Liebe Leserinnen und Leser, liebe Nutzerinnen und Nutzer, seit mittlerweile fünf Jahren bin ich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz. Die Tätigkeit macht mir weiterhin viel Spaß. Wenn ich die Zeit Revue passieren lasse, dann zeigt sich, wieviel passiert ist – zuvörderst das Wirksamwerden der Datenschutz-Grundverordnung und die Europäisierung des Datenschutzes. Es sind überdies das neue Landesdatenschutzgesetz sowie weitere Landesgesetze mit Bezug zum Datenschutz verabschiedet worden. Urteile des Europäischen Gerichtshofs wie zu "Safe Harbor" und "Schrems II" haben dazu geführt, dass die Datenschutzbehörden in den Ländern und im Bund sich rasch abstimmen mussten und dies auch weiterhin tun. Es ist herausfordernd und sehr spannend, wie sich in diesen Zeiten die Datenverarbeitung und dementsprechend der Datenschutz weiterentwickeln. In dieser bewegenden Zeit haben ich und meine Mitarbeiterinnen und Mitarbeiter staatliche Stellen, Unternehmen, Verbände, Vereine und Bürgerinnen und Bürger beraten. Unser Augenmerk lag auch darauf, Sorgen zu nehmen. Die Datenschutz-Grundverordnung ist – wie sich gezeigt hat – aber vor allem ein wirksames Instrument, um gegen Datenschutzverstöße vorzugehen und die Freiheitsrechte der Bürgerinnen und Bürger zu verteidigen. Einer meiner Schwerpunkte in den kommenden Jahren soll auf Fragen des Datenschutzes mit Blick auf Künstliche Intelligenz liegen: Als Gesellschaft müssen wir frühzeitig über Regeln und Leitlinien nachdenken. Es besteht etwa die Gefahr, dass mit Hilfe von Gesichtserkennungssystemen danach gestrebt wird, vollautomatisierte Überwachungsprofile zu erstellen. Wer Zusätzliches zu meinen Erfahrungen, etwa einer Notfallsitzung am Frankfurter Hauptbahnhof, und zu meinen Schwerpunkten erfahren möchte, kann sich gerne hierzu in unserer neuen Podcast-Folge und in einem Kurzvideo informieren. Zunächst wünsche ich Ihnen aber viel Spaß beim Lesen des neuen Newsletters. Bleiben Sie weiterhin gesund! Ihr Professor Dr. Dieter Kugelmann |
| |
|
|
InhaltsverzeichnisI. Datenschützer setzen sich für digitale Souveränität ein II. Zehn Jahre Datenschutz-Schülerworkshops III. Videokonferenzsysteme an Schulen IV. Podcast zum Schuljahresbeginn V. EuGH-Urteil zur Vorratsdatenspeicherung VI. Bundesweite Datenpanne bei Kontakterfassung VII. Veranstaltung des LfDI zum Tag der Informationsfreiheit VIII. Auskunfteien planen Datenbank zu Strom- und Gaskunden IX. Gesetzentwurf zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur X. Umfang des Auskunftsanspruchs in der Heilbehandlung XI. Neue Orientierungshilfe zur Videoüberwachung XII. Pressekonferenz „Best of Datenschutz“ XIII. Datenschutz im geplanten Polizeigesetz |
| |
|
|
Datenschutzkonferenz / Software / MicrosoftI. Datenschützer setzen sich für "digitale Souveränität" der öffentlichen Verwaltung ein Vor dem Hintergrund einer wachsenden Abhängigkeit von marktbeherrschenden Softwareanbietern hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine datenschutzpolitische Positionierung zur digitalen Souveränität der öffentlichen Verwaltung vorgenommen. Unter digitaler Souveränität wird hier die die Möglichkeit verstanden, in der digitalen Welt selbstständig, selbstbestimmt und sicher agieren zu können. In der Praxis können viele öffentliche Verwaltungen derzeit jedoch nicht selbstbestimmt handeln, weil sie von großen Software-Firmen abhängig sind und weil in der IT-Landschaft besondere technische Zwänge bestehen. Die DSK sieht die digitale