Tätigkeitsbericht 2019Datenschutz

Impressum

Herausgeber: DieLandesbeauftragtefürdenDatenschutz undfürdasRechtaufAkteneinsichtBrandenburg StahnsdorferDamm77 14532Kleinmachnow

Telefon: 033203356-0 Telefax: 033203356-49 E-Mail: Poststelle@LDA.Brandenburg.de Internet: https://www.LDA.Brandenburg.de Druck: BrandenburgischeUniversitätsdruckerei undVerlagsgesellschaftPotsdammbH

Titelbild

Motiv: Informations-,Kommunikations-und MedienzentrumCottbusderBrandenburgischen TechnischenUniversitätCottbus-Senftenbergam StandortCottbusArchitekten: Herzog&deMeuronFertigstellung: 2004

Bildrechte: imagoimages/VolkerPreußer

Tätigkeitsbericht Datenschutz

der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zum 31. Dezember 2019

DieLandesbeauftragtefürdenDatenschutzundfürdasRechtaufAkteneinsicht hat nach Artikel 59 Datenschutz-Grundverordnungundnach§37BrandenburgischesPolizei-,Justizvollzugs-undMaß-regelvollzugsdatenschutzgesetz jeweils einen Jahresbericht überihre Tätigkeit zu erstellen und dem Landtag sowie der Landesre-gierung zu übermitteln.DieseBerichte deckendenZeitraumvom 1.Januarbiszum31.Dezember2019ab.

DerTätigkeitsberichtkannauchausunseremInternetangebotunterwww.LDA.Brandenburg.deabgerufenwerden.

3

Vorwort  9

Teil A: Bericht nach Art. 59 Datenschutz-Grundverordnung  13

I Datenschutzverstöße:MaßnahmenundSanktionen  13

1 Verfahren bei der Aufsichtsbehörde: Von der Beschwerde bis zur AhndungdesDatenschutzverstoßes  14

2 UnerwünschteWerbungvierJahrenachVertragsanfrage  16

3 Veröffentlichung personenbezogener Einwendungen gegen einen Regionalplan  18

4 Videoüberwachung in einer Zahnarztpraxis – Bundesverwaltungsge-richtbestätigtLandesbeauftragte  19

5 Weiträumige Videoüberwachung in einem Kultur- und Gewerbezentrum  22

6 VideoüberwachungineinemIndoorspielplatzfürKinder  24

7 ÜbersichtüberweitereMaßnahmenundSanktionen  26

8 BerichtderBußgeldstelle  27

8.1 VideoüberwachungimSchwimmbad  288.2 ErteilungvonAuskünftenunterfremdemLogo  298.3 SicherungvonPatientendatenalsFreundschaftsdienst  31

II AnlasslosePrüfungen  33

1 Facebook-FanpagesöffentlicherStellen  34

2 NutzungderSchul-CloudinzweiPilotschulen  36

3 Veröffentlichung personenbezogener Daten im Rahmen der Kommunal-undLandtagswahl  38

4

4 Überprüfung der Datenschutzinformationen in ausgewählten Arztpraxen  40

5 Umfrage bei Unternehmen zu Datenschutz-Management und Personaldatenverarbeitung  41

III AusgewählteFälle  47

1 ErmittlungeneinesJobcentersinderNachbarschaft  48

2 Arbeitsteilung zwischen Ausländerbehörde und privatem Wachschutz  49

3 AushangvonUnterschriftenlistenimSchaukasten  51

4 Übermittlung von E-Mail-Adressen durch Versandhändler an Postdienstleister  52

5 Verbreitung von Schadsoftware und Umleitung von E-Mails durch mangelhaftePflegeeinesWebservers  53

6 Zwischen Schein und Sein – ein Datenschutzverein mit Datenschutzmängeln?  55

IV AusgewählteBeratungen  59

1 StellungnahmenzuGesetzenundanderenRegelungen  62

1.1 GesetzzurÄnderungdesBrandenburgischen Verfassungsschutzgesetzes  62

1.1.1 RechtederBetroffenen  621.1.2 SchutzvonMinderjährigen  631.1.3 ErweiterungderAuskunftspflichten  641.1.4 EingeschränkteAufsichtsbefugnissederLandesbeauftragten  651.2 eID-undIT-BasiskomponentenverordnungzumBrandenburgischen

E-Government-Gesetz  661.3 ÄnderungderMeldeordnungderLandesapothekerkammer

Brandenburg  68

5

1.3.1 DatendesHeilberufsausweisesfürdasKammerverzeichnis  691.3.2 AngabenzuBeschäftigten  701.3.3 ÜbermittlungvonAusbildungsverträgen  71

2 BeratungimöffentlichenBereich  72

2.1 MeldedatenzurGratulationundähnlichenZwecken?  722.2 Handy-Parken:MitdemSmartphonezumParkschein  752.3 FortführungdesProjektszurinternetbasiertenZulassungvon

Kraftfahrzeugen  77

3 BeratungimnichtöffentlichenBereich  79

3.1 VeränderteSchwerpunkteimnichtöffentlichenBereich  793.2 Fax-undE-Mail-KommunikationimGesundheitsbereich  81

4 16.JahrestreffenmitdenbehördlichenDatenschutzbeauftragten  83

V ZahlenundFakten  87

1 Beschwerden  88

2 Beratungen  88

3 MeldungenvonDatenschutzverletzungen  88

4 Abhilfemaßnahmen  90

4.1 Warnungen,Verwarnungen,AnweisungenundAnordnungen  904.2 Geldbußen  91

5 EuropäischeVerfahren  93

6 FörmlicheBegleitungbeiRechtsetzungsvorhaben  94

Teil B: Bericht nach § 37 Brandenburgisches Polizei-, Justiz- vollzugs-undMaßregelvollzugsdatenschutzgesetz  97

1 VorbemerkungzurÄnderungderRechtslage  98

2 Beanstandung wegen des fehlenden Rahmensicherheitskonzepts der Polizei  98

5

6

3 KennzeichenerfassungssystemKESY  100

3.1 SteindesAnstoßes:ErmittlungenimFalleinerVermissten  1013.2 BeanstandungwegendesVerstoßesgegendieUnterstützungspflicht  1023.3 StellungnahmegegenüberdemLandesverfassungsgericht  1033.4 BeanstandungwegendatenschutzrechtlicherVerstößeundWarnung  104

4 EinsatzvonKörperkameras  106

5 BeratungzurÄnderungdesBrandenburgischenPolizeigesetzes  108

6 Beratung zur Umsetzung der Richtlinie (EU) 2016/680: Brandenburgisches Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz  110

7 ZahlenundFakten  113

TeilC:DieDienststelle  117

1 Öffentlichkeitsarbeit  118

2 Pressearbeit  121

3 PersonalundOrganisationderDienststelle  125

4 NeueAufgabenderLandesbeauftragtenindenDatenschutzgremien  126

4.1 VorsitzineinemnationalenArbeitskreis  1264.2 LändervertretungineinereuropäischenArbeitsgruppe  127

7

8

9

Vorwort

LiebeLeserinnenundLeser,

wennDatenschützerinnenundDatenschützeraufdasJahr2019zu-rückblicken,gehtesinersterLinieumdieErfahrungenmitderDa-tenschutz-Grundverordnung–schließlichwaresdasersteKalender-jahr,indemdasneueDatenschutzrechtdurchgehendvom1.Januarbiszum31.Dezembergalt.Zeitalso,eineersteechteJahresbilanzzuerstellen.IchberichtedeshalbüberdievonmeinerBehördeer-griffenenAufsichtsmaßnahmen,überPrüfungen,ausgewählteFälleundBeratungen,dieeinenQuerschnittderAufgabendarstellen,mitdenenmeineMitarbeiterinnen,Mitarbeiterundichimzurückliegen-denJahrbeschäftigtwaren.

Zwarhaben sichdie anfänglichenUnsicherheitenderVerantwort-lichen inzwischen gelegt.VieleRegelungsinhaltewaren schließlichdochnichtsoneu,wiedieaufgeregteDebattezunächstsuggerier-te.Dennoch zeigen zahlreicheBeschwerden derBürgerinnen undBürger, dass Datenschutzvorschriften teilweise noch immer nichtvollständigumgesetztwerden.AuchanderunverändertintensivenBerichterstattungderMedienlässtsichdasgestiegeneBewusstseinfürdieBedeutungdesDatenschutzesablesen.Berichteübersoge-nannteDatenpannenfindensichdortfasttäglich.DieshatauchmitdenneuenMelde-und Informationspflichten fürdieVerantwortli-chenzutun.ObdiegrößereWahrnehmbarkeitnunbedeutet,dassmehr Datenpannen passieren, oder dass sie in derVergangenheiteinfachnichtbekanntwurden,magdahinstehen.AufjedenFalldürf-tediePflicht,siedenAufsichtsbehördenzumeldenunddieBetrof-fenenzuinformieren,zueinerSensibilisierungderVerantwortlichenbeitragenundbewirken,dassdieseeffektivereSchutzmaßnahmenergreifen.

ZahlreicheBeschwerdenbeidenAufsichtsbehördenzeigen,dassdieEinhaltung von Informations- und Auskunftspflichten der Verant-wortlichen– insbesondere imOnline-Handelbzw.aufPlattformensozialerMedienundNetzwerke–nachwievoreinwesentlichesPro-blemdarstellt.GeradehiersindgroßeundinternationaleKonzerneoftmalsmarktführend.FüreinangemessenesDatenschutzniveauinderWirtschaft istesschonaufgrundderVorbildwirkungfürkleineundmittlereUnternehmenentscheidend,dassgeradedieseGlobal

10

PlayereuropäischeVorschrifteneinhalten.UmdenDatenschutzhierdurchzusetzen, bedarf es konsequenter Entscheidungen der euro-päischen Aufsichtsbehörden – einschließlich der Verhängung vonGeldbußen–ebensowieeinerRechtsprechung,welchedieZieledeseuropäischenVerordnungsgebersklarimBlickbehält.ErsteBeispie-ledafürhabenwirimJahr2019bereitsgesehen.

