ULD Tätigkeitsbericht 2019
Dieses Dokument ist Teil der Anfrage „Kontrollbericht Datenschutzkontrolle Polizei Schleswig-Holstein“
TÄTI GKEI TS B E R ICH T 2019 OIOOOIIIO IOOIOO OOOIIIOII OIOOIOOIOOIIIOIOOIOOOIIIOIOIIOIOIIOOOIOOOOIIIOII OIOO IOOIOOIOOO U L D – S C H L E S W I G - H O L S T E I N S Z E N T R U M F Ü R D AT E N S C H U T Z U N D I N F O R M AT I O N S Z U G A N G
Tätigkeitsbericht 2019 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein BERICHTSZEITRAUM: 2017/2018 REDAKTIONSSCHLUSS: 31.03.2019 LANDTAGSDRUCKSACHE 19/1430 (37. TÄTIGKEITSBERICHT DER LANDESBEAUFTRAGTEN FÜR DATENSCHUTZ) Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein
Impressum Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel Mail: mail@datenschutzzentrum.de Web: https://www.datenschutzzentrum.de Satz und Lektorat: Gunna Westphal, Kiel Umschlaggestaltung: Martin Papp, Eyekey Design, Kiel Titelfoto: ULD, Kiel Druck: hansadruck und Verlags-GmbH & Co KG, Kiel
INHALT Inhaltsverzeichnis 1 DATENSCHUTZ UND INFORMATIONSFREIHEIT 9 1.1 Die Zeitenwende – Datenschutz aus Europa 9 1.2 Die Dienststelle der Landesbeauftragten für Datenschutz 11 1.3 Digitalisierung in Schleswig-Holstein – mit Datenschutz die Segel setzen 14 2 DATENSCHUTZ – GLOBAL UND NATIONAL 19 2.1 Datenschutz aus Europa – erste Erfahrungen 19 2.1.1 Zusammenarbeit in Deutschland 19 2.1.2 Zusammenarbeit in Europa 19 2.2 Digitalisierung und Grundrechte 20 2.2.1 Informationelle Fremdbestimmung 20 2.2.2 Beschäftigtendatenschutz 4.0 21 2.2.3 Algorithmen und künstliche Intelligenz 22 2.2.4 Informationsfreiheit „by Design“ 24 2.3 Datenschutz durch Gestaltung 24 2.3.1 Datenschutz „by Design“ – schon in der Softwareentwicklung 24 2.3.2 Die Macht von Datenschutz „by Default“ 25 2.3.3 Anforderungen und Standards der Pseudonymisierung 27 3 LANDTAG 29 3.1 Parlamentarische Tätigkeit in eigener Datenschutzkontrolle der Abgeordneten 29 3.2 Service – Datenschutz und Informationsfreiheit für Abgeordnete 30 4 DATENSCHUTZ IN DER VERWALTUNG 33 4.1 Allgemeine Verwaltung 33 4.1.1 Neues Landesdatenschutzgesetz 33 4.1.2 Benennung behördlicher Datenschutzbeauftragter 34 4.1.3 Versand von personenbezogenen Informationen per E-Mail innerhalb und außerhalb des Landesnetzes 37 4.1.4 E-Mails mit nachgesandtem Passwort führen nicht zu Sicherheit von Meldedaten 38 4.1.5 Unzulässiges Anfertigen und Speichern von Scans oder Kopien der Geburtsurkunde bei Beantragung von Ausweisdokumenten 40 4.1.6 Veröffentlichung von Daten der Wahlbewerber bei der Kommunalwahl 41 4.1.7 Melderegisterdaten für Seniorenbeiräte? 42 4.1.8 Erteilung von Gruppenauskünften nach § 46 Bundesmeldegesetz an Stadtwerke, Breitbandausbau im öffentlichen Interesse 44 4.1.9 Einsatz elektronischer Wasserzähler mit Funkauslesung 45 4.1.10 Hundekennzeichnung mit Namen und Adresse der Hundehalter 47 4.1.11 Freizeitfischerei und Datenschutz 48 4.1.12 Mobile Endgeräte und Ratsinformationssysteme für Kommunalpolitiker 49 4.1.13 Reichsbürgererlass 50 TÄTIGKEITSBERICHT 2019 DES ULD 3