Souveränität der öffentlichen Verwaltung beeinträchtigt und regt daher an, verstärkt alternative Softwareprodukte sowie Open-Source-Produkte einzusetzen. Dadurch könne "die Unabhängigkeit der öffentlichen Verwaltung von marktbeherrschenden Softwareanbietern dauerhaft sichergestellt werden", heißt es in einer Entschließung, die auf der Datenschutzkonferenz beschlossen wurde. Die DSK hat überdies eine vorläufige Bewertung von "Microsoft Office 365" vorgenommen und ein entsprechendes Positionspapier des Arbeitskreises Verwaltung mehrheitlich zustimmend zur Kenntnis genommen. Dieses kommt zu dem Ergebnis, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft (Stand Januar 2020) kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei. Die DSK hat daher einhellig beschlossen, eine Arbeitsgruppe einzurichten, die auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Über die Notwendigkeit solcher Nachbesserungen besteht in der DSK Einigkeit. Bei der DSK-Zwischentagung wurde überdies beschlossen, zu dem wegweisenden Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in die USA (Schrems II) eine Taskforce zu gründen, die eine bundesweite Abstimmung der Vorgehensweise sicherstellen und eine Strategie für die Durchsetzung erarbeiten soll. Die DSK hat zudem ein überarbeitetes "Kurzpapier" zum Beschäftigtendatenschutz verabschiedet: Es dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich und zeigt, wie die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Zudem fordert die DSK, die erstinstanzliche Zuständigkeit der Landgerichte für Geldbußen über 100.000 Euro dort zu belassen. |
| |
|
|
Bildung / SchulenII. Zehn Jahre Datenschutz-Schülerworkshops Vor zehn Jahren, am 22. September 2010, ist in Rheinland-Pfalz der erste Datenschutz-Schülerworkshop des Landesbeauftragten für den Datenschutz und die Informationsfreiheit durchgeführt worden. Seitdem haben Honorarkräfte in 4.728 Workshops Schülerinnen und Schüler in Fragen des digitalen Selbstdatenschutzes informiert. Ziel des Projekts ist es, junge Menschen für einen sichereren Umgang mit Daten im Internet zu sensibilisieren und vor Gefahren zu schützen. Die Schülerworkshops haben sich zu einem festen Bestandteil der Medienkompetenzbildung des Landes entwickelt. Es sind mittlerweile rund 125.000 Schülerinnen und Schüler erreicht worden. In den ersten Jahren sind rund 300 Workshops pro Jahr angefragt und durchgeführt worden, die Zahl ist mittlerweile auf über 500 angestiegen. Für die Workshops hat der LfDI ein Team aus rund 20 Referentinnen und Referenten eigens ausgebildet. Diese werden in regelmäßigen Schulungen pädagogisch, rechtlich und technisch fortgebildet. Die Workshops können für die Schulen kostenfrei stattfinden, weil sie zu großen Teilen durch das rheinland-pfälzische Verbraucherschutzministerium gefördert werden. Die Schülerworkshops behandeln Themen wie Datenschutz als Bürgerrecht, Geschäftsmodelle von Sozialen Netzwerken, Selbstdatenschutz, Smartphones und Apps sowie aktuelle datenschutzpolitische Fragen. War Rheinland Pfalz mit der Idee der Datenschutzworkshops für Schulen im Jahr 2010 Vorreiter, so bieten mittlerweile auch andere Länder wie das Saarland Workshops für die junge Zielgruppe an. Inhaltich werden die Themen ständig an neue Entwicklungen angepasst. Während beispielsweise vor zehn Jahren nur wenige Schülerinnen und Schüler über Smartphones verfügten, sind diese mittlerweile zum Hauptkommunikations- und Informationsmedium geworden. Dementsprechend geht es in den Workshops mittlerweile viel um Handynutzung und Apps. Das Thema „Recht am eigenen Bild“ ist durch die Handys zu einem viel größeren Problem an den Schulen geworden, weshalb der LfDI hierzu unlängst ein Erklärvideo sowie einen eignen Flyer herausgegeben hat. |