AuchdieöffentlicheVerwaltunghatbeiderUmsetzungderDaten-schutzvorschriftennocherheblichesPotenzialnachoben.Insbeson-derefehlenvielenStellendieerforderlichenpersonellenundfinan-ziellenKapazitäten.DiesesindabereineVoraussetzungdafür,dassDigitalisierungsprojekte,diegegenwärtigeineHochkonjunkturerle-benundunsnoch langebeschäftigenwerden,gelingen.StaatundKommunen müssen gerade hier das Grundrecht der BürgerinnenundBürgeraufdenSchutzihrerpersonenbezogenenDatengewähr-leisten,umeineAkzeptanzfürdiedigitalenLeistungenzuschaffen.MeineDienststellewird solcheProjekteweiterhin konstruktiv be-gleiten.

NebenderDatenschutz-GrundverordnunghatdieeuropäischeDa-tenschutzreform noch ein zweites Ergebnis hervorgebracht: DieDatenschutzrichtlinie für Justiz und Inneres. In der öffentlichenWahrnehmung führte siebislangzuUnrechtehereinSchattenda-sein.DieRichtliniewirddurchdasimJuni2019inKraftgetreteneBrandenburgischePolizei-,Justizvollzugs-undMaßregelvollzugsda-tenschutzgesetzimLandesrechtumgesetzt.DieseneuenVorschrif-tengeltenspeziellfürPolizei-undJustizvollzugsbehörden.

Mit diesemTätigkeitsbericht komme ich sowohl derVerpflichtungder Datenschutz-Grundverordnung (TeilA) als auch des Branden-burgischen Polizei-, Justizvollzugs- und Maßregelvollzugsdaten-schutzgesetzes (Teil B) zur Vorlage eines jeweils jährlichen Tätig-keitsberichtsnach.Außerdemberichte ichüberdiepersonelleundorganisatorischeEntwicklungmeinerDienststelle(TeilC).

WieimmerwünscheichIhneneineinteressanteLektüre.

DagmarHartge

11

12

13

1 Verfahren bei der Aufsichtsbehörde: Von der Beschwerde bis zur Ahndung des Datenschutzverstoßes  14

2 Unerwünschte Werbung vier Jahre nach Vertragsanfrage  16

3 Veröffentlichung personenbezogener EinwendungengegeneinenRegionalplan  18

4 Videoüberwachung in einer Zahnarztpraxis – Bundesverwaltungsgericht bestätigt Landesbeauftragte  19

5 Weiträumige Videoüberwachung in einem Kultur-undGewerbezentrum  22

6 Videoüberwachung in einem Indoorspielplatz für Kinder  24

7 Übersicht über weitere Maßnahmen undSanktionen  26

8 BerichtderBußgeldstelle  27

8.1 VideoüberwachungimSchwimmbad  28

8.2 ErteilungvonAuskünftenunterfremdemLogo  29

8.3 SicherungvonPatientendatenalsFreundschaftsdienst  31

I Datenschutzverstöße: Maßnahmen und Sanktionen

Teil A: Bericht nach Art. 59 Datenschutz-Grundverordnung

14

1 Verfahren bei der Aufsichtsbehörde: Von der Beschwerde bis zur Ahndung des Datenschutzverstoßes

TagtäglicherreichenunszahlreicheBeschwerdenvonBürgerinnenund Bürgern, die eineVerletzung ihres Rechts auf informationelleSelbstbestimmung vermuten. Sei es, weil sie ungewollt Werbungerhalten, weil sie meinen, von der Videokamera in der Nachbar-schafterfasstzuwerdenoderweileineVertragspartnerinbzw.einVertragspartnerihnenkeineAuskunftüberihredortgespeichertenDatengibt.DieGründesindmannigfaltig.VielfachwirddieGeduldderBeschwerdeführerinnen undBeschwerdeführer auf eine harteProbegestellt, dadasVerfahrenbereitsbeiunserheblicheZeit inAnspruchnehmenkann.DeshalbsollenandieserStelledieSchritteunsererPrüfungnähererläutertwerden.

DemgesetzlichenAuftragfolgend,dieEinhaltungdatenschutzrecht-licher Bestimmungen zu überwachen und konsequent durchzu-setzen,eröffnenwirnachEingangderBeschwerdeimRegelfalleinVerwaltungsverfahren. Dies dient zunächst dazu, den Sachverhaltgenauzuergründen.IneinemerstenSchreibenteilenwirdemausdatenschutzrechtlicherSicht fürdieVerarbeitungderpersonenbe-zogenenDatenVerantwortlichendenGegenstandderBeschwerdemit und geben ihm imRahmen einerAnhörungGelegenheit, zumgeschilderten Sachverhalt Stellung zu nehmen, unsere Fragen zubeantwortenundUnterlageneinzureichen.SolltedieseMöglichkeit,

zurAufklärungdesSachverhaltsfreiwilligbei-zutragen, ungenutzt verstreichen, verpflich-ten wir den Verantwortlichen, uns die not-wendigenAuskünfte zu geben und erlassengegenihneinenförmlichenBescheid.GemäßArtikel58Absatz1BuchstabeaDatenschutz-

Grundverordnung(DS-GVO)i.V.m.§40Absatz4Satz1Bundesda-tenschutzgesetzhabendiederAufsichtunterliegendenStellenso-wiediemitderenLeitungbeauftragtenPersonenaufVerlangendiefürdieErfüllungunsererAufgabenerforderlichenAuskünftezuer-teilen.EineAuskunftkannnuraufsolcheFragenverweigertwerden,derenBeantwortungdenVerantwortlichenselbstodereinenseinerin§383Absatz1Nummer1bis3Zivilprozessordnungbezeichne-tenAngehörigenderGefahrstrafrechtlicherVerfolgungodereinesVerfahrensnachdemGesetzüberOrdnungswidrigkeitenaussetzen

Kein Ergebnis ohne Anhörung

15

würde.IndiesemFallmüssteersichausdrücklichaufdiesesspezielleAuskunftsverweigerungsrechtberufen.

Jetzt sollte derVerantwortliche innerhalb der ihm gesetzten Frist(meist14TageabZustellungdesBescheides)reagieren.Tuterdiesnicht,sosindwirgezwungen,dieFestsetzungeinesZwangsgeldesanzudrohen.VerweigertderVerantwortlichedanachimmernochdieMitwirkung,setzenwireinZwangsgeldfest,welchesgegebenenfallsim Wege des Zwangsvollstreckungsverfahrens beigetrieben wird.DieHöhedesZwangsgeldesbeträgtmindestens10undhöchstens50.000Euro;sobestimmtesdasBrandenburgischeVerwaltungsvoll-streckungsgesetz.InjedemFallsolleinem„Freikaufen“entgegenge-wirktwerden.DieswärenichtakzeptabelundwürdedemWillendesGesetzgebers,dieinRedestehendenpersonenbezogenenDatenvorunbefugterVerarbeitungzuschützen,widersprechen.

Zubeachtenist,dassZwangsmittelsooftundsolangeangewendetwerdenkönnen,bisdieVerpflichtungvollständigerfüllt ist.Zudembesteht die Möglichkeit, Ersatzzwangshaft beim zuständigen Ver-waltungsgerichtzubeantragen,soferndasfestgesetzteZwangsgelduneinbringlichist.

Dazumussesjedochnichtkommen.DiefreiwilligeundrechtzeitigeBereitstellung der angefragten Informationen undUnterlagen gibtdemVerantwortlichenletztlichauchimmerdieGelegenheit,fürihngünstigeTatsachenderAufsichtsbehördeglaubhaftzumachen.Sokann er beispielsweise nachweisen, dass eine Verantwortung imSinnederDatenschutz-Grundverordnungfürdie inRedestehendeDatenverarbeitungnichtbestehtoderdassdieDatenzuRechtver-arbeitetwerden,weileinevertraglicheBeziehungzurBeschwerde-führerinoderzumBeschwerdeführerexistiert.

Mitunter verweigern Verantwortliche die erforderlichen Auskünf-te und drängen uns dazu, stattdessen eine Vor-Ort-Besichtigungdurchzuführen.Aus verschiedenen Erwägungen ist dies allerdingsnicht immeroptimal.GrundsätzlichbestimmtdieBehördeArtundUmfangderErmittlungen.AndasVorbringenunddieBeweisanträgederBeteiligten istsienichtgebunden.Dadurch istesdempflicht-gemäßenErmessenderBehördeüberlassen,welcheMittel sie fürdieErforschungdesSachverhaltsanwendet.ZudemwürdeeineVor-Ort-KontrolledenVerantwortlicheninderRegelnichtdavonbefrei-

16

en,derAufsichtsbehördeAuskünftezuGegebenheitenzuerteilen,diedurcheinesolchenichtermitteltwerdenkönnen,beispielsweise,welcheZweckederVerantwortlichemitderDatenverarbeitungver-folgt.

HatderVerantwortlichealleerforderlichenInformationengegeben,bewertenwir,obdatenschutzrechtlicheBestimmungeneingehaltenoderverletztwerden.Ergibtsichdabei,dassdieVerarbeitungsmo-dalitätennichtimEinklangmitdenRechtsvorschriftenstehenoderstanden, können wir entsprechende Abhilfemaßnahmen ergreifen(beispielsweise eineVerwarnung aussprechen, eineEinschränkungderVerarbeitunganordnenoderanweisen,personenbezogeneDa-tenzulöschen).Artikel58Absatz2DS-GVOstellteinenumfassen-denKatalogvonMaßnahmenzurVerfügung.1AuchindiesemVer-fahrensstadiumgebenwirdenVerantwortlichendieGelegenheit,zudervonunsbeabsichtigtenAbhilfemaßnahmeStellungzunehmen,bevoreinverbindlicherBescheiderlassenwird.Wiebereitsvorste-hendimZusammenhangmitderVerpflichtungzurAuskunftgeschil-dert, kann auch eine angeordneteMaßnahmemittels Zwangsgelddurchgesetztwerden.InschwerwiegendenFällenleitenwireinBuß-geldverfahrenein.DasVerfahrenrichtetsichnachdenVorschriftendesOrdnungswidrigkeitengesetzesinVerbindungmitderStrafpro-zessordnung.