INHALT 4.2 Polizei und Verfassungsschutz 51 4.2.1 Gesetzliche Pflichtprüfungen 51 4.2.2 Umsetzung der EU-Richtlinie für den Datenschutz bei der Verfolgung und Verhütung von Straftaten im Landesrecht 52 4.2.3 Bodycams bei der Polizei – Begleitung des Pilotversuchs 53 4.2.4 @rtus-Löschkonzept 56 4.2.5 Prüfung von Antiterrordatei und Rechtsextremismus-Datei 57 4.2.6 Folgen aus der Prüfung der Falldatei Rauschgift 59 4.2.7 Rockeraffäre und die Polizei, Aktenvorlagebegehren und Parlamentarischer Untersuchungsausschuss 60 4.2.8 Einführung der elektronischen Akte beim Verfassungsschutz 62 4.2.9 Zuverlässigkeitsüberprüfungen bei Großveranstaltungen 63 4.3 Justiz 64 4.3.1 Veröffentlichung von Gerichtsurteilen 64 4.3.2 Veröffentlichung von Daten aus den Insolvenzbekanntmachungen auf privaten Webseiten 65 4.3.3 Videodolmetschen 66 4.3.4 Nachgehakt – mehr Transparenz bei Funkzellenabfragen 67 4.4 Ausländerverwaltung 68 4.4.1 Gesetzentwurf für den Vollzug der Abschiebungshaft 68 4.4.2 Fotografie eines Ausweisdokuments 69 4.5 Soziales 70 4.5.1 Kindeswohlgefährdung – Meldepflicht oder nur Meldebefugnis? 70 4.5.2 Heim- bzw. Telearbeit mit Sozialdaten möglich? 71 4.5.3 Übermittlung personenbezogener Daten von Pflegekräften durch die Pflegeberufekammer zum Zweck der Wahlwerbung 72 4.5.4 Einsicht der Eltern in Akte der Schulsozialarbeiterin 73 4.5.5 Nutzung von Sozialdaten zu Zwecken der Organisationsuntersuchung 75 4.6 Schutz des Patientengeheimnisses 76 4.6.1 Die neue DSGVO – so können Heilberufler die Vorgaben umsetzen 76 4.6.2 Patientendaten nach zehn Jahren löschen? 77 4.6.3 Neu – Auftragsverarbeitung ohne Einwilligung der Patienten möglich! 78 4.6.4 Übermittlung von Patientendaten von Kurkliniken an die Gemeinde? 79 4.7 Wissenschaft und Bildung 80 4.7.1 Neue Rolle des ULD – primär Aufsichtsbehörde statt Direktberatung aller öffentlichen Schulen 80 4.7.2 Einheitliche Schulverwaltungssoftware (SWESH) und Schulportal SH 80 4.8 Steuerverwaltung 81 4.8.1 Änderung der datenschutzrechtlichen Aufsicht über Finanzbehörden 81 4.8.2 Überarbeitungsbedarf kommunaler Abgabensatzungen 82 4 TÄTIGKEITSBERICHT 2019 DES ULD
INHALT 4.8.3 Anforderung von Auszügen der Steuererklärung bei der Zweitwohnungssteuer 83 4.8.4 Einsatz von Software und Dienstleistung bei der Verwaltung von Kurabgaben 84 5 DATENSCHUTZ IN DER WIRTSCHAFT 87 5.1 Entschließung der DSK zur (Nicht-)Anwendbarkeit des TMG neben der DSGVO 87 5.2 Neufassung des „Code of Conduct“ der Versicherungswirtschaft 88 5.3 Neufassung der Orientierungshilfe „Selbstauskünfte für Mietinteressenten“ 89 5.4 Interessante Einzelfälle 90 5.4.1 Juristische Personen als Datenschutzbeauftragte? 90 5.4.2 Benennung von Datenschutzbeauftragten – mindestens zehn beschäftigte Personen 91 5.4.3 Erforderlichkeit der Benennung von Datenschutzbeauftragten in Kindertagesstätten 92 5.4.4 Steuerberater als Auftragsverarbeiter? 94 5.4.5 Einholung von Selbstauskünften von Mietinteressenten 95 5.4.6 Klingelbretter – Verarbeitung von Namensschildern durch die Wohnungswirtschaft 95 5.4.7 Missachtung von Rechten betroffener Personen durch werbende Unternehmen 97 5.4.8 Offline-Tracking/Ortung von Mobiltelefonen in Fußgängerzone 97 5.4.9 Wirksamkeit von Einwilligungen bezüglich unverschlüsselter E-Mail-Kommunikation? 