| |
|
|
Bildung / Schulen / VideokonferenzenIII. Schulen müssen bei Videokonferenzsystemen Datenschutz sicherstellen Im laufenden Schuljahr 2020/2021 stehen die rheinland-pfälzischen Schulen in Sachen Datenschutz vor großen Herausforderungen. Es ist insbesondere wichtig, dass bei der Auswahl und Nutzung von Videokonferenzsystemen der Datenschutz sichergestellt ist. Professor Dieter Kugelmann sagt: "Nach dem vor wenigen Wochen bekannt gegebenen Urteil des Europäischen Gerichtshofs "Schrems II" ist es derzeit für Unternehmen, Einrichtungen und auch Schulen nur sehr bedingt möglich, personenbezogene Daten rechtmäßig in Staaten wie die USA zu übermitteln. Die Folge ist, dass die unmittelbare Nutzung von Videokonferenzsystemen US-amerikanischer Anbieter, abgesehen von der gegenwärtig genutzten Übergangslösung, für den Schulunterricht bis auf Weiteres nicht in Betracht kommt. Schulen sollten stattdessen auf europäische Anbieter zurückgreifen und solche bevorzugen, bei denen keine Verarbeitung der Daten von Nutzerinnen und Nutzer stattfindet." Aus Sicht des LfDI ist eine gute Lösung das vom rheinland-pfälzischen Bildungsministerium angekündigte Angebot, wonach das System Big Blue Button genutzt und auf den Servern der Johannes Gutenberg-Universität in Mainz betrieben werden soll; die Daten sollen nur dort verarbeitet und gespeichert werden. Übergangsweise ist auch zu vertreten, auf Lösungen zurückzugreifen, bei denen amerikanische Anbieter nur beteiligt sind, die Systeme aber in Deutschland betrieben ("gehostet") werden: Das Bildungsministerium hat in diesem Sinne ein Angebot unterbreitet, bei dem Cisco Webex zum Einsatz kommt. In jedem Fall ist es sinnvoll, dass die rheinland-pfälzischen Schulen auf die zentralen, vom Land empfohlenen oder bereitgestellten Angebote zurückgreifen. Da nach dem neuen Schulgesetz digitale Lösungen regelmäßig ohne Einwilligung der Erziehungsberechtigten genutzt werden können, ist damit eine neue Situation eingetreten. Es ist wenig zielführend, wenn an den Schulen jeweils eigene Wege gegangen werden und Überlegungen angestellt werden, welches Videokonferenzsystem datenschutzkonform sein dürfte. |
| |
|
|
Podcast / SchulenIV. Podcast zum Schuljahresbeginn Zum Schuljahresbeginn gab es eine neue Folge des Podcast „Datenfunk“ mit dem Titel „Die Datenschutzschultüte - Wissenswertes zum Schuljahresbeginn“. In der Folge wird die Datenschutzschultüte mit Themen gefüllt, so dass für jeden und jede etwas drin sein dürfte: für Schulleitungen, Lehrerinnen und Lehrer, Schülerinnen und Schüler sowie ihre Eltern. Philipp Richter, Friedhelm Lorig und Dominique Braun packen die Datenschutzschultüte aus und geben Hinweise für den datenschutzgemäßen Start ins Schuljahr. |
| |
|
|