GemäßArtikel78Absatz2DS-GVOinformierenwirBetroffene,diesichbeiunsbeschweren,regelmäßigüberdenVerfahrensstand.Au-ßerdemgebenwirihnendasjeweiligeErgebnisunsererdatenschutz-rechtlichen Prüfung zurKenntnis. Sollten sie hiermit nicht einver-standensein,sostehtes ihnenfrei,dagegenvordemzuständigenGerichtzuklagen.

2 Unerwünschte Werbung vier Jahre nach Vertragsanfrage

ImBerichtszeitraumwandtesicheinBürgeranuns,nachdemereinepersonalisierte Werbesendung eines Versicherungsunternehmenserhaltenhatte.DiedafürverwendetenpersonenbezogenenDatenstammtenauseinerAnfrage,welcheerandasUnternehmengerich-tethatte.AufdieserGrundlageerstelltedieverantwortlicheStelleeinAngebotüberdenAbschlusseinesVersicherungsvertrages.Ein

1 Tätigkeitsbericht 2016/2017, A 2.8.

17

solcherVertragkamletztlichjedochnichtzustande.Umdenspäte-renBeschwerdeführerdochnochalsKundenzugewinnen,griffdasUnternehmenvierJahrespäteraufdieseDatenzurückundversand-te einWerbeschreiben,wobei neben denKontaktdaten auch ein-zelneAngabenausderVertragsanfrageverwendetwurden,umeinpassendes, auf den potenziellen Kunden zugeschnittenes Produktpräsentierenzukönnen.

Eine Verarbeitung personenbezogener Daten ist gemäß Artikel 6Absatz1Datenschutz-Grundverordnung(DSGVO)nurdannrecht-mäßig,wenneinerderdortgenanntenErlaubnistatbeständeerfülltist.ImvorliegendenFallhattediebetroffenePersonwederihreEin-willigungzudererneutenVerarbeitunggegeben(Artikel6Absatz1BuchstabeaDS-GVO),nochwardieVerwendungderDatenfürdieErfüllungeinesVertrageserforderlich(Artikel6Absatz1BuchstabebDS-GVO). Zu letztgenanntemZweck ist eineDatenverarbeitungerlaubt,soweitsieobjektivfürdieErfüllungoderDurchführungei-neskonkretenVertragesodervorvertraglicherMaßnahmen,dieaufAnfragederbetroffenenPersonerfolgen,erforderlichist.VordiesemHintergrundwardieursprünglicheVerarbeitungpersonenbezogenerDaten zum Zwecke der Angebotserstellung vor vierJahren legitim. Die nachfolgende, weitere Verarbei-tungzuZweckenderWerbungwareshingegennicht.

Auch konnte die konkrete Datenverarbeitung nichtauf die Rechtsgrundlage zur Wahrung berechtigterInteressendesVerantwortlichengemäßArtikel6Ab-satz 1 Buchstabe f DS-GVO gestützt werden. ZwarkannnachErwägungsgrund47DS-GVOdieVerarbei-tungpersonenbezogenerDatenzumZweckederDirektwerbungalseineeinemberechtigten InteressedienendeVerarbeitungbetrach-tetwerden.AllerdingssindimRahmendernachArtikel6Absatz1BuchstabefDS-GVOanzustellendenInteressenabwägungauchdieInteressen,GrundrechteundGrundfreiheitenderbetroffenenPer-sonzuberücksichtigen.

GrundsätzlichhatderGesetzgeberdemSchutzderpersonenbezoge-nenDateneinbesonderesGewichtbeigemessenundverlangteineAbwägungmitdenInteressendesVerantwortlichenoderDritteranderBeschaffung,VerwendungundOffenlegungsolcherDaten.Maß-geblichsindhierbeidievernünftigenErwartungenderbetroffenenPerson. Kann diese zumZeitpunkt derDatenerhebung angesichts

Berechtigte Werbeinteressen bestehen nicht ewig.

18

dernäherenUmständenichtabsehen,dasseineDatenverarbeitungfür einen bestimmten Zweck stattfindenwird, überwiegen die In-teressenundGrundrechtederbetroffenenPerson regelmäßigdasInteressedesVerantwortlichen.Liegtder letztegeschäftlicheKon-takt–wieindiesemFall–mehralsvierJahrezurückundkommtderVertragnichtzustande,erwartetdiebetroffenePersonnicht,dassalteDatenausderVertragsanbahnungplötzlichwiederfürdiewerb-lichenZweckederKundengewinnunggenutztwerden.

BeiderPrüfungdeszugrundeliegendenProzessesfürdieAuswahlderEmpfängervonWerbesendungenstelltenwirsodannfest,dassdasDatumdes letztengeschäftlichenKontaktsvomUnternehmendurchaus berücksichtigt wird. Die Daten des Beschwerdeführershättendanachnichtausgewähltwerdendürfen.Aufgrundeinesin-dividuellenBearbeitungsfehlersgeschahdiesdennoch.UmdemUn-ternehmendenVerstoßvorAugenzuführenundfürdensorgsamenUmgang mit personenbezogenen Daten weiter zu sensibilisieren,sprachdieLandesbeauftragteeineVerwarnungnachArtikel58Ab-satz2BuchstabebDS-GVOaus.

3 Veröffentlichung personenbezogener Einwendungen gegen einen Regionalplan

DieRegionalplanungisteinwesentlichesInstrumentfürdieUmset-zungderübergeordnetenlandesplanerischenFestlegungenausdemLandesentwicklungsprogrammunddenLandesentwicklungsplänen.MitdemGesetzzurRegionalplanungundzurBraunkohlen-undSa-nierungsplanungwurdenfünfRegionalePlanungsgemeinschaftenimLandBrandenburggebildet.BeiderErarbeitungderRegionalplänedurchdieRegionalenPlanungsgemeinschaften isteineBeteiligungderÖffentlichkeitnach§9Raumordnungsgesetzdurchzuführen.

ImRahmeneiner solchenBeteiligunghat dieRegionalePlanungs-gemeinschaft Prignitz-Oberhavel Einwendungen von Bürgerinnenund Bürgern gegen den Regionalplan ins Internet eingestellt unddabeiversäumt,diepersonenbezogenenDatenderEinbringendenunkenntlichzumachen.DarüberbeschwertensichmehrereBetrof-fene. Auch die Regionale Planungsstelle meldete uns denVorfall.Sieteiltemit,dassvonderunzureichendenAnonymisierungindemveröffentlichtenBerichtcirca3.000Personenbetroffenwaren.DerFehlerwurdebehoben,indemderBerichtausdemInternetentferntundhinreichendanonymisiertneueingestelltwurde.

19

Wiewir feststellten,warendiepersonenbezogenenDatenmehre-reTagefreiimInterneteinsehbar,ohnedassdiegenanntenPerso-nenhierzu ihreEinwilligungerteilthatten.DieNamenwarenzwarimDokumentmittelsgrauerBalkenaufdenerstenBlickverdeckt,siekonntenjedochdurchMarkierungdesFeldesundÜbertragung in ein anderes Programm sichtbar ge-machtwerden.Umzuverhindern,dassdie IdentitätderbetroffenenPersonendurchUnbefugtebestimmtwerdenkann,wardieseFormderAussonderungun-tauglich.

UnserePrüfungdesSachverhaltsergab,dassdievonder unrechtmäßigen Veröffentlichung betroffenenDatenkategoriengrundsätzlicheinemnormalenSchutzbedarfunter-lagen.VoneinemerhöhtenRisikofürdieBetroffenenwardurchdieversehentlicheVeröffentlichungderDatenimInternetnichtauszu-gehen.Der nachweisbareZeitraumderOffenlegung umfasste nurwenige Tage. Dennoch hat die Landesbeauftragte gegenüber derRegionalenPlanungsgemeinschafteineVerwarnungnachArtikel58Absatz2BuchstabebDatenschutzgrundverordnung(DS-GVO)aus-gesprochen,dadiesegegendenGrundsatzder IntegritätundVer-traulichkeitgemäßArtikel5Absatz1BuchstabefDS-GVOsowiege-gendenGrundsatzderSicherheitderVerarbeitunggemäßArtikel32DS-GVOverstoßenhat.DieGemeinsameLandesplanungsabteilungBerlin-Brandenburgwurdein ihrerFunktionalsRechtsaufsichtsbe-hördeüberdieVerwarnungunterrichtet.

4 Videoüberwachung in einer Zahnarztpraxis – Bundesverwaltungsgericht bestätigt Landesbeauftragte

Eine Zahnärztin hatte im für jedermann zugänglichen Empfangs-undWartebereich ihrerPraxiseineVideoüberwachungskamera in-stalliert.DervorhandeneEmpfangstresenblieb,daPersonalfehlte,regelmäßigunbesetzt.UmdennochdenEmpfangsbereichderPraxisimBlickhabenzukönnen,übertrugdieKamerainEchtzeitdasGe-schehenaufMonitoreindieBehandlungszimmer.DieBilderwurdennichtgespeichert.AnderPraxistürwieseinSchildmitderAufschrift„videogesichert“aufdieVideoüberwachunghin.

