Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, der Vizepräsidentin des Landtages Brandenburg, Frau Barbara Richstein, den Tätigkeitsbericht zum Datenschutz für das Jahr 2023.

Die Datenschutzbeauftragte befasste sich angesichts der zu erwartenden europäischen KI-Verordnung ausführlich mit Fragen der Künstlichen Intelligenz (A I 1.1, Seite 13). Zunächst traten wir mit einer Umfrage an ausgewählte brandenburgische Unternehmen heran. Ziel war es, die Verantwortlichen für einen datenschutzkonformen Umgang mit KI-Systemen zu sensibilisieren. Im Ergebnis stellten wir zwar fest, dass die kontaktierten Unternehmen noch keine personenbezogenen Daten mittels KI verarbeiten, dies jedoch für die Zukunft nicht ausschlossen. Eine Umfrage der Landesbeauftragten bei den kommunalen Spitzenverbänden ergab, dass es dort lediglich erste Pilotprojekte gibt – etwa zur Verwendung von Chatbots in der Kommunikation mit Bürgerinnen und Bürgern. Außerdem konnte unsere Behörde wesentliche datenschutzrechtliche Aspekte in die Diskussion einer Landesstrategie zur künstlichen Intelligenz einbringen.

Unter brandenburgischer Beteiligung forderten die europäischen und deutschen Datenschutzaufsichtsbehörden das Unternehmen OpenAI auf, einzelne Fragen zu seinem Produkt ChatGPT zu beantworten (A I 1.2, Seite 17). Zwar ist die Auswertung der Antworten noch nicht abgeschlossen, doch zeigt sich, vor welchen Herausforderungen generative KI-Systeme in Bezug auf den Datenschutz stehen. Beispielsweise müssen sie „trainiert“ werden – mit Daten, die durchaus auch einen Personenbezug aufweisen können. Personenbezogene Bewertungen der generierten Texte fließen zudem in die Weiterentwicklung der Systeme ein. Auch stellt sich die Frage, wie transparent die Datenverarbeitung gestaltet ist und wie ChatGPT mit den Daten Minderjähriger umgeht. Dagmar Hartge:

Künstliche Intelligenz bietet große Chancen, stellt Unternehmen und Verwaltungen aber auch vor enorme Herausforderungen. Wer sie einsetzt, muss die Risiken der Datenverarbeitung einschätzen können und darüber informieren, wie personenbezogene Daten verarbeitet werden. Das wiederum setzt voraus, dass die eingesetzten Produkte ihrerseits transparent und datenschutzgerecht gestaltet sind.

Inzwischen ist es ein Dauerbrenner: der Streit um die Vereinbarkeit des Betriebs von Facebook-Fanpages durch öffentliche Stellen mit dem Datenschutzrecht (A I 3, Seite 37). In enger Abstimmung mit anderen Aufsichtsbehörden führte die Landesbeauftragte in einem Musterverfahren eine Anhörung der Staatskanzlei des Landes Brandenburg durch. Ziel war eine Unterlassungsverfügung, also die Weisung an die Landesregierung, Facebook-Fanpages abzuschalten. Zwischenzeitlich hatte der Europäische Gerichtshof die Argumente der Datenschutzaufsichtsbehörden zusätzlich noch gestützt: Er sah außerhalb einer wirksamen Einwilligung der Besucherinnen bzw. Besucher keine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten beim Betrieb von Fanpages. Zudem erschwerte das Urteil die von Facebook versuchte Umgehung von Datenschutzrechten betroffener Personen. Erst reagierte der Mutterkonzern Meta auf dieses Urteil, indem er neben dem werbefinanzierten Angebot noch ein werbefreies Bezahlabonnement anbot. Zum Jahresende änderte Meta zusätzlich seine Cookie-Richtlinie und informiert seitdem konkret über die Verarbeitung personenbezogener Nutzerdaten beim Einsatz von Cookies auf Fanpages. Da sich unsere Anhörung maßgeblich auf diesen Aspekt gestützt hatte, entschied die Landesbeauftragte, das Verfahren bis zur Analyse der neuen Richtlinie auszusetzen.

Im vergangenen Jahr verhängte die Bußgeldstelle der Landesbeauftragten in 10 Fällen ein Bußgeld wegen festgestellter datenschutzrechtlicher Verstöße. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 13.900 Euro (A VI 5.2, Seite 115).

Das höchste Bußgeld verhängte die Landesbeauftragte gegen ein Lebensmittelgeschäft, dessen Geschäftsführer im Pausenraum eine Tabelle mit den Krankheitstagen der namentlich genannten Beschäftigten aufgehängt hatte (A II 6.1, Seite 55). Zu entnehmen war ihr, welche Mitarbeiterinnen und Mitarbeiter aufgrund eigener Krankheit oder einer Erkrankung des Kindes nicht zur Arbeit hatten erscheinen können bzw. wer sich zum Ende einer Erkrankung im sogenannten Hamburger Modell befunden hatte. Von diesen Angaben waren 40 Beschäftigte betroffen. Die Tabelle hing vier Wochen aus. Neben den Beschäftigten hatten auch Dritte, z. B. Lieferdienste, Zugang zu den Daten. Die Offenlegung der Gesundheitsdaten sollte, so der Geschäftsführer, vor dem Hintergrund der schlechten wirtschaftlichen Lage des Unternehmens verdeutlichen, dass ein hoher Krankenstand dem Unternehmen schade. Ein legitimer Zweck war dies nicht; der Verstoß gegen das Datenschutzrecht war vielmehr offensichtlich.

