Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 13.03.2024

Erfurt, 13.03.2024: Nach § 50 Absatz 1 Bundesmeldegesetz (BMG) darf die Meldebehörde – das Einwohnermeldeamt – den Parteien, Wählergruppen und anderen Trägern von Wahlvorschlägen im Zusammenhang mit Wahlen und Abstimmungen auf staatlicher und kommunaler Ebene in den letzten sechs Monaten vor einer Wahl oder Abstimmung Auskunft aus dem Melderegister über die in § 44 Absatz 1 Satz 1 bezeichneten Daten, wie Vor-, Familiennamen, Doktorgrad und die Anschrift von Wahlberechtigten erteilen. Die Parteien dürfen diese Daten nur für die Wahlwerbung nutzen. Die Daten müssen spätestens einen Monat nach der Wahl gelöscht werden. Hierzu informiert der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI):

Sie haben das Recht, diesen Melderegisterauskünften für die Zwecke der Wahlwerbung zu widersprechen (§ 50 Absatz 5 BMG). Der Widerspruch kann formlos und ohne Begründung beim Einwohnermeldeamt gestellt werden. Es empfiehlt sich, dies schriftlich zu tun oder bei der Meldebehörde selbst vorzusprechen. Der Widerspruch gilt für alle zukünftigen Wahlen, er muss nicht jeweils erneuert werden. Nutzen Sie hierzu das Formblatt auf der Internetseite des TLfDI unter:

https://www.tlfdi.de/fileadmin/tlfdi/info/anlage_widerspruch_gegen_datenuebermittlung.pdf

Der TLfDI fordert die Bürgerinnen und Bürger zudem auf, ihm Fälle unberechtigter Wahlwerbung zu melden. Bitte melden Sie dem TLfDI auch, wenn Ihnen Wahlbefragungen, auch unter Einsatz technischen Geräts, seltsam vorkommen.

Der TLfDI wird sich solcher Angelegenheiten annehmen!

Tino Melzer
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Häßlerstraße 8
99096 Erfurt

www.tlfdi.de

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 12.03.2024

Erfurt, 12.03.2024: Am 1. März 2024 hat der Jurist Tino Melzer (41) sein Amt als Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) in der gleichlautenden Behörde begonnen. Er ist am 2. Februar mit der erforderlichen Mehrheit im Thüringer Landtag in das Amt gewählt und am 1. März vereidigt worden. Tino Melzer studierte Rechtswissenschaft in Rostock und kommt aus dem Thüringer Ministerium für Arbeit, Soziales, Gesundheit, Frauen und Familie (TMASGFF), wo er als behördlicher Datenschützer und als Referent um Rechtsangelegenheiten des öffentlichen Gesundheitsdienstes, der Pharmazie und in Grundsatzfragen des Gesundheitsdatenschutzes tätig war. In seiner beruflichen Vergangenheit arbeitete Herr Melzer unter anderem als Justiziar bei dem Softwarehersteller Intershop Communications AG in Jena sowie als Legal Counsel für den Bereich Datenschutz Pharmazie und Forschung bei der Bayer AG in Berlin. Seine Priorität legt er auf den Gesundheitsdatenschutz und die Digitalisierung im Gesundheits– und Pflegebereich. Tino Melzer ist die Wichtigkeit eines starken Datenschutzes im Zeitalter der Digitalisierung und einer viel zu schnellen Flut an Informationen sehr bewusst. Er richtet seinen Blick in die Zukunft: Sein Fokus liegt u.a. auf der Forschung im Gesundheitswesen und die damit verbundenen datenschutzrechtlichen Herausforderungen. Hierbei ist ihm wichtig, dass die Lebensqualität jedes einzelnen Menschen verbessert werden muss, ohne dabei den Schutz der Privatsphäre aus den Augen zu verlieren. „Die Digitalisierung verpflichtet unsere Datenschutzaufsichtsbehörden und damit auch den TLfDI, die Menschen einerseits noch stärker für das Thema Datenschutz auch im Gesundheitsbereich zu sensibilisieren, so Melzer. „Andererseits muss die Datenschutz-Grundverordnung (DS-GVO) konsequent in der Praxis umgesetzt werden damit das Handeln der beteiligten Akteure nachvollziehbar und transparent bleibt.“ Der TLfDI mit Sitz in Erfurt ist eine unabhängige oberste Landesbehörde mit derzeit 42 Mitarbeiterinnen und Mitarbeitern. Der Landesbeauftragte dieser Behörde ist für sechs Jahre vom Thüringer Landtag gewählt. Eine weitere Amtsperiode ist möglich.

Pressestelle
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Häßlerstraße 8
99096 Erfurt
www.tlfdi.de

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 14.02.2024

Die Verhandlungen zum EU-Verordnungsentwurf zur Bekämpfung des sexuellen Online-Kindesmissbrauchs (CSA-Verordnung) gehen aktuell in eine entscheidende Phase.

Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben anlässlich dessen in einer Gemeinsamen Stellungnahme den EU-Gesetzgeber dazu aufgerufen, die wesentlichen Änderungsvorschläge des Europäischen Parlaments (EP) zu unterstützen.

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber:

„Die Durchleuchtung sämtlicher privater Nachrichteninhalte ist keine Option. Der Verordnungsentwurf der Kommission in seiner ursprünglichen Form darf daher nicht realisiert werden. Die Vorschläge des Europäischen Parlaments geben dafür die Richtung vor, denn sie sehen eine gezieltere Aufdeckung von sexuellem Online-Kindesmissbrauch vor.“

Gleichzeitig teilt der BfDI die von seinen europäischen Kolleginnen und Kollegen geäußerte Kritik an der vom EP formulierten Ausgestaltung von sogenannten Aufdeckungsanordnungen: „Ich hoffe, dass die EU-Gesetzgeber sich in den Trilog-Verhandlungen darauf einigen können, dass Aufdeckungsanordnungen nur als letztes Mittel und gezielt gegenüber konkret verdächtigen Personen oder Personengruppen eingesetzt werden. Alles andere ist der Einstieg in eine anlasslose Massenüberwachung.“

Das EP hatte in seinem Bericht viele Kritikpunkte der Gemeinsamen Stellungnahme von EDSA und EDPS vom Juli 2022 aufgegriffen. Es hatte jedoch offengelassen, ob ein Auslesen der privaten Kommunikation auch über die konkret verdächtigen Personen hinausgehen könnte. Mit dem Vorschlag des EP soll außerdem das Scannen nach bisher unbekanntem kinderpornographischen Material möglich bleiben, obwohl die dazu genutzten Technologien noch immer hohe Fehlerquoten aufweisen.