AufgrundeinerBeschwerdeprüftenwirdieZulässigkeitdieserDa-tenverarbeitung.ImErgebnisordnetedieLandesbeauftragtebereits

Untaugliche Schwärzung führt zu Datenübermittlung

20

imJahr2012an,dieKamerasoauszurichten,dassderfürPatientin-nenundPatientensowiesonstigeBesucherinnenundBesucherzu-gänglicheBereichnichtmehrerfasstwird.InsoweitsahenwireinenVerstoßgegendatenschutzrechtlicheVorschriftengegeben.Hierge-genwehrtesichdieZahnärztinerfolglosdurchalleGerichtsinstan-zen.ZuletztbestätigtedasBundesverwaltungsgerichtdieRechtmä-ßigkeitunsererAnordnung.2

SoentschiedendieRichter, dass dervonderZahnärztin angegrif-feneVerwaltungsaktalleinnachaltemRecht,nichtjedochnachderzwischenzeitlichinKraftgetretenenDatenschutz-Grundverordnung(DS-GVO)beurteiltwerdenmuss.Anzuwenden sei dasRecht, daszum Zeitpunkt der letzten Behördenentscheidung Geltung hatte.ImvorliegendenFallwardemgemäßderErlassdesWiderspruchs-bescheidsimJanuar2013derfürdieBeurteilungderRechtmäßig-keitmaßgeblicheZeitpunkt.DieRechtmäßigkeitunsererAnordnungwurdefolglichnachdembisMai2018geltendeBundesdatenschutz-gesetzgeprüft.

Die Zahnärztin hatte vorgetragen, dieVideoüberwachung sei vonberechtigtenInteressengedeckt.DazuführtesiemöglicheStrafta-tenwiedenDiebstahlvonimEmpfangstresenaufbewahrtenBetäu-bungsmittelnodervonWertsachenan.EbensoseieinEingreifeninNotfällenmöglich,beispielsweisewenn„eingespritzte“PatientinnenundPatientennachderBehandlungnoch imWartezimmer sitzen.ÜberdiesdienedieKameraderSenkungderPersonalkosten.

DasGerichtfolgtederbisherigenRechtsprechung,wonachdieVer-hinderung und Aufklärung von Straftaten zwar grundsätzlich einberechtigtesInteressedarstellenkönnen.Jedochseiensienurdannzur Rechtfertigung heranziehbar, wenn sich aus tatsächlichen Er-kenntnissen eineGefährdungslage ergibt, die über das allgemeineLebensrisiko hinausgeht. Reine Befürchtungen genügen nicht. Zu-demkönntevorbeugenddaraufverzichtetwerden,Betäubungsmit-tel im unbesetzten Empfangstresen aufzubewahren. PatientinnenundPatientenkönntenaufgefordertwerden,ihreWertsachenindieBehandlungsräumemitzunehmen.

AndersalsvonderKlägerinangenommen,istdieVideoüberwachungauchnichtzulässig,umPatientinnenundPatienten,dienacheiner

2 Urteil des Bundesverwaltungsgerichts vom 27. März 2019, 6 C 2.18.

21

Betäubungsspritze imWartezimmer sitzen, imNotfall betreuen zukönnen.BereitsdieVorinstanzhattedeutlichgemacht,dassmilde-reMitteldieseZweckeebensoerfüllen–beispielsweisederEinsatzzusätzlichenPersonalsodereinNotfallknopf.NichtüberzeugtzeigtesichdasBundesverwaltungsgerichtvondempauschalenVerweisderKlägerinauferheblichhöherePersonalkostenimFalledesVerzichtsaufeineKamera.ZwarhandeleessichdurchausumeinberechtigtesInteresse,Betriebskostenzusenken.DieZahnärztinhabeabernichtdarlegt,dasssiedieseKostennichtauchdurchandereMaßnahmen,beispielsweise durch organisatorischeUmstrukturie-rungen, hätte vermeiden können. Kosteneinsparun-genalleinkönnendieZulässigkeiteinerVideoüberwa-chungkeinesfallsbegründen.

Zwar beurteilte das Bundesverwaltungsgericht denFall nach der alten Rechtslage, äußerte sich aberauchzur seitMai2018geltenden.Esmachteunmi-ssverständlich klar, dass die Zulässigkeitsvoraussetzungen einerVideoüberwachungdurchnichtöffentlicheStellen, zudenenauchniedergelasseneÄrztinnenundÄrztezählen,abschließendinArtikel6Absatz1DS-GVOgeregelt sind.DerartigeDatenverarbeitungenkönnennichtaufArtikel6Absatz1BuchstabeeDS-GVOgestütztwerden,denndiesewerden–imGegensatzzuBehörden–nichtzurErfüllungeinerAufgabe,die imöffentlichen Interesse liegtoder inAusübungöffentlicherGewalt tätig.DemzufolgeerfassendieÖff-nungsklauselndesArtikels6Absatz2und3DS-GVO,diedemnatio-nalenGesetzgeberdieMöglichkeitgeben,weitereRechtsgrundlagenzu schaffen, nicht die Datenverarbeitungen privaterVerantwortli-cher.DienationaleBestimmungin§4Absatz1Satz1Bundesdaten-schutzgesetzinderaktuellenFassungistdahermitdemEuroparechtunvereinbar und imErgebnis nicht anzuwenden.Nicht öffentlicheStellenkönnenVideokamerasinderRegelnuraufderRechtsgrund-lagedesArtikel6Absatz1BuchstabefDS-GVObetreiben.AuchbeiderBeurteilungnachdieserneuenNormkommtesaufdieAbwä-gungdes berechtigten Interesses desVerantwortlichenmit denender Betroffenen an. Diesbezüglich verwiesen die Richter auf ihrevorherigeArgumentationzuraltenRechtslage.

Kosteneinsparung kein Argument für Videoüberwachung

22

5 Weiträumige Videoüberwachung in einem Kultur- und Gewerbezentrum

DieHausverwaltungeinesGebäudekomplexesbetrieb14Videoka-meras.DieVideobilderwurdenfürdreiTagegespeichert,außerdemkam eine Nachtsichtfunktion zum Einsatz. Von der Überwachungwaren sowohl zahlreiche Gewerbetreibende, Besucherinnen undBesucher des Komplexes als auchBewohnerinnen undBewohnereinesMietshausesbetroffen.NebeneinerFleischereiundeinerAu-towerkstattbefandensichu.a.eineDiskothekundeinTheater imErfassungsbereichderKameras.AlsZweckenannteunsdieHaus-verwaltung insbesondere eine Besserung der Sicherheitslage, denSchutzvorDiebstahlundVandalismussowiedieMöglichkeit,Täte-rinnenundTäterverfolgenzukönnen.

Gemäß Artikel 6 Absatz 1 Datenschutz-Grundverordnung (DS-GVO)isteineDatenverarbeitungnurzulässig,wenndiebetrof-fenenPersoneneingewilligthabenodereineanderegesetzlicheEr-laubnisnormerfülltist(VerbotmitErlaubnisvorbehalt).IndiesemFallkonnte sichdieZulässigkeit nur ausArtikel 6Absatz1BuchstabefDS-GVOergeben.NachdieserNormsinddieberechtigtenInter-

essen, die derVerantwortlichemit derDa-tenverarbeitung verfolgt, gegen die Rechteund Interessen der von der Videoüberwa-chungBetroffenenabzuwägen.Dieanderenin Artikel 6 Absatz 1 DS-GVO genanntenVoraussetzungen lagen nicht vor. Darüber

hinauskam§4Absatz1Bundesdatenschutzgesetz (BDSG)alsEr-laubnisnormfürdieVideoüberwachungnichtinBetracht,dafürdieAnwendung dieser Regelung aus europarechtlichen Gründen keinRaumbleibt.3

ZudenberechtigtenInteressendesArtikel6Absatz1BuchstabefDS-GVOzählenallenichtvonderRechtsordnungmissbilligtenInter-essenrechtlicher,wirtschaftlicheroderideellerArt.AufreineBlan-kettformeln,wiedervonderHausverwaltungverfolgteZweckder„BesserungderSicherheitslage“,kanndieVideoüberwachungjedochnichtgestütztwerden.

3 siehe A I 4

Videoüberwachung nur mit Augenmaß

23

Soweit die Hausverwaltungmit derVideoüberwachung beabsich-tigte,dieBegehungvonStraftatenwieDiebstahlundSachbeschä-digungenzuverhindernunddieTatenverfolgenzukönnen,warzuberücksichtigen,dasszurErreichungdieserZweckeAlternativenzurVerfügungstanden,wiez.B.einebessereBeleuchtungundhäufige-reKontrollendurchdenHausmeisteroderzusätzlichesSicherheits-personal.DennhöhereKostenallein—etwadurchdenEinsatzvonzusätzlichemPersonal—führennichtdazu,dassAlternativmaßnah-menvonvornhereinaußerBetrachtbleibendürfen.

Hinzukam,dasskeinekonkretbegründete,überdemDurchschnittliegende Gefahr für die Begehung der befürchteten Delikte be-stand.EinebloßeBehauptungoderdieallgemeineVermutung,dassRechtsverletzungen zu erwarten sind, verleiht dem Interesse desVerantwortlichenkeinhöheresGewicht.AuchderHinweis,dasssichdasGelände ineinerGrenzregionbefinde,genügtenicht,umeineGefährdungslageanzunehmen.

Aufseiten der Betroffenenwar zu berücksichtigen, dass sie anlas-sloserfasstwurden, ihreBilddatendurchdieSpeicherungfüreineweitereAufbereitung,AuswertungundVerknüpfungmitanderenIn-formationenzurVerfügungstandenundsiesoeinemMissbrauchs-risikoausgesetztwaren.EineVideoüberwachungisteinerheblicherEingriffindieRechtederbetroffenenPersonen,wenndiesehierfürkeinen ihnen zurechenbarenAnlass, etwadurchRechtsverletzung,geschaffenhaben, sondern alsUnbeteiligtemitbetroffen sind.DieMieterinnenundMieterdesimErfassungsbereichliegendenWohn-hauses hatten zudem keine Ausweichmöglichkeit und gerietenzwangsläufigindenErfassungsbereichderVideokameras,ohnesichdiesementziehenzukönnen.

