LfDI-Newsletter Nr. 5 - 2021

Liebe Leser:innen, liebe Nutzer:innen,

das Jahr neigt sich dem Ende zu und während man vergangenes Jahr noch die Hoffnung hatte, dass ein Leben „on remote“ bald der Vergangenheit angehört, wagt dieses Jahr niemand eine solche Prognose. Mein Eindruck ist aber, dass die Selbstbestimmung und Normalität doch wieder mehr unser Verhalten leitet und wir uns schneller, zielgerichteter und resilienter neuen Begebenheiten anpassen können und dies auch wollen. Neben der unbestreitbaren Wichtigkeit des Rechts auf Leben und Gesundheit ist die ebenso unbestreitbare Bedeutung der Freiheitsrechte entgegen anderen Tendenzen in der Vergangenheit insgesamt und damit auch des Datenschutzes in Politik und Gesellschaft durchweg anerkannt.

In diesem Zeichen steht auch dieser Newsletter, der zeigt, dass dank datenschutzkonformer Videokonferenzsysteme der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) wieder verstärkt mit den Verantwortlichen und Büger:innen zu Fragen des Datenschutzes und der Informationsfreiheit in den Austausch getreten ist, wie etwa beim Forum „Freiheitsrechte und Transparenz in Zeiten von Corona“, der Fachtagung zum Datenschutz in der Justiz oder im Rahmen des Online-Seminars „Datenschutz im Verein“.

Zudem möchte ich Sie auf die neueste Podcast-Folge zum „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) aufmerksam machen.

Auch das Thema Corona kommt nicht zu kurz und ich möchte auf die neuesten Entwicklungen mit einem Beitrag zu 2G- und 3G-Nachweisen und zur Videoüberwachung von Impfzentren hinweisen.

Ich wünsche Ihnen ein beschauliches Weihnachtsfest und schöne Feiertage. Bleiben Sie weiterhin gesund und uns auch im neuen Jahr als interessierte Leserschaft erhalten.

Ihr Prof. Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. Datenschutz in der Justiz - Schulung der Datenschutzbeauftragten der Gerichte und Staatsanwaltschaften im OLG Bezirk Zweibrücken

II. Fallweiser Verzicht auf technisch-organisatorische Maßnahmen nach Art. 32 Datenschutz-Grundverordnung (DS-GVO)

III. Zuständigkeitswechsel für E-Mail-Anbieter

IV. Videoüberwachung in Impfzentren - Zwischen Sicherheitsaspekten und Datenschutz

V. Forum „Freiheitsrechte und Transparenz in Zeiten von Corona“

VI. Wenn das Kleinkind Wahlwerbung erhält: Datenpannen bei Meldeabfragen

VII. Mainzer Vorträge zum Sicherheits- und Informationsrecht

VIII. 2G- und 3G-Nachweise

IX. Online-Seminar „Datenschutz im Verein“

X. Verwaltungsgericht Wiesbaden - Beschluss zu Datenübermittlungen in die USA

XI. Datenfunk: Neue Podcast-Folge zum TTDSG

Justiz / Sicherheit

I. Datenschutz in der Justiz - Schulung der Datenschutzbeauftragten der Gerichte und Staatsanwaltschaften im OLG Bezirk Zweibrücken

Datenschutz im Bereich der Justiz hat eine ganz besondere Ausprägung. Zum einen prallen verschiedene Datenschutzregime aufeinander: Während in der Zivil- und Verwaltungsgerichtsbarkeit die Datenschutz-Grundverordnung gilt, finden im Rahmen der Arbeit der Strafgerichte und Staatsanwaltschaften zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung die Gesetze zur Umsetzung der Richtlinie (EU) 2016/680 Anwendung. Zum anderen bestehen (Teil-) Bereichsausnahmen was die Datenschutzaufsicht betrifft: Von der Aufsicht der Datenschutzaufsichtsbehörden sind die justiziellen Tätigkeiten der Gerichte ausgeschlossen.

