LfDI-Newsletter Nr. 2 - 2020

Liebe Leserinnen und Leser, Liebe Nutzerinnen und Nutzer,

wir feiern heute einen Geburtstag. Heute vor zwei Jahren ist die Datenschutz-Grundverordnung wirksam geworden. Vor zwei Jahren war die Stimmung zwiegespalten: die Datenschützer und betroffenen Personen haben sich von der geänderten Rechtslage einen verbesserten Datenschutz, eine effektivere Aufsicht und gestärkte Datenschutzrechte erhofft, während die Verantwortlichen Respekt vor den neuen Anforderungen, den ausgeprägten Pflichten z. B. zur Dokumentation und zum Datenschutzmanagement hatten. Abmahnungen und Bußgelder wurden befürchtet. Nach zwei Jahren ist mein Resümee: Der Datenschutz wurde gestärkt, erforderliche gesetzliche Anpassungen der Datenschutzgesetze sind erfolgt und die Verantwortlichen fühlen sich überwiegend den neuen Anforderungen der Datenschutz-Grundverordnung gewachsen. Die Durchsetzung der Datenschutz-Grundverordnung durch die Datenschutzaufsicht ist notwendig und die Justiz trägt durch Rechtsprechung zur Fortentwicklung und Auslegung des immer noch jungen Datenschutzrechtes bei. Konsolidierung und Fortentwicklung des Datenschutzes sind und bleiben eine Daueraufgabe.

Auch der LfDI hat sich in den vergangenen zwei Jahren neu aufgestellt. Nicht nur die Behörde hat sich strukturell und personell fortentwickelt, auch seine Strategien und Konzepte hat der LfDI an die neue Rechtslage angepasst und für 2020 einen Aktionsplan  erstellt, um die geplanten Tätigkeiten transparent zu machen.

Neben diesen Themen informiert der Newsletter Sie über weitere aktuelle Themen des Datenschutzes, z.B. zu neu aufgekommene Fragestellungen zur Corona-Pandemie, insbesondere welche Datenverarbeitungen durch die Wiederaufnahme des Geschäftsverkehrs notwendig werden.

Außerdem hat der LfDI seinen Handlungsrahmen für die Nutzung von "Social Media" durch öffentliche Stellen aktualisiert und veröffentlicht. Begleitend dazu ist eine neue Folge des LfDI-Podcast Datenfunk entstanden, in denen meine Mitarbeiterinnen und Mitarbeiter über die neuen Anforderungen berichten.

Ich wünsche Ihnen ein spannendes und informatives Lesevergnügen.

Ihr Prof. Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. Zwei Jahre Datenschutz-Grundverordnung

II. Ergebnisse der 99. Konferenz der unabhängigen Datenschutzaufsichtsbehörden der Länder und des Bundes

III. Neue Veröffentlichungen des LfDI zu seiner Rolle, seinen Strategien und seinen geplanten Tätigkeiten im Jahr 2020

IV. Videoüberwachung im Zeichen des Infektionsschutzes?

V. Neue Muster zur Umsetzung der DS-GVO veröffentlicht; Projekt Praxistest im Bereich niedergelassener Arzt-/Psychotherapiepraxen abgeschlossen

VI. Handlungsrahmen für die Nutzung von "Social Media" durch öffentliche Stellen

VII. Fragestellungen zum Datenschutz im Geschäftsverkehr in Zeiten der Corona-Pandemie

1. Dürfen Supermärkte, Drogerien und andere Einzelhändler die Körpertemperatur ihrer Kunden erfassen?

2. Was haben Dienstleister im Bereich Körperpflege datenschutzrechtlich zu beachten?

3. Was haben Gaststättenbetreiber und ähnliche Betriebe bei der Wiedereröffnung datenschutzrechtlich zu beachten?

VIII. Der EDSA formuliert Bedingungen für den Einsatz von Apps zur Ermittlung von Kontaktpersonen im Kontext der COVID-19-Krise

IX. Podcast des LfDI – Datenfunk Folge 003: Spam, Phishing und erpresserische E-Mails

Datenschutz-Grundverordnung

Zwei Jahre Datenschutz-Grundverordnung: Bußgelder in Gesamthöhe von rund 155.000 Euro verhängt. Datenschutz-Bewusstsein durchdringt Wirtschaft, Verwaltung und Gesellschaft

Zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung sieht der Landesdatenschutzbeauftragte Dieter Kugelmann ein "wachsendes Bewusstsein für den Datenschutz". "Nach der intensiven Debatte vor zwei Jahren erfolgt die Umsetzung mittlerweile zunehmend routiniert und in den allermeisten Fällen rechtskonform. Das Bewusstsein für den Datenschutz durchdringt immer mehr Wirtschaft, Verwaltung und Gesellschaft. Es ist viel passiert, aber es bleibt noch viel zu tun. Unsere Aufgabe ist es, hier Triebfeder und zugleich Kontrollinstanz zu sein", sagt Professor Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI). Die Datenschutz-Grundverordnung (DS-GVO) ist zum 25. Mai 2018 wirksam geworden. Sie war 2016 in Kraft getreten, eine zweijährige Übergangszeit folgte.

Kugelmann betont: "Auch während der derzeitigen Corona-Pandemie darf es für den Datenschutz keinen Rabatt geben. Gerade Gesundheits-Informationen sind sehr sensible Daten. So lange die Maßnahmen der staatlichen Stellen, der Arbeitgeber und der Unternehmen verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Wege. Auch in dieser ungewöhnlichen Zeit, in der manche Grundrechte beschränkt sind, kann die Datenschutz-Grundverordnung angewandt werden und gleichzeitig der Gesundheitsschutz der Bürgerinnen und Bürger im Vordergrund stehen."

Mit der DS-GVO hat die unabhängige Datenschutzbehörde weitreichende Befugnisse erhalten. Bei Verstößen sind Sanktionen wie Bußgelder und Verwarnungen möglich. Der Landesbeauftragte hat seit Mai 2018 in 9 Fällen Bußgelder in einer Gesamthöhe von rund 155.000 Euro verhängt. Die höchste Geldbuße in Höhe von 105.000 Euro erging gegen die Mainzer Universitätsklinik wegen Defiziten beim Patientenmanagement. Gegen ein Erotik-Etablissement in Mainz wurde eine Geldbuße in Höhe von 35.000 Euro verfügt. Gegen ein Unternehmen, das gegen seine Beschäftigten umfassend und rechtswidrig Video-Überwachung einsetzte, wurden 12.000 Euro verhängt. Vor Wirksamwerden der DS-GVO waren gerichtliche Verfahren gegen den LfDI sehr selten. Seit 2018 legten Unternehmen oder staatliche Stellen gegen Sanktionen des LfDI in 30 Fällen Rechtsmittel ein.

Mehr Informationen dazu, wie die Tätigkeitsfelder des LfDI sich in den vergangenen zwei Jahren entwickelt haben und wie sich die Meldung von Datenpannen durch die Verantwortlichen sowie das Beschwerdeverhalten der betroffenen Personen geändert haben, finden Sie in der Pressemitteilung "Zwei Jahre Datenschutz-Grundverordnung: Bußgelder in Gesamthöhe von rund 155.000 Euro verhängt. Datenschutz-Bewusstsein durchdringt Wirtschaft, Verwaltung und Gesellschaft".

Datenschutzkonferenz

Die Ergebnisse der 99. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz/DSK)

Wie so viele Veranstaltungen und Besprechungen in dieser Zeit fand auch die 99. Datenschutzkonferenz am 12. Mai 2020 als Telefon-/Videokonferenz statt. Und, nicht überraschend, waren viele Themen von Corona-Bezügen durchwebt. Um diese unter den veränderten Rahmenbedingungen einer Videokonferenz angemessen diskutieren und abstimmen zu können wurde eine Reihe von Punkten in vorgelagerten Umlaufverfahren entschieden.

In der Entschließung zur Bedeutung der Datenschutz-Grundsätze bei der Bekämpfung der Corona-Pandemie weist die Datenschutzkonferenz darauf hin, dass die Datenschutz-Grundsätze nach Art. 5 Datenschutz-Grundverordnung gerade auch in Krisenzeiten hinreichende Gestaltungsmöglichkeiten für eine rechtskonforme Verarbeitung personenbezogener Daten bieten und ihre Einhaltung einen Beitrag zur Wahrung der Freiheit in der demokratischen Gesellschaft leistet.