Im vergangenen Jahr erhielten wir auffällig viele Meldungen über unbefugte Datenabfragen in Krankenhäusern (A II 6.2, Seite 56). In zwei Fällen verhängte die Landesbeauftragte ein Bußgeld gegen Beschäftigte, die sich aus reiner Neugier und ohne dienstlichen Grund für den Krankheitsverlauf ihrer Kolleginnen interessierten. Durch die Zugriffe wurden besonders geschützte Gesundheitsdaten der betroffenen Mitarbeiterinnen offenbart: Arztbriefe, Laborergebnisse sowie Berichte über Behandlungen oder Operationen. Solche Verstöße sind in hohem Maß geeignet, das Vertrauen in die Rechtmäßigkeit des Umgangs mit Gesundheitsdaten in Krankenhäusern zu beeinträchtigen, und waren deshalb zu sanktionieren.

Im Vergleich zum Vorjahr hat sich die Zahl der Datenschutzbeschwerden (A VI 1, Seite 107) auf hohem Niveau stabilisiert – 2022: 1.379 Beschwerden, 2023: 1.336 Beschwerden. Beschwerden über Videoüberwachung stellten einen zunehmenden Anteil an der Gesamtzahl der Beschwerden dar – 2022: 264 Beschwerden, 2023: 365 Beschwerden (A VI 3, Seite 108). Die teilweise intensiven und auch in Fällen umfangreicher Videoüberwachung stets auf die einzelnen Kameras ausgerichteten Prüfungen steigen bereits über viele Jahre kontinuierlich an und binden die personellen Kapazitäten der Landesbeauftragten in erheblichem Maße.

Unsere Behörde bearbeitete gleich mehrere Beschwerden über Videokameras in Ferienwohnanlagen (A II 2, Seite 43). In einem Fall kassierte der Verantwortliche eine Verwarnung. Zwar erfassten seine Kameras keine Innenräume der Wohnungen, sehr wohl aber gemeinschaftlich genutzte Bereiche. Er nannte gleich ein ganzes Potpourri an Gründen – von der Wahrnehmung des Hausrechts über den Eigentumsschutz bis hin zur Vorbeugung gegen Lärmbelästigung. Eine Erforderlichkeit für den Kameraeinsatz bestand jedoch nicht. Für alle angegebenen Zwecke wären mildere, weniger eingriffsintensive Maßnahmen möglich gewesen. Das Interesse der Feriengäste, sich unbeobachtet – und beispielsweise am Pool auch leicht bekleidet – zu entspannen, überwog zudem das Interesse des Vermieters an der Videoüberwachung.

Wer in Potsdam einen Antrag auf Parkerleichterung für Personen mit einer Schwerbehinderung stellen wollte, erlebte im vergangenen Jahr ein blaues Wunder (A II 5, Seite 52). Sowohl durch Medienberichte als auch durch Beschwerden betroffener Personen wurden wir darauf aufmerksam, dass die städtische Fahrerlaubnisbehörde solche Anlässe umfangreich nutzte, um die Fahreignung der Antragstellerinnen und Antragsteller zu überprüfen. Erstaunlich war dies schon allein deshalb, weil eine gesetzliche Zuständigkeit der Fahrerlaubnisbehörde für Anträge auf Parkerleichterung gar nicht besteht; zuständig ist die untere Straßenverkehrsbehörde. Somit fehlte auch die Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Zudem unterstellte die Behörde die mangelnde Fahreignung pauschal und forderte umfassende gesundheitliche Gutachten an – nur, weil die Betroffenen einen Schwerbehindertenausweis hatten. Ähnlich ging die Landeshauptstadt Potsdam bei dem eigentlich rein formalen Umtausch des alten Führerscheins in einen neuen EU-Kartenführerschein vor. Mehrere Verfahren führten zu einem Entzug der Fahrerlaubnis oder bewirkten einen freiwilligen Verzicht. Vor dem Hintergrund des besonderen Schutzbedarfs der Gesundheitsdaten hat die Landesbeauftragte gegenüber der Stadtverwaltung im Ergebnis eine Verwarnung ausgesprochen. Dagmar Hartge:

Natürlich muss die Stadtverwaltung die Fahreignung von Fahrerlaubnisinhaberinnen und -inhabern prüfen, wenn konkrete Tatsachen vorliegen, die eine Verkehrsgefährdung beim Führen eines Kraftfahrzeugs erwarten lassen. Dass jemand einen Schwerbehindertenausweis besitzt, ist jedoch definitiv keine solche Tatsache. Ich erwarte, dass die Landeshauptstadt Potsdam die richtigen Konsequenzen aus der unzulässigen und diskriminierenden Verarbeitung von Gesundheitsdaten zieht und das Verfahren grundlegend ändert.

Neben der Bearbeitung individueller Beschwerden über den Einsatz von Cookies auf Webseiten wählten wir etwa 50 Webpräsenzen für eine anlassunabhängige Prüfung aus (A III 2, Seite 64). In der Regel handelte es sich um Seiten, die für touristische Angebote, Sehenswürdigkeiten und Freizeitaktivitäten in Brandenburg werben. Uns hat interessiert, wie dort Cookies bzw. Drittdienste eingebunden wurden, ob die Nutzerinnen und Nutzer korrekt hierüber informiert wurden und ob sie die Möglichkeit hatten, rechtskonform in die Nutzung ihrer personenbezogenen Daten einzuwilligen. Bei knapp der Hälfte der geprüften Webseiten stellten wir erfreulicherweise keine Mängel fest. Die übrigen Befunde reichten von unzureichenden Datenschutzerklärungen über die fragwürdige Gestaltung des Cookie-Banners bis zum nicht datenschutzgerechten Einsatz von Analysesoftware. Im Ergebnis haben wir die jeweiligen Verantwortlichen über die datenschutzrechtlichen Anforderungen informiert und sie aufgefordert, die Mängel zu beseitigen.