ImErgebniswardasBetreiberinteressebeifastallenKamerasinderAbwägunggeringerzubewerten,alsdasInteressederbetroffenenPersonen,nichtungewolltObjekteinerVideoüberwachungzuwer-den.

Hiervonausgenommenwarenallerdings zweiKameras,mitdeneneingroßflächigesWandgemälde,welchesdemGewerbezentrumalsWahrzeichendiente,vorSchmierereiengeschütztwerdensollte.DaeinkonkreterVorfallnachgewiesenwerdenkonnteundimunmittel-barenBereichdesGemäldeskaumPersonenvonderVideoüberwa-chungbetroffenwaren,konntesieaufdieRechtsgrundlagedesArti-

24

kel6Absatz1BuchstabefDS-GVOgestütztwerdenundwardamiterlaubt.AuchdieVideokameras,dieunmittelbarumdieDiskothekdasGeländeausunterschiedlichenPerspektivenfilmten,warennachaktuellenGewaltvorfällen, dieweitere schwere körperlicheAusei-nandersetzungenbefürchtenließen,wegendesüberwiegendenIn-teressesdesVerantwortlichenzulässig–allerdingsnurwährendderÖffnungszeitenderDiskothek.

UmdieunzulässigenDatenverarbeitungenzuunterbinden,machtedieLandesbeauftragtevonihrerBefugnisgemäßArtikel58Absatz2Buchstabe fDS-GVOGebrauch,die es ihr alsAufsichtsbehördegestattet,einevorübergehendeoderendgültigeBeschränkungderVerarbeitung,einschließlicheinesVerbots,zuverhängen.

DenBetrieb derKameras, die u. a. dasWohnhaus, einBistro, dieFleischerei und Parkplätze erfassten, untersagte die Landesbeauf-tragtekomplettundverpflichtetedenBetreiber,diesdurchgeeigne-teMaßnahmensicherzustellen.InFragekommthierfürnebeneinemmechanischenAbdeckenderObjektivevorallemderAbbauderGe-räte.BezogenaufdieKameras,diedasWandgemäldefilmten,dane-benjedochauchgroßflächigParkplätzeundHausfassadenerfassten,wurde dem Verantwortlichen aufgegeben, den Erfassungsbereichauf die unmittelbare Umgebung desWandgemäldes zu beschrän-ken. In Bezug auf die Kameras, die nach denGewaltvorfällen derDiskothekzumEinsatzkamen,verpflichtetedieLandesbeauftragtedieHausverwaltung,denBetriebaußerhalbderÖffnungszeitendesClubszuunterlassen.

GegendenBescheidhatderVerantwortlicheKlageeingereicht.DiegerichtlicheEntscheidungstehtnochaus.

6 Videoüberwachung in einem Indoorspielplatz für Kinder

UmineinemIndoorspielplatzfürSchutzvorDiebstählenundEinbrü-chenzusorgen, filmtederVerantwortlichemitachtVideokamerasvorallemArbeitsplätzevonBeschäftigtensowiedieGastronomie-bereiche. Daneben sollten die Kameras der Sicherheit der Kinderdienen.JedocherfasstenureineKameraeinenBereich,derdenKin-dernzumSpielenvorbehaltenwar.DieBilderwurdenzwargespei-chert,abernichtvomPersonalinEchtzeitbeobachtet.

25

UmauchinschwereinsehbarenBereicheneineAufsichtzuermög-lichen, kann der Einsatz einerVideokamera grundsätzlich zulässigsein.Das setzt jedochvoraus,dassdieVideobilder inEchtzeitge-sichtet werden, um bei Gefahr sofort eingreifen zu können. EineBildspeicherungistfürdiesenZweckhingegennichterforderlich.

BeidenKameras,dievornehmlichMitarbeiterinnenundMitarbeiteranihremArbeitsplatzsowiedieArealemitGastronomiebetriebfilm-ten,warsowohlbeidenbetroffenenBeschäftigtenalsauchbeidenmit Giro- oder Kreditkarte an denTheken bezahlenden Personenundden sich imBarbereichaufhaltendenGästenvoneinemnichtunerheblich schwerenEingriff in ihreDatenschutzrechte auszuge-hen.DemgegenüberwardasInteressedesVerantwortlichenandenVideobilderndurchkeineerheblichüberdasallgemeineLebensrisikohinausgehendeGefährdungslagebegründetunddaheralsgeringzubewerten.ImErgebniskonntedieVideoüberwachungnichtaufdieRechtsgrundlagedesArtikel6Absatz1Buchstabe fDatenschutz-Grundverordnung(DS-GVO)gestütztwerden.

GemäßArtikel58Absatz2BuchstabefDS-GVOuntersagtedieLan-desbeauftragtedenBetrieb allerKameras zuZeiten, indenenderIndoorspielplatzfürGästegeöffnetist.AusgenommenwareineKa-mera, die einen schwer einsehbarenBereich im Spielplatzangebotfilmte.BeidieserwurdelediglichdieBildspeicherunguntersagt.Da-mitbleibtesdemVerantwortlichenunbenommen,eineEchtzeitbe-obachtungzuAufsichtszweckenvorzunehmen.

DanebenordnetedieLandesbeauftragtegemäßArtikel58Absatz2BuchstabedDS-GVOan,dassderVerantwortlicheeineelektroni-scheProtokollierungallerZugriffeaufdasKamerasystemeinzurich-tenhat.NachArtikel5Absatz2DS-GVOistderVerantwortlichefürdieEinhaltungderinArtikel5Absatz1DS-GVOnormiertenGrund-sätzeverantwortlich.DazugehörtauchderGrundsatzderRechtmä-ßigkeit derVerarbeitung.Artikel 5Absatz 2DS-GVOverlangt au-ßerdem, dassderVerantwortlichedieEinhaltungdesGrundsatzesnachweisenkann.EineelektronischeProtokollierungallerZugriffeaufdasKamerasystemistdafüreingeeignetesInstrument.

DerVerantwortlicheistderAnordnungvollumfänglichnachgekom-menundhatdiesnachgewiesen.

26

7 Übersicht über weitere Maßnahmen und Sanktionen

Die Datenschutz-Grundverordnung (DS-GVO) gibt der Landesbe-auftragten verschiedene Instrumente an die Hand, mit denen sieVerantwortlichezueinerrecht-undordnungsgemäßenDatenverar-beitunganhaltenkann.SiekanndieVerantwortlichenwarnenundverwarnen,bestimmteHandlungenoderUnterlassungenerzwingenundeineDatenverarbeitungauchgänzlichverbieten.ObeineMaß-nahmeergriffenwirdund,wennja,welche,liegtimpflichtgemäßenErmessen der Landesbeauftragten. Der Grundsatz der Verhältnis-mäßigkeitistzubeachten.Erverlangt,dasseineMaßnahmegeeig-netist,umdasmitihrbezweckteZielzuerreichen.DieMaßnahmemussaußerdemineinemangemessenenVerhältniszumUmfangundGewichtdes festgestelltenVerstoßesgegendatenschutzrechtlicheVorschriftenstehenunddabeidemPrinzipdesmildestenMittelsge-rechtwerden.

ImBerichtszeitraumhatdieLandesbeauftragtein20Fällenvondenihr inArtikel58Absatz2DS-GVOeingeräumtenBefugnissenGe-brauchgemacht.4SechsMaßnahmenrichtetensichgegenBehördenundsonstigeöffentlicheStellendesLandesBrandenburg,14Maß-nahmengegennichtöffentlicheStellen.

DengrößtenAnteilmachtenVerwarnungennachArtikel58Absatz2BuchstabebDS-GVOaus.Siewurdenzehnmalausgesprochen.MitderVerwarnungwirdeinVerstoßgegenPflichtennachderDaten-schutz-GrundverordnungförmlichfestgestelltundderVerantwort-lichedeshalbverwarnt.WeitereFolgenergebensichfürihndarauszunächstnicht;verstößter jedocherneutgegendieDatenschutz-Grundverordnung,mussermitweitergehendenKonsequenzen,ins-besonderemitderEinleitungeinesOrdnungswidrigkeitenverfahrensrechnen.Verwarnungenwurdenu.a.erteiltwegeneinesfehlendenVertrags zur Auftragsverarbeitung, der verspäteten Reaktion aufAuskunftsersuchen und Löschungsbegehren von Betroffenen so-wiewegenunzulässigerÜbermittlungpersonenbezogenerDatenanDritte.

WarnungennachArtikel58Absatz2BuchstabeaDS-GVOwurdenviermalausgesprochen.IndiesenFällenhateinVerstoßgegenDa-

4 Die Einleitung von Bußgeldverfahren bleibt hierbei außer Betracht, siehe A I 8.

27

tenschutzvorschriftennochnichtstattgefunden,dieentsprechendeDatenverarbeitungistjedochbeabsichtigt.WiebeiderVerwarnungergebensichfürdenjeweiligenVerantwortlichenausderWarnungnochkeineunmittelbarenFolgen.NimmterdieDatenverarbeitungjedoch trotz derWarnung auf,muss ermit einemBußgeldverfah-ren rechnen, davon einemvorsätzlichenHandeln inKenntnis derRechtswidrigkeitauszugehenist.

