LfDI-Newsletter Nr. 3 - 2018

Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,

endlich ist es soweit und die Datenschutz-Grundverordnung (DS-GVO) und die nationalen Anpassungsgesetze sind anwendbares Recht in der Europäischen Union und in Deutschland. Damit wurde ein Rechtsrahmen geschaffen, der stärkere Rechte für die betroffenen Personen und erweiterte datenschutzrechtliche Anforderungen für die Verantwortlichen schafft. Das zentrale Anliegen der Datenschutz-Grundverordnung besteht darin, mit Hilfe eines zeitgemäßen und europaweit einheitlichen Datenschutzregimes die Grundrechte auf Datenschutz und Privatheit der Bürgerinnen und Bürger und die Interessen der Industrie – insbesondere an der Verarbeitung personenbezogener Daten – in einen konstruktiven Ausgleich zu bringen. Ein weiteres Ziel der Datenschutz-Grundverordnung ist es, technikneutrale Regelungen zu schaffen, um sich nicht in einen gesetzgeberischen Wettlauf mit der technischen Entwicklung zu begeben, bei der der Daten- und damit der Persönlichkeitsschutz Gefahr liefe, dauerhaft hinterher zu hinken.

Trotz der zweijährigen Übergangszeit scheint die Datenschutz-Grundverordnung für manchen Verantwortlichen überraschend gekommen zu sein. Die entsprechenden Anfragen beim LfDI lassen erkennen, dass viele Verantwortliche offenkundig erst kurz vor dem Wirksamwerden der neuen Regelungen die notwendigen Anpassungen ihrer Verarbeitungsprozesse in die Wege geleitet haben. Bei vielen hat die Informationsoffensive des LfDI aber doch Früchte getragen. Mit der Beratung von ca. 210.000 Unternehmen und über 2.000 Verwaltungen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) einen wesentlichen Beitrag geleistet, die Verantwortlichen in Rheinland-Pfalz auf die geltende Rechtslage vorzubereiten. Mit einer Vielzahl von Handreichungen – etwa zum Datenschutz im Unternehmen, in der Arztpraxis, im Verein oder rund um personenbezogene Daten und Werbung – bietet der LfDI weiterhin Informationen für die praktische Anwendung.

Mit Blick auf die vermuteten Umsetzungsdefizite plant der LfDI, in einem ersten Schritt mit Abfragen in ausgewählten Verwaltungs- und Wirtschaftsbereichen zu arbeiten, um einen belastbaren Überblick über den Stand der Umsetzung zu erhalten. Bis Ende 2018 sollen Schwerpunkte gesetzt werden. Daneben werden eingehende Beschwerden bearbeitet, die ggf. zu Konsequenzen für Verantwortliche führen können.

In einer zweiten Phase sind stichprobenweise Prüfungen und Untersuchungen vor Ort vorgesehen. Bei festgestellten Defiziten soll verstärkt zu den Instrumenten Anweisung (Verwaltung) bzw. Anweisung/Bußgeld (Wirtschaft) gegriffen werden. Der Vorteil einer solchen Vorgehensweise besteht darin, dass eine gestufte Vorgehensweise praktiziert werden kann, die den Verantwortlichen Gelegenheit gibt, bestehende Umsetzungsdefizite in angemessener Zeit zu bereinigen.

Der LfDI hat jedoch auch selbst Anpassungen an die neue Rechtslage vorgenommen. In dem Internetangebot des LfDI wurden die notwendigen Anpassungen der Datenschutzerklärung und der Informationspflichten vorgenommen. Außerdem stehen nun für Sie die Formulare zur Meldung von Datenpannen, zur Meldung von betrieblichen Datenschutzbeauftragten sowie zur Einreichung einer Beschwerde in aktualisierter Form bereit.

Jetzt liegt es an uns allen, die Chancen der Datenschutz-Grundverordnung zu nutzen.