Einen erneuten Angriff auf die IT-Infrastruktur der Landeshauptstadt Potsdam im Dezember 2022 nahm die Landesbeauftragte zum Anlass, zu überprüfen, ob die Stadtverwaltung aus dem vorangegangenen Vorfall die richtigen Konsequenzen gezogen hatte (A III 3, Seite 67). Wir forderten die einschlägigen Dokumentationen an – mit ernüchterndem Ergebnis. Unter anderem fehlte ein gültiges Datenschutz- und Informationssicherheitskonzept. Ein solches Konzept dokumentiert geeignete und angemessene technische und organisatorische Maßnahmen, um die Risiken der Verarbeitung personenbezogener Daten für die Betroffenen zu minimieren. Es handelt sich also keineswegs um eine Formsache, sondern um ein wesentliches Instrument des Datenschutzes und der IT-Sicherheit. Gleiches gilt für das Verzeichnis der Verarbeitungstätigkeiten. Zeitpläne und Fristen, welche die Stadtverwaltung sich selbst gesetzt hatte, um uns über den Fortschritt der Erstellung dieser Dokumentationen zu informieren, hielt sie nicht ein. Letztlich waren auch die Verantwortlichkeiten innerhalb der Behörde ungeklärt. Bis zum heutigen Tag hat sie gesetzlich geforderte Unterlagen nicht vorgelegt. Die Landesbeauftragte hat mittlerweile eine Verwarnung ausgesprochen, bleibt mit der Stadtverwaltung aber im Austausch, bis die erforderlichen Nachweise vollständig vorliegen. Dagmar Hartge:

An den andauernden Versäumnissen gibt es nichts zu beschönigen: Die IT-Sicherheitsvorfälle in der Potsdamer Stadtverwaltung verdeutlichen, wie dringend sie ein systematisches IT-Sicherheitsmanagement benötigt. Diesen Herausforderungen muss sich die Landeshauptstadt endlich stellen. Dass sowohl die IT-Sicherheit als auch der Datenschutz wichtige Führungsaufgaben sind, darf keine bloße Floskel bleiben.

Im Frühjahr vergangenen Jahres schlug das Datenleck bei einem Fahrzeughersteller in der Medienberichterstattung hohe Wellen (A IV 1, Seite 71). Ein Hinweisgeber hatte uns umfangreiche Dateien zur Verfügung gestellt, die unter anderem sensible Personaldaten beinhalteten. Der umfangreiche Datenbestand sei für nicht zuständige Beschäftigte abrufbar gewesen; er enthielt Angaben zu Mitarbeiterinnen und Mitarbeitern des Konzerns aus Deutschland, anderen Mitgliedstaaten der Europäischen Union und darüber hinaus. Die Authentizität der Daten vorausgesetzt, handelte es sich eindeutig um eine grenzüberschreitende Verarbeitung personenbezogener Daten. Die Datenschutz-Grundverordnung sieht für solche Fälle vor, dass die Aufsichtsbehörde am europäischen Hauptsitz des Unternehmens die Federführung bei der Bearbeitung innehat. Sie arbeitet mit anderen Datenschutzaufsichtsbehörden in der Europäischen Union zusammen, um eine einheitliche datenschutzrechtliche Bewertung vorzunehmen. Aufgrund des europäischen Hauptsitzes des Unternehmens in den Niederlanden übernahmen unsere Kolleginnen und Kollegen in Den Haag die weiteren Ermittlungen. Das Unternehmen meldete den Fall zwischenzeitlich als Datenschutzverletzung, informierte die betroffenen Beschäftigten und offerierte seine Unterstützung, um einen möglichen Identitätsmissbrauch zu verhindern. Die Auswertung durch die nunmehr zuständige niederländische Datenschutzaufsichtsbehörde ist noch nicht abgeschlossen. Bei der datenschutzrechtlichen Bewertung des Ergebnisses wird sich die Landesbeauftragte im Rahmen des europäischen Verfahrens einbringen.

Ein Unternehmen fiel einem Ransomware-Angriff (A IV 3, Seite 76) zum Opfer. Es meldete uns den Vorfall als Datenschutzverletzung. Sein gesamtes IT-System war durch das Schadprogramm verschlüsselt und das letzte Backup der Daten gelöscht worden. Zudem verzeichnete es einen enormen Datenabfluss. Vom Vorfall betroffen waren die personenbezogenen Daten der Beschäftigten, der Kundinnen und Kunden sowie der Aktionärinnen und Aktionäre. Später teilte uns das Unternehmen jedoch mit, dass von ihm getroffene Sicherheitsmaßnahmen bewirkt hätten, dass personenbezogene Daten doch nicht von allen Servern abgeflossen seien. Den genauen Hergang konnten wir nicht mehr nachvollziehen und beließen es daher bei Hinweisen zu technischen und organisatorischen Maßnahmen. Eine Prüfung der IT-Systeme vor Ort behält sich die Landesbeauftragte vor.

Immer wieder ist der Verlust personenbezogener Daten bei Transport und Aufbewahrung zu beklagen. Besonders kritisch wird die Sache vor allem, wenn es um Gesundheitsdaten geht (A IV 4, Seite 78). Dazu erhielten wir im vergangenen Jahr eine Reihe von Meldungen über Datenschutzverletzungen: Beispielsweise vergaß eine Mitarbeiterin eines ambulanten Pflegedienstes ihren Rucksack mit den Leistungsnachweisen zur Pflegetätigkeit an der Straßenbahnhaltestelle. Eine Psychotherapeutin ließ eine Patientenakte in einem Nahverkehrsbus liegen. Schließlich kam der USB-Stick eines Vereins zur Betreuung von Wohngruppen für Menschen mit Behinderung abhanden. Darauf waren Datensätze zu Bewohnerinnen und Bewohnern mit der für das Sozialamt erstellten Beschreibung ihrer Entwicklung gespeichert. Diese Fälle zeigen, dass der sorgsame Umgang mit Gesundheitsdaten von grundlegender Bedeutung für den Datenschutz ist. Die Sensibilisierung der Beschäftigten, eine Verschlüsselung der Daten sowie – im Rahmen der Meldung der entstandenen Datenschutzverletzung – die Information der betroffenen Personen sind unverzichtbar.