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 13.02.2024

Immer wieder erreichen die Datenschutzbeauftragte Anfragen zu der Herausgabe von Mitgliederlisten eines Vereins oder einer Partei an einzelne Mitglieder, etwa um das Quorum für eine außerordentliche Mitgliederversammlung zu erreichen. Die Offenlegung solcher Daten ist datenschutzrechtlich besonders brisant, wenn die Information über die Mitgliedschaft Rückschlüsse auf politische Haltungen oder sonstige besonders geschützte personenbezogene Daten zulassen. Das kann bei Parteien, Gewerkschaften oder Vereinen der queeren Community der Fall sein.

Zur Ausübung der Minderheitenrechte des Vereinsrechts muss für einzelne Mitglieder die Möglichkeit bestehen, andere Mitglieder zu erreichen und sie so von der Einberufung einer außerordentlichen Mitgliederversammlung zu überzeugen. Gleichzeitig stellt die Datenschutzgrundverordnung (DSGVO) differenzierte Regelungen auf, unter welchen Voraussetzungen Organisationen Daten Dritten gegenüber offenlegen dürfen.

Gerade bei Vereinen, deren Mitgliedschaft u. a. Rückschlüsse auf politische Meinungen, die Gesundheit, religiöse oder weltanschauliche Überzeugungen, die sexuelle Orientierung oder auch die Zugehörigkeit zu einer Gewerkschaft ziehen lassen, ist die Datenweitergabe nach der DSGVO grundsätzlich untersagt. Dieser Schutz erstreckt sich auch auf besondere Kategorien personenbezogener Daten, die sich aus dem Kontext ergeben, wie zum Beispiel bei Selbsthilfevereinen von suchtkranken Personen oder Menschen mit bestimmten Krankheiten.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, sagt: „Wenn Personen Vereine mit ihrer Mitgliedschaft unterstützen, die sich beispielsweise für die freie Entfaltung der sexuellen Identität einsetzen oder meinungsstark für die Rechte von Frauen eintreten, lässt sich daraus der Schluss ziehen, dass sie die Ziele des Vereins und die dazugehörigen politischen Positionen teilen. Gleichwohl kann es sein, dass Mitglieder ihre Mitgliedschaft und Kontaktdaten geheim halten möchten, weil sie um ihre Sicherheit fürchten müssen oder die persönliche Situation es nicht erlaubt, dass sie sich öffentlich zu den Zielen des Vereines bekennen können. Mitglieder von politisch aktiven Vereinen und Parteien haben daher ein Recht darauf, dass Informationen zur Mitgliedschaft vertraulich behandelt und nicht leichtfertig offenbart werden – auch nicht gegenüber anderen Mitgliedern.“

Wie Vereine datenschutzkonform vorgehen können

Die DSGVO sieht grundsätzlich die Möglichkeit vor, besonders geschützte personenbezogene Daten intern zu den Tätigkeitszwecken einer politischen Vereinigung zu verarbeiten. Dieses Organisationsprivileg greift bei diesen Daten jedoch nicht für die Herausgabe von Mitgliederlisten nach außen an einzelne Mitglieder oder Verbindungen von Mitgliedern, die themenbezogen ihre Mitstreiter:innen anschreiben wollen, um sie von ihren Positionen zu überzeugen.

In diesen Fällen kann der Verein für die Herausgabe die Einwilligung der Mitglieder einholen. Die Einwilligung muss freiwillig erfolgen und sich ausdrücklich auf den konkreten Zweck beziehen. Sie darf nicht in der Satzung versteckt sein. Alternativ kommt zum Schutz der Mitglieder eine Herausgabe an Treuhänder:innen in Frage. Bei diesem Verfahren kann durch rechtliche Bindung und technische Qualifikation sichergestellt werden, dass die Daten zweckgemäß verwendet und danach gelöscht werden.

Meike Kamp empfiehlt abschließend: „Wer sich und seine Mitglieder vorausschauend schützen möchte, stößt eine Aufnahme entsprechender Schlichtungsmöglichkeiten in die Vereinssatzung bereits vor einem Konflikt an.“

Download Herausgabe von Mitgliederlisten: Was Vereine und Parteien beachten müssen als PDF

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 07.02.2024

Als am 25. Januar 1974 das rheinland-pfälzische Landesdatenschutzgesetz in Kraft trat, war der Landtag Rheinland-Pfalz der erst dritte Gesetzgeber weltweit, der mutig und vorausschauend eines der zentralen Themen des 20. und 21. Jahrhunderts anging. Das 50. Jubiläum des Landesdatenschutzgesetzes hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit am 7. Februar mit einem Festakt im rheinland-pfälzischen Landtag in Mainz mit rund 100 geladenen Gästen gefeiert. Zu den Gästen aus Politik, Gesellschaft, Wirtschaft und Verwaltung zählte auch der frühere rheinland-pfälzische Ministerpräsident Rudolf Scharping, der in den 1970er Jahren als junger Landtagsabgeordneter in der Datenschutzkommission mitgewirkt hatte.

„Ein halbes Jahrhundert Datenschutz in Rheinland-Pfalz: Das ist Anlass, eine große Pionierleistung zu würdigen“, so Prof. Dr. Dieter Kugelmann , der seit 2015 als Landesbeauftragter für den Datenschutz und die Informationsfreiheit über die Einhaltung des Datenschutzrechts sowohl durch öffentliche als auch private Stellen in Rheinland-Pfalz wacht. Früh und weitblickend erkannte der Gesetzgeber in Rheinland-Pfalz in den 1970er Jahren die Gefahren, die mit den damals revolutionären Mitteln der computergestützten Datenverarbeitung verbunden waren. Man folgerte, dass es rechtlicher Rahmenbedingungen gegen eine missbräuchliche Verwendung bedurfte.

„Das rheinland-pfälzische Datenschutzgesetz hat sich als anhaltend modern und relevant erwiesen – moderner vielleicht, als man vor 50 Jahren erwarten konnte“, so Kugelmann weiter. „Viele der damals festgeschriebenen Grundsätze gelten nach wie vor. Angesichts rasanter technologischer Entwicklungen müssen, wollen und können wir zeigen, dass Antworten auf die Herausforderungen unserer Zeit gegeben werden können, die mit Datenschutz und dem Grundrecht auf informationelle Selbstbestimmung vereinbar sind. Offen und lösungsorientiert: Dass so viele Akteurinnen und Akteure aus der Politik, der Gesellschaft, der Verwaltung und der Wirtschaft das Jubiläum des Landesdatenschutzgesetzes heute mit uns feiern, zeigt mir, dass wir auf dem richtigen Weg sind.“

Die anhaltende Relevanz des richtungsweisenden Gesetzes würdigte auch die Vizepräsidentin des Landtags Kathrin Anklam-Trapp in ihrem Grußwort. Sie hob die Bedeutung der Arbeit der Datenschutzkommission hervor, in der sich von den Fraktionen entsandte Landtagsabgeordnete sowie eine Vertretung der Landesregierung für den Datenschutz engagieren. Anklam-Trapp betonte: „Je mehr unser Leben in der digitalen Welt stattfindet, desto mehr braucht es Gesetze und Werkzeuge für den Datenschutz. Datenschutz bleibt eine Aufgabe, die in unserer modernen Welt nie an ein Ende kommen wird, sondern sich den rasanten techno­logischen Entwicklungen immer wieder anpassen muss, um unsere höchsten Güter zu schützen: unsere Privatsphäre und unsere Demokratie.“ Datenschutz schütze unsere individuelle Freiheit und unser Recht auf Selbstbestimmung. Datenschutz gehe uns deshalb alle an, so die Vizepräsidentin.