Hinsichtlich des von der Innenministerkonferenz beschlossenen Programms Polizei 2020 begrüßt die Datenschutzkonferenz in ihrer Entschließung "Polizei 2020 – Risiken sehen, Chancen nutzen!", dass dieses den Datenschutz als eines der Kernziele ausdrücklich benennt, sie vermisst aber ausreichende Vorschläge, wie das Projekt den Datenschutz stärken will. Die Konferenz fordert deshalb, die Ziele und Meilensteine des Programms auch an datenschutzrechtlichen Kernforderungen auszurichten und die Datenschutzaufsicht in diesen Prozess einzubinden. Hierin liegt die Chance, bisherige datenschutzrechtliche Defizite zu beseitigen und den Datenschutz nachhaltig zu verbessern.

Mit dem Beschluss zu den Einwilligungsdokumenten der Medizininformatik-Initiative des Bundesministeriums für Bildung und Forschung wurden die Verhandlungen über die Voraussetzungen zur einwilligungsbasierten Nutzung medizinischer Daten zu Forschungszwecken zu einem erfolgreichen Abschluss gebracht.

Für das Standard-Datenschutzmodell wurde von der Konferenz die Aktualisierung des Kapitels E6 mit einer Reihe von Konkretisierungen freigegeben und diese Arbeitshilfe für die Risikoanalyse, Datenschutz-Folgenabschätzung und Konzeption von Datenschutzmaßnahmen in der aktualisierten Version 2.0b veröffentlicht. Es ist auch in einer englischen Fassung verfügbar.

Die 100. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder ist am 25./26. November 2020 geplant. In welcher Form diese stattfinden wird, hängt, wie vieles in dieser Zeit, von der Pandemie-Situation und den dann bestehenden Rahmenbedingungen ab.

LfDI

Neue Veröffentlichungen des LfDI zu seiner Rolle, seinen Strategien und seinen geplanten Tätigkeiten im Jahr 2020

In Zeiten dynamischer Neuerungen und Umbrüche sind grundlegende Zielsetzungen, Leitlinien und Konzepte von besonderer Bedeutung. Sie vermitteln Transparenz und Nachvollziehbarkeit des eigenen Handelns. Diese Maximen, die auch bei der Umstrukturierung von Unternehmen und Verwaltungen im Rahmen der Umsetzung der Anforderungen der Datenschutz-Grundverordnung eine maßgebliche Rolle spielten, sind auch für den Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) wegweisende Grundsätze.

Durch sein Leitbild setzt der Landesbeauftragte die Leitplanken seiner in völliger Unabhängigkeit erfolgenden Tätigkeit und definiert die Rolle, die er bei seiner Aufgabenerfüllung im Gefüge zwischen Wirtschaft, Staat, Justiz und den betroffenen Personen als Berechtigte des Grundrechts auf Datenschutz wahrnimmt.

Die Neuerungen der Datenschutz-Grundverordnung hatten Umstrukturierungen und Anpassungen der Wirtschaft und Verwaltungen zur Folge. Der LfDI leistete und leistet durch zahlreiche Informationsveranstaltungen und die Bereitstellung von Informationsmaterial gezielte Unterstützung der Verantwortlichen und der betroffenen Personen. Die Datenschutz-Grundverordnung hat dem LfDI insbesondere die effektive Durchsetzung des Datenschutzrechts aufgetragen. Welche Strategien und Leitlinien er dabei verfolgt, wie er die Ausübung der zahlreichen, teilweise eingriffsintensiven Befugnisse ausrichtet und welche Früchte die Rechtsdurchsetzung des LfDI bereits getragen hat, werden in dem Konzept zur effektiven Durchsetzung des Datenschutzrechts in Rheinland-Pfalz zusammengefasst.

Der Aktionsplan enthält Planungen zu Tätigkeiten des LfDI, die Anfang des Jahres 2020 als Zielvorstellungen des LfDI zusammengestellt wurden. Es werden Schwerpunkte der Kontrolltätigkeit, übergreifende Themen, die den LfDI im Jahr 2020 beschäftigen und geplante Veranstaltungen vorgestellt. Aufgrund der Corona-Pandemie ist derzeit nicht absehbar, ob alle Planungen im Jahr 2020 umgesetzt werden können oder teilweise erst im Jahr 2021 realisiert werden. Dies betrifft insbesondere die Untersuchungen und Kontrollen vor Ort und die geplanten Veranstaltungen.