Immer wieder bietet die E-Mail-Kommunikation der Verwaltungen und Unternehmen Anlässe, die Verantwortlichen für den sicheren und datenschutzgerechten Einsatz dieses Kommunikationsmittels zu sensibilisieren (A V 1, Seite 87). Sie müssen die Risiken, die sich bei dem Transport und der Weiterverarbeitung von E-Mails ergeben, durch geeignete und angemessene technische und organisatorische Maßnahmen mindern. Werden gezielt personenbezogene Daten ausgetauscht, bietet die Transportverschlüsselung einen ausreichenden Basisschutz gegen passives Belauschen des Datenverkehrs. Für Nachrichten, die sensible Daten enthalten, bedarf es entsprechend dem Risiko für die betroffenen Personen neben einer qualifizierten Transportverschlüsselung zusätzlich einer Ende-zu-Ende-Verschlüsselung. Im Falle eines hohen Risikos sind speziell gesicherte kryptografische Verfahren zu verwenden. Entscheidend ist, dass diese Sicherheitsmaßnahmen auf beiden Seiten getroffen werden, also sowohl beim Versand als auch beim Empfang der E-Mails. Dies wird allerdings oft zu wenig beachtet. Unsere Erfahrung sowie Beschwerden auf diesem Gebiet nutzen wir, um die Umsetzung angemessener Maßnahmen zum Schutz der E-Mail-Kommunikation gerade im Falle sensibler Daten einzufordern.

Das Gesetz zur Verhinderung von Gewalt gegen Frauen und häuslicher Gewalt setzt die sogenannte Istanbul-Konvention des Europarats um (B 1, Seite 121). Dadurch erhält die Polizei neue Befugnisse, potenzielle Opfer häuslicher Gewalt zu schützen. Im Gesetzgebungsprozess hat die Landesbeauftragte ausführlich Stellung genommen. Für die Einführung der sehr eingriffsintensiven elektronischen Aufenthaltsüberwachung (elektronische Fußfessel) – eine Kernregelung des Gesetzes in „Hochrisikofällen“ – fehlten uns Nachweise, dass diese Maßnahme das Risiko erneuter Straftaten überhaupt wirksam mindert. In diesem Zusammenhang kritisierten wir zudem die aus unserer Sicht viel zu offen formulierten Voraussetzungen für die elektronische Aufenthaltsüberwachung. Dagmar Hartge:

Die elektronische Fußfessel gab es bislang nur für verurteilte Straftäterinnen und Straftäter. Dass sie nun auch auf Verdachtsfälle ausgeweitet wird, ist allein schon kritikwürdig. Hier lässt sich kaum eine solide Gefahrenprognose abgeben. Zudem halte ich es für unrealistisch anzunehmen, dass die elektronische Aufenthaltsüberwachung Gewalttaten gegen Frauen verhindert.

Zur Erfüllung ihrer Aufgaben auf dem Gebiet der Strafverfolgung und Gefahrenabwehr führt die Polizei Kriminalakten zu einzelnen Personen – zu Verdächtigen, Beschuldigten eines Ermittlungsverfahrens oder Verurteilten, aber auch zu gesuchten, vermissten oder gefährdeten Personen. Die Landesbeauftragte führte im vergangenen Jahr eine stichprobenartige Kontrolle personengebundener und ermittlungsunterstützender Hinweise in den Kriminalakten durch (B 4, Seite 130). Dabei stellte sie gravierende Dokumentationsmängel fest, beispielsweise fehlten häufig die Abwägungen, die Rückschlüsse auf die Gründe der Dateneintragungen zugelassen hätten. Positiv stellten wir fest, dass die Aussonderungsprüffristen überwiegend auf den Einzelfall abgestimmt waren.

In einem Beschwerdefall stellte sich heraus, dass der Zentraldienst der Polizei im Zusammenhang mit der Verfolgung einer Geschwindigkeitsübertretung das komplette Ergebnis des Abrufs personenbezogener Daten aus der Elektronischen Einwohnerakte gespeichert hatte (B 5, Seite 134). Die aus technischen Gründen beim Abruf stets mit übermittelten, jedoch nicht relevanten personenbezogenen Daten – in diesem Fall ging es um die alte Wohnanschrift der Ehefrau des Beschwerdeführers sowie dessen Waffenerlaubnis – dürfen jedoch nicht in die Verfahrensakte aufgenommen werden. Das Polizeipräsidium hat den Fall zum Anlass genommen, die Beschäftigten zu sensibilisieren. Die Anforderungen an die Dokumentation sollen künftig fester Bestandteil der dienstlichen Belehrung sein.

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 22.04.2024

Die italienische Datenschutz-Aufsichtsbehörde (Garante) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben sich vom 18. bis 20. April in der Accademia Konrad Adenauer am Comer See getroffen.

Im Mittelpunkt der Besprechung standen verschiedene Themen: Von der Förderung von Aktivitäten und der Kooperation auf der Ebene des Europäischen Datenschutzausschusses (EDSA) bis hin zu engeren Formen der Zusammenarbeit zwischen den beiden Aufsichtsbehörden in den verschiedenen europäischen und internationalen Arbeitsgruppen.

