Berliner Datenschutzbeauftragte appelliert an Parteien, den Datenschutz im Europawahlkampf zu achten

Pressemitteilung der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Meike Kamp appelliert an die Parteien, beim Wahlkampf für die Wahlen zum Europäischen Parlament den Datenschutz zu achten. Die Parteien sollten auf Microtargeting bei digitaler Wahlwerbung verzichten und für Angriffe auf ihre IT-Systeme sowie Desinformation gewappnet sein, betont Kamp in einem Schreiben <https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2024/20240423-BlnBDI-Schreiben-Parteien.pdf> an alle im Bundestag vertretenen Parteien mit Sitz in Berlin.

Im Vorfeld von Wahlen nutzen Parteien zunehmend digitale Medien, um ihre Botschaften zu transportieren und Wähler:innen für sich zu gewinnen. Dabei setzen Parteien auch auf sogenanntes
Microtargeting in sozialen Netzwerken, also die gezielte Ausspielung von Werbebotschaften an Personengruppen basierend auf deren demografischen Daten, politische Interessen oder
Verhaltensweisen. Diese Daten werden zuvor im Hintergrund durch Werbenetzwerke mittels Tracking-Technologien erhoben, ausgewertet und bestimmten Interessenkategorien zugeordnet. Dadurch entstehen umfangreiche Nutzungsprofile, die es Werbenden ermöglichen, maßgeschneiderte Inhalte an ausgewählte Adressat:innen auszuspielen.

Neben den Online-Plattformen auf denen die Werbung geschaltet wird, tragen auch die Parteien eine rechtliche Verantwortung für die Datenverarbeitungen. Die Parteien nutzen die von den
Werbenetzwerken über potenzielle Wähler:innen gesammelten personenbezogenen Daten, indem sie daraus erstellte Interessenkategorien für die gezielte Ausspielung ihrer Wahlwerbung auswählen. Es besteht die Gefahr, dass das zielgenaue Ausspielen von politischer Werbung auf der Grundlage von umfassenden Nutzungsprofilen den öffentlichen Diskurs verzerrt, polarisierende Inhalte verstärkt und Debatten fragmentiert.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wahlwerbung, die auf der Grundlage von umfangreichen Nutzungsprofilen selektiv ausgespielt wird, birgt Risiken für die freie Meinungsbildung. Für die Adressat:innen dieser Werbung ist es schwer einzuordnen, was die
Werbenden veranlasst hat, speziell sie mit dem spezifisch zugeschnittenen Inhalt anzusprechen. Es steht zu befürchten, dass die Adressat:innen von Wahlwerbung nur noch mit dem konfrontiert werden, was sie individuell hören möchten, so dass zentrale Funktionen der Parteien wie die politische Willensbildung und die Anregung zum öffentlichen Diskurs auf der Strecke bleiben.“

In ihrem Schreiben an die Parteien warnt die Berliner Datenschutzbeauftragte auch vor den Gefahren von Desinformationskampagnen und Cyberangriffen. Desinformation kann verschiedene Formen annehmen, von gefälschten Nachrichtenartikeln und manipulierten Bildaufnahmen bis hin zu gezielten Social-Media-Kampagnen. Angriffe auf die IT-Infrastruktur einer Partei können in diesem Zusammenhang darauf abzielen, vertrauliche Informationen zu stehlen, um sie zur Verbreitung oder zur Legitimierung von Fehlinformationen zu nutzen.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „In den letzten Jahren haben wir eine Zunahme von Kampagnen erlebt, die darauf abzielen, die öffentliche Meinung zu manipulieren und das Vertrauen in demokratische Institutionen zu untergraben. Die Parteien sind mit in der Verantwortung, die Integrität unserer demokratischen Prozesse und die personenbezogenen Daten ihrer Mitglieder und Funktionsträger:innen zu schützen.“

Hintergrund:
Die BlnBDI ist die zuständige Aufsichtsbehörde für den Datenschutz aller öffentlichen und nicht-öffentlichen
Stellen im Land Berlin und damit für alle Parteien mit Hauptsitz in Berlin. Derzeit führt die BlnBDI Verfahren gegen die CDU, SPD, Bündnis 90/Die Grünen, AfD, Die Linke und FDP wegen der Nutzung von Microtargeting auf Facebook während der Bundestagswahl 2021. Die Verfahren sind noch nicht abgeschlossen.

