TÄTIGKEITSBERICHT ZUM DATENSCHUTZ 2019
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
TÄTIGKEITSBERICHT ZUM DATENSCHUTZ 2019 www.datenschutz.rlp.de
HERAUSGEBER Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Hintere Bleiche 34 | 55116 Mainz Postfach 30 40 | 55020 Mainz Telefon +49 (0) 6131 208-2449 Telefax +49 (0) 6131 208-2497 poststelle@datenschutz.rlp.de www.datenschutz.rlp.de Oktober 2020
TÄTIGKEITSBERICHT 2019 3
INHALTSVERZEICHNIS
INHALT
VORWORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
I. GRUNDLINIEN DER ENTWICKLUNGEN DES . .
DATENSCHUTZES UND DER BEHÖRDE. . . . . 10
1. Öffentlichkeitsarbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2. Internationaler Datentransfer . . . . . . . . . . . . . . . . . . . . 13
3. Vorsitz des LfDI Rheinland-Pfalz in der
Datenschutzkonferenz . . . . . . . . . . . . . . . . . . . . . . . . . . 16
II. ZAHLEN UND FAKTEN. . . . . . . . . . . . . . . . . . . . 20
III. SACHGEBIETE. . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1. Europäische Zusammenarbeit. . . . . . . . . . . . . . . . . . . . . 26
2. Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3. Justiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4. Videoüberwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
5. Wirtschaft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
6. Leben Digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
7. Beschäftigtendatenschutz . . . . . . . . . . . . . . . . . . . . . . . 40
8. Medien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZINHALTSVERZEICHNIS
9. Gesundheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
10. Soziales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
11. Kommunales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
12. Medienbildung und Schule. . . . . . . . . . . . . . . . . . . . . . . 66
13. Meldewesen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
14. Verwaltung Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
15. Zertifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
15. Rechtsdurchsetzung. . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Abkürzungsverzeichnis. . . . . . . . . . . . . . . . . . . . . . . 76
TÄTIGKEITSBERICHT 2019 5VORWORT
VORWORT
Das Jahr 2019 stand immer noch ganz im Zei-
chen der Neuerungen durch die Datenschutz-
Grundverordnung. Diese Neuerungen sind zwar
bereits seit dem 25. Mai 2018 wirksam gewor-
den, ihre Verwirklichung und Konkretisierung
hat aber bis in das Jahr 2019 hinein fortgewirkt.
Dementsprechend war auch der 25. Mai 2019
ein magisches Datum für die Datenschutzbehör-
den, weil an mehreren Stellen nachgefragt wur-
de, wie denn nach einem Jahr die Datenschutz-
Prof. Dr. Dieter Kugelmann
Grundverordnung zu werten sei. Die Antwort
fiel von Seiten der Datenschutzaufsichtsbehör-
den einhellig aus: Die Datenschutz-Grundverordnung ist ein Erfolg. Die-
ser Erfolg hat natürlich vielfältige Schattierungen und Wirkungen, aber
dem Grunde nach hat der Datenschutz einen großen Fortschritt erzielt.
Dieser Fortschritt drückt sich zum einen materiell aus. Das konkreti-
sierte sich in der erheblich angestiegenen Zahl von Beschwerden der
Bürgerinnen und Bürger im Hinblick auf mögliche Verletzungen des
Datenschutzes durch nicht-öffentliche oder öffentliche Stellen. Diese
Beschwerden führten zu einem erwarteten Mehraufwand für die Daten-
schutzaufsichtsbehörden, der in diesem Umfang nicht vermutet worden
ist. Es ist eine Vervier- bis Verfünffachung der Anzahl der Beschwerden
eingetreten. Hinzu kam die Verzwölffachung der Meldungen von Daten-
pannen durch die Verantwortlichen. Die Verpflichtung, die Verletzungen
von Datenschutzregeln unter bestimmten Voraussetzungen zu melden,
wird ernstgenommen, da ein Verstoß gegen diese Verpflichtung mit
Geldbuße belegt ist. Der Beratungsbedarf blieb hoch. Nach dem abso-
luten Höhepunkt in Sommer und Herbst des Jahres 2018 kamen nun die
Folgefragen. In einer Vielzahl von Beratungen und Veranstaltungen hat
der LfDI diesen Beratungsbegehren Rechnung getragen. Die Mitarbei-
terinnen und Mitarbeiter haben schriftlich, telefonisch, aber auch im
direkten Kontakt mit Verantwortlichen und Betroffenen spezifische und
konkrete Informationen zu der Verwirklichung von Anforderungen der
Datenschutz-Grundverordnung gegeben.
Die inhaltlichen Fortschritte des Datenschutzes führen zu erheblichen
Folgerungen für die Behörde des LfDI. Der gewaltige Aufwand, den Be-
ratungen, Informationen und Kontrollen verursachen, ist von der Verstär-
kung an Personal nicht in vollem Umfang abgefedert worden. Zwar hat
6 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZVORWORT
der Landtag des Landes Rheinland-Pfalz dem LfDI dankenswerter Weise
weitere Stellen zur Verfügung gestellt, allerdings hat sich erwiesen, dass
die gesteigerten Aufgaben doch nur mit zusätzlichen Kräften bewältigt
werden konnten, die auf Zeit und vorübergehend Hilfe geleistet haben.
Befristete Arbeitsverhältnisse können aber nur eine Interimslösung dar-
stellen. Die Sicherung einer kontinuierlichen Arbeit setzt das beständige
Vorhandensein entsprechender Ressourcen voraus.
Die vielfältigen Folgerungen der Datenschutz-Grundverordnung gingen
einher mit vielfältigen Folgerungen aus neuen technischen Entwick-
lungen und gesellschaftlichen Rahmenbedingungen. Der LfDI hat im
Bereich Schulen und Medienbildung, auf dem Gebiet des Gesundheits-
wesens oder im Zusammenhang der Kommunen umfangreiche gesetz-
liche und sonstige Rahmenbedingungen mitgeschärft. Die Kontakte zu
den Akteuren blieben intensiv. Die auf Dauer gute Kooperation mit einer
Vielzahl öffentlicher Stellen hat zu dem Erreichen der Ziele wesentlich
beigetragen. Auch auf dem Gebiet der Privatwirtschaft wurden regel-
mäßige Veranstaltungen und Gespräche mit großen Unternehmen aus
Rheinland-Pfalz durchgeführt. Die dauerhaften Kontakte haben den
Bereich der privaten Unternehmen und insbesondere die betrieblichen
Datenschutzbeauftragten als Ansprechpartner gestärkt. Nach wie vor ist
ein wesentliches Merkmal der Tätigkeit des LfDI Rheinland-Pfalz, dass im
Dialog mit den Verantwortlichen und Akteuren Verbesserungen herbei-
geführt werden können, die insbesondere dann auch den Bürgerinnen
und Bürgern zugutekommen. Die aufsichtsbehördlichen Maßnahmen
und Kontrollen treten verstärkt hinzu. Die Datenschutz-Grundverord-
nung bietet dem LfDI nicht nur ein breites Instrumentarium an Maßnah-
men, um Verstöße gegen den Datenschutz zu beheben und ggf. zu ahn-
den. Sie führt auch zu einem verstärkt behördlichen Auftreten des LfDI,
da eingreifende Maßnahmen durch eine Verwaltung mit belastendem
Charakter gegenüber den Bürgerinnen und Bürgern auch angegriffen
werden können. Die Rechtschutzmöglichkeiten gegen Maßnahmen des
LfDI wurden auch in Anspruch genommen. Dementsprechend war die
Arbeit der Stelle Rechtsdurchsetzung in der Behörde des LfDI im Jahre
2019 eine der Tätigkeiten, die mit erheblich gesteigertem Aufwand und
mit zunehmend erhöhter Intensität vorgenommen wurden. Eine Reihe
von organisatorischen Maßnahmen hat dazu beigetragen, dass die Be-
hörde des LfDI gut aufgestellt auf die Anforderungen reagieren konn-
te. Nichtsdestotrotz bleibt die Anpassung von Aufgabenverteilung und
Organisation eine Daueraufgabe. Dazu konnten die Auswertungen, die
TÄTIGKEITSBERICHT 2019 7VORWORT
auf innerstaatlicher und europäischer Ebene vorgenommen wurden, einen
Beitrag leisten.