Die beiden Behörden tauschten sich außerdem zur Tagesordnung des G7-Datenschutztreffens im Oktober 2024 in Italien aus. An dieser von der Garante organisierten Veranstaltung werden die Datenschutzbehörden der wichtigsten Industrieländer in der westlichen Welt teilnehmen.

Im Fokus standen außerdem die datenschutzrechtlichen Möglichkeiten zum Schutz von Minderjährigen – eine Debatte, die nicht mehr verschoben werden kann. Garante und BfDI konzentrieren sich auf die Frage, in welchen Fällen wirksame Mechanismen zur Altersüberprüfung installiert werden können und welche Anforderungen sie erfüllen müssen.

Ein ganzer Arbeitstag war der Untersuchung der neuen Herausforderungen im Zusammenhang mit künstlicher Intelligenz (KI) gewidmet. Dabei wurde auch über die künftige Rolle der Datenschutzbehörden diskutiert, die unabhängig von den Entscheidungen im Zusammenhang mit der KI-Verordnung weiterhin eine zentrale Rolle spielen werden. Dieses gilt auch und vor allem bei der Anwendung der Bestimmungen der DSGVO auf diese Technologien.

Schließlich wurde die kürzlich vom EDSA abgegebene Stellungnahme zum Thema „pay or consent“ diskutiert. Garante und BfDI beschlossen im Hinblick auf die in Kürze anstehenden weiteren Arbeiten zu diesem Thema, einen engen Austausch im Zusammenhang mit der Ausarbeitung der Leitlinien einzugehen.

BfDI und Garante wollen zukünftig weitere bilaterale Treffen durchführen, um den direkten Austausch zu stärken.

Gemeinsame Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz , des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg und der Deutschen Universität für Verwaltungswissenschaften in Speyer vom 19.04.2024

Mit der Rekordteilnahmezahl von rund 200 Teilnehmerinnen und Teilnehmern ging am 19. April 2024 das 13. Speyerer Forum zur digitalen Lebenswelt zu Ende. Zwei Tage lang hatten Expertinnen und Experten beleuchtet, wie Künstliche Intelligenz die Digitalisierung der Verwaltung beeinflussen kann – aktuell und zukünftig. Juristische Überlegungen, insbesondere zur KI-Verordnung, spielten dabei ebenso eine Rolle wie technische und gesellschaftliche Aspekte. Die etablierte Fachtagung wird von der Deutschen Universität für Verwaltungswissenschaften gemeinsam mit den Landesdatenschutzbeauftragten aus Rheinland-Pfalz und Baden-Württemberg sowie dem rheinland-pfälzischen Ministerium für Arbeit, Soziales, Digitalisierung und Transformation veranstaltet.

„Wir haben zwei überaus ertragreiche Tage mit hervorragenden Referentinnen und Referenten erlebt. Innerhalb des hochdynamischen Themenfelds der Künstlichen Intelligenz haben die Vortragenden aktuelle theoretische und praktische Ansätze zur Diskussion gestellt. Mich als Veranstalter hat wieder einmal die hohe Qualität der Fragen und Gespräche beeindruckt, die sich im Dialog mit dem Publikum hier in Speyer immer wieder entwickelt hat. Man lernt hier mit- und voneinander und es macht richtig Spaß. Das ist ein klare und von den Teilnehmenden von Jahr zu Jahr geschätzte Stärke der Veranstaltung, die sich fest als Fachforum für Digitalisierung und Datenschutz etabliert hat“, resümiert Prof. Dr. Dieter Kugelmann , Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

Der baden-württembergische Landesbeauftragte Prof. Dr. Tobias Keber sagt: „Wir müssen über den Einsatz von KI gesellschaftlich entscheiden, dafür benötigen wir möglichst das Wissen von Fachleuten aus unterschiedlichen Disziplinen. Das gilt umso mehr, wenn wir KI in staatlichen Stellen nutzen wollen. Wir freuen uns, dass so viele herausragende Expertinnen und Experten mit ihren Vorträgen und in Diskussionsrunden einen internationalen und interdisziplinären Blick auf das Mega-Thema Künstliche Intelligenz ermöglicht haben. Die Veranstaltung mit so vielen Teilnehmenden wie nie zuvor war ein großer Erfolg.“

„Die Saat des Speyerer Forums zur digitalen Lebenswelt ist auch in diesem Jahr sehr gut aufgegangen“, ergänzt Prof. Dr. Mario Martini . „Darüber freuen wir uns nicht nur als Veranstalter, sondern auch als wissenschaftliche Einrichtung, die sich dem Austausch zwischen Wissenschaft und Praxis verschrieben sieht.“

Das Feld der Referentinnen und Referenten war international und fachübergreifend besetzt. Einleitend stellte Laura Jugel, Legal Officer der EU-Kommission, die Architektur der europäischen KI-Verordnung vor. Liliane Obrecht von der Universität Basel sprach über den Einsatz von Künstlicher Intelligenz in der öffentlichen Verwaltung der Schweiz. Dr. Clara Iglesias Keller vom Berliner Wissenschaftszentrum für Sozialforschung stellte die Frage nach der Vereinbarkeit von KI und Demokratie. Björn Beck, Leiter des Innovationslabors der baden-württembergischen Landesregierung, gab Einblick in das bereits von öffentlichen Stellen praktisch angewendete Pilot-Projekt F13. Prof. Dr. Tobias Keber, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, diskutierte im Anschluss daran datenschutzrechtliche Aspekte des Pilotprojektes. s. Dr. Fedor Ruhose, Staatssekretär im Ministerium für Arbeit, Soziales, Digitalisierung und Transformation Rheinland-Pfalz, erörterte die Chancen und Folgen des Einsatzes von künstlicher Intelligenz aus Regierungsperspektive.