Die Gefahren dieser Art von digitaler Wahlwerbung hat auch der Europäische Gesetzgeber erkannt und mit einer Verordnung neue Regeln für politische Werbung festgelegt <http://www.uldsh.de/politisches-targeting-dsk>, die jedoch in großen Teilen erst ab 2025
greifen.

Über den Datenschutz bei Wahlen informiert die BlnBDI auf ihrer Website und im Ratgeber „Wahlwerbung durch politische Parteien“ <https://www.datenschutz-berlin.de/themen/werbung/wahlwerbung/>.

Zur Einflussnahme auf Wahlen und demokratische Prozesse in der EU hat die Behörde für europäische politische Parteien und europäische politische Stiftungen (APPF) eine umfangreiche Studie <https://www.appf.europa.eu/appf/en/other-information/studies> veröffentlicht.
Das Europäische Kompetenzzentrum für die Bekämpfung hybrider Bedrohungen (Hybrid CoE) gibt in seinen aktuellen Studien Handlungsempfehlungen <https://www.hybridcoe.fi/all-content/?_themes=election-interference&_type=hcoe20_publications>, um den identifizierten Risiken zu begegnen.

LDA Brandenburg: Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2023

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, der Vizepräsidentin des Landtages Brandenburg, Frau Barbara Richstein, den Tätigkeitsbericht zum Datenschutz für das Jahr 2023.

Die Datenschutzbeauftragte befasste sich angesichts der zu erwartenden europäischen KI-Verordnung ausführlich mit Fragen der Künstlichen Intelligenz (A I 1.1, Seite 13). Zunächst traten wir mit einer Umfrage an ausgewählte brandenburgische Unternehmen heran. Ziel war es, die Verantwortlichen für einen datenschutzkonformen Umgang mit KI-Systemen zu sensibilisieren. Im Ergebnis stellten wir zwar fest, dass die kontaktierten Unternehmen noch keine personenbezogenen Daten mittels KI verarbeiten, dies jedoch für die Zukunft nicht ausschlossen. Eine Umfrage der Landesbeauftragten bei den kommunalen Spitzenverbänden ergab, dass es dort lediglich erste Pilotprojekte gibt – etwa zur Verwendung von Chatbots in der Kommunikation mit Bürgerinnen und Bürgern. Außerdem konnte unsere Behörde wesentliche datenschutzrechtliche Aspekte in die Diskussion einer Landesstrategie zur künstlichen Intelligenz einbringen.

Unter brandenburgischer Beteiligung forderten die europäischen und deutschen Datenschutzaufsichtsbehörden das Unternehmen OpenAI auf, einzelne Fragen zu seinem Produkt ChatGPT zu beantworten (A I 1.2, Seite 17). Zwar ist die Auswertung der Antworten noch nicht abgeschlossen, doch zeigt sich, vor welchen Herausforderungen generative KI-Systeme in Bezug auf den Datenschutz stehen. Beispielsweise müssen sie „trainiert“ werden – mit Daten, die durchaus auch einen Personenbezug aufweisen können. Personenbezogene Bewertungen der generierten Texte fließen zudem in die Weiterentwicklung der Systeme ein. Auch stellt sich die Frage, wie transparent die Datenverarbeitung gestaltet ist und wie ChatGPT mit den Daten Minderjähriger umgeht. Dagmar Hartge:

Künstliche Intelligenz bietet große Chancen, stellt Unternehmen und Verwaltungen aber auch vor enorme Herausforderungen. Wer sie einsetzt, muss die Risiken der Datenverarbeitung einschätzen können und darüber informieren, wie personenbezogene Daten verarbeitet werden. Das wiederum setzt voraus, dass die eingesetzten Produkte ihrerseits transparent und datenschutzgerecht gestaltet sind.