Urteil / EuropaV. Europäischer Gerichtshof bestätigt Verbot von flächendeckender Vorratsdatenspeicherung Der Europäische Gerichtshof (EuGH) hat in einem Urteil bekräftigt, dass eine anlasslose Vorratsdatenspeicherung grundrechtswidrig sei. Professor Dieter Kugelmann betont: "Der EuGH bestätigt seine bisherige Linie und bekräftigt die Sicht der Datenschützer. Eine flächendeckende, dauerhafte Vorratsdatenspeicherung ist nicht mit dem Telekommunikationsgeheimnis und dem Recht auf informationelle Selbstbestimmung vereinbar.“ In dem Urteil ging es um einzelne Regelungen zur Vorratsdatenspeicherung in Frankreich, Belgien und Großbritannien, allerdings lässt die erneute Rechtsprechung Rückschlüsse für Deutschland zu. Kugelmann sagt: „Das vorliegende, aber ausgesetzte Bundesgesetz muss anhand der heute vorgelegten Kriterien neu überprüft werden. In jedem Fall steht fest: Eine breite, pauschale Speicherung personenbezogener Daten ist mit unserer Verfassung und dem Recht der Europäischen Union nicht vereinbar. Es ist zu hoffen, dass künftig keine weiteren Versuche unternommen werden, in Deutschland eine anlasslose Vorratsdatenspeicherung einzuführen. Die flächendeckende Vorratsdatenspeicherung erscheint immer mehr wie ein Untoter: Er taucht immer wieder auf und spukt grundrechtwidrig umher." |
| |
|
|
Corona / Kontakterfassung / DatenpanneVI. Auswirkungen der bundesweiten Datenpanne bei der Kontakterfassung auf rheinland-pfälzische Gastronomiebetriebe Im August haben Meldungen für Wirbel gesorgt, wonach Sicherheitslücken bei einem in Bremen ansässigen Dienstleister dazu geführt haben sollen, dass bundesweit Millionen Kontakterfassungsdaten aus der Gastronomie leicht zugänglich gewesen seien. Auch Gäste von Restaurants in Rheinland-Pfalz sind betroffen. Im August 2020 wurde das Bremer Unternehmen durch einen Sprecher des Chaos Computer Club e.V. (CCC) darüber informiert, dass der CCC das System auf Schwachstellen untersucht und dabei auch Zugriff auf Gästedaten erhalten habe. Dabei handelte es sich sowohl um Reservierungs- als auch um Kontakterfassungsdaten zur Nachverfolgung bei einem Corona-Infektionsfall. Das Bremer Unternehmen informierte die betroffenen Gastronomiebetreiber bereits Ende August über diesen Datenabfluss. Mittlerweile ist bekannt, dass auch Gästedaten von 18 Gastronomen in Rheinland-Pfalz abgeflossen sind. Bisher liegen lediglich von zwei Unternehmen sogenannte Datenpannenmeldungen nach Art. 33 DS-GVO vor. In einer Pressemitteilung vom 31. August 2020 informierte der LfDI über die Meldepflicht der Gastronomen bei einer solchen Datenpanne. Die betroffenen Gastronomen, von denen keine Meldungen vorliegen, wurden zwischenzeitlich vom LfDI angeschrieben und zur Stellungnahme bezüglich der unterlassenen Datenpannenmeldung aufgefordert. Der LfDI steht mit der für den Bremer Dienstleister zuständigen Aufsichtsbehörde in Kontakt. Im Zuge dessen ist auch zu klären, ob und wie zwischen dem Bremer Dienstleistungsunternehmen und den örtlichen Restaurants die Verantwortlichkeit für die Löschung der Daten aus der Kontakterfassung geregelt wurde. |
| |
|
|
Informationsfreiheit / UmweltinformationenVII. LfDI organisiert Online-Veranstaltung zum Tag der Informationsfreiheit Zum Tag der Informationsfreiheit hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz online ein Diskussionsforum veranstaltet. Zentrales Thema war die Transparenzplattform des Landes, wo staatliche Stellen proaktiv Informationen veröffentlichen müssen. Die Transparenzplattform wird ab dem 1. Januar 2021 in vollem Umfang zur Verfügung stehen. Transparenzpflichtige Stellen wie Kommunen müssen ab dann eine Reihe von Umweltinformationen veröffentlichen. Folgende Fragen standen bei dem Forum unter anderen im Fokus: Wie kann der Zugang zu Umweltinformationen den Umweltschutz voranbringen? Vor welchen Herausforderungen stehen öffentliche Stellen? Welche neuen Möglichkeiten eröffnen sich Journalistinnen und Journalisten? Die