Im Herbst des Jahres 2019 ließ sich der Schluss ziehen, dass ein erheblich
verbessertes Niveau an Datenschutz in Rheinland-Pfalz und der Europäi-
schen Union insgesamt erreicht wurde. Dies betrifft die sich auf hohem
Niveau konsolidierende Anzahl der Beschwerden und Datenpannenmel-
dungen ebenso wie die Qualität des Datenschutzmanagements in Behörden
oder Unternehmen. Dennoch bleibt noch viel zu tun. Der LfDI wird weiter
seine Aufgabe wahrnehmen, das Datenschutzrecht durchzusetzen und da-
mit die Grundrechte der Bürgerinnen und Bürger zu wahren.
Prof. Dr. Dieter Kugelmann
8 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZVORWORT TÄTIGKEITSBERICHT 2019 9
10 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ
I. GRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE DATENSCHUTZBERICHT 2019 11
GRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE
I. GRUNDLINIEN DER schaftliche Verantwortung und wirtschaft-
liche, soziale und ökologische Potenziale“ des
ENTWICKLUNGEN Deutschen Bundestages geladen, welche u.a.
die Bedeutung der Ethik in der KI hervorhoben.
DES Weitere Details zur Veranstaltung finden Sie
DATENSCHUTZES hier: https://s.rlp.de/veranstaltungki
IN DER BEHÖRDE Um ein breiteres und zugleich junges Publikum
für datenschutzrechtliche Aspekte zu begeis-
tern und für einen bewussten Umgang mit Da-
1. ÖFFENTLICHKEITSARBEIT ten im Internet zu sensibilisieren, lud der LfDI
2019 ins Mainzer Kino „Ciné Mayence“ ein. Er
Aufgrund der Notwendigkeit, nach Wirksam- zeigte beispielsweise am 16. September 2019
werden der Datenschutz-Grundverordnung den Film „Hi, AI“, um den Zuschauerinnen und
gekürte Datenschutzbeauftragte über die Zuschauern die Herausforderungen und Gefah-
gesetzlichen Bestimmungen zu informieren, ren der Einführung von KI in die Gesellschaft zu
führt der LfDI regelmäßig in Kooperation mit vergegenwärtigen. Nach der Filmvorstellung
den Unternehmen SCHOTT AG, Boehringer stand der LfDI auch diesem Publikum zu Fragen
Ingelheim, Birkenstock bzw. BASF SE die Ver- hinsichtlich der rechtlichen und gesellschaftli-
anstaltungsreihe „X-Tage DSGVO – Beispiele chen Hintergründe zur Verfügung. Die Presse-
aus der täglichen Praxis“ durch. Ziel der Veran- mitteilung, den Trailer sowie Informationen zur
staltungsreihe ist der Austausch der Erfahrun- Vereinbarkeit von Datenschutz und KI finden
gen mit der Datenschutz-Grundverordnung Sie hier: https://s.rlp.de/datenschutzgoeskino
zwischen Wirtschaft und Aufsichtsbehörde.
Nach den Vorträgen dieser Kooperationspart- Darüber hinaus fand im Berichtsjahr die Ver-
ner und des LfDI hat das aus Datenschutzbe- anstaltungsreihe „Mainzer Vorträge“ in Koope-
auftragten bestehende Publikum Gelegenheit, ration mit der Johannes Gutenberg-Universität
datenschutzrechtliche Fragen zu stellen. So Mainz statt, die regelmäßig Themen des IT-
fand beispielsweise am 28. Oktober 2019 die Recht und des Sicherheits- und Informations-
Veranstaltung „DSGVO – neue Beispiele aus rechts aufgreifen. In diesem Rahmen referierte
der Praxis“ in den Räumlichkeiten der BASF beispielsweise Dr. Horst Heberlein, Referatslei-
statt. Die Pressemitteilung finden Sie hier: ter bei der Europäischen Kommission, am 20.
https://s.rlp.de/kooperationsveranstaltung- November 2019 zum Thema „Konkordanz der
dsgvo Grundrechte – multipler Grundrechtsschutz
durch die Datenschutz-Grundverordnung“.
Um das Thema „KI“ des DSK-Vorsitzjahres 2019
auch in den Veranstaltungen des LfDI hervor- Informationen über die Veranstaltungen der
zuheben, führte dieser im Berichtsjahr die Ko- Mainzer Vorträge zum Sicherheits- und Infor-
operationsveranstaltung „Künstliche Intelligenz mationsrecht finden Sie unter https://baecker.
und die Folgen für Wirtschaft, Forschung, Ar- jura.uni-mainz.de/mzv-sr-infr/. Dort besteht
beit und Gesellschaft“ am 17. September 2019 auch die Möglichkeit, sich für die Mailingliste
mit dem LfDI Baden-Württemberg durch. In der Mainzer Vorträge anzumelden.
das Podium waren Vertreterinnen der Enquête-
Kommission „Künstliche Intelligenz - Gesell-
12 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZGRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE
Um die Presse- und die Öffentlichkeit über die 2. INTERNATIONALER
interessantesten und skurrilsten Datenschutz- DATENTRANSFER
fälle zu informieren, lädt der LfDI jährlich zum
Pressegespräch „Best of Datenschutz“ ein. Im Bereich des internationalen Datentransfers
Dieses Gespräch fand am 27. August 2019 war das Jahr 2019 geprägt von einigen bedeu-
statt. Neben der Präsentation der interessan- tenden rechtlichen und tatsächlichen Entwick-
testen Datenschutzfälle, wie zum Beispiel un- lungen, die zahlreiche Nachfragen beim LfDI
zulässige Kontaktierungen hübscher Damen auslösten. Dazu gehören die lange Zeit unwäg-
im Rahmen eines Dienstverhältnisses, wurden baren Themen wie der Brexit und das Schrems
ebenfalls Angaben zu Statistiken vor der Presse II-Verfahren vor dem EuGH, welches in erster
gemacht, z.B. über die Anzahl der eingereich- Linie die Rechtswirksamkeit der aktuellen EU-
ten Beschwerden und Beratungsanfragen. Die Standardvertragsklauseln in Frage stellt, also
Pressemitteilung sowie weitere Informationen das vermutlich meist genutzte Transferinstru-
finden Sie hier: https://s.rlp.de/bestds2019 ment des Kapitels V der DS-GVO, welches aber
nebenbei auch über das Schicksal des EU-U.S.
Zudem werden jeden zweiten Monat im Privacy Shield entscheiden könnte. Zu den er-
Jahr Leserinnen und Leser über die Neuig- freulichen Nachrichten gehörten der Ange-
keiten im Datenschutz und die Tätigkeiten messenheitsbeschluss der EU-Kommission
durch den Newsletter des LfDI informiert. in Bezug auf Japan und die Veröffentlichung
Der Newsletter wurde dementsprechend der Leitlinien 1/2019 über Verhaltensregeln
im Februar, April, Juni, August, Oktober und und Überwachungsstellen gemäß der Ver-
Dezember 2019 versandt. Das Archiv des ordnung (EU) 2016/679 vom 4.Juni 2019 des
Newsletter finden Sie unter https://s.rlp.de/ Europäischen Datenschutzausschusses, welche
lfdinewsletter und den die Anmeldung für den Rechtsklarheit in teilweise sehr kontrovers dis-
Newsletter des LfDI unter folgendem Link: kutierten Fragen schaffen. Die Optimierung
https://s.rlp.de/newsletteranmeldung des Genehmigungsverfahrens war Kern der
Entwicklungen in Bezug auf verbindliche inter-
ne Datenschutzvorschriften, sog. Binding Cor-
porate Rules.
