LfDI-Newsletter Nr. 5 - 2020

Liebe Leserinnen und Leser,

das Jahr 2020 hat uns allen viel abverlangt: Ohne Vorwarnung sind wir Anfang des Jahres in die Corona-Pandemie geraten, die seitdem unser aller Leben beherrscht. Sie hat weltweit für einen Digitalisierungsschub gesorgt und so auch Datenschutz-Fragen in den Vordergrund gespült. Es ging und geht um Gästelisten oder die Problematik, welche Gesundheitsdaten Behörden veröffentlichen müssen oder an die Polizei weitergeben dürfen. Aus dem Bereich der Informationsfreiheit ist unter anderem in den Fokus geraten, wer wissen darf, ob eine Person infiziert ist.

Auch das kommende Jahr wird für den Datenschutz große Herausforderungen bereithalten: Wir werden ein Augenmerk darauf richten müssen, ob technische Programme und Apps, die sich während der Pandemie etabliert haben, aus Datenschutz-Perspektive dauerhaft so genutzt werden können. Nach dem EuGH-Urteil zu „Schrems II“ werden wir 2021 überprüfen und entscheiden müssen, welche Anwendungen aus dem außereuropäischen Ausland dauerhaft datenschutzkonform angewendet werden können und welche nicht.

Bevor wir uns diesen kniffligen Fragen widmen, lege ich Ihnen ans Herz, jeden Tag in unserem Adventskalender ein Türchen zu öffnen: Meine Mitarbeiterinnen und Mitarbeiter und ich haben wie in früheren Jahren 24 Türchen zu Fragen des Datenschutzes und der Informationsfreiheit befüllt. Wir hoffen, Ihnen damit aktuelle Datenschutz-Fragen näher zu bringen und Sie ein bisschen zu unterhalten.

In Textbeiträgen, Videos und einer Podcast-Folge geht es etwa um "smartes" Spielzeug, Cookie-Banner und die Kontakterfassung in Pandemie-Zeiten. Auch Themen wie "Datenschutz und Homeoffice", die elektronische Patientenakte und ein Schüler-Workshop zur Informationsfreiheit werden aufgegriffen.

Zudem wünsche ich Ihnen eine besinnliche Adventszeit. Bleiben Sie gesund!

Ihr Professor Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. Datenschutzkonferenz (DSK) tagt zum 100. Mal

II. Handlungssicherheit für Schulen bei Attesten für Maskenpflichtbefreiung

III. DSK gibt Hinweise zur Nutzung von Videokonferenzsystemen

IV. LfDI startet Schülerwettbewerb zur Informationsfreiheit

V. Workshop des LfDI zur Transparenzplattform

VI. 39. Konferenz der Informationsfreiheitsbeauftragten

VII. Oberverwaltungsgericht (OVG) urteilt zu Prüfumfang des LfDI

VIII. OVG stärkt Auskunftsanspruch von Presseunternehmen nach Infektionszahlen

IX. LfDI startet Informationsoffensive zu „Schrems II“

X. Eine der ersten beiden Apps im DiGA-Verzeichnis weist Sicherheitslücken auf

XI. Neue Podcast-Folge zu Datenschutzaufsicht bei der Polizei

XII. Trauer um Walter Rudolf

DSK / Jubiläum

I. Datenschutzkonferenz tagt zum 100. Mal

Die Datenschützer des Bundes und der Länder (DSK) haben sich am 25. und 26. November 2020 in einer Videokonferenz zur 100. Sitzung seit ihrem Bestehen getroffen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dieter Kugelmann, sagt anlässlich des Jubiläums: "In den 42 Jahren des DSK-Bestehens hat der Datenschutz schrittweise und teils auch sprunghaft an Bedeutung gewonnen: Ebenso wie die Datenberge gewachsen sind, ist die Notwendigkeit gewachsen, die Informationen der Bürgerinnen und Bürger zu schützen. In diesen 42 Jahren war die DSK ein Motor des Datenschutzes in Deutschland und Europa. Mit Inkrafttreten der Datenschutz-Grundverordnung nehmen die Datenschützer in Deutschland und der Europäische Datenschutz-Ausschuss eine weltweite Vorreiter-Rolle ein: Im europäischen Verbund verteidigen sie das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung. Nicht nur das europäische Recht ist ein Modell für die Welt, sondern auch seine Gestaltung durch die Datenschutzaufsichtsbehörden kann Signalcharakter haben."