Diskussion wurde von Professor Dieter Kugelmann moderiert. Es nahmen teil: Dr. Thomas Griese, Staatssekretär im Ministerium für Umwelt, Energie, Ernährung und Forsten des Landes Rheinland-Pfalz; Sabine Yacoub, Landesvorsitzende BUND Rheinland-Pfalz; Mathilda Kähler, Vertreterin der Bewegung „Fridays for Future Deutschland“, und Dr. Felix Zimmermann, ZDF-Rechtsredaktion. Der Internationale Tag der Informationsfreiheit („International Day for Universal Access to Information“) findet jedes Jahr am 28. September statt. Er wurde im November 2015 von der Generalkonferenz der UNESCO ins Leben gerufen und im Oktober 2019 durch die Generalversammlung der Vereinten Nationen offiziell anerkannt. |
| |
|
|
Auskunfteien / WirtschaftVIII. Wirtschaftsauskunfteien planen Datenbank zu Strom- und Gaskunden Bei der Wahl des Strom- und Gasanbieters können Kunden durch einen regelmäßigen Preisvergleich und den Wechsel des Anbieters von günstigeren Preisen oder besonderen Angeboten für Neukunden profitieren. Häufig wechselnde Kunden sind in der Regel jedoch weniger interessant als langfristige Kunden. Daher haben die Anbieter ein Interesse daran, möglichst schon vor Vertragsabschluss in Erfahrung zu bringen, wie häufig potentielle Kunden ihren Energieanbieter wechseln. Berichten des NDR sowie der Süddeutschen Zeitung zufolge planen zwei große deutsche Auskunfteien eine Datenbank, in denen Vertragsdaten von Strom- und Gaskunden branchenweit gespeichert werden sollen. Diese Daten könnten dann möglicherweise von den Energieanbietern abgefragt werden, um Daten zur Laufzeit der Verträge und das Wechselverhalten von Kunden bereits vor Vertragsschluss zu erfahren. So ist es denkbar, dass die Strom- und Gasanbieter häufig wechselnden Kunden andere Konditionen anbieten oder diese sogar gänzlich ablehnen. Sofern Kunden in die Speicherung und Beauskunftung solcher Vertragsdaten nicht ausdrücklich eingewilligt haben, ist die Verarbeitung auch etwa zulässig, soweit die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und sofern nicht die Interessen der betroffenen Kunden überwiegen (Art. 6 Abs. 1 lit. f DS-GVO). Dass hier der Datenschutz der Kunden hinter den Interessen der Energieanbieter zurückstehen muss, ist aus Sicht des LfDI jedoch zweifelhaft, wie der Landesdatenschutzbeauftragte Dieter Kugelmann gegenüber dem SWR sagte. Vorliegend kann die Datenbank dazu genutzt werden, solche Kunden auszufiltern, welche sich völlig vertragsgemäß verhalten, indem sie von den ihnen gesetzlich zustehenden Kündigungsrechten Gebrauch machen. In diesem Falle würden die Anbieter lediglich das gewöhnliche wirtschaftliche Risiko der Wettbewerbssituation am Markt zu Lasten des Datenschutzes auf die betroffenen Kunden abwälzen. Ebenso besteht die Gefahr, dass bestimmte Kunden benachteiligt werden. Inwieweit die Speicherung dieser Daten und die Erteilung von Auskünften über Wechselkunden von Energieanbietern zulässig sind, wird zwischen den Aufsichtsbehörden der Länder und des Bundes derzeit noch abgestimmt. |
| |
|
|
