tätigkeitsbericht 2019 datenschutz · teil a: bericht nach art. 59 ... 1.3.1 daten des...
TRANSCRIPT
Tätigkeitsbericht 2019Datenschutz
Impressum
Herausgeber: DieLandesbeauftragtefürdenDatenschutz undfürdasRechtaufAkteneinsichtBrandenburg StahnsdorferDamm77 14532Kleinmachnow
Telefon: 033203356-0 Telefax: 033203356-49 E-Mail: [email protected] Internet: https://www.LDA.Brandenburg.de Druck: BrandenburgischeUniversitätsdruckerei undVerlagsgesellschaftPotsdammbH
Titelbild
Motiv: Informations-,Kommunikations-und MedienzentrumCottbusderBrandenburgischen TechnischenUniversitätCottbus-Senftenbergam StandortCottbusArchitekten: Herzog&deMeuronFertigstellung: 2004
Bildrechte: imagoimages/VolkerPreußer
Tätigkeitsbericht Datenschutz
der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zum 31. Dezember 2019
DieLandesbeauftragtefürdenDatenschutzundfürdasRechtaufAkteneinsicht hat nach Artikel 59 Datenschutz-Grundverordnungundnach§37BrandenburgischesPolizei-,Justizvollzugs-undMaß-regelvollzugsdatenschutzgesetz jeweils einen Jahresbericht überihre Tätigkeit zu erstellen und dem Landtag sowie der Landesre-gierung zu übermitteln.DieseBerichte deckendenZeitraumvom 1.Januarbiszum31.Dezember2019ab.
DerTätigkeitsberichtkannauchausunseremInternetangebotunterwww.LDA.Brandenburg.deabgerufenwerden.
3
Vorwort 9
Teil A: Bericht nach Art. 59 Datenschutz-Grundverordnung 13
I Datenschutzverstöße:MaßnahmenundSanktionen 13
1 Verfahren bei der Aufsichtsbehörde: Von der Beschwerde bis zur AhndungdesDatenschutzverstoßes 14
2 UnerwünschteWerbungvierJahrenachVertragsanfrage 16
3 Veröffentlichung personenbezogener Einwendungen gegen einen Regionalplan 18
4 Videoüberwachung in einer Zahnarztpraxis – Bundesverwaltungsge-richtbestätigtLandesbeauftragte 19
5 Weiträumige Videoüberwachung in einem Kultur- und Gewerbezentrum 22
6 VideoüberwachungineinemIndoorspielplatzfürKinder 24
7 ÜbersichtüberweitereMaßnahmenundSanktionen 26
8 BerichtderBußgeldstelle 27
8.1 VideoüberwachungimSchwimmbad 288.2 ErteilungvonAuskünftenunterfremdemLogo 298.3 SicherungvonPatientendatenalsFreundschaftsdienst 31
II AnlasslosePrüfungen 33
1 Facebook-FanpagesöffentlicherStellen 34
2 NutzungderSchul-CloudinzweiPilotschulen 36
3 Veröffentlichung personenbezogener Daten im Rahmen der Kommunal-undLandtagswahl 38
4
4 Überprüfung der Datenschutzinformationen in ausgewählten Arztpraxen 40
5 Umfrage bei Unternehmen zu Datenschutz-Management und Personaldatenverarbeitung 41
III AusgewählteFälle 47
1 ErmittlungeneinesJobcentersinderNachbarschaft 48
2 Arbeitsteilung zwischen Ausländerbehörde und privatem Wachschutz 49
3 AushangvonUnterschriftenlistenimSchaukasten 51
4 Übermittlung von E-Mail-Adressen durch Versandhändler an Postdienstleister 52
5 Verbreitung von Schadsoftware und Umleitung von E-Mails durch mangelhaftePflegeeinesWebservers 53
6 Zwischen Schein und Sein – ein Datenschutzverein mit Datenschutzmängeln? 55
IV AusgewählteBeratungen 59
1 StellungnahmenzuGesetzenundanderenRegelungen 62
1.1 GesetzzurÄnderungdesBrandenburgischen Verfassungsschutzgesetzes 62
1.1.1 RechtederBetroffenen 621.1.2 SchutzvonMinderjährigen 631.1.3 ErweiterungderAuskunftspflichten 641.1.4 EingeschränkteAufsichtsbefugnissederLandesbeauftragten 651.2 eID-undIT-BasiskomponentenverordnungzumBrandenburgischen
E-Government-Gesetz 661.3 ÄnderungderMeldeordnungderLandesapothekerkammer
Brandenburg 68
5
1.3.1 DatendesHeilberufsausweisesfürdasKammerverzeichnis 691.3.2 AngabenzuBeschäftigten 701.3.3 ÜbermittlungvonAusbildungsverträgen 71
2 BeratungimöffentlichenBereich 72
2.1 MeldedatenzurGratulationundähnlichenZwecken? 722.2 Handy-Parken:MitdemSmartphonezumParkschein 752.3 FortführungdesProjektszurinternetbasiertenZulassungvon
Kraftfahrzeugen 77
3 BeratungimnichtöffentlichenBereich 79
3.1 VeränderteSchwerpunkteimnichtöffentlichenBereich 793.2 Fax-undE-Mail-KommunikationimGesundheitsbereich 81
4 16.JahrestreffenmitdenbehördlichenDatenschutzbeauftragten 83
V ZahlenundFakten 87
1 Beschwerden 88
2 Beratungen 88
3 MeldungenvonDatenschutzverletzungen 88
4 Abhilfemaßnahmen 90
4.1 Warnungen,Verwarnungen,AnweisungenundAnordnungen 904.2 Geldbußen 91
5 EuropäischeVerfahren 93
6 FörmlicheBegleitungbeiRechtsetzungsvorhaben 94
Teil B: Bericht nach § 37 Brandenburgisches Polizei-, Justiz- vollzugs-undMaßregelvollzugsdatenschutzgesetz 97
1 VorbemerkungzurÄnderungderRechtslage 98
2 Beanstandung wegen des fehlenden Rahmensicherheitskonzepts der Polizei 98
5
6
3 KennzeichenerfassungssystemKESY 100
3.1 SteindesAnstoßes:ErmittlungenimFalleinerVermissten 1013.2 BeanstandungwegendesVerstoßesgegendieUnterstützungspflicht 1023.3 StellungnahmegegenüberdemLandesverfassungsgericht 1033.4 BeanstandungwegendatenschutzrechtlicherVerstößeundWarnung 104
4 EinsatzvonKörperkameras 106
5 BeratungzurÄnderungdesBrandenburgischenPolizeigesetzes 108
6 Beratung zur Umsetzung der Richtlinie (EU) 2016/680: Brandenburgisches Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz 110
7 ZahlenundFakten 113
TeilC:DieDienststelle 117
1 Öffentlichkeitsarbeit 118
2 Pressearbeit 121
3 PersonalundOrganisationderDienststelle 125
4 NeueAufgabenderLandesbeauftragtenindenDatenschutzgremien 126
4.1 VorsitzineinemnationalenArbeitskreis 1264.2 LändervertretungineinereuropäischenArbeitsgruppe 127
7
8
9
Vorwort
LiebeLeserinnenundLeser,
wennDatenschützerinnenundDatenschützeraufdasJahr2019zu-rückblicken,gehtesinersterLinieumdieErfahrungenmitderDa-tenschutz-Grundverordnung–schließlichwaresdasersteKalender-jahr,indemdasneueDatenschutzrechtdurchgehendvom1.Januarbiszum31.Dezembergalt.Zeitalso,eineersteechteJahresbilanzzuerstellen.IchberichtedeshalbüberdievonmeinerBehördeer-griffenenAufsichtsmaßnahmen,überPrüfungen,ausgewählteFälleundBeratungen,dieeinenQuerschnittderAufgabendarstellen,mitdenenmeineMitarbeiterinnen,Mitarbeiterundichimzurückliegen-denJahrbeschäftigtwaren.
Zwarhaben sichdie anfänglichenUnsicherheitenderVerantwort-lichen inzwischen gelegt.VieleRegelungsinhaltewaren schließlichdochnichtsoneu,wiedieaufgeregteDebattezunächstsuggerier-te.Dennoch zeigen zahlreicheBeschwerden derBürgerinnen undBürger, dass Datenschutzvorschriften teilweise noch immer nichtvollständigumgesetztwerden.AuchanderunverändertintensivenBerichterstattungderMedienlässtsichdasgestiegeneBewusstseinfürdieBedeutungdesDatenschutzesablesen.Berichteübersoge-nannteDatenpannenfindensichdortfasttäglich.DieshatauchmitdenneuenMelde-und Informationspflichten fürdieVerantwortli-chenzutun.ObdiegrößereWahrnehmbarkeitnunbedeutet,dassmehr Datenpannen passieren, oder dass sie in derVergangenheiteinfachnichtbekanntwurden,magdahinstehen.AufjedenFalldürf-tediePflicht,siedenAufsichtsbehördenzumeldenunddieBetrof-fenenzuinformieren,zueinerSensibilisierungderVerantwortlichenbeitragenundbewirken,dassdieseeffektivereSchutzmaßnahmenergreifen.
ZahlreicheBeschwerdenbeidenAufsichtsbehördenzeigen,dassdieEinhaltung von Informations- und Auskunftspflichten der Verant-wortlichen– insbesondere imOnline-Handelbzw.aufPlattformensozialerMedienundNetzwerke–nachwievoreinwesentlichesPro-blemdarstellt.GeradehiersindgroßeundinternationaleKonzerneoftmalsmarktführend.FüreinangemessenesDatenschutzniveauinderWirtschaft istesschonaufgrundderVorbildwirkungfürkleineundmittlereUnternehmenentscheidend,dassgeradedieseGlobal
10
PlayereuropäischeVorschrifteneinhalten.UmdenDatenschutzhierdurchzusetzen, bedarf es konsequenter Entscheidungen der euro-päischen Aufsichtsbehörden – einschließlich der Verhängung vonGeldbußen–ebensowieeinerRechtsprechung,welchedieZieledeseuropäischenVerordnungsgebersklarimBlickbehält.ErsteBeispie-ledafürhabenwirimJahr2019bereitsgesehen.
AuchdieöffentlicheVerwaltunghatbeiderUmsetzungderDaten-schutzvorschriftennocherheblichesPotenzialnachoben.Insbeson-derefehlenvielenStellendieerforderlichenpersonellenundfinan-ziellenKapazitäten.DiesesindabereineVoraussetzungdafür,dassDigitalisierungsprojekte,diegegenwärtigeineHochkonjunkturerle-benundunsnoch langebeschäftigenwerden,gelingen.StaatundKommunen müssen gerade hier das Grundrecht der BürgerinnenundBürgeraufdenSchutzihrerpersonenbezogenenDatengewähr-leisten,umeineAkzeptanzfürdiedigitalenLeistungenzuschaffen.MeineDienststellewird solcheProjekteweiterhin konstruktiv be-gleiten.
NebenderDatenschutz-GrundverordnunghatdieeuropäischeDa-tenschutzreform noch ein zweites Ergebnis hervorgebracht: DieDatenschutzrichtlinie für Justiz und Inneres. In der öffentlichenWahrnehmung führte siebislangzuUnrechtehereinSchattenda-sein.DieRichtliniewirddurchdasimJuni2019inKraftgetreteneBrandenburgischePolizei-,Justizvollzugs-undMaßregelvollzugsda-tenschutzgesetzimLandesrechtumgesetzt.DieseneuenVorschrif-tengeltenspeziellfürPolizei-undJustizvollzugsbehörden.
Mit diesemTätigkeitsbericht komme ich sowohl derVerpflichtungder Datenschutz-Grundverordnung (TeilA) als auch des Branden-burgischen Polizei-, Justizvollzugs- und Maßregelvollzugsdaten-schutzgesetzes (Teil B) zur Vorlage eines jeweils jährlichen Tätig-keitsberichtsnach.Außerdemberichte ichüberdiepersonelleundorganisatorischeEntwicklungmeinerDienststelle(TeilC).
WieimmerwünscheichIhneneineinteressanteLektüre.
DagmarHartge
11
12
13
1 Verfahren bei der Aufsichtsbehörde: Von der Beschwerde bis zur Ahndung des Datenschutzverstoßes 14
2 Unerwünschte Werbung vier Jahre nach Vertragsanfrage 16
3 Veröffentlichung personenbezogener EinwendungengegeneinenRegionalplan 18
4 Videoüberwachung in einer Zahnarztpraxis – Bundesverwaltungsgericht bestätigt Landesbeauftragte 19
5 Weiträumige Videoüberwachung in einem Kultur-undGewerbezentrum 22
6 Videoüberwachung in einem Indoorspielplatz für Kinder 24
7 Übersicht über weitere Maßnahmen undSanktionen 26
8 BerichtderBußgeldstelle 27
8.1 VideoüberwachungimSchwimmbad 28
8.2 ErteilungvonAuskünftenunterfremdemLogo 29
8.3 SicherungvonPatientendatenalsFreundschaftsdienst 31
I Datenschutzverstöße: Maßnahmen und Sanktionen
Teil A: Bericht nach Art. 59 Datenschutz-Grundverordnung
14
1 Verfahren bei der Aufsichtsbehörde: Von der Beschwerde bis zur Ahndung des Datenschutzverstoßes
TagtäglicherreichenunszahlreicheBeschwerdenvonBürgerinnenund Bürgern, die eineVerletzung ihres Rechts auf informationelleSelbstbestimmung vermuten. Sei es, weil sie ungewollt Werbungerhalten, weil sie meinen, von der Videokamera in der Nachbar-schafterfasstzuwerdenoderweileineVertragspartnerinbzw.einVertragspartnerihnenkeineAuskunftüberihredortgespeichertenDatengibt.DieGründesindmannigfaltig.VielfachwirddieGeduldderBeschwerdeführerinnen undBeschwerdeführer auf eine harteProbegestellt, dadasVerfahrenbereitsbeiunserheblicheZeit inAnspruchnehmenkann.DeshalbsollenandieserStelledieSchritteunsererPrüfungnähererläutertwerden.
DemgesetzlichenAuftragfolgend,dieEinhaltungdatenschutzrecht-licher Bestimmungen zu überwachen und konsequent durchzu-setzen,eröffnenwirnachEingangderBeschwerdeimRegelfalleinVerwaltungsverfahren. Dies dient zunächst dazu, den Sachverhaltgenauzuergründen.IneinemerstenSchreibenteilenwirdemausdatenschutzrechtlicherSicht fürdieVerarbeitungderpersonenbe-zogenenDatenVerantwortlichendenGegenstandderBeschwerdemit und geben ihm imRahmen einerAnhörungGelegenheit, zumgeschilderten Sachverhalt Stellung zu nehmen, unsere Fragen zubeantwortenundUnterlageneinzureichen.SolltedieseMöglichkeit,
zurAufklärungdesSachverhaltsfreiwilligbei-zutragen, ungenutzt verstreichen, verpflich-ten wir den Verantwortlichen, uns die not-wendigenAuskünfte zu geben und erlassengegenihneinenförmlichenBescheid.GemäßArtikel58Absatz1BuchstabeaDatenschutz-
Grundverordnung(DS-GVO)i.V.m.§40Absatz4Satz1Bundesda-tenschutzgesetzhabendiederAufsichtunterliegendenStellenso-wiediemitderenLeitungbeauftragtenPersonenaufVerlangendiefürdieErfüllungunsererAufgabenerforderlichenAuskünftezuer-teilen.EineAuskunftkannnuraufsolcheFragenverweigertwerden,derenBeantwortungdenVerantwortlichenselbstodereinenseinerin§383Absatz1Nummer1bis3Zivilprozessordnungbezeichne-tenAngehörigenderGefahrstrafrechtlicherVerfolgungodereinesVerfahrensnachdemGesetzüberOrdnungswidrigkeitenaussetzen
Kein Ergebnis ohne Anhörung
15
würde.IndiesemFallmüssteersichausdrücklichaufdiesesspezielleAuskunftsverweigerungsrechtberufen.
Jetzt sollte derVerantwortliche innerhalb der ihm gesetzten Frist(meist14TageabZustellungdesBescheides)reagieren.Tuterdiesnicht,sosindwirgezwungen,dieFestsetzungeinesZwangsgeldesanzudrohen.VerweigertderVerantwortlichedanachimmernochdieMitwirkung,setzenwireinZwangsgeldfest,welchesgegebenenfallsim Wege des Zwangsvollstreckungsverfahrens beigetrieben wird.DieHöhedesZwangsgeldesbeträgtmindestens10undhöchstens50.000Euro;sobestimmtesdasBrandenburgischeVerwaltungsvoll-streckungsgesetz.InjedemFallsolleinem„Freikaufen“entgegenge-wirktwerden.DieswärenichtakzeptabelundwürdedemWillendesGesetzgebers,dieinRedestehendenpersonenbezogenenDatenvorunbefugterVerarbeitungzuschützen,widersprechen.
Zubeachtenist,dassZwangsmittelsooftundsolangeangewendetwerdenkönnen,bisdieVerpflichtungvollständigerfüllt ist.Zudembesteht die Möglichkeit, Ersatzzwangshaft beim zuständigen Ver-waltungsgerichtzubeantragen,soferndasfestgesetzteZwangsgelduneinbringlichist.
Dazumussesjedochnichtkommen.DiefreiwilligeundrechtzeitigeBereitstellung der angefragten Informationen undUnterlagen gibtdemVerantwortlichenletztlichauchimmerdieGelegenheit,fürihngünstigeTatsachenderAufsichtsbehördeglaubhaftzumachen.Sokann er beispielsweise nachweisen, dass eine Verantwortung imSinnederDatenschutz-Grundverordnungfürdie inRedestehendeDatenverarbeitungnichtbestehtoderdassdieDatenzuRechtver-arbeitetwerden,weileinevertraglicheBeziehungzurBeschwerde-führerinoderzumBeschwerdeführerexistiert.
Mitunter verweigern Verantwortliche die erforderlichen Auskünf-te und drängen uns dazu, stattdessen eine Vor-Ort-Besichtigungdurchzuführen.Aus verschiedenen Erwägungen ist dies allerdingsnicht immeroptimal.GrundsätzlichbestimmtdieBehördeArtundUmfangderErmittlungen.AndasVorbringenunddieBeweisanträgederBeteiligten istsienichtgebunden.Dadurch istesdempflicht-gemäßenErmessenderBehördeüberlassen,welcheMittel sie fürdieErforschungdesSachverhaltsanwendet.ZudemwürdeeineVor-Ort-KontrolledenVerantwortlicheninderRegelnichtdavonbefrei-
16
en,derAufsichtsbehördeAuskünftezuGegebenheitenzuerteilen,diedurcheinesolchenichtermitteltwerdenkönnen,beispielsweise,welcheZweckederVerantwortlichemitderDatenverarbeitungver-folgt.
HatderVerantwortlichealleerforderlichenInformationengegeben,bewertenwir,obdatenschutzrechtlicheBestimmungeneingehaltenoderverletztwerden.Ergibtsichdabei,dassdieVerarbeitungsmo-dalitätennichtimEinklangmitdenRechtsvorschriftenstehenoderstanden, können wir entsprechende Abhilfemaßnahmen ergreifen(beispielsweise eineVerwarnung aussprechen, eineEinschränkungderVerarbeitunganordnenoderanweisen,personenbezogeneDa-tenzulöschen).Artikel58Absatz2DS-GVOstellteinenumfassen-denKatalogvonMaßnahmenzurVerfügung.1AuchindiesemVer-fahrensstadiumgebenwirdenVerantwortlichendieGelegenheit,zudervonunsbeabsichtigtenAbhilfemaßnahmeStellungzunehmen,bevoreinverbindlicherBescheiderlassenwird.Wiebereitsvorste-hendimZusammenhangmitderVerpflichtungzurAuskunftgeschil-dert, kann auch eine angeordneteMaßnahmemittels Zwangsgelddurchgesetztwerden.InschwerwiegendenFällenleitenwireinBuß-geldverfahrenein.DasVerfahrenrichtetsichnachdenVorschriftendesOrdnungswidrigkeitengesetzesinVerbindungmitderStrafpro-zessordnung.
GemäßArtikel78Absatz2DS-GVOinformierenwirBetroffene,diesichbeiunsbeschweren,regelmäßigüberdenVerfahrensstand.Au-ßerdemgebenwirihnendasjeweiligeErgebnisunsererdatenschutz-rechtlichen Prüfung zurKenntnis. Sollten sie hiermit nicht einver-standensein,sostehtes ihnenfrei,dagegenvordemzuständigenGerichtzuklagen.
2 Unerwünschte Werbung vier Jahre nach Vertragsanfrage
ImBerichtszeitraumwandtesicheinBürgeranuns,nachdemereinepersonalisierte Werbesendung eines Versicherungsunternehmenserhaltenhatte.DiedafürverwendetenpersonenbezogenenDatenstammtenauseinerAnfrage,welcheerandasUnternehmengerich-tethatte.AufdieserGrundlageerstelltedieverantwortlicheStelleeinAngebotüberdenAbschlusseinesVersicherungsvertrages.Ein
1 Tätigkeitsbericht 2016/2017, A 2.8.
17
solcherVertragkamletztlichjedochnichtzustande.Umdenspäte-renBeschwerdeführerdochnochalsKundenzugewinnen,griffdasUnternehmenvierJahrespäteraufdieseDatenzurückundversand-te einWerbeschreiben,wobei neben denKontaktdaten auch ein-zelneAngabenausderVertragsanfrageverwendetwurden,umeinpassendes, auf den potenziellen Kunden zugeschnittenes Produktpräsentierenzukönnen.
Eine Verarbeitung personenbezogener Daten ist gemäß Artikel 6Absatz1Datenschutz-Grundverordnung(DSGVO)nurdannrecht-mäßig,wenneinerderdortgenanntenErlaubnistatbeständeerfülltist.ImvorliegendenFallhattediebetroffenePersonwederihreEin-willigungzudererneutenVerarbeitunggegeben(Artikel6Absatz1BuchstabeaDS-GVO),nochwardieVerwendungderDatenfürdieErfüllungeinesVertrageserforderlich(Artikel6Absatz1BuchstabebDS-GVO). Zu letztgenanntemZweck ist eineDatenverarbeitungerlaubt,soweitsieobjektivfürdieErfüllungoderDurchführungei-neskonkretenVertragesodervorvertraglicherMaßnahmen,dieaufAnfragederbetroffenenPersonerfolgen,erforderlichist.VordiesemHintergrundwardieursprünglicheVerarbeitungpersonenbezogenerDaten zum Zwecke der Angebotserstellung vor vierJahren legitim. Die nachfolgende, weitere Verarbei-tungzuZweckenderWerbungwareshingegennicht.
Auch konnte die konkrete Datenverarbeitung nichtauf die Rechtsgrundlage zur Wahrung berechtigterInteressendesVerantwortlichengemäßArtikel6Ab-satz 1 Buchstabe f DS-GVO gestützt werden. ZwarkannnachErwägungsgrund47DS-GVOdieVerarbei-tungpersonenbezogenerDatenzumZweckederDirektwerbungalseineeinemberechtigten InteressedienendeVerarbeitungbetrach-tetwerden.AllerdingssindimRahmendernachArtikel6Absatz1BuchstabefDS-GVOanzustellendenInteressenabwägungauchdieInteressen,GrundrechteundGrundfreiheitenderbetroffenenPer-sonzuberücksichtigen.
GrundsätzlichhatderGesetzgeberdemSchutzderpersonenbezoge-nenDateneinbesonderesGewichtbeigemessenundverlangteineAbwägungmitdenInteressendesVerantwortlichenoderDritteranderBeschaffung,VerwendungundOffenlegungsolcherDaten.Maß-geblichsindhierbeidievernünftigenErwartungenderbetroffenenPerson. Kann diese zumZeitpunkt derDatenerhebung angesichts
Berechtigte Werbeinteressen bestehen nicht ewig.
18
dernäherenUmständenichtabsehen,dasseineDatenverarbeitungfür einen bestimmten Zweck stattfindenwird, überwiegen die In-teressenundGrundrechtederbetroffenenPerson regelmäßigdasInteressedesVerantwortlichen.Liegtder letztegeschäftlicheKon-takt–wieindiesemFall–mehralsvierJahrezurückundkommtderVertragnichtzustande,erwartetdiebetroffenePersonnicht,dassalteDatenausderVertragsanbahnungplötzlichwiederfürdiewerb-lichenZweckederKundengewinnunggenutztwerden.
BeiderPrüfungdeszugrundeliegendenProzessesfürdieAuswahlderEmpfängervonWerbesendungenstelltenwirsodannfest,dassdasDatumdes letztengeschäftlichenKontaktsvomUnternehmendurchaus berücksichtigt wird. Die Daten des Beschwerdeführershättendanachnichtausgewähltwerdendürfen.Aufgrundeinesin-dividuellenBearbeitungsfehlersgeschahdiesdennoch.UmdemUn-ternehmendenVerstoßvorAugenzuführenundfürdensorgsamenUmgang mit personenbezogenen Daten weiter zu sensibilisieren,sprachdieLandesbeauftragteeineVerwarnungnachArtikel58Ab-satz2BuchstabebDS-GVOaus.
3 Veröffentlichung personenbezogener Einwendungen gegen einen Regionalplan
DieRegionalplanungisteinwesentlichesInstrumentfürdieUmset-zungderübergeordnetenlandesplanerischenFestlegungenausdemLandesentwicklungsprogrammunddenLandesentwicklungsplänen.MitdemGesetzzurRegionalplanungundzurBraunkohlen-undSa-nierungsplanungwurdenfünfRegionalePlanungsgemeinschaftenimLandBrandenburggebildet.BeiderErarbeitungderRegionalplänedurchdieRegionalenPlanungsgemeinschaften isteineBeteiligungderÖffentlichkeitnach§9Raumordnungsgesetzdurchzuführen.
ImRahmeneiner solchenBeteiligunghat dieRegionalePlanungs-gemeinschaft Prignitz-Oberhavel Einwendungen von Bürgerinnenund Bürgern gegen den Regionalplan ins Internet eingestellt unddabeiversäumt,diepersonenbezogenenDatenderEinbringendenunkenntlichzumachen.DarüberbeschwertensichmehrereBetrof-fene. Auch die Regionale Planungsstelle meldete uns denVorfall.Sieteiltemit,dassvonderunzureichendenAnonymisierungindemveröffentlichtenBerichtcirca3.000Personenbetroffenwaren.DerFehlerwurdebehoben,indemderBerichtausdemInternetentferntundhinreichendanonymisiertneueingestelltwurde.
19
Wiewir feststellten,warendiepersonenbezogenenDatenmehre-reTagefreiimInterneteinsehbar,ohnedassdiegenanntenPerso-nenhierzu ihreEinwilligungerteilthatten.DieNamenwarenzwarimDokumentmittelsgrauerBalkenaufdenerstenBlickverdeckt,siekonntenjedochdurchMarkierungdesFeldesundÜbertragung in ein anderes Programm sichtbar ge-machtwerden.Umzuverhindern,dassdie IdentitätderbetroffenenPersonendurchUnbefugtebestimmtwerdenkann,wardieseFormderAussonderungun-tauglich.
UnserePrüfungdesSachverhaltsergab,dassdievonder unrechtmäßigen Veröffentlichung betroffenenDatenkategoriengrundsätzlicheinemnormalenSchutzbedarfunter-lagen.VoneinemerhöhtenRisikofürdieBetroffenenwardurchdieversehentlicheVeröffentlichungderDatenimInternetnichtauszu-gehen.Der nachweisbareZeitraumderOffenlegung umfasste nurwenige Tage. Dennoch hat die Landesbeauftragte gegenüber derRegionalenPlanungsgemeinschafteineVerwarnungnachArtikel58Absatz2BuchstabebDatenschutzgrundverordnung(DS-GVO)aus-gesprochen,dadiesegegendenGrundsatzder IntegritätundVer-traulichkeitgemäßArtikel5Absatz1BuchstabefDS-GVOsowiege-gendenGrundsatzderSicherheitderVerarbeitunggemäßArtikel32DS-GVOverstoßenhat.DieGemeinsameLandesplanungsabteilungBerlin-Brandenburgwurdein ihrerFunktionalsRechtsaufsichtsbe-hördeüberdieVerwarnungunterrichtet.
4 Videoüberwachung in einer Zahnarztpraxis – Bundesverwaltungsgericht bestätigt Landesbeauftragte
Eine Zahnärztin hatte im für jedermann zugänglichen Empfangs-undWartebereich ihrerPraxiseineVideoüberwachungskamera in-stalliert.DervorhandeneEmpfangstresenblieb,daPersonalfehlte,regelmäßigunbesetzt.UmdennochdenEmpfangsbereichderPraxisimBlickhabenzukönnen,übertrugdieKamerainEchtzeitdasGe-schehenaufMonitoreindieBehandlungszimmer.DieBilderwurdennichtgespeichert.AnderPraxistürwieseinSchildmitderAufschrift„videogesichert“aufdieVideoüberwachunghin.
AufgrundeinerBeschwerdeprüftenwirdieZulässigkeitdieserDa-tenverarbeitung.ImErgebnisordnetedieLandesbeauftragtebereits
Untaugliche Schwärzung führt zu Datenübermittlung
20
imJahr2012an,dieKamerasoauszurichten,dassderfürPatientin-nenundPatientensowiesonstigeBesucherinnenundBesucherzu-gänglicheBereichnichtmehrerfasstwird.InsoweitsahenwireinenVerstoßgegendatenschutzrechtlicheVorschriftengegeben.Hierge-genwehrtesichdieZahnärztinerfolglosdurchalleGerichtsinstan-zen.ZuletztbestätigtedasBundesverwaltungsgerichtdieRechtmä-ßigkeitunsererAnordnung.2
SoentschiedendieRichter, dass dervonderZahnärztin angegrif-feneVerwaltungsaktalleinnachaltemRecht,nichtjedochnachderzwischenzeitlichinKraftgetretenenDatenschutz-Grundverordnung(DS-GVO)beurteiltwerdenmuss.Anzuwenden sei dasRecht, daszum Zeitpunkt der letzten Behördenentscheidung Geltung hatte.ImvorliegendenFallwardemgemäßderErlassdesWiderspruchs-bescheidsimJanuar2013derfürdieBeurteilungderRechtmäßig-keitmaßgeblicheZeitpunkt.DieRechtmäßigkeitunsererAnordnungwurdefolglichnachdembisMai2018geltendeBundesdatenschutz-gesetzgeprüft.
Die Zahnärztin hatte vorgetragen, dieVideoüberwachung sei vonberechtigtenInteressengedeckt.DazuführtesiemöglicheStrafta-tenwiedenDiebstahlvonimEmpfangstresenaufbewahrtenBetäu-bungsmittelnodervonWertsachenan.EbensoseieinEingreifeninNotfällenmöglich,beispielsweisewenn„eingespritzte“PatientinnenundPatientennachderBehandlungnoch imWartezimmer sitzen.ÜberdiesdienedieKameraderSenkungderPersonalkosten.
DasGerichtfolgtederbisherigenRechtsprechung,wonachdieVer-hinderung und Aufklärung von Straftaten zwar grundsätzlich einberechtigtesInteressedarstellenkönnen.Jedochseiensienurdannzur Rechtfertigung heranziehbar, wenn sich aus tatsächlichen Er-kenntnissen eineGefährdungslage ergibt, die über das allgemeineLebensrisiko hinausgeht. Reine Befürchtungen genügen nicht. Zu-demkönntevorbeugenddaraufverzichtetwerden,Betäubungsmit-tel im unbesetzten Empfangstresen aufzubewahren. PatientinnenundPatientenkönntenaufgefordertwerden,ihreWertsachenindieBehandlungsräumemitzunehmen.
AndersalsvonderKlägerinangenommen,istdieVideoüberwachungauchnichtzulässig,umPatientinnenundPatienten,dienacheiner
2 Urteil des Bundesverwaltungsgerichts vom 27. März 2019, 6 C 2.18.
21
Betäubungsspritze imWartezimmer sitzen, imNotfall betreuen zukönnen.BereitsdieVorinstanzhattedeutlichgemacht,dassmilde-reMitteldieseZweckeebensoerfüllen–beispielsweisederEinsatzzusätzlichenPersonalsodereinNotfallknopf.NichtüberzeugtzeigtesichdasBundesverwaltungsgerichtvondempauschalenVerweisderKlägerinauferheblichhöherePersonalkostenimFalledesVerzichtsaufeineKamera.ZwarhandeleessichdurchausumeinberechtigtesInteresse,Betriebskostenzusenken.DieZahnärztinhabeabernichtdarlegt,dasssiedieseKostennichtauchdurchandereMaßnahmen,beispielsweise durch organisatorischeUmstrukturie-rungen, hätte vermeiden können. Kosteneinsparun-genalleinkönnendieZulässigkeiteinerVideoüberwa-chungkeinesfallsbegründen.