Den zweiten Forumstag grundierte Prof. Dr. Michael Gertz vom Institut für Informatik der Universität Heidelberg mit einer instruktiven und differenzierenden Präsentation der technischen Prinzipien und konkreter juristischer Anwendungsfelder sogenannter Large Language Models wie ChatGPT. Prof. Dr. Johannes Caspar, ehemaliger Hamburgischer Datenschutzbeauftragter, beleuchtete die europäische KI-Verordnung und erörterte die vertiefende Frage: „Effizienzrevolution frisst Rechtsstaatlichkeit?“ Bianca Kastl, IT-Entwicklerin und Akteurin im Innovationsverbund öffentliche Gesundheit, machte die zivilgesellschaftliche Sicht auf die Verwaltungsdigitalisierung stark. Juniorprofessorin Dr. Lea Kumkar von der Universität Trier stellte schließlich Erkenntnisse zu den Risiken und der Regulierung von mithilfe von KI gefälschten Bildern und Videos vor.

Das Speyerer Forum zur digitalen Lebenswelt fand zum 13. Mal an der Deutschen Universität für Verwaltungswissenschaften statt. Mit rund 200 Teilnehmenden – davon 80 vor Ort in Speyer sowie 120 Teilnehmenden im virtuellen Raum – war die Veranstaltung so stark besucht wie nie zuvor.

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 19.04.2024

Die Bundesregierung hat im Februar 2024 einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) vorgelegt (BT-Drs. 20/10859). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu relevanten Punkten des Gesetzentwurfs und zu weitergehendem Regelungsbedarf Stellung genommen. Zu den wichtigsten Punkten gehören:

Institutionalisierung der Datenschutzkonferenz: Ein neuer § 16a im BDSG-Entwurf (BDSG-E) dient der gesetzlichen Verankerung der jetzt schon bestehenden DSK. In ihrer Stellungnahme weist die DSK darauf hin, dass diese Regelung ausgebaut und zumindest die Ziele der DSK aufgenommen werden sollten. Zudem bekräftigt die DSK die Notwendigkeit einer Ständigen Geschäftsstelle und schlägt Änderungen am Gesetzestext vor.

Schutz von Betriebs- und Geschäftsgeheimnissen bei Auskunftsansprüchen: Die DSK hat Zweifel, ob die geplanten Regelungen (§ 34 Abs. 1 S. 2 BDSG-E und § 83 Abs. 1 S. 2 SGB-X-E) mit Art. 23 DS-GVO vereinbar sind, da die europarechtlichen Einschränkungen der Betroffenenrechte eng auszulegen sind.

Scoring: Die DSK hält es für erforderlich, im weiteren Gesetzgebungsverfahren zu prüfen, ob die Neuregelung in § 37a BDSG-E mit den Anforderungen des Art. 23 DS-GVO zur Einschränkung von Betroffenenrechten in Einklang steht. Um eine rechtssichere Regelung von Kreditwürdigkeitsprüfungen durch Scoringverfahren zu erreichen, empfiehlt die DSK eine Erörterung im Rahmen einer Sachverständigen-anhörung. Zudem weist sie auf zahlreiche Unklarheiten in den Regeln hin und regt Nachbesserungen an.

Länderübergreifende Datenverarbeitungsvorhaben: Bei gemeinsamer Verantwortlichkeit (§ 40a, § 27 Abs. 5 BDSG-E) im nichtöffentlichen Bereich soll es den beteiligten Unternehmen ermöglicht werden, eine einzige Aufsichtsbehörde festzulegen. Die DSK hält es in solchen Fällen für notwendig, zumindest eine vorgeschaltete Prüfung durch die beteiligten Aufsichtsbehörden zu den Fragen vorzusehen, ob überhaupt eine gemeinsame Verantwortlichkeit vorliegt und wie sich eine gemeinsam verantwortete Verarbeitung abgrenzen lässt. Außerdem weist die DSK auf mögliche Unklarheiten in Bezug auf das hoheitliche Tätigwerden in anderen Ländern hin.

Möglichkeit von Geldbußen auch gegenüber Behörden: Als zusätzlichen Punkt regt die DSK die Streichung des § 43 Abs. 3 BDSG an, nach dem gegen Behörden und sonstige öffentliche Stellen keine Geldbußen verhängt werden können. In der Praxis hat sich gezeigt, dass ein Bedarf für Geldbußen auch im öffentlichen Bereich besteht, um die Schwere eines Verstoßes gegenüber der beaufsichtigten Stelle hinreichend deutlich zu machen und um als Anreiz zu dienen, Datenschutzverstößen aktiv vorzubeugen.

Die vollständige Stellungnahme mit weiteren Punkten ist auf der Website der DSK abrufbar.

Materialien:
– Stellungnahme der DSK vom 12.04.2024:
https://www.datenschutzkonferenz-online.de/media/st/240412_BDSG-E_Stellungnahme_DSK.pdf

– Stellungnahme der DSK zur Evaluierung des BDSG vom 02.03.2021:
https://www.datenschutzkonferenz-online.de/media/st/20210316_DSK_evaluierung_BDSG.pdf

Über die Datenschutzkonferenz:

Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Kontakt:
Vorsitz der Datenschutzkonferenz 2024
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
Telefon: 0431 988 1289
E-Mail: dsk2024@datenschutzzentrum.de
https://www.datenschutzkonferenz-online.de

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 21.03.2024

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bietet auch dieses Jahr wieder kostenlose Schulungen zum Thema Datenschutz an. Ab April startet die Fortbildungsreihe für Berliner Start-ups, Kleinunternehmen und Vereine. Die Anmeldung für die ersten sechs Termine ist ab sofort über die Website möglich.