Gesundheit / BundesgesetzIX. Gesetzentwurf zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur Der Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) wurde am 3. Juli 2020 vom Deutschen Bundestag verabschiedet. Mit dem Gesetzentwurf beabsichtigt die Bundesregierung, digitale Angebote wie zum Beispiel die elektronische Patientenakte oder das E-Rezept schnell in die Gesundheitsversorgung zu bringen. Der Gesetzentwurf soll mit Beginn des Jahres 2021 in Kraft treten. Im Gesetzgebungsverfahren hatten sich die Datenschutz-Aufsichtsbehörden des Bundes und der Länder in mehreren Stellungnahmen zu dem Gesetzentwurf geäußert und dabei auf gravierende Defizite hingewiesen. Die Einwände wurden weitestgehend nicht berücksichtigt. Haupt-Kritikpunkte aus datenschutzrechtlicher Sicht sind: 1. Zugriffsrechtemanagement auf die elektronische Patientenakte im Jahr 2021 Nach dem PDSG wäre es rechtlich ausreichend, wenn die Krankenkassen im Jahr 2021 den Versicherten eine elektronische Patientenakte (ePA) zur Verfügung stellen, die lediglich ein grobes Zugriffsmanagement erlaubt. Dies bedeutet, dass die Versicherten einzelnen Leistungserbringern entweder den Zugriff auf alle in die ePA eingestellte Dokumente erteilen oder diesen komplett versagen können. Gleiches gilt für Dokumente, die die Versicherten selbst in die ePA eingestellt haben. Erst ab dem Jahr 2022 sind die Krankenkassen gesetzlich verpflichtet, ein feingranulares, also dokumentenbezogenes Zugriffsmanagement auf die ePA bereitzustellen. Nach Überzeugung der Datenschutz-Aufsichtsbehörden wird das für das Jahr 2021 gesetzlich zugelassene nur grobe Zugriffsmanagement dem nach dem PDSG grundsätzlich garantierten Prinzip der Patientensouveränität und damit dem Recht auf informationelle Selbstbestimmung nicht gerecht. Denn sobald sich ein Versicherter im Jahre 2021 für die Nutzung der ePA entscheidet, wäre er nicht in der Lage, den ihn behandelnden Leistungserbringern differenziert und damit selbstbestimmt Zugang zu den einzelnen Inhalten der ePA zu gewähren. 2. Zugang der Versicherten ohne geeignetes Endgerät zur ePA Entgegen der im ursprünglichen Gesetzentwurf vorgesehenen Regelung enthält die nun vom Bundestag verabschiedete Fassung keine rechtliche Verpflichtung der Krankenkassen mehr, flächendeckend und barrierefrei eine technische Infrastruktur bereitzustellen, damit Versicherte Daten in der ePA auslesen und löschen sowie Zugriffsberechtigungen auf Daten in der ePA verteilen können (sog. Kassenterminals). Versicherte, die selbst nicht über ein geeignetes Endgerät wie Smartphone oder Tablet verfügen, haben dann keine Möglichkeit, eigenständig ihre Betroffenenrechte auszuüben. Ihnen verbleibt lediglich die gesetzlich vorgesehene Option der Beauftragung eines Vertreters. Datenschutzrechtlich steht dies in Widerspruch zu den Vorgaben der EU Datenschutz-Grundverordnung. Hiernach müssen die betroffenen Personen unmittelbar und ohne Einschaltung Dritter in der Lage sein, ihre Rechte selbst auszuüben. Dies wäre nach der aktuellen Gesetzesfassung nicht mehr gewährleistet. 3. Authentifizierungsverfahren Das PDSG sieht vor, dass sich Versicherte auch ohne den Einsatz ihrer elektronischen Gesundheitskarte und die Eingabe einer PIN Zugang zu ihrer ePA verschaffen können. Hierzu bedarf es eines sicheren Authentifizierungsverfahrens. Die Gesetzesbegründung legt in diesem Zusammenhang fest, dass nur solche Verfahren als geeignet qualifiziert werden dürften, die dem hohen Schutzbedarf der Daten, auf die zugegriffen werden soll, Rechnung tragen. Aus Sicht der Datenschutz-Aufsichtsbehörden ist nicht sichergestellt, dass das seitens des Bundesgesundheitsministeriums bewertete Verfahren „Alternative Versichertenidentität (al.vi)“ diesen Anforderungen gerecht wird. Aufgrund der dargestellten Defizite hat die Datenschutzkonferenz in einer Entschließung vom 1. September 2020 datenschutzrechtliche Verbesserungen an dem Gesetzentwurf angemahnt. Ob darüber hinaus die einzelnen Datenschutz-Aufsichtsbehörden gegenüber den Krankenkassen noch aufsichtsrechtliche Maßnahmen ergreifen, entscheiden diese im Rahmen ihrer Zuständigkeit. Während der BfDI dies befürwortet, ist der LfDI derzeit eher abwartend. Hintergrund sind die strikten technischen Spezifikationen der Gesellschaft für Telematik, die den Krankenkassen eine Abweichung von den im PDSG enthaltenen Vorgaben faktisch unmöglich machen. |
