Verwaltungen befristet bis 25. Mai 2020 nach einer Einzelfallbetrachtung der Personalbedarf auch mehr als 50 % betragen.
3. Als Personalbedarf für die Wahrnehmung der Funktion der bzw. des Datenschutzbeauftragten kann in Verwaltungen von Verbandsgemeinden und verbandsfreien Gemeinden mit über 30.000 Einwohnern grundsätzlich bis zu 50 % einer Vollzeitarbeitskraft angesetzt werden.
Als Personalbedarf kann in Verwaltungen von Verbandsgemeinden und verbandsfreien Gemeinden mit 12.000 bis 30.000 Einwohnern grundsätzlich bis zu 30 % einer Vollzeitarbeitskraft angesetzt werden.
In Verwaltungen von solchen Gemeinden mit weniger als 12.000 Einwohnern kann der Personalbedarf diesen Wert von 30 % auch unterschreiten.
Vorübergehend kann in einer Phase der Implementierung und Umsetzung des Datenschutzrechts in den Verwaltungen von Verbandsgemeinden und verbandsfreien Gemeinden bis 30.000 Einwohnern befristet bis 25.05.2020 nach einer Einzelfallbetrachtung der Personalbedarf auch mehr als 30 % bis 50 % betragen.
Bei einer solchen Einzelfallbetrachtung kann berücksichtigt werden, dass auch die Wahrnehmung der Funktion der bzw. des Datenschutzbeauftragten von Ortsgemeinden, Kindertagesstätten in kommunaler Trägerschaft oder Jagdgenossenschaften erfolgt (Art. 37 Abs. 3 DS-GVO), die als öffentliche Stellen gemäß Art. 37 Abs. 1 lit. a DS-GVO auf jeden Fall eine Datenschutzbeauftragte bzw. einen Datenschutzbeauftragten zu benennen haben.
Nach dem Abschluss dieser Phase der Implementierung und Umsetzung des Datenschutzrechts soll die Höhe des für die Erledigung der Aufgaben einer bzw. eines Datenschutzbeauftragten notwendigen Zeitkontingents auf der Basis einer Evaluation neu bewertet werden.
Eine Pflicht für eine entsprechende Ausweisung im Stellenplan einer Kommune ist damit nicht verbunden. Die Entscheidung darüber obliegt im Rahmen der Reichweite der Selbstverwaltungsgarantie letztlich der Organisations- und Personalhoheit des Dienstherrn. |
| |
|
|
JustizJustizielle Medienarbeit in Strafsachen
Am 6. Mai 2019 stellte der Arbeitskreis Strafprozessrecht und Polizeirecht in einer Tagung an der Akademie der Wissenschaften und der Literatur in Mainz einen Gesetzentwurf zur Justiziellen Medienarbeit in Strafsachen vor.
In vier neuen Paragraphen für die Strafprozessordnung (StPO) regelt der Entwurf, wann und in welchem Umfang Staatsanwaltschaft und Gerichte verpflichtet sind, den Medien Auskünfte zu erteilen und unter welchen Voraussetzungen sie diese verweigern können.
Mit seinem Regelungsvorschlag möchte der Arbeitskreis Rechtssicherheit für die Strafverfolgungsbehörden herstellen und die Interessen der effektiven Strafrechtspflege, der freien Berichterstattung der Medien sowie der informationellen Selbstbestimmung der Beschuldigten in einen schonenden Ausgleich bringen.
In der anschließenden Podiumsdiskussion diskutierten der LfDI, Prof. Dr. Dieter Kugelmann und Vertreter des Ministeriums der Justiz, der Anwaltschaft und der Medien über das „Minenfeld zwischen Pressefreiheit, Persönlichkeitsrecht und Unschuldsvermutung“, das Auskünfte durch Justizbehörden an Medien sein können.
Ob der Gesetzesentwurf in der Praxis berücksichtigt wird, bleibt abzuwarten. |
| |
|
|
VideoüberwachungSicherheitslücken in vernetzten Videokameras
Experten des Chaos Computer Clubs haben Sicherheitslücken in zahlreichen vernetzten Videoüberwachungskameras des renommierten Herstellers ABUS entdeckt. Da eine Aktualisierung der Software nicht möglich ist, bietet ABUS ein Austauschprogramm für betroffene Kameras an.
Anlässlich dieser Ereignisse wird darauf hingewiesen, dass nicht nur die Erforderlichkeit und die Ausrichtung einer Videoüberwachung regelmäßig zu überprüfen sind. Gerade bei vernetzten IP-Kameras sind die regelmäßige Aktualisierung der verwendeten Software und die Absicherung der verwendeten Netze zwingend notwendig. Vom Erwerb von IP-Kameras, deren Hersteller keine regelmäßigen Software-Updates zusichern können, sollte mit Blick auf die Anforderungen des Art. 32 DS-GVO (Datenschutzgestaltung nach dem Stand der Technik) Abstand genommen werden. |
| |
|
|
VideoüberwachungDrohnenabschuss im Rahmen der Selbsthilfe?
