Videoüberwachung

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Sascha Kuhrau
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

Dashcams erlaubt? Im Datenschutz Check

von Sascha Kuhrau
25. Mai 20209. Dezember 2020
6 Kommentare

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag.

Die Funktionsweise

Dashcams sollen insbesondere das Verkehrsgeschehen und ‑unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können — einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht.

Dashcams in der praktischen Anwendung

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden.

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter.

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite.

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.

Überwiegende Interessen beim Einsatz von Dashcams

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten.

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten.

Europatag 2020 — Videoreihe des LfDI

von Sascha Kuhrau
20. Mai 20209. Dezember 2020

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) vom 15.05.2020 wird zum Europatag 2020 eine Videoreihe vorgestellt.

Jubiläum — 70 Jahre EU und der Datenschutz zum Europatag 2020

Der französische Außenminister Robert Schuman prägte mit dem Ausspruch, dass „Europa [..] durch konkrete Tatsachen entstehen [wird], die zunächst eine Solidarität der Tat schaffen.“ am 09. Mai 1950 das politische Bewusstsein für die Gründung der Europäische Union. Als Urheber der DSGVO wird die EU sowie der Europatag 2020 selbstverständlich auch von Datenschützern aller Herren Länder begangen und gefeiert. Anlässlich dieses — 70-jährigen — Jubiläums ehrt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ein zusammenwachsendes Europa auf besondere Art.

Videoreihe des LfDI

Unter dem für „LfDI“ akronymen Titel „Datenschutz – zum Luaga fir Dahoim ond Iberall“ werden in lockerer und aufschlussreicher Form Themen des Datenschutzes und der Informationssicherheit behandelt und wie europaweit geltende Regelungen in dem Bundesland umgesetzt werden.

Das aktuelle Video zum Europatag 2020

In der ersten Folge wird eine Einführung passend zum Thema Datenschutz zum Europatag 2020 in das Thema Datenschutz vermittelt mit Grundbegriffen und Tipps. Neben Erläuterungen der Begriffe personenbezogener Daten und der Verarbeitung dieser werden Sinn und Nutzen des Datenschutzes prägnant thematisiert. Letzteres ist noch nicht überall eine Selbstverständlichkeit. Die Zuordenbarkeit von Daten zu Personen wird mit Beispielen wie KFZ-Kennzeichen und Videoaufzeichnungen veranschaulicht. Tragende Grundsätze des Datenschutzes wie u.a. die nachfolgenden werden erklärt:

Integrität
Vertraulichkeit
Zweckbindung
Transparenz

Auch Rechtmäßigkeit, Rechenschaftspflichten und die Betroffenenrechte nach Artt. 15 ff. DSGVO sind Gegenstand der Betrachtung. Das Prozessprinzip Plan, Do, Check, Act sowie die Meldung von Datenpannen auf dem online Wege und die Abgrenzung von Auftragsverarbeitung und Gemeinsamer Verantwortlichkeit iSd. Art. 26 DSGVO werden dem Zuschauer näher gebracht.

Weitere Episoden zum Datenschutz

Nicht nur zum Europatag 2020, sondern generell ist dies eine vielversprechende Reihe, Anwendern und Betroffenen wichtige Aspekte des Datenschutzes und auch der Informationssicherheit in einem informativen und gut konsumierbaren Format anzubieten. Für die folgenden Videos werden detailliertere Themen wie „Löschkonzept“ und „Transparenzpflicht“ angekündigt. Adressaten der Videoreihe seien „insbesondere [..] kleine und mittelständische Unternehmen, Vereine und natürlich auch an unsere Kommunen.“

Training und Betreuung von Datenschutzexperten

Die Herausforderungen für Unternehmen und Kommunen im Datenschutz sind sehr anspruchsvoll. Rufschädigende oder kostenintensive Fehler sind schnell passiert. Wenden Sie sich vertrauensvoll an Ihren Datenschutzbeauftragten. Sie haben keinen? Dann fordern Sie doch einfach ein unverbindliches Angebot für einen externen Datenschutzbeauftragten bei uns an.