Zwar beurteilte das Bundesverwaltungsgericht denFall nach der alten Rechtslage, äußerte sich aberauchzur seitMai2018geltenden.Esmachteunmi-ssverständlich klar, dass die Zulässigkeitsvoraussetzungen einerVideoüberwachungdurchnichtöffentlicheStellen, zudenenauchniedergelasseneÄrztinnenundÄrztezählen,abschließendinArtikel6Absatz1DS-GVOgeregelt sind.DerartigeDatenverarbeitungenkönnennichtaufArtikel6Absatz1BuchstabeeDS-GVOgestütztwerden,denndiesewerden–imGegensatzzuBehörden–nichtzurErfüllungeinerAufgabe,die imöffentlichen Interesse liegtoder inAusübungöffentlicherGewalt tätig.DemzufolgeerfassendieÖff-nungsklauselndesArtikels6Absatz2und3DS-GVO,diedemnatio-nalenGesetzgeberdieMöglichkeitgeben,weitereRechtsgrundlagenzu schaffen, nicht die Datenverarbeitungen privaterVerantwortli-cher.DienationaleBestimmungin§4Absatz1Satz1Bundesdaten-schutzgesetzinderaktuellenFassungistdahermitdemEuroparechtunvereinbar und imErgebnis nicht anzuwenden.Nicht öffentlicheStellenkönnenVideokamerasinderRegelnuraufderRechtsgrund-lagedesArtikel6Absatz1BuchstabefDS-GVObetreiben.AuchbeiderBeurteilungnachdieserneuenNormkommtesaufdieAbwä-gungdes berechtigten Interesses desVerantwortlichenmit denender Betroffenen an. Diesbezüglich verwiesen die Richter auf ihrevorherigeArgumentationzuraltenRechtslage.
Kosteneinsparung kein Argument für Videoüberwachung
22
5 Weiträumige Videoüberwachung in einem Kultur- und Gewerbezentrum
DieHausverwaltungeinesGebäudekomplexesbetrieb14Videoka-meras.DieVideobilderwurdenfürdreiTagegespeichert,außerdemkam eine Nachtsichtfunktion zum Einsatz. Von der Überwachungwaren sowohl zahlreiche Gewerbetreibende, Besucherinnen undBesucher des Komplexes als auchBewohnerinnen undBewohnereinesMietshausesbetroffen.NebeneinerFleischereiundeinerAu-towerkstattbefandensichu.a.eineDiskothekundeinTheater imErfassungsbereichderKameras.AlsZweckenannteunsdieHaus-verwaltung insbesondere eine Besserung der Sicherheitslage, denSchutzvorDiebstahlundVandalismussowiedieMöglichkeit,Täte-rinnenundTäterverfolgenzukönnen.
Gemäß Artikel 6 Absatz 1 Datenschutz-Grundverordnung (DS-GVO)isteineDatenverarbeitungnurzulässig,wenndiebetrof-fenenPersoneneingewilligthabenodereineanderegesetzlicheEr-laubnisnormerfülltist(VerbotmitErlaubnisvorbehalt).IndiesemFallkonnte sichdieZulässigkeit nur ausArtikel 6Absatz1BuchstabefDS-GVOergeben.NachdieserNormsinddieberechtigtenInter-
essen, die derVerantwortlichemit derDa-tenverarbeitung verfolgt, gegen die Rechteund Interessen der von der Videoüberwa-chungBetroffenenabzuwägen.Dieanderenin Artikel 6 Absatz 1 DS-GVO genanntenVoraussetzungen lagen nicht vor. Darüber
hinauskam§4Absatz1Bundesdatenschutzgesetz (BDSG)alsEr-laubnisnormfürdieVideoüberwachungnichtinBetracht,dafürdieAnwendung dieser Regelung aus europarechtlichen Gründen keinRaumbleibt.3
ZudenberechtigtenInteressendesArtikel6Absatz1BuchstabefDS-GVOzählenallenichtvonderRechtsordnungmissbilligtenInter-essenrechtlicher,wirtschaftlicheroderideellerArt.AufreineBlan-kettformeln,wiedervonderHausverwaltungverfolgteZweckder„BesserungderSicherheitslage“,kanndieVideoüberwachungjedochnichtgestütztwerden.
3 siehe A I 4
Videoüberwachung nur mit Augenmaß
23
Soweit die Hausverwaltungmit derVideoüberwachung beabsich-tigte,dieBegehungvonStraftatenwieDiebstahlundSachbeschä-digungenzuverhindernunddieTatenverfolgenzukönnen,warzuberücksichtigen,dasszurErreichungdieserZweckeAlternativenzurVerfügungstanden,wiez.B.einebessereBeleuchtungundhäufige-reKontrollendurchdenHausmeisteroderzusätzlichesSicherheits-personal.DennhöhereKostenallein—etwadurchdenEinsatzvonzusätzlichemPersonal—führennichtdazu,dassAlternativmaßnah-menvonvornhereinaußerBetrachtbleibendürfen.
Hinzukam,dasskeinekonkretbegründete,überdemDurchschnittliegende Gefahr für die Begehung der befürchteten Delikte be-stand.EinebloßeBehauptungoderdieallgemeineVermutung,dassRechtsverletzungen zu erwarten sind, verleiht dem Interesse desVerantwortlichenkeinhöheresGewicht.AuchderHinweis,dasssichdasGelände ineinerGrenzregionbefinde,genügtenicht,umeineGefährdungslageanzunehmen.
Aufseiten der Betroffenenwar zu berücksichtigen, dass sie anlas-sloserfasstwurden, ihreBilddatendurchdieSpeicherungfüreineweitereAufbereitung,AuswertungundVerknüpfungmitanderenIn-formationenzurVerfügungstandenundsiesoeinemMissbrauchs-risikoausgesetztwaren.EineVideoüberwachungisteinerheblicherEingriffindieRechtederbetroffenenPersonen,wenndiesehierfürkeinen ihnen zurechenbarenAnlass, etwadurchRechtsverletzung,geschaffenhaben, sondern alsUnbeteiligtemitbetroffen sind.DieMieterinnenundMieterdesimErfassungsbereichliegendenWohn-hauses hatten zudem keine Ausweichmöglichkeit und gerietenzwangsläufigindenErfassungsbereichderVideokameras,ohnesichdiesementziehenzukönnen.
ImErgebniswardasBetreiberinteressebeifastallenKamerasinderAbwägunggeringerzubewerten,alsdasInteressederbetroffenenPersonen,nichtungewolltObjekteinerVideoüberwachungzuwer-den.
Hiervonausgenommenwarenallerdings zweiKameras,mitdeneneingroßflächigesWandgemälde,welchesdemGewerbezentrumalsWahrzeichendiente,vorSchmierereiengeschütztwerdensollte.DaeinkonkreterVorfallnachgewiesenwerdenkonnteundimunmittel-barenBereichdesGemäldeskaumPersonenvonderVideoüberwa-chungbetroffenwaren,konntesieaufdieRechtsgrundlagedesArti-
24
kel6Absatz1BuchstabefDS-GVOgestütztwerdenundwardamiterlaubt.AuchdieVideokameras,dieunmittelbarumdieDiskothekdasGeländeausunterschiedlichenPerspektivenfilmten,warennachaktuellenGewaltvorfällen, dieweitere schwere körperlicheAusei-nandersetzungenbefürchtenließen,wegendesüberwiegendenIn-teressesdesVerantwortlichenzulässig–allerdingsnurwährendderÖffnungszeitenderDiskothek.
UmdieunzulässigenDatenverarbeitungenzuunterbinden,machtedieLandesbeauftragtevonihrerBefugnisgemäßArtikel58Absatz2Buchstabe fDS-GVOGebrauch,die es ihr alsAufsichtsbehördegestattet,einevorübergehendeoderendgültigeBeschränkungderVerarbeitung,einschließlicheinesVerbots,zuverhängen.
DenBetrieb derKameras, die u. a. dasWohnhaus, einBistro, dieFleischerei und Parkplätze erfassten, untersagte die Landesbeauf-tragtekomplettundverpflichtetedenBetreiber,diesdurchgeeigne-teMaßnahmensicherzustellen.InFragekommthierfürnebeneinemmechanischenAbdeckenderObjektivevorallemderAbbauderGe-räte.BezogenaufdieKameras,diedasWandgemäldefilmten,dane-benjedochauchgroßflächigParkplätzeundHausfassadenerfassten,wurde dem Verantwortlichen aufgegeben, den Erfassungsbereichauf die unmittelbare Umgebung desWandgemäldes zu beschrän-ken. In Bezug auf die Kameras, die nach denGewaltvorfällen derDiskothekzumEinsatzkamen,verpflichtetedieLandesbeauftragtedieHausverwaltung,denBetriebaußerhalbderÖffnungszeitendesClubszuunterlassen.
GegendenBescheidhatderVerantwortlicheKlageeingereicht.DiegerichtlicheEntscheidungstehtnochaus.
6 Videoüberwachung in einem Indoorspielplatz für Kinder
UmineinemIndoorspielplatzfürSchutzvorDiebstählenundEinbrü-chenzusorgen, filmtederVerantwortlichemitachtVideokamerasvorallemArbeitsplätzevonBeschäftigtensowiedieGastronomie-bereiche. Daneben sollten die Kameras der Sicherheit der Kinderdienen.JedocherfasstenureineKameraeinenBereich,derdenKin-dernzumSpielenvorbehaltenwar.DieBilderwurdenzwargespei-chert,abernichtvomPersonalinEchtzeitbeobachtet.
25
UmauchinschwereinsehbarenBereicheneineAufsichtzuermög-lichen, kann der Einsatz einerVideokamera grundsätzlich zulässigsein.Das setzt jedochvoraus,dassdieVideobilder inEchtzeitge-sichtet werden, um bei Gefahr sofort eingreifen zu können. EineBildspeicherungistfürdiesenZweckhingegennichterforderlich.
BeidenKameras,dievornehmlichMitarbeiterinnenundMitarbeiteranihremArbeitsplatzsowiedieArealemitGastronomiebetriebfilm-ten,warsowohlbeidenbetroffenenBeschäftigtenalsauchbeidenmit Giro- oder Kreditkarte an denTheken bezahlenden Personenundden sich imBarbereichaufhaltendenGästenvoneinemnichtunerheblich schwerenEingriff in ihreDatenschutzrechte auszuge-hen.DemgegenüberwardasInteressedesVerantwortlichenandenVideobilderndurchkeineerheblichüberdasallgemeineLebensrisikohinausgehendeGefährdungslagebegründetunddaheralsgeringzubewerten.ImErgebniskonntedieVideoüberwachungnichtaufdieRechtsgrundlagedesArtikel6Absatz1Buchstabe fDatenschutz-Grundverordnung(DS-GVO)gestütztwerden.
GemäßArtikel58Absatz2BuchstabefDS-GVOuntersagtedieLan-desbeauftragtedenBetrieb allerKameras zuZeiten, indenenderIndoorspielplatzfürGästegeöffnetist.AusgenommenwareineKa-mera, die einen schwer einsehbarenBereich im Spielplatzangebotfilmte.BeidieserwurdelediglichdieBildspeicherunguntersagt.Da-mitbleibtesdemVerantwortlichenunbenommen,eineEchtzeitbe-obachtungzuAufsichtszweckenvorzunehmen.
DanebenordnetedieLandesbeauftragtegemäßArtikel58Absatz2BuchstabedDS-GVOan,dassderVerantwortlicheeineelektroni-scheProtokollierungallerZugriffeaufdasKamerasystemeinzurich-tenhat.NachArtikel5Absatz2DS-GVOistderVerantwortlichefürdieEinhaltungderinArtikel5Absatz1DS-GVOnormiertenGrund-sätzeverantwortlich.DazugehörtauchderGrundsatzderRechtmä-ßigkeit derVerarbeitung.Artikel 5Absatz 2DS-GVOverlangt au-ßerdem, dassderVerantwortlichedieEinhaltungdesGrundsatzesnachweisenkann.EineelektronischeProtokollierungallerZugriffeaufdasKamerasystemistdafüreingeeignetesInstrument.
DerVerantwortlicheistderAnordnungvollumfänglichnachgekom-menundhatdiesnachgewiesen.
26
7 Übersicht über weitere Maßnahmen und Sanktionen
Die Datenschutz-Grundverordnung (DS-GVO) gibt der Landesbe-auftragten verschiedene Instrumente an die Hand, mit denen sieVerantwortlichezueinerrecht-undordnungsgemäßenDatenverar-beitunganhaltenkann.SiekanndieVerantwortlichenwarnenundverwarnen,bestimmteHandlungenoderUnterlassungenerzwingenundeineDatenverarbeitungauchgänzlichverbieten.ObeineMaß-nahmeergriffenwirdund,wennja,welche,liegtimpflichtgemäßenErmessen der Landesbeauftragten. Der Grundsatz der Verhältnis-mäßigkeitistzubeachten.Erverlangt,dasseineMaßnahmegeeig-netist,umdasmitihrbezweckteZielzuerreichen.DieMaßnahmemussaußerdemineinemangemessenenVerhältniszumUmfangundGewichtdes festgestelltenVerstoßesgegendatenschutzrechtlicheVorschriftenstehenunddabeidemPrinzipdesmildestenMittelsge-rechtwerden.
ImBerichtszeitraumhatdieLandesbeauftragtein20Fällenvondenihr inArtikel58Absatz2DS-GVOeingeräumtenBefugnissenGe-brauchgemacht.4SechsMaßnahmenrichtetensichgegenBehördenundsonstigeöffentlicheStellendesLandesBrandenburg,14Maß-nahmengegennichtöffentlicheStellen.
DengrößtenAnteilmachtenVerwarnungennachArtikel58Absatz2BuchstabebDS-GVOaus.Siewurdenzehnmalausgesprochen.MitderVerwarnungwirdeinVerstoßgegenPflichtennachderDaten-schutz-GrundverordnungförmlichfestgestelltundderVerantwort-lichedeshalbverwarnt.WeitereFolgenergebensichfürihndarauszunächstnicht;verstößter jedocherneutgegendieDatenschutz-Grundverordnung,mussermitweitergehendenKonsequenzen,ins-besonderemitderEinleitungeinesOrdnungswidrigkeitenverfahrensrechnen.Verwarnungenwurdenu.a.erteiltwegeneinesfehlendenVertrags zur Auftragsverarbeitung, der verspäteten Reaktion aufAuskunftsersuchen und Löschungsbegehren von Betroffenen so-wiewegenunzulässigerÜbermittlungpersonenbezogenerDatenanDritte.
WarnungennachArtikel58Absatz2BuchstabeaDS-GVOwurdenviermalausgesprochen.IndiesenFällenhateinVerstoßgegenDa-
4 Die Einleitung von Bußgeldverfahren bleibt hierbei außer Betracht, siehe A I 8.
27
tenschutzvorschriftennochnichtstattgefunden,dieentsprechendeDatenverarbeitungistjedochbeabsichtigt.WiebeiderVerwarnungergebensichfürdenjeweiligenVerantwortlichenausderWarnungnochkeineunmittelbarenFolgen.NimmterdieDatenverarbeitungjedoch trotz derWarnung auf,muss ermit einemBußgeldverfah-ren rechnen, davon einemvorsätzlichenHandeln inKenntnis derRechtswidrigkeitauszugehenist.
DieLandesbeauftragtehatinsgesamtsechsAnordnungenerlassen.IndreiFällenwurdedieÜberwachungmitVideokamerasnachArti-kel58Absatz2BuchstabefDS-GVOteilweiseuntersagt.5IneinemFall erhielt einUnternehmen gemäßArtikel 58Absatz 2Buchsta-becDS-GVOdieAnweisung,einemBetroffenenAuskunftüberdiezuseinerPersongespeichertenDatenzuerteilen;zweimalwiesdieLandesbeauftragtegemäßArtikel58Absatz2BuchstabedDS-G-VOVerantwortlichean,BearbeitungsvorgängeaufbestimmteWeiseund innerhalbeinerbestimmtenFristmitderDatenschutz-Grund-verordnunginEinklangzubringen.DiesbetrafdieErstellungeinesVerzeichnissesvonVerarbeitungstätigkeitenunddasEinstelleneinerDatenschutzerklärungaufderWebseiteeinesVerantwortlichen.
Insgesamt lässt sich feststellen, dass die Datenschutzverletzun-gen,vondenenwirdurchBeschwerdenBetroffener,AnfragenderVerantwortlichen oder Prüfungen erfahren, nicht zwingend Maß-nahmen und Sanktionen der Aufsichtsbehörde nach sich ziehen.VielfachführtbereitseinerstesAnhörungsschreibenandenVerant-wortlichendazu,dassereinenVerstoßumgehendabstellt,oder,fallsdiesernichtmehrrückgängiggemachtwerdenkann,EinsichtzeigtundunsdievonihmgetroffenenVorkehrungendarlegt,mitdenenerzukünftigeVerstößeunterbindet.
8 Bericht der Bußgeldstelle
Im diesjährigen Berichtszeitraum führten wir Ordnungswidrigkei-tenverfahrenwegendatenschutzrechtlicherVerstößesowohlgegennichtöffentlicheStellenalsauchgegenMitarbeiterinnenundMitar-beiteröffentlicherStellendurch.In11FällenschlossenwirdasVer-fahrenmitderFestsetzungeinerGeldbußeab.ImWesentlichenkamhierbeinochdie alteRechtslage zurAnwendung,dadiebegange-nenOrdnungswidrigkeitenzumeistvordem25.Mai2018beendetwordenwaren.Wirbefasstenunsunteranderemmitunzulässigen
5 siehe u. a. A I 5 und 6
28
Videoüberwachungen,nichtordnungsgemäßabgeschlossenenAuf-trags(daten)verarbeitungsverträgennachalterundneuerRechtslageunddemmangelhaftenUmgangmitPatienten-undMitarbeiterda-ten.
UnabhängigvondenfolgendendreiexemplarischaufgeführtenFäl-lenwarenauchindiesemBerichtszeitraummehrereunbefugteAb-rufeausdienstlichgenutztenDatenbankendurchMitarbeiterinnenundMitarbeiteröffentlicherStellen(insbesonderedurchPolizeibe-dienstete)zuverzeichnen.AndieserStelleseierneutdaraufhinge-wiesen,dasseinsolcherAbrufnurgestattetist,wenneinedienstlicheNotwendigkeitvorliegt.PrivateGründekönneneinesolcheAbfragenichtrechtfertigenundwerdenalsOrdnungswidrigkeitverfolgt.
8.1 Videoüberwachung im Schwimmbad
Der Betreiber eines Schwimmbads verstieß gegen datenschutz-rechtlicheVorgaben,indemerimSchwimmbadinunzulässigerWei-semittelsVideokamerasdiesichdarinaufhaltendenPersonen(u.a.Gäste,MitarbeiterinnenundMitarbeiter)filmteunddieAufnahmenspeicherte.DarüberhinausunterließeresübermehrereJahre,eineDatenschutzbeauftragte bzw. einen Datenschutzbeauftragten zubestellen und versäumte den rechtzeitigen Abschluss eines ord-nungsgemäßenAuftragsverarbeitungsvertragesmitdemDienstleis-tungsunternehmen,dasmitderWartungderVideoüberwachungs-
anlagebeauftragtwar.
Jeder der genanntenSachverhalte stellte ei-nen eigenständigenVerstoß gegen das zumdamaligenZeitpunktanwendbareBundesda-tenschutzgesetz (BDSG) dar. Bezüglich derVideoüberwachung handelt ordnungswidrig,wer nach § 43 Absatz 2 Nummer 1 BDSG
(vorsätzlichoderfahrlässig)unbefugtpersonenbezogeneDaten,dienichtallgemeinzugänglichsind,erhebtoderverarbeitet.Davon istdasFilmenundanschließendeSpeichernderAufnahmenumfasst.UnbefugtistdieDatenerhebungbzw.-verarbeitungdann,wennsiewederaufeineEinwilligungderbetroffenenPersonennochaufeineandereRechtsgrundlagegestütztwerdenkann.EineEinwilligungindieVideoüberwachung lagnichtvor.Die jeweils inBetracht kom-menden Rechtsgrundlagen waren größtenteils schon deswegennichteinschlägig,weilesanderErforderlichkeitderVideoüberwa-
Gäste und Beschäftigte unter
Beobachtung
29
chungzudenvomBetreiberangeführtenZweckenfehlte.Darüberhinaus überwogen die Interessen der betroffenen Personen, beimBesuchdes Schwimmbadesoder bei derVerrichtung ihrerArbeit-stätigkeiten mittels Videokameras nicht gefilmt zu werden. DerBetreibererkanntediesunterAußerachtlassungdererforderlichenSorgfaltnicht.ErhättesichallerdingsvorderInstallationderVideo-kameras rechtlichenRat über derenZulässigkeit einholen können.InsofernbegingerdieOrdnungswidrigkeitfahrlässig.
Darüber hinaus unterließ er es fahrlässig, rechtzeitig eine Daten-schutzbeauftragte bzw. einen Datenschutzbeauftragten für dasSchwimmbad zu bestellen, obwohl diese Verpflichtung gesetzlichverankertist.SchließlichversäumteesderBetreiberebenfallsfahr-lässig, mit dem mit der Wartung der Videoüberwachungsanlagebetrauten Dienstleistungsunternehmen einen ordnungsgemäßenVertrag zur Auftragsdatenverarbeitung abzuschließen. Ein solcheristimmerdannerforderlich,wennpersonenbezogeneDatenimAuf-tragdurchandereStellenerhoben,verarbeitetodergenutztwerden.HierzugehörtauchderEinsatzeinesDienstleistungsunternehmens,dasWartungenvornimmtundbeidemnichtausgeschlossenwerdenkann,dassesaufpersonenbezogeneDatenzugreift.DerAbschlusseinesVertrages unterblieb imvorliegenden Fall.Die Landesbeauf-tragteverhängteinderSummefürallegenanntenVerstößeeinBuß-geldinHöhevon12.000Euro.
8.2 Erteilung von Auskünften unter fremdem Logo
Ein Unternehmen verstieß gegen das in der Datenschutz-Grund-verordnung (DS-GVO) festgelegte Gebot, einen Auftragsverarbei-tungsvertrag schriftlich abzuschließen, obwohl es im Rahmen derAuskunftserteilungnachArtikel15DS-GVOeinenDienstleisterein-setzte,derZugriff aufdie fürdieAuskunftserteilungnotwendigenpersonenbezogenenDatenderAntragstellerinnenundAntragstellerhatte.DieKorrespondenzimRahmenderAuskunftserteilungwurdeunterdemLogodesDienstleistersdurchgeführt.DieAntragstelle-rinnenundAntragstellerwusstennicht,dassessichhierbeiumdenDienstleisterdesUnternehmenshandelte.Insofernkonntensienichterkennen,werderVerantwortlichederDatenverarbeitungwar.DasUnternehmenkontaktiertediebetroffenenPersonennachAntrag-stellungzurAuskunftserteilungzunächstnurinenglischerSprache.
30
Nach Artikel 28 Absatz 9 DS-GVO ist der Vertrag zur Auftrags-verarbeitung schriftlich zu schließen. Die Regelung verfolgt damitDokumentations-, Beweissicherungs- und Authentizitätssiche-rungszwecke.Die Schriftform soll sicherstellen, dass die Parteien,die in dem Dokument genannt sind, sich zu den eingegangenenVerpflichtungen mit dem konkreten Inhalt bekennen. Es wird in-sofernaufeinehöhereRechtssicherheitabgezielt.NachArtikel83 Absatz4BuchstabeaDS-GVOwirdbeieinemVerstoßgegendasGebot, einen Auftragsverarbeitungsvertrag schriftlich abzuschlie-ßen,eineGeldbußevonbiszu10MillionenEurooderimFalleeinesUnternehmensvonbiszu2%seinesgesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäftsjahresverhängt, jenachdemwelcherderBeträgehöher ist.DasUnternehmen führtediesenVerstoßfahrlässigherbei.
Artikel83Absatz5DS-GVOeröffneteinennochhöherenBußgel-drahmenfürVerstöße,dieinseinemKatalogaufgeführtsind.DanachwerdenGeldbußenvonbiszu20MillionenEurooderimFalleinesUnternehmensvonbiszu4%seinesgesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäftsjahresverhängt, jenachdem,welcherderBeträgehöherist.HiervonumfasstsindVer-stöße gegendieRechteder betroffenenPerson gemäßArtikel 12DS-GVO.DieseNormverpflichtetdenVerantwortlichen,geeigneteMaßnahmenzutreffen,umderbetroffenenPersonzumBeispielalleMitteilungengemäßdemArtikel15DS-GVO(also imRahmenderAuskunftserteilung) in präziser, transparenter, verständlicher undleichtzugänglicherFormzuübermitteln.DasUnternehmenhatda-durch,dassesdieAntragstellerinnenundAntragstellernichtdarüber
aufklärte,dassessichbeidemeingesetztenDienstleister um einen Auftragsverarbeiterhandelteunddass, trotzErteilungderAus-kunft unter dem Logo des Dienstleisters,das Unternehmen selbst für die Datenver-arbeitungverantwortlichblieb,gegendeninArtikel12DS-GVOniedergelegtenTranspa-renzgrundsatzverstoßen.DieRegelung soll
sicherstellen, dass die Datenverarbeitung der personenbezogenenDaten des Betroffenen, etwaige Risiken, Garantien und Betrof-fenenrechtesowiedieAufklärungdesBetroffenen,wieerbestehen-deRechtegeltendmachenkann, fürdenBetroffenenverständlichdargestelltwerden.Nurwenndiesgeschieht,kanndemGrundsatzderDatenhoheitjedereinzelnenPersonRechnunggetragenwerden.
Auskunftserteilung nur in verständlicher
Form
31
GleichzeitighatdasUnternehmendadurch,dassesdieAntragstel-lerinnen undAntragsteller zunächst in englischer Sprache kontak-tierte,gegendeninArt.12DS-GVOniedergelegtenGrundsatzderVerständlichkeitverstoßen.WennsicheinUnternehmenmitseinemAngebot an den deutschsprachigen Markt richtet, muss die Aus-kunftserteilung(zumindestauch)aufDeutscherfolgen.
Wegen der genanntenVerstöße verhängte die LandesbeauftragteeinBußgeldinderGesamtsummevon50.000Euro.Hierbeiwurdeinsbesondere die Kooperation des Unternehmens im Bußgeldver-fahrenmilderndberücksichtigt.
8.3 Sicherung von Patientendaten als Freundschaftsdienst
EinMedizinerbeauftragteeinenBekanntenmitderSicherungderpersonenbezogenenDaten,dieinseinerArztpraxisanfielen.Davonwaren sowohldieDatenvonPatientinnenundPatientenals auchvonMitarbeiterinnenundMitarbeiternumfasst.DerBekanntespei-chertediezusicherndenDatenaufeinemComputeranseinemAr-beitsplatzineinemUnternehmen,wosievomArbeitgeberentdecktwurden. DerMedizinerwar für die (unbeabsichtigte)OffenlegungderDatenaus seinerPraxis andenArbeitgeber seinesBekanntenverantwortlich.
Zwaristesgrundsätzlicherlaubt,dieDatensicherung,diedemMedi-zineransonstenselbstobliegenwürde,aneinenDienstleisterauszu-lagern.Bei einemAuftragsdatenverarbeitungsverhältnis behält derAuftraggeber imAußenverhältnis aber dievolle datenschutzrecht-licheVerantwortlichkeitfürdenUmgangmitdenpersonenbezoge-nenDaten.DerAuftragnehmer ist sozusagennurder „verlängerteArm“desAuftraggebers.SeinHandelnwirddemAuftraggeberzu-geordnet. Er ist deshalb unter anderemverpflichtet, sichwährendderDatenverarbeitung durch denAuftragnehmer regelmäßig überdieweisungsgemäßeAusführungdesAuftragesunddieEinhaltungdergetroffenentechnischenundorganisatorischenMaßnahmenzuüberzeugen.BloßesVertrauen,dassderAuftragnehmermitdenihmüberlassenenDatenordnungsgemäßumgehenwird,istnichtausrei-chend.BeiBeachtungdererforderlichenSorgfalthättederMedizi-nerdenUmfangseinerPflichtenalsAuftraggebererkennenunddieunbefugteDatenübermittlungandenArbeitgeberseinesBekanntenvermeiden können. Die Landesbeauftragte verhängte gegen denMedizinereinBußgeldinvierstelligerHöhe.
32
33
1 Facebook-FanpagesöffentlicherStellen 34
2 NutzungderSchul-CloudinzweiPilotschulen 36
3 Veröffentlichung personenbezogener Daten im RahmenderKommunal-undLandtagswahl 38
4 Überprüfung der Datenschutzinformationen in ausgewähltenArztpraxen 40
5 Umfrage bei Unternehmen zu Datenschutz-ManagementundPersonaldatenverarbeitung 41
II Anlasslose Prüfungen
34
1 Facebook-Fanpages öffentlicher Stellen
ImletztenTätigkeitsbericht6hattenwireinUrteildesEuropäischenGerichtshofs7 vorgestellt, nach dem Betreiberinnen und Betreibersogenannter Facebook-Fanpages grundsätzlich im Wege der ge-meinsamenVerantwortung gemäßArtikel 26Datenschutz-Grund-verordnung eine Mitverantwortung für beim Betrieb anfallendeDatenverarbeitungsprozesse tragen.Weiterhinhabenwirdiezahl-reichenrechtlichenundpraktischenProblemeaufgezeigt,denenderBetrieb einer Facebook-Präsenz aus datenschutzrechtlicher Sichtbegegnet.Wirhattenangemahnt,dassBetreiberinnenundBetreibervonFacebook-Seitenzuprüfenhaben,obderBetriebdieserSeiteunterdenBedingungendergemeinsamenVerantwortunggerecht-fertigtwerdenkann.AußerdemhattenwirnachVeröffentlichungderEntscheidungimJuni2018dieMinisteriendesLandesBrandenburgüberdasUrteilinformiertundaufdierechtlichenKonsequenzenimZusammenhangmit derUnterhaltung einer Fanpage hingewiesen.Auchbatenwirdarum,die jeweilsnachgeordnetenBehördenent-sprechendzuinformieren.
ImBerichtsjahrhabenwirdamitbegonnen,unterBerücksichtigungdersichweiterentwickelndenRechtsprechungundderHinweisederKonferenz der unabhängigen Datenschutzaufsichtsbehörden desBundes und der Länder (Datenschutzkonferenz) zu prüfen, ob dieAnforderungenandenFanpage-BetriebbeiöffentlichenStellendesLandeseingehaltenwerden.ZudiesemZweckhabenwirimRahmenunsererKontrollbefugnisseeineReihevonBehörden,vondenenwirannahmen,dasssieeineFanpagebetreiben,angeschrieben.
EineStellekonnteglaubhaftdarlegen,dassdieübersieexistierendeFacebook-Seitenichtvonihrselbst,sondernvoneineminteressier-tenDritteneingerichtetwurde.DieseSeiteblieb imWeiterenun-berücksichtigt.NichtberücksichtigthabenwirfernervonFacebookautomatischgenerierteDossierszuweiterenBehörden,dainsoweitderenVerantwortlichkeitnichtgegeben ist.EbenfallsnichtGegen-stand der Untersuchung waren Facebook-Seiten einzelner Amts-oderMandatsträgerinnenund-träger,diediesealsnatürlichePer-sonenbetreiben.
6 Tätigkeitsbericht Datenschutz 2018, IV. 1.7 Urteil des Europäischen Gerichtshofs vom 5. Juni 2018, C-210/16.
35
Mittels eines Fragebogens forderten wir die Verantwortlichenauf darzulegen,wie sie nach dem Stand der Rechtsprechung ihrePflichtenausdergemeinsamenVerantwortungwahrzunehmenbe-absichtigen, auf welcher Rechtsgrundlage die DatenverarbeitungvorgenommenwirdundwelcheAbredensiemitFacebooküberdieVerteilungderzuerfüllendenPflichtengetroffenhaben.
DieAuswertung der Stellungnahmenwird indes noch Zeit inAn-spruchnehmen,dainzwischenneueRechtsprechungvorliegt,wel-chesichzwarnichtunmittelbarmitFanpagesbeschäftigt,aberden-nochEinflussaufdenUmfangderPflichtenderBetreiberinnenundBetreiberhabenkann.SohatderEuropäischeGerichtshofineinemUrteil8 seine Ausführungen zum Rechtsinstitut der gemeinsamenVerantwortung präzisiert. Der Sachverhalt des vor-liegendenUrteilsundderunsererPrüfungzugrundeliegendesindallerdingsnichtvollständigvergleichbar.DennimaktuellenUrteilistStreitgegenstandnureinaufeinerWebseiteeingebundenessog.SocialPlugin(auch “Facebook-Button“).Dennoch lassen sich ein-zelne Überlegungen des Gerichts auch auf Fanpa-gebetreiberinnen und -betreiber übertragen. HierzuläuftdieKlärunginnerhalbderGremienderDatenschutzkonferenz,anderwirunsaktivbeteiligen.