Die rheinland-pfälzische Ministerpräsidentin Malu Dreyer betonte die Bedeutung des Datenschutzes im Kontext der Bürgerrechte. „Seit einem halben Jahrhundert ist das Landesdatenschutzgesetz ein Eckpfeiler unseres gemeinsamen Bemühens um den Schutz der Privatsphäre und der informationellen Selbstbestimmung. Und seit dieser Zeit werden unsere Bürger und Bürgerinnen vor Beeinträchtigungen ihrer Persönlichkeitsrechte geschützt, die sie durch die Verarbeitung personenbezogener Daten erfahren könnten. Dieses Jubiläum ist wahrlich ein Grund zum Feiern“, so die Ministerpräsidentin. „Insbesondere in einer Zeit der Digitalisierung sind die Datenschutzvorgaben von zentraler Bedeutung. Sie schaffen klare Regeln und Standards für den Umgang mit personenbezogenen Daten in digitalen Prozessen. Deswegen bleibt es eine spannende Aufgabe, den Datenschutz an die Herausforderungen der Zukunft anzupassen“, betonte Ministerpräsidentin Malu Dreyer. Sie hob außerdem die Arbeit des rheinland-pfälzischen Landesdatenschutzbeauftragten auf bundesdeutscher Ebene etwa zum Thema Künstliche Intelligenz hervor: „Es liegt auf der Hand, dass sich bei diesem zukunftsträchtigen und bedeutenden Thema auch Fragen des Datenschutzes stellen. Professor Kugelmann hat sich auch intensiv mit dem KI-Sprachmodell ChatGPT auseinandergesetzt und hier insbesondere mit der Frage, ob die Verarbeitung personenbezogener Daten in ChatGPT rechtmäßig erfolgt. Angesichts der Bedeutung von KI, die in rasender Geschwindigkeit zunimmt, ist das eine zentrale Frage.“

Anu Talus , Vorsitzende des Europäischen Datenschutzausschusses, stellte in ihrer Videobotschaft die Bedeutung des Datenschutzes als europäisches Projekt heraus. Sie betonte, wie wichtig die jahrzehntelange Erfahrung der rheinland-pfälzischen und weiteren deutschen Datenschutzaufsichtsbehörden für die Zusammenarbeit auf europäischer Ebene sei. „Die Kooperation der deutschen Bundesländer zur Optimierung ihrer Arbeit und zur Steigerung der Kohärenz ist für uns alle eine Inspiration“, sagte sie.

Die Festrede hielt der Politikwissenschaftler und Autor Adrian Lobe . „Es wird gerne übersehen, dass es sich beim Datenschutz um ein elementares Freiheitsrecht handelt“, stellte Lobe eingangs seiner Rede fest. Er machte deutlich, wie zentral ein wacher und kritischer Umgang mit Daten und dem Recht auf informationelle Selbstbestimmung in unserer digitalisierten Gesellschaft ist. Und er skizzierte, wie die europäische Idee des Datenschutzes sich zum Standortvorteil entwickeln kann:

„Es geht längst nicht mehr darum, wer die schnellsten Computer oder leistungsfähigsten Chips baut, sondern darum, wer die Spielregeln für die digitale Gesellschaft schreibt“, so Lobe weiter. [Die vollständige Festrede ist beigefügt.]

Im Begleitprogramm des Festakts wurde im Landtagsfoyer eine historische Plakatausstellung gezeigt, die Anfang der 2000er Jahre vom Landesbeauftragten erstellt und erstmals präsentiert wurde. Die acht Informationstafeln der Ausstellung lassen sich hier digital erkunden.

Hintergrund

Festredner:
Adrian Lobe, geboren 1988 in Stuttgart, ist freier Publizist und Buchautor.

Er studierte Politik- und Rechtswissenschaft an den Universitäten Tübingen, Heidelberg und Sciences Po Paris und schreibt heute für verschiedene Zeitungen im deutschsprachigen Raum (u.a. Der Standard, Frankfurter Allgemeine Sonntagszeitung, Neue Zürcher Zeitung) über Technologiethemen und ihre Auswirkungen auf die Gesellschaft. 2016 wurde Lobe für seine Artikel über Datenschutz und Überwachung mit dem Preis des Forschungsnetzwerks Surveillance Studies ausgezeichnet. Für seinen Artikel „Wir haben sehr wohl etwas zu verbergen!“ bei ZEIT ONLINE erhielt er 2017 den ersten Journalistenpreis der Stiftung Datenschutz. 2019 erschien bei C.H. Beck sein vielbeachtetes Mahnwerk „Speichern und Strafen“.

Geschichte des Landesdatenschutzgesetzes:
Am 25. Januar 1974 trat nach Verkündung im Gesetz- und Verordnungsblatt durch den damaligen Ministerpräsidenten Helmut Kohl das rheinland-pfälzische Landesdatenschutzgesetz unter dem Namen „Gesetz gegen mißbräuchliche Datennutzung“ in Kraft. Nach Hessen und Schweden war Rheinland-Pfalz weltweit das dritte Land mit einem eigenen Datenschutzgesetz. Die Richtung, die das Gesetz einschlug, war für die weitere Entwicklung des Datenschutzrechts wegweisend – weit über die Landesgrenzen hinaus. So wurde schon damals festgeschrieben, dass eine Datenverarbeitung gesetzlich legitimiert sein muss und dass unabhängige Kontrollinstanzen hierüber zu wachen haben. Zudem wurde erklärt, dass es unabdingbare Rechte der Bürgerinnen und Bürger gegenüber den datenverarbeitenden Stellen gibt und dass technisch-organisatorische Regelungen die Sicherheit und Nachvollziehbarkeit der Datenverarbeitung sicherstellen müssen. All dies findet sich 44 Jahre später auch in der heute gültigen Datenschutz-Grundverordnung wieder.