Gesundheitsdaten gehen an die Polizei

von Sascha Kuhrau
30. April 20209. Dezember 2020

Nun auch Sachsen-Anhalt — das Innenministerium wies die Gesundheitsämter an, personenbezogene / Gesundheitsdaten aller Personen in Quarantäne den Polizeibehörden zur Verfügung zu stellen. Die Polizei erhielt somit personenbezogene Daten über Corona-Infizierte und Kontaktpersonen.

Offenlegung durch parlamentarische Nachfrage

Aus den Reihen des Landtags wurde am 22.04.2020 die Enthüllung bekannt, dass der Landesinnenminister vom 27. bis 31.03.2020 eine Verpflichtung zur Bereitstellung der Daten für alle Personen in Quarantäne des Bundeslandes verfügt habe. Seitdem würden Gesundheitsämter „nach eigenem Ermessen und im Einzelfall“ Daten von Personen in Quarantäne an die Polizei übermitteln. Bis 09.04.2020 über 800 Fälle in Sachsen-Anhalt — heißt es weiter in den zugehörigen Posts auf Twitter. Eine öffentliche Information über die Maßnahme durch das Innenministerium zur Erfüllung der DSGVO-gesetzlichen Transparenzpflicht war lange Zeit nicht erfolgt. Die kommunizierten Daten hätten Namen, Anschriften, Geburtsdaten, Wohnorte, Nationalitäten, Geschlechter sowie Beginn und Ende der behördlich definierten Quarantäne umfasst. Die Übermittlung, Verarbeitung und Speicherung auf Polizeidatenbanken von Gesundheitsdaten sei „rechtlich problematisch“ und der Landesbeauftragte für den Datenschutz sei thematisch zu involvieren. Weitere ~130 solcher Übermittlungen in Halle wurden zunächst laut Angabe der Stadtverwaltung wohl gar nicht erst gezählt.

Rechtmäßigkeitsfrage bei der Verarbeitung von Gesundheitsdaten

Auf Anfrage hatte das Landesinnenministerium gegenüber netzpolitik.org geleugnet, dass es derlei Gesundheitsdatenübermittlungen an die Polizei gegeben hatte. Später wurde bekannt, dass Gesundheits- / personenbezogene Daten auf der Fahndungsdatenbank des Landeskriminalamts gespeichert wurden. Zu direkten Anfragen von netzpolitik.org sei seitens der Polizei nicht Stellung genommen worden. Der Erlass sei dem Landesdatenschutzbeauftragtes Sachsen-Anhalts erst auf Nachfrage zur Verfügung gestellt worden, den dieser am 31.03.2020 für rechtswidrig erklärt habe. In seiner Haut möchte man jetzt eher nicht stecken. Aus DSB-Sicht stellt sich allerdings die Frage, aus welchem Grund keine Vorabinformation erfolgte und keine Datenschutzfolgeabschätzung in fachlicher Abstimmung mit dem Landes-DSB durchgeführt worden ist. l

Pauschale Übermittlung von Gesundheitsdaten in diversen Bundesländern

Auch in anderen Bundesländern wurden Datenübermittlungen von Infizierten und Kontaktpersonen eingeführt. Offiziell sei Ziel der Maßnahme die Überwachung der Einhaltung der Quarantäne und Schutz der Polizeibeamten.

Nach uns vorliegenden Informationen erklärte auch die niedersächsische Datenschutzbeauftragte Barbara Thiel die Maßnahme für ihr Bundesland als rechtswidrig. Allerdings hielt die Landesregierung an den Datenübermittlungen fest.

Die umstrittene Praxis wurde auch in weiteren Bundesländern eingeführt. In Folge vehementer Proteste wurde diese in Bremen aufgehoben. In Baden-Württemberg wird eine DSGVO konforme Verordnung zur Datenübermittlung positiv erwartet. In Mecklenburg-Vorpommern wurde das Procedere modifiziert. Hier wird bei der Übermittlung der Gesundheitsdaten nun auf den Bedarfsfall abgestellt. Ferner soll nun die Vorgabe sein, die Daten anonymisiert und verschlüsselt an einen definierten Personenkreis im Polizeidienst zu übermitteln. Es ist begrüßenswert, dass die tragenden Standards in der Informationssicherheit neben den Datenschutzanforderungen auch bei diesem Thema sukzessive Berücksichtigung finden.