WirsindjenseitsderbereitsimTätigkeitsberichtDatenschutz2018benanntenrechtlichenEinzelfragenüberzeugt,dassöffentlicheStel-lenaufgrundihrerbesonderenBindunganRechtundGesetzdieNut-zerinnenundNutzer,diesichüberihreTätigkeitinformierenwollen,nichtindieLagebringensollten,ihreDatenanFacebookübermittelnzumüssen.Esistdaranzuerinnern,dass–wieetlicheNachprüfun-genverschiedenster in-undausländischerStellenklarergebenha-ben–dieVerarbeitungspraxisvonFacebookbewusstintransparentorganisiert ist.Das derzeitigeGeschäftsmodell desUnternehmensschließtesgrundsätzlichaus,dieÜbermittlungvonNutzerdatenzurVerarbeitungdurchFacebookzuWerbezweckensowiedieseVerar-beitungselbstinEinklangmitdemgeltendeneuropäischenRechtzubringen.AneinemsolchenSystemsolltensich–ganzabgesehenvonallenEinzelfragen,diesichausdergemeinsamenVerantwortunger-geben–öffentlicheStellenmitihrerVorbildfunktionnichtbeteiligen.
8 Urteil des Europäischen Gerichtshofs vom 29. Juli 2019, C-40/17.
Facebook-Fanpages weiter in der Diskussion
36
2 Nutzung der Schul-Cloud in zwei Pilotschulen
Bereits in unserem vorletzten Tätigkeitsbericht9 informierten wirausführlichüberunsereBeratungenanlässlichderEinführungvonOnline-LernplattformenanSchulensowieüberdierechtlichenVor-aussetzungen.ImRahmeneinesvomBundesministeriumfürBildungund Forschung geförderten Projekts entwickelt das Hasso-Platt-ner-Institut in Potsdam eine solche cloudbasierte Lernplattform(Schul-Cloud). Die erste bundesweite Pilotphase beschränkte sichaufMINT-EC-Schulen.MINT-EC ist das nationale Excellence-Net-zwerkvonSchulenmitSekundarstufeIIundausgeprägtemProfilinMathematik, Informatik,NaturwissenschaftenundTechnik (MINT).VondenbrandenburgischenMINT-EC-SchulennehmenbisherfünfGymnasienandiesemPilotprojektteil.
Neben dieser bundesweiten Schul-Cloud existiert in Brandenburginzwischeneine landesspezifischeVariante,andersichmitBeginndesSchuljahres2019/2020insgesamt50Schulenbeteiligen.BeideInstallationen verwenden dieselbe Software. Bei der brandenbur-gischenVariante fandenvorläufige landesspezifische datenschutz-rechtlicheAnpassungenstatt,dieu.a.dieEinwilligungMinderjähri-gerunddasFreigabeverfahrenbetrafen.SomussbeiminderjährigenSchülerinnenundSchülernsichergestelltsein,dassbiszuderenVoll-jährigkeitzusätzlichauchdieElterneinwilligen.
DiebeabsichtigteTeilnahmezahlreicherweitererPilotschulen zumSchuljahr 2019/2020 veranlasste uns, die Umsetzung der techni-schen und organisatorischenMaßnahmen beim Einsatz einer sol-chenSchul-CloudstichprobenartigvorOrtzuprüfen.WirwähltenzweiGymnasienaus,diedieMINT-EC-Cloudnutzen.DierechtlichenAnforderungen(wiez.B.dasEinwilligungserfordernisderElternbeiminderjährigenSchülerinnenundSchülerninBrandenburg)konntenhiernichtvollständigeingehaltenwerden,weilessichbeidieserVer-sionumeinebundesweiteAnwendunghandelt.ImErgebnisunsererPrüfungistvorgesehen,sämtlicheMINT-EC-SchulendesLandesindiebrandenburgischeVariantederSchul-Cloudzuübernehmen.
9 Tätigkeitsbericht 2016/2017, B 13.1.1.
37
InZusammenarbeitmitderLandesbeauftragtenhatdasHasso-Platt-ner-InstitutdenteilnehmendenSchulenMusterallererforderlichendatenschutzrechtlichen Unterlagen zur Nutzung der Schul-Cloud(Einwilligungserklärungen, Vertrag zur Auftragsdatenverarbeitungnach Artikel 28 Datenschutz-Grundverordnung, Verzeichnis derVerarbeitungstätigkeitenetc.)zurVerfügunggestellt.DieseMusterwarendurchdieSchulleitungenschulspezifischzuergänzenundan-zupassen.DarüberhinausmusstensiedieVerträgemitdemHasso-Plattner-InstitutschließenunddieFreigabefürdasVerfahrennachdemBrandenburgischenDatenschutzgesetzerklären.
ImErgebnisunsererPrüfungenstelltenwir fest,dassdieAnforde-rungen an eine ordnungsgemäße Dokumentationzwargrundsätzlicherfülltwaren,jedochdienotwen-digen, individuellen datenschutzrechtlichen Umset-zungsschritte durch die Verantwortlichen teilweiseunterbliebensind.DenSchulenkonntenichtzugute-gehaltenwerden, dass sichdasProjekt noch in derPilotphasebefindet,denndiedatenschutzrechtlichenAnforderungensindbereitsvordererstenNutzungzuerfüllen.
Kritisch sahenwir auch den so genannten „Lernstore“ der Schul-Cloud,deraufexterneAnbieterinnenundAnbietervonLerninhaltenweiterleitet,die jedochnicht in jedemFall selbstdiedatenschutz-rechtlichenAnforderungen einhalten.Wir haben das Hasso-Platt-ner-Institutaufgefordert,dieseVerweisezudeaktivieren.ZukünftigsollennursolcheexternenAngebotefreigeschaltetwerden,dievomMinisteriumfürBildung,JugendundSportfreigegebenwurden.
DieDatenverarbeitungfürdieNutzungderSchul-Cloudbasiertzur-zeitaufeinerfreiwilligenEinwilligungderSchülerinnenundSchülerbzw.ihrerEltern.Dieseistjedochjederzeitwiderruflich,mitderFol-ge,dassdiebetroffenenKinderundJugendlichendiePlattformnichtmehrnutzendürften.Wirhattendeshalbmehrfachangeregt,eineRechtsvorschrift im Brandenburgischen Schulgesetz zu verankern,umeinerechtssichereBefugnisnormfürdieDatenverarbeitung imKontextvonOnline-Lernplattformenzuschaffen.
Lernplattformen in Schulen auf dem Vormarsch
38
3 Veröffentlichung personenbezogener Daten im Rahmen der Kommunal- und Landtagswahl
Im letztenTätigkeitsbericht10habenwirübereinedurchunsange-regteEntschließungdes LandtagesvomApril 2018berichtet.Da-rinwird die Landesregierung aufgefordert, die Landes- und Kom-munalwahlverordnung dahingehend zu ändern, in öffentlichenWahlbekanntmachungennichtmehrdievollständigeAnschrift der WahlbewerberinoderdesWahlbewerbers,sondernnurnochderenbzw.dessen–unzweifelhaftauchfürdieWahlentscheidungrelevan-ter–Wohnortanzugeben.DieserAufforderungistdieLandesregie-rungmitErlasszweierVerordnungen11gefolgt.
DieKommunalwahlenam26.Mai2019sowie–inweitgeringeremMaße–dieLandtagswahlam1.September2019brachtendennocheinegroßeAnzahlvonBeschwerden,AnzeigenundHinweisenbeiderLandesbeauftragtenmitsich.SiebetrafenganzüberwiegenddieFrage, welche personenbezogenen Daten der Kandidatinnen undKandidatenvonderInternet-Veröffentlichungnach§98aBranden-burgischesKommunalwahlgesetzumfasstsind.
ZunächsterhieltenwirinerheblichemUmfangMeldungenvonLand-kreisen,kreisfreienStädten,ÄmternundGemeindennachArtikel33Datenschutz-Grundverordnung, dass Internet-VeröffentlichungenvonWahlbewerberdatenentgegendenneuenVorschriftenerfolgtwaren. Daneben erreichten uns Beschwerden von KandidatinnenundKandidatenundAnzeigenausderBevölkerungzumselbenPro-blem.SoweitgegendieneuenVorschriftenzurVeröffentlichungderAnschriftvonWahlbewerberinnenund-bewerbernverstoßenwur-de,beriefensichdieGemeindendarauf,dasssievonderÄnderungderVorschriftennochkeineKenntnishatten.DievonderLandesre-gierungimZugederÄnderungenversandtenRundschreibenwarenoffenbarnichtüberallzurKenntnisgenommenworden.
10 Tätigkeitsbericht Datenschutz 2018, V 1.5.11 Dritte Verordnung zur Änderung der Brandenburgischen Kommunalwahl-
verordnung vom 26. Oktober 2018 (GVBl. II Nr. 71), Zweite Verordnung zur Änderung landeswahlrechtlicher Vorschriften vom 22. März 2019 (GVBl. II Nr. 23).
39
Wir nahmen die hohe und kaum handhabbare Anzahl von Mel-dungen,BeschwerdenundAnzeigensowiedenUmstand,dassdiefehlerhaftenVeröffentlichungenoffenkundigganzüberwiegendda-raufberuhten,dassdieVerantwortlichensichdergeändertenVor-schriftennichtbewusstwaren,zumAnlass,eineUmfrageunterdenGemeindenmitderBitteumPrüfungdurchzuführen.Wirgingen–wiesichherausstellte,zuRecht–davonaus,dassGemeinden,diewiraufdieProblematikhinweisen,einenmöglicheneigenenFehlerinangemessenerZeitselbstkorrigieren.
NachdenKommunalwahlenerhieltenwirBeschwerdenvonPerso-nen, die einenWahleinspruch geltend gemacht hatten, aber nichtnamentlich indenVeröffentlichungenderGemeindegenanntwer-denwollten.ZuständigfürdiePrüfungvonWahleinsprüchenistdieGemeindevertretung, die darüber in öffentlicher Sitzung entschei-det.
Gemäß § 36 Absatz 4 Brandenburgische Kommunalverfassung (BbgKVerf) hat jeder dasRecht, Beschlussvorlagen der in öffentli-chenSitzungenzubehandelndenTagesordnungspunkteeinzusehen.GemäßSatz2derVorschriftkanndieHauptsatzung„dasNäherere-geln“–alsoauchbestimmen,dassdiesevorderSitzungonlinezurVerfügungstehen.
WirvertretendieAuffassung,dassinsbesonderebeiderVeröffent-lichungvonBeschlussvorlagenimInternetVorsichtgebotenist.DasverwendeteFormularsolltenurinsoweitpersonenbezogeneDatenenthalten,wie dies zurVorbereitung auf die SitzungunddasVerständnisdesVorgangserforderlichist.Diesumfasst unzweifelhaft Gegenstand und BegründungderBeschwerde, regelmäßig aber nicht ihreUrhebe-rinoderihrenUrheber.EinenAnspruchaufEinblickinAnlagenzudenBeschlussvorlagen–z.B.indieunge-schwärzten Originalschreiben von Einspruchsführen-den–durchdieÖffentlichkeitvermittelt§36Absatz4BbgKVerfnachunsererÜberzeugungnicht.DieslässtdieBefugniszurEinsichtinallepersonenbezogenenDatendurchmitderVorlagebefassteMitgliederderGemeindevertretungensowiedieGemein-deverwaltungimRahmenderErforderlichkeitzurAufgabenerfüllungselbstverständlichunberührt.
Datensparsamkeit auch im Rahmen von Wahlen
40
§39Absatz3BbgKVerfbestimmt,dassBeschlüssederGemeinde-vertretungoderderenwesentlicherInhaltinortsüblicherWeisederÖffentlichkeit zugänglich zu machen sind. Eine Online-Veröffent-lichung – auch im öffentlich zugänglichenTeil eines Ratsinforma-tionssystems– istunbestrittenmöglichund imSinnederTranspa-renzauchzubegrüßen.Auchinsoweitsolltejedochkritischgeprüftwerden,obNamenundsonstigepersonenbezogeneDatenvonEin-spruchsführendenwirklichzumwesentlichenInhaltdesBeschlussesgehören.Aus hiesiger Erfahrung ist dies beiWahleinsprüchen re-gelmäßigzuverneinen,dagrundsätzlichGründefürdenEinspruchgeltendgemachtwerden,dieauchandereBürgerinnenundBürgerhättenvorbringenkönnen.DiesgiltbesondersfürdiedenWahlein-sprüchenoftzuentnehmendenweiterenKontaktdaten.SelbstwennesausnahmsweiseaufdenNamendereinspruchsführendenPersonankommensollte,wäreinderSitzung,inderüberdenEinspruchent-schiedenwird, inBetracht zu ziehen, ob zurWahrungderRechteeineNamensnennungtrotzdemunterbleibenmuss.
InbeidenPhasenderVeröffentlichung,alsovorundnacheinerWahl,istessomitnotwendig,dassdieVerantwortlichendasGebotderEr-forderlichkeiteinerVeröffentlichungfürdasVerständnisdesSach-verhaltsimAugebehalten.
4 Überprüfung der Datenschutzinformationen in ausgewählten Arztpraxen
VeranlasstdurchzahlreicheAnfragenvonMedizinerinnenundMe-dizinern,diesichnachWirksamwerdenderDatenschutz-Grundver-ordnung (DS-GVO)erkundigten,wie sie ihre InformationspflichtenalsVerantwortlicheerfüllensollen12,batenwirausgewähltePraxenindenkreisfreienStädten,unseinExemplarihrerDatenschutzinfor-mationnachArtikel13,14DS-GVOfürihrePatientinnenundPati-entenzuüberlassen.
EtwadieHälftedervorgelegtenUnterlagenerfülltedieAnforderun-genderDatenschutz-Grundverordnung.Meist nutztendieseArzt-praxenMusterformulare. Soweitwir bei denDatenschutzinforma-tionenVerbesserungsbedarf erkannten, bestanddieser z.B. darin,dass unzureichende Informationen mit Einwilligungserklärungen
12 Tätigkeitsbericht Datenschutz 2018, I 2.4.
41
vermischtwurden.AufgrundunsererBeratungwurdenbeideFormu-lareentsprechenddengesetzlichenAnforderungenseparatgefasst.
MehrfachsahendieDatenschutzinformationenvor,dassBehandeltediesenzustimmenodersieals„gelesenundverstanden“bestätigensollten.WirwirktenaufdasStreichensolcherErklärungenbzw.Be-stätigungenhin,dadiePatientinnenundPatientennichtverpflichtetsind,die Informationen zurKenntnis zunehmenoder ihnen zuzu-stimmen.
Ein Informationsblatt benannte als DatenschutzaufsichtsbehördedieeinesanderenBundeslandes.AufgrundunseresHinweiseswur-dedieAngabegeändert.
Am Rande der Prüfung stelltenwir fest, dass gelegentlich Einwil-ligungen in die Speicherung oder Verarbeitung der Daten zu Be-handlungs-oderAbrechnungszweckenerbetenwurden.Wirwiesendaraufhin,dassdiezivilrechtlicheDokumentationspflichtderMedi-zinerinnenundMedizinerunabhängigvomWillenderPatientinoderdes Patienten besteht. Bereits die Datenschutz-Grundverordnungsieht eine datenschutzrechtliche Befugnis für dieVerarbeitung zuBehandlungszwecken grundsätzlich vor.Auch regelt das Sozialge-setzbuch–jedenfallsbeigesetzlichVersicherten–dieÜbermittlun-genzuAbrechnungszwecken.Insgesamtkonntenwiranlässlichun-sererUmfragediePraxisinhaberinnenund-inhabersensibilisierenzuprüfen, inwelchenFälleneineEinwilligungserklärungoderEntbin-dungvonderärztlichenSchweigepflichttatsächlichnotwendigist.
5 Umfrage bei Unternehmen zu Datenschutz-Management und Personaldatenverarbeitung
GroßeIndustrieunternehmenimLandsindbezogenaufdieAnzahlihrerMitarbeiterinnenundMitarbeiterhinsichtlichderbeiunsein-gehendenBeschwerdenzurVerarbeitungpersonenbezogenerDatender Beschäftigten deutlich unterrepräsentiert.Wir haben deshalbim Berichtszeitraum eine Umfrage unter derartigen Unternehmendurchgeführt,umunseinenEindruckvonderdortigenUmsetzungderAnforderungenderDatenschutz-Grundverordnung(DS-GVO)zuverschaffen.Wirwähltenstichprobenartiginsgesamt15Unterneh-menaus,dieaufdenInternetseitendesWirtschaftsministeriumsundderWirtschaftsförderungBrandenburgGmbHals„Leuchttürme“im
42
Landbenanntwerden.SieentstammendenBranchenBergbauundKraftwerke, metallerzeugende und metallverarbeitende Industrie,Turbinentechnik, Fahrzeugbau, chemische und optische Industrie.InsgesamtarbeitenindenausgewähltenUnternehmenüber28.000Beschäftigte.
AlleBeteiligtenerhielteneinenFragebogenzumDatenschutz-Ma-nagementundzurPersonaldatenverarbeitung imUnternehmen. IninsgesamtsechsThemenkomplexensolltensiesichz.B.zumDaten-schutzbeauftragten, zur Datenschutzorganisation, zur Sensibilisie-rungvonBeschäftigten fürdenDatenschutz, zudeneingesetzten(automatisierten)VerfahrenderPersonalverwaltung,derLohn-undGehaltszahlungsowiederZeitwirtschaft,zutechnischenundorga-nisatorischenMaßnahmenimUnternehmensowiezurAuftragsver-arbeitungäußern.WirbatendarüberhinausumAuszügeausdem
VerzeichnisderVerarbeitungstätigkeitenzurPersonaldatenverarbeitung sowie um eineKopie der Informationen für BeschäftigtenachArtikel13DS-GVO.
ZweiDrittelderUnternehmenantworteteninnerhalbder gesetztenFristvonvierWo-
chen.NacheinerweiterenWoche lagenuns80%derAntwortenvor.IneinemUnternehmenwarunserSchreibenmitdemFragebo-genzunächstverlorengegangen–dieAntworterreichteunsnach12Wochen.IneinemweiterenFalltrugdasUnternehmenvor,alsreinerProduktionsstandortkeineeigenenEntscheidungenzuMittelnundZweckenderVerarbeitungpersonenbezogenerDatenzutreffenundverwiesaufdieKonzernzentraleineinemanderenBundesland.WirbesprachendenSachverhaltmitdenKollegenderdortigenDaten-schutzbehördeundstimmtenzu,dieFragenkonzernweitundzentralunterderenAufsichtzuklären.
AlleUnternehmenhatteneineDatenschutzbeauftragtebzw.einenDatenschutzbeauftragtenbenannt. InetwaeinemDrittelderFällewarsiebzw.erimUnternehmenselbstbeschäftigt,beieinemwei-terenDrittel ineinemanderenUnternehmenderGruppebzw.desKonzerns angestellt. Die verbleibenden Unternehmen hatten ei-nenexternenDienstleistervertraglich gebunden, umdieFunktionderbzw.desDatenschutzbeauftragtenauszulagern.AllebefragtenUnternehmenveröffentlichtenentsprechenddergesetzlichenVor-schriftendieKontaktdatenihrerBeauftragten.
Große Unternehmen gut aufgestellt?
43
Circa die Hälfte der benannten Datenschutzbeauftragten hatteeinejuristischeBerufsausbildung,dieandereHälfteentwederei-nentechnischenodereinenbetriebswirtschaftlichenHintergrund.AlleBeauftragtenbesuchtenDatenschutzfortbildungen,zumTeilerwarbensieeinZertifikat.EinDrittelvonihnenführteimUnter-nehmenoderinderUnternehmensgruppeauchandereAufgabenaus;Interessenskonfliktewarenfürunsdabeijedochnichtoffen-sichtlich.
Positiv hervorzuheben ist, dass es in allen befragtenUnterneh-menzentraleRichtlinienzumDatenschutz,zurEinbeziehungderbzw.desDatenschutzbeauftragtensowiezumUmgangmitAus-kunfts-,Berichtigungs-undLöschansprüchenBetroffenergab.Dieganz überwiegende Zahl hatte auch einheitlicheVorgaben zumVerhaltenbeiVerletzungendesDatenschutzesundzurErfüllungder Melde- und Informationspflichten nach Artikel 33 bzw. 34 DS-GVO.Circa80%derUnternehmengaban,Beschäftigteregel-mäßiginFragendesDatenschutzeszusensibilisieren.
AlleUnternehmen,dieanderUmfrageteilnahmen,verarbeitendiePersonalstammdaten,dieLohn-undGehaltsdatensowiedieDa-tenderZeiterfassungautomatisiert.LediglichineinemFallwerdendie Personalakten noch in Papierform geführt, ansonsten domi-niertdieelektronischePersonalakte.ImHinblickaufdievorgeleg-tenAuszügeausdenVerzeichnissenderVerarbeitungstätigkeitengemäßArtikel30DS-GVOistfestzustellen,dassdieMehrzahlderUnternehmensichdarinnuraufdieunbedingterforderlichenIn-formationenbeschränkteundauchderenGranularitätrechtgrobwar,insbesonderebezüglichderKategorienderverarbeitetenDa-ten.EmpfängervonDatenwurdenoftmalsnurexemplarischange-geben;LöschfristenfürDatenlediglichpauschalbenanntundnichtmitkonkretenZeitangabenhinterlegt.GleichesbeobachtetenwirbeidenInformationenfürBeschäftigtenachArtikel13DS-GVO.Hierkamergänzendhinzu,dassinEinzelfällendieRechtsgrundla-genderDatenverarbeitungnichtkonkretbenanntoderdieRech-teBetroffenernachArtikel15ff.DS-GVOungenügenderläutertwurden.EinUnternehmen legtemehrWertaufdieausführlicheDarstellungderAusnahmen,indenenBetroffenekeineAnsprüchegegendenverantwortlichenDatenverarbeiterhaben, als aufdieRechteselbst.
44
Einzelne Unternehmen hatten es versäumt, dieAuszüge aus demVerzeichnisderVerarbeitungstätigkeiten fürdiePersonaldatenver-arbeitungsowiediediesbezüglichen InformationenfürBeschäftig-tebeizulegen,obwohlsieangaben,dassentsprechendeUnterlagenvorliegen.Wirwerden insoweitumeineErgänzungderAntwortenbitten.
HinsichtlichdertechnischenundorganisatorischenMaßnahmen,dieindenbefragtenUnternehmenbeiderPersonaldatenverarbeitungumgesetztwerden, interessierten uns insbesondereMechanismender Authentisierung von Benutzern, Rollen- und Rechtekonzep-te,dieProtokollierungvonZugriffenunddieVorkehrungenfürdieDatensicherung. Die ganz überwiegende Zahl der UnternehmengabindiesenPunktenzufriedenstellendAuskunft–dieaufgeführ-tenMaßnahmenwarenangemessenundgeeignet,dieRisikenderDatenverarbeitungzubeherrschen.Lediglich inBezugaufdieVer-schlüsselung personenbezogener Daten mussten wir in ungefährderHälfte derUnternehmenNachholbedarf feststellen:Mehrfachwurde angegeben, auf dieVerschlüsselung zu verzichten, obwohlBeschäftigtendatenandieKonzernzentraleoderanexterneDienst-leisterübertragenwurden.Nur57%derUnternehmenverschlüssel-tepersonenbezogeneDatenauchiminternenDatennetz.
ImErgebnisunsererUmfrage ist festzustellen,dassdiebeteiligtenUnternehmengrundsätzlichdieAnforderungenderDS-GVOerfül-len. Einige habenMängel selbst festgestellt und diese bereits be-hoben oder sich realistische Ziele für die Beseitigung gesetzt. IneinzelnenFällenwerdenwiraufdieUnternehmenerneutzugehen,umUnterlagennachzufordernbzw.spezielleDefiziteaufarbeitenzulassen.Auffälligist,dassdiejenigenUnternehmen,dieTeileinerUn-ternehmensgruppe sind,von Synergieeffektendurch zentraleVor-gaben,DokumenteundUmsetzungentechnischeroderorganisato-rischerMaßnahmenerheblichprofitieren.BeiallenBeteiligtenderUmfragebehaltenwirunseineKontrollevorOrtvor.
45
46
47
1 Ermittlungen eines Jobcenters in der Nachbarschaft 48
2 Arbeitsteilung zwischen Ausländerbehörde und privatemWachschutz 49
3 Aushang von Unterschriftenlisten imSchaukasten 51
4 Übermittlung von E-Mail-Adressen durch VersandhändleranPostdienstleister 52
5 Verbreitung von Schadsoftware und Umleitung von E-Mails durch mangelhafte Pflege einesWebservers 53
6 Zwischen Schein und Sein – ein DatenschutzvereinmitDatenschutzmängeln? 55
III Ausgewählte Fälle
48
1 Ermittlungen eines Jobcenters in der Nachbarschaft
Aufgrund einer Beschwerdewurdenwir darauf aufmerksam, dassdasJobcenterOstprignitz-RuppinzurKlärungdesBestehenseinerBedarfsgemeinschaft Zeugenfragebögen an mehrere Nachbarin-nenundNachbarnversandt hat.DieBeschwerdeführenden lebengetrenntundsindElterngemeinsamerKinder.DieBeschwerdefüh-rerinbeziehtSozialleistungen.IndementsprechendenZeugenfrage-bogenwurdennebenderenNamenauchdievollständigenNamender gemeinsamen Kinder genannt. Eine besondere Brisanz erhieltdasVorgehendesJobcentersdadurch, dassmehr als einDutzendPersonenausbeidenWohnortenderElternindemFragebogendazuaufgefordertwurden,teilweiseintimeFragenausderenPrivatlebenzu beantworten; beispielsweise, ob das Schlafzimmer gemeinsamgenutztwerde.EinevorVersendungdesFragebogensdurchgeführteÜberprüfungdurchdenBedarfsermittlungsdienstergab,dasskeineBedarfsgemeinschaftbesteht.DasJobcenterbegründeteseinewei-tergehendenErmittlungendamit, dass es imRahmendesdazuge-hörigen anhängigen Gerichtsverfahrens vom Gericht aufgefordertwordenwar,dieNachbarinnenundNachbarnzubefragen.
Ob eine Bedarfsgemeinschaft besteht und dementsprechend diedaran anknüpfenden Voraussetzungen einer Leistungsgewährungvorliegen,unterliegtdurchausderstaatlichenPrüfung.SoferndemJobcenterkonkreteAnhaltspunktefürdasBesteheneinerBedarfs-gemeinschaftvorliegen, istesberechtigt,eineweitergehendeAuf-klärungzubetreiben.AllerdingsistdieBefugnisdesJobcenterszurErmittlungnichtgrenzenlos.
DieErhebungpersonenbezogenerDatenmittelsZeugenfragebögenmussmitBlickaufdenGrundsatzderDatenminimierungnachArti-kel5Absatz1BuchstabecDatenschutz-Grundverordnung(DS-G-VO) auf das erforderlicheMaß begrenzt sein. Das bedeutet, dassjedeeinzelneangeforderteInformationüberdiebetroffenePersonfürdasJobcenterimRahmenderLeistungsbewilligungunerlässlichseinmuss.AuchdieÜbermittlungpersonenbezogenerDatenderBe-schwerdeführerinunddesBeschwerdeführersanDrittemusswe-gendesSozialgeheimnissesnach§35ErstesBuchSozialgesetzbuch(SGBI)aufdasErforderlichebeschränktbleiben.DasJobcenterhatdieseGrenzeerheblichüberschritten.
49
DieVorgehensweise,zahlreichePersonen inmehrerenWohnortenundmehrerenHausaufgängenzubefragen,vermittelteunsdenEin-druck, dass dasJobcenterPersonen in derNachbarschaft derBe-schwerdeführerinunddesBeschwerdeführersnichtgezieltfüreineZeugenbefragungausgewählthat, sonderneherwahllosmöglichstvieleInformationenzumVorliegeneinerBedarfsgemeinschafterhal-tenwollte.
DasJobcenterhatkeineausreichendedatenschutzrechtlicheAbwä-gungvorVersendungderZeugenfragebögenvorgenommen.DennunabhängigvonrichterlichenVorgabenhatesbeiseinerPrüfungs-pflichtdieGrenzenderErforderlichkeitzuwahren.AuchdieÜber-mittlungvon personenbezogenenDaten der gemeinsamenKinderwarzurKlärungderFragedesVorliegenseinerBedarfsgemeinschaftnicht erforderlich, zumal gerade Kinder nach der Datenschutz-GrundverordnungzueinembesondersschützenswertenPersonen-kreiszählen.
DahererfolgtedieBefragung sämtlicherNachbarinnenundNach-barndurchdasJobcenternichtzielgerichtet,sondern„insBlauehi-nein“ undwürde bei einer in gleicherWeise durchgeführten Zeu-genbefragungwegen derAnzahl der befragten Personen und desUmfangsdererfragtenundübermitteltenInformationenausdaten-schutzrechtlicher Sicht voraussichtlich als unzulässig zu bewertensein.Aufgrund der festgestelltenMängel beabsichtigt die Landes-beauftragte,gegenüberdemJobcentereineWarnungnachArtikel58Absatz2BuchstabeaDS-GVOauszusprechen,umdasJobcenterdamitaufzufordern,künftigvonseinerüblichenPraxisAbstandzunehmen. Zum Zeitpunkt des Redaktionsschlusses dieses BerichtswardasVerfahrennochnichtabgeschlossen.
2 Arbeitsteilung zwischen Ausländerbehörde und privatem Wachschutz
DurcheineBeschwerdehabenwirerfahren,dassinderAusländer-behörde des Landkreises Potsdam-Mittelmark personenbezogeneDatenvonAusländerinnenundAusländerndurchBeschäftigtedesvorOrtvomLandkreiseingesetztenprivatenWachschutzunterneh-mensvermutlichohnerechtlicheBefugnisverarbeitetwurden.EinedaraufhindurchgeführteunangekündigteVor-Ort-PrüfunghatdenInhaltdieserVermutungbestätigt.Wirstelltenfest,dassMitarbei-terinnenundMitarbeiterdesWachschutzunternehmensbereitsvor
50
dem Eingang eine Art „Einlasskontrolle“ durchführten, KundinnenundKundenaufforderten,ihreAusweisevorzuzeigenundanschlie-ßendWartenummern ausgaben. Auch imWartebereich verlangtederWachschutzbeständigAusweispapierezurAnsicht.ErgingaufAnliegenderKundinnenundKundeneinundbeantworteteFragen.
IneinemFallkonntenwireinefachlicheBeratungdurcheinenWach-schutzmitarbeiterunmittelbarmitverfolgen,beiwelchererAuskunftüber die Unzuständigkeit der hiesigen Ausländerbehörde erteilteundstattdessendiefürdasAnliegenderKundinzuständigeBehör-denannte.Wirkonntenebenfallsbeobachten,wiederWachschutzmehrfachpersönlicheUnterlagenansichnahm,umdiesezukopie-renundminutenlangdamitverschwand.
Wiederholtwarauchzubeobachten,dassBeschäftigtedesWach-schutzunternehmensdiezuvorerhaltenenDokumenteden jeweilszuständigen Sachbearbeiterinnen und Sachbearbeitern übergaben.Diese routiniert wirkende Interaktion zwischen Wachschutz undAusländerbehörde zeigte, wie eng die Arbeitsabläufe verknüpftwaren. In einer anschließenden Stellungnahme teilte uns dieAus-länderbehördezudemmit,dasssieüberdiedatenschutzrechtlichenMissständeinFormderunzulässigenDatenverarbeitungdurchdasprivateUnternehmenbereitsinformiertgewesensei.
DerunsvorgelegteVertragzwischendemLandkreisunddemWach-schutzunternehmenbelegteendgültig,dassdasUnternehmenkei-nerleiBefugnisseimBereichderDatenverarbeitungbesitzt.Essolllediglich die Sicherheit in der Ausländerbehörde gewährleisten.DerVertragenthieltkeineRegelung,welchedieBeschäftigtendesWachschutzeszurVerarbeitungpersonenbezogenerDatenderKun-dinnenundKundeninderAusländerbehördeberechtigenwürde.SieobliegtausschließlichdenjeweilszuständigenSachbearbeiterinnenundSachbearbeitern.
DieBeschäftigtendesWachschutzeshabenihrevertraglichfestge-legtenKompetenzenmitWissenderAusländerbehördeweitüber-schritten. Dementsprechendwaren dieses arbeitsteiligeVorgehensowiedessenDuldungdurchdenLandkreisausdatenschutzrechtli-cherSichtunzulässig.ImErgebnisbeabsichtigtdieLandesbeauftrag-te,denLandkreisdeswegennachArtikel58Absatz2BuchstabebDatenschutz-Grundverordnung zu verwarnen. Zum Zeitpunkt des
51
RedaktionsschlussesdiesesBerichtsbefindetsichdasVerfahreninderPhasederAnhörung.
3 Aushang von Unterschriftenlisten im Schaukasten
ZuBeginndesBerichtsjahresinformierteunseineBürgerin,imBe-reichderAmtsverwaltungBritz-Chorin-OderbergfindeeineAusei-nandersetzungzwischenderVerwaltungundeinzelnenBürgerinnenundBürgernumdasSchicksaleinergemeindlichenImmobiliestatt.DieBeschwerdeführerinhattegemeinsammitanderenindieserSa-che eine Stellungnahme verfasst, zu deren Unterstützung Namenund Unterschriften Gleichgesinnter gesammelt und Stellungnah-me sowie Unterschriftenliste in der Amtsverwaltung abgegeben.DieVerwaltunghattedaraufhineineEntgegnungverfasstundmitdieser auchdieStellungnahmederBeschwerdeführerinnebstUn-terschriftenlisteimMitteilungskastendesbetroffenenOrtsteilsver-öffentlicht.AufDrängenderInitiatorinnenundInitiatorenderStel-lungahmeundnacheinemBericht ineinerLokalzeitungwurdedieVeröffentlichungderUnterschriftenlistenachwenigenTagenwiederzurückgenommen.