Die frühen Datenschutzgesetze sahen zuvörderst in einem informationshungrigen Staat („big brother“) die Gefahr einer unverhältnismäßigen Überwachung der Bürgerinnen und Bürger. Sie galten daher nur für öffentliche Stellen. Erste Regelungen für die Privatwirtschaft folgten erst später mit dem Bundesdatenschutzgesetz.

Anfang der 1980er Jahre sollten die Bürgerinnen und Bürger in Deutschland im Rahmen einer Volkzählung dem Staat Auskunft über persönliche Informationen geben. Dagegen regte sich in der Gesellschaft großer Widerstand. Dieser ging so weit, dass das Bundesverfassungsgericht im Jahr 1983 über das Volkszählungsgesetz zu entscheiden hatte und in seinem Urteil das Gesetz in weiten Teilen für nichtig erklärte. In dem als „Bergpredigt“ zum Datenschutz bezeichneten Volkszählungsurteil stellte das Bundesverfassungsgericht fest, dass die Verwendung personenbezogener Daten durch den Staat als Eingriff in ein von der Verfassung geschütztes Grundrecht, dem „informationellen Selbstbestimmungsrecht“, anzusehen ist. Eingriffe in dieses Grundrecht – so das BVerfG – bedürfen einer gesetzlichen Legitimation oder der Einwilligung der Betroffenen.

Die Folge war eine wahre Normenflut: Auf Bundes- und Landesebene mussten nun Gesetze und Verordnungen die Verarbeitung von personenbezogenen Daten im öffentlichen Bereich legitimieren, wollte man nicht auf die Einwilligung der betroffenen Personen zurückgeworfen sein.

Im Unterschied zu den meisten Bundesländern und zum Bund gab es in Rheinland-Pfalz zunächst keinen Datenschutzbeauftragten. Die Kontrollaufgabe hatte man einem Datenschutzausschuss übertragen, an dessen Stelle am 1. Januar 1979 die Datenschutzkommission trat. Im Jahr 1991 wurde das Amt eines Landesbeauftragten für den Datenschutz geschaffen. Die Datenschutzkommission blieb aber als beratendes Organ für den Landesdatenschutzbeauftragten bestehen. Erster Landesbeauftragter für den Datenschutz wurde bis zum Jahr 2007 Prof. Dr. Walter Rudolf. Ihm folgte Edgar Wagner. Seit dem Jahr 2015 übt Prof. Dr. Dieter Kugelmann das Amt aus.

Mit der „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ vom 24. Oktober 1995 wurde erstmals der Versuch unternommen, einen einheitlichen europäischen Datenschutzstandard zu etablieren. Europäische Richtlinien bedürfen der gesetzgeberischen Umsetzung innerhalb der Mitgliedsstaaten, sodass die Datenschutzgesetze im Bund und in den Ländern erneut geändert werden mussten. Im Landesdatenschutzgesetz des Jahres 2002 wurden neue Begriffe wie „Datensparsamkeit“ und „Vorabkontrolle“ eingeführt; auch wurde ein Verbot automatisierter Einzelentscheidungen aufgenommen. Unlängst hat der EuGH dieser – auch in der Datenschutz-Grundverordnung übernommenen – Regelung zu Bekanntheit verholfen, indem er dem Schufa-Scoring Grenzen aufzeigte.

Im Jahr 2000 wurde das Recht auf informationelle Selbstbestimmung in Art. 4a der Verfassung des Landes Rheinland-Pfalz verankert. Weitere Meilensteine in der Entwicklung des rheinland-pfälzischen Datenschutzrechts war das Hinzukommen der Zuständigkeiten für den privaten Bereich im Jahr 2008 und für die Informationsfreiheit im Jahr 2011.

Mit dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) im Jahr 2018 begann in ganz Europa eine neue Zeitrechnung im Datenschutz. Ziel war es, den großen Internetkonzernen, die mit den Daten europäischer Bürgerinnen und Bürger große Gewinne erwirtschaften, ein mächtiges Regelungswerk entgegenzusetzen. Die Stärkung der Betroffenenrechte, weitreichende Informationspflichten für Verantwortliche sowie abschreckende Sanktionsmöglichkeiten für die Aufsichtsbehörden sind heute als der „Goldstandard“ eines modernen Datenschutzes auch außerhalb Europas anerkannt und werden vielfach übernommen.

Als „Verordnung“ stellt die DS-GVO unmittelbar anzuwendendes Recht in jedem Mitgliedsstaat dar. Dem rheinland-pfälzischen Landesdatenschutzgesetz bleibt daher die Rolle, die Vorgaben der DS-GVO in „spezifischeren Vorschriften“ (wie es die DS-GVO verlangt) zu konkretisieren. Gleichwohl setzt das aktuelle Landesdatenschutzgesetz eigene Akzente, wie z.B. die Bestimmungen zur Videoüberwachung oder zum Beschäftigtendatenschutz zeigen.

Download Rheinland-Pfalz feiert 50 Jahre Datenschutzgesetz: "Modern und relevant wie nie" als PDF

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 06.02.2024

Den heutigen Safer Internet Day möchte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse nutzen, um über einige, sich hartnäckig haltende Datenschutzirrtümer aufzuklären.

Los geht`s:

1. Datenschutz will Digitalisierung verhindern.
Unsinn – Datenschützer wollen die Digitalisierung, aber eben rechtskonform. Sonst bräuchte man das Recht nicht, wenn man es nicht einhalten will.

2. Alle Produkte, die ab Inkrafttreten der Datenschutz-Grundverordnung auf den Markt kommen, sind nun auch zu 100% datenschutzkonform.
Das sollten sie bestenfalls sein, viele sind es aber nicht. Um sich in dem Dschungel von Produkten zurechtzufinden, können zwar Zertifizierungsverfahren dazu dienen, die Einhaltung der DS-GVO bei Verarbeitungsvorgängen nachzuweisen. Art. 42 DS-GVO sieht insoweit jedoch nur Folgendes vor: „Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.“ Da Verarbeitungsvorgänge aber keine Produkte sind, lässt Art. 42 DS-GVO eine Zertifizierung von Produkten dem Wortlaut nach nicht zu. An einer nationalen Lösung dieses Problems wird – unter Einbindung des TLfDI – derzeit intensiv gearbeitet.

3. Der TLfDI ist eine Außenstelle eines Ministeriums.
Unsinn. Der TLfDI ist die selbstständige datenschutzrechtliche Aufsichtsbehörde, die die datenschutzrechtliche Aufsicht u.a. auch über Ministerien und die Thüringer Staatskanzlei ausübt und weisungsberechtigt ist.

