LfDI-Newsletter Nr. 4 - 2021

Liebe Leser:innen, liebe Nutzer:innen,

ich freue mich, Sie wieder in alter Frische begrüßen zu können. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) hat den Sommer dazu genutzt, sich personell und funktional neu aufzustellen. Zum einen konnte ich neues Personal rekrutieren. Mit den neuen Kolleg:innen können wir  den steigenden Herausforderungen der Digitalisierung, des Datenschutzes und der Informationsfreiheit besser Rechnung tragen. Zum anderen wird nach einer intensiven Vorbereitungsphase Endes des Jahres beim LfDI die elektronische Akte eingeführt. Neben dem bislang bereits bestehenden digitalen Dokumentenmanagement wird damit auch ein digitaler Workflow möglich sein. Wir freuen uns auf diesen weiteren Schritt bei der Digitalisierung unserer Abläufe und darauf, mit den neuen Möglichkeiten und Funktionalitäten unsere Arbeit schlagkräftig fortzuführen.

Das Ende des Sommers bedeutet zudem auch beim LfDI: Start der neuen Fußballsaison. Mit dem Modul „Digitale Selbstverteidigung“ wird der LfDI das Aktionsprogramm „05er Klassenzimmer“ des FSV Mainz 05 e.V. unterstützen. In den Veranstaltungen, die in Räumen des Stadions des Fußballvereins stattfinden, erfahren die Schüler:innen, wie sie sich und ihre Daten beim Benutzen ihres Smartphones und beim Surfen im Internet schützen können. Das Modul zur „Digitalen Selbstverteidigung“ basiert auf dem Schülerworkshop-Programm des LfDI, welches seit über 10 Jahren angeboten wird.

Vor dem Hintergrund einer Reihe von Anfragen hinsichtlich der Verarbeitung des Immunisierungsstatus bei der Planung und Durchführung von Vereinsveranstaltungen haben wir die wesentlichen Punkte in einem entsprechenden FAQ-Beitrag zusammengestellt.

Des Weiteren möchte ich auf die Podcast-Woche zum Thema Künstliche Intelligenz hinweisen und weitere Themen mit Ihnen teilen.

Ich wünsche Ihnen viel Ertrag beim Lesen. Bleiben Sie weiterhin gesund.

Ihr Prof. Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. LfDI startet Kooperation mit Mainz 05 im Rahmen des "05er Klassenzimmer"

II. Völlig ferngesteuert? Landesdatenschutzbeauftragter und Verbraucherzentrale starten Podcast-Woche zu Künstlicher Intelligenz

III. Bericht der Landesregierung zur Evaluierung des Landestransparenzgesetzes

IV. Länderübergreifende Prüfung - Einwilligungen auf Webseiten von Medienunternehmen sind meist unwirksam.

V. Unberechtigte Datenbankabfragen von Polizeibeamt:innen

VI. Verarbeitung des Immunisierungsstatus im Rahmen der Planung von Vereinstätigkeiten

Medien

I. LfDI startet Kooperation mit Mainz 05 im Rahmen des "05er Klassenzimmer"

Die Qualität der Verteidigung zählt mit zu den entscheidenden Faktoren im Fußball, ob eine Mannschaft ein Spiel gewinnt oder verliert. Dass es auch digital einiges zu verteidigen gibt, lernen Schülerinnen und Schüler ab sofort in dem Modul „Digitale Selbstverteidigung“, mit dem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) sich im Aktionsprogramm „05er Klassenzimmer“ des 1. FSV Mainz 05 e.V. beteiligt.

In den Veranstaltungen, die in Räumen des Stadions des Fußballvereins stattfinden, erfahren die Schüler:innen wie sie sich und ihre Daten beim Benutzen ihres Smartphones und beim Surfen im Internet schützen können. Das Modul zur „Digitalen Selbstverteidigung“ basiert auf dem Schülerworkshop-Programm des LfDI, das seit über 10 Jahren angeboten wird. Hier geht es um Fragen der Geschäftsmodelle von sozialen Netzwerken, Selbstdatenschutz, Smartphones und Apps sowie auch aktuelle datenschutzpolitische Fragen – wie beispielsweise Fake-News im Vorfeld der Bundestagswahl. „Wissen um die eigenen Daten und wie ich sie vor Datenmissbrauch verteidigen kann, ist und bleibt Grundkompetenz digitaler Souveränität“, so LfDI Prof. Dr. Dieter Kugelmann. „Wir werden Heranwachsende auf diesem Weg auch weiterhin begleiten und sie mit dem ausstatten, was ihren Online-Alltag sicherer macht. Über Kooperationen wie der mit Mainz 05 bringen wir dieses Wissen auch an andere Lernorte“.