WirbatendasAmtumAuskunft,insbesondereumBestätigungoderKorrektur des Sachverhalts. In der Sache legtenwir dar, dass dasAmtzwareinumfassendesMandatgemäߧ13BrandenburgischeKommunalverfassung(BbgKVerf)hat,dieBevölkerungeffektivüberwichtigeGemeindeangelegenheitenzuinformieren.Wirbezweifel-ten jedoch, dass der Aushang der Unterschriftenliste erforderlichwar. Zwar handelt es sich bei einerUnterschriftenkampagne, denmit ihrverfolgtenZielenunddemZuspruch, den sie erhaltenhat,ohneWeiteres um einewichtige Gemeindeangelegenheit. JedochgenügtzurInformationüberdenUmfangderUnterstützungdurchdieBürgerinnenundBürgerregelmäßigdieAngabederGesamtzahlder(validen)UnterschriftenohneNamensnennung.
AusderAntwortdesAmteswurdedeutlich,dassdieVeröffentlichungursprünglich–biszuihrerRücknahme–aufeineEinwilligungnachArtikel6Absatz1BuchstabeaundArtikel7Datenschutz-Grund-verordnung (DS-GVO) gestützt werden sollte. Die Unterschrei-bendenhättendadurch,dass sieunbestrittenoffensiv, z.B.durchMedienkontakte, indieÖffentlichkeit getreten seienunddasAmtausdrücklichzueinerStellungnahmebewegenwollten,signalisiert,
52
dasssieoffenbargegenüberdenInitiatorinnenundInitiatorenaucheinEinverständnisodergardenWunschgeäußerthätten,dassihreDatenimSchaukastenveröffentlichtwerden.AusdenvorliegendenMaterialienergabsicheinHinweisaufeinesolcheWillenserklärungindesnicht.DasAmtsahdaseigeneHandelninderRückschauselbstkritisch.
InErmangelungeinergesetzlichenRechtsgrundlagekannauskon-kludentemVerhaltennichtaufdasVorliegeneinerEinwilligungge-schlossenwerden.EinesolchebedarfvielmehreineraktivenHand-lung. Der bloße, auch erkennbare und aktiveWille dazu, das miteinerUnterschriftenlisteverfolgteSachthema inderÖffentlichkeitzuhalten,istnichtausreichendfüreineEinwilligungindieVeröffent-lichungpersonenbezogenerDaten.DadasAmtallerdingsbereitsimAntwortschreibenzuerkennengegebenhatte,dassUnterschriften-listen in Zukunft datenschutzkonform behandelt werden und derAushangnur fürverhältnismäßigkurzeZeit erfolgtwar, sahenwirvonMaßnahmenabundbatenlediglichabschließendumMitteilung,wie in Zukunftmit gleichgelagerten Fällen umgegangenwird.DasAmtteiltedaraufhinmit,dassPetitionennurnochinderFormver-öffentlichtwürden,dassdieAnzahlderUnterschreibendenundggf.derGradihrerBetroffenheit(z.B.„Anwohner“)erkennbarseinwer-de.FüreinweitergehendeVeröffentlichungen,soweitsienichtand-erweitiggesetzlichvorgesehensind,würdeninZukunftinformierteEinwilligungeneingeholt.
4 Übermittlung von E-Mail-Adressen durch Versandhändler an Postdienstleister
Im Rahmen der Abwicklung von Online-Bestellungen werden E-Mail-Adressen zunächst für die allgemeine Kommunikation mitdenKundinnenundKundenverwendet,beispielsweiseumBestell-bestätigungen, Rechnungen und nicht zuletzt Versandbestätigun-gen elektronisch versenden zu können. Darüber hinaus übermit-teln einigeHändlerinnen undHändler die zurVerfügung gestellteE-Mail-Adresse jedoch auch an dasmit demVersand beauftragtePostdienstleistungsunternehmen.Dies erfolgt regelmäßigmit demZiel,KundinnenundKundendetailliertere InformationenüberdenSendungsverlaufunddasavisierteZustelldatumzurVerfügungstel-lenzukönnen.ZuderÜbermittlungderE-Mail-AdressenerreichtenunsimBerichtszeitraumwiederholtBeschwerden.
53
Wie jede Verarbeitung personenbezogener Daten erfordert aucheinesolcheÜbermittlungderE-Mail-AdresseeineRechtsgrundlage,zumal demPostdienstleistungsunternehmen in diesenFällennichtnurdiese,sondernauchNameundAnschriftderEmpfängerinoderdes Empfängers vorliegen. Die Verantwortlichen argumentiertenregelmäßig,dassdieInformationüberdenSendungsstatusauchimInteresse der EmpfängerinnenundEmpfänger liege, etwaumdenErhaltderSendungamTagderZustellungentsprechendorganisie-renzukönnen.Verkanntwirddabeijedoch,dassdieZustellinforma-tionauchunmittelbardurchdenOnlinehandelselbstweitergegebenbzw.einLinkzurSendungsverfolgungindieVersandbestätigungein-gebundenwerdenkann.DiesstellteineobjektivzumutbareAlterna-tivezurÜbermittlungandaszustellendeUnternehmendar,weshalbesbereitsanderErforderlichkeitderVerarbeitungzurWahrungbe-rechtigter InteressendesVerantwortlichenfehlt.DieÜbermittlungkanninsoweitnichtaufArtikel6Absatz1BuchstabefDatenschutz-Grundverordnunggestütztwerden.SoferndieKundinoderderKun-deeinederartigeÜbermittlungwünscht,kommtalsRechtsgrundlagenureinevorherige,informierteEinwilligunginBetracht.
EineÜbermittlungohnetragfähigeRechtsgrundlagestelltdagegeneinen bußgeldbewährten Verstoß dar. Über die Einleitung einesOrdnungswidrigkeitenverfahrens entscheidet die Bußgeldstelle imjeweiligenEinzelfall.
5 Verbreitung von Schadsoftware und Umleitung von E-Mails durch mangelhafte Pflege eines Webservers
DieSoftwareDrupalisteinquelltextoffenesContentManagementSystem (CMS)zurErstellungundPflegevonWebsites.EndeMärz2018wiesendieEntwicklerinnenundEntwickleraufeinekritischeSicherheitslücke in ihrerSoftwarehin, stelltenUpdatesbereitundempfahlenVerantwortlichen,ihreInstallationenmöglichstschnellzuaktualisieren.BetroffenwarenlautMitteilungmehralseineMillionWebsitesweltweit.DieSicherheitslückeermöglichteesAngreifen-den,mit geringemAufwandSchadcode in eineDrupal-Installationeinzuschleusen,diegesamteWebsiteunddaszuGrunde liegendeServersystem zu kompromittieren, Daten von dort auszulesen, zumodifizierenoderzu löschen.Siewarderart schwerwiegend,dasssogarfürsehralteSoftwareversionen,dieoftmalsnoch imEinsatzwaren,einUpdatebereitgestelltwurde.
54
Im November 2018 meldete uns ein brandenburgisches Unter-nehmen eine Verletzung des Schutzes personenbezogener DatengemäßArtikel33Datenschutz-Grundverordnung (DS-GVO)–eineso genannte Datenpanne. Die auf dem CMS Drupal basierendeWebsite des Unternehmens wurde derart kompromittiert, dass
einerseits Daten der Nutzerinnen und Nut-zer (z. B. Anmeldungen fürVeranstaltungen)sowie administrative Daten (z. B. zur Pfle-ge der Website) ausgelesen werden konn-ten. Weiterhin war eine unbefugte Modifi-kation der Serverkonfiguration aufgefallen,wodurch ausgehende E-Mails über andereSysteme umgeleitet wurden. Andererseits
gelanges imZugedesAngriffs,dieWebsitesozuverändern,dassbei jedem Besuch automatisch eine Schadsoftware herunterge-laden und ausgeführt wurde. Diese Schadsoftware zweckent-fremdete die Computer der Nutzerinnen bzw. Nutzer, indem siediese für komplizierte Berechnungen im Kontext digitaler Wäh-rungen (das so genannte Schürfen oder Crypto Mining) miss- brauchte.
FestzustellenwareninsoweitalsoVerletzungenbzw.zumindester-hebliche Gefährdungen der Vertraulichkeit, Integrität undVerfüg-barkeit bei der Verarbeitung personenbezogener Daten über dieWebpräsenzdesUnternehmens.FürBesucherinnenundBesucherderWebsitekamhinzu,dassdurchdasunbefugteSchürfendigitalerWährungenderenphysikalischeRessourcenwiderrechtlichgenutztwurdenundeszueinemerheblichenVerlustanLeistungenbzw.zueinemdauerhaftenAusfallvonHardwarehättekommenkönnen.
BereitsinderMeldungderDatenpanneteiltedasUnternehmenmit,dassvermutlich einversäumtes SoftwareupdateUrsache desVor-fallsgewesenist.AufunsereNachfragehinstelltesichheraus,dassdermitderWartungbeauftragteexterneIT-DienstleisterdasCMSDrupalbereitsseitAnfang2017nichtmehraktualisierthatte.NachAuslaufendesdamaligenVertragesEnde2017wurdedieWebsitedurch das Unternehmen weiter angeboten, ohne jedoch für einetechnischePflegederzuGrundeliegendenSoftwarezusorgen.ErstEndeOktober2018ändertesichdieSituationmitderVerpflichtungeinesneuenDienstleisters,derdieerforderlichenAktualisierungendurchführte.EinVertragzurAuftragsverarbeitunggemäßArtikel28DS-GVOwurdemitderneuenWartungsfirmaerstnachträglichauf
Drupalgeddon und Crypto-Jacking durch
Webauftritt
55
unsere expliziteAufforderung hin geschlossen, zumZeitpunkt derDatenschutzverletzungexistierteeinsolchernicht.
Zusammenfassendistfestzuhalten,dassdieUrsachederVerletzungdesSchutzespersonenbezogenerDatenindermangelndenSorgfaltdesUnternehmens beimBetrieb derWebsite und bei derGestal-tung der Auftragsverarbeitung lag. Als Verantwortlicher hätte es u.a.technischeundorganisatorischeMaßnahmengemäßArtikel32DS-GVOentwederselbstumsetzenodereineDienstleisterinbzw.einenDienstleisterdamitbeauftragenunddieAuftragsausführungkontrollierenmüssen.WegenderVerstößegegenmehrereVorschrif-ten der Datenschutz-Grundverordnung wurde der Sachverhalt andieBußgeldstelleabgegeben,dieihrerseitseinOrdnungswidrigkei-tenverfahrengegendasUnternehmeneinleitete.
6 Zwischen Schein und Sein – ein Datenschutzverein mit Datenschutzmängeln?
ImerstenQuartaldesBerichtsjahreserreichteunseineReihevonBeschwerden und Hinweisen aus dem ganzen Bundesgebiet, ins-besonderevonkleinenUnternehmen,EinzelhandelskaufleutenundPrivatpersonen.Diesewurdenvon einemVereinmit Sitz im LandBrandenburg abgemahnt, weil sie auf ihrenWebseiten zwar per-sonenbezogeneDatenverarbeiteten (z.B.überKontaktformulare),jedochkeinehinreichendenMaßnahmenzurVerschlüsselungdieserDatenbeiderÜbertragungüberdasInternetumgesetzthatten.DerVerein,dessenZielgemäßseinerSatzungu.a.dieWahrungvonVer-braucherinteressenwar,prüftedieWebauftritte,ermittelteausdemdortvorhandenenImpressumdenjeweiligenVerantwortlichenundmahntedasVerhaltenab.InsbesonderesolltendiebetroffenenUn-ternehmerinnen und Unternehmer, Kaufleute und PrivatpersonenkurzfristigeinestrafbewehrteUnterlassungs-undVerpflichtungser-klärung unterzeichnen, die eineVertragsstrafe inHöhevon 4.000Eurovorsah,wennweiterkeineverschlüsselteDatenübertragungfürdie jeweiligenWebseiten installiertwerdenwürde.Darüberhinausforderte derVerein den Ersatzvon entstandenenKosten inHöhevon285,60Euro.
AusdatenschutzrechtlicherSichtistzunächstfestzuhalten,dassBe-treiberinnenundBetreibervonWebauftrittenstetspersonenbezo-geneDatenverarbeitenunddamitalsVerantwortlichedenAnforde-
56
rungen der Datenschutz-Grundverordnung (DS-GVO) unterliegen.Artikel32Absatz1DS-GVOverlangtvon jedemVerantwortlichenund ggf. seinen Auftragsverarbeitern die Umsetzung geeignetertechnischerundorganisatorischerMaßnahmen,umeindemRisikoangemessenes Schutzniveau bei der Verarbeitung personenbezo-gener Daten zu erreichen. Hierzu gehört insbesondere eine Ver-schlüsselungdieserDatennachdemStandderTechnik– siewirdunterBuchstabeadergenanntenVorschriftexplizitalsMaßnahmegenannt.InsoweithattederVereintatsächlicheineRechtsverletzungfestgestellt.
WirhattenallerdingsdiebegründeteVermutung,dassbeiderAb-mahntätigkeit desVereinsweniger dieWahrung vonVerbrauche-rinteressenalsvielmehrdas„schnelleGeld“ imVordergrundstand.GenährtwurdedieseVermutungu.a.ausdenindenBeschwerdengeschildertenBegleitumständendesAgierensdesVereins,MängelninseinemeigenenWebauftrittunddenfehlendenInformationenfürabgemahntePersonennachArtikel13DS-GVO.Wirwolltendeshalbprüfen, ob derVerein selbst dieAnforderungen derDatenschutz-Grundverordnungeinhält.AufgrundunsererbegrenztenZuständig-keit kümmertenwirunsdabeinurumdieVerarbeitungpersonen-bezogenerDaten,jedochnichtumandereAspekteseinerTätigkeit.
ZunächstwolltenwirunsvorOrteinBildvondenVerarbeitungstätig-keitendesVereinsmachen,fandenjedochandesseneingetragenemSitznurfastleereGeschäftsräumevor.AuchMitarbeiterinnenbzw.MitarbeiteroderVerantwortlichetrafenwirnichtan.DieZustellungunsereserstenSchreibensscheiterte–diePostinformierteunsübereinenNachsendeauftraganeineAdresseineinemanderenBundes-land.Wir leiteten ein förmlichesVerwaltungsverfahren gegen denVereineinundbaten zunächstumAuskunftu. a. zudendortigenProzessenderVerarbeitungpersonenbezogenerDaten, zuden In-formationennachArtikel13DS-GVOfürbetroffeneAbgemahnte,zuVerträgenmitAuftragsverarbeitern sowie zu den umgesetztentechnischen und organisatorischen Maßnahmen. Darüber hinausfordertenwirdieentsprechendenDokumente(z.B.dieVerträgezurAuftragsverarbeitungnachArtikel28DS-GVOsowiedasVerzeich-nisderVerarbeitungstätigkeitendesVereinsnachArtikel30DS-G-VO)an.
DieerstenAntwortendesVereinsaufunsereFragenwarenjeweilssehrkurz,unvollständigundnichtabschließend.EineDokumenta-
57
tion von technischen und organisatorischen Maßnahmen wurdezunächst genausowenig übersandtwie einVerzeichnis derVerar-beitungstätigkeiten.AuchrechtskräftigeVerträgezurAuftragsverar-beitungmit dem Internetdienstleister bzw.mitAnbieterinnenundAnbieternvoninderWebseiteeingebundenenAnwendungenkonn-ten nichtvorgelegtwerden.Wir erließen deshalb einenBescheid,mitdemwirdenVereinzueinervollständigen,abschließendenundaussagekräftigenAuskunftverpflichteten.NachfruchtlosemAblaufderFrist zurBeantwortungverhängtenwir zusätzlicheinZwangs-geld,umunsereForderungdurchzusetzen.
Danngingallesrechtschnell:WirerhielteneinSchreibenvomVer-ein, dasweder die konkreteUrheberin bzw. den konkretenUrhe-bererkennenließ,nocheineUnterschrifttrug.EssolltealsAntwortaufunserenAuskunftsbescheidzeitlichbereitsvorderVerhängungdes Zwangsgeldesverschicktworden sein, hatte uns jedoch nichterreicht. IndemSchreibenhießes,eineÜbersendungdervonunsangefordertenUnterlagen könne nicht erfolgen, da die Festplatte,aufderdiesegespeichertwaren,defektsei.Gleichzei-tigwurdeunsmitgeteilt,dassdieVereinsvorsitzendennichtmehrfürdenVereintätigseien.ImÜbrigenwer-dederVereinaufgelöst–dieskonntenwiranhandderEinträgeimVereinsregisternachvollziehen.
Die datenschutzrechtlichenMängel in derVereinstä-tigkeit waren offensichtlich. Auch der (behauptete)Defekt der Festplatte, auf der wichtige Geschäftsdaten abgelegtgewesenseinsollen,hättedenVereinnichtdavonentbunden,sei-nerPflichtnachArtikel5Absatz2DS-GVOzurDokumentationundzumNachweisderEinhaltungderAnforderungenderDatenschutz-Grundverordnungnachzukommen–hierhätteeseinerDatensiche-rung(imZweifelaufPapier)bedurft.DiehandelndenPersonenent-zogensichdurchdieVereinsauflösungjedochihrerVerantwortung:Mangels einer Rechtsnachfolge undwegen erheblicher rechtlicherUnsicherheiten imHinblickaufeinemöglichepersönlicheHaftungderVorsitzendenkonntenwirwederunsereForderungenvollstre-cken noch einOrdnungswidrigkeitenverfahrenwegen der Rechts-verstöße einleiten. ImErgebnis bleibt festzustellen:Wir sind zwarnichtinderLagenachzuweisen,dassunsereobigeVermutungwahrist;essprichtjedocheinigesdafür.
Wer Datenschutz fordert, sollte ihn auch selbst einhalten
58
59
1 Stellungnahmen zu Gesetzen und anderen Regelungen 62
1.1 GesetzzurÄnderungdesBrandenburgischenVerfassungsschutzgesetzes 62
1.1.1 RechtederBetroffenen 62
1.1.2 SchutzvonMinderjährigen 63
1.1.3 ErweiterungderAuskunftspflichten 64
1.1.4 EingeschränkteAufsichtsbefugnissederLandesbeauftragten 65
1.2 eID-undIT-BasiskomponentenverordnungzumBrandenburgischenE-Government-Gesetz 66
1.3 ÄnderungderMeldeordnungderLandesapothekerkammerBrandenburg 68
1.3.1 DatendesHeilberufsausweisesfürdasKammerverzeichnis 69
1.3.2 AngabenzuBeschäftigten 70
1.3.3 ÜbermittlungvonAusbildungsverträgen 71
2 BeratungimöffentlichenBereich 72
2.1 MeldedatenzurGratulationundähnlichen Zwecken? 72
2.2 Handy-Parken:MitdemSmartphonezum Parkschein 75
2.3 FortführungdesProjektszurinternetbasiertenZulassungvonKraftfahrzeugen 77
IV Ausgewählte Beratungen
60
3 BeratungimnichtöffentlichenBereich 79
3.1 VeränderteSchwerpunkteimnichtöffentlichenBereich 79
3.2 Fax-undE-Mail-KommunikationimGesundheitsbereich 81
4 16. Jahrestreffen mit den behördlichen Datenschutzbeauftragten 83
61
62
1 Stellungnahmen zu Gesetzen und anderen Regelungen
1.1 Gesetz zur Änderung des Brandenburgischen Verfassungsschutzgesetzes
ImApril 2019erhieltenwir dieGelegenheit, gegenüberdemAus-schuss für Inneres und Kommunales des Landtages Brandenburgeine Stellungnahme zu dem Entwurf für ein Drittes Gesetz zurÄnderung des Brandenburgischen Verfassungsschutzgesetzes (BVerfSchG)13abzugeben.ZielderReformwares,nebenderSchaf-fung eines einheitlichen Rechtsrahmens für dieArbeit der Sicher-heitsbehörden Konsequenzen aus den Erkenntnissen der parla-mentarischenUntersuchungsausschüsse in Bund und Ländern zurAufarbeitung der Mordserie des sogenannten „Nationalsozialisti-schenUntergrunds“zuziehen.Zudemgaltes,dasGesetzanVorga-bendesBundesverfassungsgerichtszumAntiterrorgesetz14undzumBundeskriminalamtgesetz15anzupassen.
Bereits im Jahr 2018 wurde das Brandenburgische Verfassungs-schutzgesetz an die neuen Datenschutzbestimmungen angepasst.DaunseredamaligendatenschutzrechtlichenHinweise leidernichtvollständig berücksichtigtwordenwaren, thematisiertenwir dieseerneut.DarüberhinausbenanntenwireineReihevonDefiziten,diedieGesetzesnovellemit sichbrachte.Neben zahlreichenweiterenAspekten,wiebeispielsweisedieAufweichungdesZweckbindungs-grundsatzes,sahenwirvorallemfolgendePunktekritisch:
1.1.1 RechtederBetroffenen
Wernichtweiß,dasserZielverfassungsschutzbehördlicherMaßnah-menwar,kannseineRechtealsbetroffenePersonnichtwahrneh-men.OhneKenntniseinesheimlichenEingriffs,seiesdurchObser-vation,AbhörenoderAufzeichnen,istaucheffektiverRechtsschutzkaummöglich. Informationspflichten sinddamit zentraleElementedesDatenschutzes,dieeinehinreichendeTransparenzvonDaten-verarbeitungsprozessenfürdiebetroffenenPersonengewährleisten
13 Landtags-Drucksache 6/10948 vom 26. März 2019.14 Urteil des Bundesverfassungsgerichts vom 24. April 2013, 1 BvR 1215/07.15 Urteil des Bundesverfassungsgerichts vom 20. April 2016, 1 BvR 966/09.
63
sollen.Nurdurch InformationkönnendieBürgerinnenundBürgerKenntnisdarübererlangen,dassihreDatenverarbeitetwerden.Zu-dembenötigensiedieseKenntnis,um(weitere)Betroffenenrechtewirksamausübenzukönnen. InsoweithängtdasAnliegen,Daten-verarbeitungsprozessefürdiebetroffenePersonhinreichendtrans-parentzuhalten,auchengmitderRechtsschutzgarantiezusammen.
FälltderZweckeinerMaßnahmewegoder istdiesererreicht,sindBetroffene nach unserer Auffassung über diese grundsätzlich zuunterrichten.MöglicheGeheimhaltungsinteressenkönnenallenfallsrechtfertigen, imEinzelfall von einerBenachrichtigung abzusehen,nicht aber Betroffenengruppen hiervon generell auszuklammern.DasArgumentdesGesetzgebers,dasseinegenerelleInformations-pflichtmitBlickaufdieRessourcenderVerfassungsschutzbehördenichtmöglichsei,dasiedannihreoperativenAufgabennichtmehrwahrnehmenkönne,überzeugtinkeinerWeise.DieInformationenkönnendurchausstandardisiertvorbereitetunderteiltwerden.
Auchhabenwirkritisiert,dassderGesetzentwurfeineBenachrich-tigungspflicht lediglichbeiMaßnahmenvorsah,die länger als eineWocheodermehrals14TageinnerhalbeinesMonatsandauern.Lei-derwurdenunsereBedenkennichtberücksichtigt.
1.1.2 SchutzvonMinderjährigen
DerGesetzentwurfbestimmte,dasspersonenbezogeneDatenvonKindernundJugendlichenvorVollendungdes14.Lebensjahrsnichtverarbeitetwerdendürfen.Diessolltejedochnichtgelten,„soweitminderjährige Personen von der Datenverarbeitung unvermeidbarals Dritte betroffen“ sind. Gegen dieseAusnahmeregelung hattenwirausmehrerenGründenerheblicheBedenken.Eswarunklar, inwelchenFällendieKinder„unvermeidbaralsDrittebetroffen“sind.EineErläuterungdesunbestimmtenRechtsbegriffsergab sichwe-der aus demNormtext selbst noch aus der Gesetzesbegründung.Außerdemwäreesmöglich,personenbezogeneDatenvonKindern,die das 14. Lebensjahr noch nicht erreicht haben, zu verarbeiten,soweitsieimZusammenhangmitStraftatenundverfassungsfeind-lichenBestrebungenstehen,obwohlsienichtselbstZielderverfas-sungsschutzrechtlichenMaßnahmensind.DamitwärendieseKindersogarwenigergeschützt,als jene,dienichtDrittesindundfürdieder Minderjährigenschutz des § 1 Absatz 2 Jugendgerichtsgesetz i.V.m.§19Strafgesetzbuchgilt.UnsereAnregung,hierNachbes-
64
serungenvorzunehmen,wurdenichtbeachtet.AuchunserHinweis,dassDatenDritter, insbesondereminderjährigerDrittergrundsätz-lichnur innichtrecherchierbarerFormgespeichertwerdensolltenund dies durch dieNormierung entsprechender technischerMaß-nahmenzugewährleistensei,fandkeineBerücksichtigungimweite-renGesetzgebungsverfahren.
Weiterhin kritisiertenwir, dass nach demGesetzentwurf dieVer-arbeitungvon personenbezogenenDaten über eineminderjährigePerson imAltervon14und15Jahren zulässigwäre, „wennnachdenUmständendesEinzelfallesnichtausgeschlossenwerdenkann,dassdieErhebungzurAbwehreinerGefahrfürLeiboderLebener-forderlich ist.“ Inwieweit dieseDatenerhebung im Zusammenhangmit den Aufgaben der Verfassungsschutzbehörde stehen soll, istnichtersichtlich.NachdemWortlauthandeltes sichhierumeineMaßnahmederGefahrenabwehr.AberwederdieoperativeGefah-renabwehrnochdieVerhütungkonkreterStraftatenistAufgabederVerfassungsschutzbehörde. ImÜbrigen erschließt sich nicht,wes-halb–wiebeianderenFallvariantenderNorm–nichtwenigstenstatsächliche Anhaltspunkte als Tatbestandsvoraussetzung gewähltwurden, sondern es stattdessen genügen sollte, dass eineGefahr„nichtausgeschlossenwerdenkann.“DiesstehtzugleichimWider-spruchzu§3Absatz1Satz2BbgVerfSchG,dereindeutigbestimmt,dass dasVorliegen tatsächlicherAnhaltspunkteVoraussetzung fürdasTätigwerdenderVerfassungsschutzbehördeist.
1.1.3 ErweiterungderAuskunftspflichten
KünftigsollenunteranderemdieBetreiberinnenundBetreibereinerVideoüberwachungsanlageimSinnedes§4Absatz1Bundesdaten-schutzgesetz(BDSG)verpflichtetsein,derVerfassungsschutzbehör-deAufzeichnungenzurVerfügungzustellen,wenndieszurAufklä-rungvonBestrebungenundTätigkeitenimSinnevon§3Absatz1BbgVerfSchGmiterheblicherBedeutungerforderlichist.
NachdemWortlautdesGesetzes trifftdieseVerpflichtungprinzi-piell jedenVerantwortlichen,deröffentlichzugänglichenRaumperVideoüberwacht.DieskannimExtremfalldazuführen,dassPrivat-personen, die über ihren Gartenzaun (versehentlich) den öffentli-chenStraßenraum(undseiesnurumeinpaarZentimeter)miterfas-sen,verpflichtetwären,familiäreAufzeichnungenpreiszugeben,die
65
unteranderenUmständennichteinmalindenAnwendungsbereichderDatenschutz-Grundverordnungfallenwürden.Problematischistzudem,dassbeispielsweisebeiSchwimmbädern (soferndiesgroß-flächigeAnlagenimSinnedes§4Absatz1Satz2BDSGsind)auchAufnahmenherausverlangtwerdenkönnen,die leichtbisgarnichtbekleidetePersonenbetreffen.UndalldieswürdeauchfürdenFallgelten,dassdieAufnahmenselbstgegendatenschutzrechtlicheRe-gelungen verstoßen und eigentlich unverzüglich gelöscht werdenmüssten.UnsereBedenkenwurdenimweiterenGesetzgebungsver-fahrennichtberücksichtigt.
ZudemsahdieGesetzesbegründungzwarvor,dassdieVerpflichtungaufBetreiberinnen undBetreiber einerVideoüberwachungsanlagevonöffentlichzugänglichengroßflächigenAnlagenzubeschränkensei, insbesondere Sport-,Versammlungs- undVergnügungsstätten,Einkaufszentren oder Parkplätzen, sowie von Fahrzeugen und öf-fentlich zugänglichen Einrichtungen des öffentlichen Luft-, Schie-nen-, Schiffs- und Busverkehrs. Aber unserer Empfehlung, dieseKlarstellungimGesetzestextzuverankernundsofürdieAnwende-rinnenundAnwenderunmissverständlich zumachen,wurdenichtgefolgt.
1.1.4 EingeschränkteAufsichtsbefugnissederLandesbeauftragten
Unsere datenschutzrechtlichenAufsichtsbefugnisse sindweiterhinohneerkennbarenGrundstarkeingeschränkt.ZwarkanndieLan-desbeauftragtegegenüberderVerfassungsschutzbehördeWarnun-genundVerwarnungenaussprechen.Sieistaberbeispielsweisenichtbefugt, dieVerfassungsschutzbehörde anzuweisen,Verarbeitungs-vorgängeinnerhalbeinesbestimmtenZeitraumsinEinklangmitdendatenschutzrechtlichenRegelungenzubringen.EbensowenigkannsiedieBerichtigungoderLöschungpersonenbezogenerDatenoderdieEinschränkungderVerarbeitunganordnen.
Die Beschränkung unserer Aufsichtsbefugnisse ist nicht nachvoll-ziehbar.DieBegründung, eswürdennurdiebisherigenAufsichts-befugnissefortgeschrieben,überzeugthiernicht.VielmehrsolltedieLandesbeauftragte gegenüber der Verfassungsschutzbehörde diegleichenBefugnissehabenwiegegenüberallenanderenBehördenim Land Brandenburg. Denn auch die Verfassungsschutzbehördeist –wie jedeöffentlicheStelle– anRechtundGesetz gebunden
66
und verpflichtet, datenschutzrechtliche Regelungen einzuhalten.Diesmussüberprüfbarund–sofernnotwendig–durchsetzbarseinundentsprichtdemallgemeinengesetzlichenAuftragderLandesbe-auftragtengemäߧ18BrandenburgischesDatenschutzgesetz.DieEinbindungderLandesbeauftragtenist insbesonderevordemHin-tergrunderforderlich,dasseineTransparenzderDatenverarbeitungsowie individueller Rechtsschutz bei heimlichen Überwachungs-maßnahmenohnehinnursehreingeschränktsichergestelltwerdenkönnen. Der Gewährleistung einer effektiven aufsichtsrechtlichenKontrollekommtdaherumsogrößereBedeutungzu.DiessetzteinemitwirksamenBefugnissenausgestatteteAufsichtsbehördevoraus.
ZwargibtesverschiedeneKontrollgremien,dieunteranderemdieRecht-undOrdnungsmäßigkeitderTätigkeitderVerfassungsschutz-behördeprüfen.DieseKontrolltätigkeitenzielenjedochgeradenichtauf eine speziell datenschutzrechtliche Prüfung der Vorgänge ab.Angesichts der eingeschränkten Betroffenenrechte und der dem-gegenüberstarkausgeweitetenBefugnissederVerfassungsschutz-behörde isteinedatenschutzrechtlicheKontrolle zurWahrungderRechtederBetroffenendringenderforderlich.
1.2 eID- und IT-Basiskomponentenverordnung zum Brandenburgischen E-Government-Gesetz
InunseremletztenTätigkeitsberichthabenwirüberdieBeteiligungderLandesbeauftragtenbeiderErarbeitungdesBrandenburgischenE-Government-Gesetzes (BbgEGovG) berichtet.16 Bereits damalshieltenwiresfürerforderlich,dieVerordnungsermächtigungendesGesetzeszunutzen,umkonkreteRegelungenzumDatenschutzzutreffen.Mitder eID-und IT-Basiskomponentenverordnung (eIDIT-BV)17 wurde im Berichtszeitraum ein erstes Ergebnis erzielt.WieschonbeimBrandenburgischenE-Government-GesetzhatunsdasMinisterium des Innern und für Kommunales frühzeitig eingebun-den.
DurchdieeID-und IT-BasiskomponentenverordnungwerdenAus-führungsbestimmungenzurelektronischen Identitätsfeststellung in
16 Tätigkeitsbericht Datenschutz 2018, V 1.2.17 Verordnung über Einzelheiten der elektronischen Identitätsfeststellung
und den Einsatz von IT-Basiskomponenten im Land Brandenburg vom 9. Juli 2019 (GVBl. II Nr. 48).