DieLandesbeauftragtehatinsgesamtsechsAnordnungenerlassen.IndreiFällenwurdedieÜberwachungmitVideokamerasnachArti-kel58Absatz2BuchstabefDS-GVOteilweiseuntersagt.5IneinemFall erhielt einUnternehmen gemäßArtikel 58Absatz 2Buchsta-becDS-GVOdieAnweisung,einemBetroffenenAuskunftüberdiezuseinerPersongespeichertenDatenzuerteilen;zweimalwiesdieLandesbeauftragtegemäßArtikel58Absatz2BuchstabedDS-G-VOVerantwortlichean,BearbeitungsvorgängeaufbestimmteWeiseund innerhalbeinerbestimmtenFristmitderDatenschutz-Grund-verordnunginEinklangzubringen.DiesbetrafdieErstellungeinesVerzeichnissesvonVerarbeitungstätigkeitenunddasEinstelleneinerDatenschutzerklärungaufderWebseiteeinesVerantwortlichen.

Insgesamt lässt sich feststellen, dass die Datenschutzverletzun-gen,vondenenwirdurchBeschwerdenBetroffener,AnfragenderVerantwortlichen oder Prüfungen erfahren, nicht zwingend Maß-nahmen und Sanktionen der Aufsichtsbehörde nach sich ziehen.VielfachführtbereitseinerstesAnhörungsschreibenandenVerant-wortlichendazu,dassereinenVerstoßumgehendabstellt,oder,fallsdiesernichtmehrrückgängiggemachtwerdenkann,EinsichtzeigtundunsdievonihmgetroffenenVorkehrungendarlegt,mitdenenerzukünftigeVerstößeunterbindet.

8 Bericht der Bußgeldstelle

Im diesjährigen Berichtszeitraum führten wir Ordnungswidrigkei-tenverfahrenwegendatenschutzrechtlicherVerstößesowohlgegennichtöffentlicheStellenalsauchgegenMitarbeiterinnenundMitar-beiteröffentlicherStellendurch.In11FällenschlossenwirdasVer-fahrenmitderFestsetzungeinerGeldbußeab.ImWesentlichenkamhierbeinochdie alteRechtslage zurAnwendung,dadiebegange-nenOrdnungswidrigkeitenzumeistvordem25.Mai2018beendetwordenwaren.Wirbefasstenunsunteranderemmitunzulässigen

5 siehe u. a. A I 5 und 6

28

Videoüberwachungen,nichtordnungsgemäßabgeschlossenenAuf-trags(daten)verarbeitungsverträgennachalterundneuerRechtslageunddemmangelhaftenUmgangmitPatienten-undMitarbeiterda-ten.

UnabhängigvondenfolgendendreiexemplarischaufgeführtenFäl-lenwarenauchindiesemBerichtszeitraummehrereunbefugteAb-rufeausdienstlichgenutztenDatenbankendurchMitarbeiterinnenundMitarbeiteröffentlicherStellen(insbesonderedurchPolizeibe-dienstete)zuverzeichnen.AndieserStelleseierneutdaraufhinge-wiesen,dasseinsolcherAbrufnurgestattetist,wenneinedienstlicheNotwendigkeitvorliegt.PrivateGründekönneneinesolcheAbfragenichtrechtfertigenundwerdenalsOrdnungswidrigkeitverfolgt.

8.1 Videoüberwachung im Schwimmbad

Der Betreiber eines Schwimmbads verstieß gegen datenschutz-rechtlicheVorgaben,indemerimSchwimmbadinunzulässigerWei-semittelsVideokamerasdiesichdarinaufhaltendenPersonen(u.a.Gäste,MitarbeiterinnenundMitarbeiter)filmteunddieAufnahmenspeicherte.DarüberhinausunterließeresübermehrereJahre,eineDatenschutzbeauftragte bzw. einen Datenschutzbeauftragten zubestellen und versäumte den rechtzeitigen Abschluss eines ord-nungsgemäßenAuftragsverarbeitungsvertragesmitdemDienstleis-tungsunternehmen,dasmitderWartungderVideoüberwachungs-

anlagebeauftragtwar.

Jeder der genanntenSachverhalte stellte ei-nen eigenständigenVerstoß gegen das zumdamaligenZeitpunktanwendbareBundesda-tenschutzgesetz (BDSG) dar. Bezüglich derVideoüberwachung handelt ordnungswidrig,wer nach § 43 Absatz 2 Nummer 1 BDSG

(vorsätzlichoderfahrlässig)unbefugtpersonenbezogeneDaten,dienichtallgemeinzugänglichsind,erhebtoderverarbeitet.Davon istdasFilmenundanschließendeSpeichernderAufnahmenumfasst.UnbefugtistdieDatenerhebungbzw.-verarbeitungdann,wennsiewederaufeineEinwilligungderbetroffenenPersonennochaufeineandereRechtsgrundlagegestütztwerdenkann.EineEinwilligungindieVideoüberwachung lagnichtvor.Die jeweils inBetracht kom-menden Rechtsgrundlagen waren größtenteils schon deswegennichteinschlägig,weilesanderErforderlichkeitderVideoüberwa-

Gäste und Beschäftigte unter

Beobachtung

29

chungzudenvomBetreiberangeführtenZweckenfehlte.Darüberhinaus überwogen die Interessen der betroffenen Personen, beimBesuchdes Schwimmbadesoder bei derVerrichtung ihrerArbeit-stätigkeiten mittels Videokameras nicht gefilmt zu werden. DerBetreibererkanntediesunterAußerachtlassungdererforderlichenSorgfaltnicht.ErhättesichallerdingsvorderInstallationderVideo-kameras rechtlichenRat über derenZulässigkeit einholen können.InsofernbegingerdieOrdnungswidrigkeitfahrlässig.

Darüber hinaus unterließ er es fahrlässig, rechtzeitig eine Daten-schutzbeauftragte bzw. einen Datenschutzbeauftragten für dasSchwimmbad zu bestellen, obwohl diese Verpflichtung gesetzlichverankertist.SchließlichversäumteesderBetreiberebenfallsfahr-lässig, mit dem mit der Wartung der Videoüberwachungsanlagebetrauten Dienstleistungsunternehmen einen ordnungsgemäßenVertrag zur Auftragsdatenverarbeitung abzuschließen. Ein solcheristimmerdannerforderlich,wennpersonenbezogeneDatenimAuf-tragdurchandereStellenerhoben,verarbeitetodergenutztwerden.HierzugehörtauchderEinsatzeinesDienstleistungsunternehmens,dasWartungenvornimmtundbeidemnichtausgeschlossenwerdenkann,dassesaufpersonenbezogeneDatenzugreift.DerAbschlusseinesVertrages unterblieb imvorliegenden Fall.Die Landesbeauf-tragteverhängteinderSummefürallegenanntenVerstößeeinBuß-geldinHöhevon12.000Euro.

8.2 Erteilung von Auskünften unter fremdem Logo

Ein Unternehmen verstieß gegen das in der Datenschutz-Grund-verordnung (DS-GVO) festgelegte Gebot, einen Auftragsverarbei-tungsvertrag schriftlich abzuschließen, obwohl es im Rahmen derAuskunftserteilungnachArtikel15DS-GVOeinenDienstleisterein-setzte,derZugriff aufdie fürdieAuskunftserteilungnotwendigenpersonenbezogenenDatenderAntragstellerinnenundAntragstellerhatte.DieKorrespondenzimRahmenderAuskunftserteilungwurdeunterdemLogodesDienstleistersdurchgeführt.DieAntragstelle-rinnenundAntragstellerwusstennicht,dassessichhierbeiumdenDienstleisterdesUnternehmenshandelte.Insofernkonntensienichterkennen,werderVerantwortlichederDatenverarbeitungwar.DasUnternehmenkontaktiertediebetroffenenPersonennachAntrag-stellungzurAuskunftserteilungzunächstnurinenglischerSprache.

30

Nach Artikel 28 Absatz 9 DS-GVO ist der Vertrag zur Auftrags-verarbeitung schriftlich zu schließen. Die Regelung verfolgt damitDokumentations-, Beweissicherungs- und Authentizitätssiche-rungszwecke.Die Schriftform soll sicherstellen, dass die Parteien,die in dem Dokument genannt sind, sich zu den eingegangenenVerpflichtungen mit dem konkreten Inhalt bekennen. Es wird in-sofernaufeinehöhereRechtssicherheitabgezielt.NachArtikel83 Absatz4BuchstabeaDS-GVOwirdbeieinemVerstoßgegendasGebot, einen Auftragsverarbeitungsvertrag schriftlich abzuschlie-ßen,eineGeldbußevonbiszu10MillionenEurooderimFalleeinesUnternehmensvonbiszu2%seinesgesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäftsjahresverhängt, jenachdemwelcherderBeträgehöher ist.DasUnternehmen führtediesenVerstoßfahrlässigherbei.

Artikel83Absatz5DS-GVOeröffneteinennochhöherenBußgel-drahmenfürVerstöße,dieinseinemKatalogaufgeführtsind.DanachwerdenGeldbußenvonbiszu20MillionenEurooderimFalleinesUnternehmensvonbiszu4%seinesgesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäftsjahresverhängt, jenachdem,welcherderBeträgehöherist.HiervonumfasstsindVer-stöße gegendieRechteder betroffenenPerson gemäßArtikel 12DS-GVO.DieseNormverpflichtetdenVerantwortlichen,geeigneteMaßnahmenzutreffen,umderbetroffenenPersonzumBeispielalleMitteilungengemäßdemArtikel15DS-GVO(also imRahmenderAuskunftserteilung) in präziser, transparenter, verständlicher undleichtzugänglicherFormzuübermitteln.DasUnternehmenhatda-durch,dassesdieAntragstellerinnenundAntragstellernichtdarüber

aufklärte,dassessichbeidemeingesetztenDienstleister um einen Auftragsverarbeiterhandelteunddass, trotzErteilungderAus-kunft unter dem Logo des Dienstleisters,das Unternehmen selbst für die Datenver-arbeitungverantwortlichblieb,gegendeninArtikel12DS-GVOniedergelegtenTranspa-renzgrundsatzverstoßen.DieRegelung soll

sicherstellen, dass die Datenverarbeitung der personenbezogenenDaten des Betroffenen, etwaige Risiken, Garantien und Betrof-fenenrechtesowiedieAufklärungdesBetroffenen,wieerbestehen-deRechtegeltendmachenkann, fürdenBetroffenenverständlichdargestelltwerden.Nurwenndiesgeschieht,kanndemGrundsatzderDatenhoheitjedereinzelnenPersonRechnunggetragenwerden.

