98. Konferenz der Datenschutz-Aufsichtsbehörden
Bild von Gerd Altmann auf Pixabay

98. Konferenz der Datenschutz-Aufsichtsbehörden

Am 06. und 07. November 2019 haben sich in Trier zum 98. mal der Bundesdatenschutzbeauftragte und die 16 Landesdatenschutzbeauftragten zusammengefunden um auf der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) eine Reihe von Entschließungen und Beschlüsse zu fassen.

Die Leitung der Konferenz übernahm diesmal der Landesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit von Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann. Die Bandbreite von diskutierten Themen reichte auf der Konferenz von datenschutzrechtlichen Fragestellungen zur künstlichen Intelligenz über automatisierte Kennzeichenerfassung bis zum Datenschutz im Gesundheitsbereich.

Im folgenden Beitrag möchte ich nun die Ergebnisse der DSK zusammenfassen und auf die wichtigsten Entschließungen und Beschlüsse der 98. Datenschutzkonferenz eingehen.

Massenhafte automatisierte Erfassung von KFZ-Kennzeichen

Bild von Sungho Song

Seit längerem sind auf deutschen Autobahnen und Straßen Kennzeichenerfassungssysteme im Einsatz, mit deren Hilfe die Polizei im Rahmen der Gefahrenabwehr nach einzelnen KFZ-Kennzeichen fahndet. Bislang war es so, dass es nur im Fall einer Übereinstimmung von Kennzeichen und gesuchtem Fahrzeug zu einer Speicherung von personenbezogenen Daten kam.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wies auf den Missstand hin, dass seit einiger Zeit diese, eigentlich für Zwecke der polizeilichen Gefahrenabwehr eingerichtete automatisierte Kennzeichenerfassungssysteme, auch für Zwecke der Strafverfolgung eingesetzt werden. Diese erfassen dabei massenhaft und teilweise längerfristig Kfz-Daten unabhängig von der Beschuldigteneigenschaft der betroffenen Personen. Es kommt also nicht nur zu einer punktuellen Fahndung, sondern teilweise werden zusätzlich die Kennzeichen sämtlicher Fahrzeuge, die eine Straße mit einem Erfassungsgerät passieren, über einen längeren Zeitraum hinweg unterschiedslos erfasst und langfristig gespeichert. Dies ermöglicht u.a. auch die Erstellung von Bewegungsprofilen von Personen, die nicht Ziel der Fahndung im Rahmen der Gefahrenabwehr sind.

Die Datenschutzkonferenz sieht diese Ausweitung des betroffenen Personenkreises in keinem Fall als begründbar und somit als ungerechtfertigt an. Wer die vollständige Entschließung der DSK zum Thema Kennzeichenerfassung nachlesen möchte findet diese hier.

Gesundheitswebseiten und Gesundheits-Apps

Ein weiteres Thema auf der Konferenz war die Tatsache, dass bei Gesundheitswebseiten und –Apps immer mehr Tracking-Tools im Einsatz sind, die auch Gesundheitsdaten, und damit besonders sensible Daten nach Art. 9 DSGVO, der Nutzer erfassen und an Dritte weiterleiten. Die DSK sieht hier zurecht die Gefahr, dass, besonders durch große Unternehmen wie Facebook, Google usw., diese Informationen über gesundheitliche Aspekte der Nutzer mit anderen Daten verknüpft werden und somit umfassende Gesundheitsprofile der Nutzer angelegt werden.

Die DSK kündigte an, Hinweisen auf solche unrechtmäßigen Datenweitergaben zu prüfen und bei Datenschutzverletzungen entsprechende Sanktionierungen vorzunehmen. Weitergehend fordern die Datenschutzbeauftragten den Gesetzgeber auf, im Zusammenhang mit der bevorstehenden Einführung (bspw. dem Implantate-Registergesetz) digitaler Gesundheitsanwendungen den Schutz der Vertraulichkeit sensibler Gesundheitsdaten sicherzustellen.