67
E-Government: gemeinsam zum Ziel
Verwaltungsverfahrengemäߧ3Absatz3BbgEGovG(eID-Service)sowiezumEinsatzvonIT-Basiskomponentengemäߧ11BbgEGovGgetroffen.DiesumfasstauchdieFestlegungderVerantwortlichkei-tennachderDatenschutz-Grundverordnung (DS-GVO).§1eIDIT-BVregelt,dassderBrandenburgischeIT-DienstleisterfürBehördendesLandesinVerwaltungsverfahren,beidenendieFeststellungderIdentitätderbetroffenenPersonelektronischerfolgt,alsDienstean-bieterimSinnedesPersonalausweisgesetzestätigwirdundimRah-menderErfüllungdieserAufgabepersonenbezogeneDatenausdemelektronischen Personalausweis (eID-Funktion) verarbeiten (alsoauslesenundübermitteln)darf.ErstelltdieseLeistungenauchKom-munenundanderenöffentlichenStellendesLandeszurVerfügung.
In Bezug auf die Bereitstellung von IT-Basiskomponenten gemäß § 11 BbgEGovG (wie z.B. Landesverwaltungsnetz, elektronischeVergabeplattform, virtuelle Poststelle oder elektronische Bezahl-plattform)grenzt§2eIDITBVdieAufgabenderbeteiligtenöffentli-chenStellenab:DerBrandenburgischeIT-DienstleisterentscheideteigenständigüberdieEinrichtungunddenBetriebderIT-Basiskom-ponenten.WerdendiesevoneinerBehördegenutzt,istsiezuständigfür dievon ihr imRahmender Erfüllung einer Fachaufgabeverar-beiteten personenbezogenenDaten. Bei der Umset-zung der datenschutzrechtlichen Pflichten wird dienutzendeBehördevomBrandenburgischenIT-Dienst-leisterunterstützt.Diesbetrifftz.B.dieBereitstellungder Informationen für das Verzeichnis der Verarbei-tungstätigkeiten gemäßArtikel 30DS-GVO, für eineevtl.durchzuführendeDatenschutz-FolgenabschätzunggemäßArti-kel35DS-GVOoderfürdasIT-SicherheitskonzeptnachArtikel32DS-GVO und § 4 Brandenburgisches Datenschutzgesetz. Für dieGewährleistung der Rechte betroffener Personen nachArtikel 12ff.DS-GVObleibt injedemFalldienutzendeBehördeverantwort-lich.Diesistsachgerecht,dasieauchfürdieErfüllungderjeweiligenFachaufgabe zuständig ist. Insgesamtwerden somit FestlegungenzurAusgestaltungdergemeinsamenVerantwortunggemäßArtikel26DS-GVOzwischendemBrandenburgischenIT-Dienstleisterundden die IT-Basiskomponenten nutzendenBehörden getroffen undunserefrüherenHinweiseausderStellungnahmezumEntwurfdesBrandenburgischenE-Government-Gesetzberücksichtigt.
Im Rahmen der Bestimmung desGeltungsbereiches der eID- undIT-Basiskomponentenverordnung ergaben sich Fragen hinsichtlich
68
derenAnwendungfürdiepolizeilicheGefahrenabwehr,dadiese–andersalsdieStrafverfolgung–nichtausdemGeltungsbereichdesBrandenburgischenE-Government-Gesetzesausgenommenwurde.UmWidersprüchen zu den für die polizeiliche DatenverarbeitungmaßgeblichendatenschutzrechtlichenRegelungenzuentgehen,reg-tenwirnachRücksprachemitdemZentraldienstderPolizeieineent-sprechendeAusnahmeregelungfürdieNutzungvonIT-Basiskompo-nenten imRahmenderpolizeilichenGefahrenabwehran.DemhatderVerordnungsgeberentsprochen.
Mit der eID- und IT-Basiskomponentenverordnung wurden dierechtlichen Regelungen für das Verfahren zum elektronischenIdentitätsnachweis sowie fürdieEinrichtungundNutzungvon IT-Basiskomponenten bei der Erbringung vonVerwaltungsdienstleis-tungen im LandBrandenburg konkretisiert.DerBrandenburgischeIT-Dienstleister istnungefordert,alle in§11Absatz1BbgEGovGgenanntenIT-BasiskomponentenzeitnahbereitzustellenundderenNutzungdurchdieöffentlichenStellenimLandzuermöglichen.
1.3 Änderung der Meldeordnung der Landesapothekerkammer Brandenburg
Nach dem Heilberufsgesetz (HeilBerG) sind Ärztinnen und Ärzte,Apothekerinnen und Apotheker, Tierärztinnen und Tierärzte so-wieZahnärztinnenundZahnärzte jeweils inKammernorganisiert.Es handelt sich dabei umKörperschaften des öffentlichen Rechtsmit eigenem Satzungsrecht. Die Kammern sind verpflichtet, einVerzeichnis ihrerMitgliederzu führen.DieMitgliederhaben ihrer-seits diePflicht, alle für dieErfüllungderAufgabenderKammernerforderlichenAngabenzumachenundentsprechendeNachweisezuerbringen.WelcheDatenfürdasVerzeichniskonkretanzugebensind,regelt§5Absatz2HeilBerGundergänzendeineSatzungderjeweiligenKammer.
Für die Apothekerinnen und Apotheker sind die entsprechendenErgänzungen in der als Satzung ausgestaltetenMeldeordnung derLandesapothekerkammer Brandenburg festgelegt. Das Ministeri-umfürArbeit,Soziales,Frauen,FamilieundGesundheitgabunsdieGelegenheit,zueineranstehendenÄnderungdieserMeldeordnungStellungzunehmen.Hierbeiwarenunsdie folgendendreiPunktebesonderswichtig:
69
1.3.1 DatendesHeilberufsausweisesfürdasKammerverzeichnis
DerSatzungsentwurfsahvor,dassdieApothekerinnenundApothe-kerAngabenzuihremelektronischenHeilberufsausweiswiez.B.dieausstellendeBehörde,denGültigkeitszeitraumunddengewähltenqualifiziertenVertrauensdiensteanbieterfürdasKammerverzeichnisabzugebenhaben.DieswurdemitderPflichtderKammerzurAus-stellungvonHeilberufsausweisenundzurSperrungderAuthentifi-zierungsfunktiondesAusweisesbeimWegfallderBerufsausübungs-befugnisbegründet.
HiergegenäußertenwirBedenken.
DieVerarbeitungvonPatientendatenzuVersorgungszweckenmit-telselektronischerGesundheitskartedürfennurbestimmteBerufs-gruppenvornehmen.DerenZugriffaufdieKarteerfolgtregelmäßigübereinenelektronischenHeilberufsausweis,derübereineMöglich-keit zur sicherenAuthentifizierungderAusweisinhaberinbzw.desAusweisinhabersundübereinequalifizierteelektronischeSignaturverfügt.DasFünfteBuchSozialgesetzbuchsiehtdementsprechendvor,dassindenLändernStellenbestimmtwerden,diefürdieAus-gabe desHeilberufsausweises zuständig sind, und Stellen,welchezuvor die Zugehörigkeit zu einer der berechtigten Berufsgruppenbestätigen.EsregeltzugleichÜbermittlungsbefugnissevonderfürdieBestätigungzuständigenStelleandieAusgabestelleundmachtdamitdeutlich,dassinsoweitzweiverschiedeneAufgabenbestehen.
Das Kammerverzeichnis führen die Heilberufskammern aufgrundvonLandesrecht,umeinenÜberblicküberihreMitgliederzuhaben.EineVermischungdieserreinlandesrechtlichenAufgabemitdenbei-deno.g.AufgabenausdemSozialgesetzbuchsahenwirerstrechtalsproblematischan.
Wir gingen außerdem davon aus, dass derHeilberufsausweis vondenApothekerinnenundApothekernbeider zuständigenLandes-apothekerkammerzubeantragenist.IndiesemZusammenhangsindalleerforderlichenAngabenzumachen,sodasswireineweitere,reinvorsorglicheErhebungdieserDatenfürdasKammerverzeichnisfürnichterforderlichhielten.
70
1.3.2 AngabenzuBeschäftigten
DieMeldeordnungverpflichtetedieKammermitgliederbereitsbis-her, jährlich personenbezogene Daten zu ihren Beschäftigten zuübermitteln.WirhattendiesinderVergangenheitakzeptiert,sofernsich dieKammer auf derGrundlage ihrer allgemeinenDatenerhe-bungsbefugnisdirektandiebetroffenenPersonenwandteundfürdasKammerverzeichnisausschließlichAngabenzureigenenPersonverlangte.DieslässtsichmitderPflichtzurFührungdesVerzeich-nissesrechtfertigen,daesgepflegtwerdenmussundaufaktuellemStandzuhaltenist.AllerdingswerdendurchdiejährlichenPersonal-meldungen an dieApothekerkammer überwiegendpersonenbezo-geneDaten anderer Personen erhoben, die teilweise nicht einmalselbst der Meldepflicht nach dem Heilberufsgesetz unterliegen.DenunsererAnsichtnachunzulässigenUmfangdieserPersonalmel-dungenhattenwirschonfrühererfolglosgegenüberdemMiniste-riumkritisiert.NunmehrbatesunsangesichtsderGeltungderDa-tenschutz-Grundverordnung undÄnderungen imHeilberufsgesetzselbstumeinePrüfungdiesesPunktes.
NachderbeispielhaftenAufzählungin§5Absatz2Satz3Nr.2Heil-BerGist–getrenntnachBerufsgruppen–nurdieZahlderBeschäf-tigteneinesselbstständigenApothekersmitzuteilen.ZwarkanndieSatzungNäheresbestimmen,eineErweiterunghatsichaberandenim Gesetz genannten Beispielen zu orientieren. Die Angabe derNamenderBeschäftigtenhaltenwir für nicht hinnehmbar, da derGesetzgebermitderWahldeseherstatistischenMerkmals„Anzahlder berufsspezifischenMitarbeiterinnenundMitarbeiter nachBe-rufsgruppen“deutlichgemachthat,dassesbeimKammerverzeich-nisinsoweitnichtumkonkretepersonenbezogeneDatengeht.Diesschließtnicht aus, dassdieKammer für andereZweckeoderAuf-gabenalsdieFührungdesVerzeichnissesvondenApothekerinnenund Apothekern personenbezogene Angaben ihrer Beschäftigtenerhebendarf.
NachderbislanggeltendenMeldeordnungsindsowohlselbstständi-gealsauchangestellteApothekerinnenundApothekermeldepflich-tig. Durch die jährliche Personalmeldung sind Doppelmeldungenzwangsläufigvorprogrammiert.
Das Verlangen, regelmäßig umfassende Personalmeldungen abzu-geben, erweckt den Eindruck, dass angestellten Apothekerinnen
71
undApothekern letztlichunterstelltwird,gegenMeldepflichtenzuverstoßen.Vorsorgliche Datenerhebungen verletzen aber den da-tenschutzrechtlichenGrundsatzderErforderlichkeit.EineDatener-hebungisterstdannerforderlich,wennkonkreteAnhaltspunktefüreinen Gesetzesverstoß vorliegen. Sollten Verstöße tatsächlich einbedenklichesAusmaßannehmen,könntezumeinenderGesetzgebernachAbwägung aller Interessen eine regelmäßigeDatenerhebungbeianderenPersonenoderStellenundeinenDatenabgleicheinfüh-ren.EinegenerelledoppelteMeldepflichtdurchKammermitgliederundihreArbeitgeberinnenundArbeitgeberistdemgegenübernichterforderlichundwidersprichtdemGrundsatzderDatensparsamkeit.
Darüber hinaus könnte die Landesapothekerkammer BrandenburginKenntnisdernachdemHeilberufsgesetzvonderApothekenlei-tung anzugebenden Zahl der Beschäftigten, die selbst Apotheke-rinnen oder Apotheker sind, auch prüfen, ob die MeldepflichtenalsBerufspflicht erfülltwerden.Hierzu ließe sichdieZahl der ge-meldetenBeschäftigtenmitdenEinzelmeldungenderangestelltenApothekerinnenundApothekereinerApothekevergleichen,umggf.Unstimmigkeiten festzustellen.EinesolcheVorgehensweisewürdedenVorgabenimHeilberufsgesetzentsprechenundwäredurchdieDatenverarbeitungsbefugnissederKammergedeckt.
1.3.3 ÜbermittlungvonAusbildungsverträgen
Die geltendeMeldeordnungverlangt außerdem, dass bei der Ein-stellungvonAuszubildendenfürdenBerufdesoderderpharmazeu-tisch-kaufmännischen Angestellten der Kammer der Ausbildungs-vertragvorzulegenist.EbensowiedasMinisteriumhattenauchwirVorbehaltegegendieseSatzungsregelung.AusdemBerufsbildungs-gesetz,einemBundesgesetz,ergibtsich,dassdieApothekerkammerein gesondertes Verzeichnis der Berufsausbildungsverhältnisse zuführenhat.AusbildendeundAuszubildendesinddanachgesetzlichverpflichtet,diefürdieEintragungerforderlichenTatsachenaufVer-langenderKammermitzuteilen.AusbildendesindnachdemBerufs-bildungsgesetzdarüberhinausgrundsätzlichverpflichtet,aufVerlan-genderKammerdiefürdieÜberwachungnotwendigenAuskünftezu erteilen. Auch enthält das Berufsbildungsgesetz inVerbindungmitderDatenschutz-GrundverordnungausreichendeRechtsgrund-lagenfürdieDatenverarbeitung.EinePflichtzurVorlagevonAus-bildungsverträgeninderMeldeordnungzuregeln, istfolglichnichtnotwendig.HierfürgibteszudemauchkeineSatzungsermächtigung.
72
ObunsereBedenkenundAnregungenaufgegriffenwerden,bleibtabzuwarten.
2 Beratung im öffentlichen Bereich
2.1 Meldedaten zur Gratulation und ähnlichen Zwecken?
GlückwünscheundGrüßederVerwaltung,insbesonderezuJubiläenältererMitbürgerinnenundMitbürgern,stelleneinewichtigeQuel-ledesgesellschaftlichenZusammenhalts inOrtsteilenundkleinenGemeinden dar. Oft drängt sich bei den kommunalenVerantwor-tungsträgerinnen und -trägern der Eindruck auf, der DatenschutzstehediesenkleinenAufmerksamkeitenentgegen.ImBerichtszeit-raum erhielt die Landesbeauftragte – besonders von Ortsvorste-herinnen und Ortsvorstehern sowie ehrenamtlichen Bürgermeis-terinnen und Bürgermeistern amtsangehöriger Gemeinden – vieleAnfragenzurVerarbeitungvonMeldedatenzumZweckevonGratu-lationen,BegrüßungenundÄhnlichem.WirlegendaherimFolgen-denunsereständigeAuskunftspraxiszudenrechtlichenGrundlagen,
Möglichkeiten und Grenzen der genanntenDatenverarbeitungdar.
In der Regel besteht derWunsch,Meldeda-ten zuverarbeiten, umEinwohnerinnenundEinwohnernzugratulieren.Dabeihandeltessich um Datenverarbeitungsvorgänge, die –wiealleGrundrechtseingriffe–einerRechts-
grundlage bedürfen.An der Qualität als Eingriff ändert sich auchdannnichts,wennbeabsichtigt ist,denBetroffenenetwas„Gutes“zutun–obdieDatenverarbeitungzumZweckderGratulationtat-sächlichwillkommenist,könnenletztlichnurdieBetroffenenselbstentscheiden.
FürdieGratulationanlässlichAlters-undEhejubiläenbestehenmeh-reregesetzlicheVorschriften:
Gemäߧ50Absatz2Bundesmeldegesetz (BMG)darfdieMelde-behördeMandatsträgerinnenundMandatsträgernaufAntragNameundAnschriftvonPersonenmitteilen,derenAlters-undEhejubilä-enbevorstehen.AlsAltersjubiläumgiltjedesvolleJahrfünftabdem70. Geburtstag und jeder Geburtstag nach dem vollendeten 100.Lebensjahr. Ehejubiläen sind alle auf das 50. Jubiläum folgenden
Herzlichen Glückwunsch! Ihre
Bürgermeisterin
73
Jahrestage. Beantragen Mandatsträgerinnen und MandatsträgereinesolcheDatenübermittlung,mussdiesinderRegelnichtweiterbegründetwerden. IstdiebetroffenePersonmitderÜbermittlungnichteinverstanden,kannsiegemäߧ50Absatz5BMGwiderspre-chen.
NebendenDatenübermittlungen aufAntrag besteht dieMöglich-keitderautomatisiertenÜbermittlungnach§§14und15Absatz2Meldedatenübermittlungsverordnung (MeldDÜV). § 14 MeldDÜVnimmtBezugaufdieDefinitionvonAlters-undEhejubiläenin§50Absatz2BMGundbestimmt,dassdieLandrätinnenundLandräte–beibesondershohenJubiläenauchdieStaatskanzlei–Meldeda-tenzusolchenAnlässenautomatisierterhalten,ohnedassdiesbe-antragtwerdenmuss.Gemäߧ15Absatz2MeldDÜVdürfenunterdenselben Voraussetzungen Daten auch automatisiert und damitohnevorherigesErsuchendenehrenamtlichenBürgermeisterinnenundBürgermeisternsowieOrtsvorsteherinnenundOrtsvorstehernübermitteltwerden.
DanebenhabendieBürgermeisterinnenundBürgermeisteramtsan-gehörigerGemeindengemäߧ15Absatz1MeldDÜVAnspruchaufautomatisierteÜbermittlungvonMeldedatenzurErfüllungwieder-kehrendereigenerAufgaben.Schließlichkönnenganzallgemeinin-nerhalbderselbenöffentlichenStelle(hier:zwischenderGemeinde-verwaltungundeinemOrtsteil)gemäߧ37Absatz1inVerbindungmit§34Absatz1BMGDatenaufAnfrageweitergegebenwerden,wenndiesfürdieErfüllungderAufgabenderempfangendenStelleerforderlichist.
NachfolgendgehenwiraufeinigeFragenein,dieunsregelmäßigge-stelltwerden:
• MussdieMeldebehördepersonenbezogeneDatenauchfürGra-tulationenzu„nichtrundenGeburtstagen“weitergeben?
DiesesAnliegenfälltnichtunterdieobengenanntenVorschriften,dieabschließendAnlässezulässigerÜbermittlungenaufführen.§34Absatz1BMGmachtdeutlich,dasseinweitergehenderAnspruchauf Übermittlung von Meldedaten nur begründet werden kann,wennsiezurErfüllungeinerderbeantragendenStelleübertragenenAufgabe erforderlich ist. Es handelt sichbei derGratulation indesumeine freiwilligübernommeneAufgabe,diedasKommunalrecht
74
GemeindenundOrtsteilenbzw.ihrenAmtsträgerinnenundAmtsträ-gernfreistellt,abernichtauferlegt.
DieMeldebehördeistinsolchenFällengrundsätzlichnichtverpflich-tet,dieDatenherauszugeben.MüsstesiediesbereitsbeijedemGe-burtstag,sobedürfteesderRegelungin§50Absatz2BMGnicht.Sollenauch„krumme“Geburtstageberücksichtigtwerden,empfiehltessichdaher,denJubilarinnenundJubilarendieMöglichkeitzuge-ben,sichselbst–unterHinweisaufdieZweckeunddieMöglichkeitdesWiderrufs–ineinenGeburtstagskalendereinzutragen.
• DarfdieGemeindeGeburtstagevonJubilarinnenundJubilaren–ggf.bisaufWiderruf–imAmtsblattveröffentlichen?
GrundsätzlichistdieEhrungeinpersönlicherVorgangzwischenderGemeinde und den Geburtstagskindern. Daher ist vor einer vonderGemeindeodereinemOrtsteilbeabsichtigtenVeröffentlichungeineinformierteEinwilligungeinzuholen.Dennnichtallewünschendie mit der Veröffentlichung im Amtsblatt verbundene Publizität– dies gilt insbesondere, wenn zur örtlich verteilten Druckversi-onnocheine Internetveröffentlichungkommt.DieUmsetzungderIdeevielerGemeindenundOrtsteile,dieGeburtstagebiszueinemWiderspruch insAmtsblattaufzunehmen,wäre folglichunzulässig.Hinzuweisen istallerdingsauf§50Absatz2BMG,derderPresseunddemRundfunkeinenAuskunftsanspruchzuJubiläenvermittelt.Diesedürfen–vorbehaltlichandererPersönlichkeitsrechte–auchohne Einwilligung die Jubiläen veröffentlichen, da das materielleDatenschutzrecht für journalistischeTätigkeit der Presse nicht gilt(vgl.§16aBrandenburgischesPressegesetzinVerbindungmit§29BrandenburgischesDatenschutzgesetz).
• VorEinführungderDatenschutz-GrundverordnunghatdieMel-debehördeDaten zuJubiläen herausgegeben, seitdemverwei-gertsiedies.HatdasneueDatenschutzrechthieranetwasgeän-dert?
Nein. Die durch die Datenschutz-Grundverordnung eingetrete-nen Neuerungen berühren die vorstehenden Rechtsfragen nicht.DieletztetatsächlicheÄnderungderRechtslageerfolgtedurchdieMelderechtsreform imJahr2015–allerdingswarendieNeuerun-genauchdamalsehergraduellerNatur(u.a.geringfügigeÄnderung
75
Parken: smart und datenschutzgerecht
derkonkretenJubiläen,AusweitungdesEmpfängerkreisesnachderMeldedatenübermittlungsverordnung).
• MancheAnlässe,wiedieBegrüßungvonneuzugezogenenBür-gerinnen und Bürgern, die Durchführung vonVeranstaltungenusw.verfolgeneinenähnlichenZweckwiedieGeburtstagsgra-tulation. Kann die Herausgabe von Meldedaten auf dieselbeRechtsgrundlagegestütztwerden?
Nein.DieRegelungendes§50Absatz2BMGsowieder§§14und15Absatz2MeldDÜVsindinsoweitabschließend.
2.2 Handy-Parken: Mit dem Smartphone zum Parkschein
DieVerwendungvon Smartphones undApps imAlltag nimmt zu-nehmendaufdieGestaltungvonVerwaltungsleistungenEinfluss.SostellenDiensteanbieterinnenundDiensteanbieterbeispielsweiseimRahmenderParkraumbewirtschaftungVerfahrenzurelektronischenAbwicklungdesBezugsundderBezahlungeinesParkscheinsmit-tels Smartphone bereit (sogenanntes Handy-Parken). Im Berichts-zeitraumbatenunsmehrerebrandenburgischeGemeindenumeinedatenschutzrechtlichePrüfungdesBetreibermodellsundderAusge-staltungdesVerfahrens.
BevorjemanddasHandy-Parkennutzenkann,musssieodererei-nen privatrechtlichenVertragmit einerDiensteanbieterin oder ei-nem Diensteanbieter schließen und die zugehörige App auf demSmartphoneinstallieren.MitHilfederAppkönneneinelektronischesParkticketbezogenunddieKostengegenüberderDiensteanbiete-rinoderdemDiensteanbieterbeglichenwerden.Diehierbei anfallenden personenbezogenen Daten (wieName,Anschrift,Kontaktdaten,Kfz-Kennzeichen,Mo-bilfunknummer, je nach gewünschter ZahlungsweiseBankverbindungoderKreditkartendaten,Login-Daten,Beginn,EndeundDauereinesParkvorgangs,gewählteParkzone,gebuchteParkgebührundggf.Zahlungsverhalten)dürfenfürdieErbringungdesServiceverarbeitetwerden.Danebenbedarfes für Kontrollzwecke und die Prüfung eines ordnungsgemäßenParkvorgangs auch eines Zugangs des kommunalen Aufgabenträ-gerszudenDaten–jedochbeschränktaufdenfürdiesen(Kontroll-)Zweck erforderlichen Umfang (z.B. Kfz-Kennzeichen, Datum undZeitraumdesParkvorgangs,ParkzoneundgebuchteParkgebühr).
76
Grundsätzlichgehenwirdavonaus,dassfürdasVerfahrendesHan-dy-ParkensausdatenschutzrechtlicherSichtdie jeweiligeGemein-deunddieDiensteanbieterinoderderDiensteanbietergemeinsamüberMittelundZweckederVerarbeitungpersonenbezogenerDatenentscheidenundinsoweiteinegemeinsameVerantwortungnachAr-tikel26Datenschutz-Grundverordnung(DS-GVO)vorliegt.IneinerschriftlichenVereinbarung,hierdemBetreibervertrag,sindu.a.dieModalitätenderDatenverarbeitungfürdieZweckederParkraumbe-wirtschaftung,desBezugsundderAbrechnungvonParkscheinen,derÜberweisungdergesammeltenGebührendurchdieDienstean-bieterinoderdenDiensteanbieterandieGemeindesowiederKon-trollederParkvorgängedurchsie festzulegen.JedederbeteiligtenStellenhatdabeieineeigeneRechtsgrundlagefürdieVerarbeitungderpersonenbezogenenDaten:BeiderDiensteanbieterinoderdemDiensteanbieteristdieVerarbeitungzurErfüllungdesprivatrechtli-chenVertragesmitderbetroffenenPersonerforderlichund somitdurchArtikel6Absatz1BuchstabebDS-GVOlegitimiert.DieGe-meinde nimmtmit der Parkraumbewirtschaftung eineAufgabe imöffentlichenInteressewahrundkannimRahmenvonKontrolleninerforderlichemUmfangdiepersonenbezogenenDatenderParken-denaufBasisvonArtikel6Absatz1BuchstabeeDS-GVOverarbei-ten.
ImRahmendesBetreibervertragesalsFestlegungimSinnevonAr-tikel26DS-GVOmusseineklareZuteilungderdatenschutzrecht-lichen Zuständigkeiten und eindeutige Abgrenzung der jeweiligenAufgaben und Befugnisse der Beteiligten erfolgen. Dies beziehtsich beispielsweise auch auf diePflichten zur Informationder be-troffenen Personen bei der Erhebung der Daten nach Artikel 13und 14 DS-GVO, die Gewährleistung der Betroffenenrechte aufAuskunft, Berichtigungund LöschungnachArtikel 15 ff.DS-GVOoderdieMelde-undBenachrichtigungspflichtennachArtikel33und34DS-GVO imFallevonVerletzungendesDatenschutzes.DadieGemeindekeinendirektenEinflussaufdietechnischenEinzelheitender Diensteerbringung und die Details derAbwicklung der priva-trechtlichenVereinbarungmitdenbetroffenenPersonenhat,istdiejeweiligeDiensteanbieterinbzw.derDiensteanbieterhieralleinda-tenschutzrechtlichverantwortlich.UmgekehrtistdieGemeindefürdieVerarbeitungsprozessebeiderPrüfungvonParkvorgängenundggf.beiderEinleitungvonSanktioneneigenständigzuständig.
77
ÜbereinenZugangbeiderDiensteanbieterinbzw.demDienstean-bieter kann dieGemeinde durch Eingabe des Kennzeichens einesimParkraumbefindlichenKraftfahrzeugs feststellen,ob fürdiesesFahrzeugaktuelleinelektronischerParkscheingelöstwurde.DieseZugriffeundDatenübermittlungensinddatenschutzrechtlichzuläs-sigundvertraglichzwischenallendreiBeteiligtenseparatzuverein-baren.Datenschutzrechtlichkritischistesjedoch,wenneineAbfra-geseitensderGemeindezueinemKfz-Kennzeichenerfolgt,obwohlwedereinherkömmlicherpapiernerParkscheinnocheinHinweisaufdieTeilnahmeamHandy-ParkenimKraftfahrzeugexistieren.Indie-semFallerfolgteineunberechtigteÜbermittlungdesKfz-Kennzei-chensalspersonenbezogenesDatumandieDiensteanbieterinoderdenDiensteanbieter,dakeineRechtsgrundlagefürdieDatenweiter-gabevorliegt,wennkeinprivatrechtlicherVertragmitderoderdemParkendenbesteht.
Insofernisteserforderlich,dassalle,dieamHandy-Parkenteilneh-men, eine entsprechende Vignette im Fahrzeug hinterlassen. DieGemeindedarfnurfürKennzeichendieserFahrzeugeeineentspre-chendeAnfragebeiderDiensteanbieterinoderdemDiensteanbieterzuKontrollzweckenstellen.BeiFahrzeugenohneVignetteundohneherkömmlichenpapiernenParkscheinistgrundsätzlichderVerdachteinerOrdnungswidrigkeitgegeben.
2.3 Fortführung des Projekts zur internetbasierten Zulassung von Kraftfahrzeugen
Bereits im vorletzten Tätigkeitsbericht18 informiertenwir über dieerfolgreicheZusammenarbeitzwischendenLandkreisenundkreis-freienStädten,demBrandenburgischenIT-Dienstleister,demMinis-teriumdes InnernundfürKommunalessowieunsererBehörde imProjekt zur internetbasiertenKfz-Zulassung (iKfz).Diesewurde imBerichtszeitraumfortgesetzt.
Seit dem 1. Oktober 2019 besteht für die Kraftfahrzeug-Zulas-sungsbehörden die Pflicht, im Rahmen des Projekts iKfz Verwal-tungsleistungen für den aus zulassungsrechtlicher Sicht gesamtenLebenszykluseinesFahrzeuges–vonderNeuzulassungbiszurAu-ßerbetriebsetzung– auchüberdas Internet anzubieten.AufBasisder Erfahrungen der ersten beiden Phasen zur internetbasierten
18 Tätigkeitsbericht 2016/2017, B 11.5.
78
AbmeldungundWiederzulassungvonKraftfahrzeugenkonntediesedritteStufedesProjektsinBrandenburgfasttermingerechtumge-setztwerden;derersteLandkreisnahmdenProduktivbetriebimDe-zember2019auf,weiterefolgenzuBeginndesJahres2020.
Neben der Erweiterung des Umfangs der angebotenen Verwal-tungsleistungenderZulassungsbehördenwarenauchdienachdemWirksamwerden der Datenschutz-Grundverordnung (DS-GVO) er-forderlichen datenschutzrechtlichen Anpassungen des Verfahrensvorzunehmen. Diese betrafen insbesondere die Erfüllung der In-formationspflichten gegenüber den betroffenen Personen und dieumfassendeGewährleistungderBetroffenenrechte.DarüberhinausmusstendasIT-Sicherheitskonzeptmitdentechnischenundorgani-satorischenMaßnahmenzurGewährleistungvonDatenschutzundInformationssicherheitimVerfahrenfortgeschriebenunddiejewei-ligenMaßnahmeninderweiterentwickeltentechnischenInfrastruk-turumgesetztwerden.
Um die iKfz-Verwaltungsleistungen zu erbringen, verwenden dieZulassungsbehörden in den Landkreisen und kreisfreien Städten
die auf Grundlage des BrandenburgischenE-Government-GesetzesdurchdenBranden-burgischen IT-Dienstleister bereitgestelltenIT-Basiskomponenten elektronisches Identi-tätsmanagement (eID-Service), elektronischeBezahlplattform (ePayBL) sowie das Landes-
verwaltungsnetz.Durch dieNutzung des landesweit angeboteneneID-ServicekannaufdiezwischendenkommunalenAufgabenträ-gern abgeschlossene delegierende öffentlich-rechtliche Vereinba-rung nach § 5 desGesetzes über die kommunaleGemeinschafts-arbeit im LandBrandenburgverzichtetwerden.Diesewar bislangerforderlich, um einem ausgewählten Landkreis die Aufgabe deselektronischen Identitätsnachweises zu übertragen. Der Branden-burgischeIT-DienstleisteristimVerfahrendarüberhinausAuftrags-verarbeitergemäßArtikel28DS-GVOfürdenBetriebdesPortalsder internetbasierten Kfz-Zulassung für die jeweiligen LandkreiseundkreisfreienStädte.
AlsgroßeHerausforderungfüreinefristgemäßeInbetriebnahmedesVerfahrensunddieImplementierungderdatenschutz-undinforma-tionssicherheitstechnischenMaßnahmenerwiessichdiespäteVer-
Online zum Kfz-Kennzeichen
79
öffentlichungderMindestsicherheitsanforderungendesKraftfahrt-Bundesamtes für dieAnbindungdezentralerPortale inderdrittenStufedesProjektsiKfz.DiesePublikationlaginderfinalenVersionerstMitteNovember2019vor–alsonachdemZeitpunkt,abdemalleProzessederKfz-ZulassungbereitsimInternetunterstütztwer-densollten.
AuchinderaktuellenPhasedesProjektszurinternetbasiertenKfz-Zulassung wirkten wir in den entsprechenden Gremien beratendmit, gaben Hinweise zur Anpassung der Verfahrensunterlagen andieDatenschutz-GrundverordnungundnahmenEinsichtindasver-fahrensspezifische IT-Sicherheitskonzept des BrandenburgischenIT-DienstleistersalsAuftragsverarbeiter.DieintensiveKooperationallerBeteiligtenermöglichtees,dassderersteLandkreisdiedaten-schutzrechtliche Freigabe gemäß § 4 Brandenburgisches Daten-schutzgesetzzügigerteilenkonnte.DiedortgemachtenErfahrungensowiedie imProjekterstelltenDokumentebildendenGrundsteinfürdenflächendeckendeniKfz-BetriebimLandBrandenburg,dadieweiterenLandkreiseundkreisfreienStädtehiervonprofitierenundnachAnpassungandieörtlichenBesonderheitenihreVerfahrenje-weilsselbstmiterheblichgeringeremAufwandfreigebenkönnen.