Bei der 100. Sitzung wurden die Beschlüsse durchweg einstimmig gefasst. Die DSK spricht sich unter anderem klar gegen aktuelle EU-Pläne aus, wonach die Ende-zu-Ende-Verschlüsselungen bei Messenger-Diensten wie WhatsApp, Threema oder Signal aufgeweicht werden sollen. Kugelmann sagt: „Würden die Vorschläge des Rates der Europäischen Union umgesetzt, würde eine sichere Ende-zu-Ende-Verschlüsselung untergraben und notwendiges Vertrauen zerstört.“ Die DSK weist in ihrer aktuellen Entschließung entsprechend darauf hin, dass die Aushöhlung von Verschlüsselungslösungen kontraproduktiv wäre und durch Kriminelle und Terroristen leicht umgangen werden könnte.

Die Konferenz befasste sich zudem sowohl mit den Telemetriefunktionen von Microsoft Windows 10, Version „Enterprise“, sowie mit den durch Microsoft zu MS Office 365 angekündigten Verbesserungen des Datenschutzes. Zu den Telemetriefunktionen hatte eine DSK-Arbeitsgruppe in drei Testszenarien zuvor festgestellt, dass Verantwortliche beim Einsatz der Enterprise-Version die Telemetriestufe „Security“ nutzen und vertraglich, technisch oder organisatorisch sicherstellen müssen, dass keine Übermittlung personenbezogener Telemetrie-Daten an Microsoft stattfindet – dies hebt entsprechend der neue DSK-Beschluss hervor. Im Hinblick auf MS Office 365 wird die DSK weiter im Gespräch mit Microsoft bleiben.

Im Interesse der Rechtssicherheit appelliert die DSK mit einer weiteren Entschließung an den Bundesgesetzgeber, endlich die Vorgaben des Bundesverfassungsgerichts vom Mai 2020 zur Ausgestaltung des manuellen Bestandsdatenauskunftsverfahrens umzusetzen. Das Gericht hatte erkannt, dass sowohl die Übermittlung von Daten durch Telekommunikationsdiensteanbieter als auch der Abruf durch berechtigte Stellen (z. B. Staatsanwaltschaften) jeweils einer verhältnismäßigen und normenklaren Grundlage bedürfen („Doppeltürenmodell“). Die derzeitige Fassung des § 113 Telekommunikationsgesetz und die Abrufnormen auf Seiten der Empfängerkreise genügen diesen Anforderungen nicht. Die Konferenz fordert die Gesetzgeber in Bund und Ländern in einer Entschließung auf, das manuelle Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste möglichst rasch verfassungskonform auszugestalten.

Die Konferenz fordert den Gesetzgeber in einer weiteren Entschließung auf, endlich die ePrivacy-Richtlinie der Europäischen Gemeinschaften aus dem Jahr 2002 (RL 2002/58/EG) vollständig und im Einklang mit der Datenschutz-Grundverordnung von 2018 in deutsches Recht umzusetzen. Nach Art. 5 Abs. 3 ePrivacy-Richtlinie bedarf es einer aktiven informierten Einwilligung des Nutzers insbesondere dann, wenn der Verantwortliche „Cookies“ setzt. Webseitenbetreiber und andere Akteure, die ihre Dienste unter anderem in Bezug auf „Cookies“ rechtmäßig gestalten müssen, brauchen Rechtsklarheit und -sicherheit.