Den Fragen zum Brexit ist der LfDI mit einem
regelmäßig aktualisierten und umfassen-
den Online-Informationsangebot begegnet.
Mit dem schließlich doch noch zustande ge-
kommenen Abkommen über den Austritt des
Vereinigten Königreichs, Großbritannien und
Nordirland aus der Europäischen Union und
der Europäischen Atomgemeinschaft vom 31.
Januar 2020 (EU-Amtsblatt 2020/L 29/7) gibt
es zumindest vorläufig Rechtsklarheit. Wäh-
rend eines Übergangszeitraums bis zum 31.
Dezember 2020, der einmalig um ein oder zwei
Jahre verlängert werden kann, gelten demnach
die Datenschutz-Grundverordnung (mit Aus-
TÄTIGKEITSBERICHT 2019 13GRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE
nahme ihres Kapitels VII), die JI-Richtlinie, die Shield (Schlussantrag zu C-311/18 EuGH vom
Datenschutz-Richtlinie für elektronische Kom- 19.12.2019, Rn. 161, Rn. 308). Es ist also mög-
munikation und alle sonstigen Bestimmungen licherweise nur eine Frage der Zeit, bis die Inte-
des Unionsrechts über den Schutz personen- ressenvertreter ein entsprechendes gerichtli-
bezogener Daten im Rahmen des Art. 71 des ches Verfahren einleiten, welches ausdrücklich
Abkommens weiter, zumindest solange und so- die Überprüfung der Rechtswirksamkeit des
weit die EU-Kommission keine entsprechenden EU-U.S. Privacy Shield zum Gegenstand hat.
Angemessenheitsbeschlüsse gemäß Art. 45 Weitere Informationen zum Privacy Shield:
Abs. 3 DS-GVO bzw. Art. 36 Abs. 3 JI-Richt- https://s.rlp.de/privacyshield
linie erlassen hat (Art. 126, Art. 127, Art. 132 des
Abkommens). Für weitere Informationen zu In Bezug auf die EU-Standardvertragsklauseln
dem Abkommen und rund um den Brexit siehe: spricht sich der Generalanwalt klar für ihre
https://s.rlp.de/brexit generelle Wirksamkeit aus. Sie könnten unab-
hängig vom Datenschutzniveau im jeweiligen
Seit dem 23. Januar 2019 gilt der von der Drittland für Datenübermittlungen dorthin ver-
EU-Kommission angenommene Angemes- wendet werden. Dies hat viele Verantwortliche
senheitsbeschluss in Bezug auf Japan, durch und Auftragsverarbeiter aufatmen lassen. Der
den personenbezogene Daten nun ungehin- Generalanwalt unterstreicht jedoch das Recht
dert zwischen den beiden Volkswirtschaften und die Verantwortung der Aufsichtsbehörden,
fließen können. Damit wurde der weltweit im Einzelfall Maßnahmen zu ergreifen (Schluss-
größte Raum für sicheren Datenverkehr ge- antrag zu C-311/18 EuGH vom 19.12.2019, Rn.
schaffen. Das im September 2018 einge- 158). Das heißt, die Aufsichtsbehörden sollen
leitete Verfahren dauerte knapp eineinhalb im Falle konkreter Datenschutzverstöße, also
Jahre. Weitere Informationen zu Angemes- z.B. bei direkten Zugriffen von EU-Sicherheits-
senheitsbeschlüssen der EU-Kommission: behörden auf personenbezogene Daten beim
https://s.rlp.de/angemessenheitsfeststellung Verantwortlichen oder Auftragsverarbeiter im
Drittland, die Aussetzung von Datenübermitt-
Das EU-U.S. Privacy Shield hat auch der drit- lungen an diesen beim Verantwortlichen oder
ten jährlichen Überprüfung durch die EU-Kom- Auftragsverarbeiter in der EU durchzusetzen.
mission Stand gehalten. Wenn es auch verein- Das ist keine neue rechtliche Erkenntnis. Es
zelt Verbesserungen bei der Umsetzung gab, setzt jedoch voraus, dass die Aufsichtsbehör-
äußern sich die Aufsichtsbehörden weiterhin den von dem konkreten Datenschutzverstoß
kritisch. Auf den Bestand des Privacy Shield Kenntnis erlangen. Dies dürfte nur einen gerin-
könnte sich zudem die noch ausstehende Ent- gen Anteil der tatsächlichen Fälle ausmachen.
scheidung des EuGH zur Rechtmäßigkeit der Dass ein tatsächlicher Schutz der Daten be-
Standardvertragsklauseln (sog. Schrems II- steht, die in ein Drittland übermittelt werden,
Verfahren) auswirken. Der Generalanwalt des welches nationale Gesetze unterhält, die aus
EuGH sprach sich zwar dafür aus, dies nicht in der Perspektive des EU-Rechts regelmäßige
dem vorliegenden Verfahren zu entscheiden. Datenschutzverstöße legitimieren, darf daher
Er nahm jedoch rechtlich Stellung und äußer- weiterhin in Frage gestellt werden. Das endgül-
te wegen der nach US-amerikanischem Recht tige Urteil des EuGH im Schrems II-Verfahren
zulässigen Aktivitäten der US-Sicherheitsbe- wird mit Spannung erwartet. Der Schlussantrag
hörden fundierte Zweifel an der Wirksamkeit des Generalanwalts und weitere Dokumen-
des Angemessenheitsbeschlusses zum Privacy te des EuGH zum Verfahren sind über einen
14 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZGRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE
Link auf der folgenden Seite zu erreichen: einem angemessenen Zeitrahmen bewältigen
https://s.rlp.de/standardvertragsklauseln zu können, gibt es in Deutschland und auch ins-
gesamt in der EU nicht genügend Personal bei
Etwas mehr Klarheit gibt es nun in Bezug auf den Aufsichtsbehörden. Die Prüfung der Anträ-
die Anforderungen an Verhaltensregeln und ge ist sehr umfangreich und langwierig. Bei al-
Überwachungsstellen nach Art. 40, 41 DS- len Genehmigungsverfahren sind grundsätzlich
GVO. An der Entwicklung der Leitlinien 1/2019 alle Aufsichtsbehörden zu beteiligen, mehrere
über Verhaltensregeln und Überwachungsstel- Aufsichtsbehörden davon müssen sich vertieft
len gemäß der Verordnung (EU) 2016/679 vom mit den eingereichten Unterlagen auseinan-
4. Juni 2019 des Europäischen Datenschutz- dersetzen. Kapazitäten für sog. Co-Prüfungen
ausschusses wirkte der LfDI im Wege inhaltli- freizusetzen, war dem LfDI im Jahr 2019 nicht
cher Stellungnahmen mit. Eine der streitigsten möglich. Die Optimierung des Genehmigungs-
Rechtsfragen sowohl auf deutscher als auch verfahrens stand und steht regelmäßig auf der
auf europäischer Ebene war, ob die Benennung Agenda des zuständigen europäischen Arbeits-
einer Überwachungsstelle zwingend für die kreises. Weitere Informationen zu Binding Cor-
Genehmigungsfähigkeit von Verhaltensregeln porate Rules: https://s.rlp.de/bcr
ist. Dies wurde in den Leitlinien nun eindeutig
bejaht (Rn. 27).
Noch keine Einigkeit herrscht über die Kriteri-
en, die eine Überwachungsstelle erfüllen muss,
damit sie von der zuständigen Aufsichtsbehör-
de für die Überwachungstätigkeit akkreditiert
werden kann. Entsprechende Leitlinien entwi-
ckelt der Europäische Datenschutzausschuss
derzeit in Zusammenarbeit mit den Aufsichts-
behörden der Mitgliedstaaten. Die deutschen
Aufsichtsbehörden brachten ihren Vorschlag
für Akkreditierungskriterien ein, welchem eine
monatelange Vorarbeit in einem eigens dafür
gegründeten Arbeitskreis vorausging. In die-
sem wirkte der LfDI zu Beginn der Erarbeitung
des Papiers aktiv mit, musste sich im weiteren
Verlauf jedoch aus Kapazitätsknappheit weitge-
hend zurückziehen.