Inzwischen ist es ein Dauerbrenner: der Streit um die Vereinbarkeit des Betriebs von Facebook-Fanpages durch öffentliche Stellen mit dem Datenschutzrecht (A I 3, Seite 37). In enger Abstimmung mit anderen Aufsichtsbehörden führte die Landesbeauftragte in einem Musterverfahren eine Anhörung der Staatskanzlei des Landes Brandenburg durch. Ziel war eine Unterlassungsverfügung, also die Weisung an die Landesregierung, Facebook-Fanpages abzuschalten. Zwischenzeitlich hatte der Europäische Gerichtshof die Argumente der Datenschutzaufsichtsbehörden zusätzlich noch gestützt: Er sah außerhalb einer wirksamen Einwilligung der Besucherinnen bzw. Besucher keine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten beim Betrieb von Fanpages. Zudem erschwerte das Urteil die von Facebook versuchte Umgehung von Datenschutzrechten betroffener Personen. Erst reagierte der Mutterkonzern Meta auf dieses Urteil, indem er neben dem werbefinanzierten Angebot noch ein werbefreies Bezahlabonnement anbot. Zum Jahresende änderte Meta zusätzlich seine Cookie-Richtlinie und informiert seitdem konkret über die Verarbeitung personenbezogener Nutzerdaten beim Einsatz von Cookies auf Fanpages. Da sich unsere Anhörung maßgeblich auf diesen Aspekt gestützt hatte, entschied die Landesbeauftragte, das Verfahren bis zur Analyse der neuen Richtlinie auszusetzen.

Im vergangenen Jahr verhängte die Bußgeldstelle der Landesbeauftragten in 10 Fällen ein Bußgeld wegen festgestellter datenschutzrechtlicher Verstöße. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 13.900 Euro (A VI 5.2, Seite 115).

Das höchste Bußgeld verhängte die Landesbeauftragte gegen ein Lebensmittelgeschäft, dessen Geschäftsführer im Pausenraum eine Tabelle mit den Krankheitstagen der namentlich genannten Beschäftigten aufgehängt hatte (A II 6.1, Seite 55). Zu entnehmen war ihr, welche Mitarbeiterinnen und Mitarbeiter aufgrund eigener Krankheit oder einer Erkrankung des Kindes nicht zur Arbeit hatten erscheinen können bzw. wer sich zum Ende einer Erkrankung im sogenannten Hamburger Modell befunden hatte. Von diesen Angaben waren 40 Beschäftigte betroffen. Die Tabelle hing vier Wochen aus. Neben den Beschäftigten hatten auch Dritte, z. B. Lieferdienste, Zugang zu den Daten. Die Offenlegung der Gesundheitsdaten sollte, so der Geschäftsführer, vor dem Hintergrund der schlechten wirtschaftlichen Lage des Unternehmens verdeutlichen, dass ein hoher Krankenstand dem Unternehmen schade. Ein legitimer Zweck war dies nicht; der Verstoß gegen das Datenschutzrecht war vielmehr offensichtlich.

Im vergangenen Jahr erhielten wir auffällig viele Meldungen über unbefugte Datenabfragen in Krankenhäusern (A II 6.2, Seite 56). In zwei Fällen verhängte die Landesbeauftragte ein Bußgeld gegen Beschäftigte, die sich aus reiner Neugier und ohne dienstlichen Grund für den Krankheitsverlauf ihrer Kolleginnen interessierten. Durch die Zugriffe wurden besonders geschützte Gesundheitsdaten der betroffenen Mitarbeiterinnen offenbart: Arztbriefe, Laborergebnisse sowie Berichte über Behandlungen oder Operationen. Solche Verstöße sind in hohem Maß geeignet, das Vertrauen in die Rechtmäßigkeit des Umgangs mit Gesundheitsdaten in Krankenhäusern zu beeinträchtigen, und waren deshalb zu sanktionieren.

Im Vergleich zum Vorjahr hat sich die Zahl der Datenschutzbeschwerden (A VI 1, Seite 107) auf hohem Niveau stabilisiert – 2022: 1.379 Beschwerden, 2023: 1.336 Beschwerden. Beschwerden über Videoüberwachung stellten einen zunehmenden Anteil an der Gesamtzahl der Beschwerden dar – 2022: 264 Beschwerden, 2023: 365 Beschwerden (A VI 3, Seite 108). Die teilweise intensiven und auch in Fällen umfangreicher Videoüberwachung stets auf die einzelnen Kameras ausgerichteten Prüfungen steigen bereits über viele Jahre kontinuierlich an und binden die personellen Kapazitäten der Landesbeauftragten in erheblichem Maße.