Corona / Schulen

II. Handlungssicherheit für Schulen bei Attesten für Maskenpflichtbefreiung

Neue Regelungen in der Corona-Bekämpfungsverordnung (13. CoBeLVO) und eine neue Rechtsprechung schaffen für die Schulen hinsichtlich der Befreiung von der Maskenpflicht neue Rahmenbedingungen. Im Zusammenhang mit der Befreiung von der Maskenpflicht oder vom Präsenzunterricht können grundsätzlich aussagekräftige ärztliche Atteste von Schülerinnen und Schülern angefordert werden, die datenschutzkonform zu behandeln sind. Die rheinland-pfälzische Landesregierung ist insoweit den Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz gefolgt und hat in § 12 Abs. 2 CoBeLVO eine Klarstellung zu entsprechenden Attesten für den Schulbereich vorgenommen.

Der Landesdatenschutzbeauftragte Professor Dieter Kugelmann stellt hierzu fest: „Das Recht auf informationelle Selbstbestimmungsrecht ist mit anderen Grundrechten wie dem Recht auf körperliche Unversehrtheit einschließlich der Gesundheit in Ausgleich zu bringen. In den Zeiten der Pandemie unterliegt auch der Datenschutz vielfältigen Einschränkungen. Ich halte es angesichts der besonderen Sensibilität von Gesundheitsdaten aber für wichtig, dass der Gesetz- oder Verordnungsgeber diese Abwägungsentscheidung in normenklaren Regelungen vornimmt, die gerade auch die spezifische Situation in Schulen in den Blick nimmt. Daher begrüße ich, dass in der ab dem 1. Dezember 2020 geltenden Corona-Bekämpfungsverordnung nunmehr für den Schulbereich der Umfang der Datenanforderung bei ärztlichen Attesten und das Verbot der Anfertigung von Kopien ausdrücklich geregelt worden sind.“

Kugelmann sagt weiter: „Die Gerichte hatten unlängst bereits allgemeine Regelungen für grundsätzlich tragfähig gehalten, um im schulischen Kontext umfangreiche medizinische Daten anzufordern. Die neuen Regelungen greifen die von der Rechtsprechung formulierten Anforderungen auf, ohne dabei Datenschutzaspekte aus dem Blick zu verlieren. Damit werden auch die von mir in der Vergangenheit geäußerten Bedenken ausgeräumt. Dies führt bei allen Beteiligten und insbesondere bei den Schulen zu mehr Handlungssicherheit.“

Der aktuelle Verordnungstext ist hier abrufbar.

Videokonferenzsysteme / DSK

III. Datenschutzkonferenz hilft bei der Auswahl von Videokonferenzsystemen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine „Orientierungshilfe Videokonferenzsysteme“ und eine Checkliste veröffentlicht. Die neue, umfangreiche Orientierungshilfe der DSK und die Checkliste richten sich an Verantwortliche, die einen Videokonferenzdienst selbst betreiben oder von Dienstleistern betreiben lassen, und an Nutzerinnen und Nutzer. Anlass für die Erstellung waren zunehmende Unsicherheiten bei den Anwendern und Verantwortlichen. Die Orientierungshilfe beschreibt, welche technischen und organisatorischen Maßnahmen umzusetzen sind. Bei der Nutzung von Videokonferenzsystemen werden personenbezogene Daten der teilnehmenden Personen sowie gegebenenfalls von Dritten verarbeitet, unter anderem deren Äußerungen in Ton und Bild. Für diese Datenverarbeitung benötigt der für die Durchführung der Videokonferenz Verantwortliche eine Rechtsgrundlage. Wird ein Videokonferenz-Anbieter genutzt, der personenbezogene Daten auch für eigene Zwecke oder Zwecke Dritter nutzen will, ist eine Rechtsgrundlage für die damit verbundene Offenlegung der Daten regelmäßig schwierig zu begründen. Gegenüber einem Auftragsverarbeiter ist daher im Auftragsverarbeitungsvertrag sicherzustellen, dass dieser die personenbezogenen Daten der teilnehmenden Personen nur auf Weisung des Verantwortlichen und nicht für eigene Zwecke verarbeitet. Ergänzend zur Orientierungshilfe veröffentlicht die DSK eine Checkliste, in der die rechtlichen und technischen Anforderungen an Videokonferenzsysteme in übersichtlicher Form zusammengefasst werden.