Am 10.12.2021 haben die zuständigen Referentinnen aus dem Bereich Justiz und Sicherheit im Rahmen einer Fachtagung für behördliche Datenschutzbeauftragte der Amts- und Landgerichte sowie Staatsanwaltschaften im Bezirk des Pfälzischen Oberlandesgerichts Zweibrücken diese Abgrenzungsfragen und weitere datenschutzrechtliche Themen, wie Betroffenenrechte, Aufgaben und Stellung der Datenschutzbeauftragten und Maßnahmen zum Datenschutzmanagement in der Justiz behandelt. „Der Austausch mit der Praxis bedeutet für uns immer einen immensen Erkenntnisgewinn für die aufsichtsbehördliche Arbeit. Es ist wichtig, dass der Datenschutz als Teil der Aufgabenerfüllung der Verantwortlichen aufgefasst wird. Deswegen war die Fachtagung mit den interessierten und sachkundigen Teilnehmer:innen für beide Seiten sehr ertragreich“, resümiert die zuständige Referentin und abgeordnete Richterin am Sozialgericht, Frau Dr. Sandra Heidenreich.

Datenschutzkonferenz / Technik

II. Fallweiser Verzicht auf technisch-organisatorische Maßnahmen nach Art. 32 Datenschutz-Grundverordnung (DS-GVO)

Die Datenschutzkonferenz hat auf ihrer Sitzung am 24.11.2021 über die Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO auf ausdrücklichen Wunsch betroffener Personen beraten.

Die vom Verantwortlichen nach Art. 32 DS-GVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen danach auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen. Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO ist nicht zulässig.

Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in Einzelfällen jedoch möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der betroffenen Person bestimmte technische und organisatorische Maßnahmen nicht anwendet.

Die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen bleibt hiervon unberührt.

Beschluss der DSK:

https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf

Medien

III. Zuständigkeitswechsel für E-Mail-Anbieter

Zum 1.12.2021 ist das Telekommunikationsgesetz aktualisiert worden. Ab diesem Zeitpunkt gelten Webmail-Dienste als Telekommunikationsdienste. Telekommunikationsdienste unterliegen der datenschutzrechtlichen Aufsicht durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die bisher beim LfDI Rheinland-Pfalz liegende Aufsicht über die E-Mail-Marken Web.de und GMX, die von der 1&1 Mail Media GmbH angeboten werden, liegt daher seit dem 1.12.2021 in der Zuständigkeit des BfDI. Bitte richten Sie diesbezügliche Beschwerden daher in Zukunft direkt an den BfDI. Sie erreichen diesen wie folgt:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Graurheindorfer Str. 153

53117 Bonn

Telefon: +49(0)228 997799-0

E-Mail: poststelle(at)bfdi.bund.de

De-Mail: poststelle(at)bfdi.de-mail.de

https://www.bfdi.bund.de/DE/Home/home_node.html

Videoüberwachung / Gesundheit

IV. Videoüberwachung in Impfzentren – Zwischen Sicherheitsaspekten und Datenschutz

Impfzentren sind im abgelaufenen Jahr ein viel diskutierter Bereich der öffentlichen Infrastruktur geworden. Sie waren fester Bestandteil der Corona-Strategie des Landes Rheinland-Pfalz und werden dies wohl zumindest teilweise auch im nächsten Jahr wieder sein.

Bereits bei Einrichtung der ersten Zentren im Dezember 2020 kam die Frage auf, ob und in welchem Umfang Impfzentren mit einer Videoüberwachungsanlage ausgestattet werden müssen/können. Die Sicherheitsberatung der Polizeipräsidien ergab, dass Videoüberwachung zur Sicherung der Impfzentren gegen Sabotage, Störung des Betriebsablaufes und Einbruch/Diebstahl erforderlich ist. Gleichzeitig war zu berücksichtigen, dass in den Impfzentren eine enorme Zahl von Personen potentiell von der Videoüberwachung betroffen sein würde und in diesem Zuge Gesundheitsdaten nach Art. 9 DS-GVO verarbeitet werden könnten.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit wurde frühzeitig in die Ausgestaltung einbezogen und informierte sich zunächst vor Ort über Umfang und Betrieb der Videoüberwachung. Bereits im Februar erstellte er entsprechende Leitlinien, welche über die Koordinierungsstelle Impfen an die einzelnen Kommunen weitergeleitet wurden. Im Verlauf des Jahres wurden alle Impfzentren im Hinblick auf Videoüberwachungsmaßnahmen überprüft.