Begleitend zu den Präsenz- und Online-Veranstaltungen an den Schulen stellt der LfDI Rheinland-Pfalz die Workshopmaterialien sowie viele weitere Informationen, Flyer und News auf der gemeinsamen Jugendhomepage der Datenschutzbeauftragten des Bundes und der Länder, www.youngdata.de, bereit. 

Weitere Informationen:

Informationen zum „05er Klassenzimmer“ Antragsformular reguläre Schülerworkshops Flyer „Datenschutz aus erster Hand“Links zu Methoden und Konzepten auf YoungDataChronologie „10 Jahre Schülerworkshops“Pressemitteilung vom 28.09.2021

Datenfunk-Podcast / Künstliche Intelligenz

II. Völlig ferngesteuert? Fünf Tage „Datenfunk Extra“: Landesdatenschutzbeauftragter und Verbraucherzentrale starten Podcast-Woche zu Künstlicher Intelligenz

Der Landesbeauftrage für den Datenschutz und die Informationsfreiheit (LfDI) und die Verbraucherzentrale Rheinland-Pfalz haben anlässlich der Woche der Medienkompetenz eine Podcast -Reihe rund um das Thema Künstliche Intelligenz (KI) veröffentlicht. Beleuchtet wurden unter anderem die Chancen und Risiken der KI, Sprachassistenten, Autonomes Fahren sowie Auswirkungen auf den Konsum. 

„KI und die dahinterstehenden Algorithmen sind längst in unserem Alltag angekommen“, so Maximilian Heitkämper, Fachbereichsleiter Digitales und Verbraucherrecht bei der Verbraucherzentrale. Sie durchdringen zunehmend alle Lebensbereiche. Die Technologie macht große Versprechungen, entfacht aber auch Ängste. „Höchste Zeit, diesen wichtigen Themenkomplex aus der gemeinsamen Perspektive von Daten- und Verbraucherschützern unter die Lupe zu nehmen“, so Dr. Philipp Richter, Moderator und Verantwortlicher des „Datenfunk“ Podcasts beim LfDI. Neben Datenschutz- und Verbraucherschutzexpert:innen kommen in den einzelnen Folgen auch Gäste aus Wissenschaft und Politik zu Wort, die ihre Fachexpertise einbringen und für aufschlussreiche, spannende und gleichzeitig unterhaltsame Diskussionen sorgen.

Weitere Informationen zur Podcastwoche finden Interessierte unter https://www.wmk-rlp.de/aktionsubersicht/. Die Sonder-Reihe läuft im Rahmen des „Datenfunk“ Podcasts des LfDI und ist ebenfalls hierüber abrufbar:

Die jeweils circa einstündigen Podcast-Folgen behandeln ein breites Themenspektrum:

KI Folge 1: Was heißt hier intelligent? Künstliche Intelligenz und wo sie schon drin steckt (5. Juli 2021)

- Ulrike von der Lühe (Vorstand der Verbraucherzentrale)
- Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit

KI Folge 2: Er versteht mich nicht! - Künstliche Intelligenz bei Sprachassistenten (6. Juli 2021)

- Jan Wellmann, Fraunhofer-Institut für Digitale Medientechnologie IDMT
- Dr. Julia Gerhards, Verbraucherzentrale Rheinland-Pfalz

KI Folge 3: Wagen hol den Harry - Künstliche Intelligenz beim autonomen Fahren (7. Juli 2021)

- Dr. Manuela Wagner, Forschungszentrum Informatik (FZI)
- Oliver Müller, LfDI

KI Folge 4: Konsum voll automatisch – Künstliche Intelligenz beim Online-Handel (8. Juli 2021)

- Pia Schellhammer, Mitglied des Landtages Rheinland-Pfalz (Bündnis 90 die Grünen)
- Staatssekretär David Profit, Ministerium für Familie, Frauen, Kultur und Integration

KI Folge 5: Ein Blick zurück und ein Blick voraus – Künstliche Intelligenz im Alltag heute und morgen (9. Juli 2021)

- Dr. Julia Gerhards, Verbraucherzentrale Rheinland-Pfalz- Oliver Müller, LfDI

Informationsfreiheit

III. Bericht der Landesregierung zur Evaluierung des Landestransparenzgesetzes veröffentlicht - Kugelmann: „Bestehende Defizite auf Ebene der Rechtsanwender müssen beseitigt werden.“