Weitere Informationen:

- Orientierungshilfe Videokonferenzsysteme der DSK

- Checkliste Videokonferenzsysteme der DSK

- Text zu „Einsatz von Videokonferenzsystemen“ auf der Internetseite des LfDI RLP

- Text zu „Videogestützter Kommunikationstechnik im Schulunterricht“ auf der Internetseite des LfDI RLP

Informationsfreiheit / Schulen

IV. Startschuss für Schülerwettbewerb zum Landestransparenzgesetz

Für Schülerinnen und Schüler findet in Rheinland-Pfalz erstmals ein Wettbewerb zum Landestransparenzgesetz statt. Der Titel lautet: "Schüler fördern Transparenz". Jungen und Mädchen der 7. bis 13. Klasse können bis zum 31. Mai 2021 interessante Anfragen an staatliche Stellen richten oder sich auf der Transparenz-Plattform des Landes informieren und anschließend die so gewonnenen Erkenntnisse beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz einreichen. Die spannendsten Anfragen und kreativsten Auswertungen der Informationen werden prämiert: Die Siegerin, der Sieger oder die Sieger-Klasse erhält 500 Euro. Der oder die Zweit-Platzierte(n) bekommen 300 Euro und der/die Dritt-Platzierte(n) 200 Euro. Beispiele für Fragen, die im Rahmen des Landestransparenzgesetzes gestellt werden können, sind: Wie viele öffentliche WLAN-Accesspoints sind mittlerweile in einer Stadt errichtet worden und welche jeweilige Bandbreite haben sie? Welchen Papierverbrauch pro Schüler haben die Schulen einer Stadt? Wie viele Bäume sind in den vergangenen Jahren gepflanzt worden?

Im Rahmen des Wettbewerbs ist es den Schülerinnen und Schülern freigestellt, aus welcher Quelle sie die Informationen beziehen. Dies kann etwa über die Internetseite einer Behörde, über die Transparenz-Plattform des Landes oder durch einen an eine öffentliche Stelle gerichteten Antrag auf Informationszugang nach Maßgabe des Landestransparenzgesetzes Rheinland-Pfalz geschehen. Sofern der Antrag keinen oder nur teilweisen Erfolg hat, kann der Landesbeauftragte zwischen den anfragenden Schülerinnen und Schülern sowie der angefragten Stelle vermitteln.

Weitere Informationen:

- Anschreiben an die Schülerinnen und Schüler zum Wettbewerb sowie FAQs

- Nützliche Informationen zum Antrag auf Informationszugang sowie zur Transparenz-Plattform des Landes

- Transparenz-Plattform des Landes Rheinland-Pfalz

Informationsfreiheit / Workshop

V. Workshop des LfDI zur Transparenzplattform

Rund 150 Personen, darunter zahlreiche Mitarbeiterinnen und Mitarbeiter aus Landkreisen, Städten und Gemeinden, haben am Mittwoch, 25. November, an einem Online-Workshop des LfDI teilgenommen. Bei der Veranstaltung ging es um die proaktive Veröffentlichung von Informationen auf der Transparenz-Plattform des Landes. Am 1. Januar 2021 tritt die letzte Stufe des Landestransparenzgesetzes in Kraft. Ab diesem Zeitpunkt sind alle transparenzpflichtigen Stellen verpflichtet, bei ihnen vorhandene Informationen proaktiv zu veröffentlichen, also ohne dass eine Bürgerin oder ein Bürger einen Antrag auf Informationszugang stellt.