"Es war und ist spannend, die Ausrichtung meiner Behörde, die Strategien und den Fußabdruck, den wir als Datenschutzaufsichtsbehörde in Deutschland und der Europäischen Union hinterlassen wollen, zu gestalten und fortzuentwickeln. Wir freuen uns auf die Herausforderung, weiterhin den Worten Taten folgen zu lassen und uns in den Dienst des Datenschutzes, der Privatheit, sowie der Informationsfreiheit zu stellen und damit unseren Beitrag zur Wahrung der freiheitlichen Demokratie zu leisten.", resümiert der Landesbeauftragte, Prof. Dr. Dieter Kugelmann.

Mehr Informationen

·       Leitbild des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

·       Konzept zur effektiven Durchsetzung des Datenschutzrechts in Rheinland-Pfalz

·       Aktionsplan 2020

Videoüberwachung/Corona

Videoüberwachung im Zeichen des Infektionsschutzes?

Nachdem zum Infektionsschutz der Allgemeinheit bereits verschiedene Möglichkeiten einer "Tracking-App" bzw. "Tracing-App" diskutiert und entwickelt werden, liegt es auch nahe, über den Einsatz einer videogestützten Identifizierung potentiell erkrankter Personen nachzudenken. Einzelhandelsketten, aber auch verschiedene Arbeitgeber und Flughäfen, plädieren für den Einsatz eines Kamerasystems mit Temperaturdetektion, um Kunden und Mitarbeiter, die Anzeichen von Fieber zeigen, herauszufiltern.

Der Einsatz erfolgt durch ein Monitoringsystem, welches entweder Echtbilder mit Anzeige eines erhöhten Temperaturwertes ermöglicht, oder durch direkte Wärmebilderfassung. Eine Kontrollperson wird bei entsprechendem Ausschlag des Systems die betroffene Person befragen und ggf. den Zutritt verweigern.

Auch diese Form der Videoüberwachung muss sich an den Vorgaben der Datenschutz-Grundverordnung messen lassen. Auch bei einem reinen Monitoring werden personenbezogene Daten verarbeitet. Zumindest die Kontrollperson kann die betroffene Person unmittelbar identifizieren. Darüber hinaus sind mit der Temperaturmessung auch Gesundheitsdaten im Sinne von Art. 9 DS-GVO betroffen.

Eine solche Videoüberwachung kann daher nur zulässig sein, wenn ein besonderer Erlaubnistatbestand nach Art. 9 Abs. 2 DS-GVO gegeben ist. Hier bestehen nach Auffassung des LfDI, soweit es keine konkrete rechtliche Ausgestaltung gibt, größte Bedenken.

Eine freiwillige Einwilligung von Beschäftigten oder Kunden dürfte eher nicht vorliegen.

Soweit ein Schutz der Beschäftigten (Art. 9 Abs. 2 lit. b DS-GVO) oder ein öffentliches Interesse im Gesundheitsschutz (Art. 9 Abs. 2 lit. i DS-GVO) zur Legitimation herangezogen wird, scheitert der Einsatz der Kameras im Regelfall an Geeignetheit und Erforderlichkeit dieser Maßnahme. Weder lässt eine erhöhte Temperatur zuverlässig auf eine Infektion mit dem Corona-Virus schließen, noch birgt eine Normaltemperatur die Gewähr für eine nicht bestehende Infektion.

Auch hier gilt, dass ein Eingriff in das Recht auf informationelle Selbstbestimmung nicht zugunsten einer vermeintlichen Verbesserung des Gesundheitsschutzes ohne Prüfung im Einzelfall erfolgen darf.

Mehr Informationen zum Thema Videoüberwachung finden Sie hier. 