4. Mit einer Einwilligung ist alles erlaubt.
Nein, denn gem. Art. 6 Abs. 1 S. 1 Buchst. a) DS-GVO hat die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten nur für einen bestimmten Zweck erteilt. Und über diesen Zweck hinaus dürfen ihre personenbezogenen Daten nicht verwendet werden. Eine Einwilligung muss immer freiwillig und informiert erfolgen. Sie kann außerdem jederzeit widerrufen werden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) beschloss zudem am 24. November 2021, dass „ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 Buchstabe a) DS-GVO nicht zulässig ist.“

5. Mit der Pseudonymisierung von Daten entfällt der Anwendungsbereich der Datenschutz-Grundverordnung.
Nein, das ist nicht der Fall, da bei einer Pseudonymisierung Daten und Namen durch Ident-Nummer, Kennziffern oder auch Zufallszahlen ersetzt werden. Diese können mit zusätzlichen Hilfsmitteln wie Listen der vergebenen Kennziffern oder Zufallszahlen in ihre Ausgangsdaten zurückgeführt werden. Und hinter den repseudonymisierten Daten ist dann wieder eine natürliche Person erkennbar. Fazit: Die Pseudonymisierung von personenbezogenen Daten fällt definitiv in den Anwendungsbereich der Datenschutz-Grundverordnung. Anders ist es bei einer Anonymisierung von personenbezogenen Daten. Da besteht keine Möglichkeit mehr, die ursprünglichen Daten wiederherzustellen. Anonyme Daten sind demnach nicht mehr personenbezogen oder personenbeziehbar. Eine Anonymisierung ist nicht immer realisierbar, sodass es mitunter sehr schwierig ist, überhaupt Anonymität herzustellen.

6. Die Datenschutz-Grundverordnung gilt nicht für Privatpersonen, sondern nur für gewerbliche oder behördliche Tätigkeiten.
Stimmt nicht. Verantwortlicher kann jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Auch Privatpersonen können datenschutzrechtlich verantwortlich gemacht werden, wenn sie außerhalb der persönlichen oder familiären Sphäre handeln und beispielsweise den öffentlichen Raum vor ihrem Haus mittels Videokamera aufzeichnen.

7. Die Datenschutz-Grundverordnung gilt nur für die elektronische Datenverarbeitung, nicht für analoge Daten.
Gemäß Art. 2 Abs. 1 Datenschutz-Grundverordnung gilt die Datenschutz- Grundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Dateisystem ist dabei gem. Art. 4 Nr. 6 Datenschutz-Grundverordnung jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Somit gilt die Datenschutz-Grundverordnung grundsätzlich auch für geordnete, strukturierte Papierakten oder schriftliche Aufzeichnungen. Der Thüringer Gesetzgeber hat den Anwendungsbereich für die unter das ThürDSG fallenden öffentlichen Stellen darüber hinaus erweitert. Für öffentliche Stellen in Thüringen gilt gem. § 2 Abs. 4 S. 2 ThürDSG, dass die Bestimmungen der Datenschutz-Grundverordnung auch für die nicht automatisierte Verarbeitung von personenbezogenen Daten entsprechend gelten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (z.B. ungeordnete Papierakten).

8. Die Datenschutz-Grundverordnung ist so streng, und es wird immer schwerer, Daten zu verarbeiten.
Stimmt nicht. Die Regelungen zum Umgang mit personenbezogenen Daten in der Datenschutz-Grundverordnung sind im Vergleich zur vorherigen Datenschutz-Richtlinie und deren damaliger Umsetzung nicht nur weitestgehend gleichgeblieben, die Datenschutz-Grundverordnung hat zudem das Datenschutzrecht auch weitgehend harmonisiert. Aus diesem Grund ist der Datenverkehr innerhalb Europas deutlich einfacher geworden, was ein erklärtes aber gern übersehenes Ziel der Datenschutz-Grundverordnung ist. Zudem gilt die Datenschutz-Grundverordnung auch für Verantwortliche außerhalb der EU, wenn sie Daten von Personen innerhalb der EU verarbeiten. Die gleichförmige Anwendung und Umsetzung der Datenschutzregeln in allen europäischen Mitgliedsstaaten wird durch den Europäischen Datenschutzausschuss zum Beispiel im Rahmen der Zusammenarbeit aller europäischen Aufsichtsbehörden und durch Leitlinien zur Auslegung der Datenschutz-Grundverordnung gewährleistet.

9. Datenschutz schützt Daten.
Das ist so nicht ganz korrekt. Gem. Art. 1 Abs. 1 DS-GVO schützt die Datenschutz-Grundverordnung natürliche Personen bei der Verarbeitung ihrer personenbezogener Daten und damit deren Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 2 DS-GVO).

10. Wer sich bei der Verarbeitung personenbezogener Daten eines Auftragsverarbeiters bedient, ist raus aus der datenschutzrechtlichen Verantwortung.
Stimmt nicht. Die Datenschutz-Grundverordnung definiert den Verantwortlichen als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Wenn der Verantwortliche bei der Verarbeitung personenbezogener Daten sich eines Auftragsverarbeiters bedient, regelt die Datenschutz-Grundverordnung, dass der Auftragsverarbeiter als tätiger Dienstleister weisungsgebunden ist. Er führt daher die Verarbeitung für den Verantwortlichen (=Auftraggeber) und nicht als Dritter durch. Es besteht vielmehr zwischen dem Auftraggeber (dem Verantwortlichen) und seinem Auftragsverarbeiter ein „Innenverhältnis“ und die wechselseitigen Vertragspflichten müssen in einem sog. Auftragsverarbeitungsvertrag festgelegt sein (Art. 28 DS-GVO). Dazu gehören auch Weisungs- und Kontrollpflichten für den Verantwortlichen. Ein Vertragsmuster ist hier zu finden ( https://www.tlfdi.de/fileadmin/tlfdi/themen/tlfdi_formulierungshilfe_fur_auftragsverarbeitungsvertraege.pdf ). Die Verarbeitung durch den Auftragsverarbeiter wird deshalb grundsätzlich dem Verantwortlichen zugerechnet.

Siehe hierzu auch das Kurzpapier Nr. 13 der Datenschutzkonferenz unter https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf .

11. Die Datenschutz-Grundverordnung verbietet seit ihrer Geltung sämtliche Verarbeitungen personenbezogener Daten.
Stimmt nicht. Bei der Verarbeitung personenbezogener Daten gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Dieser besagt, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn eine Erlaubnisnorm gestattet sie oder sie beruht auf der Einwilligung der betroffenen Person. Liegt also beispielsweise eine gesetzliche Regelung wie in der Datenschutz-Grundverordnung oder anderen Datenschutzvorschriften vor, die die Verarbeitung erlaubt, dürfen personenbezogene Daten natürlich verarbeitet werden.