Unlängst machte ein Urteil des Amtsgerichts Riesa Schlagzeilen, in dem der Abschuss einer Videodrohne gemäß § 229 BGB - Selbsthilfe für gerechtfertigt erachtet wurde. Der LfDI wird die rechtswissenschaftliche Diskussion zu dieser Frage aufmerksam beobachten. Nach Berichtslage dürfte es in dem entschiedenen Fall in der Tat schwierig gewesen sein, rechtzeitig staatliche Hilfe zu erlangen. Auch die Rechtsbeeinträchtigung durch Videoaufnahmen direkt in den privaten, auch von Kindern genutzten, Garten hinein ist erheblich. Der Betrieb von privaten Videodrohnen in Wohngebieten ist regelmäßig aus einer Vielzahl von Gründen unzulässig. Das bedeutet aber nicht, dass nun alle Drohnen zum Abschuss freigegeben sind. Dennoch muss beim rechtswidrigen Betrieb bereits bei erstmaligen Verstößen mit Bußgeldern gerechnet werden. Weiterführende Informationen finden Sie im Positionspapier der Datenschutzkonferenz vom 29. Januar 2019. |
| |
|
|
VideoüberwachungUrteil des Bundesverwaltungsgerichts zur Videoüberwachung in einer Zahnarztpraxis
Das Bundesverwaltungsgericht (Bundesverwaltungsgericht, Urteil v. (27. März 2019), Az. (6 C 2/18) hat die Rechtsauffassung der brandenburgischen Aufsichtsbehörde bestätigt, dass die Videoüberwachung in einer Zahnarztpraxis unzulässig war. Das Urteil ist auch deshalb von grundsätzlicher Bedeutung, weil bestätigt wird, dass sich die Zulässigkeit privater Videoüberwachungen nach Art. 6 Abs. 1 lit. f DS-GVO bestimmt und nicht nach § 4 BDSG. Weiterhin wird klargestellt, dass es sich auch bei einem so genannten Live-Monitoring (auch Videobeobachtung) um eine Datenverarbeitung handelt. Das Bundesverwaltungsgericht stellt darüber hinaus klar, dass eine Videoüberwachung zur Verhinderung von Straftaten nur dann erforderlich ist, wenn eine erheblich über das allgemeine Lebensrisiko hinausgehende Gefährdungslage plausibel dargelegt wird. Für Verfahren in Rheinland-Pfalz bedeutet dies, dass ein pauschaler Sachvortrag hierzu regelmäßig nicht ausreicht. Vielmehr sollte die Gefährdungslage substantiiert anhand konkreter, dokumentierter Vorfälle belegt werden. |
| |
|
|
VeranstaltungenVeranstaltung „Zentralisierung des Verfassungsschutzes?“ im Rahmen der „Mainzer Vorträge“ am 22. Mai 2019
Im Rahmen der Veranstaltungsreihe „Mainzer Vorträge“ referierte Prof. Dr. Klaus Ferdinand Gärditz über die Zentralisierung des Verfassungsschutzes. Hintergrund dafür ist, dass sich Vorschläge mehren, den Verfassungsschutz stärker beim Bund zu konzentrieren oder sogar einzelne Verfassungsschutzämter der Länder abzulösen. Der Vortrag erörterte, welchen Spielraum die bundesstaatliche Kompetenzarchitektur für eine solche Zentralisierung lässt. Weitreichende Reformen seien auch ohne Verfassungsänderung, teils sogar ohne Änderung des geltenden Verfassungsrechts, realisierbar.
|
| |
|
|
VeranstaltungenVeranstaltung „350 Tage DSGVO – Neue Beispiele aus der täglichen Praxis“ am 16. Mai 2019
Am 16. Mai 2019 fand die Veranstaltung „350 Tage DSGVO – Neue Beispiele aus der täglichen Praxis“ bei Boehringer Ingelheim in Kooperation mit SCHOTT AG, BASF SE, Birkenstock und dem LfDI Prof. Dr. Kugelmann statt.
Ziel der Veranstaltung war ein Erfahrungsaustausch über die Anwendung der Datenschutz-Grundverordnung zwischen Wirtschaft (BASF, Schott AG, Boehringer Ingelheim, Birkenstock) und Datenschutzaufsichtsbehörde. Dabei wurden die Vorträge der Veranstaltung „292-Tage DSGVO – Beispiele aus der täglichen Praxis“, die am 12. März 2019 stattgefunden hat, aufgrund der großen Resonanz wiederholt und mit neuen Beispielen aus der Praxis bestückt.
Thema der Vorträge waren u.a. die Umsetzung der Informationspflichten der Datenschutz-Grundverordnung, die Auftragsverarbeitung sowie die Etablierung eines Data-Breach-Prozesses.
In einer anschließenden Podiumsdiskussion hatte das primär aus betrieblichen Datenschutzbeauftragten bestehende Publikum die Möglichkeit, Fragen zu stellen.
|
|
|