Die vertrauensvolle Zusammenarbeit zwischen den verantwort-lichen Stellen, dem Brandenburgischen IT-Dienstleister und derLandesbeauftragtenimProjektiKfzzeigtabermals,wiedieflächen-deckende Implementierungvon E-Government-Verfahren im LandBrandenburgzueinempositivenAbschlussgebrachtwerdenkann.Vor dem Hintergrund der Bemühungen der Landesregierung zurUmsetzungdesOnline-ZugangsgesetzesundderEntwicklungundBereitstellung digitaler Verwaltungsleistungen empfehlen wir eineFortführungderengenKooperationundeineÜbertragungderEr-fahrungenaufandereProjekte.
3 Beratung im nicht öffentlichen Bereich
3.1 Veränderte Schwerpunkte im nicht öffentlichen Bereich
MitdemWirksamwerdenderDatenschutz-GrundverordnunghattensichimvorhergehendenBerichtszeitraumeinigeBeratungsschwer-punkteherauskristallisiert.InsbesonderezurFotografie,zumDaten-schutz in denVereinen sowie zur Benennung eines Datenschutz-beauftragtenwurdedieLandesbeauftragtevielfachkonsultiert. Im
80
aktuellen Berichtszeitraum erreichten uns zu den vorgenanntenThemenzwarimmernochdiverseAnfragen–eswurdejedochauchdeutlich,dassderBeratungsbedarfsichzunehmendhinzuspeziel-lerenFragestellungenverschiebt.ErfreulicherweisehatunserAus-tauschmitbetroffenenPersonenundVerantwortlichengezeigt,dassdieBeteiligtenvermehrtbessereinzuordnenwissen,welcherechtli-chenAspektebeiderDatenverarbeitungzubeachtensind.Betrof-fenesindzunehmendgut informiertdarüber,welcheRechteihnenzustehen; verantwortliche Daten verarbeitende Stellen wiederumhabensichmitdenAnforderungenderDatenschutz-Grundverord-nungbesservertrautgemacht.EswarvielmehrhäufigderkonkreteUmfangderRechteundPflichten,überdensichdieAkteurinnenundAkteurenichtklarwaren.
SoerreichtenunsvieleAnfragenundBeschwerdenzurUmsetzungdesRechtsaufAuskunft.Dabeigingesnichtmehrnurdarum,obundinwelcherFristeinVerantwortlicher reagierenmuss, sondernver-stärktumDetails.HierzuzählteetwadieFrage,wannAuskunftsdo-kumentealsvollständiggeltenoderunterwelchenUmständenAus-künftenichterteiltwerdenmüssen,zumBeispiel,weilRechteDritterbeeinträchtigtwerdenkönnten.DasichzudiesenGesichtspunktennochkeinegefestigteRechtsprechunggebildethatunddieSachver-haltegroßeUnterschiedeaufweisenkönnen,warunsereBeratunghäufigzwangsläufigdaraufbeschränkt,dieBeteiligtenüberdiebe-stehendenNormenzuinformieren,ausdenensichAusnahmenoderEinschränkungenergebenkönnen.
Bei vielen Beschwerden hat sich zudem gezeigt, dass BetroffenesehrpauschaldieLöschungallerihrerDateneinfordern–undvieleVerantwortlichehieraufvielzupauschalreagieren.WirhabendahervielfachgegenüberbeidenBeteiligtenaufklärendtätigwerdenmüs-sen.BeispielsweisemussimRahmeneinesLöschbegehrensgegen-übereinerehemaligenVertragspartnerinbzw.einemVertragspartnerzwischendenunterschiedlichenDatenkategorien,dieimLaufedesVertragsverhältnissesausgetauschtodergeneriertwurden,differen-ziert werden (Kontaktdaten, Kommunikationsinhalte, Rechnungs-informationen, Nutzungsdaten usw.). Denn ein Anspruch auf Lö-schungbestehtimZeitpunkteinerKündigungnichtgleichermaßenhinsichtlichallerDatenkategorien.SokannetwaderUmstand,dassgegenseitige Forderungen noch nicht vollumfänglich ausgeglichensindodereinegesetzlicheAufbewahrungspflicht,wie sie in §257
81
Handelsgesetzbuchzufindenist,dersofortigenLöschungbestimm-terDatenentgegenstehen.
3.2 Fax- und E-Mail-Kommunikation im Gesundheitsbereich
Die Landesärztekammer Brandenburg berichtete uns von Unsi-cherheiten bei ihrenMitgliedern imHinblick auf dieNutzung derFax-Kommunikation zurÜbermittlungvonGesundheitsdaten, z.B.voneinemHausarzt zueinerFachärztin zurweiterenBehandlung.Insbesondere interessierte sich die Kammer für Hinweise unsererBehördezurNutzungvonFax-GerätensowiedieMöglichkeitfürPa-tientinnenundPatienten,dieDatenübermittlungperFaxdurcheineEinwilligungzulegitimieren.
Gesundheitsdaten zählen gemäßArtikel 9Absatz 1 Datenschutz-Grundverordnung(DS-GVO)zudenbesonderenKategorienperso-nenbezogenerDaten.EinVerlustderVertraulichkeit,IntegritätoderVerfügbarkeitderDatenkannu.U.erheblicheRisikenfürBetroffenebishinzueinerLebensgefahrnachsichziehen.InsofernsindandieGewährleistungdergenanntenSicherheitszieleunddieUmsetzungentsprechender technischer und organisatorischer MaßnahmenhoheAnforderungenzustellen.Zubeachtenistauch,dassdieunbe-fugteOffenbarungvonPatientendatendurchÄrztinnenbzw.ÄrzteundanderesmedizinischesPersonalnach§203Strafgesetzbuchge-ahndetwerdenkann.
Artikel 24 und 32 DS-GVO verlangen von demVerantwortlichen(hier:einerniedergelassenenÄrztinbzw.einemArztodereinerIn-stitution imGesundheitswesenwie z. B. einemKrankenhaus) undggf.derAuftragsverarbeiterinbzw.demAuftragsverarbeiterdieUm-setzunggeeignetertechnischerundorganisatorischerMaßnahmen,um sicherzustellen, dass die Verarbeitung gemäß der VerordnungerfolgtundeindemRisikoangemessenesSchutzniveaugewährleis-tetwird.BeiderAuswahlderMaßnahmensindnachdengenanntenVorschriftenderStandderTechnik,dieImplementierungskosten,dieArt, derUmfang, dieUmstände und die Zwecke derVerarbeitungsowiedieunterschiedlicheEintrittswahrscheinlichkeitundSchweredesRisikos für dieRechte undFreiheitennatürlicherPersonen zuberücksichtigen.Artikel32Absatz1BuchstabeaDS-GVObenenntexplizit dieVerschlüsselung als eineMaßnahme,Buchstabebdie-serVorschriftverlangt,u.a.dieVertraulichkeitderVerarbeitungaufDauersicherzustellen.§22Absatz2Bundesdatenschutzgesetzent-
82
hält ähnlicheVorgaben,die sichausdrücklich aufdieVerarbeitungbesondererKategorienpersonenbezogenerDatenbeziehen.
GeeigneteFormender sicherenÜbermittlungvonGesundheitsda-tensindz.B.diepersönlicheÜbergabe,derVersandperBriefpostoderKurierinverschlossenemUmschlagsowiedieKommunikationmittels Ende-zu-Ende-verschlüsselter E-Mail. Die Nutzung unver-schlüsselterE-MailsoderdieKommunikationperTelefax in (heutestandardmäßig anzutreffenden) IP-basierten Netzen entsprechengrundsätzlich nicht den genannten datenschutzrechtlichen Anfor-derungen.EinerseitswirddamitdenhohenRisiken fürBetroffenenicht in ausreichendemUmfang entgegengewirkt, andererseits isteineVerschlüsselungderE-Mail-Kommunikation seitJahrenStandderTechnikundmitvertretbaremAufwandzuimplementieren.
AllenfallsimabsolutenAusnahmefall–etwabeiunmittelbardrohen-dengesundheitlichenSchädenfüreinePatientinodereinenPatien-tenoderbeieingeschränkterErreichbarkeit imAusland–wäreeinVerzichtaufdiegenanntenFormendersicherenÜbermittlungvonGesundheitsdatentolerabel.IndiesemFallmüssteallerdingsdurchzusätzlicheMaßnahmenbestmöglichverhindertwerden,dassVer-traulichkeit, Integrität oder Verfügbarkeit bei der Kommunikationverletzt werden. Solche Maßnahmen können insbesondere darinbestehen,
• die Kommunikationsgeräte so aufzustellen und zu benutzen,dassUnbefugtemedizinischeDatennichtzurKenntnisnehmenkönnen,
• dieZielnummerbzw. -adressevorab festzuspeichernundvordemVersandnochmalssorgfältigabzugleichen,umFehlversen-dungenauszuschließen,
• auftelefonischemWegsowohlderEmpfängerinbzw.demEmp-fängerdieunmittelbarbevorstehendeKommunikationanzukün-digenalsauchderAbsenderinbzw.demAbsenderdenerfolgrei-chenAbschlussderÜbertragungzubestätigenund
• vorhandene geräte- bzw. softwarespezifische Sicherheitsfunk-tionenzunutzen(z.B.AbrufdesFaxesnurnachEingabeeinesPassworts,KontrollevonSende-undEmpfangsprotokollen,Ver-
83
schlüsselung des internen Gerätespeichers, Verzicht auf Fern-wartungsfunktionen).
Die Regelungen der Datenschutz-Grundverordnung sehen nichtvor,dassbetroffenePatientinnenundPatientenaufdieUmsetzungtechnisch-organisatorischer Maßnahmen verzichten können. DieVerpflichtung, ein den Risiken angemessenes und dem Stand derTechnik entsprechendes Schutzniveau bei der Datenübermittlungzugewährleisten,trifftdenVerantwortlichenunmittelbarundkannnicht durch eineEinwilligungderbetroffenenPerson abbedungenwerden.HiervonzuunterscheidenistallerdingseineEntbindungderÄrztinbzw.desArztesvonderSchweigepflicht.DiesewürdeeineOffenlegungderPatientendatengegenüberDrittenerlauben.
4 16. Jahrestreffen mit den behördlichen Datenschutzbeauftragten
AuchimzurückliegendenBerichtsjahrkonntenwirdiebehördlichenDatenschutzbeauftragten der Landkreise, kreisfreien Städte undgrößerenkreisangehörigenStädteundGemeindenwiederzueinerganztägigenBeratunginunsererDienststellebegrüßen.
Dasnunmehr16.Jahrestreffendientedem informativenundkriti-schenErfahrungsaustausch.EssolltenichtnurdieArbeitderohne-hin bereits gut vernetzten behördlichen Datenschutzbeauftragtenerleichtern.Vielmehr hatte es auch zum Ziel, Einblicke in dieAr-beitsweisederKommunenundderDatenschutzaufsichtsbehördezuvermitteln,offenedatenschutzrechtlicheFragenanzusprechenundzurLösungdatenschutzbezogenerProblemeausdemArbeitsalltagbeizutragen.
HauptsächlichesThemaderVeranstaltungwarenRechtsfragenrundumdieInformationspflichtenderVerantwortlichen.AufdemJahres-treffengelangesbeispielsweise,Antwortendaraufzufinden,wanneineInformationüberdieDatenverarbeitungimSozialbereichunter-bleibenkannoderinwieweiteineInformationnachArtikel13bzw.14Datenschutz-Grundverordnung(DS-GVO)zumBeispielumeinenHinweis aufMitwirkungspflichten ergänztwerdendarf.Auch kamdie Pflicht zur Benennung eines Datenschutzbeauftragten durchkommunaleSchiedsstellenzurSprache.DerUmgangmitderEinfüh-rungelektronischerAktensowiemitAuskunftsersuchennachArti-
84
kel15DS-GVOwurdenumfassenddiskutiert.AufgroßesInteressestießauchdieErörterung,wiemitAuskunftsersuchenvonErmitt-lungsbehördenzuverfahrenist.
Die Landesbeauftragte schätzt das Engagement derTeilnehmerin-nenundTeilnehmerdesJahrestreffensundbetontausdrücklichdieBedeutung der behördlichen Datenschutzbeauftragten in derenDienststellen. Nur wenn sie frühzeitig in bevorstehende Projekteeingebundenwerden, sind sie in der Lage, dem Entstehen daten-schutzrechtlicherProblemeentgegenzuwirkenunddieVerantwort-licheneffektivzuunterstützen.IhnensolltendeshalbnichtnurdasnötigeVertrauen,sondernaucheinausreichendesZeitbudgetfürdieBewältigung ihrerAufgaben zurVerfügung gestelltwerden. Nichtzuletzt dient dies derVermeidungvonDatenschutzverstößenunddamit möglicher Sanktionen. Behördliche DatenschutzbeauftragtestellenkeinezusätzlichenHürden fürdieArbeitderVerwaltungenauf,sondernvermitteln,wiedieindenjeweiligenFachbereichenan-gestrebtenZielemitdenbestehendengesetzlichenVorgabenzumSchutz personenbezogener Daten in Einklang zu bringen sind. IndiesemSinnestelltdieZusammenarbeitzwischendenbehördlichenDatenschutzbeauftragtenundderAufsichtsbehördeimRahmenih-rerregelmäßigenTreffeneinenwichtigenBeitragzumDatenschutzindenbrandenburgischenKommunendar.
85
86
87
1 Beschwerden 88
2 Beratungen 88
3 MeldungenvonDatenschutzverletzungen 88
4 Abhilfemaßnahmen 90
4.1 Warnungen,Verwarnungen,AnweisungenundAnordnungen 90
4.2 Geldbußen 91
5 EuropäischeVerfahren 93
6 Förmliche Begleitung bei Rechtsetzungsvorhaben 94
V Zahlen und Fakten
88
1 Beschwerden
Im Berichtszeitraum gingen bei der Landesbeauftragten 878 Be-schwerdenein.Davonumfasst sindalleBeschwerdenvonnatürli-chenPersonen,diederAnsichtsind,dassdieVerarbeitungdersiebetreffenden personenbezogenen Daten gegen das Datenschutz-rechtverstößt.KeineBerücksichtigungfandenhierbeitelefonischeBeschwerden,diesichmündlicherledigenließen.VielfachwendensichBetroffeneausBrandenburgauchdannandieLandesbeauftrag-te,wennderfürdieDatenverarbeitungVerantwortlicheseinenSitznichtinBrandenburg,sondernineinemanderenBundeslandhat.IndiesenFällenleitenwirdieEingabeandiezuständigeAufsichtsbe-hördeweiterundunterrichtendenBeschwerdeführerüberdieAb-gabe.Diesbetraf137Beschwerden.
2 Beratungen
NebenderBearbeitungvonBeschwerdengehörtauchdieBeratunginDatenschutzfragenzudenAufgabenderLandesbeauftragten.SiehatbetroffenePersonen,VerantwortlicheimöffentlichenundnichtöffentlichenBereichsowiedieLandesregierungbeiRechtssetzungs-verfahren in insgesamt über 400 Fällen schriftlich beraten. HinzukommteineVielzahlvontelefonischenBeratungen,dienichtinAk-tenerfasstwerden.
3 Meldungen von Datenschutzverletzungen
Verantwortliche sind nach Artikel 33 Datenschutz-Grundverord-nung(DS-GVO)verpflichtet,derAufsichtsbehördeVerletzungendesSchutzespersonenbezogenerDatenzumelden.Davonausgenom-mensindlediglichVorfälle,dievoraussichtlichkeinRisikofürdieBe-troffenendarstellen.DieMeldunghat unverzüglichundmöglichstbinnen72StundenabKenntnisderDatenschutzverletzungzuerfol-gen.MitderMeldungistderVorfallzubeschreiben;fernersinddieKategorienunddieungefähreZahlderbetroffenenPersonensowiedieKategorienunddieungefähreZahlderbetroffenenpersonenbe-zogenenDatensätze anzugeben.DieMeldung soll außerdemAus-führungenüberdiemöglichenFolgenderDatenschutzverletzungfürdieBetroffenensowieAngabenzudenergriffenenoderbeabsichtig-tenMaßnahmenzurBehebungderDatenschutzverletzungoderAb-milderung ihrerAuswirkungenenthalten.HatderDatenschutzvor-
89
fallvoraussichtlicheinhohesRisikofürdiepersönlichenRechteundFreiheitenderBetroffenenzurFolge, istderVerantwortlichenachArtikel34DS-GVOverpflichtet,sieunverzüglichvonderVerletzungzuunterrichten.
ImBerichtszeitraumerhieltdieLandesbeauftragte362Meldungenim Sinne vonArtikel 33DS-GVO.VonVerantwortlichen aus demöffentlichen Bereich gingen 177, von solchen aus dem nicht öf-fentlichen Bereich 185 Meldungen ein. Mehr als die Hälfte derMeldungen betraf Fälle, in denenUnterlagen an falsche,weilver-alteteAdressen, annamensgleichePersonenoder ehemaligeEhe-partnerinnen bzw. -partner versandt wurden, in denen aufgrundvon Fehlkuvertierungen Unterlagen Dritter beigefügt waren oderin denen den Verantwortlichen Fehler beim E-Mail-Versand un-terliefen. Hervorzuheben sind daneben die Fälle von Hackeran-griffen, Virenbefall, Phishing und erpresserischer Verschlüsse-lung. Diese Datenschutzverletzungen beliefen sich auf 30 Fälle. InderüberwiegendenZahlderFällewarennurwenigePersonenbe-troffen.DieZahlderMeldungenvonVorfällenmitbiszudreioderwenigerbetroffenenPersonenlagbei214.DieskorrespondiertmitderhohenZahlvonfehlgeleitetenUnterlagen,dieinderRegelnur
54%
8%
38%
ArtderDatenschutzverletzung
FehlerbeimVersandvonUnterlagen
Hackerangriffe,Viren,PhishingunderpresserischeVerschlüsselung
SonstigeVorfälle
90
wenige Personen betrifft.Datenschutzvorfällemitmehr als 1.000BetroffenenwurdenderLandesbeauftragtenzehnmalgemeldet.
4 Abhilfemaßnahmen
4.1 Warnungen, Verwarnungen, Anweisungen und Anordnungen
Artikel58Absatz2Datenschutz-Grundverordnung(DS-GVO)stat-tetdieAufsichtsbehördenmitBefugnissenaus,dieesihnenerlau-ben,gegenVerantwortlichevorzugehenundsiezurEinhaltungderdatenschutzrechtlichenVorschriften anzuhalten.Die Landesbeauf-tragte machte von diesen Befugnissen (ohne Geldbußen) im Be-richtszeitraumin20FällenGebrauch.MitzehnVerwarnungenmus-stedieseAbhilfemaßnahmeamhäufigstenergriffenwerden,gefolgtvonsechsAnweisungenbzw.Anordnungen,mitdenenVerantwortli-chezueinemkonkretenTunoderUnterlassenaufgefordertwerden.BeispielefürergriffeneAbhilfemaßnahmenschildernwir indiesemBerichtunterAI.
59%17%
8%3% 13%
AnzahlderBetroffenenprogemeldeterDatenschutzverletzung
biszudreiBetroffene
über3bis100Betroffene
über100bis1.000Betroffene
über1.000Betroffene
keinegenauenAngabenmöglich
91
4.2 Geldbußen
ImBerichtsjahrwurden der Bußgeldstelle der Landesbeauftragten47 Sachverhalte wegen Verstößen gegen datenschutzrechtlicheVorgabenzurKenntnisgegeben,umdieEinleitungeinesOrdnungs-widrigkeitenverfahrens zu prüfen. Dies bedeutete eine spürbareSteigerung zu den imvorherigen Berichtszeitraum eingegangenenFällen,die sich inderSummeauf24beliefen.EinerheblicherAn-teil,nämlich28Fälle,wurdevondenzuständigenPolizeibehördenoder Staatsanwaltschaften an die Bußgeldstelleweitergeleitet. Ei-nenkleinerenAnteilstellteninsgesamt14Sachverhaltedar,dievonaufsichtsbehördlich tätigenMitarbeiterinnen undMitarbeitern derLandesbeauftragten an die Bußgeldstelle abgegebenwurden. DieübrigenfünfFällesetztensichausAbgabenunzuständigerAufsichts-behördensowieAnzeigenvonBürgerinnenundBürgernzusammen.
Von den 47 neu eingegangenen Sachverhalten sind mehr als dieHälftenachderneuenRechtslagezubewerten.Dennocherreichenuns auchweiterhinFälle, indenendie relevanteHandlungbereitsvor dem Wirksamwerden der Datenschutz-Grundverordnung am 25.Mai2018abgeschlossenwurde.Diesesindweiterhinnachder
4
10
6
0
2
4
6
8
10
12
Warnungen Verwarnungen AnweisungenundAnordnungen
Abhilfemaßnahmen
92
altenRechtslagezubeurteilen.DazusätzlicheinRückstauanAltfäl-lenzuverzeichnen ist,wardieBußgeldstelleauch imBerichtszeit-raumschwerpunktmäßigmitderBearbeitungvonBußgeldverfahrenbefasst,aufdiediealteRechtslageanwendbarist.
ImJahr2019hatdieBußgeldstelle24Verfahrenabgeschlossen,diesichsowohlgegennichtöffentlicheStellenalsauchgegenMitarbei-terinnenundMitarbeiteröffentlicherStellenrichteten.In11Fällen,also fast der Hälfte, verhängte die Landesbeauftragte wegen derfestgestelltendatenschutzrechtlichenVerstößeeineGeldbuße.DieGesamtsumme der festgesetzten Bußgelder betrug 69.150 Euro.Derweit überwiegende Teil der Bußgeldverfahrenwar bereits imvorangegangenenBerichtszeitraumeröffnetwordenundbetrafVer-stöße,dienachderaltenRechtslagezubewertenwaren.LediglichineinemFallwareinOrdnungswidrigkeitentatbestanddesArtikels83DS-GVOerfüllt,daderVerstoßnachWirksamwerdenderDaten-schutz-Grundverordnung begangenwurde. In einemweiteren FallhabenwirdasBußgeldverfahrennach§32desneuenBrandenbur-gischenDatenschutzgesetzesgeführt.
9%9%
82%
RechtsgrundlagederverhängtenBußgelder
Art.83DS-GVO
§32BbgDSG
Rechtslagevordem25.Mai2018
93
DieandereHälftedergeführtenVerfahren–alsojeneFälle, inde-nenwir keinBußgeldverhängt haben–wurde aufverschiedenenWegenbeendet:VierVerfahrenhatdieBußgeldstelleaufgrundvonOpportunitätserwägungenoder rechtlichenHindernissengarnichtersteingeleitet. IndreiFällenwurdedasVerfahrenmangelshinrei-chendenTatverdachts eingestellt. In zwei Fällen erhieltendieVer-antwortlichen eine ordnungswidrigkeitenrechtliche VerwarnungnachalterRechtslage.InzweiweiterenFällengabdieBußgeldstel-lemangelseigenerZuständigkeitinderSachedieVerfahrenandieDatenschutzaufsichtsbehördeeinesanderenBundeslandesab.ZweiFällewurdendurchdieStaatsanwaltschaftübernommen.
5 Europäische Verfahren
Die Datenschutz-Grundverordnung (DS-GVO) hat zu einer Inten-sivierung der Zusammenarbeit der europäischen Datenschutzauf-sichtsbehörden inFällengrenzüberschreitenderDatenverarbeitunggeführt.EinesolchegrenzüberschreitendeVerarbeitungliegtunteranderem vor, wenn die Verarbeitung personenbezogener DatendurchdenVerantwortlicheninmehrerenMitgliedstaatenerfolgt.DasBinnenmarkt-Informationssystem(IMI)derEuropäischenKommissi-onbieteteineelektronischePlattformfürdenhierzuerforderlichenAustausch zwischendenBehörden. IndenKooperationsverfahrender Mitgliedstaaten hatte die Landesbeauftragte im Berichtszeit-raumin1249Fällenzuprüfen,obsietätigwerdenmuss:
748 Fälle wurden über das Binnenmarkt-Informationssystem vonanderenAufsichtsbehörden aufgrundvonBeschwerden gemeldet.Hierprüftenwir,obdieLandesbeauftragtefederführendeoderbe-troffeneAufsichtsbehördeistundentsprechendeVerfahrensschritteergreifenmuss.DieFederführungorientiertsichdabeianderHaupt-niederlassungodereinzigenNiederlassungdesVerantwortlicheninderEuropäischenUnion.EineBetroffenheitistdemgegenüberdanngegeben,wenndiegemeldeteVerarbeitungstätigkeitdurchdasUn-ternehmenerheblicheAuswirkungenaufBürgerinnenundBürgerimLandBrandenburghabenkönnteoderderVerantwortlicheeineNie-derlassungimZuständigkeitsbereichderLandesbeauftragtenhat.
EineFederführungderLandesbeauftragtenhabenwirineinemFallangenommen.EineBetroffenheitderLandesbeauftragtenbejahtenwir in 27 Fällen. Bei den übrigen Sachverhalten haben wir nachDurchsicht entschieden, uns nicht an demweiterenVerfahren zu
94
beteiligen,dadieVerantwortlichenkeineNiederlassunginBranden-burghattenundkeineerheblichenAuswirkungenaufBrandenbur-gerinnenundBrandenburgerzuerwartenwaren.
Sechs bei uns eingegangene Beschwerden gegen eine grenzüber-schreitendeDatenverarbeitunghabenwirdenübrigeneuropäischenAufsichtsbehördenmitHilfedesBinnenmarkt-InformationssystemszurKenntnisgegeben.SiehabendamitdieGelegenheit,ebenfallszuprüfen,obsie indiesenFällenfederführendeoderbetroffeneAuf-sichtsbehördesind.
In501FällenbeteiligtenwirunsanVerfahrenderZusammenarbeitundKohärenznachKapitelVIIDatenschutz-Grundverordnung,diekeineIndividualbeschwerdezumGegenstandhatten,etwaimRah-mengegenseitigerAmtshilfeoderbeiderVorbereitungeinerStel-lungnahmedes EuropäischenDatenschutzausschusses.Davon ge-hen20aufdieInitiativederLandesbeauftragtenzurück.
ImBerichtszeitraumwurdeneuropaweit81KooperationsverfahrennachArtikel60DS-GVOdurcheinenBeschlussderjeweilszustän-digenfederführendenAufsichtsbehördeabgeschlossen.ZehndieserBeschlüsseberuhenaufPrüfungenandererdeutscherAufsichtsbe-hörden,einergehtaufBrandenburgzurück.
6 Förmliche Begleitung bei Rechtsetzungsvorhaben
Gemäߧ18Absatz5Satz1BrandenburgischesDatenschutzgesetzistdieLandesbeauftragtevordemErlassvonRechts-undVerwal-tungsvorschriften zu hören. Auch die Datenschutz-Grundverord-nungüberträgt inArtikel57Absatz1Buchstabe cdenAufsichts-behörden eineBeratungsfunktionbei legislativenMaßnahmen. ImBerichtszeitraum hat die Landesbeauftragte dementsprechend zu20RechtsetzungsvorhabenStellunggenommen.Diesbetraf sechsGesetzedesLandesBrandenburg,einGesetzdesLandesSachsen-Anhaltund13brandenburgischeRechtsverordnungen.
95
96
97
1 VorbemerkungzurÄnderungderRechtslage 98
2 Beanstandung wegen des fehlenden RahmensicherheitskonzeptsderPolizei 98
3 KennzeichenerfassungssystemKESY 100
3.1 SteindesAnstoßes:ErmittlungenimFalleinerVermissten 101
3.2 BeanstandungwegendesVerstoßesgegendieUnterstützungspflicht 102
3.3 StellungnahmegegenüberdemLandesverfassungsgericht 103
3.4 BeanstandungwegendatenschutzrechtlicherVerstößeundWarnung 104
4 EinsatzvonKörperkameras 106
5 Beratung zur Änderung des Brandenburgischen Polizeigesetzes 108
6 Beratung zur Umsetzung der Richtlinie (EU) 2016/680: Brandenburgisches Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz 110
7 ZahlenundFakten 113
Teil B: Bericht nach § 37 Brandenburgisches Polizei-, Justizvollzugs-undMaßre-gelvollzugsdatenschutzge-setz
98
VI Teil B: Bericht Nach Art. 37 BbgPJMDSG
1 Vorbemerkung zur Änderung der Rechtslage
DieimdeutschenRechtssysteminzwischenetablierteDatenschutz-Grundverordnungfindetbeistraf-oderordnungswidrigkeitenrecht-lichenVerfahren sowie imVollzugsbereich keineAnwendung. FürdieVerarbeitungpersonenbezogenerDatendurchdiezuständigenBehördenzumZweckederVerhütung,Ermittlung,AufdeckungoderVerfolgungvonStraftatenoderderStrafvollstreckung,alsoimBereichJustizundInneres,wurdebereits2016diesogenannteeuropäischeJI-Richtlinie,19erlassen.AndersalsdieunmittelbaranwendbareDa-tenschutz-GrundverordnungmussdieRichtlinieinnationalesRechtumgesetztwerden.DieserUmsetzungsprozesserfolgt teilweise imBundesrechtaberauchinlandesrechtlichenGesetzen.UmeinzelneFachgesetzenichtmiteinerFüllevondatenschutzrechtlichenNeu-regelungenanzureichern,hatsichdasLandBrandenburgentschlos-sen, die allgemeinen Inhalte der Richtlinie in einem gemeinsamenGesetz für die Rechtsbereiche polizeiliches Handeln, JustizvollzugundMaßregelvollzug umzusetzen. Das Brandenburgische Polizei-,Justizvollzugs-undMaßregelvollzugsdatenschutzgesetztratam22.Juni2019inKraft.20
2 Beanstandung wegen des fehlenden Rahmensicherheitskonzepts der Polizei
DiePolizeiBrandenburgbetreibtseitvielenJahreneinegroßeZahlanVerfahrenzurVerarbeitungpersonenbezogenerDaten,z.B.daspolizeilicheVorgangsbearbeitungssystemComVor,dasInformations-undAuskunftsverfahrenPOLAS,dasEinsatzleitsystemfürBehördenundOrganisationenmitSicherheitsaufgabenELBOSunddasKenn-zeichenerfassungssystemKESY.
DamitdieEinzelnendurchdieVerarbeitungpersonenbezogenerDa-tennicht inunzulässigerWeise in ihrenGrundrechtenbeeinträch-
19 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung per-sonenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU L 119/89).
20 siehe B 6
99
tigtwerden,hatdiePolizeiBrandenburgbeiEinführungundBetriebdieserVerfahrendatenschutzrechtlicheVorgabeneinzuhalten.Dazugehörtesauch,dasseinauseinerRisikoanalyseentwickeltesIT-Si-cherheitskonzept ergebenmuss, dassdievondemVerfahren aus-gehendenGefahrenfürdieRechteundFreiheitenderBetroffenendurchgeeignete technischeundorganisatorischeMaßnahmenbe-herrschtwerdenkönnen.
DiegesetzlicheVerpflichtungzurErstellungvonSicherheitskonzep-ten fürdievon ihnenbetriebenenVerfahren ist denVerantwortli-chenderPolizeiBrandenburgseitLangembekannt.ImSinneeinersystematischenundeffizientenHerangehensweisehattediePolizeivorgesehen, ein sogenanntesRahmensicherheitskon-zeptfürdiepolizeilicheIT-Infrastrukturmitallenange-schlossenenSystemenundKomponentenzuerstellen,indemgrundlegende,verfahrensunabhängigeSicher-heitsmaßnahmenbeschriebenundumgesetztwerden.DasRahmensicherheitskonzeptsolltedamitdieBasisfür alle auf ihmaufbauendenTeilsicherheitskonzepteder einzelnen Fachverfahren bilden.DieseVorgehensweise ist beigroßen und komplexen Informationsverbünden üblich, entsprichtdemStand derTechnik undwirdvon der Landesbeauftragten un-terstützt.
Trotz unsererwiederholtenAufforderung hat die Polizei das Rah-mensicherheitskonzeptallerdingsüberJahrehinwegnichtkomplettvorgelegt. Bereits in unserem letzten Tätigkeitsbericht hatten wirdeshalbkritisiert,dassesimmernochnichtfertiggestelltist,undge-fordert,diesenMangelzubeseitigen.