12. Datenschutz kann vom Gesetzgeber einfach abgeschafft werden.
Nein, das ist nicht richtig, eine Einschränkung aufgrund gesetzlicher Normen ist aber möglich. Das Recht auf informationelle Selbstbestimmung leitet sich aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG her. Auch nach Art. 8 der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Gemäß Art. 6 Abs. 2 der Verfassung des Freistaats Thüringen hat jeder Anspruch auf Schutz seiner personenbezogenen Daten. Nach Art. 6 Abs. 3 der Verfassung des Freistaats Thüringen ist eine Einschränkung des Rechts grundsätzlich möglich. Jedoch darf diese nur auf Grund eines Gesetzes geschehen (Gesetzesvorbehalt). Dabei muss die Wesensgehaltsgarantie beachtet werden und die Verhältnismäßigkeit gewahrt bleiben.

13. Nur große „Datenpannen“ muss ich der Aufsichtsbehörde melden.
Stimmt nicht. Eine Datenpanne ist im Falle einer Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde möglichst binnen 72 Stunden zu melden, nachdem ihre Verletzung bekannt wurde (Art. 33 Abs. 1 Satz 1 DS-GVO). Die Verletzung des Schutzes personenbezogener Daten ist gem. Art. 4 Nr. 12 DS-GVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Dies muss der Verantwortliche im Einklang mit den Grundsätzen der Rechenschaftspflicht nachweisen können. Da die Fälle, in denen wirklich kein Risiko besteht, nur sehr eingeschränkt vorliegen, ist auch bei kleineren Vorkommnissen eine Meldung nach Art. 33 DS-GVO in der Regel unumgänglich. Ein Datenschutzverstoß, der keine Meldung an die Aufsichtsbehörde auslöst, liegt beispielsweise vor, wenn der Kunde eine E-Mail mit Werbung von einem Unternehmen erhält, aber die Einwilligung hierzu unwirksam ist.

14. Wenn eine Datenschutz-Folgenabschätzung (DS-FA) notwendig ist, muss der TLfDI beteiligt werden.
Was ist eine Datenschutz-Folgenabschätzung?

Die DS-FA stellt eine Verpflichtung für die verantwortliche Stelle dar, in bestimmten Fällen bzw. für bestimmte Verarbeitungsprozesse eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken vorzunehmen.

Muss der TLfDI immer beteiligt werden?

Nein, der TLfDI muss gem. Art. 36 Abs. 1 DS-GVO erst einbezogen werden, wenn aus einer erfolgten DS-FA hervorgeht, dass die Verarbeitung der personenbezogenen Daten ein hohes Risiko zur Folge hätte und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Eine Handreichung findet sich auf der Homepage www.tlfdi.de unter https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/handreichung_ds-fa.pdf und auf der Seite der DSK unter https://www.datenschutzkonferenz-online.de/media/wp/20171004_wp248_rev01.pdf .

15. Die Prüfung der Umsetzung der Datenschutz-Grundverordnung, insbesondere die Sicherheit der Verarbeitung nach Art. 32 DS-GVO ist nur ein Mal am Anfang durchzuführen.
Stimmt nicht. Entsprechend der Datenschutz-Grundverordnung sind die technischen und organisatorischen Maßnahmen (TOM) nicht nur einmalig zu implementieren, sondern vielmehr sollte ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM vorgesehen werden (Art. 32 Abs. 1 Buchst. d) DS-GVO). Die aktuelle Angemessenheit der TOM orientiert sich dabei jeweils am Stand der Technik. ( https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/Kommunales/DS-Anforderungen-IT-Sicherheit_oefftl_Stellen_Stand_Februar_2021.pdf )

Insbesondere das Aufkommen von Datenpannen kann dazu führen, dass bestehende Abläufe und technische Implementierungen einer erneuten Überprüfung zu unterziehen sind.

16. Der Einsatz von Künstlicher Intelligenz (KI) unterliegt nicht der DS-GVO. KI ist so kompliziert, dass gar kein Personenbezug mehr nachgewiesen werden kann.
Stimmt gar nicht. Personenbezug findet sich beim Einsatz von KI-Systemen an vielen Stellen: es können täuschend echte Fotos von tatsächlich lebenden Personen generiert werden, KI kann Texte über echte Personen schreiben oder KI kann z.B. medizinische Unterlagen als Eingaben verarbeiten, um Ärzten Diagnosevorschläge und Behandlungsempfehlungen zu unterbreiten. Personenbezug ist daher häufig sehr einfach nachweisbar. Das Verständnis, „wie“ die KI arbeitet, ist dabei gar nicht nötig. Dabei können personenbeziehbare Daten bei der Eingabe, bei Trainingsdaten oder bei der Ausgabe erzeugt werden. Auch Zwischenergebnisse können Personenbezug aufweisen. Eine KI zu trainieren ist aber tatsächlich sehr aufwändig und kann bisher nur durch spezialisierte Firmen oder Experten erfolgen. Die Datenschutzkonferenz fordert eine klare Verantwortlichkeit für Hersteller und Betreiber von Künstlicher Intelligenz. Dazu gehört auch, dass diese ihren Kunden (d.h. betroffene Nutzer oder Auftraggeber) das Produkt ausreichend erklären können. Auf welchen Trainingsdaten basiert die KI? Wie wurde die Funktionsfähigkeit der KI geprüft und mit welchem Ergebnis? Welche Risiken bestehen bei der Nutzung der KI? Welche Gegenmaßnahmen wurden implementiert? Wie und zu welchen Zwecken werden Daten der Nutzer verarbeitet? Sind dies evtl. auch Trainingsdaten? Wenn Verantwortliche diese Informationen nicht haben, können sie keine KI betreiben oder sind nicht Verantwortliche. Im letzten Fall müssen die Antworten auf die oben aufgeworfenen Fragen aber dennoch den Nutzern zur Verfügung gestellt werden. Dies fordert mindesten Art.13 DS-GVO oder Art. 14 DS-GVO. Auch daran erkennt man, dass die DS-GVO nicht nur anwendbar ist, sondern der DS-GVO sogar eine wichtige Aufklärungsrolle zufällt.

17. Datenschutz ist gewährleistet, wenn ich auf der Internetseite eine Datenschutzerklärung zur Verfügung stelle.
Nicht ganz. Bei einigen Verantwortlichen besteht Datenschutz ausschließlich darin, eine Datenschutzerklärung auf der firmeneigenen Webseite zur Verfügung zu stellen. Damit allein ist es jedoch noch nicht getan.