Bild von rawpixel

Die Datenschutzkonferenz forderte die Betreiber von Gesundheitswebseiten und Gesundheits-Apps auf, die berechtigten Vertraulichkeitserwartungen ihrer Nutzerinnen und Nutzer zu respektieren. Weiterhin weist die Datenschutzkonferenz auf die dringende Notwendigkeit hin, möglichst zeitnah eine ePrivacyVerordnung zu verabschieden. Darin müssen die Bedürfnisse des elektronischen Datenverkehrs mit den Erfordernissen der Grundrechte auf Privatheit und auf Datenschutz in Einklang gebracht werden. Es sind insbesondere Regelungen erforderlich, die einen hohen Schutz sensibler Daten effektiv sicherstellen. https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Whitepaper_Messenger_im_Krankenhausbereich.pdf Die Datenschutzkonferenz fordert die Betreiber von Gesundheitswebseiten und Gesundheits-Apps auf, die berechtigten Vertraulichkeitserwartungen ihrer Nutzerinnen und Nutzer zu respektieren. Weiterhin weist die Datenschutzkonferenz auf die dringende Notwendigkeit hin, möglichst zeitnah eine ePrivacyVerordnung zu verabschieden. Darin müssen die Bedürfnisse des elektronischen Datenverkehrs mit den Erfordernissen der Grundrechte auf Privatheit und auf Datenschutz in Einklang gebracht werden. Es sind insbesondere Regelungen erforderlich, die einen hohen Schutz sensibler Daten effektiv sicherstellen.

Für den Einsatz von Messenger-Diensten im Krankenhausbereich wurden in einem „Whitepaper“ technische Anforderungen zusammengestellt, die als Grundlage weiterer Diskussionen dienen sollen.

Gesundheitseinrichtungen müssen Schutz von Patientendaten gewährleisten

Da sich in der jüngeren Vergangenheit Vorfälle gehäuft haben, in denen der Schutz von Patientendaten in der stationären Versorgung gefährdet war, wiest die Datenschutzkonferenz nachdrücklich darauf hin, dass die Sicherheit von Patientendaten in der medizinischen Behandlung nach der Datenschutz-Grundverordnung flächendeckend gewährleistet sein muss, von kleinen Versorgungseinrichtungen genauso wie von großen.

Beim Einsatz von Informations- und Kommunikationstechnik in medizinischen Einrichtungen müssen die in diesem Zusammenhang rechtlich gebotenen und dem Stand der Technik angemessenen Vorkehrungen zum effektiven Patientendatenschutz flächendeckend getroffen werden, so die DSK.

Bild von Free-Photos auf Pixabay

Empfehlung für eine datenschutzkonforme Gestaltung von KI-Systemen

Am 03.04.2019 hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden die sogenannte Hambacher Erklärung zum Datenschutz beim Einsatz von künstlicher Intelligenz veröffentlicht. Auf Grundlage dieser Hambacher Erklärung hat die DSK nun in einem Positionspapier Anforderungen an KI-Systeme erarbeitet, deren Umsetzung von der DSK empfohlen wird, um einen datenschutzgerechten Einsatz von KI zu gewährleisten.

Die DSK betont, dass beim Einsatz von Künstlicher Intelligenz die Grundsätze der DSGVO uneingeschränkt gelten. Mit dem Positionspapier wird Verantwortlichen im Umfeld von KI ein Handlungsrahmen für die datenschutzrechtlichen Vorgaben  an die Hand gegeben, an dem sie sich bei der Planung und dem Betrieb von KI-Systemen orientieren können. Ziel des Positionspapiers ist es nach Aussage der DSK, zu „verdeutlichen, dass der Einsatz von KI-Systemen und der Datenschutz keine zwingenden Gegensätze sind.“

Bedenklich sowohl an der Hambacher Erklärung als auch am neuen Positionspapier ist in meinen Augen, dass an keiner Stelle darauf eingegangen wird, wie das Zweckbindungsgebot der DSGVO mit dem Einsatz von Künstlicher Intelligenz in Einklang zu bringen ist. Eines der ausschlaggebenden Merkmale von KI ist es ja gerade, dass diese „selbstständig“ mit den gewonnen Daten weiterarbeitet und aus diesen zusätzliche Erkenntnisse gewinnt. Ausführlich habe ich mich mit diesem Thema in meiner Abhandlung Datenschutz im Smart Home auseinandergesetzt.