Ihr Prof. Dr. Dieter Kugelmann

– Aus technischen Gründen konnte der Newsletter leider erst heute versendet werden –

Inhaltsverzeichnis

I. Von Facebook bis Fahrzeug. Ergebnisse der 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)

II. Neue Kurzpapiere der DSK zur Datenschutz-Grundverordnung

III. Das neue Landesdatenschutzgesetz für Rheinland-Pfalz

IV. Informationen zur Umsetzung der Datenschutz-Grundverordnung für Rechtsanwälte und Tierärzte

V. LfDI veröffentlicht "Muss-Liste" zur Datenschutz-Folgenabschätzung

VI. Bewerbungsfrist für die LfDI-Awards läuft

VII. Mehr Rechtsklarheit für Vereine

VIII. Besuch in Luxemburg und europäische Kooperation

IX. Pflicht zur Bestellung von Datenschutzbeauftragten bei Steuerberatern

X. Bericht von der Informationsveranstaltung für Verbraucher "Das neue Datenschutzrecht unter der Lupe - Diskussion zur Datenschutz-Grundverordnung" vom 16. April 2018

XI. Update: Mit Sicherheit gut behandelt (auch nach der Datenschutz-Grundverordnung)

XII. Bundesgerichtshof (BGH) bestätigt datenschutzrechtliche Unzulässigkeit von permanenten dauerhaften Videoaufzeichnungen mit Dashcams

XIII. Veranstaltungsankündigung: Mainzer Vorträge am 7. Juni 2018 "Dateneigentum, Datenschuldrecht, Datenschutz?"

DSK

Von Facebook bis Fahrzeug. Ergebnisse der 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)

Unter dem Vorsitz der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Helga Block, hat die 95. Datenschutzkonferenz am 25. und 26. April 2018 in Düsseldorf getagt.

Themen der Konferenz waren u.a. der aktuelle Datenskandal bei Facebook im Zusammenhang mit der Firma Cambridge Analytica, zu dem die Datenschutzkonferenz eine Stärkung der Betroffenen und eine bessere Durchsetzung der Kontrolle über Daten unter Nutzung der neuen europäischen Regeln fordert. Darüber hinaus waren Gegenstand der Beschlüsse etwa die Datenverarbeitung in Fahrzeugen, Zuverlässigkeitsüberprüfungen im Rahmen öffentlicher und privater Veranstaltungen wie Fußballspielen und die datenschutzgerechte Gestaltung von Online-Lernplattformen.

Breiten Raum nahm das nahe Wirksamwerden der Datenschutz-Grundverordnung ein. Neben datenschutzrechtlichen Anforderungen an die Verarbeitung personenbezogener Daten durch Wirtschaft und Verwaltung regelt die Datenschutz-Grundverordnung auch die künftige Zusammenarbeit der Datenschutzaufsichtsbehörden in den europäischen Mitgliedsstaaten und auf europäischer Ebene. Damit muss sich auch die deutsche Datenschutzaufsicht neu aufstellen und neue Kooperationsmechanismen entwickeln.

Hier eine Übersicht der Ergebnisse der Datenschutzkonferenz:

Entschließung: Facebook-Datenskandal – Neues Europäisches Datenschutzrecht bei Sozialen Netzwerken durchsetzen!(englische Fassung)

Entschließung: Zuverlässigkeitsüberprüfungen bei öffentlichen und privaten Veranstaltungen

Datenschutz in Fahrzeugen – Mustertext für eine Herstellerinformation zur Datenverarbeitung im Fahrzeug

Orientierungshilfe zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz

Orientierungshilfe für Online-Lernplattformen im Schulunterricht

Beschluss: Bestellpflicht von Datenschutzbeauftragten bei Arztpraxen

Positionsbestimmung zur Anwendbarkeit des Telemediengesetzes

Kurzpapier Nr. 8 zum Risiko für die Rechte und Freiheiten natürlicher Personen

Standard-Datenschutzmodell Version 1.1

Datenschutz-Grundverordnung

Neue Kurzpapiere der DSK zur Datenschutz-Grundverordnung

Erneut hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Verantwortlichen bei der Umsetzung der europäischen Datenschutzreform durch die Veröffentlichung von zwei Kurzpapieren unterstützt: es handelt sich zum einen um das Kurzpapier Nr. 17 "Besondere Kategorien personenbezogener Daten", um das Kurzpapier Nr. 18 "Risiko für die Rechte und Freiheiten natürlicher Personen" sowie um das Kurzpapier Nr. 19 "Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO."

Besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, bedürfen wie bislang eines besonderen Schutzes. Deshalb widmet sich das Kurzpapier Nr. 17 insbesondere den speziellen Anforderungen an eine Verarbeitung dieser Daten. Grundsätzlich ist eine Verarbeitung dieser Daten gemäß Art. 9 Abs. 1 der DS-GVO verboten. Gleichzeitig enthält die Datenschutz-Grundverordnung selbst aber umfangreiche Ausnahmen von diesem Grundsatz und ermöglicht auch den Mitgliedstaaten im Rahmen von Öffnungsklauseln unter gewissen Voraussetzungen Ausnahmen von dem Verarbeitungsverbot im jeweiligen nationalen Recht vorzusehen.

"Risiko" ist ein in der Datenschutz-Grundverordnung vielfach auftretender Begriff. Mit dem Kurzpapier Nr. 18 soll diese Begrifflichkeit im Kontext der Datenschutz-Grundverordnung definiert werden. Gleichzeitig soll im Kurzpapier aufgezeigt werden, wie Risiken für die Rechte und Freiheiten natürlicher Personen durch eine Verarbeitung von personenbezogenen Daten bestimmt und in Bezug auf ihre Rechtsfolgen bewertet werden können. Denn letztlich ist die objektive Ermittlung und Beurteilung des Risikos einer Verarbeitung personenbezogener Daten erforderlich um festzustellen, wie die Rechte und Freiheiten natürlicher Personen wirksam geschützt werden können.

Das Kurzpapier Nr. 19 behandelt das Thema "Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO." Die Verpflichtung von Beschäftigten zur Wahrung des Datengeheimnisses und zur Beachtung der datenschutzrechtlichen Anforderungen ist ein wichtiger Bestandteil der Maßnahmen, die erforderlich sind, damit ein Verantwortlicher (siehe Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO) oder ein Auftragsverarbeiter (siehe Art. 28 Abs. 3 Satz 2 lit. b DS-GVO) die Einhaltung der Grundsätze der Datenschutz-Grundverordnung sicherstellen und nachweisen kann ("Rechenschaftspflicht"). Das Kurzpapier gibt wichtige Hinweise dazu, wer verpflichtet werden muss, wann diese Verpflichtung zu erfolgen hat und wie die Verpflichtung erfolgen kann. Mit einer Anlage wird außerdem ein Musterbeispiel für eine schriftliche Verpflichtung zur Verfügung gestellt.

Weitere Kurzpapiere der DSK finden Sie im Internetangebot des LfDI.

Datenschutz-Grundverordnung

Das neue Landesdatenschutzgesetz für Rheinland-Pfalz

Mit der Europäischen Datenschutz-Grundverordnung wird der Datenschutz in Europa neu aufgestellt. Die seit dem 25. Mai 2018 wirksame Verordnung gilt in weiten Teilen unmittelbar, sie enthält jedoch Öffnungsklauseln, die es den nationalen Gesetzgebern erlauben, z.B. für den öffentlichen Bereich ergänzende Regelungen zu treffen. Das hierzu erforderliche Landesdatenschutzgesetz (LDSG) wurde vom Landtag Rheinland-Pfalz am 26. April 2018 verabschiedet.

Gleichzeitig wurden darin auch die notwendigen Regelungen zur Umsetzung der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Polizei- und Justizbehörden getroffen.

"Ich freue mich, dass es dem Landtag Rheinland-Pfalz gelungen ist, diese gesetzgeberische Mammutaufgabe rechtzeitig vor dem Wirksamwerden der Datenschutz-Grundverordnung abzuschließen," so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Dieter Kugelmann. "Rheinland-Pfalz ist damit im bundesweiten Vergleich sehr gut aufgestellt. Die notwendigen Anpassungen des Datenschutzes an die fortschreitende Digitalisierung wurden vorgenommen und die Verwaltungen in Rheinland-Pfalz erhalten Rechtssicherheit bei der Anwendung datenschutzrechtlicher Vorschriften. Das Gesetz trägt auch der besonderen Unabhängigkeit von Kontroll- und Aufsichtsbehörden, wie dem Landesrechnungshof und dem Datenschutzbeauftragten, angemessen Rechnung. Mit dem Dreiklang aus Datenschutz-Grundverordnung, dem novellierten Bundesdatenschutzgesetz mit ergänzenden Regelungen für den Bereich der Wirtschaft und dem neuen Landesdatenschutzgesetz für die Behörden und Unternehmen mit Anteilen der öffentlichen Hand liegen nunmehr alle grundlegenden Gesetze vor, um den Anforderungen an einen zeitgemäßen Datenschutz Rechnung zu tragen.