Dabei ließ sich feststellen, dass die Kommunen unter Berücksichtigung der besonderen örtlichen Gegebenheiten die Videoüberwachung möglichst sparsam eingesetzt haben. Lediglich 18 von 31 Impfzentren haben sich für eine Überwachungsanlage entschieden. Diese beinhaltete in der Hauptsache den Gebäudeschutz außerhalb der Öffnungszeiten. Im Einzelfall bedurften die Impfstofflager einer zusätzlichen Absicherung.

Insgesamt konnte hier dem Sicherheitserfordernis sowie dem Schutz des Persönlichkeitsrechts auch unter den besonderen Bedingungen der Pandemie Rechnung getragen werden.

Weitere Informationen zur Videoüberwachung

Informationsfreiheit

V. Forum „Freiheitsrechte und Transparenz in Zeiten von Corona“

In den vergangenen zwei Jahren richteten Bürger:innen zahlreiche Vermittlungs- und Beratungsanfragen an den LfDI bezogen auf die Corona-Pandemie. Vor diesem Hintergrund beschäftigte sich das diesjährige Diskussionsforum des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zur Informationsfreiheit mit dem Thema „Freiheitsrechte und Transparenz in Zeiten von Corona“. Es wurde unter anderem erörtert, welchen Beitrag Transparenz und Offenheit zur Pandemiebekämpfung leisten können und bereits geleistet haben. Der Landesbeauftragte Professor Kugelmann betont: „In der offenen Demokratie spielt die Transparenz staatlichen Handelns eine zentrale Rolle. Sie wirkt dem Anschein angeblicher oder tatsächlicher Geheimniskrämerei durch staatliche Stellen entgegen. Gerade wenn dem Staat von manchen misstraut wird, unterstützt und fördert die Informationsfreiheit das Vertrauen der Bürgerschaft und die Offenheit der Prozesse. Das Führen der Diskussion darüber, wie sich Transparenz stärken lässt, ist und bleibt eine Daueraufgabe.“

Weitere Themen der Veranstaltung waren der kürzlich veröffentlichte Evaluationsbericht zum Landestransparenzgesetz Rheinland-Pfalz sowie das 10-jährige Jubiläum des Amts der/des Landesbeauftragten für die Informationsfreiheit Rheinland-Pfalz.

Die Veranstaltung fand am 16.11.2021 als Videokonferenz statt. Eröffnet wurde die Veranstaltung mit einem Grußwort der Ministerpräsidentin, welches hier abgerufen werden kann. Im Anschluss an das Grußwort und einen Impulsvortrag von Prof. Dr. Jan Ziekow (Deutsches Forschungsinstitut für öffentliche Verwaltung) zur Evaluation des Landestransparenzgesetzes Rheinland-Pfalz diskutierten Staatssekretär Randolf Stich (Ministerium des Innern und für Sport Rheinland-Pfalz), Hannah Vos (Open Knowledge Foundation) und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dr. Dieter Kugelmann, über die Rolle und Wirkkraft von Transparenz und Informationsfreiheit, um in Pandemiezeiten staatliche Eingriffe zu kompensieren und Freiheitsrechte zu bewahren.

Zu der Pressemitteilung vom 16.11.2021

Kommunen / Wahlen

VI. Wenn das Kleinkind Wahlwerbung erhält: Datenpannen bei Meldeabfragen

Zahlreiche Beschwerden über politische Parteien erreichten den Landesbeauftragten für den Datenschutz und die Informationsfreiheit im Vorfeld der diesjährigen Bundestagswahl aus verschiedenen Landesteilen von Rheinland-Pfalz. Etliche Erziehungsberechtigte von Minderjährigen beklagten sich darüber, dass ihre noch nicht wahlberechtigten Kinder persönlich adressierte Wahlwerbung erhalten hatten. Doch das Versehen lag nicht bei den Parteien, sondern bei den Auskunft gebenden Meldestellen. Diese hatten fehlerhafte Abfragen im Meldesystem durchgeführt und Datensätze unter Anwendung von nicht ausreichend konkreten Parametern erstellt, wodurch auch Daten von nicht wahlberechtigten Personenkreisen übermittelt wurden.