99 5.4.10 Löschung aller Daten einer Kategorie in Datenbank mangels Erforderlichkeit 100 5.4.11 Umgang mit Bewerbungsdaten 100 5.4.12 Erhebung von Lichtbildern im Rahmen der Zeiterfassung 101 5.4.13 GPS-Überwachung von Außendienstmitarbeitern 102 5.4.14 Versendung von Gehaltsnachweisen per E-Mail 103 5.4.15 Führung einer Negativliste über „vereinsschädigende Personen“ 104 5.4.16 Veröffentlichung von Schriftverkehr im Vereinsschaukasten 105 5.4.17 Branchenprüfung von Sportverbänden zum Umgang mit Sportlerdaten 105 5.5 Videoüberwachung 107 5.5.1 Videoüberwachung nach der DSGVO 107 5.5.2 Fotos nach der DSGVO 109 5.5.3 Videoüberwachung im Studentenwohnheim 111 5.5.4 Nachbarschaftsüberwachung 112 5.5.5 Einsatz einer Dashcam 113 5.5.6 Videoüberwachung im Fitnessstudio 115 5.5.7 Videoüberwachung von Beschäftigten 115 5.6 Datenpannen in der Wirtschaft 116 5.6.1 Versendung von Urinbeuteln und Abgabe bei der Nachbarin 118 5.6.2 Entsorgung von Kundenunterlagen in der Papiertonne eines Mehrfamilienhauses 119 5.6.3 Verwendung offener E-Mail-Verteiler 119 6 SYSTEMDATENSCHUTZ 123 6.1 Fokus Schleswig-Holstein 123 6.1.1 Sicherheit und Datenschutz in der Infrastruktur 123 6.1.2 Neufassung der Datenschutzverordnung? 124 6.1.3 Überarbeitete Vorlagen zur Dokumentation von Verarbeitungstätigkeiten 125 TÄTIGKEITSBERICHT 2019 DES ULD 5
INHALT 6.1.4 Der Datenschutz-Steckbrief zur Umsetzung der Informationspflicht 127 6.1.5 Datenschutz durch Gestaltung – auch bei Datenschutzerklärungen und Formularen 130 6.2 Zusammenarbeit der Datenschutzbeauftragten im Bereich Systemdatenschutz 130 6.2.1 AK Technik und wichtige Arbeitsergebnisse 130 6.2.2 Neues zum Standard-Datenschutzmodell (SDM) 132 6.2.3 Wann ist eine Datenschutz-Folgenabschätzung erforderlich? 132 6.3 Ausgewählte Ergebnisse aus Beratungen und Prüfungen 134 6.3.1 Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen 134 6.3.2 Digitale Personalakte 135 6.3.3 Gemeinsame Prüfung des Zentralen Meldedatenbestandes (ZMB) 135 6.3.4 Community Cloud Mail Service 136 7 NEUE MEDIEN 139 7.1 Entscheidungen des EuGH zur gemeinsamen Verantwortlichkeit 139 7.2 Facebook und Facebook-Seitenbetreiber – Mit Vereinbarung zur gemeinsamen Verantwortlichkeit alles gelöst? 140 7.3 Möglichkeit zur Ermutigung von Herstellern zu Datenschutz – Beispiel Freifunk 142 8 MODELLPROJEKTE UND STUDIEN 145 8.1 Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt 145 8.2 Identitätenmanagement 146 8.2.1 Projekt AN.ON-Next – praktikable und rechtssichere Anonymität im Internet 146 8.2.2 Projekt AppPETs – Datenschutz eingebaut in Smartphone-Anwendungen 146 8.2.3 Projekt VVV – Verschlüsselung einfacher machen 147 8.3 Datenschutz und Erwerbstätigkeit 148 8.3.1 Projekt EMPRI-DEVOPS – Datenschutz in digitalen Arbeitswelten 148 8.3.2 Projekt PARADISE – Selbstdatenschutz für die Dopingkontrolle im Sport 150 8.4 Cybersicherheit und Datenschutz 151 8.4.1 Projekt EIDI – verlässliche Benachrichtigung von Betroffenen nach Cybervorfällen 151 8.4.2 Projekt CANVAS – Cybersicherheit zwischen Technik, Ethik und Recht 152 8.4.3 Projekt PANELFIT – Cybersicherheit und Datenschutz 153 8.4.4 Projekt ITS.APT – Stärken des