Im Rahmen des Workshops wurde unter anderem erläutert, welche Informationen in welcher Art und Weise proaktiv veröffentlicht werden müssen und aus welchen Gründen von einer Veröffentlichung abgesehen werden darf oder sogar muss. Zwei Mitarbeiter des LfDI, ein Mitarbeiter des rheinland-pfälzischen Ministeriums des Innern und für Sport sowie eine Mitarbeiterin des Landesbetriebs Daten und Information (LDI) zeigten, wie konkret auf der Transparenzplattform veröffentlich werden kann. Zudem veranschaulichte ein Mitarbeiter der „Chamaeleon AG“ den Einstellungsprozess.

Weitere Informationen:

- Die Powerpoint-Präsentationen zum Workshop des LfDI und des LDI auf der Internetseite des LfDI

- Informationsbogen zu den Veröffentlichungspflichten von Umweltinformationen

-  FAQs für transparenzpflichtige Stellen auf der Internetseite des LfDI

Informationsfreiheit / Konferenz

VI. 39. Konferenz der Informationsfreiheitsbeauftragten von Bund und Ländern

Am 1. Dezember 2020 hat die Konferenz der Informationsfreiheitsbeauftragten von Bund und Ländern (IFK) zum 39. Mal getagt. Aufgrund der aktuellen Situation fand die IFK in Form einer Videokonferenz statt. Unter dem Vorsitz von Hessen tauschten sich die Informationsfreiheitsbeauftragten zu aktuellen Themen im Informationsfreiheitsrecht aus, so unter anderem zur Tromsö-Konvention sowie zu der Verwaltungspraxis im Verbraucherinformationsrecht. Die Tromsö-Konvention des Europarates ist ein am 1. Dezember 2020 in Kraft getretener völkerrechtlicher Vertrag, der ein allgemeines Recht über den Zugang zu amtlichen Dokumenten regelt. Der LfDI wies außerdem auf die aktuellen Entwicklungen in Rheinland-Pfalz hin. So tritt am 1. Januar 2021 die letzte Stufe des Landestransparenzgesetzes in Kraft.

Weitere Informationen zur Informationsfreiheit finden Sie auf der Internetseite des LfDI hier.

OVG / Urteil / Prüfumfang

VII. Oberverwaltungsgericht urteilt zu Prüfumfang des LfDI

Das Oberverwaltungsgericht (OVG) Koblenz hat in einem Urteil die Rechtsauffassung des LfDI bestätigt. Danach habe ein Beschwerdeführer weder einen Anspruch auf einzelne Ermittlungsmaßnahmen der Aufsichtsbehörde noch auf ein bestimmtes Ergebnis, urteilten die Koblenzer Richter. Ein Bürger hatte vor dem Verwaltungsgericht Koblenz erstinstanzlich gegen den LfDI geklagt und verloren. Er legte anschließend Berufung beim OVG Koblenz ein, das nun ein Urteil zum Prüfungsumfang bei Beschwerden (Art. 57 Abs. 1 lit. f, Art. 77 Datenschutz-Grundverordnung) gefällt hat.

Das OVG Koblenz betonte in seinem Urteil, dass der LfDI zur "Befassung mit der Beschwerde" verpflichtet sei sowie zur "Untersuchung des Beschwerdegegenstands" und zur "Unterrichtung des Beschwerdeführers über das Ergebnis". "Ein Recht auf einen Bescheid bestimmten Inhalts beziehungsweise auf eine bestimmte Entscheidung in seiner Sache steht dem Petenten danach nicht zu", heißt es in dem Urteil wörtlich. Wenn der Beschwerdeführer mit der Entscheidung nicht einverstanden sei, stehe ihm zweierlei zu: Er könne eine gerichtliche Überprüfung des LfDI-Bescheids anstreben. Da es sich beim Beschwerderecht aber um ein petitionsähnliches Recht handele, könne dieses vom Gericht nur eingeschränkt überprüft werden. Das Gericht bewerte dabei nicht, ob die Aufsichtsbehörde eine materiell richtige Entscheidung getroffen habe - auch weil dem LfDI ein Ermessensspielraum zustehe. Zum zweiten habe der Beschwerdeführer unter strengeren Voraussetzungen die Möglichkeit, gemäß Art. 79 DS-GVO im kontradiktorischen Verfahren direkt gegen den Verantwortlichen vorzugehen, der nach seiner Auffassung einen Datenschutzverstoß begangen haben soll. (Az.: 10 A 10613/20.OVG)