Auskunftserteilung nur in verständlicher

Form

31

GleichzeitighatdasUnternehmendadurch,dassesdieAntragstel-lerinnen undAntragsteller zunächst in englischer Sprache kontak-tierte,gegendeninArt.12DS-GVOniedergelegtenGrundsatzderVerständlichkeitverstoßen.WennsicheinUnternehmenmitseinemAngebot an den deutschsprachigen Markt richtet, muss die Aus-kunftserteilung(zumindestauch)aufDeutscherfolgen.

Wegen der genanntenVerstöße verhängte die LandesbeauftragteeinBußgeldinderGesamtsummevon50.000Euro.Hierbeiwurdeinsbesondere die Kooperation des Unternehmens im Bußgeldver-fahrenmilderndberücksichtigt.

8.3 Sicherung von Patientendaten als Freundschaftsdienst

EinMedizinerbeauftragteeinenBekanntenmitderSicherungderpersonenbezogenenDaten,dieinseinerArztpraxisanfielen.Davonwaren sowohldieDatenvonPatientinnenundPatientenals auchvonMitarbeiterinnenundMitarbeiternumfasst.DerBekanntespei-chertediezusicherndenDatenaufeinemComputeranseinemAr-beitsplatzineinemUnternehmen,wosievomArbeitgeberentdecktwurden. DerMedizinerwar für die (unbeabsichtigte)OffenlegungderDatenaus seinerPraxis andenArbeitgeber seinesBekanntenverantwortlich.

Zwaristesgrundsätzlicherlaubt,dieDatensicherung,diedemMedi-zineransonstenselbstobliegenwürde,aneinenDienstleisterauszu-lagern.Bei einemAuftragsdatenverarbeitungsverhältnis behält derAuftraggeber imAußenverhältnis aber dievolle datenschutzrecht-licheVerantwortlichkeitfürdenUmgangmitdenpersonenbezoge-nenDaten.DerAuftragnehmer ist sozusagennurder „verlängerteArm“desAuftraggebers.SeinHandelnwirddemAuftraggeberzu-geordnet. Er ist deshalb unter anderemverpflichtet, sichwährendderDatenverarbeitung durch denAuftragnehmer regelmäßig überdieweisungsgemäßeAusführungdesAuftragesunddieEinhaltungdergetroffenentechnischenundorganisatorischenMaßnahmenzuüberzeugen.BloßesVertrauen,dassderAuftragnehmermitdenihmüberlassenenDatenordnungsgemäßumgehenwird,istnichtausrei-chend.BeiBeachtungdererforderlichenSorgfalthättederMedizi-nerdenUmfangseinerPflichtenalsAuftraggebererkennenunddieunbefugteDatenübermittlungandenArbeitgeberseinesBekanntenvermeiden können. Die Landesbeauftragte verhängte gegen denMedizinereinBußgeldinvierstelligerHöhe.

32

33

1 Facebook-FanpagesöffentlicherStellen  34

2 NutzungderSchul-CloudinzweiPilotschulen  36

3 Veröffentlichung personenbezogener Daten im RahmenderKommunal-undLandtagswahl  38

4 Überprüfung der Datenschutzinformationen in ausgewähltenArztpraxen  40

5 Umfrage bei Unternehmen zu Datenschutz-ManagementundPersonaldatenverarbeitung  41

II Anlasslose Prüfungen

34

1 Facebook-Fanpages öffentlicher Stellen

ImletztenTätigkeitsbericht6hattenwireinUrteildesEuropäischenGerichtshofs7 vorgestellt, nach dem Betreiberinnen und Betreibersogenannter Facebook-Fanpages grundsätzlich im Wege der ge-meinsamenVerantwortung gemäßArtikel 26Datenschutz-Grund-verordnung eine Mitverantwortung für beim Betrieb anfallendeDatenverarbeitungsprozesse tragen.Weiterhinhabenwirdiezahl-reichenrechtlichenundpraktischenProblemeaufgezeigt,denenderBetrieb einer Facebook-Präsenz aus datenschutzrechtlicher Sichtbegegnet.Wirhattenangemahnt,dassBetreiberinnenundBetreibervonFacebook-Seitenzuprüfenhaben,obderBetriebdieserSeiteunterdenBedingungendergemeinsamenVerantwortunggerecht-fertigtwerdenkann.AußerdemhattenwirnachVeröffentlichungderEntscheidungimJuni2018dieMinisteriendesLandesBrandenburgüberdasUrteilinformiertundaufdierechtlichenKonsequenzenimZusammenhangmit derUnterhaltung einer Fanpage hingewiesen.Auchbatenwirdarum,die jeweilsnachgeordnetenBehördenent-sprechendzuinformieren.

ImBerichtsjahrhabenwirdamitbegonnen,unterBerücksichtigungdersichweiterentwickelndenRechtsprechungundderHinweisederKonferenz der unabhängigen Datenschutzaufsichtsbehörden desBundes und der Länder (Datenschutzkonferenz) zu prüfen, ob dieAnforderungenandenFanpage-BetriebbeiöffentlichenStellendesLandeseingehaltenwerden.ZudiesemZweckhabenwirimRahmenunsererKontrollbefugnisseeineReihevonBehörden,vondenenwirannahmen,dasssieeineFanpagebetreiben,angeschrieben.

EineStellekonnteglaubhaftdarlegen,dassdieübersieexistierendeFacebook-Seitenichtvonihrselbst,sondernvoneineminteressier-tenDritteneingerichtetwurde.DieseSeiteblieb imWeiterenun-berücksichtigt.NichtberücksichtigthabenwirfernervonFacebookautomatischgenerierteDossierszuweiterenBehörden,dainsoweitderenVerantwortlichkeitnichtgegeben ist.EbenfallsnichtGegen-stand der Untersuchung waren Facebook-Seiten einzelner Amts-oderMandatsträgerinnenund-träger,diediesealsnatürlichePer-sonenbetreiben.

6 Tätigkeitsbericht Datenschutz 2018, IV. 1.7 Urteil des Europäischen Gerichtshofs vom 5. Juni 2018, C-210/16.

35

Mittels eines Fragebogens forderten wir die Verantwortlichenauf darzulegen,wie sie nach dem Stand der Rechtsprechung ihrePflichtenausdergemeinsamenVerantwortungwahrzunehmenbe-absichtigen, auf welcher Rechtsgrundlage die DatenverarbeitungvorgenommenwirdundwelcheAbredensiemitFacebooküberdieVerteilungderzuerfüllendenPflichtengetroffenhaben.

DieAuswertung der Stellungnahmenwird indes noch Zeit inAn-spruchnehmen,dainzwischenneueRechtsprechungvorliegt,wel-chesichzwarnichtunmittelbarmitFanpagesbeschäftigt,aberden-nochEinflussaufdenUmfangderPflichtenderBetreiberinnenundBetreiberhabenkann.SohatderEuropäischeGerichtshofineinemUrteil8 seine Ausführungen zum Rechtsinstitut der gemeinsamenVerantwortung präzisiert. Der Sachverhalt des vor-liegendenUrteilsundderunsererPrüfungzugrundeliegendesindallerdingsnichtvollständigvergleichbar.DennimaktuellenUrteilistStreitgegenstandnureinaufeinerWebseiteeingebundenessog.SocialPlugin(auch “Facebook-Button“).Dennoch lassen sich ein-zelne Überlegungen des Gerichts auch auf Fanpa-gebetreiberinnen und -betreiber übertragen. HierzuläuftdieKlärunginnerhalbderGremienderDatenschutzkonferenz,anderwirunsaktivbeteiligen.

WirsindjenseitsderbereitsimTätigkeitsberichtDatenschutz2018benanntenrechtlichenEinzelfragenüberzeugt,dassöffentlicheStel-lenaufgrundihrerbesonderenBindunganRechtundGesetzdieNut-zerinnenundNutzer,diesichüberihreTätigkeitinformierenwollen,nichtindieLagebringensollten,ihreDatenanFacebookübermittelnzumüssen.Esistdaranzuerinnern,dass–wieetlicheNachprüfun-genverschiedenster in-undausländischerStellenklarergebenha-ben–dieVerarbeitungspraxisvonFacebookbewusstintransparentorganisiert ist.Das derzeitigeGeschäftsmodell desUnternehmensschließtesgrundsätzlichaus,dieÜbermittlungvonNutzerdatenzurVerarbeitungdurchFacebookzuWerbezweckensowiedieseVerar-beitungselbstinEinklangmitdemgeltendeneuropäischenRechtzubringen.AneinemsolchenSystemsolltensich–ganzabgesehenvonallenEinzelfragen,diesichausdergemeinsamenVerantwortunger-geben–öffentlicheStellenmitihrerVorbildfunktionnichtbeteiligen.

8 Urteil des Europäischen Gerichtshofs vom 29. Juli 2019, C-40/17.

Facebook-Fanpages weiter in der Diskussion

36

2 Nutzung der Schul-Cloud in zwei Pilotschulen

Bereits in unserem vorletzten Tätigkeitsbericht9 informierten wirausführlichüberunsereBeratungenanlässlichderEinführungvonOnline-LernplattformenanSchulensowieüberdierechtlichenVor-aussetzungen.ImRahmeneinesvomBundesministeriumfürBildungund Forschung geförderten Projekts entwickelt das Hasso-Platt-ner-Institut in Potsdam eine solche cloudbasierte Lernplattform(Schul-Cloud). Die erste bundesweite Pilotphase beschränkte sichaufMINT-EC-Schulen.MINT-EC ist das nationale Excellence-Net-zwerkvonSchulenmitSekundarstufeIIundausgeprägtemProfilinMathematik, Informatik,NaturwissenschaftenundTechnik (MINT).VondenbrandenburgischenMINT-EC-SchulennehmenbisherfünfGymnasienandiesemPilotprojektteil.