Corona Prävention und die Verarbeitung von Gesundheitsdaten

Es besteht ein großes Spannungsfeld zwischen Datenschutz / Grundrechten und einer effektiven Pandemiebekämpfung. Dass Menschen und Pflegepersonal, der öffentliche Dienst und andere Arbeitskräfte mit notwendigem Publikumskontakt des Schutzes bedürfen, steht völlig außer Frage. Allerdings kann als auffällig bezeichnet werden, dass gerade in solchen grenzwertigen Maßnahmen der Dialog mit den Datenschutzbehörden und auch den behördlichen Datenschutzbeauftragten aktiv vermieden wird. Gerade in solchen Zeiten darf erwartet werden, dass man sich zwecks ganzheitlicher Krisenbewältigung bereichsübergreifend abstimmt. So kann dafür Sorge getragen werden, dass die Verarbeitungen und Übermittlungen der Behörden den zwingend erforderlichen, zeitgemäßen Vorgaben des Datenschutzes sowie der Informationssicherheit / IT-Sicherheit genügen.

Corona App und Datenschutz — ein Update und viele Grüße

von Sascha Kuhrau
23. April 20209. Dezember 2020

Vor allem anderen möchten wir Sie liebe Leute, liebe Leser, liebe Kunden herzlich grüßen. Wir hoffen, dass es Ihnen und den Ihrigen gut geht und dass Ihr Einstieg in das Home-Office bzw. in die Corona bedingten Sondersituationen ok bis gut war. Abgesehen von den international schwierigen Zuständen in Pflege und Logistik — wie etwa das kollektive Maskenbasteln in Industrieländern — können insbesondere Ungewissheiten, subjektive Interpretationen und Ungenauigkeiten in Berichterstattungen dieser Tage schon ziemlich nerven. Wenn Sie also zu Corona, Corona App, Datenschutz oder Home-Office im Allgemeinen etwas schreiben möchten, nutzen Sie gerne das Kommentarfeld zu diesem Post.

Ihr Team von a.s.k. Datenschutz.

P.S. Wir sind gesund und munter und halten unsere Porsche Design Pyjamas modegemäß 😉 Wir freuen uns, Sie bald wieder zu sehen. Und wenn Sie sich zu Datenschutz etc. kurzfristig besprechen möchten, lassen Sie uns einfach gerne per Video Call in Verbindung treten.

App Lösungen gegen Corona

Um der Corona Pandemie besser Herr zu werden, sind verschiedene Ansätze für softwarebasierte Lösungen entwickelt worden, wie zum Beispiel die Konzepte DP-3T und PEPP-PT, die auf personenbezogene Daten zurückgreifen. Eine derzeit besonders prominente Variante ist das Contact Tracing, bei der man als Nutzer der zugehörigen App gewarnt wird, welche anderen App Nutzer im Umkreis x infiziert sein können. Die EU-Kommission befasst sich mit dem Thema.

EU-Kommission zu der Verarbeitung von sensiblen Daten und der Corona App

Der Datenschutzausschuss der EU-Kommission (EDPB) ist bestrebt, den Entwicklungsprozess von Apps und Software zur Corona Bekämpfung nach datenschutzgerechten Maßgaben zu fördern. In diesem Kontext hat der Ausschuss am Dienstag, den 21.04.2020 eine Richtlinie zum Einsatz von Ortungsdaten und Softwarelösungen / Apps, wie etwa zur personenbezogenen Kontaktnachverfolgung, herausgegeben, welche die nationalen Behörden und die Developer Einrichtungen adressiert.

Inhaltliche Anforderungen

Bei der Auswertung sensibler Daten und dem Einsatz von Corona Apps seien Zweckbindung, Transparenz und Datensparsamkeit unerlässlich — alles zentrale Postulate der DSGVO. In der auf Masse angelegten Analyse von Bewegungsdaten sei ein erheblicher Eingriff in die Freiheitsrechte zu sehen, daher sei hier das Prinzip der Freiwilligkeit (Abschnitt zu 2020-02) zu wahren.

Standortdaten seien grundsätzlich nicht zu erfassen, da sie für Mitteilungen über mögliche Infektionsketten nicht benötigt würden und ferner die Aufhebung der Anonymisierung erleichterten. Ferner sei eine Datenschutzfolgeabschätzung für den Einsatz solcher Apps durchzuführen und zu veröffentlichen.