Gesundheit

Neue Muster zur Umsetzung der DS-GVO veröffentlicht; Projekt Praxistest im Bereich niedergelassener Arzt-/Psychotherapiepraxen abgeschlossen

Mit der Veröffentlichung zahlreicher Mustertexte zur Umsetzung einzelner Vorgaben der Datenschutz-Grundverordnung im Bereich niedergelassener Arzt- und Psychotherapiepraxen konnte das aktuelle Projekt "Praxistest" der Initiative "Mit Sicherheit gut behandelt" im Februar 2020 erfolgreich beendet werden. Die bereit gestellten Dokumente sollen den Praxisinhaberinnen und Praxisinhabern die Gewährleistung des Datenschutzes noch weiter erleichtern. Die im Zusammenhang mit dem Projektabschluss vorgesehenen beiden Informationsveranstaltungen, die für den Juni 2020 geplant waren, mussten corona-bedingt leider abgesagt werden. Dies ist bedauerlich, da damit eine Möglichkeit zum unmittelbaren Austausch zwischen Praxisinhabern, Kammern, Kassenärztlicher Vereinigung und Datenschutzaufsicht entfallen musste.

Nähere Informationen zu dem Projekt und den erarbeiteten Mustern können der gemeinsamen Presseerklärung der Kooperationspartner vom 25. Februar 2020 entnommen werden. Die Muster selbst stehen u.a. über die Website der Initiative zur Verfügung.

Medien

Handlungsrahmen für die Nutzung von "Social Media" durch öffentliche Stellen

Soziale Netzwerke wie Facebook, Twitter, Instagram oder YouTube sind zu einem wesentlichen Bestandteil im beruflichen und privaten Informations- und Kommunikationsverhalten vieler Nutzerinnen und Nutzer geworden. Für öffentliche Stellen bilden sie relevante Kommunikationskanäle. Durch das Betreiben von Auftritten in Sozialen Netzwerken tragen öffentliche Stellen aber auch dazu bei, dass personenbezogene Daten der Nutzerinnen und Nutzer ihrer Angebote an die jeweiligen Plattformbetreiber gelangen, die sie häufig (auch) zu eigenen, von der Nutzung unabhängigen Zwecken weiter verarbeiten.

Seit dem Aufkommen von Social Media-Angeboten haben sich aus Sicht des Datenschutzes grundlegende Fragen gestellt. Dies hat z.B. mit deren Konzeption als Plattformlösung zu tun, mit deren Geschäftsmodell, das auf einer kommerziellen Verwertung von Nutzungsdaten basiert, aber auch mit der Tatsache, dass die technischen Anbieter/Betreiber der Plattformen ihren Sitz zumeist außerhalb der Europäischen Union haben, wo ein vergleichbares Datenschutzniveau häufig nicht gegeben ist. So war lange Zeit umstritten, welche Verantwortung z.B. öffentliche Stellen haben, die auf der Facebook-Plattform eine sogenannte Fanpage betreiben und dadurch den Anlass für die Verarbeitung entsprechender Nutzungsdaten setzen.

Diesen Streit hat der Europäische Gerichtshof (EuGH) in seiner Entscheidung vom 5. Juni 2018 zum Betrieb von Facebook-Fanpages entschieden und festgestellt, dass nicht nur Facebook selbst, sondern auch der jeweilige Betreiber einer Fanpage datenschutzrechtlich verantwortlich ist, soweit durch den Besuch der Fanpage personenbezogene Daten der Fanpage-Besucher verarbeitet werden. Öffentliche Stellen, die eine Facebook-Fanpage betreiben, sind daher selbst als datenschutzrechtlich Verantwortliche zu sehen. Die Fanpage-Betreiber benötigen deshalb eine Rechtsgrundlage für die Verarbeitung der Nutzungsdaten und müssen auch alle weiteren Pflichten als Verantwortliche erfüllen.

Mit Urteil vom 11. September 2019 stellte das Bundesverwaltungsgericht (BVerwG) ergänzend klar, dass die Datenschutzaufsichtsbehörden gegen die Betreiber von Facebook-Fanpages selbst vorgehen können, wenn bei dem Betrieb von Facebook-Fanpages Datenschutzverstöße begangen werden.

Diese zwei Entscheidungen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) zum Anlass genommen, den Handlungsrahmen für die Nutzung von "Social Media" durch öffentliche Stellen aus dem Jahr 2016 zu überarbeiten und an die neuen Gegebenheiten anzupassen. Dieser steht nunmehr allen Verantwortlichen hier zur Verfügung. Aus der Sicht des LfDI tragen diese Empfehlungen auch angesichts der verstärkten Nutzung digitaler Angebote in Zeiten der Corona-Pandemie.