Für viele junge Unternehmen und Vereine stellt sich besser früher als später die Frage, wie mit den personenbezogenen Daten ihrer Mitglieder, Beschäftigten und Kund:innen umzugehen ist. Die rechtssichere Verarbeitung der Daten, die Erstellung einer Datenschutzerklärung oder das richtige Löschen von Daten sind oft Herausforderungen, denen sie sich mit begrenzten finanziellen Mitteln für rechtliche Beratung gegenübersehen. Hier setzt die Berliner Datenschutzbeauftragte an, indem sie praxisorientierte Schulungen anbietet, die auf die spezifischen Bedürfnisse dieser Zielgruppe zugeschnitten sind.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Den Datenschutz von Anfang an mitzudenken, ist für viele Unternehmen und Vereine entscheidend, um ihre Organisation auf eine rechtlich sichere Basis zu stellen. Dies unterstützen wir durch unsere Start-up-Schule, in der wir über die geltenden Datenschutzbestimmungen informieren und an Beispielen aus der Praxis aufzeigen, wie diese umgesetzt werden können.“

Die Auftaktveranstaltung findet am 11. April 2024 statt und widmet sich den Grundlagen des Datenschutzrechts. Danach folgen im zweiwöchigen Rhythmus weitere Schulungen zu den Rechtsgrundlagen von Datenverarbeitungen, dem Einsatz von Cloud-Diensten oder Löschkonzepten. Alle Termine finden in den Räumen der BlnBDI in Berlin-Moabit statt, eine Anmeldung über die Website ist erforderlich. Die Schulungen bauen aufeinander auf, können aber auch einzeln besucht werden. Ebenso ist ein späterer Einstieg möglich. Kenntnisse des Datenschutzrechts werden nicht vorausgesetzt, die Teilnahme ist kostenfrei.

Weitere Informationen: https://www.datenschutz-berlin.de/start-ups

Kontakt

Simon Rebiger, Pressesprecher
+ 49 30 13889-900
presse@datenschutz-berlin.de

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 20.03.2024

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat am Mittwoch der Präsidentin des Deutschen Bundestages seinen Tätigkeitsbericht für das Jahr 2023 übergeben.

Der BfDI zieht insbesondere zur internationalen Kooperation ein positives Fazit:

„Wir schaffen hohe Datenschutzstandards auf globaler Ebene. Diese Harmonisierung ist ein Fortschritt für die Rechte der Bürgerinnen und Bürger, aber eben auch für die Wirtschaft, die auf einen freien und vertrauensvollen Datenverkehr angewiesen ist. Die Expertise des BfDI dazu wird international geschätzt und intensiv nachgefragt. „

Im vergangenen Jahr zeigte sich das bereits beim Thema Künstliche Intelligenz (KI). Mit Aufkommen der ersten Anwendungen für die breite Öffentlichkeit und den Diskussionen um die KI-Verordnung der Europäischen Union wurde noch einmal deutlich, dass Künstlicher Intelligenz auch aus datenschutzrechtlicher Sicht ein Rahmen gegeben werden muss. Dazu der BfDI: „Wir haben uns sowohl in der deutschen Datenschutzkonferenz als auch im Europäischen Datenschutzausschuss, der Global Privacy Assembly und im Rahmen des G7 Roundtable der Privacy-Behörden mit dem Thema KI befasst, damit wir die Chancen der Technologie nutzbarmachen können, ohne uns den Risiken auszuliefern.“

Eine ähnliche Sichtweise gilt für die dringend notwendige Digitalisierung des Gesundheitswesens. Hier hat der BfDI die Regierung intensiv zum Gesundheitsdatennutzungsgesetz, zum Digital-Gesetz und zum Europäischen Gesundheitsdatenraum beraten. Außerdem hat die Behörde im vergangenen Jahr bei der geplanten sogenannten Chatkontrolle, der Gesetzgebung der Nachrichtendienste und der Modernisierung des Bundespolizeigesetzes Möglichkeiten und Grenzen aufgezeigt.

Den 32. Tätigkeitsbericht des BfDI können Sie als PDF-Datei herunterladen oder als Druckversion bestellen.

Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen vom 20.03.2024

Beim Einkaufen in Online-Shops darf im Rahmen eines Bestellprozesses nicht ohne Weiteres das Geburtsdatum als zwingende Angabe abgefragt werden. Diese von der Datenschutzaufsicht Niedersachsen vertretene Rechtsauffassung wurde nun vom Niedersächsischen Oberverwaltungsgericht bestätigt. In ihr drückt sich der Grundsatz der Datenminimierung aus, nach dem die Verarbeitung auf das notwendige Maß zu beschränken ist.

Hintergrund des gerichtlichen Verfahrens ist eine Unterlassungsanordnung der Datenschutzaufsicht gegenüber einer Online-Apotheke. Diese hatte das Geburtsdatum im Bestellprozess erhoben. Die Abfrage erfolgte unabhängig von der Art der bestellten Ware, also nicht nur bei Medikamenten, sondern auch bei allgemeinen Drogerieprodukten.

Bewertung für Webshops im Allgemeinen

Die Verarbeitung des Geburtsdatums ist datenschutzrechtlich üblicherweise nicht zur Erfüllung eines Vertrags erforderlich. Selbst für eine Prüfung, ob Minderjährige im Webshop bestellen und der Vertrag daher schwebend unwirksam sein könnte, kann der Betreiber die Volljährigkeit abfragen und benötigt nicht das genaue Geburtsdatum.

Der Betreiber eines Webshops kann auch nicht die Erfüllung einer rechtlichen Verpflichtung geltend machen, um Kunden bei der Ausübung ihrer Betroffenenrechte eindeutig zu identifizieren. Ganz im Gegenteil sollen Verantwortliche explizit keine zusätzlichen Daten allein für die Erfüllung ihrer Auskunftspflicht speichern.