Die Verantwortlichen stellten uns nacheinander mehrere TermineinAussicht,ohne sieeinzuhalten.StattdessenwurdedieFinalisie-rungdesKonzeptes immerweiterverschoben.Wirmusstendaherfeststellen, dass es hinsichtlich der Erfüllung der gesetzlichenAn-forderungenzurGewährleistungdesDatenschutzesundderInfor-mationssicherheit bei derVerarbeitung personenbezogener DatenBetroffenermittelseinesumfassendenundaktuellenRahmensicher-heitskonzepteserheblicheMängelgibtunddieserMissstandbereitsseitvielenJahrenandauert.DieLandesbeauftragtehatdahergegen-über demverantwortlichenMinister für Inneres undKommunalesdieVerstößegegen§7Abs.3,§10und§10aBrandenburgisches
IT-Sicherheit lange nicht nachgewiesen
100
Datenschutzgesetzinderam24.Mai2018geltendenFassungbe-anstandetundihnaufgefordert,unverzüglicheinvollständigesRah-mensicherheitskonzeptvorzulegen.
Der Minister legte in seiner Stellungnahme dar, dass er sich mitNachdruckfürdieFertigstellungdererforderlichenDokumenteein-setzenwerdeundversicherte,dassDatenschutzundInformationssi-cherheithöchstePrioritäthätten.EinigeMonatespäterwurdenunsvonderPolizeiBrandenburgumfangreicheUnterlagen zumgefor-dertenSicherheitskonzeptübergeben.DiesebefindensichzurzeitinderPrüfung.EineendgültigedatenschutzrechtlicheBewertungstehtdahernochaus.
Auch nach der mit dem Brandenburgischen Polizei-, Justizvoll-zugs-undMaßregelvollzugsdatenschutzgesetzbestehendenneuenRechtslagesinddieVerantwortlichenderPolizeiverpflichtet, tech-nischeundorganisatorischeMaßnahmenzubestimmenundumzu-setzen,umdieRisiken fürdieRechteundFreiheitendervonpoli-zeilicherDatenverarbeitungbetroffenenPersonenzubeherrschen.Wir werden die uns zur Verfügung stehenden Mittel nutzen, dieEinhaltungdiesergesetzlichenAnforderungenzukontrollierenunddurchzusetzen.
3 Kennzeichenerfassungssystem KESY
Im Jahr 2019 stand dasVerfahren der brandenburgischen Polizeizur automatischenKennzeichenerfassung (KESY) imFokus.Anlasswar ein Ermittlungsfall der Strafverfolgungsbehörden, der auch inderÖffentlichkeit,demzuständigenMinisteriumdesInnernundfürKommunalesundinparlamentarischenGremienzueinerintensivenBefassungmitdieserMaßnahmeführte.FürunsistdiesesVerfahrenrelevant,weildasKraftfahrzeugkennzeicheneinpersonenbezogenesDatumist,dessenVerarbeitungeinerRechtsgrundlagebedarf.
DiePolizeiinBrandenburgnutztdasVerfahrenKESYseitdemJahr2010. Es wird sowohl zu gefahrenabwehrrechtlichen Fahndungs-zweckengemäߧ36aBrandenburgischesPolizeigesetzalsauchzurStrafverfolgung nachVorschriften der Strafprozessordnung (StPO)eingesetzt.DasSystemumfasstmehrerestationäreAnlagenmitKa-meras, die an definierten Standorten in Brandenburg digitalisierteBilder von Kraftfahrzeugkennzeichen und die rückwärtigeAnsichtdes Fahrzeugs aufnehmen. Das Verfahren kann im sogenannten
101
Fahndungsmodusbetriebenwerden,beidemerfassteKennzeichenmit einem konkreten Fahndungsbestand abgeglichen, Nichttrefferautomatisiertgelöschtundnursogenannte„Treffer“fürdieweitereBearbeitung gespeichertwerden. Im sogenanntenAufzeichnungs-moduswerdendagegenalleKennzeichenvonFahrzeugen,dieeineErfassungskamerapassieren,eingelesen,aufgezeichnetundgespei-chert. DieseDatenbestände sind, solange keine Löschung erfolgt,dauerhaftrecherchierbar.DenAufzeichnungsmodusnutztdiePoli-zeizurepressivenZwecken,beispielsweiseimZugevonRingalarm-fahndungen (§ 111 StPO) oder bei längerfristigen ObservationenunterVerwendungbesondererfürObservationszweckebestimmtertechnischerMittel(§163fi.V.m.§100hAbsatz1Nummer2StPO).Die längerfristigeObservationeinerodereinesBeschuldigtendarfnur durch ein Gericht bei tatsächlichenAnhaltspunkten für Straf-taten von erheblicher Bedeutung für die Dauer vonmaximal dreiMonaten angeordnetwerden, kann allerdings, soweit dieVoraus-setzungenfortbestehen,wiederholtverlängertwerden.DerEinsatzdestechnischenMittelszurDurchführungderObservationwirdinderRegelvonderzuständigenStaatsanwaltschaftangeordnet.DieBrandenburgische Polizei nutzt die Kennzeichenfahndung sowohlfürlandeseigeneErmittlungsverfahrenalsauchinAmtshilfebeiEr-suchenvonErmittlungsbehördenandererBundesländer.
3.1 Stein des Anstoßes: Ermittlungen im Fall einer Vermissten
DiePolizeidesLandesBerlinermittelteimMärz2019wegeneinervermisstenjungenFrau,alsbekanntwurde,dassdasFahrzeugeinesTatverdächtigenaufdemGebietdesLandesBrandenburgan zweimehrereWochen zurückliegenden Tagen erfasst und gespeichertwurde, obwohl das Kennzeichen zu diesem Zeitpunkt weder zurGefahrenabwehrnochzurStrafverfolgungineinerFahndungsdateiderbrandenburgischenPolizeihinterlegtwar.Esstelltesichheraus,dass zu diesem Zeitpunkt der Aufzeichnungsmodus des Kennzei-chenerfassungssystemsaufgrundeinesnichtmitdemVermisstenfallzusammenhängenden, bei der Staatsanwaltschaft Frankfurt (Oder)betriebenenErmittlungsverfahrenswegenschwererBandenkrimina-litätaktiviertwar.FürdiesesVerfahren lagenmehrere, zeitlichan-einander anschließende gerichtlicheBeschlüsse zur längerfristigenObservationvor.DarüberhinausexistiertenauchstaatsanwaltlicheAnordnungen,besonderefürObservationszweckebestimmtetech-nischeMittelzunutzen.DiesewurdenerstmalsimSeptember2017erlassenundwarenohneUnterbrechung immerwiederverlängert
102
worden.DadasErmittlungsverfahrennochnichtbeendetwar,wur-denDatenüberinsgesamt19MonateangesammeltunddabeiauchdasvonderBerlinerPolizei gesuchteKennzeichenmiterfasst.DiebrandenburgischePolizeihatteaufErsuchenderBerlinerKollegin-nenundKollegendanachrecherchiertunddieDatenübermittelt.
3.2 Beanstandung wegen des Verstoßes gegen die Unterstützungspflicht
FürunswardiemedialeBerichterstattungAnlass,denEinsatzdesKennzeichenerfassungssystemsumfassendzuprüfen.DazuführtenwirimJuli2019eineVor-Ort-KontrolleimEinsatz-undLagezentrumderPolizei inPotsdamundbeieinerDienststelledesLandeskrimi-nalamtsdurch.UnsereAbsicht, auchdiebei derPolizeivorliegen-dengerichtlichenBeschlüsseundstaatsanwaltlichenAnordnungeneinzusehen,diedenEinsatzvonKESYindemFrankfurterVerfahrenlegitimierensollten,konntenwirnichtumsetzen.DiePolizeiverwei-gerteunsdieVorlagederDokumenteunterHinweisdarauf,dassal-leindiesachleitendeStaatsanwaltschaftFrankfurt(Oder)berechtigtsei, Entscheidungen über dieAkteneinsicht in ein noch laufendesVerfahren zu gewähren und keine Einwilligungen dieser Staatsan-waltschaftvorlägen.AusunsererSichtistdieseArgumentationun-haltbar,denndiePolizeiisttrotzderBefugnisderStaatsanwaltschaft,derartigeMaßnahmenanzuordnen,datenschutzrechtlichfürdasvonihrbetriebeneVerfahrenKESYverantwortlich.DiePolizeibestimmtausschließlichüberdieMittelderVerarbeitungpersonenbezogenerDaten,dasieKenntnisundKontrolleüberdiestationärenStandorte,denBetrieb,einzelneAbläufewiedieAuswertungderDatenalsauchübertechnisch-organisatorischeAspektedesVerfahrenshat.SieistinderVerfahrensdokumentationfolgerichtigalsverantwortlicheOr-ganisationseinheitbenannt.AlsVerantwortlicheristsiedahergemäߧ35Absatz1und2BrandenburgischesPolizei,-Justizvollzugs-undMaßregelvollzugsdatenschutzgesetz (BbgPJMDSG)verpflichtet,dieDatenschutzaufsichtbeiderErfüllungihrerAufgabenzuunterstüt-zenundinsbesondereEinsichtinalleVorgängeundAufzeichnungenzugewähren.DadieBeschlüsseundAnordnungensichinFallaktenderPolizeibefanden,warunsZugangdazuzugewähren.WegenderfortgesetztenWeigerungderPolizei habenwir daher gemäß § 36Absatz1Nummer2BbgPJMDSGgegenüberdemPolizeipräsiden-teneineBeanstandungwegenVerstoßesgegendieUnterstützungs-pflicht ausgesprochen. Die gerichtlichen Beschlüsse und die An-ordnungenderStaatsanwaltschaftFrankfurt (Oder)wurdenunszu
103
einemspäterenZeitpunktdurchdieGeneralstaatsanwaltschaftzurVerfügung gestellt.Dadurch konntenwir denVerfahrensgang unddieFormulierungenindenAnordnungenprüfen.
3.3 Stellungnahme gegenüber dem Landesverfassungsgericht
ParallelnahmenwirdieGelegenheitwahr,gegenüberdemVerfas-sungsgericht des LandesBrandenburg eine Stellungnahme zu dendatenschutzrechtlichen Fragen der Kennzeichenerfassung abzu-geben. Dortwar eineVerfassungsbeschwerde eines Beschwerde-führersanhängig,dermitseinemFahrzeugregelmäßigeinenAuto-bahnabschnittinBrandenburgbefährtunddavonausgeht,dassseinKennzeichenmehrfachvonderPolizeigespeichertwurde.Ersahda-rineinenEingriffinseinRechtaufinformationelleSelbstbestimmungundhattevordemAmtsgerichtundnachfolgendimBeschwerdever-fahrenvordemLandgerichtdieRechtmäßigkeitderstrafprozessua-lenAnordnungenundderenUmsetzungüberprüfen lassenwollen.BeideGerichtelehntenseinenAntragjedochunterHinweisaufdiefehlende Antragsberechtigung ab, weshalb der BeschwerdeführerwegenVerletzungseinesrechtlichenGehörsvordasVerfassungsge-richtzog.InunsererStellungnahmelegtenwirauchunsereRechts-auffassungzurflächendeckendenErfassungvonKennzeichendurchdiePolizeidar.
AlsErgebnisstelltenwirfest,dassdieherangezogeneBefugnisnormdes § 100hAbsatz 1 Satz 1Nummer 2 StPO für den Einsatz derKennzeichenerfassungimAufzeichnungsmoduskeineausreichendeRechtsgrundlagedarstellt.BeiderErmächtigungzumEinsatztech-nischerMittel fürObservationenhattederBundesgesetzgeberur-sprünglich anMittel gedacht, die nicht zuAufzeichnungen führenundAuswirkungenaufDrittevermeiden,wieetwaPeilsender.Beider fortlaufenden Daueraufzeichnung erfasst und speichert KESYjedocheineunbegrenzteAnzahlvonFahrzeugennichtbeschuldigterPersonen,diedadurchzuZielpersonenwerden,dajederzeitweitereErmittlungshandlungen(wiezumBeispielHalterabfragenoderspä-tereDatenabgleiche)darananknüpfenkönnen.DerEinsatztechni-scherMittelgegennichtbeschuldigtePersonen istnurausnahms-weisezulässig.VordemHintergrundderangedachtentechnischenMittelwurdenandenEinsatznurwenigbeschränkendeVorausset-zungengeknüpft.DieslässtsichfürdieKennzeichenerfassungnichtrechtfertigen,zumalganzüberwiegendgegenüberdenbetroffenenPersonen(Halterinbzw.HalteroderFührerinbzw.Führerderaufge-
104
zeichnetenFahrzeuge)keinVerdachtbesteht,dasssieinirgendeinerVerbindungzudenBeschuldigtendesUrsprungsverfahrensstehenoderzuderenAuffindenführen. ImJahr2018hatdasBundesver-fassungsgerichtfestgestellt,dassbereitsjedeKennzeichenkontrolleeinenEingriffindasRechtaufinformationelleSelbstbestimmungal-lerindieKontrolleeinbezogenenPersonenbegründet,unabhängigdavon,obdasKennzeichendanachsofortgelöschtwird.21 In unse-remPrüffallsindwirunterBerücksichtigungderhohenAnzahldergespeichertenFahrzeugevonUnbeteiligten,derLaufzeitderMaß-nahmevoninsgesamt23MonatenunddemErmittlungsgegenstand(EigentumsdelikteverübtdurcheineBande)zudemSchlussgelangt,dassderEinsatzdesKESY-VerfahrensimAufzeichnungsmodusnichtverhältnismäßigwar.
3.4 Beanstandung wegen datenschutzrechtlicher Verstöße und Warnung
Unabhängig von der Frage der Rechtsgrundlagen für den BetriebdesKennzeichenerfassungssystems(KESY)imAufzeichnungsmodusstelltenwirbeiunsererPrüfungvorOrtdatenschutzrechtlicheVer-stößefest.
IndenAnordnungenderStaatsanwaltschaftFrankfurt(Oder)findensichübervieleMonatehinwegkeinekonkretenAnweisungen,KESYim Aufzeichnungsmodus als technisches Mittel einzusetzen. Viel-mehrwurde lediglichdieRechtsnormzitiert,ohnedasMittelkon-kretzubenennen.DiePolizeihatdiesbezüglichauchnichtumeineKlarstellung ersucht, sondern das System eigenverantwortlich fürdieObservation imAufzeichnungsmoduseingesetzt.DamithatsiegegendasGebotderDatensparsamkeitunddasdatenschutzrecht-licheErforderlichkeitsprinzipverstoßen.AlsVerfahrensverantwort-lichewardiePolizeiausunsererSichtdarüberhinausverpflichtet,dieüberMonateangesammeltenKennzeichendateninangemesse-nerZeit undnachAbsprachemit der Staatsanwaltschaft auch aufdieErforderlichkeitfürihreweitereSpeicherungfürdasanhängigeErmittlungsverfahren zuüberprüfenundnichtbenötigteDaten zulöschen.DergesamteDatenbestandwurdejedochvorgehaltenundsolltenachAuskunftderPolizeierstmitAbschlussdesVerfahrensgelöschtwerden,wenndieStaatsanwaltschafteineentsprechende
21 Beschluss des Bundesverfassungsgerichts vom 18. Dezember 2018, 1 BvR 142/15.
105
Verfügungerlässt.DiesePraxisverstößtgegendasGebotunverzüg-licherLöschungnichtmehrerforderlicherDatenundistunzulässig.DadiebrandenburgischePolizeidasKennzeichenerfassungssystemimAufzeichnungsmodusnichtnurfürlandeseigeneVerfahren,son-dernüberwiegend inAmtshilfe fürandereStaatsanwaltschaften inAmtshilfebetreibt,liegenhäufigmehrereAnordnungenfürdenglei-chenZeitraumvor.DieüberKESYakkumuliertenDatensindnichtnachden jeweiligen, sich teilweiseüberschneidendenErmittlungs-verfahrengetrennt,waseinedatenschutzgerechteLöschpraxis zu-sätzlicherschwert.
Schließlichstelltenwirfest,dassdiePolizeiesversäumthat,Zugriffs-rechteaufdasVerfahrennachstriktenErforderlichkeitskriterienzubegrenzen.AbgesehenvonderAnzahlderBerechtigtenkonntendieNutzungsberechtigtenbiszu28Tagerückwirkendaufalleerhobe-nenDatenzugreifen.
WirhabendieinderVergangenheitliegendenVerstößederPolizeiimDezember2019gemäߧ36Absatz1Nummer2Brandenbur-gisches Polizei-, Justizvollzugs- undMaßregelvollzugsdatenschutz-gesetz (BbgPJMDSG) beanstandet. Zugleich sprachen wir eineWarnunggemäߧ36Absatz1Nummer1BbgPJMDSGüberdendatenschutzwidrigenEinsatzinderZukunftaus,fallsdiePolizeibe-absichtigt,dieDatenverarbeitungsobeizubehalten.Wir forderten,denbestehendenDatenbestandeinerÜberprüfungzuunterziehenundkünftignichtmehrerforderlicheKennzeichendatenzulöschen.
Das Polizeipräsidium hatte bereits vor unserer Beanstandung teil-weise Abhilfe geschaffen, indem es durch eine interne Dienstan-weisung festlegte, vor demEinsatzvonKESY darauf hinzuwirken,dassdieKennzeichenerfassungundderBetriebsmodushinreichendkonkretinderstaatsanwaltlichenAnordnungbenanntwerden.Auchdie Zahl der Zugriffsberechtigtenwurde durch die PolizeiführungüberprüftundbisJuni2019ummehralsdieHälftereduziert.DieseNotmaßnahmensindzubegrüßen,jedochnichtausreichend.
Wirhabendeutlichgemacht,dassdieStrafverfolgungsbehördenei-nenEingriffindasinformationelleSelbstbestimmungsrechtmitdie-serTragweitefürnichtbeschuldigteVerkehrsteilnehmendenichtaufdieherangezogeneRechtsgrundlage§100hStPOstützenkönnen.DiesePositionwirdauchvonderKonferenzderunabhängigenDa-tenschutzaufsichtsbehördendesBundesundderLändergeteilt,die
106
inihrerEntschließungvom6.November2019geforderthat,dieun-terschiedsloseErfassung,SpeicherungundAuswertungderKennzei-chendatenzurepressivenZweckenzuunterlassenundrechtswidriggespeicherteDaten zu löschen.ObderBeschlussderJustizminis-terinnenundJustizministerderLänderaufihrerFrühjahrskonferenz2019füreineausdrücklichegesetzlicheRegelungdesEinsatzesvonKennzeichenlesesystementatsächlichzueinerRechtsänderungundgegebenenfallszueinerNeubewertungführenwird,bleibtabzuwar-ten.
Wirgehenjedochdavonaus,dass§100hStPOinBrandenburgzu-nächstweiterhinfürdenrepressivenEinsatzvonKESYimAufzeich-nungsmodus herangezogenwird.Daher habenwir u. a. gefordert,dasszumindestdieFormderSpeicherungineinemeinzigenDaten-bestandüberarbeitetwerdenmuss,umunverzüglicheLöschungenzuermöglichen.
Bis zum Jahresschluss war nicht absehbar, ob die PolizeiführungnunmehrdiedatenschutzrechtlicheVerantwortung fürdasVerfah-renübernimmt.EineStellungnahmezuunsererBeanstandungundWarnungerwartenwirfürdenJahresbeginn2020.
4 Einsatz von Körperkameras
Im Rahmen einer Änderung des Brandenburgischen Polizeigeset-zes (BbgPolG)22 wurde im Berichtszeitraum eine RechtsgrundlagefürdenEinsatzvonKörperkameras(sogenannteBodycams)zurEi-gensicherungundDokumentationgeschaffen.Nach§31aAbsatz2BbgPolGkanndiePolizeizurErfüllungihrerAufgabenbeiPersonen-oderFahrzeugkontrollenBildaufnahmen,Bild-undTonaufzeichnun-gendurchdenEinsatzkörpernahgetragenertechnischerMittelher-stellen,wennTatsachendieAnnahmerechtfertigen,dassdieszumSchutzvonBeamtinnenundBeamtenoderDrittengegeneineGe-fahrfürLeib,LebenoderFreiheiterforderlichist.UnzulässigisteinesolcheMaßnahmeu.a.inWohn-undNebenräumen,eingeschränktzulässiginArbeits-,Betriebs-undGeschäftsräumensowieaufande-rembefriedetenBesitztum.
22 Zwölftes Gesetz zur Änderung des Brandenburgischen Polizeigesetzes vom 1. April 2019 (GVBl. I Nr. 3).
107
Bodycams können zunächst im Bereitschaftsmodus betriebenwerden.Hierbeiwird eineBild- undTonaufnahme als sogenanntePre-Recording-Sequenzvon60SekundenDauerimKurzzeitspeicherder Kamera abgelegt und fortlaufend automatisch überschrieben.VersetztdieBeamtinoderderBeamtedieBodycamindenAufzeich-nungsmodus,wirddieletztePre-Recording-Sequenzzusammenmitder fortlaufenden Bild- und Tonaufnahme dauerhaft gespeichert.Wird dieKamera ausgeschaltet, ohne dass derAufzeichnungsmo-duseingeschaltetwar, istdiePre-Recording-SequenzaufgrundderFlüchtigkeitdesKurzzeitspeichersspurenlosgelöscht.
Die brandenburgische Polizei hat uns ihre Planungen zumEinsatzvonKörperkamerasvorgestellt. Beabsichtigt ist ein einjähriges Pi-lotprojekt in den Polizeiinspektionen Potsdam, Oranienburg undCottbus,beidemBodycamsimtäglichenStreifendienstundvonderBereitschaftspolizeigetestetwerden.Dabeisollen20KamerasvonvierverschiedenenHerstellerneingesetztwerden.AmEndedesPro-jektzeitraumsisteinestandardisierteundvergleichendeAuswertungunterBeteiligungdertestendenDienststellenundmitHilfederEx-pertisederHochschulederPolizeiBrandenburgvorgesehen.
DerEinsatzderKörperkameraswirdvorrangiginBrennpunktberei-chen erfolgen, entsprechend der gesetzlichen Regelungen jedochnicht inWohnräumen. Durch ein deutlich sichtbares Piktogrammbzw. einen Aufnäher mit dem Schriftzug „Video/Audio“ in einerSignalfarbeweistdiePolizeideutlichaufdieKamerahin.DasEin-schaltendesAufzeichnungsmoduswirdzudemverbalangekündigt.GrundsätzlichsollendieKamerasabschreckendwirken,umWider-stands-undGewalthandlungenvorzubeugen.Aufzeichnungendür-fenmaximal14Tagegespeichertwerden,außerinFällen,indenensiebenötigtwerdenzurVerfolgungvonOrdnungswidrigkeitenvonerheblicherBedeutungodervonStraftatenoderfürdieÜberprüfungderRechtmäßigkeitvonaufgezeichnetenpolizeilichenMaßnahmen,insbesonderewenneinebetroffenePersondiesverlangt.
Wir haben darauf hingewiesen, dass die deeskalierendeWirkungvon Körperkameras bisher nicht durch eine wissenschaftlich fun-dierteEvaluationbelegtwurde.AusunsererSichtkannderdurchdieVideo-bzw.AudioaufnahmeeintretendeEingriffindasRechtaufin-formationelleSelbstbestimmungnurdurcheinenachweislicherhöh-teSicherheitfürLeib,LebenundFreiheitderPolizeibeamtinnenund-beamten oderDritter gerechtfertigt sein.Wir haben deshalb un-
108
sereZweifelanderGeeignetheitundErforderlichkeitderEingriffs-befugnisdeutlichgemacht.AufjedenFallistdaherimRahmendesPilotbetriebssicherzustellen,dassdieKörperkamerasentsprechendrestriktiveingesetztunddieBeamtinnenundBeamtenangemessenfürdieRechtederbetroffenenPersonensensibilisiertwerden.DiePolizeihatunszugestimmt,dassderEinsatzvonBodycamsnurbeiGefahr einer schweren Körperverletzung oder Lebensgefährdungin Betracht kommt. SollenAufnahmen für andere Zwecke als zurEigensicherung und Dokumentation verwendetwerden, läge eineZweckänderungvor,überdiedieBehördenleitungnachPrüfungderRechtsgrundlagezuentscheidenhätte.
Zudem istderPolizeiklar,dasssiesorgfältiggeeignetetechnischeundorganisatorischeMaßnahmenzuergreifenhat,umdieVertrau-lichkeitundIntegritätderAufzeichnungenzugewährleisten.AlleKa-merasbietenzwareineverschlüsselteSpeicherungan–allerdingskonntediePolizeiaufNachfragekeineAussagenzudenkonkretenVerschlüsselungsverfahrentreffen.HierhabenwirumnachträglicheInformation gebeten.Wir haben außerdemauf dieNotwendigkeiteinerDatenschutz-FolgenabschätzungvorProjektbeginnundaufdiezu erstellenden Fachkonzepte undDokumentationen hingewiesen(z. B. Risikobewertung, IT-Sicherheitskonzept, Rechte-/Rollenkon-zept,Löschkonzept,VerzeichnisderVerarbeitungstätigkeiten).
5 Beratung zur Änderung des Brandenburgischen Polizeigesetzes
DenGesetzentwurfzurÄnderungdesBrandenburgischenPolizeige-setzeshatdieLandesregierungimOktober2018indenLandtagein-gebracht.23WirwurdenvomMinisteriumdesInnernundfürKom-munales bereitswährend des Entwurfsstadiums eingebunden undhattenimJanuar2019nochmalsdieGelegenheit,ineinerAnhörungimAusschussfürInneresundKommunalesdesLandtagesBranden-burgunsereStellungnahmezuerläutern.
Mitdemam1.April2019verkündeten12.Änderungsgesetz zumPolizeigesetz24 wurden neue und teilweise erweiterte Eingriffsbe-fugnissefürdiePolizeigeschaffen.NeueingefügtwurdendieMel-
23 Tätigkeitsbericht Datenschutz 2018, V 1.1.24 Zwölftes Gesetz zur Änderung des Brandenburgischen Polizeigesetzes
vom 1. April 2019 (GVBl I Nr. 3).
109
deauflage,MaßnahmenwiedieerkennungsdienstlicheBehandlung,die anlassbezogene Kennzeichenfahndung, Ausschreibung undverdeckteRegistrierung jeweils zurAbwehrvonTerrorgefahr,Auf-enthaltsvorgabenundKontaktverbotebis zudreiMonatenDauer,derGewahrsamzurVerhinderungeinerStraftatundderEinsatzvonKörperkamerasimöffentlichzugänglichenRaum.UnsereBedenkengegendenverdecktenEinsatztechnischerMittelzurÜberwachungder Telekommunikation durch Eingriffe in informationstechnischeSysteme(sogenannteQuellen-TKÜ)wurdenvomberatendenInnen-ausschussaufgegriffenunddieBefugnisersatzlosgestrichen.
EinegravierendeÄnderungimVergleichzuraltenRechtslageistdieEinführungeinesvonunsalsnichthinreichendkonkretkritisierten„vorverlagerten Gefahrenbegriffs“ bei einigen Erhebungsbefugnis-sen zurAbwehr vonGefahren desTerrorismus.Aus unserer SichtsinddiefestgelegtenEingriffsvoraussetzungen,dieeinepolizeilicheEinschätzungeinerdrohenden– imGegensatz zueinerkonkreten–GefahrenlageundvonmöglicherweisestrafrelevantemVerhaltenerfordern,nichtausreichendbestimmt.DieerwarteteBegehungei-ner Straftatmuss gemäßder neuenVorschrift nur „ihrerArt nachkonkretisiert“seinundineinem„übersehbarenZeitraum“geschehenkönnen.BereitsVerhaltensweisen,dieeine„konkreteWahrschein-lichkeit“ einer Rechtsgutschädigung begründen, sollen Eingrifferechtfertigen können.Mit unsererRechtsauffassung, dassdasAb-weichenvontradiertenGefahrenabwehrkategorienmitunbestimm-tenRechtsbegriffenohnenähereKonkretisierung inderBefugnis-normnichtimEinklangmitsicherheits-undverfassungsrechtlichenPrinzipiensteht,konntenwirunsjedochnichtdurchsetzen.
FürdiebeschlosseneEinführungvonKörperkameraszurAufzeich-nungvonBildundTonzurEigensicherungbeiPersonen-oderFahr-zeugkontrollen, die auch eine Pre-Recording-Funktion (Vorabauf-zeichnung)umfasst,hättenwirunszumindesteineBefristungundanschließendeEvaluierungderMaßnahmehinsichtlichderbehaup-teten Abschreckungswirkungen gewünscht. Dies hat der Landtagjedochnichtumgesetzt.
ImVergleichzudenÄnderungenderPolizeigesetzeandererLänderfälltdieErweiterungpolizeilicherBefugnisse inBrandenburgnochmoderat aus. Dennoch haben wir neben der konkreten Kritik aneinzelnenMaßnahmendeutlich gemacht, dassunsdie stetigeKu-mulation vonDatenerhebungen durch neue Erlaubnisnormen und
110
herabgesenkteEingriffsschwellen zunehmendSorgenbereitetunddiePolizeieineGesamtschauderEingriffsbefugnisseundderdamiteinhergehendengrundrechtlichenBelastungenderBürgerinnenundBürgervornehmenmuss.
6 Beratung zur Umsetzung der Richtlinie (EU) 2016/680: Brandenburgisches Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz
Die EU-Richtlinie 2016/680 (sogenannte JI-Richtlinie) stellt daszweiteStandbeindereuropäischenDatenschutzreformdar; sie istfürdenBereichderDatenverarbeitungvonSicherheitsbehördenundbeiderStrafvollstreckungmaßgeblich.DieRichtliniewaram5.Mai2016inKraftgetretenundräumtedenMitgliedstaateneinezweijäh-rigeUmsetzungsfristbiszum6.Mai2018ein.DaesinBrandenburgnichtgelang,dieentsprechendenLandesvorschriftenfristgerechtzuerlassen,beschlossderLandtagimApril2018eineÜbergangsrege-lung.FürdieDatenverarbeitungderPolizeiundOrdnungsbehörden,soweitsieOrdnungswidrigkeitenverfolgen,galtdasBrandenburgi-scheDatenschutzgesetzinseinerbisherigenFassungfort,währendindenübrigen,nichtderDatenschutz-Grundverordnung(DS-GVO)unterfallendenAnwendungsbereichendasnovellierteBrandenbur-gische Datenschutzgesetz und die Datenschutz-Grundverordnungfürentsprechendanwendbarerklärtwurden.ImJahr2019wurdendieVorgabenderRichtlinieaufLandesebenedurchdasBrandenbur-gische Polizei-, Justizvollzugs- undMaßregelvollzugsgesetz (BbgP-JMDSG)25umgesetzt.Estratzum22.Juni2019inKraft.
ImZugederbrandenburgischenStrategie,einengemeinsamenGe-setzentwurf für die Bereiche Polizei, Justiz- und MaßregelvollzugmitdenallgemeinenInhaltenderJI-Richtlinievorzubereitenundnureinzelne,spezialgesetzlicheÄnderungenindenFachgesetzen(Poli-zeigesetz, Strafvollzugs- und Maßregelvollzugsgesetz) einzufügen,wareine interministerielleArbeitsgemeinschaftgegründetworden.Indiesewurdenwir imHerbst2018zunächstfüreineSitzungmit
25 Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 für die Verarbeitung personenbezogener Daten durch die Polizei sowie den Justiz- und Maßre-gelvollzug des Landes Brandenburg vom 19. Juni 2019 (GVBl. I 2019 Nr. 43).
111
einbezogen. Unsere beratende Mitarbeit in diesem Gremium fieljedoch dem engen parlamentarischen Zeitrahmen zumOpfer.DieMinisterienwünschtenunterallenUmständeneineUmsetzungderRichtliniebiszumEndederlaufendenLegislaturperiodeimSommer2019.WirkonntendiesenProzesszwarmiteinererstenStellung-nahmebegleiten,dawirvomMinisteriumdesInnernundfürKom-munalesfrühzeitigbeteiligtwurden.AngesichtsdesZeitdrucksundkurzerFristenwardiegebotenetiefergehendeBefassungmitdemGesetzentwurfjedochnichtmöglich.Wirhabenunsdaherdafüraus-gesprochen,dasVorhabenaufdenBeginnderneuenWahlperiodezuverschieben.Dem folgte die Landesregierung nicht.Der feder-führendeAusschuss für Inneres undKommunales, an den der am28.Februar2019ausgegebeneGesetzentwurfderLandesregierungzurBeratungüberwiesenwurde,führteeineschriftlicheAnhörungdurchundersuchteunsimApril2019umeineStellungnahme,derenwesentlichen Inhalt die Landesbeauftragte in einer nachfolgendenAusschusssitzungnochmalserläuternkonnte.
Nurwenigeunserer Empfehlungenwurden imGesetz berücksich-tigt.NebenbegrifflichenBesonderheiten,dievonderTerminologiederRichtlinieweiterhinabweichenundineinigenFällenVerkürzun-gendarstellen,sehenwiru.a.folgendeRegelungsaufträgenurunzu-reichendumgesetzt:
• AusderJI-RichtlinieunddenvorangestelltenErwägungsgründengehthervor,dasssoweitwiemöglichzwischendenpersonen-bezogenenDatenverschiedenerbetroffenerPersonengruppen,wiezumBeispielderVerdächtigen,Verurteilten,Opfer,Zeugin-nenundZeugen,klarzuunterscheidenist.DieserAnsatzwurdenichtindasbrandenburgischeGesetzübernommen.