Unsere Behörde bearbeitete gleich mehrere Beschwerden über Videokameras in Ferienwohnanlagen (A II 2, Seite 43). In einem Fall kassierte der Verantwortliche eine Verwarnung. Zwar erfassten seine Kameras keine Innenräume der Wohnungen, sehr wohl aber gemeinschaftlich genutzte Bereiche. Er nannte gleich ein ganzes Potpourri an Gründen – von der Wahrnehmung des Hausrechts über den Eigentumsschutz bis hin zur Vorbeugung gegen Lärmbelästigung. Eine Erforderlichkeit für den Kameraeinsatz bestand jedoch nicht. Für alle angegebenen Zwecke wären mildere, weniger eingriffsintensive Maßnahmen möglich gewesen. Das Interesse der Feriengäste, sich unbeobachtet – und beispielsweise am Pool auch leicht bekleidet – zu entspannen, überwog zudem das Interesse des Vermieters an der Videoüberwachung.

Wer in Potsdam einen Antrag auf Parkerleichterung für Personen mit einer Schwerbehinderung stellen wollte, erlebte im vergangenen Jahr ein blaues Wunder (A II 5, Seite 52). Sowohl durch Medienberichte als auch durch Beschwerden betroffener Personen wurden wir darauf aufmerksam, dass die städtische Fahrerlaubnisbehörde solche Anlässe umfangreich nutzte, um die Fahreignung der Antragstellerinnen und Antragsteller zu überprüfen. Erstaunlich war dies schon allein deshalb, weil eine gesetzliche Zuständigkeit der Fahrerlaubnisbehörde für Anträge auf Parkerleichterung gar nicht besteht; zuständig ist die untere Straßenverkehrsbehörde. Somit fehlte auch die Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Zudem unterstellte die Behörde die mangelnde Fahreignung pauschal und forderte umfassende gesundheitliche Gutachten an – nur, weil die Betroffenen einen Schwerbehindertenausweis hatten. Ähnlich ging die Landeshauptstadt Potsdam bei dem eigentlich rein formalen Umtausch des alten Führerscheins in einen neuen EU-Kartenführerschein vor. Mehrere Verfahren führten zu einem Entzug der Fahrerlaubnis oder bewirkten einen freiwilligen Verzicht. Vor dem Hintergrund des besonderen Schutzbedarfs der Gesundheitsdaten hat die Landesbeauftragte gegenüber der Stadtverwaltung im Ergebnis eine Verwarnung ausgesprochen. Dagmar Hartge:

Natürlich muss die Stadtverwaltung die Fahreignung von Fahrerlaubnisinhaberinnen und -inhabern prüfen, wenn konkrete Tatsachen vorliegen, die eine Verkehrsgefährdung beim Führen eines Kraftfahrzeugs erwarten lassen. Dass jemand einen Schwerbehindertenausweis besitzt, ist jedoch definitiv keine solche Tatsache. Ich erwarte, dass die Landeshauptstadt Potsdam die richtigen Konsequenzen aus der unzulässigen und diskriminierenden Verarbeitung von Gesundheitsdaten zieht und das Verfahren grundlegend ändert.

Neben der Bearbeitung individueller Beschwerden über den Einsatz von Cookies auf Webseiten wählten wir etwa 50 Webpräsenzen für eine anlassunabhängige Prüfung aus (A III 2, Seite 64). In der Regel handelte es sich um Seiten, die für touristische Angebote, Sehenswürdigkeiten und Freizeitaktivitäten in Brandenburg werben. Uns hat interessiert, wie dort Cookies bzw. Drittdienste eingebunden wurden, ob die Nutzerinnen und Nutzer korrekt hierüber informiert wurden und ob sie die Möglichkeit hatten, rechtskonform in die Nutzung ihrer personenbezogenen Daten einzuwilligen. Bei knapp der Hälfte der geprüften Webseiten stellten wir erfreulicherweise keine Mängel fest. Die übrigen Befunde reichten von unzureichenden Datenschutzerklärungen über die fragwürdige Gestaltung des Cookie-Banners bis zum nicht datenschutzgerechten Einsatz von Analysesoftware. Im Ergebnis haben wir die jeweiligen Verantwortlichen über die datenschutzrechtlichen Anforderungen informiert und sie aufgefordert, die Mängel zu beseitigen.