Schließlich kann der Verantwortliche das standardmäßige Erheben und Verarbeiten des Geburtsdatums nicht auf seine berechtigten Interessen stützen. Zwar kann die Vorsorge für ein gegebenenfalls notwendiges Eintreiben offener Zahlungen ein berechtigtes Interesse darstellen, jedoch nur, wenn überhaupt ein Ausfallrisiko hinsichtlich der Zahlung besteht. Ein solches Risiko liegt jedoch beispielsweise nicht bei der Bezahlung per Vorkasse vor.

Bewertung für Online-Apotheken

All dies gilt auch für den Sonderfall einer Online-Apotheke. Zwar sind Apotheken in besonderem Maße verpflichtet, den Käufer zu beraten, zu informieren und aufzuklären. Doch diese Pflichten gelten nur für bestimmte Produktkategorien. Eine Sonderreglung nach der Arzneimittelverschreibungsordnung für rezeptpflichtige Medikamente ist für die sonstigen Vertriebsprodukte der Online-Apotheke nicht anwendbar. Ein Argument gegen die verpflichtende Angabe des Geburtsdatums war im aktuellen Fall zudem, dass der Bestellprozess dieses zwar für den Käufer abfragte, nicht jedoch für die Person, die das Produkt später verwenden sollte.

„Während sich eine Anschrift durch einen Umzug verändern kann, ist das Geburtsdatum ein besonders dauerhaftes Datum. Ich begrüße daher die Klarheit, mit der die Gerichte die Argumente der Beklagten zurückgewiesen haben“, so Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen. Betreiber von Webshops sollten überprüfen, ob sie im Bestellprozess das Geburtsdatum als zwingende Angabe abfragen, und zu welchen Zwecken und auf welcher Rechtsgrundlage dieses verarbeitet wird. Sollte die Abfrage nur auf die Einwilligung als Rechtsgrundlage gestützt werden können, ist das entsprechende Eingabefeld im Bestellformular eindeutig als „freiwillig“ zu kennzeichnen und die Kundinnen und Kunden sind über die Verwendung dieses Datums umfassend zu informieren. Geben diese kein Geburtsdatum an, muss der Bestellprozess fortgesetzt werden können.

Weiterführende Informationen:

• Verwaltungsgericht Hannover, Urteil vom 09.11.2021, Az.: 10 A 502/19, abrufbar unter https://voris.wolterskluwer-online.de/browse/document/2d1a89ee-9905-449a-ac3f-e55253a3318a
• Oberverwaltungsgericht Niedersachsen, Beschluss vom 23.01.2024, Az.: 14 LA 1/24, abrufbar unter https://voris.wolterskluwer-online.de/browse/document/22d96b5b-998b-412a-a7e7-18fd741383cb

Herausgeber: Der Landesbeauftragte für den Datenschutz Niedersachsen

Am 9. Juni 2024 findet die Wahl zum Europäischen Parlament statt, parallel dazu die Kommunalwahlen. Wenige Monate danach – am 1. September 2024 – folgt die Wahl zum Sächsischen Landtag. Bereits bei der Vorbereitung, aber auch bei der Durchführung der Abstimmungen, werden Millionen an personenbezogenen Daten verarbeitet – von Wahlberechtigten, Kandidatinnen und Kandidaten sowie Wahlhelferinnen und Wahlhelfern. Für sie und für alle Interessierten hat die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Wissenswertes zu diesem Thema zusammengetragen.
»Datenschutz ist eine wichtige Voraussetzung für freie und demokratische Wahlen. So werden Bürgerinnen und Bürger zum Beispiel vor der rechtswidrigen Verarbeitung ihrer Daten im Zusammenhang mit Wahlwerbung geschützt. Immer wieder erhält meine Behörde Anfragen dazu. Die Betroffenen können sich beispielsweise nicht erklären, wie Parteien an ihre Adresse gelangt sind. Oftmals ist dies auf der Grundlage des Bundesmeldegesetzes geschehen. Denn für die politische Meinungsbildung dürfen Meldebehörden den Parteien in begrenztem Maße Auskünfte aus dem Melderegister erteilen. Wer das nicht möchte, kann von seinem Widerspruchsrecht Gebrauch machen«, erläutert Dr. Juliane Hundert.

Wie und wo der Widerspruch zu erfolgen hat, erklärt die SDTB auf ihrer Website. Dort werden auch weitere Fragen zum Datenschutz bei Wahlen beantwortet, beispielsweise:

• Was darf der Wahlvorstand im Wahllokal über mich notieren?
• Wie lange werden Wählerverzeichnisse aufbewahrt?
• Was kann ich tun, wenn ich nicht möchte, dass meine personenbezogenen Daten dazu verarbeitet werden, mich als Wahlhelfer/in zu bestellen?
• Darf die Wohnanschrift einer Bewerberin oder eines Bewerbers für Kommunalwahlen veröffentlicht werden?

Antworten auf diese und weitere Fragen finden Bürgerinnen und Bürger auf: datenschutz.sachsen.de/wahlen.html

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 13.03.2024

Das Europäische Parlament hat heute die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) begrüßt die KI-Verordnung als Ergänzung zur Datenschutz-Grundverordnung (DSGVO).

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt. Ich begrüße, dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind.“ Prof. Ulrich Kelber Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung haben einen engen Bezug zum Datenschutz. So wird beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert. Gleichzeitig bedauert der BfDI, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme in 2021 geäußerten Kritikpunkte nicht umgesetzt wurden: Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.

Artikel auf https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2024/02_KI-Verordnung.html?nn=251944