• PolizeilichesTätigwerdenzurGefahrenabwehroderimStrafver-folgungsbereichumfassthäufigMaßnahmenzurDatenverarbei-tung, denen die betroffene Person aufgrund einer rechtlichenVerpflichtungauchgegenihrenWillennachkommenmuss.Wer-denDaten durch die zuständigenBehörden aufgrund einer solegitimiertenAnweisungoderAnordnungverarbeitet, sieht dieJI-Richtlinie vor, dass diese Datenverarbeitung grundsätzlichnicht durch eine Einwilligung der betroffenen Person gerecht-fertigtwerden kann. Schließlich besteht in diesenFällen keineFreiwilligkeit,dieabereinwesentlichesElementderEinwilligungist.Nur imAusnahmefall sollenBetroffene derDatenverarbei-
112
tungfürpräventiveoderrepressiveZweckezustimmenkönnen,insbesonderewenndiesineinerRechtsvorschriftvorgesehenist.DieFormulierunginderumsetzendenNorm(§10BbgPJMDSG)verkenntdiesescharfeTrennung,indemsielediglichdieOptionerläutert,dasseineDatenverarbeitungaufderGrundlageeinerEinwilligungerfolgenkannundfürdiesenFallVoraussetzungenfestlegt,ohneklarzustellen,aufwelcheSituationensichdiesbe-schränkt.
• EinweitererKritikpunktbetrafdieAufsichtsbefugnissederoderdesLandesbeauftragten,diedurchdasneueGesetzverkürztwer-den.DieJI-Richtlinieverpflichtet die EU-Mitgliedstaaten dazu,wirksame Untersuchungs- und Abhilfebefugnisse zu schaffenundbenenntdabeibeispielhaftverschiedene,alternativanwend-bareMaßnahmenbishinzurvorübergehendenoderendgültigenBeschränkung oder einem Verbot der Datenverarbeitung. DaMaßnahmenvonErmittlungsbehördenteilweiseerheblichindasRecht auf informationelle Selbstbestimmung eingreifen, habenwirunsdafürausgesprochen,diesenKatalogauszuschöpfenundalsUltimaRatioaucheinVerbotderDatenverarbeitungzuzulas-sen.DieimBrandenburgischenPolizei-,Justizvollzugs-undMaß-regelvollzugsdatenschutzgesetz festgelegten Befugnisse sehendagegeneinzweistufigesSystemvor,daseineAnweisung,Datenzuberichtigen, zu löschenoder ihreVerarbeitungeinzuschrän-ken,voneinervorgeschaltetenerfolglosenBeanstandungoderWarnungdurchdieLandesbeauftragteabhängigmacht.AufdieMöglichkeit, eine Datenverarbeitung zu untersagen, verzichtetdasneueGesetzvollständig.
• Schließlichhabenwirbemängelt,dassauchbeitechnisch-organi-satorischenMaßnahmen,diederVerantwortlichezutreffenhat,AbweichungenvondenVorgabenderRichtliniezuInkonsisten-zen,UngenauigkeitenundteilweiseauchAbschwächungenderdatenschutzrechtlichenAnforderungengeführthaben.Sohaltenwiresbeispielsweisefürunzureichend,SicherheitsmaßnahmeneinschränkendvondenKostenfürdieUmsetzungabhängigzumachen(§17BbgPJMDSG)oderdiegeboteneTrennungvonDa-tennachZweckenundbetroffenenPersonenunterdenVorbe-haltzustellen,dassdiesmöglichbzw.ohneunverhältnismäßigenAufwandmöglichist(§20BbgPJMDSG).
113
WiesichdasneueGesetzinderAnwendungspraxisbewährt,bleibtabzuwarten. Angesichts der Missbrauchspotenziale, die im Rege-lungsbereichderJI-RichtliniebeipolizeilichenDatenbeständenbe-stehen,kanneserforderlichwerden,Umsetzungsdefizitezubeseiti-genunddasGesetznachzubessern.
7 Zahlen und Fakten
ImBerichtszeitraumerreichtenuns27BeschwerdengegenDaten-verarbeitungsvorgänge ausdemBereichderpolizeilichenTätigkeitund drei Beschwerden, die sich ausschließlich gegen solche derStaatsanwaltschaftenimLandBrandenburgrichteten.ImmerwiedergingesdabeiumAuskunftsersuchenbetroffenerPersonen,dienichtodernurzumTeilerfülltwurden,aberauchumdenFehlversandvonDokumentenmitpersonenbezogenenDatenanDritteoderFragenderRechtmäßigkeitfürpolizeilicheÜbermittlungsbefugnisseanan-dereöffentlicheStellen.Etwa20ProzentderFällebezogensichaufdiepotenzielleErfassungundSpeicherungderpersonenbezogenenDatenderBeschwerdeführerinnenundBeschwerdeführerdurchdaspolizeilicheKennzeichenerfassungssystemKESY.Darüberhinausha-benwirbetroffenePersonenauchaußerhalbvonBeschwerdefälleninerheblichemUmfangberaten.DiegenaueZahllässtsichimNach-hineinnichtangeben,dadiesnurzumTeilinAktenerfasstwurde.
InsechsFällenhabenwirdieLandesregierungsowieVerantwortlicheingrößeremUmfangberaten,sozumBeispieldiePolizeiBranden-burg hinsichtlich der datenschutzrechtlichen und technisch-orga-nisatorischen Voraussetzungen für die geplante Einführung vonKörperkameras. EinweiteresGroßprojekt unter Führung des Lan-deskriminalamtes,daswirimBerichtsjahrberatendbegleitethabenundweiterbegleitenwerden,istdasLandesprojektzurUmsetzungdes imAufbaubefindlichenneuenPolizeilichen Informations-undAnalyseverbunds (PIAV) und des einheitlichen Fallbearbeitungs-systems (eFBS). In diesem Zusammenhang nahmen wir auch amInformationsaustausch mit Vertreterinnen undVertretern der Da-tenschutzaufsichtsbehörden anderer Bundesländer und des Bun-desbeauftragten fürdenDatenschutzunddie Informationsfreiheitteil.DesWeiterenhabenwirzusammenmitdenAufsichtsbehördender anderen beteiligten Bundesländer umfangreiche BeratungenimRahmendesAufbausdesGemeinsamenKommunikations-und
114
Dienstleistungszentrums durchgeführt. Intensive Beratungen desMinisteriumsdesInnernundfürKommunaleserfolgtenfürdas12.Änderungsgesetz zum Brandenburgischen Polizeigesetz und dasUmsetzungsgesetz für die Richtlinie (EU) 2016/680 (JI-Richtlinie),das Brandenburgische Polizei-, Justizvollzugs- und Maßregelvoll-zugsdatenschutzgesetz(BbgPJMDSG).
Zu denbeiden letztgenanntenGesetzesvorhabenwar die Landes-beauftragte imBerichtszeitraumaußerdemanden jeweiligenpar-lamentarischenVerfahren beteiligt undhat hierzu gegenüber demzuständigenAusschussdesLandtagesBrandenburgStellunggenom-men.GegenüberdemVerfassungsgerichtdesLandesBrandenburghatdieLandesbeauftragtezudemimRahmeneinesBeschwerdever-fahrenseineStellungnahmeabgegeben.
Auffälligist,dassunsimBerichtszeitraumkeineinzigerVerantwort-licherDatenschutzverletzungenimGeltungsbereichderJI-Richtliniegemeldethat.DiemitderUmsetzungderRichtlinie in§29BbgP-JMDSGeingefügteVerpflichtungzuderartigenMeldungentratal-lerdingserstam22.Juni2019inKraftundistvermutlichnochnichtausreichendbekannt.
ImBerichtszeitraumhatdieLandesbeauftragteeineBeanstandungnach§25BbgDSGinderam24.Mai2018geltendenFassung,zweiBeanstandungennach§36Absatz1Nummer2BbgPJMDSGundeineWarnungnach§36Absatz1Nummer1BbgPJMDSGausge-sprochen.
115
VII Statistik
116
117
Teil C: Die Dienststelle
1 Öffentlichkeitsarbeit 118
2 Pressearbeit 121
3 Personal und Organisation der Dienststelle 125
4 Neue Aufgaben der Landesbeauftragten in denDatenschutzgremien 126
4.1 Vorsitzineinemnationalen Arbeitskreis 126
4.2 LändervertretungineinereuropäischenArbeitsgruppe 127
118
1 Öffentlichkeitsarbeit
DerSafer InternetDayisteinvonderEuropäischenUnioninitiier-ter,jährlichveranstalteterweltweiterAktionstagfürmehrSicherheitimInternet.ImBerichtsjahrfanderam5.FebruarunterdemMotto„Togetherforabetterinternet“statt.DieLandesbeauftragtebetei-ligtesichdarangemeinsammitdemMinisteriumderJustizundfürEuropa undVerbraucherschutz sowiemit derVerbraucherzentraleBrandenburg.IhreMitarbeiterinnenundMitarbeiterinformiertenandiesemTag in den Bahnhofspassagen des PotsdamerHauptbahn-hofszumThema„ImNetz?MitSicherheit!“.SchwerpunktderAktionwardie SicherheitvonSmartphones. PassantinnenundPassantenerhielten einfach umzusetzendeHinweise,mit denen sich verhin-dern lässt,dassdieeigenenDatenaufdemSmartphone infalscheHändegeraten.
Die Sicherheit von Smartphones war auch Thema eines Informa-tionsstandesderLandesbeauftragtenaufdemTagderoffenenTürimLandtagBrandenburgam6.April2019.IneinerspielerischenUm-fragehabenwirBesucherinnenundBesucherunseresStandesge-beten,einigeFragenzurNutzungdesSmartphoneszubeantworten.Unsinteressierte,welcheSicherheitsmaßnahmensiekonkretumset-zen.DieunerwartetregeBeteiligunghabenwirzumAnlassgenom-men, die Ergebnisse – selbstverständlich anonym – auszuwerten.Auchwenndie215Antwortensichernichtrepräsentativsind:UmbeiVerlustoderDiebstahldesMobiltelefonseinenBasisschutzvorunbefugtemZugriffaufpersönlicheDatenzugewährleisten,nutz-ten83%derBefragteneineZugangssperrebeiihremSmartphone. 74%derBefragtengabenan,regelmäßigaktuelleSicherheitsupda-tes zu installieren. Regelmäßige Daten-Backups setzten allerdingsnur42%um.EinemöglicheErklärungfürdiegeringereNutzungs-rate–imVerhältniszudenanderenerwähntenMethoden–könntediekomplexere technischeUmsetzung sein.EineVielzahlderTeil-nehmerinnenundTeilnehmerwarsichderRisikenbewusst,dieeinepermanente und uneingeschränkte Nutzung von Ortungsdienstenwie GPS bedeuten kann. 59% der Befragten achteten auf einenbewusstenUmgangmitdiesemDienstunddeaktiviertenihn,wennsie ihn nicht benötigten. Etwasmehr als 50% achteten nicht aufdieDeaktivierungderWLAN-SchnittstelleihresMobilgerätes,wennsiediesenichtbenötigten.InsgesamtlässtsichdasBewusstseinderBefragtenfürdieSicherheitvonSmartphonesalsodurchauspositivbewerten.BeidenFragenzuZugangssperrenundSicherheitsupda-
119
tesistfestzuhalten,dassdiegroßeMehrheitMindeststandardsdesDatenschutzesfürMobilgerätenutzt.DieAntwortenaufdieande-renFragenlassendurchausdenSchlusszu,dasseingroßerAnteilderbeiderUmfragemitwirkendenGästedesTagesderoffenenTürimLandtagsichmitdiesenThemenzumindestauseinandersetzt.
Seit Jahren stellt die Landesbeauftragte in ihrem InternetangebotMusterschreibenfürSelbstauskünftezurVerfügung.Dieseerleich-tern es Betroffenen, bei verantwortlichen Stellen Informationenüber die zur eigenen Person gespeicherten Daten zu erfragen,Berichtigungen zu erreichen,Widerspruch gegen die Datenverar-beitungeinzulegenundunterUmständendieLöschungderperso-nenbezogenenDatenzuerzwingen.ImZugedesWirksamwerdensder Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018wareineAnpassungandieneueRechtslageerforderlichgeworden,sodasswirdieMusterschreibenvorübergehendvomNetznehmenmussten.ImBerichtsjahrkonntenwirsieingründlichüberarbeiteterFormwiederbereitstellen.MehrereAuskunftsanliegen,diezuvorinseparatenVordruckenberücksichtigtwurden,habenwirzusammen-gefasst,sodassdieZahlderSchreibensichzugunstenderÜbersicht-lichkeitreduzierte.
DieDruckbroschüredesbereits imJahr2018andieneueRechts-lage angepassten Brandenburgischen Datenschutzgesetzes habenwir,nachdemdieersteAuflagevergriffenwar,imBerichtsjahrnach-druckenlassen.AußerdemhabenwirdasBrandenburgischePolizei-,Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz, das dieRichtlinieEU2016/680umsetzt,alsBroschüreherausgegeben.DasGesetzwarvomLandtagBrandenburgimJuni2019verabschiedetworden.InhaltlichüberarbeitetundneuaufgelegthabenwirimBe-richtszeitraumdas Faltblatt „DigitaleAngriffe?Nicht beimir!“.DiegenanntenPublikationensindaufWunschinPapierformkostenloserhältlichundsteheninunseremInternetangebotinelektronischerFormzurVerfügung.
Die intensive Abstimmung zwischen den unabhängigen Daten-schutzaufsichtsbehördendesBundesundderLänderimRahmenderDatenschutzkonferenzschlugsichauchinderÖffentlichkeitsarbeitnieder. So beteiligte sich die Landesbeauftragte – ebensowie dieübrigenKonferenzmitglieder – an derAusrichtung einer zentralenVeranstaltunganlässlichdes13.EuropäischenDatenschutztagesam28.Januar2019 inBerlin.Siestandganz imZeichender jüngsten
120
ReformdesDatenschutzrechts: „EuropäischerDatenschutz:Chan-ceoderRisiko?AchtMonateDatenschutz-Grundverordnung–Bi-lanzundBlicknachvorn“.DieKonferenzvorsitzendedesVorjahres–die Landesbeauftragte fürDatenschutz und InformationsfreiheitNordrhein-Westfalen – hat diese Veranstaltung organisiert. Etwa230 Gäste aus Politik,Wirtschaft, Verwaltung sowie interessierteBürgerinnenundBürgernahmendaranteil.
Gemeinsammit den übrigen unabhängigenDatenschutzaufsichts-behörden des Bundes und der Länder hat die Landesbeauftragtemehrere neue Papiere für die Praxis des Datenschutzes in unter-schiedlichenSachgebietenveröffentlicht.DazuzählendieOrientie-rungshilfe fürAnbietervonTelemedien, dieOrientierungshilfemitAnforderungenanAnbietervonOnline-DienstenzurZugangssiche-rung sowie die Orientierungshilfe zu dem Einsatz von Bodycamsdurch private Sicherheitsunternehmen. In drei PositionspapierenlegtdieKonferenzihreRechtsauffassungzurbiometrischenAnalyse,zurUnzulässigkeitvonVideoüberwachungausFahrzeugen (mittelssog.Dashcams)sowiezurNutzungvonKameradrohnendurchnichtöffentlicheStellendar.DasWhitepaper„TechnischeDatenschutzan-forderungen anMessenger-Dienste imKrankenhausbereich“ dientderöffentlichenKonsultation.VeröffentlichthatdieKonferenzda-rüber hinaus ein Prüfschema zum Datenschutz bei Windows 10sowie eine Beschreibung des Akkreditierungsprozesses für denBereich „Datenschutz“ gemäß Artikel 42, 43 DS-GVO. Das Stan-dard-Datenschutzmodell–eineMethodezurDatenschutzberatungund-prüfungaufderBasiseinheitlicherGewährleistungsziele–liegtinzwischenineinerüberarbeitetenVersion2.0vor.ImBerichtszeit-raumhatdieKonferenzeinweiteresKurzpapiererarbeitet,dasdieEinwilligungnachderDatenschutz-Grundverordnungbehandelt.Beideninzwischen20KurzpapierenhandeltessichumHilfestellungenfürkleineundmittlereUnternehmenbeiderUmsetzungderneuenRechtslage.DiegenanntenDokumentesteheninunseremInterne-tangebotinelektronischerFormzurVerfügung.
In gleicher Weise veröffentlicht die Landesbeauftragte auch dievom Europäischen Datenschutzausschuss herausgegebenen Leitli-nien.ImBerichtsjahrwarendiesdieLeitlinien1/2019überVerhal-tensregeln und Überwachungsstellen gemäß derVerordnung (EU)2016/679sowiedieLeitlinien2/2019zurVerarbeitungpersonen-bezogener Daten unter Artikel 6 Absatz 1 Buchstabe b DS-GVOimZusammenhangmitderBereitstellungvonOnline-Diensten für
121
betroffenePersonen.WeitereLeitliniendesAusschusses (z.B. zurVideoüberwachungundzumRechtaufVergessenwerden)befindensichgegenwärtig inderöffentlichenKonsultation.AlleDokumentewerdensukzessiveindiedeutscheSpracheübersetzt.
2 Pressearbeit
AusAnlassdesSafer InternetDaysam5.Februar2019informier-tendieLandesbeauftragte,dasMinisteriumderJustizund fürEu-ropaundVerbraucherschutzunddieVerbraucherzentraleBranden-burgineinerPresseinformationüberihreandiesemTaggemeinsamdurchgeführteAktion „Sichern Sie Ihr Smartphone“.Mitarbeiterin-nen undMitarbeiter aller drei Einrichtungen gaben hierzu in den Bahnhofspassagen des PotsdamerHauptbahnhofs praktischeHin-weise.
Ende März informierten wir über ein Urteil des Bundesverwal-tungsgerichtsvom27.März2019zurVideoüberwachung ineinerbrandenburgischen Zahnarztpraxis. Die Landesbeauftragte hattederZahnärztinaufgegeben,dieKamerasoauszurichten,dassderfürPatientinnenundPatientenundsonstigeBesucherinnenundBesu-cherzugänglicheBereichnichtmehrerfasstwird.DieRechtmäßig-keitdieserAnordnunghatdasBundesverwaltungsgericht ineinemRevisionsverfahren bestätigt. Über den Einzelfall hinaus kam derEntscheidungeinegrundsätzlichedatenschutzrechtlicheBedeutungzu.DieRichterinnenundRichterbestätigtendarin auchdie zuvorteilweisebestritteneRechtsauffassungderDatenschutzaufsichtsbe-hördenzumVorrangdesUnionsrechtsvordemBundesdatenschutz-gesetzaufdemGebietderVideoüberwachungdurchPrivate.
Am25.Mai2019zogdieLandesbeauftragteanlässlichdeserstenJahrestages der Geltung der Datenschutz-Grundverordnung eineersteBilanz.AlspositivbewertetesiedieStärkungdesDatenschut-zesalsBürgerrecht,eindeutlichgestiegenesBewusstseinaufallenEbenen und die internationale Signalwirkung. Allerdings wies sieauch kritisch aufdenNachholbedarf somancherVerantwortlichersowieaufdenZuwachsvielfältigerneuerAufgabenihrereigenenBe-hördebeiknappenRessourcenhin.
ImVorfeld derWahlen zum Landtag Brandenburg rief dieDaten-schutzbeauftragte die Parteien zu einem sorgsamen Umgang mitWählerdatenauf.AuchhiergeltendieVorschriftenderDatenschutz-
122
Grundverordnung.DiesbetrifftbeispielsweisedenUmgangmitAus-künftenausdemMelderegister,denVersandvonWahlwerbung,denHaustürwahlkampfunddenEinsatzsozialerNetzwerke.WirbotenindiesemZusammenhangausdrücklichunsereBeratungan.
Am 20.August 2019machtenwir die Beanstandung der Landes-beauftragtengegenüberdemPolizeipräsidiumBrandenburgpublik.GrundwardessenmangelndeUnterstützung imRahmeneinerda-tenschutzrechtlichen Prüfung des Systems zur automatisiertenKennzeichenfahndung(KESY)–dasPolizeipräsidiumhattederDa-tenschutzaufsichtsbehörde die Einsicht in gerichtliche Beschlüssebzw. staatsanwaltschaftliche Anordnungen verweigert. Die Frageder Zulässigkeit der automatisierten Kennzeichenfahndung aufbrandenburgischenAutobahnensowiediePrüftätigkeitderLandes-beauftragtenwarenimBerichtsjahrwochenlangintensivindenMe-diendiskutiertworden.
ImSommerhäuftensichHinweiseaufAkten,dieauffreizugänglichenFlächenoder inungenutztenGebäudenherumlagenund teilweisesogar Sozialdaten enthielten.Dies nahmenwir am11. September2019 zum Anlass, über die entsprechenden Aufsichts- und Buß-geldverfahrenunsererBehördezurAhndungdieserDatenschutzver-stößezuinformieren.AußerdemriefdieLandesbeauftragteinihrerPresseinformationUnternehmen undVereine auf,DatensicherheitsowohlbeiderelektronischenDatenverarbeitungalsauchbeimUm-gangmitPapieraktenalsDaueraufgabewahrzunehmen.
EinUrteildesEuropäischenGerichtshofsvom1.Oktober2019be-antwortetedie langeumstritteneFrage,wieCookiesdatenschutz-gerechteingesetztwerdenkönnen.AusdiesemAnlass informiertedieLandesbeauftragteam7.Oktober2019überihreForderunganöffentlicheStellen,UnternehmenundVereine inBrandenburg,dieCookie-Funktionen ihrerWebseitenzuüberprüfenundverständli-cheOptionenfürdieerforderlicheEinwilligungderNutzerinnenundNutzeranzubieten.
AusAnlasszahlreicherBeschwerdenüberundHinweiseaufdieun-zulässigeEinbindungvonAnalyse-DienstenaufWebseitenbranden-burgischerBetreiberinnenundBetreiberwiesdieLandesbeauftragteimNovember2019darauf hin, dass diese einewirksameEinwilli-gungderBesucherinnenundBesucherbenötigen,wennsieDiensteDrittereinbinden.SiefordertedieVerantwortlichenauf,ihreWeb-
123
seitenaufdieZulässigkeitvonAnalyse-ToolsundTracking-Mecha-nismenzuüberprüfenundkündigteimFallederBeschwerdenundHinweiseihreaufsichtsrechtlichePrüfungan.
Beiden84 imJahresverlaufandieLandesbeauftragtegerichtetenPresseanfragen lassen sich zwei deutliche Schwerpunkte ausma-chen:ImAprilundMai2019berichtetenvieleMedienüberdieEr-fahrungenderAufsichtsbehörden imerstenJahr nachderEinfüh-rungderDatenschutz-Grundverordnung.IndenanunsgerichtetenAnfragengingesnebeneinerEinschätzungdieserErfahrungenvorallemumstatistischeAngabenzurAnzahlderBeschwerden,derver-hängtenBußgelder,zuSanktionenundMaßnahmensowiezurZahldergemeldetenDatenschutzverstöße.ZwarhatderNeuigkeitswertderDatenschutzreformganzoffensichtlichnachgelassen–dieAn-fragenzurEinführungdesneuenDatenschutzrechtsnahmenerwar-tungsgemäßdeutlichab.DasInteresseanderAufsichtstätigkeitderLandesbeauftragten war jedoch nur unwesentlich geringer als imVorjahr.
ImOktober 2019war die datenschutzrechtlicheEinschätzungderLandesbeauftragten zur Rechtsgrundlage für die automatisierteKennzeichenfahndung imZusammenhangmit einementsprechen-denVerfahrenvordemLandesverfassungsgerichtBrandenburgamhäufigstengefragt.AufdiesemThemalageindeutigder inhaltliche
02468101214
PresseanfragenimJahresverlauf2019
124
SchwerpunktderAnfragendesJahres2019.DasInteresseanKESYerklärtzugleichdengrößtenTeilderAnfragen,dieunsimWesent-lichenseitdemFrühjahr2019zurTätigkeitderPolizeibehördener-reichten.
Ein weiterer inhaltlicher Schwerpunkt der Presseanfragen lag aufdemThemaVideoüberwachung.Hier interessiertensichdieMedi-enfürganzunterschiedlicheArtendesKameraeinsatzes–vonderWebcamüberdieÜbertragungvonGremiensitzungen,denEinsatzineinerSchule,KamerafahrtenfürelektronischeKartendienstebishin zurVerkehrsüberwachung. Die Fragen zurVideoüberwachungverteiltensichimGegensatzzudenbeidenanderenSchwerpunktenmehroderwenigergleichmäßigüberdasJahr.
WiebereitsimVorjahrstelltenwirfest,dassdiemeistenAnfragen–etwa45%–vonJournalistinnenundJournalistengestelltwerden,diefürTageszeitungenrecherchieren.DasInteressevonFernsehen,Online-MediensowieNachrichtenagenturenbeläuftsichjeweilsaufetwasmehralseinZehnteldergesamtenPressekontakte.WeitüberdieHälftederAnfragenstammtvonMedienausderRegion;etwasmehralseinDrittelhateinenüberregionalenBezugundnurknappfünfProzentderKontaktereichenüberdieGrenzenderBundesre-publikDeutschlandhinaus.
22
19107
6
4 16
Polizei Aufsichtstätigkeit der LDAVideoüberwachung Einführung der DS-GVOSchulen und Kitas WirtschaftSonstige
Schwerpunkt der Presseanfragen
125
3 Personal und Organisation der Dienststelle
Im Berichtsjahr hat die Dienststelle insgesamt fast zwei DutzendStellenbesetzungsverfahren durchgeführt. Dieswurde deshalb er-forderlich,weilmirderLandtagfürdenDoppelhaushalt2019/2020fünfneueStellenbewilligthat.DarüberhinauswarensieveranlasstdurchdenWechselvonBeschäftigtenzuanderenArbeitgeberinnenundArbeitgebernoderDienststellenimLandBrandenburg,dieVer-tretungvonElternzeiten,dasErreichendergesetzlichenAltersgren-zesowiedasErringeneinesLandtagsmandats.
WährenddieStellenbesetzungensowohlimjuristischenalsauchimVerwaltungs-undSekretariatsbereicherfolgreichmitqualifiziertenMitarbeiterinnen und Mitarbeitern gelangen, war der Fachkräfte-mangelanInformatikerinnenundInformatikerndeutlichzuspüren.ImLaufedesBerichtsjahreswarenzeitweisenichteinmaldieHälfteder Stellen imBereichTechnik undOrganisation besetzt.Dies er-schwerteunsereArbeiterheblich.BiszumEndedesBerichtsjahreskonnten zwei Informatiker eingestelltwerden; drei Stellenbleibenallerdingsnochvakant.
ImTätigkeitsbericht2018hatteichbereitsdarüberinformiert,welcheneuen inhaltlichenundorganisatorischenAufgabenmeineDienst-stelleimZugederintensiviertenZusammenarbeitdereuropäischenAufsichtsbehördenseitMai2018zubearbeitenhat.NichtnurBe-schwerdenzugrenzüberschreitendenDatenverarbeitungsprozessenerforderneineengeAbstimmung zwischendenbetroffeneneuro-päischenAufsichtsbehörden.Auchdavonlosgelöststimmensichdieeuropäischen Datenschutzaufsichtsbehörden zunehmend intensivab,umdasRechteinheitlichanzuwenden.BereitsnacheinigenMo-naten der europaweitenKooperation hat sich herausgestellt, dassdieBefassungmitgrenzüberschreitendenSachverhaltensowiedieerforderlichen Abstimmungsverfahren im Rahmen der bisherigenOrganisationinmeinerDienststelleaußerordentlichaufwändigwa-ren.Diesliegtnichtzuletztdaran,dassdieeuropäischeKooperationinenglischerSprachegeführtwirdundderNutzungeines spezifi-schenInformationssystemsbedarf.
UmdieProzesseeffektiverzugestalten,habeichdieeuropäischenAufgabenzuBeginndesBerichtsjahresineinereigenständigenOr-ganisationseinheit(Europa-IMI-Stelle)gebündelt.Hierfürwurdeu.a.
126
eineigenesPostfacheingerichtet,überdasmeineDienststelleauchfürKolleginnenundKollegenausanderenMitgliedstaatenerreich-bar ist und dieKommunikation zu europäischenKooperationsver-fahrenzentralverwaltetwird.BetreutwirddieEuropa-IMI-StellevondreiReferentinnenundReferenten,diehierfürteilweisevonanderenAufgabenentlastetwurdenundUnterstützungdurchdasSekretariaterhalten.
Die Pläne, meine Dienststelle von Kleinmachnow in die Landes-hauptstadt Potsdam zu verlegen, zerschlugen sich im Berichtsjahrleider erneut. Der bestehenden Raumnot am aktuellen DienstsitzkonntenurnochdurchdieAufgabezahlreicherFunktionsräumeunddieTeilungeinesBeratungsraumsinzweizusätzlicheBürosbegeg-netwerden.SämtlicheNotlösungensind inzwischenausgeschöpft.DarüberhinausistdiefehlendeBarrierefreiheitnachwievoreinPro-blem–auchfürBürgerinnenundBürger,diedieDienststellebesu-chen.DadiederzeitigeräumlicheSituationfürdieBeschäftigtenzu-nehmendbelastendistunddieAufgabenerfüllungerschwert,werdeichmichweiteraktivbemühen,dieUnterbringungderDienststelleinderLandeshauptstadtPotsdamzurealisieren.HierbeihoffeichaufdieUnterstützungdesLandtagesundderLandesregierung.
4 Neue Aufgaben der Landesbeauftragten in den Datenschutzgremien
4.1 Vorsitz in einem nationalen Arbeitskreis
Auf Beschluss der Konferenz der unabhängigen Datenschutzauf-sichtsbehördendesBundesundderLänderhabeichdenVorsitzdesArbeitskreisesVerwaltungvonmeinemsächsischenKollegenüber-nommen.GleichzeitigwurdendieThemenfelder,diederArbeitskreisbearbeitet,erheblichausgeweitet.VordemHintergrunddergeplan-tenumfassendenDigitalisierungderVerwaltung–auchimKontextderUmsetzungdesGesetzeszurVerbesserungdesOnlinezugangszuVerwaltungsleistungen–sindbundesweittiefgreifendeÄnderun-geninderdeutschenVerwaltungslandschaftzuerwarten,dieaucheine aktive Begleitung undMitwirkung derDatenschutzaufsichts-behördenerfordern.MitderLeitungdesArbeitskreisesunterstütztmeineDienststelledieseProzessekünftigaktiv.
DieKonferenzhatmehrereArbeitskreiseeingerichtet.Siearbeitenihrzu, indemsiegemeinsamePositionenaufArbeitsebeneabstim-
127
men und Entscheidungenvorbereiten.DieseArbeitskreise deckenverschiedene fachliche Fragestellungen zu rechtlichen und tech-nisch-organisatorischenAspektendesDatenschutzesab.Üblicher-weiseführtjeweilseinKonferenzmitglieddenVorsitzeinesArbeits-kreises.IhmkommtnebenderorganisatorischenVorbereitungderindenmeistenFällenhalbjährlichenSitzungenauchdieFederführungfürdieinhaltlichenArbeitendesGremiumssowiedieKoordinationder Zusammenarbeit der teilnehmenden Datenschutzaufsichtsbe-hördenzu.
4.2 Ländervertretung in einer europäischen Arbeitsgruppe
Im Berichtszeitraum habe ich die Vertretung der unabhängigenDatenschutzaufsichtsbehörden der Länder in der Compliance,E-GovernmentundHealthExpertSubgroupdesEuropäischenDa-tenschutzausschusses übernommen. Diese Subgroup ist bereitsausweislichihrerBezeichnungfüreinumfangreichesFachgebietzu-ständig.AlseinevonmehrerenArbeitsgruppenunterstütztsiedenEuropäischenDatenschutzausschussbei seiner europaweitenAuf-gabe,eineeinheitlicheAnwendungderDatenschutzvorschriftenzufördern.
MeineDienststellehatdamitkünftigdieAufgabe,dieZusammen-arbeitderunabhängigenDatenschutzaufsichtsbehördenderLänderinnerhalb der Subgroup zu koordinieren sowie deren Positionenzu Stellungnahmen, Leitlinien, Empfehlungen sowieweiteren Ent-scheidungen des Europäischen Datenschutzausschusses inhaltlichabzustimmen.NebendenLändern istauchderBundesbeauftragtefürdenDatenschutzunddie Informationsfreiheit inderSubgroupvertreten, mit dem ich intensiv kooperiere. Üblicherweise findendieeuropäischenGremiensitzungeninBrüsselstattundwerdeninenglischerSpracheabsolviert.DiesbringtimGegensatzzurTeilnah-me an nationalen Gremiensitzungen einen erhöhtenAufwand fürDienstreisenundfremdsprachlicheVorbereitungumfangreicherUn-terlagenmitsich.
128
129
130
Kontakt
Die Landesbeauftragte für den Datenschutz und für das Recht auf AkteneinsichtStahnsdorferDamm7714532Kleinmachnow
Telefon 033203356-0Fax 033203356-49E-Mail [email protected]
WWW.LDA.BRANDENBURG.DE