Standard-Datenschutzmodell 2.0

Die Datenschutzkonferenz hat eine neue Version des Standard-Datenschutzmodells entwickelt und präsentiert, dabei soll es sich um eine grundlegend überarbeitete Version des Modells handeln.

ild von Benedikt Geyer

Die Konferenz empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM anzuwenden, wenn personenbezogene Daten verarbeitet werden bzw. bei Planung und Einführung von personenbezogenen Verarbeitungen. Das SDM soll kontinuierlich weiterentwickelt werden. Anwenderinnen und Anwender sind eingeladen, den Datenschutzaufsichtsbehörden ihre Erfahrungen bei der Nutzung des SDM mitzuteilen, um zu einer stetigen Verbesserung des Modells beizutragen.

Die DSK möchte mit dem SDM 2.0 ein Werkzeug bereitstellen, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. Diese Maßnahmen sollen sicherstellen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. Ob das DSM 2.0 dazu dient, bleibt abzuwarten.

Datenschutz bei Windows 10

Als weiteren Punkt auf der Tagesordnung der 98. Datenschutzkonferenz haben sich die Datenschutzbeauftragten des Bundes und der Länder mit der Frage beschäftigt, ob sich Windows 10 datenschutzkonform einsetzen lässt. Da diese Frage nach Aussage der DSK nicht pauschal beantwortet werden kann, wurde

ein Prüfschema veröffentlicht, mit dem Verantwortliche die Windows 10 bereits einsetzen oder dies beabsichtigen in die Lage versetzen, eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall zu prüfen und zu dokumentieren.

Bild von Gerd Altmann

Die Abarbeitung des Prüfschemas sei deshalb erforderlich, so die Aussage der Datenschutzkonferenz, weil sich die Übermittlung von Daten an Microsoft in bislang keiner Edition und Version durch eine Änderung der Konfigurationseinstellungen komplett abstellen lässt und sich das Kommunikationsverhalten und die Konfigurationsmöglichkeiten von Windows 10 mit neuen Versionen ändern können. Im Anhang des Schemas wird detaillierter auf technische Aspekte der Prüfung eingegangen. Herr Dr. Lutz Haase, Landesbeauftragter für Datenschutz Thüringen sagte zu diesem Thema: „Im Zusammenhang mit der automatisierten Übertragung sogenannter Telemetriedaten bei Windows Betriebssystem- und Anwendungslösungen hat die Konferenz im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel ist es dabei, den Personenbezug von Nutzungsdaten zu vermindern bzw. deren Übertragung in die Entscheidung der Nutzerinnen und Nutzer zu stellen. In diesem Zusammenhang hat die Datenschutzkonferenz ein Prüfschema für das Betriebssystem Windows 10 veröffentlicht, das Verantwortlichen die Möglichkeit gibt, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz der Software, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten.“

Weiterentwicklung der DSGVO und Zusammenarbeit mit Europäischen Aufsichtsbehörden

Die DSK hat einen Erfahrungsbericht über die Anwendung der Datenschutz-Grundverordnung beschlossen, der einen Beitrag zur Erstellung eines Berichts auf europäischer Ebene leisten soll. Für eine verbesserte Abstimmung und Zusammenarbeit mit den Europäischen Aufsichtsbehörden hat die Konferenz verschiedene interne Verfahrensregelungen beschlossen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zog folgendes Fazit des diesjährigen rheinland-pfälzischen Vorsitzes in der Datenschutzkonferenz: „Die umfangreichen Tagesordnungen der 98. Datenschutzkonferenz sowie der vorhergehenden zeigen einmal mehr, dass die fortschreitende Digitalisierung Datenschutzfragen in nahezu allen Lebensbereichen aufwirft. Die Datenschutzbeauftragten stehen dabei vor der Herausforderung, relevante Entwicklungen frühzeitig zu erkennen und den Datenschutz so einzubringen, dass Risiken begegnet wird und Chancen nicht vergeben werden. Ich freue mich daher, dass es im Jahr des rheinland-pfälzischen Vorsitzes der Konferenz gelungen ist, für das Zukunftsthema „Künstliche Intelligenz“ entsprechende Empfehlungen zu erarbeiten.“

Menü schließen

98. Konferenz der Datenschutz-Aufsichtsbehörden

by paul time to read: 6 min
0