Weitere Informationen:

- PM des LfDI RLP

Beschluss / Corona / Presserecht

VIII. OVG stärkt Auskunftsanspruch von Presseunternehmen nach Infektionszahlen

In den vergangenen Monaten stand immer wieder die Frage im Raum, ob Kommunen öffentlich bekanntmachen und herausgeben sollen und dürfen, wie viele Personen mit dem Corona-Virus infiziert sind. Aus Sicht des LfDI ist für eine Veröffentlichung solcher Daten zu Infektionsfällen zunächst zu berücksichtigen, dass anonyme Daten grundsätzlich nicht dem Datenschutzrecht unterliegen. Eine Verarbeitungserlaubnis gemäß Art. 6 Abs. 1 Datenschutz-Grundverordnung wird daher nicht benötigt. Zu beachten ist allerdings, dass Individuen nicht nur direkt identifiziert werden können (etwa über Name, Adresse oder Sozialversicherungsnummer), sondern auch indirekt mit personenbezogenen Daten sowie erworbenem Zusatzwissen.

Bei einer indirekten Identifizierung wird auf Basis mehrerer Merkmale, die für sich genommen keine eindeutige Zuordnung zulassen, auf das Individuum geschlossen. Zum Beispiel kann eine genaue Berufsbezeichnung in Zusammenhang mit einer genauen Ortsangabe zu einer Identifikation einer spezifischen Person führen. Ähnlich kann sich aus einer konkreten Angabe wie „Alter 95 Jahre“ bei kleinräumigen Zuordnungen wie Ortsgemeinden oder Ortsteilen mit geringer Einwohnerzahl eine Personenbeziehbarkeit ergeben. Das Risiko für die Identifizierung einer bestimmten Person kann bei diesem Datum herabgesetzt werden, indem für eine Veröffentlichung von Infektionszahlen (auf kommunaler Ebene) nur  Altersklassen anstelle konkreter Angaben zum Lebensalter („70 – 80 Jahre“ statt „76 Jahre“)  angegeben werden.

Von Relevanz ist aus Sicht des LfDI überdies, dass die Veröffentlichung von Daten im Internet weltweit einen ungleich größeren Personenkreis als beispielsweise jede auflagenbegrenzte schriftliche Veröffentlichung erreicht. Darüber hinaus können im Internet veröffentlichte Daten grundsätzlich auf einfache Weise beliebig verknüpft werden. Gerade die Speicherung von Daten und deren Verknüpfung mit anderen Datenbeständen sind im privaten Bereich, also bei der Verarbeitung durch Private und gerade auch große Technologieunternehmen, nicht beherrschbar.

Bezogen auf die Herausgabe von Infektionszahlen an Medienunternehmen hat das Oberverwaltungsgericht (OVG) Rheinland-Pfalz mit Sitz in Koblenz in einem Eilrechtsschutzverfahren einen Beschluss gefasst. Die Richter entschieden, dass Corona-Infektionszahlen zu Ortsgemeinden an die Presse herausgegeben werden müssen. Die Antragstellerin, die Pirmasenser Zeitung, hatte mit einem Eilantrag begehrt, die seit Beginn der Pandemie insgesamt verzeichneten Infektionszahlen im Landkreis Südwestpfalz sowie die Anzahl der aktiven SARS-CoV2-Fälle, jeweils aufgeschlüsselt nach den einzelnen Ortsgemeinden, zu erhalten.