Die Evaluierung des Landestransparenzgesetzes Rheinland-Pfalz ist nunmehr abgeschlossen. Nach dem § 23 des am 1. Januar 2016 in Kraft getretenen Landestransparenzgesetzes überprüft die Landesregierung die Auswirkungen dieses Gesetzes mit wissenschaftlicher Unterstützung und berichtet vier Jahre nach seinem Inkrafttreten dem Landtag. Dieser Evaluierungsbericht wurde dem Präsidenten des Landtags mit Schreiben des Chefs der Staatskanzlei vom 19. Juli 2021 übersandt.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat, wie in § 23 S. 2 LTranspG vorgesehen, mit Schreiben vom 7. Mai 2021 eine Stellungnahme zu dem Evaluationsbericht abgegeben. Er hält unter Zugrundelegung der Ergebnisse der Evaluierung sowie seiner bisherigen Vermittlungs- und Beratungstätigkeit zu dem Landestransparenzgesetz die getroffenen Regelungen für weitestgehend ausreichend und eine Gesetzesänderung daher gegenwärtig für nicht erforderlich. Stattdessen kommt er zu dem Ergebnis, dass die Mehrheit der bestehenden Defizite im Bereich der Transparenz und Offenheit nicht auf gesetzlicher Ebene, sondern im Rahmen der Anwendung der gesetzlichen Vorgaben bestehen. Der Landesbeauftragte, Prof. Kugelmann, stellt klar: „Es bleibt viel zu tun, um die Informationsfreiheit und die Transparenz der Verwaltung in Rheinland-Pfalz weiter zu steigern. Das Gesetz selbst bietet dafür eine gute Grundlage. Auf der Ebene der Rechtsanwender muss aber beständig darauf hingewirkt werden, dass Transparenz und Offenheit sich als Leitlinie der Verwaltung etablieren. Ich werde dazu in freundlicher Beharrlichkeit meinen Beitrag leisten.“

Mit der Evaluierung wurde das Deutsche Forschungsinstitut für öffentliche Verwaltung im Dezember 2019 beauftragt. Die Untersuchungsgegenstände lassen sich in 3 Schwerpunkte unterteilen: Erstens die Überprüfung des Gesetzesvollzugs und der Implementierung der Transparenz-Plattform, zweitens die Auswirkungen auf die Verwaltung in organisatorischer, personeller und finanzieller Hinsicht und drittens die Erreichung der Ziele des Gesetzes. Der Landesbeauftragte wurde durch zwei Interviewtermine an der Evaluierung beteiligt. 

Auf Basis der durchgeführten Evaluierung hat das Forschungsinstitut Optimierungspotential identifiziert, das in 9 Handlungsempfehlungen resultierte. Den vollständigen Evaluierungsbericht sowie die Stellungnahme finden Sie unter https://dokumente.landtag.rlp.de/landtag/drucksachen/678-18.pdf

Weitergehende Informationen zum Landestransparenzgesetz Rheinland-Pfalz finden Sie unter https://s.rlp.de/ltranspg

Länderübergreifende Prüfung

IV. Einwilligungen auf Webseiten von Medienunternehmen sind meist unwirksam. Kugelmann: Nachbesserungen sind erforderlich

Die Datenschutzaufsichtsbehörden mehrerer deutscher Länder haben die Webseiten von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von Drittdiensten untersucht. Insgesamt wurden auf Basis eines gemeinsamen Prüfkatalogs 49 Webangebote in 11 Ländern geprüft. Schwerpunkt dabei war das Nutzertracking zu Werbezwecken. Die meisten der geprüften Webseiten entsprechen nicht den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Trackingtechniken. Die Medienunternehmen verstoßen damit gegen das Recht ihrer Nutzer:innen auf Schutz ihrer personenbezogenen Daten. Auch erste Anpassungen bei einigen Verantwortlichen konnten die rechtlichen Defizite bisher nicht vollständig beseitigen.

Für die koordinierte Untersuchung verschickten die Behörden aus Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland, Sachsen und Schleswig-Holstein ab Mitte August 2020 einen gemeinsam erarbeiteten Fragebogen an Medienunternehmen in ihrer jeweiligen Zuständigkeit. Geprüft wurden nicht sämtliche Webseiten der Unternehmen, sondern deren reichweitenstärksten Angebote. Bereits vor Versendung der Fragebögen waren die ausgewählten Webseiten technisch gesichert und analysiert worden. So war ein Abgleich zwischen den Antworten der Medienunternehmen und der tatsächlichen technischen Ausgestaltung der Seiten möglich. Neben den bereits genannten Stellen beteiligte sich auch die Aufsichtsbehörde in Bayern an der inhaltlichen Auswertung der Untersuchungsergebnisse.

Auf den geprüften Medienwebseiten wird eine sehr hohe Anzahl von Cookies und Drittdiensten verwendet, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen.