Da in die Entstehung der Datenschutz-Grundverordnung viele Regelungsansätze des in Deutschland bewährten Datenschutzes eingeflossen sind, hält sich der Anpassungsbedarf für die rheinland-pfälzischen Stellen in einem bewältigbaren Rahmen. Seit Jahresbeginn bereiten meine Mitarbeiterinnen und Mitarbeiter mit zahlreichen Informations- und Schulungsveranstaltungen Behörden und Unternehmen in Rheinland-Pfalz auf die neue Rechtslage vor. Ich bin sehr zuversichtlich, dass der Übergang gut gelingen wird. Wir werden diesen Prozess auch weiterhin aktiv begleiten."

Weitere Informationen:

Gesetzentwurf des Landesdatenschutzgesetzes

Dazu ergänzend der gemeinsame Änderungsantrag der Fraktionen der SPD, CDU, FDP und BÜNDNIS 90/DIE GRÜNEN.

Datenschutz-Grundverordnung

Informationen zur Umsetzung der Datenschutz-Grundverordnung für Rechtsanwälte und Tierärzte

Der LfDI unterstützt schon seit geraumer Zeit Verantwortliche verschiedener Branchen bei der Umsetzung der Datenschutz-Grundverordnung – wie bereits mehrfach berichtet. Im Fokus standen bislang unter anderem die Mitglieder der Industrie- und Handelskammern des Landes Rheinland-Pfalz, die Angehörigen der Gesundheitsberufe im weitesten Sinne und eine Vielzahl öffentlicher Stellen.

Kürzlich sind vermehrt verschiedene Freiberufler an den LfDI herangetreten und haben ihn um Beratung ersucht. Aufgrund dessen wurden vom LfDI unter anderem spezielle Informationen für die Rechtsanwaltskammern bzw. deren Mitgliederinnen und Mitglieder sowie für die Landestierärztekammer Rheinland-Pfalz und deren Mitgliederinnen und Mitglieder erstellt und ausgegeben.

Diese Informationen und mehr finden Sie im Internetangebot des LfDI.

Datenschutz-Grundverordnung

LfDI veröffentlicht "Muss-Liste" zur Datenschutz-Folgenabschätzung

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
(LfDI) hat eine sog. "Muss-Liste" (auch "Blacklist" genannt) nach Art. 35 Abs. 4 DS-GVO veröffentlicht. Diese enthält Verarbeitungsvorgänge, für die nach Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Ziel der Liste ist die Erzeugung von Transparenz, die sowohl der betroffenen Person als auch dem Verantwortlichen zu Gute kommt. Letztendlich soll die Muss-Liste zur Entscheidungsfindung beitragen, in dem eine Hilfestellung zur Eingruppierung eigener Verarbeitungen (DSFA erforderlich: ja oder nein?) bereitgestellt wird. Die Muss-Liste hat nicht den Anspruch der Vollständigkeit, wenngleich versucht wird, möglichst viele der DSFA-pflichtigen Verarbeitungsvorgänge zu berücksichtigen. Der LfDI hat sowohl eine Liste für Verantwortliche im öffentlichen Bereich als auch eine Liste für Verantwortliche im nicht-öffentlichen Bereich veröffentlicht.

Letztere Liste unterliegt dem Kohärenzverfahren. Dieses konnte aufgrund des sich erst noch konstituierenden Datenschutzausschusses bisher noch nicht durchgeführt werden. Daher handelt es sich bei dieser Liste um eine Vorversion. Auch weitere Datenschutzaufsichtsbehörden haben eigene "Muss-Listen" mit ähnlichem Inhalt veröffentlicht. Diese arbeiten gegenwärtig zusammen mit dem LfDI an der Erstellung einer einheitlichen Liste.

LfDI-Awards

Bewerbungsfrist für die LfDI-Awards läuft

Vom 15. Mai 2018 bis zum 15. Juli 2018 sucht der LfDI wieder nach zukunftsweisenden und intelligenten Ansätzen und Aktivitäten für eine praktikable und nachhaltige Umsetzung der gesetzlichen Vorgaben zum Datenschutz und zur Informationsfreiheit durch rheinland-pfälzische Behörden oder durch zivilgesellschaftliche Initiativen, die sich der Förderung der informationellen Selbstbestimmung oder der Transparenz öffentlicher Stellen verschrieben haben.