Denn neben den Informationspflichten nach Art. 13/14 DS-GVO, die mit einer Datenschutzerklärung zumeist erfüllt werden sollen, bestehen für die Verantwortlichen weitere Verpflichtungen nach der Datenschutz-Grundverordnung. Das Führen eines Verarbeitungsverzeichnisses gem. Art. 30 DS-GVO zum Beispiel, welches ebenfalls Angaben zu den technischen und organisatorischen Maßnahmen beinhaltet, oder das Benennen eines Datenschutzbeauftragten nach Art. 37 DS-GVO i. V. m. § 38 BDSG, wenn die Voraussetzungen dafür vorliegen. Weiterhin bestehen auch grundsätzlich die Nachweis- und Rechenschaftspflichten der Verantwortlichen nach Art. 5 Abs. 2 DS-GVO und Art. 7 Abs.1 DS-GVO.

18. Eine Datenschutzerklärung auf der Website ist doch nicht zu beanstanden, wenn sie vorsorglich alles aufführt, was technisch möglich wäre?
Stimmt so nicht. Eine Datenschutzerklärung erfüllt die Anforderungen gemäß Art. 12 Abs. 1 und 13 DS-GVO nur dann, wenn sie präzise und somit für den Websitebesucher transparent informiert. Vorsorglich auch Dienste und Cookie-Beschreibungen zu benennen, die auf der Website gar nicht eingebunden sind, sind dagegen für Websitebesucher irreführend. Denn die betroffene Person muss davon ausgehen, dass hierüber personenbezogene Daten gegen seinen Willen verarbeitet werden, obwohl das in der Praxis dann gar nicht geschieht. Notwendige Angaben die wiederum fehlen, sind für Websitebesucher genauso irreführend und intransparent. Eine Datenschutzerklärung für den Betrieb einer Webseite muss zunächst die allgemeinen Informationen aus Art. 13 DS-GVO enthalten. Wichtig sind jedoch hier die Empfänger von Daten, zum Beispiel Websitehoster oder bei Shopsystemen externe Zahlungsdienstleister Transportunternehmen, etc.

Weiterhin muss angegeben werden, wenn Drittdienste wie Videoplattformen oder dynamische Wegkarten genutzt werden. Auch die Nutzung von Cookies muss transparent erfolgen. Hier muss der Ausgestaltung des sog. Cookiebanners besondere Aufmerksamkeit gelten.

Wichtig ist also für den Betreiber der Website, die genaue technische und die dazugehörige rechtliche Ausgestaltung seines Webauftrittes zu kennen. Auch gilt zu beachten, dass sich Rechtsgrundlagen jederzeit ändern können. Dies war in der Vergangenheit z.B. bei Datenübertragungen in die USA öfters der Fall.

19. Dr. Lutz Hasse ist auf Lebenszeit Datenschutzbeauftragter des Freistaates Thüringen.
Dieser Wunsch wird von vielen Seiten an uns herangetragen. Er kann aber aufgrund der Gesetzeslage, die nur eine Wiederwahl zulässt, nicht in Erfüllung gehen.

20. Der TLfDI muss pragmatisch sein!
In Art. 57 Abs. 1 Buchstabe a) DS-GVO heißt es eindeutig: „Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet die Anwendung dieser Verordnung überwachen und durchsetzen.“ Ein Landesdatenschutzbeauftragter muss daher Datenschutzverstöße abstellen und ahnden; Pragmatismus kann bei dieser Aufgabenwahrnehmung daher leicht als Einfallstor für Willkür und Beliebigkeit missgedeutet werden.

Neben der Überwachung und Durchsetzung der DS-GVO kann ein Datenschutzbeauftragter auch beraten, helfen, informieren und Lehrveranstaltungen zum Datenschutz anbieten.

Download Safer Internet Day 2024 – TLfDI Hasse räumt mit Datenschutzirrtümern auf als PDF

Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen vom 02.02.2024

Zum Safer Internet Day am 6. Februar 2024 wirbt die Datenschutzaufsicht Niedersachsen an Schulen für einen sicheren Umgang mit Daten im Internet. Damit unterstützt die Behörde die deutschlandweite Initiative „Datenschutz geht zur Schule“. Ihre Mitarbeiterinnen und Mitarbeiter besuchen im Februar über 20 Schulklassen in Niedersachsen und sprechen so mit insgesamt mehr als 500 Schülerinnen und Schülern in Niedersachsen über den Datenschutz.

Auch Denis Lehmkemper, Landesbeauftragter für den Datenschutz in Niedersachsen, wird eine Schule in Hannover besuchen: „Die digitale Welt ist fester Bestandteil im Leben von Kindern und Jugendlichen. Deshalb ist es enorm wichtig, sie frühzeitig über ihre Rechte im Netz und die Risiken beim Weitergeben ihrer Daten aufzuklären“, so Lehmkemper.

Sicherer Umgang mit Smartphone und Internet

Die Mitarbeiterinnen und Mitarbeiter sind vorwiegend in siebten und achten Klassen in Niedersachsen unterwegs und sprechen dort mit über 500 Schülerinnen und Schülern. Themen sind unter anderem der sichere Umgang mit dem Smartphone, das Recht am eigenen Bild, IT-Sicherheit sowie Profiling im Netz und auf Spielkonsolen.

Die Schülerinnen und Schüler lernen dabei, möglichst sichere Passwörter zu erstellen und erhalten Tipps, um die eigenen Daten vor unerlaubtem Zugriff zu schützen. Ziel der Aktion ist es, junge Menschen für einen sicheren und verantwortungsvollen Umgang mit digitalen Medien zu sensibilisieren. „Wir wollen den Jugendlichen praktische Tipps an die Hand geben und ihnen Lust machen, sich mit dem Schutz ihrer Daten zu beschäftigen. Das Internet und der Umgang damit ist Alltag für Schülerinnen und Schüler. Deshalb ist es wichtig, sie früh für die eigenen digitalen Spuren im Netz zu sensibilisieren.“, so Lehmkemper.

Bundesweite Aktion „Datenschutz geht zur Schule“

Die Schulbesuche sind Teil einer Kooperation der Landesdaten-schutzbehörden mit dem Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD), der die Initiative „Datenschutz geht zur Schule“ im Jahr 2009 initiiert hat. Außer dem Landesbeauftragten in Niedersachsen sind in den kommenden Wochen und über das ganze Jahr ehrenamtliche Datenschützerinnen und -schützer in ganz Deutschland an Schulen unterwegs.

„Es wird immer wichtiger, dass Kinder und Jugendliche sich bewusst sind, welche Stellschrauben im Umgang mit den eigenen Daten oder den Daten anderer sie selbst nutzen können, um hier eigenverantwortlich zu agieren“, meint Rudi Kramer, der Sprecher der ehrenamtlichen Initiative des BvD. Auf ihrer Webseite veröffentlicht die Initiative vielfältiges Informationsmaterial zum Umgang mit Daten im Internet für Eltern, Lehrkräfte und Jugendliche. Der Safer Internet Day ist Teil der EU-Initiative klicksafe für mehr Sicherheit im Internet. Er findet in diesem Jahr am 6. Februar unter dem Motto „Let’s talk about Porno“ statt.