Einen erneuten Angriff auf die IT-Infrastruktur der Landeshauptstadt Potsdam im Dezember 2022 nahm die Landesbeauftragte zum Anlass, zu überprüfen, ob die Stadtverwaltung aus dem vorangegangenen Vorfall die richtigen Konsequenzen gezogen hatte (A III 3, Seite 67). Wir forderten die einschlägigen Dokumentationen an – mit ernüchterndem Ergebnis. Unter anderem fehlte ein gültiges Datenschutz- und Informationssicherheitskonzept. Ein solches Konzept dokumentiert geeignete und angemessene technische und organisatorische Maßnahmen, um die Risiken der Verarbeitung personenbezogener Daten für die Betroffenen zu minimieren. Es handelt sich also keineswegs um eine Formsache, sondern um ein wesentliches Instrument des Datenschutzes und der IT-Sicherheit. Gleiches gilt für das Verzeichnis der Verarbeitungstätigkeiten. Zeitpläne und Fristen, welche die Stadtverwaltung sich selbst gesetzt hatte, um uns über den Fortschritt der Erstellung dieser Dokumentationen zu informieren, hielt sie nicht ein. Letztlich waren auch die Verantwortlichkeiten innerhalb der Behörde ungeklärt. Bis zum heutigen Tag hat sie gesetzlich geforderte Unterlagen nicht vorgelegt. Die Landesbeauftragte hat mittlerweile eine Verwarnung ausgesprochen, bleibt mit der Stadtverwaltung aber im Austausch, bis die erforderlichen Nachweise vollständig vorliegen. Dagmar Hartge:

An den andauernden Versäumnissen gibt es nichts zu beschönigen: Die IT-Sicherheitsvorfälle in der Potsdamer Stadtverwaltung verdeutlichen, wie dringend sie ein systematisches IT-Sicherheitsmanagement benötigt. Diesen Herausforderungen muss sich die Landeshauptstadt endlich stellen. Dass sowohl die IT-Sicherheit als auch der Datenschutz wichtige Führungsaufgaben sind, darf keine bloße Floskel bleiben.

Im Frühjahr vergangenen Jahres schlug das Datenleck bei einem Fahrzeughersteller in der Medienberichterstattung hohe Wellen (A IV 1, Seite 71). Ein Hinweisgeber hatte uns umfangreiche Dateien zur Verfügung gestellt, die unter anderem sensible Personaldaten beinhalteten. Der umfangreiche Datenbestand sei für nicht zuständige Beschäftigte abrufbar gewesen; er enthielt Angaben zu Mitarbeiterinnen und Mitarbeitern des Konzerns aus Deutschland, anderen Mitgliedstaaten der Europäischen Union und darüber hinaus. Die Authentizität der Daten vorausgesetzt, handelte es sich eindeutig um eine grenzüberschreitende Verarbeitung personenbezogener Daten. Die Datenschutz-Grundverordnung sieht für solche Fälle vor, dass die Aufsichtsbehörde am europäischen Hauptsitz des Unternehmens die Federführung bei der Bearbeitung innehat. Sie arbeitet mit anderen Datenschutzaufsichtsbehörden in der Europäischen Union zusammen, um eine einheitliche datenschutzrechtliche Bewertung vorzunehmen. Aufgrund des europäischen Hauptsitzes des Unternehmens in den Niederlanden übernahmen unsere Kolleginnen und Kollegen in Den Haag die weiteren Ermittlungen. Das Unternehmen meldete den Fall zwischenzeitlich als Datenschutzverletzung, informierte die betroffenen Beschäftigten und offerierte seine Unterstützung, um einen möglichen Identitätsmissbrauch zu verhindern. Die Auswertung durch die nunmehr zuständige niederländische Datenschutzaufsichtsbehörde ist noch nicht abgeschlossen. Bei der datenschutzrechtlichen Bewertung des Ergebnisses wird sich die Landesbeauftragte im Rahmen des europäischen Verfahrens einbringen.

Ein Unternehmen fiel einem Ransomware-Angriff (A IV 3, Seite 76) zum Opfer. Es meldete uns den Vorfall als Datenschutzverletzung. Sein gesamtes IT-System war durch das Schadprogramm verschlüsselt und das letzte Backup der Daten gelöscht worden. Zudem verzeichnete es einen enormen Datenabfluss. Vom Vorfall betroffen waren die personenbezogenen Daten der Beschäftigten, der Kundinnen und Kunden sowie der Aktionärinnen und Aktionäre. Später teilte uns das Unternehmen jedoch mit, dass von ihm getroffene Sicherheitsmaßnahmen bewirkt hätten, dass personenbezogene Daten doch nicht von allen Servern abgeflossen seien. Den genauen Hergang konnten wir nicht mehr nachvollziehen und beließen es daher bei Hinweisen zu technischen und organisatorischen Maßnahmen. Eine Prüfung der IT-Systeme vor Ort behält sich die Landesbeauftragte vor.