Nach wie vor attraktiv, zumindest für Konzerne
und Unternehmensgruppen, ist die Schaffung
geeigneter Garantien für Datenübermittlungen
in Drittländer mithilfe von Binding Corporate
Rules (BCR). Entsprechend ist der Beratungs-
bedarf bei den Verantwortlichen und Auftrags-
verarbeitern weiterhin hoch. Um die steigende
Zahl der Anträge auf Genehmigung von BCR in
TÄTIGKEITSBERICHT 2019 15GRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE
3. VORSITZ DES LFDI am 3. und 4. April 2019 auf dem Hambacher
Schloss. Der historische Ort des Kampfes um
RHEINLAND-PFALZ
die Freiheit war gewählt worden, um den Willen
IN DER der deutschen Datenschutzaufsichtsbehörden
DATENSCHUTZKONFERENZ zu verdeutlichen, für einen effektiven Grund-
rechtsschutz einzutreten und ihren Beitrag zur
Sicherung von Freiheit in der digitalen Welt zu
3.1 Leitthema „Künstliche Intelligenz“ leisten.
Das Jahr seines Vorsitzes in der Datenschutz- Landtagspräsident Hendrik Hering begrüßte
konferenz (DSK) hat der LfDI unter das Leit- die Teilnehmerinnen und Teilnehmer und stellte
thema „Künstliche Intelligenz“ gestellt. Daran den Zusammenhang zwischen Demokratie und
anknüpfend hat er die Taskforce „Künstliche Datenschutz heraus. Er hob hervor:
Intelligenz“ aus Mitarbeiterinnen und Mitar-
beitern der deutschen Datenschutzbehörden „Die Parlamente und die Beauftragten für den
geschaffen, die die „Hambacher Erklärung zur Datenschutz sind Verbündete, wenn es darum
Künstlichen Intelligenz sowie die „Empfehlun- geht, die Selbstbestimmung der Bürgerinnen
gen für eine datenschutzkonforme Gestaltung und Bürger in einer demokratischen Gesell-
von KI-Systemen“ erarbeitet haben. Diese wur- schaft zu schützen. Ein unabhängiger und pro-
den schließlich auf der 97. DSK und 98. DSK fessioneller Datenschutz ist unverzichtbar. Er
verabschiedet. Die Papiere enthalten recht- ist unverzichtbar, um beides zu gewährleisten:
liche Anforderungen für Systeme Künstlicher Transparenz, wo sie möglich ist, und Privatheit
Intelligenz, die aus den Vorschriften der Daten- und Vertraulichkeit, wo sie nötig sind.“
schutz-Grundverordnung abgeleitet wurden.
Einen Schwerpunkt der Konferenz bildete die
Die Initiative zur „Künstlichen Intelligenz“ stieß Diskussion um die Künstliche Intelligenz (KI).
auf ein reges Interesse in Presse- und Öffent- Die deutschen Datenschutzaufsichtsbehörden
lichkeit und wurde von der Privatwirtschaft haben die Hambacher Erklärung zur Künstli-
wahrgenommen. Die Hambacher Erklärung ist chen Intelligenz verabschiedet. Sie nennt bei-
abrufbar unter https://s.rlp.de/hambacherer- spielhaft den Einsatz von KI-Systemen in der
klrung Medizin, insbesondere in der Diagnose, in der
Sprachassistenz und bei der Bewertung von
Die Empfehlungen für eine datenschutzkonfor- Bewerbungsunterlagen in der Bewerberaus-
me Gestaltung von KI-Systemen sind abrufbar wahl. Aus dem geltenden Datenschutzrecht
unter https://s.rlp.de/kisysteme werden sieben Anforderungen abgeleitet, die
bereits heute eingehalten werden müssen. So
muss der Einsatz von KI-Systemen nachvoll-
ziehbar und erklärbar sein, den Grundsatz der
Datenminimierung enthalten, Diskriminierun-
3.2 97. Konferenz in Hambach gen vermeiden und benötigt technische und
organisatorische Standards. Die Datenschutz-
Unter dem Vorsitz des Landesbeauftragten für aufsichtsbehörden wollen die Entwicklung be-
den Datenschutz und die Informationsfreiheit gleiten und fordern Wissenschaft, Politik und
Rheinland-Pfalz, Prof. Dr. Kugelmann, tagte Anwender auf, die Entwicklung von KI im Sinne
die 97. Konferenz der unabhängigen Daten- des Datenschutzes zu steuern. Im Kern geht es
schutzbehörden des Bundes und der Länder
16 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZGRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE
darum, dass am Ende Menschen und nicht Ma- von Beispielen die Interessensabwägung beim
schinen über Menschen entscheiden. Einsatz von Tracking-Tools.
Die DSK hat über die Konsequenzen eines Die Zahl der Analysen von Videoaufnahmen,
ungeregelten Brexits beraten. Bereits am bei der Gesichtsmerkmale erfasst und aus-
8.3.2019 hat sie einen Beschluss gefasst, der gewertet werden, um z.B. durch eine Analyse
auf die rechtlichen Pflichten der Verantwortli- der Mimik Rückschlüsse auf die Gefühlslage
chen im Falle eines ungeregelten Austritts hin- eines Menschen (Emotional Decoding) zu er-
weist. Im Falle eines ungeregelten Austritts ist halten oder um die Wirksamkeit von Werbung
das Vereinigte Königreich als Drittland im Sin- zu messen und genauer auf die gewünschten
ne der Datenschutz-Grundverordnung zu be- Zielgruppen zuzuschneiden, nimmt zu. Die
trachten und dorthin führende Datentransfers Datenschutzkonferenz hat daher ein Positions-
sind dementsprechend gesondert abzusichern. papier erstellt, in dem entsprechende Verfah-
In Ermangelung einer solchen Absicherung ren rechtlich bewertet und Empfehlungen zur
könnten Datenverarbeitungen ausgesetzt und Gestaltung abgeleitet werden.
Bußgelder verhängt werden.
Nach dem Urteil des EuGH zu Facebook-Fan-
Als Reaktion auf den Hackerangriff auf Poli- pages hat sich die DSK in einem Beschluss zum
tiker und Politikerinnen sowie Personen des (Weiter-)Betrieb von Facebook-Fanpages ge-
öffentlichen Lebens im Januar 2019 haben die äußert. In diesem wird verdeutlicht, dass Fanpa-
Datenschützer eine Orientierungshilfe „Anfor- ge-Betreiber die Rechtmäßigkeit der gemein-
derungen an Betreiber von Online-Diensten sam zu verantwortenden Datenverarbeitung
zur Zugangssicherung“ verabschiedet. Darin gewährleisten und in der Lage sein müssen, die
werden Online-Diensten Maßnahmen zur Zu- Einhaltung der Grundsätze der Verarbeitung
gangssicherung nach dem Stand der Technik (Art. 5 Abs. 1 DSGVO) nachzuweisen. Die DSK
empfohlen. Dies betreffen Vorgaben für Auf- unterstreicht die datenschutzrechtliche Ver-
bau, Übertragung, Speicherung und Nutzung antwortlichkeit sowohl von Facebook wie der
von Passwörtern sowie den Umgang mit An- Fanpage-Betreiber und erwartet, dass sie ihrer
griffen und fehlgeschlagenen Anmeldeversu- Verantwortung entsprechend nachkommen.
chen.
Die Hambacher Erklärung finden Sie unter
Als Ergänzung zu der Positionsbestimmung https://s.rlp.de/hambachererklrung
der Datenschutzkonferenz vom 26.4.2018 be-
züglich der Anwendbarkeit des Telemedien-
gesetzes für nicht-öffentliche Stellen ab dem
Wirksamwerden der Datenschutz-Grundver- 3.3 98. Konferenz in Trier
ordnung wurde eine Orientierungshilfe be-
schlossen. Die Orientierungshilfe beschäftigt Auf ihrer überaus ertragreichen 98.Sitzung am
sich mit der Geltung des Telemediengesetztes 6. und 7. November 2019 in Trier hat die Konfe-
im Rahmen der Wirksamkeit der Datenschutz- renz der unabhängigen Datenschutzaufsichts-
Grundverordnung und weist darauf hin, dass behörden (Datenschutzkonferenz) eine Reihe
die Interessensabwägung im Rahmen des Art. 6 von Entschließungen und Beschlüssen gefasst.