| |
|
|
Gesundheit / SicherheitX. Umfang des Auskunftsanspruchs in der Heilbehandlung Bereits der Februar-Newsletter 2020 stellte die Rechtsauffassung des LfDI zum Umfang des Auskunftsanspruchs der Patienten im Rahmen einer Heilbehandlung dar. Danach umfasst der Anspruch nach Art. 15 Abs. 3 DS-GVO regelmäßig die unentgeltliche Bereitstellung einer vollständigen Kopie der Behandlungsdokumentation, sofern dies dem Auskunftsbegehren der Patienten entspricht. Im Vergleich zu der Rechtslage vor dem Wirksamwerden der Datenschutz-Grundverordnung bedeutet dies eine wesentliche Änderung für die betroffenen Praxen und Gesundheitseinrichtungen. Denn anders als bislang haben sie die für die Erstellung der ersten Ausfertigung einer Kopie anfallenden Kosten nun selbst zu tragen. Diese Rechtsauffassung wurde zwischenzeitlich auch gerichtlich bestätigt. Das Landgericht Dresden hat in seiner jetzt veröffentlichten Entscheidung vom 29.05.2020 eindeutig klargestellt, dass die Erstauskunft im Behandlungskontext kostenfrei sei, sofern sich die Patienten zur Begründung des Auskunftsersuchens auf Art. 15 Ans. 3 DS-GVO berufen. Dem stehe auch nicht entgegen, dass bei der Anforderung einer Kopie der Krankenakte auf der Grundlage des zivilrechtlichen Auskunftsanspruchs nach § 630 g BGB die Patienten die Kosten für eine Erstauskunft selbst tragen müssen. Die Regelung des § 630 g BGB habe keinen Vorrang vor den Bestimmungen des Art. 15 Abs. 3 DS-GVO. Denn eine Reglung auf nationaler Ebene könne gerade kein Vorrangverhältnis als lex specialis bezüglich einer europarechtlichen Regelung enthalten. Die DS-GVO sehe eine Öffnung für anderslautende nationale Regelungen nicht vor. Mithin sei einem Auskunftsverlangen, welches statt auf § 630 g BGB auf Art. 15 Abs. 3 DS-GVO gestützt werde, vollumfänglich zu entsprechen. Gegenstand des gerichtlich entschiedenen Verfahrens war eine stationäre Behandlung. Die gerichtliche Bewertung ist allerdings auch auf ambulante Heilbehandlungen übertragbar. |
| |
|
|
Videoüberwachung / UnternehmenXI. Neue Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen In den letzten Jahren ist die Technik im Bereich der Videoüberwachung stark fortgeschritten. Kameras werden immer kleiner und günstiger und können problemlos über portable Medien gesteuert werden. Dies hat dazu geführt, dass immer mehr Bürgerinnen und Bürger, Geschäftsleute und Sportstättenbetreiber Videoüberwachungssysteme einsetzen, um ihr Eigentum zu schützen und auch um Mitarbeiter oder Nachbarn zu überwachen. Jeder Einsatz einer Videoüberwachung stellt eine Verarbeitung personenbezogener Daten dar, welche an den Vorgaben der Datenschutz-Grundverordnung zu messen ist. Die steigende Zahl an Beschwerden in diesem Bereich zeigt, dass die Sensibilisierung für dieses Thema ebenfalls stark gestiegen ist. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat nun eine neue Orientierungshilfe zur Videoüberwachung von nicht-öffentlichen Stellen veröffentlicht. Darin werden Privatpersonen und Unternehmen informiert, welche Rechtsgrundlagen angewendet werden und welche gesetzlichen Voraussetzungen für Videobeobachtungen gelten. Die Datenschutz-Grundverordnung erläutert Formvorschriften und Dokumentationspflichten; Beispiele zur Umsetzung der Transparenzpflichten sind beigefügt. Anhand einer Checkliste können Verantwortliche und Datenschutzbeauftragte kontrollieren, ob sie bei der Einrichtung einer Videoüberwachung alle wesentlichen Prüfungsschritte einhalten. Die neue Orientierungshilfe ist die erste seit Inkrafttreten der Datenschutz-Grundverordnung und berücksichtigt die vom Europäischen Datenschutzausschuss (EDSA) herausgegebenen „Guidelines on video surveillance“. Es wird auch auf neuere Entwicklungen wie den Einsatz von Drohnen, Dashcams und Webcams eingegangen. |
| |
|
|
Jahrespressekonferenz / StatistikXII. Immer mehr Datenpannen gehen beim LfDI ein Gut zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) steigen die Beschwerden, Meldungen und Nachfragen zu Datenschutzfragen in Rheinland-Pfalz weiter an. So werden immer mehr Datenpannen beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) angezeigt, wie Professor Dieter Kugelmann bei der Pressekonferenz „Best of Datenschutz 2020“ darlegte. Während 2018 noch 105 Datenpannen und 2019 319 ermittelt wurden, sind in den ersten acht Monaten dieses Jahres bereits 388 durch private und öffentliche Stellen gemeldet worden. Auf hohem Niveau hat sich die Zahl der Beschwerden über tatsächliche oder mutmaßliche Datenverstöße sowie die Zahl der Beratungen etabliert. Während im Jahr 2018 704 Beschwerden gegen öffentliche und private Stellen vorgebracht wurden, waren es 2019 1005. In den ersten acht Monaten dieses Jahres beläuft sich die Zahl auf 772. Der LfDI hat 2020 zudem bereits 570 Beratungen und Stellungnahmen vorgenommen. Bei der Pressekonferenz stellte Professor Dieter Kugelmann interessante und bemerkenswerte Fälle vor, mit denen seine Behörde befasst ist: Von einem aufdringlichen Kellner, der Pandemie-Kontaktdaten unerlaubt nutzte, über einen Rechtsanwalt, der einen Gerichtsvollzieher an die falsche Adresse schickte, bis zu einem in einem Kühlschrank aufgefunden Schädel. |
| |
|
|
Polizei / LandesgesetzXIII. Datenschutz findet im neuen Polizeigesetz Beachtung Im Innenausschuss des Landtags Rheinland-Pfalz sind Änderungen am Polizei- und Ordnungsbehördengesetz beraten worden. Aus Sicht des LfDI sind die geplanten Änderungen geeignet, um das Polizei- und Ordnungsbehördengesetz des Landes zu modernisieren. Die Polizeibehörden werden mit zeitgemäßen und verhältnismäßigen Befugnissen ausgestattet. Professor Kugelmann betonte in der Anhörung, dass der Gesetzgeber neben den polizeilichen Erfordernissen auch die Wahrung des Rechts auf informationelle Selbstbestimmung der Bürgerinnen und Bürger im Blick habe: „Insbesondere die Umsetzung der Europäischen Datenschutzreform ist dem Landesgesetzgeber gelungen. Das Ziel, Freiheit und Sicherheit in Balance zu bringen, kann mit dem Gesetzentwurf erreicht werden. Durch eine stärkere Transparenz der polizeilichen Datenverarbeitung werden auch die Kontrollrechte des LfDI gestärkt." Es werde jedoch darauf verzichtet, Befugnisse der Polizei- und Ordnungsbehörden, die für manche Bedrohungslagen gefordert werden, übermäßig zu erweitern. Es sei etwa nicht vorgesehen, neue Möglichkeiten zur elektronischen Aufenthaltsüberwachung oder zu DNA-Analysen (etwa zur Feststellung des Geschlechts, des Alters, der Augen-, Haar- und Hautfarbe von Spurenverursachern) zu schaffen. |
|
|