Mit den LfDI Awards – die erstmals 2017 vergeben wurden – soll diesen Ideen zu einer größeren Öffentlichkeit verholfen und Anreize für effektiveren Datenschutz und mehr Transparenz gesetzt werden. An dem Wettbewerb können sich alle Stellen der rheinland-pfälzischen Landes- und Kommunalverwaltung beteiligen sowie Organisationen und Initiativen der Zivilgesellschaft, die sich für die Pflege und die konstruktive Intensivierung der Informationsbeziehung zwischen dem Staat und den Bürgerinnen und Bürgern einsetzen. Nicht teilnahmeberechtigt sind die obersten Landesbehörden in Rheinland-Pfalz.

Weiterführende Informationen finden Sie unter hier.

Datenschutz-Grundverordnung/Leben Digital

Mehr Rechtsklarheit für Vereine

Der LfDI hat in seinem Internetangebot eine Handreichung für Vereinsvorstände und ehrenamtlich Tätige veröffentlicht, in der kurz und prägnant dargestellt wird, welche datenschutzrechtlichen Rechte und Pflichten im Rahmen der Vereinsarbeit seit dem 25. Mai 2018 – mit Geltung der  Datenschutz-Grundverordnung – zu berücksichtigen sind.

In den letzten Wochen erreichten den LfDI zahlreiche Anfragen von Rat suchenden Bürgerinnen und Bürgern, die im Verein aktiv sind. Die zusammenfassende Darstellung ist Teil der Bemühungen, kleineren Vereinen und ehrenamtlich Engagierten bei der Umsetzung der Anforderungen der Datenschutz-Grundverordnung mit praxisorientierten Informationen eine Hilfestellung zu geben.

Nicht nur Unternehmen, Behörden und Institutionen sind verpflichtet, die Regelungen der Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes umzusetzen, sondern auch alle Vereine, einschließlich der gemeinnützigen, nicht eingetragenen oder nicht rechtsfähigen Vereine. Angefangen vom Mitgliedsantrag über Einladungen zu Veranstaltungen oder Mitgliederversammlungen bis hin zum Internetauftritt eines Vereins – im Vereinsleben gibt es viele Szenarien, in denen personenbezogene Daten, wie Name, Anschrift, E-Mail-Adresse, Geburtsdatum oder Geschlecht verarbeitet werden. Die Auseinandersetzung mit der neuen Rechtslage ist daher unverzichtbar.

Weiterführende Informationen für Vereine finden Sie hier.

Datenschutz-Grundverordnung/Kooperationen

Besuch in Luxemburg und europäische Kooperation

Die Kooperation mit anderen europäischen Datenschutzaufsichtsbehörden ist ein wesentlicher Bestandteil der in der Datenschutz-Grundverordnung geregelten Aufgaben der Datenschutzaufsichtsbehörden. Ziel ist eine in der Europäischen Union kohärente und einheitliche Aufsichtspraxis als Bestandteil eines einheitlichen Datenschutzes zu entwickeln. Dazu sind Kooperations- und Kohärenzinstrumente in der Datenschutz-Grundverordnung geregelt. Darüber hinaus ist jedoch auch der informelle Austausch im Rahmen des Netzwerkes europäischer Aufsichtsbehörden wichtig. Dieses Netzwerk möchte der LfDI weiter stärken, indem – neben seiner Arbeit in europäischen Gremien – im Rahmen von Hospitationen und gegenseitigen Besuchen engere Kontakte und ein intensiverer Austausch mit anderen europäischen Datenschutzaufsichtsbehörden gepflegt werden.

Einen Auftakt bildete dabei der Besuch des LfDI bei der Luxemburgischen Datenschutzaufsichtsbehörde in Esch-sur-Alzette. Der LfDI und die Présidente Tine A. Larsen der Commission nationale pour la protection des données tauschten sich unter anderem zu dem Stand der Umsetzung der Datenschutz-Grundverordnung in den Gesetzen und den Unternehmen der jeweiligen Mitgliedsstaaten, über die Organisation der Dienststellen, über Schwerpunkte der vergangenen und zukünftigen Tätigkeit sowie über den künftigen Umgang mit Beschwerden, die einen grenzüberschreitenden Bezug haben und damit Kooperations- und/oder Kohärenzverfahren nach sich ziehen können, aus. Bei diesem Treffen konnten viele Gemeinsamkeiten aber auch Unterschiede festgestellt werden.