Bewusstseins für IT-Sicherheit 154 8.5 Big Data, soziale Netzwerke und Datenschutz 154 8.5.1 Projekt SPECIAL – Transparenz- und Einwilligungsmanagement für das semantische Netz 155 8.5.2 Projekt iTESA – Reisewarnungen auf Grundlage von sozialen Netzwerken 156 8.5.3 Projekt VALCRI – Big Data für die Polizei 157 8.6 Internet der Dinge und vernetzter Verkehr 158 8.6.1 Projekt iKoPA – Datenschutz für den vernetzten Verkehr 158 8.6.2 Projekt SeDaFa – Selbstdatenschutz für den smarten Verkehr 159 8.6.3 Projekt Privacy&Us – Usability für das Internet of Things 160 6 TÄTIGKEITSBERICHT 2019 DES ULD
INHALT 9 ZERTIFIZIERUNG: AUDIT UND GÜTESIEGEL 163 9.1 Akkreditierung und Zertifizierung in Europa 163 9.1.1 Zukunft von Audits und Gütesiegel nach der DSGVO 163 9.1.2 AK Zertifizierung 163 9.1.3 Tätigkeiten des ULD im Rahmen von Akkreditierungen 164 9.2 Datenschutz-Gütesiegel 165 9.2.1 Abgeschlossene Gütesiegelverfahren 165 9.2.2 Sachverständige und Prüfstellen 166 9.2.3 Die Zukunft des Gütesiegels unter der DSGVO 167 9.2.4 Projekt PRO-OPT 167 9.2.5 Projekt AUDITOR 168 9.3 Datenschutzaudits 168 9.3.1 Audit Bad Schwartau 168 9.3.2 Audit Stockelsdorf 169 9.3.3 Audit Oststeinbek 170 9.4 Auditberatungen 171 9.4.1 Auditberatung Ärztekammer SH 171 10 AUS DEM IT-LABOR 173 10.1 TLS 1.3 ist da – jetzt aktualisieren! 173 10.2 Messenger 174 10.3 Nutzerverfolgung durch Ultraschall 175 10.4 Gelbe Punkte im Farbdruck 177 10.5 Test mit Echtdaten 179 11 EUROPA UND INTERNATIONALES 183 11.1 Key Provisions Expert Subgroup – Abstimmungen zur Einwilligung, zur Transparenz und zu Datenschutzbeauftragten 183 11.2 Stellungnahme zur E-Privacy-Verordnung 183 12 INFORMATIONSFREIHEIT 187 12.1 Änderung des IZG-SH nötig – nicht haltbarer Verweis vom IZG-SH ins LDSG-neu 187 12.2 Der Begriff der Emissionen aus informationsfreiheitsrechtlicher Sicht 187 12.3 IZG-SH und Urhebergesetz 188 12.4 Keine Herausgabe von Informationen, die laufende Gerichtsverfahren betreffen 189 12.5 Informationspflicht öffentlicher Schulen 190 13 DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN 193 13.1 Fortbildungsveranstaltungen im Programm der DATENSCHUTZAKADEMIE 193 13.2 Sommerakademie – jährliche Datenschutzkonferenz in Kiel 194 Index 195 TÄTIGKEITSBERICHT 2019 DES ULD 7
01 KERNPUNKTE Datenschutz aus Europa Die Dienststelle der Landesbeauftragten für Datenschutz Digitalisierung in Schleswig-Holstein 8 TÄTIGKEITSBERICHT 2019 DES ULD
1 DATENSCHUTZ UND INFORMATIONSFREIHEIT 1 Datenschutz und Informationsfreiheit 1.1 Die Zeitenwende – Datenschutz aus Europa Datenschutz-Grundverordnung. Stichtag 25. Mai Die starke Verunsicherung wurde noch ange- 2018. Alles neu? Eigentlich nicht. Das neue heizt mit Gerüchten, dass so ungefähr jede Datenschutzrecht weicht gar nicht so sehr von Datenverarbeitung nun verboten sei, mit Fällen dem vorherigen ab. Wer vorher gut aufgestellt von Überreaktionen oder Halbwahrheiten, die war, hat keinen großen Aufwand, um sich an die auf Titelseiten der Boulevardpresse zelebriert neuen Gegebenheiten anzupassen. Warum dann wurden (z. B. die Klingelschildposse „Ding Dong also die Hysterie, ja fast schon Panik? Wahr- Datenschutz“, Tz. 