Immer wieder ist der Verlust personenbezogener Daten bei Transport und Aufbewahrung zu beklagen. Besonders kritisch wird die Sache vor allem, wenn es um Gesundheitsdaten geht (A IV 4, Seite 78). Dazu erhielten wir im vergangenen Jahr eine Reihe von Meldungen über Datenschutzverletzungen: Beispielsweise vergaß eine Mitarbeiterin eines ambulanten Pflegedienstes ihren Rucksack mit den Leistungsnachweisen zur Pflegetätigkeit an der Straßenbahnhaltestelle. Eine Psychotherapeutin ließ eine Patientenakte in einem Nahverkehrsbus liegen. Schließlich kam der USB-Stick eines Vereins zur Betreuung von Wohngruppen für Menschen mit Behinderung abhanden. Darauf waren Datensätze zu Bewohnerinnen und Bewohnern mit der für das Sozialamt erstellten Beschreibung ihrer Entwicklung gespeichert. Diese Fälle zeigen, dass der sorgsame Umgang mit Gesundheitsdaten von grundlegender Bedeutung für den Datenschutz ist. Die Sensibilisierung der Beschäftigten, eine Verschlüsselung der Daten sowie – im Rahmen der Meldung der entstandenen Datenschutzverletzung – die Information der betroffenen Personen sind unverzichtbar.

Immer wieder bietet die E-Mail-Kommunikation der Verwaltungen und Unternehmen Anlässe, die Verantwortlichen für den sicheren und datenschutzgerechten Einsatz dieses Kommunikationsmittels zu sensibilisieren (A V 1, Seite 87). Sie müssen die Risiken, die sich bei dem Transport und der Weiterverarbeitung von E-Mails ergeben, durch geeignete und angemessene technische und organisatorische Maßnahmen mindern. Werden gezielt personenbezogene Daten ausgetauscht, bietet die Transportverschlüsselung einen ausreichenden Basisschutz gegen passives Belauschen des Datenverkehrs. Für Nachrichten, die sensible Daten enthalten, bedarf es entsprechend dem Risiko für die betroffenen Personen neben einer qualifizierten Transportverschlüsselung zusätzlich einer Ende-zu-Ende-Verschlüsselung. Im Falle eines hohen Risikos sind speziell gesicherte kryptografische Verfahren zu verwenden. Entscheidend ist, dass diese Sicherheitsmaßnahmen auf beiden Seiten getroffen werden, also sowohl beim Versand als auch beim Empfang der E-Mails. Dies wird allerdings oft zu wenig beachtet. Unsere Erfahrung sowie Beschwerden auf diesem Gebiet nutzen wir, um die Umsetzung angemessener Maßnahmen zum Schutz der E-Mail-Kommunikation gerade im Falle sensibler Daten einzufordern.

Das Gesetz zur Verhinderung von Gewalt gegen Frauen und häuslicher Gewalt setzt die sogenannte Istanbul-Konvention des Europarats um (B 1, Seite 121). Dadurch erhält die Polizei neue Befugnisse, potenzielle Opfer häuslicher Gewalt zu schützen. Im Gesetzgebungsprozess hat die Landesbeauftragte ausführlich Stellung genommen. Für die Einführung der sehr eingriffsintensiven elektronischen Aufenthaltsüberwachung (elektronische Fußfessel) – eine Kernregelung des Gesetzes in „Hochrisikofällen“ – fehlten uns Nachweise, dass diese Maßnahme das Risiko erneuter Straftaten überhaupt wirksam mindert. In diesem Zusammenhang kritisierten wir zudem die aus unserer Sicht viel zu offen formulierten Voraussetzungen für die elektronische Aufenthaltsüberwachung. Dagmar Hartge:

Die elektronische Fußfessel gab es bislang nur für verurteilte Straftäterinnen und Straftäter. Dass sie nun auch auf Verdachtsfälle ausgeweitet wird, ist allein schon kritikwürdig. Hier lässt sich kaum eine solide Gefahrenprognose abgeben. Zudem halte ich es für unrealistisch anzunehmen, dass die elektronische Aufenthaltsüberwachung Gewalttaten gegen Frauen verhindert.