Der LfDI plant in diesem und dem folgendem Jahr mit weiteren Hospitationen und Besuchen die Kooperation und das Netzwerk der Datenschutzaufsichtsbehörden in der Europäischen Union zu stärken und den Erfahrungsaustausch fortzusetzen.

Finanzen/Datenschutz-Grundverordnung

Pflicht zur Bestellung von Datenschutzbeauftragten bei Steuerberatern

Aus dem Bereich der steuerberatenden Berufe mehren sich derzeit die Anfragen an den LfDI in Bezug auf die Umsetzung der Datenschutz-Grundverordnung. Insbesondere stehen dabei die Fragen nach der Pflicht zur Bestellung eines Datenschutzbeauftragten und der Qualifizierung des Vertragsverhältnisses zwischen Mandant und Berater als Auftragsverarbeitung im Vordergrund. Bei der Beantwortung dieser Fragen kommt es immer auf den Einzelfall an. Grundsätzlich ergibt sich aus der Stellung als Steuerberaterin oder Steuerberater an sich nicht die Verpflichtung, einen Datenschutzbeauftragten bzw. eine Datenschutzbeauftragte zu benennen. Es ist stets im Einzelfall vom Steuerberater zu prüfen, ob die gesetzlichen Voraussetzungen bei ihm erfüllt werden. Gleiches gilt für die Qualifizierung des Verhältnisses als Auftragsverarbeitung. Näheres finden Sie hierzu in dem Themenfeld Finanzen.

Verbraucherschutz/Veranstaltungen

Bericht von der Informationsveranstaltung für Verbraucher "Das neue Datenschutzrecht unter der Lupe - Diskussion zur Datenschutz-Grundverordnung" vom 16. April 2018

Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung. Das neue Datenschutzrecht will einen modernen Rechtsrahmen für das Recht auf informationelle Selbstbestimmung in der Europäischen Union setzen. In einer gemeinsamen Diskussionsveranstaltung des LfDI und der Verbraucherzentrale Rheinland-Pfalz e.V. beleuchteten Experten aus Wirtschaft sowie Daten- und Verbraucherschutz am 16. April 2018 in Mainz die Vor- und Nachteile der neuen Regelungen aus Verbrauchersicht sowie die Herausforderungen, aber auch die Chancen für Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung.

Derzeit vergeht kaum eine Woche, ohne dass ein neuer Datenmissbrauch oder ein enormes Datenleck bekannt werden. Das neue Regelwerk verspricht hier einen besseren Schutz durch mehr Kontrolle der Verbraucherinnen und Verbraucher über die Datenverarbeitung und durch einen höheren Bußgeldrahmen bei Rechtsverstößen.

Der LfDI, Prof. Dr. Dieter Kugelmann, sieht vor allem die erheblichen Verbesserungen, die die Datenschutz-Grundverordnung für die Rechte der Bürgerinnen und Bürger bringt: "Neben bestehenden Rechten wie demjenigen auf Auskunft, wird nun das `Recht auf Vergessenwerden´ festgeschrieben. Auch das neu eingeführte Recht auf Datenübertragbarkeit, also die einfache Möglichkeit, die eigenen Informationen von einem alten zu einem neuen Anbieter als "Datenpaket" mitzunehmen, bedeutet eine große Erleichterung im Alltag. Und der Einzelne kann seine Rechte mit Hilfe der Datenschutzbeauftragen einfacher durchsetzen."

Per Meyerdierks, Beauftragter für den Datenschutz der Google Deutschland GmbH, erläuterte im Rahmen seines Impulsvortrags zur Veranstaltung die Herausforderungen des Unternehmens bei der Anwendung der Datenschutz-Grundverordnung. Stefan Mairose, Abteilungsleiter Audit und Technik beim Konzerndatenschutz der Deutschen Bahn, gab Einblicke in Fragen der technischen und organisatorischen Umsetzung. Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands, machte auf das laufende Gesetzgebungsverfahren der ePrivacy-Verordnung aufmerksam, wo eine Verwässerung des bestehenden Datenschutzniveaus drohe.