„Grundsätzlich sieht das im Bundesmeldegesetz verankerte Meldewesen ein Auskunftsprivileg für Parteien und Wählergruppen vor, wenn die begehrte Auskunft im Zusammenhang mit Wahlen und Abstimmungen steht“, so Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit. Ab sechs Monaten vor der Wahl dürfen die Parteien gewisse personenbezogene Daten aus dem Melderegister erhalten. Voraussetzung dafür ist, dass es sich um eine vorher festgelegte Altersgruppe handelt. Dadurch können die Parteien gezielt z.B. die Gruppe der Erstwähler:innen oder der Senior:innen ansprechen.

Da den anfragenden Gruppierungen zwar Name und Anschrift mitgeteilt wird, nicht aber das Geburtsdatum oder das Alter der Adressaten, hatten die Parteien in den aktuellen Fällen keine Kenntnis darüber, wie alt die Empfänger:innen der Wahlwerbung tatsächlich waren. Vielmehr mussten sie davon ausgehen, dass die erhaltenen Meldesätze ausschließlich die Daten von Erstwähler:innen enthielten und alle anderen Personen ausgeschlossen waren – was aber nicht der Fall war. Und so kam es, dass teilweise Kleinkinder an sie gerichtete Wahlwerbung erhielten.

Der LfDI wird die aktuellen Vorfälle zum Anlass nehmen, insbesondere die behördlichen Datenschutzbeauftragten der kommunalen Behörden für das Thema weiter zu sensibilisieren. Das Ziel müsse sein, zukünftig bei der Erstellung entsprechender Abfragen sorgfältiger zu arbeiten, um nicht ohne Rechtsgrundlage Meldedaten an die Parteien herauszugeben, so Kugelmann.

Unabhängig davon weist der Landesbeauftragte auf das jedermann zustehende Widerspruchsrecht nach § 50 Abs. 5 Bundesmeldegesetz hin. Danach kann der Weitergabe der Meldedaten zu diesem Zweck grundsätzlich widersprochen werden, sodass Auskunftserteilungen erst gar nicht erfolgen (so genannte Übermittlungssperre, zu unterscheiden von einer Auskunftssperre i.S.v. § 51 BMG). Der entsprechende Antrag kann bei der jeweils zuständigen Meldebehörde gestellt werden.

Veranstaltungen

VII. Mainzer Vorträge zum Sicherheits- und Informationsrecht

Im Rahmen der vom LfDI Prof. Dr. Kugelmann und Prof. Dr. Matthias Bäcker durchgeführten Veranstaltungsreihe „Mainzer Vorträge zum Sicherheits- und Informationsrecht“ hat am Mittwoch, den 17.11.2021, um 18 Uhr, die Veranstaltung zu der Thematik „Antisemitismus und das Versagen des Rechtsstaats“ in den Räumlichkeiten der Johannes-Gutenberg Universität stattgefunden. Referiert hat Herr Dr. Ronen Steinke (Redakteur der Süddeutschen Zeitung) zu dem derzeitigen Antisemitismus-Phänomen in Deutschland und seinen Auswirkungen auf das Leben der jüdischen Mitbürger:innen. Angeregt diskutiert wurde insbesondere über die in diesem Zusammenhang bestehende Rolle der Sicherheitsbehörden.

Flyer zur Veranstaltung

Corona / Medien / Leben Digital

VIII. 2G- und 3G-Nachweise

Nach der nunmehr 29. Corona-Bekämpfungsverordnung (CoBeLVO) gilt in Rheinland-Pfalz für den Besuch von Einrichtungen, die Teilnahme an Veranstaltungen und die Inanspruchnahme von Dienstleistungen die sog. 2G- oder 3G-Regel. Entweder dürfen nur noch Geimpfte oder Genesene eingelassen werden oder auch Personen, die einen negativen Testnachweis vorlegen.

Bei der Prüfung der entsprechenden Nachweise durch die Verantwortlichen sind die datenschutzrechtlichen Anforderungen insbesondere in Bezug auf die Verarbeitung von Gesundheitsdaten zu berücksichtigen. So dürfen nur so viele Daten erhoben werden, wie für die gesetzlich vorgesehene Kontrolle erforderlich sind. Dies spielt insbesondere bei der Prüfung der elektronischen Zertifikate eine Rolle.