Zur Erfüllung ihrer Aufgaben auf dem Gebiet der Strafverfolgung und Gefahrenabwehr führt die Polizei Kriminalakten zu einzelnen Personen – zu Verdächtigen, Beschuldigten eines Ermittlungsverfahrens oder Verurteilten, aber auch zu gesuchten, vermissten oder gefährdeten Personen. Die Landesbeauftragte führte im vergangenen Jahr eine stichprobenartige Kontrolle personengebundener und ermittlungsunterstützender Hinweise in den Kriminalakten durch (B 4, Seite 130). Dabei stellte sie gravierende Dokumentationsmängel fest, beispielsweise fehlten häufig die Abwägungen, die Rückschlüsse auf die Gründe der Dateneintragungen zugelassen hätten. Positiv stellten wir fest, dass die Aussonderungsprüffristen überwiegend auf den Einzelfall abgestimmt waren.

In einem Beschwerdefall stellte sich heraus, dass der Zentraldienst der Polizei im Zusammenhang mit der Verfolgung einer Geschwindigkeitsübertretung das komplette Ergebnis des Abrufs personenbezogener Daten aus der Elektronischen Einwohnerakte gespeichert hatte (B 5, Seite 134). Die aus technischen Gründen beim Abruf stets mit übermittelten, jedoch nicht relevanten personenbezogenen Daten – in diesem Fall ging es um die alte Wohnanschrift der Ehefrau des Beschwerdeführers sowie dessen Waffenerlaubnis – dürfen jedoch nicht in die Verfahrensakte aufgenommen werden. Das Polizeipräsidium hat den Fall zum Anlass genommen, die Beschäftigten zu sensibilisieren. Die Anforderungen an die Dokumentation sollen künftig fester Bestandteil der dienstlichen Belehrung sein.

Bilaterales Treffen zwischen BfDI und Garante

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 22.04.2024

Die italienische Datenschutz-Aufsichtsbehörde (Garante) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben sich vom 18. bis 20. April in der Accademia Konrad Adenauer am Comer See getroffen.

Weiterlesen Bilaterales Treffen zwischen BfDI und Garante

13. Speyerer Forum zur digitalen Lebenswelt – Interdisziplinärer Austausch mit Rekordteilnehmerzahl

Gemeinsame Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg und der Deutschen Universität für Verwaltungswissenschaften in Speyer vom 19.04.2024

Mit der Rekordteilnahmezahl von rund 200 Teilnehmerinnen und Teilnehmern ging am 19. April 2024 das 13. Speyerer Forum zur digitalen Lebenswelt zu Ende. Zwei Tage lang hatten Expertinnen und Experten beleuchtet, wie Künstliche Intelligenz die Digitalisierung der Verwaltung beeinflussen kann – aktuell und zukünftig. Juristische Überlegungen, insbesondere zur KI-Verordnung, spielten dabei ebenso eine Rolle wie technische und gesellschaftliche Aspekte. Die etablierte Fachtagung wird von der Deutschen Universität für Verwaltungswissenschaften gemeinsam mit den Landesdatenschutzbeauftragten aus Rheinland-Pfalz und Baden-Württemberg sowie dem rheinland-pfälzischen Ministerium für Arbeit, Soziales, Digitalisierung und Transformation veranstaltet.

Weiterlesen 13. Speyerer Forum zur digitalen Lebenswelt – Interdisziplinärer Austausch mit Rekordteilnehmerzahl

Bundesdatenschutzgesetz: Datenschutzkonferenz veröffentlicht Stellungnahme zum Gesetzentwurf zur Änderung des BDSG

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 19.04.2024

Die Bundesregierung hat im Februar 2024 einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) vorgelegt (BT-Drs. 20/10859). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu relevanten Punkten des Gesetzentwurfs und zu weitergehendem Regelungsbedarf Stellung genommen. Zu den wichtigsten Punkten gehören:

Institutionalisierung der Datenschutzkonferenz: Ein neuer § 16a im BDSG-Entwurf (BDSG-E) dient der gesetzlichen Verankerung der jetzt schon bestehenden DSK. In ihrer Stellungnahme weist die DSK darauf hin, dass diese Regelung ausgebaut und zumindest die Ziele der DSK aufgenommen werden sollten. Zudem bekräftigt die DSK die Notwendigkeit einer Ständigen Geschäftsstelle und schlägt Änderungen am Gesetzestext vor.

Weiterlesen Bundesdatenschutzgesetz: Datenschutzkonferenz veröffentlicht Stellungnahme zum Gesetzentwurf zur Änderung des BDSG