Empfehlungen auch zu Gestaltung einer Corona App

Die App könnte über ein zentrales Serversystem betrieben werden mit restriktiven Zugriffsberechtigungen und geräteorientierten, nativen Sicherheitsmaßgaben. Es bestand große Uneinigkeit betreffend die Frage des zentralen oder dezentralen App-Betriebs. Der Schwerpunkt solle darauf gelegt werden, dass Daten eher lokal gespeichert werden.

Krisenbedingter Umgang mit sensiblen personenbezogenen Daten

Die Richtlinie definiert auch Ausnahmen für den Ermessensspielraum der nationalen Behörden, im Rahmen der Gesetzgebung Ausnahmen von DSGVO-Grundsätzen zu machen. So kann etwa das Erfordernis der Einwilligung für die Verarbeitung von Gesundheitsdaten entfallen, bzw. die Rechtsgrundlage durch Wahrnehmung einer Aufgabe des öffentlichen Interesses oder die Ausübung öffentlicher Gewalt gegeben sein.

Eine Corona App in der Praxis

Brillante Entwicklungen wie das Contact Tracing und die KI-basierte Auswertung von Daten zur intelligenten Gesundheitsvorsorge sind als wahrer Fortschritt in der notwendigen Digitalisierung zu sehen. Dass der konstruktive Erfolg indes mit der effektiven Ausführung in allen organisatorischen Ebenen steht und fällt, beschäftigt die Datenschutzexperten weltweit.

Fachleute wie die des EU-Ausschusses und der Datenschutzbehörde Schleswig-Holstein sehen den Erfolg dieses konkreten Projekts auch insbesondere vom Vertrauen des Anwenders in die professionelle Verarbeitung seiner Daten abhängig

Oft wird in diesem Kontext ausdrücklich darauf hingewiesen, dass der Datenschutz weder der Pandemiebekämpfung noch der Forschung im Wege steht.

Datenschutz-Bericht 2020 der Landesdatenschutzbehörde Schleswig-Holstein — Teil 2

von Sascha Kuhrau
30. März 20209. Dezember 2020

Anwendung der DSGVO

Datenschutz / IT-Sicherheit — Allgemeines

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maßgaben und berechtigte Interessen — sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift.

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs‑, Unterrichtungs‑, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden.

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten.

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten.

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein.

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können.

Datenschutz in Online-Präsenzen

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen.

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber.

Künstliche Intelligenz = Artificial Intelligence

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden.

TOM — technische und organisatorische Maßnahmen

vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden
Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz — u.a. Bestandteil des Datenscchutz Quick-Checks
auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein
Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren

Datenschutz bei Gesundheitsinformationen

Das ULD konstatierte, dass

Krankenhäuser und Kliniken
Arzt‑, Zahnarztpraxen
Pflegeeinrichtungen, ‑dienste
Apotheken und vergleichbare Einrichtungen

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben — insbesondere bei mobilen Devices und Speichermedien.

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen.

Videoüberwachung und Datenschutz

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten.

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus.

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben.

AV — Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen — siehe auch das Thema Informationspflichten.

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist.

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen.

Website des ULD

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht.

Für die weiterführende Lektüre des Originals bitte hier klicken.

Datenschutz-Bericht 2020 der Landesdatenschutzbehörde Schleswig-Holstein — Teil 1

von Sascha Kuhrau
29. März 20209. Dezember 2020

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat seinen Tätigkeitsbericht 2020 für den Berichtszeitraum 2019 veröffentlicht.

Insgesamt wurden 758 Beratungen durchgeführt und 959 Verfahren in der Zuständigkeit des ULD angelegt, davon 680 auf Grund von Beschwerden gegen Unternehmen und 279 gegen Behörden.

Des Weiteren wurden 37 Warnungen, 26 Verwarnungen und 2 Anordnungen gegenüber Einrichtungen ausgesprochen. Auf Geldbußen wurde in dem Zeitraum 2019 verzichtet. In 26 Fällen führte man Prüfungen ohne zu Grunde liegende, anlassbezogene Beschwerden durch, 13 davon bei nichtöffentlichen Einrichtungen.