Abs. 1 lit. f der Datenschutz-Grundverordnung
auf den konkreten Einzelfall bezogen werden
Die Bandbreite der Themen reichte dabei von
sollte. Insbesondere konkretisiert sie anhand
der Kritik an einer massenhaften automati-
TÄTIGKEITSBERICHT 2019 17GRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE
sierten Erfassung von Kfz-Kennzeichen bis zu Im Zusammenhang mit der automatisierten
Empfehlungen für den datenschutzgerechten Übertragung sogenannter Telemetriedaten bei
Einsatz von Künstlicher Intelligenz , für die in Windows Betriebssystem- und Anwendungs-
Konkretisierung der „Hambacher Erklärung“ lösungen hat die Konferenz im Nachgang auf
vom April 2019 ein Positionspapier verabschie- hochrangiger Ebene Gespräche mit Vertretern
det wurde. von Microsoft geführt. Ziel ist es dabei, den Per-
sonenbezug von Nutzungsdaten zu vermindern
Einen weiteren Schwerpunkt bildete der Ge- bzw. deren Übertragung in die Entscheidung
sundheitsbereich. Angesichts der fortschrei- der Nutzerinnen und Nutzer zu stellen. In die-
tenden Digitalisierung des Gesundheitswesens sem Zusammenhang hat die Datenschutzkon-
fordert die Datenschutzkonferenz mit Blick auf ferenz ein Prüfschema für das Betriebssystem
die damit verbundenen Risiken sicherzustellen, Windows 10 veröffentlicht, das Verantwort-
dass, unabhängig von der Größe medizinischer lichen die Möglichkeit gibt, die datenschutz-
Einrichtungen, Patientendaten nach dem Stand relevanten Fragen im Zusammenhang mit dem
der Technik geschützt werden. Auch Gesund- Einsatz der Software, der Übertragung von
heitswebseiten und –Apps müssen die Er- Telemetriedaten sowie der Update-Konfigura-
wartungen ihrer Nutzerinnen und Nutzer an tion zu bewerten. Der Landesbeauftragte für
Vertraulichkeit gewährleisten und bei der Wei- den Datenschutz und die Informationsfreiheit,
tergabe personenbezogener Daten bestimmte Prof. Dr. Dieter Kugelmann, zog folgendes Fazit
Anforderungen einhalten. Für den Einsatz von des diesjährigen rheinland-pfälzischen Vorsit-
Messenger-Diensten im Krankenhausbereich zes in der Datenschutzkonferenz: „Die umfang-
wurden in einem „Whitepaper“ technische An- reichen Tagesordnungen der 98. Datenschutz-
forderungen zusammengestellt, die als Grund- konferenz sowie der vorhergehenden zeigen
lage weiterer Diskussionen dienen sollen. Ver- einmal mehr, dass die fortschreitende Digita-
öffentlicht wurde weiterhin die Version 2.0 des lisierung Datenschutzfragen in nahezu allen
Standard-Datenschutzmodells. Lebensbereichen aufwirft. Die Datenschutzbe-
auftragten stehen dabei vor der Herausforde-
Hinsichtlich der mit Sprachassistenzsystemen rung, relevante Entwicklungen frühzeitig zu er-
und Panoramadiensten verbundenen Daten- kennen und den Datenschutz so einzubringen,
schutzfragen sowie den Anforderungen an die dass Risiken begegnet wird und Chancen nicht
Sicherstellung einer angemessenen Digitalen vergeben werden. Ich freue mich daher, dass es
Souveränität hat die Konferenz Prüfungsauf- im Jahr des rheinland-pfälzischen Vorsitzes der
träge an die entsprechenden Arbeitskreise er- Konferenz gelungen ist, für das Zukunftsthema
teilt. „Künstliche Intelligenz“ entsprechende Emp-
fehlungen zu erarbeiten.“
Für eine verbesserte Abstimmung und Zusam-
menarbeit mit den Europäischen Aufsichtsbe- Die Entschließungen der Daten-
hörden hat die Konferenz verschiedene Ver- schutzkonferenz finden Sie unter
fahrensregelungen beschlossen. https://s.rlp.de/DSKEntschliessungen
Darüber hinaus hat die Konferenz einen Er-
fahrungsbericht über die Anwendung der
Datenschutz-Grundverordnung beschlossen,
der einen Beitrag zur Erstellung eines Be-
richts auf europäischer Ebene leisten soll.
18 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZGRUNDLINIEN DER ENTWICKLUNGEN DES DATENSCHUTZES IN DER BEHÖRDE TÄTIGKEITSBERICHT 2019 19
20 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ
II. ZAHLEN UND FAKTEN DATENSCHUTZBERICHT 2019 21
ZAHLEN UND FAKTEN
1. Geschäftsstatistik 2019: Privater Bereich
Gemeldete Datenpannen 275
Beschwerden 611
Beratungen 361
Hinweise 118
0 100 200 300 400 500 600 700
2. Geschäftsstatistik 2019: Öffentlicher Bereich
Gemeldete Datenpannen 44
Beschwerden 269
Beratungen 485
Hinweise 39
0 100 200 300 400 500 600
22 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZZAHLEN UND FAKTEN
3. Ausgeübte Befugnisse 2018 und 2019
50
45
40
35
30
25
2019
20 2018
15
10
5
0
Achsentitel
Verwa rnungen Beanstandungen Zwangsgelder Bußgel der Wa rnungen Anweisungen
4. Ausgeübte Befugnisse 2019
Verwarnungen 27
Zwangsgelder 3
Geldbußen 10
Beanstandungen 19
Anweisungen 13
TÄTIGKEITSBERICHT 2019 2324 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ
III. SACHGEBIETE DATENSCHUTZBERICHT 2019 25
SACHGEBIETE / EUROPÄISCHE ZUSAMMENARBEIT
III. SACHGEBIETE Die Zusammenarbeit zwischen den Aufsichts-
behörden in der EU in grenzüberschreitenden
Verfahren hat sich seit 2018 stark weiterent-
wickelt. Einige Rechtsfragen aus dem Bereich
der Kohärenzmechanismen wurden bereits ge-
1. EUROPÄISCHE klärt, andere werden weiter diskutiert. Inner-
ZUSAMMENARBEIT halb Deutschlands besteht in den wesentlichen
Fragen des Kohärenzverfahrens und der An-
wendung von IMI Einigkeit. Diese wird haupt-
sächlich über den Arbeitskreis Grundsatz sowie
1.1 Zusammenarbeit mit anderen den Arbeitskreis Organisation und Struktur
Aufsichtsbehörden auf nationaler hergestellt. Auch im Verhältnis zu anderen EU-
und europäischer Ebene Aufsichtsbehörden wird die Zusammenarbeit
als konstruktiv wahrgenommen. Allerdings be-
Der LfDI hat im Berichtsjahr 2019 weiterhin an stehen auf dieser Ebene mehr Rechtsfragen,
dem Ziel, ein möglichst weitgehend harmoni- auf die noch nicht in allen Fällen eindeutige
siertes Datenschutzrecht in der EU zu erhalten, Antworten gefunden wurden. Eine große Rolle
mitgewirkt – insbesondere durch die Zusam- bei der Vereinheitlichung der Vorgehensweisen
menarbeit mit den anderen Datenschutzauf- spielt das EDSA-Sekretariat. Während im Jahr
sichtsbehörden auf nationaler und auch auf 2018 noch die Bestimmung der federführen-
europäischer Ebene. Beispielsweise wurden den Aufsichtsbehörde nach Art. 56 DS-GVO
Hospitationen in den Schwesterbehörden in eine wesentliche Rolle spielte, traten von die-
Irland, Österreich, Estland und Lettland durch- sen grenzüberschreitenden Verfahren im Jahr
geführt, wo sich Mitarbeiter des LfDI Einblicke 2019 bereits einige in die Entscheidungsphase
in die Organisation der Behörden verschafften im Rahmen des Verfahrens nach Art. 60 DS-
und über das jeweilige nationale Datenschutz- GVO ein. Erfahrungen mit Entscheidungsvor-
anpassungsgesetz informiert wurden. Der LfDI schlägen der federführenden Aufsichtsbe-
selbst führte eine Hospitation in der polnischen hörden und Einsprüchen oder Zustimmungen
Datenschutzaufsichtsbehörde durch. der weiteren betroffenen Aufsichtsbehörden
konnten gesammelt werden. Insgesamt liefen
diese Verfahrensschritte in den Augen des LfDI
Die multilaterale – und nun auch vermehrt – die konstruktiv und effektiv.