Die Veranstaltung im Plenarsaal des rheinland-pfälzischen Landtags erfreute sich einer großen Besucherzahl. Das Publikum erlebte eine spannende Diskussionsrunde, moderiert durch die freie Journalistin Gesine Bonnet. Die Abendveranstaltung ist Teil einer Veranstaltungsreihe des LfDI in bewährter Kooperation mit der Verbraucherzentrale Rheinland-Pfalz e.V. Sie dient der datenschutzrechtlichen Sensibilisierung und Information der Verbraucherinnen und Verbraucher und Unternehmerinnen und Unternehmer gleichermaßen.

Gesundheit/Datenschutz-Grundverordnung

Update: Mit Sicherheit gut behandelt (auch nach der Datenschutz-Grundverordnung)

Bereits im Jahre 2014 rief der LfDI zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz (KV) die Initiative "Mit Sicherheit gut behandelt" ins Leben. Ziel war es, die im Lande ansässigen niedergelassenen Ärztinnen und Ärzte und Psychotherapeutinnen und Psychotherapeuten bei der Beachtung der datenschutzrechtlichen Vorgaben zu unterstützen. Kernstück war eine modular aufgebaute Website (www.mit-sicherheit-gut-behandelt.de) mit zahlreichen Informationen, themenbezogenen Checks und weiterführenden Links zum Datenschutz in niedergelassenen Heilberufspraxen, die bundesweit einmalig ist. Begleitende Informationsveranstaltungen, bei denen die Praxisinhaber mit den Vertreterinnen und Vertretern des LfDI und der KV ins Gespräch kommen konnten, ergänzten das Angebot.

Angesichts der durchweg positiven Resonanz, die die Kooperationspartner seit Einführung ihrer gemeinsamen Initiative erhalten hatten, wurde das darin praktizierte Format nun auch als Informationskanal zur Vorbereitung der niedergelassenen Heilberufe auf die Datenschutz-Grundverordnung genutzt. Unterstützt durch die Landesärztekammer und die Landespsychotherapeutenkammer, die beide inzwischen der Initiative beigetreten sind, werden im Jahr 2018 im Lande an vier KV-Standorten (Trier, Neustadt/W., Koblenz, Mainz) Informationsveranstaltungen für Praxisinhaberinnen und -Inhaber und deren Mitarbeiterinnen und Mitarbeiter zu dem neuen Datenschutzrecht angeboten. Anmeldemöglichkeiten finden sich u.a. im Internetangebot der Initiative. Angesichts der starken Nachfrage ist es empfehlenswert, sich bei Interesse zeitnah anzumelden.

Der Auftakt der Informationskampagne für Praxisinhaberinnen und -Inhaber fand im April 2018 in Trier statt und war mit über 180 Anmeldungen sehr schnell ausgebucht. Nach einer kurzen Einführung durch den LfDI, Prof. Dr. Dieter Kugelmann, stellten seine Mitarbeiter, Herr Heusel-Weiss und Frau Buchmann, den Anwesenden einen Maßnahmenplan zur Umsetzung der Datenschutz-Grundverordnung vor und erläuterten einzelne Schwerpunkte des neuen Rechts wie z.B. das Verzeichnis von Verarbeitungstätigkeiten. Die Teilnehmerinnen und Teilnehmer nahmen von der Möglichkeit der Diskussion rege Gebrauch.

Flankiert werden die Veranstaltungen durch eine Aktualisierung der o.g. Website der Initiative. Neben einer Anpassung der bisherigen Inhalte an die seit dem 25. Mai 2018 geltenden Anforderungen wurde ein weiterer Bereich zur Datenschutz-Grundverordnung eingefügt, in dem verschiedene Fragestellungen wie z.B. die datenschutzrechtliche Verantwortlichkeit der Praxisinhaberinnen und -Inhaber oder die Informationspflichten aufbereitet werden. Darüber hinaus veröffentlichen die Kooperationspartner im rheinland-pfälzischen Ärzteblatt in einer Artikelserie monatlich Beiträge über die mit der Datenschutz-Grundverordnung einhergehenden Neuerungen.