Verletzungen von Datenschutz und Meldepflicht

Die insgesamt 349 in Sachen Datenpannen eröffneten Verfahren stellen naturgemäß nur einen Anteil der täglich gemeldeten oder anderweitig dem ULD zur Kenntnis gelangten Datenschutz-Verletzungen dar. Ebenso naturgemäß, dass das ULD von der Dunkelziffer an Datenpannen, die nicht gemeldet, sondern im Nachhinein festgestellt werden, nicht angetan ist.

hier würde ich als tipp ergänzen .. Daher auch in diesem Kontext der Tipp, nicht nur für unsere Kunden in Schleswig-Holstein J, den Sie von uns auch sicherlich aus Präsentationen und Vorortterminen kennen: Datenpannen immer dokumentieren und — zumindest intern an Ihren DSB — melden. Entwarnen lässt sich immer noch.

Datenpannen — Informationssicherheit / Datenschutz

Ebenfalls kritische Worte findet das ULD in Bezug auf das Umsetzungsniveau der Informationssicherheit. Es gebe hier noch viel Nachholbedarf, zumal Verletzungen der Informationssicherheit wie u.a. auch Cyberangriffe mangels personenbezogener Daten häufig nicht einmal in einer Meldung resultieren.

Für eine „verantwortungsvolle Digitalisierung“ hält der vorliegende Bericht dazu an, dass sämtliche Einrichtungen das Schutzniveau in Sachen Informationssicherheit einschließlich Datenschutz auf den Prüfstand bringen mögen. Sensibilisierung der Mitarbeiter sei nicht zu vernachlässigen.

Das ULD sah ‘über den Tellerrand´

Inspiration für Sensibilisierungen konnte man im Austausch mit einem unserer Nachbarländer erhalten:

Aktionstage „Löschen/Schreddern“
„Gamification“ Ansätze von Datenschutz mit Preis (Obst/Schokoriegel)
Datenschutzquiz und Datenpannensimulation
anonymisiert realisierte Phishing-Tests
Selbstdatenschutz mit Mehrwert für die Beschäftigten
im Team produzierte Kurzvideos für Schulungszwecke

gehörten dazu. Eine weitere Klarstellung, dass Datenschutz per se lebendig ist und unrichtigerweise manchmal als trocken und lästiges Beiwerk angesehen wird.

Auch in Unternehmen und kommunalen Einrichtungen lassen sich solche Aktionen und Workshops durchführen. Für Anfragen und Anregungen nehmen Sie gerne Kontakt zu uns auf.

Für eine Vereinheitlichung von Datenschutzstandards und Verständnisfragen sieht das ULD eine regelmäßige Kommunikation über Erfahrungen als sehr wichtig an. Im genannten Nachbarland Österreich ist dies bereits verbindliche Vorschrift.

Informationsfreiheit und Datenschutz auf (inter)nationaler Ebene

Das ULD stellt klar, dass auch die innerstaatliche Abstimmung unter Datenschutzbehörden auf Bundes- und Landesebene in Sachen Datenschutz und Informationsfreiheit in angemessenem Maße aufrecht zu erhalten ist. Bei der Informationsfreiheit existiere lediglich ein Gremium für die Zuarbeit der IFK. Noch seien nicht alle Bundesländer vertreten mangels entsprechender Informationsfreiheits- oder Transparenzportalen.

Datenethik und Datensicherheit

Die Datenethikkommission der Bundesregierung hat ein Gutachten erstellt, das sich insbesondere mit Algorithmen, KI und Big Data befasst. Betont werden unter anderem Möglichkeiten der Regulierung von algorithmischen Systemen. Das ULD fordert — weniger banal als es zunächst klingen mag — die Bundesregierung als Auftraggeberin des Gutachtens der Datenethikkommission auf, die Inhalte auswerten und in die weitere Planung einfließen zu lassen. In diesem Zusammenhang moniert das ULD ein teils inkonsistentes Agieren von Bund und Ländern für / wider eine grundwerteorientierte, zukunftsfähige Digitalisierung wie etwa Inhalte in Gesetzgebungsentwürfen, die „eine Kriminalisierung von Anbietern bestimmter datenschutzfreundlicher Techniken“ nahelegten. (§ 126a StGB).

Man möchte eine „Chance auf bessere Sicherheit“ nicht vertan wissen.