Nachdem das Verwaltungsgericht Neustadt an der Weinstraße noch der Rechtsauffassung des Landkreises Südwestpfalz gefolgt war, wonach kein Anspruch auf eine Veröffentlichung der Infektionszahlen auf Ortsgemeinde-Ebene bestehe, hob nun das OVG diese Entscheidung auf. Die Antragstellerin könne sich für ihr Begehren auf den einfachrechtlich in § 12a Abs. 1 des Landesmediengesetzes normierten Auskunftsanspruch stützen, strichen die Richter heraus. Entgegen der Auffassung des Verwaltungsgerichts würden durch die Übermittlung der angefragten Zahlen keine schutzwürdigen privaten Interessen verletzt, insbesondere liege hierin kein Eingriff in das Recht auf informationelle Selbstbestimmung infizierter Personen. Auch bei sehr kleinen Ortsgemeinden begründeten die abgefragten Informationen für sich genommen keine hinreichende Wahrscheinlichkeit für eine Personenidentifizierbarkeit, so die Koblenzer Richter. (AZ: 2 B 11397/20.OVG)

EuGH-Urteil / Internationaler Datentransfer

IX. LfDI startet Informationsoffensive zu „Schrems II“

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in Staaten außerhalb der EU vom 16. Juli 2020 herrscht bei vielen Unternehmen und staatlichen Stellen weiterhin Unsicherheit. Verantwortliche fragen sich, welche personenbezogenen Daten sie noch auf welcher Rechtsgrundlage in Drittstaaten wie die USA versenden dürfen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz hat aus diesem Grund eine Informationsoffensive gestartet – mit Veranstaltungen, einer Podcast-Folge und einem Prüfschema.

Die Informationsoffensive ist am 10. November 2020 mit einer virtuellen Online-Konferenz unter dem Titel „Internationale Datentransfers nach der EUGH-Entscheidung Schrems II: Wo stehen wir?“ gestartet. Die Kooperationsveranstaltung haben der LfDI sowie die Datenschutzbeauftragten von Boehringer Ingelheim, BASF SE, SCHOTT AG und Birkenstock Group organisiert. Rund 200 Teilnehmerinnen und Teilnehmer nahmen teil. Professor Dieter Kugelmann führte bei der Veranstaltung mit einem Kurz-Vortrag in das Thema ein.

Podcast-Folge: Die „Datenfunk“-Folge  mit dem Titel „Vom Privacy Shield  zu Standardvertragsklauseln? Das Schrems II-Urteil des EuGH und seine Folgen“ dreht sich um die Herausforderungen nach dem EuGH-Urteil. Viele Verantwortliche, die sich bisher auf den „Privacy Shield“ gestützt haben, stehen vor der Frage, ob und wie sie weiterhin personenbezogene Daten in die USA übermitteln können: Einfach auf Standardvertragsklauseln wechseln? Zusätzliche Garantien implementieren? Verschlüsseln? Oder doch nach einem europäischen Produkt umsehen? Unter anderem über diese Fragen sprechen Philipp Richter und Sylvia Beck, beide Juristen beim LfDI.

Prüfschema: Um Verantwortliche und Auftragsverarbeiter in Rheinland-Pfalz bei der Umsetzung des Schrems II-Urteils konkret zu unterstützen, hat der LfDI eine Übersicht mit einzelnen Prüfschritten erstellt. Anhand des Leitfadens können sich die Verantwortlichen individuellen Lösungen für die datenschutzkonforme Übermittlung personenbezogener Daten in Drittländer annähern. Das Prüfschema verweist zudem auf weiterführende Informationen zu einzelnen Fragestellungen.

Der LfDI hat überdies weitreichende Informationen auf seiner Homepage zu Schrems II und zur Datenübermittlung in Drittländer veröffentlicht.

Gesundheit / Apps

X. Eine der ersten beiden Apps im DiGA-Verzeichnis weist Sicherheitslücken auf

Anfang Oktober 2020 hat das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen. Damit können die Kosten für diese Gesundheits-Apps, sofern sie ärztlich verschrieben wurden, von den gesetzlichen Krankenversicherungen übernommen werden. Voraussetzung für die Aufnahme in das DiGA-Verzeichnis ist unter anderem, dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist (§ 139 e Abs. 2 Satz 2 Nr. 2 SGB V). Inzwischen ist bekannt geworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt wird, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt haben. So hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche "enttarnen" und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.