5.4.6), und von mehr oder scheinlich liegt der Grund in der Angst vor weniger fragwürdigen Dienstleistern, die sich hohen Geldbußen, die mit einem signifikant kleinen Firmen aufdrängten und ihnen naheleg- erweiterten Bußgeldrahmen erstmalig in der ten, dass man sie anheuern müsse, um Strafen Geschichte des deutschen Datenschutzes und die prognostizierte Abmahnwelle zu ver- Abschreckungscharakter haben. Art. 83 Abs. 1 meiden. DSGVO spricht daher auch davon, dass etwaige Geldbußen „in jedem Einzelfall wirksam, verhält- Im öffentlichen Bereich war es etwas ruhiger, nismäßig und abschreckend“ sein müssen. Man obwohl die schleswig-holsteinischen Verwal- sieht aber an der Formulierung, dass sich diese tungen nicht schon – wie bei der DSGVO – für Ängste relativieren, denn es ist – wie stets – eine zwei Jahre lange Übergangszeit auf den geboten, dass solche Sanktionen verhältnis- veröffentlichten Gesetzestext zurückgreifen konn- mäßig sind. Es geht also nicht um ein unfaires ten, sondern das neue Landesdatenschutzgesetz Abstrafen. und viele andere Datenschutzregeln erst kurz- fristig in der finalen Version vorlagen und am Nun wollen die meisten Verantwortlichen es 27. April 2018 von dem Schleswig-Holsteini- richtig machen und das Datenschutzrecht ein- schen Landtag beschlossen wurden (Tz. 4.1.1). halten. Vielen ist dies kurz vor dem Wirksam- Die neue Pflicht zur Benennung der behördli- werden der DSGVO eingefallen, was dazu führ- chen Datenschutzbeauftragten (Tz. 4.1.2) ergab te, dass im Unabhängigen Landeszentrum für sich bereits aus der DSGVO und war bekannt, Datenschutz die Telefone nicht mehr stillstan- aber die notwendigen Anpassungen in Abläufen den, die E-Mail-Flut nicht mehr zu bewältigen und technischer Gestaltung, die Nacharbeiten war und bei Schulungen oder Präsentationen bei Informationspflichten und die erforderlichen die Nachfrage auch zu Einzelthemen enorm Aktualisierungen von Satzungen sind teilweise war. Während wir zuerst in unseren Hinweisen immer noch nicht abgeschlossen. und Vorträgen aufgezeigt haben, wie man sich mit wenig Aufwand von den Regelungen des Im Ergebnis ist der gewünschte Effekt der Bundesdatenschutzgesetzes (BDSG) an die DSGVO, dass EU-weit schnell und flächende- DSGVO anpassen kann, stellte sich immer mehr ckend ein gutes Datenschutzniveau erreicht heraus, dass viele Anfragende sich anscheinend wird, noch nicht eingetreten. Ab dem ersten vorher um Datenschutz noch gar nicht geküm- Geltungstag der DSGVO taten einige große mert hatten und gar nicht wussten, dass sie außereuropäische Anbieter so, als wäre nun der auch vor Mai 2018 viele Datenschutzpflichten Datenschutz viel laxer zu handhaben. Gerichtli- hätten einhalten müssen. Datenschutz war che Untersagungen gegen eine invasive Daten- sicher kein Geheimthema gewesen, das nur verarbeitung wurden nicht mehr als bindend Spezialisten bekannt war. Und doch haben erst angesehen, da das neue Datenschutzrecht die die DSGVO und der Presse-Hype dazu geführt, entsprechende Verarbeitung angeblich erlau- dass das Thema ernst genommen wurde. ben würde. Zwar gibt es bei allen Aufsichtsbe- TÄTIGKEITSBERICHT 2019 DES ULD 9