Die per Innenministerkonferenz 2019-06 in Planung gegebenen „Zugriffserleichterungen“ auf Messenger und Smart Home Anwendungen hält das ULD in dieser Form für nicht grundrechtsvereinbar.

Behörden

Die Landesdatenschutzbehörde Schleswig-Holstein fordert Behörden und sonstige öffentliche Stellen des Bundeslandes auf, einen behördlichen Datenschutzbeauftragten zu benennen und „mit den erforderlichen Ressourcen“ auszustatten, sofern bislang nicht erfolgt.

Handlungsbedarf sah die Landesdatenschutzbehörde bei der Weiterentwicklung von IT-Verfahren der Landespolizei. Diese müssten in der Lage sein, Auskünfte an Betroffene „umfassend und zeitnah“ zu erteilen. Unter dem Titel „Null Datenpannenmeldungen im Polizeibereich?!“ postuliert die Landesbeauftragte für Datenschutz Schleswig-Holstein, „gesetzliche Pflichten müssen ernst genommen werden.“ Auch für den Justizbereich gelte, dass Meldepflicht von Datenpannen umfassend zur Kenntnis genommen und umgesetzt werden sollte.

Schleswig-Holstein und die Kommunen seien — mit Unterstützung des ULD — in der Verantwortung einer datenschutzkonformen Umsetzung des Onlinezugangsgesetzes.

Fortsetzung folgt ..

14. Europäischer Datenschutztag 2020

von Sascha Kuhrau
11. März 20209. Dezember 2020

Am 28.01.2020 fand in Berlin der diesjährige, 14. Europäische Datenschutztag der Datenschutzkonferenz statt. Auf Initiative des Europarats jährt sich der Datenschutztag seit 2007 um den 28. Januar und wird in Deutschland als Veranstaltung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ausgerichtet.

In diesem Jahr lag das Augenmerk insbesondere auf Datenschutz im Kontext des Entwicklungsfortschritts der KI. Unter dem Motto “Künstliche Intelligenz — Zwischen Bändigung und Förderung” wurden Freiheiten, Grundrechte und Schutzbedürfnisse bei der Schaffung von Rahmenbedingungen und der Entfaltung diesbezüglicher Aktivitäten thematisiert von Referenten aus Politik, Wissenschaft, Recht und den Teilnehmern.

Die Vorträge beschäftigten sich unter anderem mit den Themen:

“Aspekte des Unionsrechts im Hinblick auf Digitalisierung und Datenschutz”
“Der Handlungsrahmen für KI-Anwendungen: Wirtschaft, Technik, Ethik und (Datenschutz-) Recht in Deutschland, Europa und der Welt” und
“Was verstehen Nutzer unter Algorithmen?”

“Persönlich” wurde es — in fachlicher Hinsicht — im Rahmen der Podiumsdiskussion zum “Nutzen und Schaden von KI für den Einzelnen — Was geht mich KI an?”. Die KI und ihr Datenschutz sind ein spannendes und lebendiges Thema, das jeden Alltag in naher Zukunft in greifbarer Weise bestimmen wird. Weitere Informationen zu dem Themenbereich erhalten Sie unter nachfolgenden Links.

Was meinen Sie zu dem Thema, liebe Leser? Freuen Sie sich auf Ihr erstes Roboterauto oder ist Ihnen das alles spooky? Sie können es uns im Kommentarfeld wissen lassen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicherheitskongress — KI BSI — KI im Auto Fraunhofer Institut — KI

Wozu Big Brother Container? Waschanlage reicht!

von Sascha Kuhrau
14. August 2014
1 Kommentar

Personal, aber auch Kunden standen im Fokus einer ausgedehnten Videoübewachung der Essener Autowaschkette Mr. Wash. In 8 von 33 Filialen wurden 60 Kameras nicht rechtskonform betrieben. Das war dem NRW-Landesbeauftragten für Datenschutz ein Bußgeld in Höhe von 64.000 Euro wert, meldet WAZ. Dabei kam der Kette zu Gute, sich bei den Ermittlungen im Verfahren “kooperativ” verhalten zu haben.