Pressemeldung des LfDI vom 23.04.2018

Weitere Informationen im Ärzteblatt Rheinland-Pfalz (Ausgaben ab März 2018)

Anmeldemöglichkeit für die Veranstaltungen zur Datenschutz-Grundverordnung im Gesundheitsbereich

Videoüberwachung/Verkehr

Update zu Dashcams: Bundesgerichtshof bestätigt datenschutzrechtliche Unzulässigkeit von permanenten dauerhaften Videoaufzeichnungen mit Dashcams

Der Bundesgerichtshof (BGH) beschäftigte sich in seinem Urteil v. 15. Mai 2018 – VI ZR 233/17 mit der Verwertbarkeit von permanenten Dashcam-Aufzeichnungen als Beweismittel in einem Unfallhaftpflichtprozess und stellte fest, dass die im Verfahren vorgelegte permanente anlasslose Videoaufzeichnung nach den (zum Urteilszeitpunkt noch) geltenden datenschutzrechtlichen Bestimmungen unzulässig sind.

Im Ausgangsfall geht es um die Verwertbarkeit solcher Aufzeichnungen als Beweismittel zu einem Verkehrsunfall, bei dem zwei Autofahrer beim Linksabbiegen auf zwei nebeneinander verlaufenden Linksabbiegespuren seitlich zusammenstießen. Der Kläger, Fahrer eines Wagens mit Dashcam, wollte mit Aufnahmen seiner Videokamera beweisen, dass der Unfallgegner seine Spur verlassen und seitlich auf ihn aufgefahren sei.

Zwar lässt der BGH eine Verwertung der Aufnahmen im Zivilprozess nach einer Interessen- und Güterabwägung nach den im Einzelfall gegebenen Umständen zu, jedoch wird die Auffassung des LfDI Rheinland-Pfalz, dass die dauerhafte Aufzeichnung mit Dashcams unzulässig ist, bestätigt.

Eine dauerhafte Aufzeichnung verstößt gegen § 4 Bundesdatenschutzgesetz (BDSG) bzw. die Art. 5, 6 DS-GVO, da die Aufnahmen ohne Einwilligung der Betroffenen erfolgten und nicht auf gesetzliche Vorschriften des BDSG gestützt werden können. Eine anlasslose permanente Aufzeichnung des gesamten Geschehens sei zur Wahrnehmung der Beweissicherungsinteressen nicht erforderlich, denn es sei technisch möglich, eine kurze, anlassbezogene Aufzeichnung des unmittelbaren Unfallgeschehens zu gestalten. Dies könne beispielsweise durch ein dauerndes Überschreiben der Aufzeichnung in kurzen Abständen und Auslösen der dauerhaften Speicherung erst bei Kollision oder starker Verzögerung des Fahrzeuges geschehen.

Aus Sicht des LfDI sollte das Urteil auf keinen Fall als Freibrief für den grundlosen und flächendeckenden Einsatz von Dashcams verstanden werden. Der anlasslose Einsatz ist weiterhin sehr kritisch zu sehen.

Verstöße gegen die am 25. Mai 2018 wirksam gewordene Datenschutz-Grundverordnung können sowohl Anordnungen als auch die Verhängung von Geldbußen durch die Aufsichtsbehörde nach sich ziehen.

Veranstaltungen/Mainzer Vorträge

Veranstaltungshinweis: Mainzer Vorträge am 7. Juni 2018 "Dateneigentum, Datenschuldrecht, Datenschutz?"

Im Rahmen der Veranstaltungsreihe "Mainzer Vorträge zum Sicherheits- und Informationsrecht" wird Frau Prof. Dr. Louisa Specht (Universität Bonn) am Donnerstag, den 7. Juni 2018 zum Thema "Dateneigentum, Datenschuldrecht, Datenschutz? Ausgestaltung eines Rechtsrahmens für die datengetriebene Wirtschaft" referieren.

Ort: Fakultät für Rechts- und Wirtschaftswissenschaften (Jakob-Welder-Weg 9, 55128 Mainz), Dekanatssaal 03-150

Beginn: 18:30 Uhr

Die Teilnahme an der Veranstaltung ist kostenfrei und eine Anmeldung ist nicht erforderlich. Weitere Informationen finden Sie hier.

Newsletterarchiv

Die bisherigen Newsletter des LfDI finden Sie hier.