Die Folge 002 des LfDI-Podcasts "Datenfunk" widmet sich ebenfalls dem Handlungsrahmen. Die Folge "Social Media und Datenschutz - Ein Handlungsrahmen für öffentliche Stellen" ist am 15.04.2020 erschienen und hier im Internetangebot des LfDI abrufbar. Hören Sie doch einfach mal rein!

Wirtschaft/Corona

Fragestellungen zum Datenschutz im Geschäftsverkehr in Zeiten der Corona-Pandemie

Da die Infektionszahlen in Deutschland gesunken sind, wurde es bestimmten Wirtschaftszweigen schrittweise ermöglicht, ihren Geschäftsverkehr wieder aufzunehmen. In diesem Kontext haben sich Fragestellungen zu bestimmten Datenverabeitungsmaßnahmen ergeben, die in dem FaQ des LfDI zur Corona-Pandemie behandelt werden.

1. Dürfen Supermärkte, Drogerien und andere Einzelhändler die Körpertemperatur ihrer Kunden erfassen?

Bevor ein Ladengeschäft betreten werden darf, wäre es möglich, dass dort zunächst die Körpertemperatur des potentiellen Kunden gemessen wird, z.B. mittels einer Wärmebildkamera. Beim Überschreiten einer gewissen Temperatur könnte dem Kunden der Zutritt verwehrt werden bzw. er könnte zu weiteren Erklärungen über seinen Gesundheitszustand aufgefordert werden. Solche Maßnahmen sollen verhindern, dass Personen, die ein mögliches Covid-19-Symptom aufweisen, nämlich eine erhöhte Körpertemperatur, das Ladengeschäft betreten.

Warum eine solche Maßnahme erheblichen datenschutzrechtlichen Bedenken begegnet, wird in dem FaQ des LfDI zur Corona-Pandemie beantwortet.

2. Was haben Dienstleister im Bereich Körperpflege datenschutzrechtlich zu beachten?

Für Dienstleister im Bereich der Körperpflege, also Friseure, Kosmetikstudios, Fußpfleger etc., sieht die Sechste Corona-Bekämpfungsverordnung Rheinland-Pfalz vom 8. Mai 2020 (6. CoBeLVO) – anders als im Gaststättengewerbe – keine Pflicht vor, die Kundendaten zu erheben. Hier wird der Besuch lediglich an eine vorherige Terminvergabe geknüpft (§ 1 Abs. 3 Satz 2 6.CoBeLVO). Diese dient dazu, Ansammlungen von Menschen, die z.B. vor den Friseursalons warten, zu vermeiden. Trotzdem gehen mit der Terminvergabe Datenverarbeitungsprozesse einher, die im Einklang mit dem Datenschutz stehen müssen. Mehr dazu im FaQ des LfDI zur Corona-Pandemie.

3. Was haben Gaststättenbetreiber und ähnliche Betriebe bei der Wiedereröffnung datenschutzrechtlich zu beachten?

Die Sechste Corona-Bekämpfungsverordnung Rheinland-Pfalz vom 8. Mai 2020 (6. CoBeLVO) erlaubt Gaststätten, Eisdielen, Vinotheken und ähnlichen Einrichtungen, ihre Gäste ab 13. Mai 2020 wieder vor Ort zu bedienen. Neben zahlreichen Hygiene-und Schutzmaßnahmen wird auch eine Reservierungs- oder Anmeldepflicht eingeführt. Vom Betreiber sind die Kontaktdaten aller Gäste, nämlich Vor- und Zuname, Anschrift und Telefonnummer, zu erfassen, für einen Monat aufzubewahren und dann irreversibel zu löschen. Die Daten dürfen nur an das Gesundheitsamt weitergegeben werden, wenn dies für die Aufgabenerfüllung des Gesundheitsamtes erforderlich ist. Dort sind die Daten ebenfalls irreversibel zu löschen, wenn sie nicht mehr zur Aufgabenerfüllung erforderlich sind. Die Gaststättenbetreiber dürfen die Daten für keinen anderen Zweck nutzen. Bei Reservierung ist der Reservierende auf dieses Vorgehen hinzuweisen (§ 2 Abs. 2 Satz 2 Nr. 2 6.CoBeLVO). Was die Gaststättenbetreiber dabei datenschutzrechtlich zu beachten haben wird im FaQ des LfDI zur Corona-Pandemie erläutert.