Für die Kontrolle der elektronischen Impfzertifikate stehen entsprechende Kontroll-Apps zur Verfügung. Die Kontrolle mit der zugehörigen Kontroll-App (QR-Code-Scan) ist gegenüber der Inaugenscheinnahme der digitalen Zertifikate datensparsamer, da sie nur bestätigt, dass ein voller Impfschutz besteht, ohne dem kontrollierenden Personal das Datum der Impfung oder den Impfstoff anzuzeigen. Die Kontrolle mit der Kontroll-App prüft außerdem, ob möglicherweise ein unrechtmäßig ausgestelltes digitales Zertifikat vorliegt, welches als ungültig gekennzeichnet wurde. Die Kontrolle elektronischer Impfzertifikate ist daher mit einer entsprechenden Kontroll-App durchzuführen.

Zu berücksichtigen ist auch, dass sich alle über 16-Jährigen ausweisen müssen, damit der Verantwortliche feststellen kann, ob die anwesende Person mit dem Inhaber des Nachweises übereinstimmt.

Weitere Informationen finden Sie in den Corona-FAQs des LfDI.

Leben Digital / Vereine

IX. Online-Seminar „Datenschutz im Verein“

Der LfDI beteiligte sich im Dezember am Projekt „Digital in die Zukunft“ der Landesregierung, welches von der Leitstelle Ehrenamt und Bürgerbeteiligung in der Staatskanzlei zusammen mit medien+bildung.com, einer Tochter der Medienanstalt Rheinland-Pfalz, umgesetzt wird. In Rahmen einer neuen Reihe von Online-Fortbildungen zu aktuellen Vereinsthemen erläuterte ein Referent des LfDI am 09.12.2021 die Grundlagen des Datenschutzrechts und gab spezifische Praxishinweise, Hilfestellungen sowie Tipps für Vereine. Die Fragen der Teilnehmenden zeigten, dass die Vereine sowohl die Lösung typischer Sachverhalte aus dem Vereinsalltag wie auch der Umgang mit der derzeitigen Pandemiesituation beschäftigen. Insbesondere die Veröffentlichung von Fotografien, die Verwaltung von Mitgliederdaten sowie Fragen im Zusammenhang mit der Verarbeitung des Impf- und Genesenenstatus waren von Interesse. Ein weiteres Online-Seminar des LfDI zum Thema „Datenschutz im Verein“ ist für den 17.03.2022 geplant.

Weitere Informationen zu den Online-Seminaren finden Sie hier.

Der LfDI beantwortet diese und viele weitere Fragen in seinem Online-Informationsangebot für Vereine.

Internationaler Datenverkehr

X. Verwaltungsgericht Wiesbaden - Beschluss zu Datenübermittlungen in die USA

Für den Bereich der Datenübermittlungen in die USA gibt es neue Rechtsprechung, die den Folgen des EuGH-Urteils zu Schrems II Rechnung trägt: Das VG Wiesbaden hat mit Beschluss vom 01.12.2021 der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Weitere Informationen:

Pressemitteilung des VG Wiesbaden

Volltext des Urteils

Informationen zu Schrems II

LfDI-Podcast Datenfunk

XI. Datenfunk: Neue Podcast-Folge zum TTDSG

Einen Monat vor Weihnachten hat der Gesetzgeber schon mit der Bescherung begonnen: Zum 1.12.2021 ist das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) in Kraft getreten. Was bringt es Neues? Was müssen Webseitenbetreiber nun beachten? Werden die Cookie-Banner mal wieder komplizierter? Und ist der Datenschutz schuld daran?

Um diese Fragen zu beantworten, haben wir zwei ausgewiesene Expertinnen ins virtuelle Datenfunk-Studio eingeladen. Philipp Richter und Timo Göth vom LfDI Rheinland-Pfalz sprechen mit Dr. Nina Herbort von der Berliner Beauftragten für Datenschutz und Informationsfreiheit und Dr. Silke Jandt von der Landesbeauftragten für den Datenschutz Niedersachsen über die Cookie-Regelungen im TTDSG und über die neue Orientierungshilfe der Datenschutzaufsichtsbehörden für Telemedienanbieter.

Machen Sie es sich doch mit einem Teller Cookies gemütlich und hören Sie rein!

Folge 014: Ein bunter Teller voller Plätzchen - Cookies, Banner und das neue TTDSG (15. Dezember 2021)