bilaterale Kommunikation mit den europäischen
Datenschutzaufsichtsbehörden wurde ver-
stärkt über die Web-Plattform „IMI“ (Internal
Market Information System – zu deutsch „Bin- 1.2 Ländervertretung IT Users Subgroup
nenmarkt-Informationssystem) durchgeführt. des Europäischen Datenschutzaus-
Diese Kommunikation übernahm federführend schusses
die im Jahr 2018 geschaffene „IMI-Stelle“, die
sich um die Prüfung von grenzüberschreiten- Die Vertretung der Länder in der Datenschutz-
den Bezügen datenschutzrechtlicher Sachver- expertengruppe „IT Users Subgroup“ des Eu-
halte und die darauffolgende Kommunikation ropäischen Datenschutzausschusses (EDSA)
mit den anderen Aufsichtsbehörden und den wurde vom LfDI fortgeführt. Dort wurden Än-
Beschwerdeführern kümmert. derungen im Kommunikationssystem IMI mit
den europäischen Schwesterbehörden sowie
dem EDSA-Sekretariat diskutiert und mit dem
26 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZSACHGEBIETE / SICHERHEIT
Ziel der effizienten Zusammenarbeit umge- 2. SICHERHEIT
setzt. Beschlossen und für die europäischen
Datenschutzbehörden eingeführt wurden
2019 auch ein Videokonferenztool sowie ein
Wissenschaftsmanagementsystem, in dem alle
Leitlinien, Tagesordnungen und Protokolle der 2.1 Tag des Datenschutzes bei der
Sitzungen der Expertengruppen sowie der Ple- Polizei Rheinland-Pfalz
narsitzungen für den internen Gebrauch aufge-
führt sind.Über die in der IT User Subgroup be- Der Landesbeauftragte für den Datenschutz
sprochenen Änderungen informierte der LfDI und die Informationsfreiheit Rheinland-Pfalz
die anderen deutschen Datenschutzbehörden unterstützte auch in diesem Jahr die Hoch-
auf Arbeitskreissitzungen sowie den deutschen schule der Polizei am Flugplatz Hahn bei der
Ländervertreter der Plenarsitzung. Durchführung des „Tag des Datenschutzes“.
Eingeleitet wurden die Hochschultage jeweils
Zudem hat sich der LfDI auch in die Bearbei- mit einem Einführungsvortrag durch den Lan-
tung anderer interner oder öffentlicher Leit- desbeauftragten für den Datenschutz und die
linien des EDSA eingebracht und die Entwick- Informationsfreiheit Rheinland-Pfalz. Zwei Ein-
lungen in den verschiedenen Expertengruppen stellungsjahrgängen mit insgesamt ca. 500
und dem Plenum beobachtet und an regelmä- jungen Polizeibediensteten wurden im Rahmen
ßigen Umfragen zu Statistik und Arbeitserfah- von Workshops u. a. durch Referenten der Be-
rungen (beispielsweise mit IMI) teilgenommen. hörde datenschutzrechtliche Themen näher
gebracht, die sowohl dienstlichen wie auch pri-
vaten Bezug hatten.
Der Landesbeauftragte sieht in der Möglich-
keit der Unterstützung des Hochschultages die
Chance, einen großen Kreis von Personen, die
während ihrer beruflichen Tätigkeit eine Viel-
zahl von sensiblen personenbezogenen Daten
rechtskonform verarbeiten müssen, frühzeitig
für die Themen des Datenschutzes zu sensi-
bilisieren. Beiderseits ist die Fortführung der
Zusammenarbeit in dieser Form auch in den
nächsten Jahren gewünscht.
2.2 Beschwerdeaufkommen bei der
Zentralen Bußgeldstelle des
Polizeipräsi diums Rheinpfalz
Der LfDI beschäftigte sich mit einer Vielzahl
von Anfragen und Beschwerden, die im We-
sentlichen die Ermittlungsarbeit der Zentralen
Bußgeldstelle (ZBS) in Speyer betrafen. Die
TÄTIGKEITSBERICHT 2019 27SACHGEBIETE / SICHERHEIT
ZBS ist dem Polizeipräsidium Rheinpfalz in Lud- Im Ergebnis werden die Zugriffe auf die Daten-
wigshafen angegliedert. Die Beschwerden rich- bank RED grundsätzlich ordnungsgemäß pro-
teten sich z. B. gegen Lichtbildabgleiche und tokolliert. Es haben sich jedoch unterschied-
damit verbundene Anfragen bei den Meldebe- liche Verfahrensweisen in der Dokumentation
hörden oder gegen Abfragen in den Informa- der Voraussetzungen zur Einstellung in die RED
tionssystemen zur Ermittlung von Mitbewoh- ergeben, die aus datenschutzrechtlicher Sicht
nern, die als Fahrzeugführer in Frage kommen. vereinheitlicht werden sollten. Weiterhin erga-
Mehrfach wurden auch Sachverhalte mitge- ben sich Differenzen im Abgleich der vom LKA
teilt, die durch eine fehlerhafte Bearbeitung mitgeteilten Anzahl der Löschungen von Per-
bei der Identifizierung des Fahrzeugführers zur sonen in der RED mit den Protokollierungsaus-
Verarbeitung von personenbezogenen Daten drucken des Bundekriminalamtes. Zur Verifizie-
geführt haben, obwohl sich die Personen ledig- rung der Ursache befindet sich das LKA derzeit
lich als Beifahrer im Fahrzeug befanden. Meine noch im Austausch mit dem BKA. Insgesamt
Behörde hat diese Fälle beanstandet und um wird der Mehrwert der RED von den Fachkom-
Prüfung gebeten, ob diese Fehlerquelle durch missariaten als gering bewertet, da alle Daten-
technisch-organisatorische Maßnahmen ein- bestände, die in der RED abgebildet sind bun-
gedämmt werden kann. des- und landesweit zur Verfügung stehen und
über diese Systeme abgerufen werden können.
Die Ermittlungsarbeit der ZBS war auch Anlass
für einen informativen Meinungsaustausch in
der zweiten Jahreshälfte unter Beteiligung des
Polizeipräsidenten, des Leiters der ZBS, Ver- 2.4 Erste Evaluation der Online-Wache –
tretern des Innenministeriums und Vertretern Speicherung von IP-Adressen
meiner Behörde.
Seit 06.12.2018 befindet sich die Online-Wache
Unter Berücksichtigung der zu bearbeitenden der Polizei Rheinland-Pfalz in Betrieb (siehe TB
Datenmenge im Rahmen von Verwarnungs- 2018, Pkt. 2.6). Der LfDI hatte mit Blick auf
und Bußgeldverfahren im Straßen- und Güter- die vom Landesbetrieb Daten und Informati-
verkehr ist die Anzahl der datenschutzrecht- on(LDI) als Dienstleister dargestellte veränder-
lichen Verstöße als gering zu betrachten. te Lage bei gegen IT-Strukturen gerichteten
Trotzdem ist das Beschwerdeaufkommen für Angriffen keine Bedenken gegen die vollständi-
den LfDI nicht unerheblich. ge Speicherung der Zugriffe einschließlich der
IP-Adresse für die Zwecke der IT-Sicherheit.