Die Webseiten fragen zwar in der Regel differenzierte Einwilligungen der Nutzerinnen und Nutzer für die Verwendung von Cookies und Drittdiensten ab. In der Mehrheit der Fälle sind diese Einwilligungen allerdings nicht wirksam. Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

- Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt  – also noch vor der Einwilligungsabfrage.

- Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.

- Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer die Möglichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.

- Keine einfache Ablehnung: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das  einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.

- Manipulation der Nutzerinnen und Nutzer: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, Nutzerinnen und Nutzer werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger  gestaltet ist als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.

„Die Ergebnisse der koordinierten Prüfung zeigen, dass auf breiter Front häufig Defizite bei der Umsetzung datenschutzrechtlicher Vorgaben bestehen“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dieter Kugelmann. „Gerade dort, wo die Einwilligung der Nutzerinnen und Nutzer Grundlage der Verarbeitung ist, ist dies nicht hinnehmbar. Diese müssen darauf vertrauen können, dass ihnen alle erforderlichen Informationen zur Verfügung stehen und eine Verarbeitung nur in dem von ihnen zugestandenen Umfang erfolgt. Es darf keine Datenverarbeitung hinter dem Rücken der Nutzerinnen und Nutzer erfolgen.“

Pressemitteilung vom 30.06.2021

Sicherheit / Rechtsdurchsetzung

V. Unberechtigte Datenbankabfragen von Polizeibeamt:innen

Der Landesbeauftragte ist im Anwendungsbereich des Landesdatenschutzgesetzes befugt, Geldbußen im Rahmen von § 24 Landesdatenschutzgesetz (LDSG) zu verhängen. Adressat der Vorschrift ist neben der Behörde selbst auch jede Mitarbeiter:in als natürliche Person. Dies gilt über die Verweisung von § 72 LDSG auch und gerade für Tätigkeiten der Polizeibeamt:innen. Diese haben ein breites Spektrum an Abfragemöglichkeiten, welche jedoch nur zur Aufgabenerfüllung nach dem Polizei- und Ordnungsbehördengesetzt genutzt werden dürfen.

Da Gelegenheit bekanntlich Diebe macht, kommt es immer wieder einmal vor, dass Polizisten aus persönlichen Gründen ihre Abfragebefugnisse überschreiten. Die Abfragen werden jedoch ausnahmslos protokolliert, sodass wohl die meisten dieser Fälle aufgedeckt werden.

Seit Inkrafttreten des neuen Landesdatenschutzgesetzes wurden dem LfDI von Seiten der Polizeipräsidien 20 Fälle als Datenpannen gemeldet, bei denen der Verdacht einer unberechtigten Datenbankabfrage im Raum stand. Auch durch die jeweiligen Disziplinarstellen erfolgten entsprechende Meldungen.
Hieraus resultierten in den letzten drei Jahren 13 Bußgeldverfahren, welche mit Geldbußen zwischen 200 € und 2000 € abgeschlossen wurden.

Bisher wurde ein Bußgeldbescheid im Wege des Einspruchs vor dem Amtsgericht Mainz angefochten. Das Gericht hat in der mündlichen Verhandlung im Juli 2021 ganz klar dargelegt, dass die Abfragen von Datenbanken und Informationssystemen durch einen Polizeibeamten zu privaten Zwecken einen Datenschutzverstoß darstellt. Dem kann weder entgegen gehalten werden, dass der Arbeitgeber die Möglichkeit des Datenzugriffs uneingeschränkt zur Verfügung stellt, noch, dass eine Abfrage vielleicht für dienstliche Zwecke relevant werden könnte.

Vereine

VI. Verarbeitung des Immunisierungsstatus im Rahmen der Planung von Vereinstätigkeiten

Aufgrund vermehrter Anfragen von Vereinen im Zusammenhang mit den neuen Regelungen der 26. CoBeLVO hat der LfDI eine FAQ zur Verarbeitung des Immunisierungsstatus auf Basis der Einwilligung erarbeitet. Der Hintergrund ist dabei, dass aufgrund der zahlenmäßigen Beschränkung von nicht-immunisierten Personen z.B. bei Vereinsveranstaltungen die Vereine in der Regel schon vorab Kenntnis über den Immunisierungsstatus der Gäste haben müssen und eine Sichtkontrolle hier nicht ausreichend praktikabel ist

Sollen im Rahmen der Planung einer Veranstaltung, der Trainings- oder Wettkampforganisation oder beim Proben- und Auftrittsbetrieb der Breiten- und Laienkultur im Vorfeld von Teilnehmenden der Immunisierungsstatus abgefragt werden, ist dies mittels ausdrücklicher, freiwilliger und ausreichend informierter Einwilligung durch die Teilnehmenden grundsätzlich möglich.

Weitere Informationen zu diesem Punkt finden Sie in den FAQs in der Themenbox „Vereine“.