Datenschutztipps als Videoclip

Zum Safer Internet Day erweitert der BvD außerdem sein Angebot von Videoclips unter dem Motto „Datenschutz – leicht erklärt“. Die Videos sind ein Angebot für Jugendliche und in Kooperation mit den Datenschutzaufsichtsbehörden aus Bayern, Baden-Württemberg, Hessen, Thüringen entstanden. In insgesamt 25 zwei- bis vierminütigen Clips erklären Fachleute leicht verständlich, warum es wichtig ist, personenbezogene Daten zu schützen. Außerdem geben sie Tipps, wie man mit wenigen Klicks in den Einstellungen von Smartphone oder Webbrowser mehr Privatsphäre erreicht. Ganz neu ergänzt wurden aktuell Clips unter anderem zu Gaming, Cookies und zur Informationsfreiheit.

Weiterführende Informationen:

• Initiative „Datenschutz geht zur Schule“ des BvD: https://www.bvdnet.de/datenschutz-geht-zur-schule/
• EU-Initiative klicksafe: https://www.klicksafe.de/sid24
• Videoclips zum Datenschutz:Videoclips zum Datenschutz: https://www.datenschutz-leicht-erklaert.de/

Herausgeber: Der Landesbeauftragte für den Datenschutz Niedersachsen

Download Safer Internet Day: Landesbeauftragter spricht mit Jugendlichen über den Datenschutz als PDF

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 26.01.2024

Dieses Jahr nimmt die Berliner Beauftragte für Datenschutz und Informationsfreiheit den Europäischen Datenschutztag am 28. Januar zum Anlass, Kindern den Datenschutz nahezubringen. Unter dem Motto „Datenschutz spielerisch erleben“ präsentiert die Behörde vier neue interaktive Spiele auf ihrer Kinderwebsite data-kids.de .

Die Spiele richten sich an Kinder zwischen 6 und 13 Jahren und sind für den Einsatz am Smartphone, Computer oder Tablet geeignet. Die Bandbreite reicht von einem klassischen Richtig-oder-falsch-Quiz über ein Memory, bei dem Bilder und Aussagen miteinander kombiniert werden müssen, bis hin zu einem Fehlersuchbild und einem Kreuzworträtsel über Begriffe, die für den Datenschutz wichtig sind. Kinder können damit spielerisch überprüfen, was sie schon alles über Datenschutz wissen und was zum Schutz ihrer Daten sowie ihrer Privatsphäre zu beachten ist. Sie lernen beispielsweise, dass sie ihre Daten im Internet nicht leichtfertig weitergeben sollten und über ihr Recht, selbst zu entscheiden, ob sie fotografiert werden wollen oder nicht.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Unsere Spiele sind unterhaltsam und vermitteln, warum ein sensibler Umgang mit persönlichen Informationen wichtig ist. Mir kommt es darauf an, das Bewusstsein und die Kompetenzen der jungen Generation zu stärken, um sie so für Datenschutz zu sensibilisieren.“

Über data-kids.de
data-kids.de vermittelt mit interaktiven Quizspielen, Videoclips und einem Begriffslexikon Kindern die Relevanz von Datenschutz. Die Website stärkt sie im Umgang mit ihren Daten und ermutigt sie, für ihre Privatsphäre und ihre Rechte einzustehen. Daneben bietet die Website umfangreiches Informations- und Lehrmaterial für Eltern und pädagogische Fachkräfte. Im Dezember 2023 erhielt die Website das Seitenstark-Gütesiegel als qualitativ hochwertiges Onlineangebot für Kinder.

Über den Europäischen Datenschutztag
Der Europäische Datenschutztag am 28. Januar dient als jährliche Initiative, um für Datenschutz und Privatsphäre zu sensibilisieren. Der Tag erinnert an die Unterzeichnung des Übereinkommens zum Schutz des Menschen bei der Verarbeitung von personenbezogenen Daten durch den Europarat am 28. Januar 1981.

Kontakt
Simon Rebiger, Pressesprecher
+ 49 30 13889-900
presse@datenschutz-berlin.de

Download Europäischer Datenschutztag: Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht neue Online-Spiele für Kinder als PDF

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 07.12.2023

Mit heutigem Urteil hat der Europäische Gerichtshof (EuGH) die Rechte betroffener Bürger gestärkt. Konkret gingen die Bürger gegen das „Scoring“ der Schufa sowie gegen die Speicherung von Informationen über die Erteilung einer Restschuldbefreiung aus öffentlichen Registern vor.

Die Schufa sammelt u. a. Daten bei Bankgeschäften und bestimmt daraus einen Wert – Scoringwert – für den Verbraucher. Das „Scoring“ – ein mathematisch-statistisches Verfahren – ermöglicht es, die Kreditwürdigkeit des Verbrauchers und die Wahrscheinlichkeit seines künftigen Verhaltens, etwa die Rückzahlung seines Kredits, vorauszusagen.

Der Europäische Gerichtshof (EuGH) hat heute dieses Scoring der Schufa als unzulässig erklärt und entschieden, dass das „Scoring“ als eine von der DS-GVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, wenn die Kunden der SCHUFA, wie beispielsweise die Banken, dem Scoring eine entscheidende Rolle bei der Kreditgewährung beimessen.

Die DS-GVO verbietet es grundsätzlich, dass Entscheidungen, die für Betroffene rechtliche Wirkung entfalten, lediglich durch die automatisierte Verarbeitung von Daten getroffen werden. Denn gemäß Artikel 22 DS-GVO hat jeder Mensch das Recht, nicht allein durch eine automatisierte Entscheidung benachteiligt zu werden – die letzte Entscheidung hat somit eigenverantwortlich ein Mensch zu treffen.

Was jetzt für algorithmisch erstellte Schufa-Scores gilt, hat Folgen auch über den Wirkungsbereich von Auskunfteien hinaus. Es ist auch auf den Einsatz vieler KI-Systeme übertragbar, wenn allein Algorithmen etwa belastende Entscheidungen über Personen treffen, beispielsweise bei Bewerberauswahlen.

Der TLfDI, Dr. Lutz Hasse, dazu: „Auf den EuGH ist wie stets Verlass – er setzt die DS-GVO mit klaren Worten um – erstaunlich aber immer wieder, wie sich Geschäftsmodelle an der DS-GVO vorbei mogeln wollen. Erfreulich für das Grundrecht der informationellen Selbstbestimmung, dass solche Aktivitäten am EuGH scheitern.“

Download Entscheidung des EuGH: Scoringsystem der SCHUFA scheitert an DS-GVO als PDF