Problematisch erschien diese Speicherungs-
frist hingegen für die Nutzung zu anderen Zwe-
cken, insbesondere in Verbindung mit einer all-
2.3 Prüfung der Rechtsextremismus-
gemeinen Zugriffsmöglichkeit über den Button
datei (RED)
„IP-Adresse offenlegen“, da die IP-Adresse auf-
grund der Manipulations- und Verschleierungs-
Der LfDI hatte bereits im Oktober 2018 eine
möglichkeiten kein verlässliches Instrument zur
Prüfung der RED beim LKA Rheinland-Pfalz
Identifizierung der Nutzer darstellt. Dies gilt
vorgenommen (siehe TB 2018, Pkt. 2.5) und
nicht zuletzt mit Blick auf etwaige nachfolgen-
diese im Jahr 2019 bei den Polizeipräsidien
de eingriffsintensive polizeiliche Maßnahmen.
fortgeführt.
Insoweit wurde der Vorschlag, die direkte Of-
fenlegung der IP-Adresse im Rahmen der Ge-
28 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZSACHGEBIETE / SICHERHEIT
staltung der Zugriffsrechte nur im sogenannten beamten-rechtlicher Vorschriften setzt die
„Back-Office“-Bereich (z.B. Lagedauerdienst) Vorgaben der Richtlinie (EU) 2016/680 auf
zur Verfügung zu stellen und nicht bei der je- fachspezifischer Ebene um und dient – wie be-
weiligen polizeilichen Sachbearbeitung, be- reits das Landesgesetz zur Änderung des Poli-
grüßt. zei- und Ordnungsbehördengesetzes vom 30.
Juni 2017 (GVBl. S. 123) – der Umsetzung der
Im Evaluationsergebnis zeigte sich, dass die Vorgaben des Urteils des Bundesverfassungs-
Möglichkeit der Ermittlung der IP-Adresse im gerichts (BVerfG) zum Bundeskriminalamtge-
Backoffice im Auswertzeitraum 06.12.2018 – setz (BKAG) vom 20. April 2016 (BVerfGE 141,
31.05.2019 zur Ermittlung von insgesamt 22 IP- 220).
Adressen geführt hat. Setzt man die erforder-
lichen IP-Adressen-Ermittlungen ins Verhältnis Das Gesetzgebungsverfahren wurde über-
zur Gesamtzahl der Vorgänge, so ergibt sich ein wiegend dazu genutzt, das neue europäische
Anteil von 0,30%. Beispielhaft wurden die IP- Rechtsregime systematisch und normenklar
Adressen im Rahmen anonymer / pseudonymer auch im Sicherheitsrecht umzusetzen. Auch die
Anzeigen, des Verdachts einer falschen Perso- Umsetzung der Vorgaben des Urteils des Bun-
nalienangabe oder des Verdachts des Vortäu- desverfassungsgerichts (BVerfG) zum Bundes-
schens einer Straftat ermittelt. kriminalamtgesetz (BKAG) vom 20. April 2016
(BVerfGE 141, 220) ist grundsätzlich gelungen.
Es werden damit Mechanismen eingeführt und
ausgebaut, die das Datenschutzniveau der poli-
zeilichen Datenverarbeitung in Rheinland-Pfalz
2.5 Änderung des Polizei- und
stärken werden. Insbesondere die Betroffe-
Ordnungsbehördengesetzes
nenrechte wurden – auch aufgrund der Anfor-
Rheinland-Pfalz
derungen der Richtlinie (EU) 2016/680 – ge-
stärkt.
Im Jahr 2019 hat der LfDI zum Entwurf eines
Landesgesetzes zur Änderung des Polizei- und
Ordnungsbehördengesetzes (POG-E) sowie Trotzdem bestand Verbesserungsbedarf dahin-
beamtenrechtlicher Vorschriften im Rahmen gehend, die Transparenz und Legitimität der
der im Rahmen des Beteiligungs- und Anhö- polizeilichen Datenverarbeitung unter Wah-
rungsverfahrens gem. §§ 27, 28 der Gemein- rung der europarechtlichen und verfassungs-
samen Geschäftsordnung (GGO) Stellung ge- rechtlichen Vorgaben zu steigern. Dies betraf
nommen. insbesondere die neu geschaffenen Rechts-
grundlagen zur Zuverlässigkeitsüberprüfung.
Diese betrafen insbesondere die Verarbeitung Auch hinsichtlich der umfassenden Protokol-
besonderer Kategorien personenbezogener lierung, technisch-organisatorischen Maßnah-
Daten, die Gewährleistung von Betroffenen- men, Kennzeichnung und der Ermöglichung
rechten und die Ausgestaltungen der Verarbei- eines ausreichenden individuellen und aufsicht-
tungsgrundlagen, insbesondere der Speiche- lichen Rechtsschutzes bestand weiterer Über-
rungs- und Übermittlungsgrundlagen sowie die arbeitungsbedarf des Gesetzentwurfes, um die
Anforderungen an die Protokollierungen von Position der betroffenen Personen und der Da-
Verarbeitungen und Kennzeichnung von Daten. tenschutzaufsicht angemessen und in Einklang
mit den rechtlichen Vorgaben zu stärken. Dazu
leistete der LfDI mit zahlreichen Verbesse-
Der Gesetzentwurf zur Änderung des Poli- rungsanregungen und Regelungsvorschlägen
zei- und Ordnungsbehördengesetzes sowie
TÄTIGKEITSBERICHT 2019 29SACHGEBIETE / JUSTIZ
im Rahmen seiner Stellungnahme konstruktive 3. JUSTIZ
Unterstützung. Das Gesetzgebungsverfahren
2020 wird zeigen, inwiefern diese Vorschläge
auf fruchtbaren Boden stießen.
3.1 Auskunftsanspruch nach Art. 15
DS-GVO
Mehrfach beschäftigte sich der LfDI im Rah-
men von Beschwerden auch wieder mit dem
Auskunftsanspruch nach Art. 15 DS-GVO
gegenüber Rechtsanwälten. Diese berufen
sich zumeist auf ihr Berufsgeheimnis, was bei
Auskunftsersuchen Dritter interessengerecht
sein mag. Gegenüber den eigenen Mandan-
ten erscheint die Auskunftsverweigerung mit
Berufung auf das Berufsgeheimnis indes be-
fremdlich, weshalb der LfDI hier stets im Ein-
zelfall prüft.
3.2 Unabhängigkeit der Justiz
Eine wegen nicht erteilter Auskunft erhobe-
ne Beschwerde gegen ein rheinland-pfälzi-
sches Gericht veranlasste den LfDI zur er-
neuten Befassung mit der Reichweite seiner
Aufsichtsbefugnis gegenüber der Justiz. Der
vollen Kontrolle durch die Datenschutzauf-
sicht unterliegen die Gerichte im Rahmen
ihrer Verwaltungstätigkeit. Dazu gehören Ab-
rechnungsvorgänge und Personalverwaltung
oder die Gewährung von Akteneinsicht nach
Abschluss eines Verfahrens. Indes kann der
LfDI keine Datenverarbeitungsvorgänge der
Gerichte im Rahmen ihrer justiziellen Tätigkeit
kontrollieren, Art. 55 Abs. 3 DS-GVO und §
41 Abs. 2 LDSG. Denn eine unparteiliche und
sachliche Rechtsprechung muss frei von be-
hördlicher Kontrolle sein.