Der LfDI Rheinland-Pfalz hatte in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei kritisierte er insbesondere, dass lediglich aufgrund von Herstellerangaben Apps in das Verzeichnis aufgenommen werden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde. Der stellvertretende Landesdatenschutzbeauftragte Helmut Eiermann sagt: „Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten.“

Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden: die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten), die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen, die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse). Hierbei reicht es nicht aus, sich allein auf Herstellerangaben zu verlassen.

Podcast / Polizei

XI. Neue Podcast-Folge beschäftigt sich mit Datenschutzaufsicht bei den Polizeibehörden

Die Verarbeitung personenbezogener Daten gehört zum Kerngeschäft der Polizeibehörden. Umso wichtiger ist in diesem Bereich ein guter Datenschutz. Philipp Richter spricht in der neuen Folge von „Datenfunk“ mit Antonia Buchmann und Oliver Peters darüber, wie der LfDI seine Aufsichtstätigkeit gegenüber den Polizeibehörden in Rheinland-Pfalz ausübt, wie die Behörden konstruktiv begleitet werden können und wie der LfDI Bürgerinnen und Bürger in diesem Bereich bei der Wahrnehmung Ihrer Rechte unterstützen kann. Als konkrete Beispiele aus der Aufsichtstätigkeit sprechen wir außerdem über unzulässige Abfragen aus polizeilichen Datenbanken und über den Einsatz sogenannter „Body Cams“ (am Körper getragene Videokameras) durch Polizeibeamte in Rheinland-Pfalz. Die Podcast-Folge finden Sie hier.

Kondolenz

XII. Trauer um Walter Rudolf

Mit tiefer Anteilnahme haben der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dieter Kugelmann, und die Mitarbeiterinnen und Mitarbeiter der Behörde auf den Tod des früheren Landesdatenschutzbeauftragten Professor Dr. Walter Rudolf reagiert.

Professor Dieter Kugelmann sagt: "Mit Walter Rudolf ist ein außergewöhnlicher Mensch, eine große Persönlichkeit und ein Pionier des Datenschutzes von uns gegangen. Mit Überzeugungskraft, Sachlichkeit und Augenmaß setzte er sich dafür ein, dass die Persönlichkeitsrechte der Bürgerinnen und Bürger gewahrt werden. Zwei Jahrzehnte wirkte er ganz im Sinne eines Datenschutzes mit Augenmaß: Gradlinig orientierte er sich immer wieder am Grundrecht auf Datenschutz als Individualgrundrecht, das er schon früh als eine Ausprägung des Menschenrechts auf Selbstbestimmung ansah. Er hat den Datenschutz in Rheinland-Pfalz und Deutschland mit geprägt und für ihn stand die Wahrung der Freiheit der Einzelnen im Mittelpunkt."

Walter Rudolf ist am 1. Oktober, im Alter von 89 Jahren verstorben. Er war 1931 in der Nähe von Posen in Westpreußen geboren worden und kam 1946 infolge des Zweiten Weltkriegs nach Verden an der Aller. Nach seinem Abitur studierte er in Kiel und Göttingen Rechtswissenschaften. Er habilitierte sich in Tübingen, startete an der Ruhr-Universität in Bochum als Rechtsprofessor und wechselte schließlich 1971 an die Johannes Gutenberg-Universität Mainz, wo er öffentliches Recht, Europa- und Völkerrecht lehrte. Im Jahr 1999 wurde er emeritiert. Von 1980 bis 1987 wirkte er als Staatssekretär im rheinland-pfälzischen Ministerium der Justiz. Ab 1988 war er Vertreter der Landesregierung in der Datenschutzkommission des Landes. Nach der Änderung des rheinland-pfälzischen Landesdatenschutzgesetzes wurde er 1991 vom Landtag zum Landesbeauftragten für den Datenschutz gewählt. Das Nebenamt füllte er zwei Legislaturperioden, bis 2007, aus.