Interessant ist die Aufteilung des Bußgeldes. 54.000 Euro wurden wegen des schweren Verstoßes gegen das Bundesdatenschutzgesetz durch die Videoüberwachung verhängt. Die restlichen 10.000 Euro wurden dafür fällig, bisher keinen Datenschutzbeauftragten bestellt zu haben, obwohl die gesetzliche Bestellpflicht vorlag.

In unserem Datenschutz Blog finden Sie einen Beitrag zur umsichtigen und rechtskonformen Umsetzung einer Videoüberwachung.

Planen Sie die Installation einer Videoüberwachungsanlage? Haben Sie bereits eine solche Lösung im Einsatz und sind sich über die Rechtskonformität im Unklaren? Dann fragen Sie doch Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.

LKA Thüringen bespitzelte eigene Mitarbeiter — wegen Klopapier

von Sascha Kuhrau
21. Januar 2013

Gelegentlich kommen einem Meldungen zum Thema Datenschutz und Verstoß gegen das Datenschutzrecht unter, da kann man nur noch mit dem Kopf schütteln. SPIEGEL ONLINE berichtet über einen besonders dreisten und rechtswidrigen Verstoß der unerlaubten Mitarbeiterüberwachung.

Klopapier verschwindet

Das Reinigungspersonal stellt einen übermäßigen Schwund an Klopapier fest. Dieser Akt gefährdet die Staatssicherheit und muss mit Nachdruck und allen zur Verfügung stehenden Mitteln bekämpft werden. Geht die zuständige Abteilung doch sonst gegen Rocker, Islamisten und Mafiosi vor. Sogar ein Mitarbeiter des Staatsschutzes wird bemüht.

Flur oder Klo — was denn nun?

Anfragen beim LKA und vorhandene Unterlagen zeichnen ein widersprüchliches Bild. Das LKA stellt fest, die Kameraüberwachung hätte nur im Treppenhaus stattgefunden. Interne Dokumente zeichnen da ein anderes Bild. Die Kamera soll direkt auf dem stillen Örtchen angebracht gewesen sein.

Gefahr im Verzug

Selbst wenn das Entwenden von Klopapier in diese Kategorie hätte eingestuft werden können, wäre die Maßnahme nach spätestens drei Tagen durch richterlichen Beschluß zu genehmigen gewesen. Dieser Beschluss lag jedoch nie vor und so wurden LKA Mitarbeiter von den eigenen Kollegen ohne Grundlage und ohne ihr Wissen überwacht. Da Bagatellkriminalität keine Rechtfertigung für Videoüberwachung ist (Stichwort: Angemessenheit), wurden die Mitarbeiter erheblich in ihrem Persönlichkeitsrecht verletzt.

[Kopfschüttel]

Sie planen selbst den Einsatz von Videoüberwachungsmaßnahmen? Hier ein paar hilfreiche Informationen aus einem Blogbeitrag.

Zur Meldung von SPON

Videoüberwachung

Eini­ge Zah­len zur Tätig­keit des BfDI

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger

Gre­mi­en­ar­beit und Gesetz­ge­bung

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich

Zusam­men­fas­sung

Die Funk­ti­ons­wei­se

Dash­cams in der prak­ti­schen Anwen­dung

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams

Jubi­lä­um — 70 Jah­re EU und der Daten­schutz zum Euro­pa­tag 2020

Vide­orei­he des LfDI

Das aktu­el­le Video zum Euro­pa­tag 2020

Wei­te­re Epi­so­den zum Datenschutz

Trai­ning und Betreu­ung von Datenschutzexperten

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten

App Lösun­gen gegen Coro­na

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App

Inhaltli­che Anfor­de­run­gen

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten

Eine Coro­na App in der Pra­xis

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes

Daten­schutz in Online-Prä­sen­zen

Künst­li­che Intel­li­genz = Arti­fi­ci­al Intel­li­gence

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen

Video­über­wa­chung und Daten­schutz

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag

Web­site des ULD

Ver­let­zun­gen von Daten­schutz und Mel­de­pflicht

Daten­pan­nen — Infor­ma­ti­ons­si­cher­heit /​ Daten­schutz

Das ULD sah ‘über den Tel­ler­rand´

Infor­ma­ti­ons­frei­heit und Daten­schutz auf (inter)nationaler Ebe­ne

Daten­ethik und Daten­si­cher­heit

Behör­den