Die eindeutige Zuordnung einer Datenver-
arbeitung zur justiziellen Tätigkeit ist aber
häufig schwierig und einzelfallabhängig. Ent-
30 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZSACHGEBIETE / JUSTIZ
sprechende Prüfungen sind deshalb regelmäßi- 3.3 Vollstreckung
ger Bestandteil der Arbeit des LfDI. Justizielle
Tätigkeit meint alle Datenverarbeitungsvorgän-
ge die unmittelbar mit der Rechtsfindung und Auch die Datenverarbeitung im Rahmen der
Rechtsprechung zusammenhängen, wie das Vollstreckung ist immer wieder Gegenstand
Verlesen von Gutachten oder die Befragung von Beschwerden beim LfDI.
von Personen über ihre Vermögensverhältnis-
se während einer Verhandlung. Die Freistellung Ein Amtsgericht übersandte den in einem
von der Datenschutzaufsicht erstreckt sich Zwangsvollstreckungsverfahren erlassenen Zu-
somit auf sämtliche Tätigkeiten, die mit der schlagsbeschluss. In diesem Fall hielt der LfDI
gerichtlichen Entscheidungsfindung in Zusam- eine Verwarnung für erforderlich.
menhang stehen.
Anders als die Richterschaft unterstehen Ge-
Im o.g. Fall verweigerte das Gericht zunächst richtsvollzieherinnen der vollen datenschutz-
die Auskunft mit der Begründung, dass dem rechtlichen Kontrolle durch den LfDI. Bei sei-
Beschwerdeführer ein prozessuales Akten- nem Arbeitstreffen mit dem Justizministerium
einsichtsrecht zustehe, welches den daten- tauschte sich daher der LfDI auch mit dem Re-
schutzrechtlichen Anspruch verdränge. Der ferat für Gerichtsvollzieherrecht aus und be-
Anspruch auf Auskunft gemäß Art. 15 DS-GVO schloss hier noch enger zusammen zu arbeiten.
hat aber eine grundsätzlich andere Zielrichtung Konkreter Anlass war eine längst überfällige
als das Recht auf Akteneinsicht in einem lau- Löschung von Schuldnerdaten auf dem Lap-
fenden Verfahren, welches dem Ersuchenden top eines Gerichtsvollziehers. Der Gerichts-
in der Regel wesentlich mehr Informationen vollzieher verweigerte zunächst die Löschung
zuteil werden lässt. Gerade wenn es um per- mit Verweis darauf, dass es zu umständlich sei,
sonenbezogene Daten von Kläger oder Be- für jeden Schuldner einzeln zu prüfen, wann
klagten außerhalb eines konkreten Verfahrens dessen Daten zu löschen seien. Nachdem der
geht, muss der Auskunftsanspruch umfassend LfDI bei verschiedenen Stellen Informationen
erfüllt werden. Im vorliegenden Fall hatte der über die verwendete Software eingeholt und
Beschwerdeführer allgemein Auskunft über gemeinsam mit dem Justizministerium erneut
seine beim Sozialgericht Mainz gespeicherten zur Löschung aufgefordert hatte, beendete der
personenbezogenen Daten verlangt und nicht Gerichtsvollzieher schließlich die rechtswidrige
etwa über Inhalte aus einem laufenden Verfah- Speicherung.
ren. Es ging also nicht um Daten, die im Rah-
men justizieller Tätigkeit gemäß Art. 55 Abs. 3
DS-GVO, sondern im Rahmen der allgemeinen
Verwaltungstätigkeit der Gerichte verarbeitet 3.4 Überwachung der Kommunikation
wurden. Nach eingehender Prüfung und Be- von Gefangenen
fassung verschiedener Stellen bat der LfDI, er-
neut die Auskunft zu erteilen, dem das Gericht Die Überwachung des Schriftverkehrs und der
schließlich nachkam. Telekommunikation Gefangener ist regelmäßig
Beschwerdegegenstand beim LfDI. Thema war
unter anderem ein Einwilligungsformular, wel-
ches eine JVA unter den Gefangenen zirkuliert
hatte. Mit der Unterschrift erklärte der Gefan-
gene, freiwillig darin einzuwilligen, dass nicht
nur seine eigenen personenbezogenen Daten,
TÄTIGKEITSBERICHT 2019 31SACHGEBIETE / JUSTIZ
sondern auch Namen und Beziehung zu seinen gesetz. Dieses Landesjustizvollzugsdaten-
Gesprächspartnern an den Betreiber der Tele- schutzgesetz bedurfte allerdings im Zuge der
fon- und Fernsehanlage übermittelt würden. Umsetzung der Richtlinie für Polizei und Justiz
Im Falle eines Widerrufs würden die Daten des der Änderung.
Kontos beim Betreiber gelöscht.
Angelehnt an einen Musterentwurf der Justiz-
Jedoch war gar keine Einwilligung seitens der vollzugsdatenschutzreferenten der Länder aus
Gefangenen erforderlich. Das Formular war dem Jahr 2018 hat das Ministerium für Justiz im
somit missverständlich. Denn die Erfassung August 2018 einen Referentenentwurf vorge-
der Daten Dritter im Rahmen der Telefonüber- legt, der die Richtlinie für Polizei und Justiz im
wachung ist gemäß § 8 Landesjustizvollzugs- Justizvollzugsbereich umsetzen soll.
datenschutzgesetz rechtmäßig. Danach kön-
nen Daten über Personen, die nicht Gefangene Zu diesem Entwurf hat der LfDI bereits eine
sind, ohne deren Kenntnis bei Gefangenen oder Stellungnahme abgegeben.
sonstigen Dritten erhoben werden, soweit dies
für die Erfüllung der Aufgaben des Vollzugs
unerlässlich ist und schutzwürdige Interessen
der Betroffenen hierdurch nicht beeinträch-
3.6 Pressearbeit der Justiz
tigt werden. Die JVA erklärte nachvollziehbar,
dass es für die Erreichung der Vollzugsziele,
Der LfDI erhielt einen Hinweis, wonach auf der
die Strafgefangenen zu befähigen, künftig ein
Webseite einer Staatsanwaltschaft sich Presse-
Leben ohne Straftaten zu führen und die Allge-
mitteilungen zu Verfahren veröffentlicht wa-
meinheit vor weiteren Straftaten zu schützen,
ren, die bis ins Jahr 2007 zurück reichten und
unerlässlich sei, auch die sozialen Beziehun-
teilweise recht genaue Rückschlüsse auf die
gen der Gefangenen zu Dritten zu kennen. So
betroffenen Personen zuließen. So enthielt
könne man den „sozialen Empfangsraum der
eine Meldung den Name und Sitz des Unter-
Gefangenen“ erfassen und diese gezielter für
nehmens zweier Angeklagter sowie die Angabe
die Zeit nach der Haft vorzubereiten. Das Inte-
gegen einen „früheren leitenden Mitarbeiter
resse der Betroffenen, also der Personen, die
einer Firma der xx-Unternehmensgruppe in yy
mit Ihnen in Kontakt stehen, musste hier hinter
(Ort)“.
diesen Vollzugszielen zurücktreten. Dies erklär-
te der LfDI auch gegenüber den Beschwerde-
führern. Als Teil der öffentlichen Gewalt ist die Staats-
anwaltschaft verpflichtet, Presse und Öffent-
Die JVA hat angekündigt, das insoweit miss- lichkeit über die Erfüllung ihrer Aufgaben zu
verständliche Formular für die Benutzung der informieren und darf in diesem Zusammen-
Anlage entsprechend zu ändern, um weiteren hang auch personenbezogene Daten verarbei-
Beschwerden vorzubeugen. ten. Nach den Vorgaben der Pressegesetze
der Länder und der Richtlinien für Straf- und
Bußgeldverfahren (RiStBV) ist dabei im Ein-
zelfall prüfen, ob das Interesse der Öffentlich-
keit an einer vollständigen Berichterstattung
3.5 Entwurf für ein neues Landesjustiz-
gegenüber den Persönlichkeitsrechten des
vollzugsdatenschutzgesetz
Beschuldigten oder anderer Beteiligter, ins-
besondere auch des Verletzten, überwiegt.
Rheinland-Pfalz hat bereits seit geraumer
Zeit ein Landesjustizvollzugsdatenschutz-
32 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZSie können auch lesen