Europa/EDSA

Der EDSA formuliert Bedingungen für den Einsatz von Apps zur Ermittlung von Kontaktpersonen im Kontext der COVID-19-Krise

Am 21. April 2020 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Nutzung von Standortdaten und Apps zur Ermittlung von Kontaktpersonen im Kontext des Ausbruchs von COVID-19 verabschiedet.

Während Regierungen und private Akteure über Datenmanagement-Apps mit Blick auf Covid-19 diskutieren, führt der EDSA in der Guideline aus, unter welchen Bedingungen deren Einführung datenschutzrechtlich zulässig ist.

Bezüglich der Nutzung von Standortdaten, erinnert der EDSA daran, dass Standortdaten von Anbietern elektronischer Kommunikation nur im Rahmen von Artikel 6 und 9 der ePrivacy-Richtlinie verarbeitet werden dürfen. D.h. dass diese nur in anonymisierter Form an Behörden oder Drittparteien weitergeleitet werden dürfen, es sei denn ein Einverständnis des Nutzers liege vor.

Der EDSA betont, dass bei der Nutzung von Standortdaten anonymisierte Daten personenbezogenen Daten vorgezogen werden sollten. Denn Mobilitätsspuren von Personen seien sehr zusammenhängend und einzigartig, sodass sie unter bestimmten Umständen anfällig für Re-Identifizierungsversuche sein könnten.

Bezüglich der Apps zur Ermittlungen von Kontaktpersonen, mahnt der EDSA, dass Personen, die sich gegen die Nutzung von solchen Apps entscheiden oder solche nicht nutzen können, unter keinerlei Nachteilen leiden sollten.

Zudem definiert der EDSA u.a. folgende Bedingungen für die Einführung dieser Apps:

- der Verantwortliche sollte klar definiert sein;

- die Zwecke der Verarbeitung sollten ausreichend spezifisch sein, um eine weiterführende, nicht mit der Covid-19 zusammenhängende, Verarbeitung auszuschließen;

- die personenbezogenen Daten sollten nur für die Dauer der COVID-19-Krise gespeichert werden und danach entweder gelöscht oder anonymisiert werden;

- die App sollte keine nicht benötigten Informationen sammeln, wie z.B. die Kommunikationskennungen, Geräteverzeichniseinträge, Nachrichten, Anrufprotokolle, Gerätekennungen etc.;

- die App sollte nicht den Standort von einzelnen Nutzern aufzeichnen, sondern vor allem Daten verarbeiten, die die Nähe zu anderen Personen aufzeigen;

- jeder Server, der am System zur Ermittlung von Kontaktpersonen beteiligt ist, dürfe nur die Kontakthistorie oder die pseudonymen Identifikatoren eines als infiziert diagnostizierten Benutzers erheben. Dadurch soll verhindert werden, dass der Verantwortliche in der Lage ist, diese Nutzer zu identifizieren;

- Algorithmen müssten überprüfbar sein und sollten regelmäßig von unabhängigen Experten überprüft werden.

Der EDSA betont zuletzt die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung, da die Verarbeitung aufgrund ihrer Natur (sensible Daten, neue Technologielösung etc.) als sehr risikoreich betrachtet werde. Diese sollte unbedingt veröffentlicht werden.

LfDI-Podcast Datenfunk

Podcast des LfDI – Datenfunk Folge 003: Spam, Phishing und erpresserische E-Mails

In der neuen Folge von "Datenfunk" geht es um ein Thema, das eigentlich jeden von uns betrifft, zumindest immer mal wieder: E-Mails, die wir nicht bekommen möchten.

Aber was verbirgt sich eigentlich genau hinter Begriffen wie "Spam" und "Phishing"? Wie kommen Betrüger und Erpresser an unsere E-Mail-Adressen? Wie kann man reine Werbemails von kriminellen Aktivitäten unterscheiden? Wie kann man sich selbst schützen und wie kann der LfDI dabei helfen?

Mit diesen und weiteren Fragen beschäftigt sich die aktuelle Folge des Podcasts. Außerdem wurde unsere Webseite um einen aktuellen Textbeitrag zum Thema "Spam" erweitert.

Datenfunk kann nun auch per RSS-Feed abonniert werden. Sie finden den Feed auf der Überblicksseite der Sendung. 

Hören Sie rein!