Neben dieser bundesweiten Schul-Cloud existiert in Brandenburginzwischeneine landesspezifischeVariante,andersichmitBeginndesSchuljahres2019/2020insgesamt50Schulenbeteiligen.BeideInstallationen verwenden dieselbe Software. Bei der brandenbur-gischenVariante fandenvorläufige landesspezifische datenschutz-rechtlicheAnpassungenstatt,dieu.a.dieEinwilligungMinderjähri-gerunddasFreigabeverfahrenbetrafen.SomussbeiminderjährigenSchülerinnenundSchülernsichergestelltsein,dassbiszuderenVoll-jährigkeitzusätzlichauchdieElterneinwilligen.

DiebeabsichtigteTeilnahmezahlreicherweitererPilotschulen zumSchuljahr 2019/2020 veranlasste uns, die Umsetzung der techni-schen und organisatorischenMaßnahmen beim Einsatz einer sol-chenSchul-CloudstichprobenartigvorOrtzuprüfen.WirwähltenzweiGymnasienaus,diedieMINT-EC-Cloudnutzen.DierechtlichenAnforderungen(wiez.B.dasEinwilligungserfordernisderElternbeiminderjährigenSchülerinnenundSchülerninBrandenburg)konntenhiernichtvollständigeingehaltenwerden,weilessichbeidieserVer-sionumeinebundesweiteAnwendunghandelt.ImErgebnisunsererPrüfungistvorgesehen,sämtlicheMINT-EC-SchulendesLandesindiebrandenburgischeVariantederSchul-Cloudzuübernehmen.

9 Tätigkeitsbericht 2016/2017, B 13.1.1.

37

InZusammenarbeitmitderLandesbeauftragtenhatdasHasso-Platt-ner-InstitutdenteilnehmendenSchulenMusterallererforderlichendatenschutzrechtlichen Unterlagen zur Nutzung der Schul-Cloud(Einwilligungserklärungen, Vertrag zur Auftragsdatenverarbeitungnach Artikel 28 Datenschutz-Grundverordnung, Verzeichnis derVerarbeitungstätigkeitenetc.)zurVerfügunggestellt.DieseMusterwarendurchdieSchulleitungenschulspezifischzuergänzenundan-zupassen.DarüberhinausmusstensiedieVerträgemitdemHasso-Plattner-InstitutschließenunddieFreigabefürdasVerfahrennachdemBrandenburgischenDatenschutzgesetzerklären.

ImErgebnisunsererPrüfungenstelltenwir fest,dassdieAnforde-rungen an eine ordnungsgemäße Dokumentationzwargrundsätzlicherfülltwaren,jedochdienotwen-digen, individuellen datenschutzrechtlichen Umset-zungsschritte durch die Verantwortlichen teilweiseunterbliebensind.DenSchulenkonntenichtzugute-gehaltenwerden, dass sichdasProjekt noch in derPilotphasebefindet,denndiedatenschutzrechtlichenAnforderungensindbereitsvordererstenNutzungzuerfüllen.

Kritisch sahenwir auch den so genannten „Lernstore“ der Schul-Cloud,deraufexterneAnbieterinnenundAnbietervonLerninhaltenweiterleitet,die jedochnicht in jedemFall selbstdiedatenschutz-rechtlichenAnforderungen einhalten.Wir haben das Hasso-Platt-ner-Institutaufgefordert,dieseVerweisezudeaktivieren.ZukünftigsollennursolcheexternenAngebotefreigeschaltetwerden,dievomMinisteriumfürBildung,JugendundSportfreigegebenwurden.

DieDatenverarbeitungfürdieNutzungderSchul-Cloudbasiertzur-zeitaufeinerfreiwilligenEinwilligungderSchülerinnenundSchülerbzw.ihrerEltern.Dieseistjedochjederzeitwiderruflich,mitderFol-ge,dassdiebetroffenenKinderundJugendlichendiePlattformnichtmehrnutzendürften.Wirhattendeshalbmehrfachangeregt,eineRechtsvorschrift im Brandenburgischen Schulgesetz zu verankern,umeinerechtssichereBefugnisnormfürdieDatenverarbeitung imKontextvonOnline-Lernplattformenzuschaffen.

Lernplattformen in Schulen auf dem Vormarsch

38

3 Veröffentlichung personenbezogener Daten im Rahmen der Kommunal- und Landtagswahl

Im letztenTätigkeitsbericht10habenwirübereinedurchunsange-regteEntschließungdes LandtagesvomApril 2018berichtet.Da-rinwird die Landesregierung aufgefordert, die Landes- und Kom-munalwahlverordnung dahingehend zu ändern, in öffentlichenWahlbekanntmachungennichtmehrdievollständigeAnschrift der WahlbewerberinoderdesWahlbewerbers,sondernnurnochderenbzw.dessen–unzweifelhaftauchfürdieWahlentscheidungrelevan-ter–Wohnortanzugeben.DieserAufforderungistdieLandesregie-rungmitErlasszweierVerordnungen11gefolgt.

DieKommunalwahlenam26.Mai2019sowie–inweitgeringeremMaße–dieLandtagswahlam1.September2019brachtendennocheinegroßeAnzahlvonBeschwerden,AnzeigenundHinweisenbeiderLandesbeauftragtenmitsich.SiebetrafenganzüberwiegenddieFrage, welche personenbezogenen Daten der Kandidatinnen undKandidatenvonderInternet-Veröffentlichungnach§98aBranden-burgischesKommunalwahlgesetzumfasstsind.

ZunächsterhieltenwirinerheblichemUmfangMeldungenvonLand-kreisen,kreisfreienStädten,ÄmternundGemeindennachArtikel33Datenschutz-Grundverordnung, dass Internet-VeröffentlichungenvonWahlbewerberdatenentgegendenneuenVorschriftenerfolgtwaren. Daneben erreichten uns Beschwerden von KandidatinnenundKandidatenundAnzeigenausderBevölkerungzumselbenPro-blem.SoweitgegendieneuenVorschriftenzurVeröffentlichungderAnschriftvonWahlbewerberinnenund-bewerbernverstoßenwur-de,beriefensichdieGemeindendarauf,dasssievonderÄnderungderVorschriftennochkeineKenntnishatten.DievonderLandesre-gierungimZugederÄnderungenversandtenRundschreibenwarenoffenbarnichtüberallzurKenntnisgenommenworden.

10 Tätigkeitsbericht Datenschutz 2018, V 1.5.11 Dritte Verordnung zur Änderung der Brandenburgischen Kommunalwahl-

verordnung vom 26. Oktober 2018 (GVBl. II Nr. 71), Zweite Verordnung zur Änderung landeswahlrechtlicher Vorschriften vom 22. März 2019 (GVBl. II Nr. 23).

39

Wir nahmen die hohe und kaum handhabbare Anzahl von Mel-dungen,BeschwerdenundAnzeigensowiedenUmstand,dassdiefehlerhaftenVeröffentlichungenoffenkundigganzüberwiegendda-raufberuhten,dassdieVerantwortlichensichdergeändertenVor-schriftennichtbewusstwaren,zumAnlass,eineUmfrageunterdenGemeindenmitderBitteumPrüfungdurchzuführen.Wirgingen–wiesichherausstellte,zuRecht–davonaus,dassGemeinden,diewiraufdieProblematikhinweisen,einenmöglicheneigenenFehlerinangemessenerZeitselbstkorrigieren.

NachdenKommunalwahlenerhieltenwirBeschwerdenvonPerso-nen, die einenWahleinspruch geltend gemacht hatten, aber nichtnamentlich indenVeröffentlichungenderGemeindegenanntwer-denwollten.ZuständigfürdiePrüfungvonWahleinsprüchenistdieGemeindevertretung, die darüber in öffentlicher Sitzung entschei-det.

Gemäß § 36 Absatz 4 Brandenburgische Kommunalverfassung (BbgKVerf) hat jeder dasRecht, Beschlussvorlagen der in öffentli-chenSitzungenzubehandelndenTagesordnungspunkteeinzusehen.GemäßSatz2derVorschriftkanndieHauptsatzung„dasNäherere-geln“–alsoauchbestimmen,dassdiesevorderSitzungonlinezurVerfügungstehen.

WirvertretendieAuffassung,dassinsbesonderebeiderVeröffent-lichungvonBeschlussvorlagenimInternetVorsichtgebotenist.DasverwendeteFormularsolltenurinsoweitpersonenbezogeneDatenenthalten,wie dies zurVorbereitung auf die SitzungunddasVerständnisdesVorgangserforderlichist.Diesumfasst unzweifelhaft Gegenstand und BegründungderBeschwerde, regelmäßig aber nicht ihreUrhebe-rinoderihrenUrheber.EinenAnspruchaufEinblickinAnlagenzudenBeschlussvorlagen–z.B.indieunge-schwärzten Originalschreiben von Einspruchsführen-den–durchdieÖffentlichkeitvermittelt§36Absatz4BbgKVerfnachunsererÜberzeugungnicht.DieslässtdieBefugniszurEinsichtinallepersonenbezogenenDatendurchmitderVorlagebefassteMitgliederderGemeindevertretungensowiedieGemein-deverwaltungimRahmenderErforderlichkeitzurAufgabenerfüllungselbstverständlichunberührt.

Datensparsamkeit auch im Rahmen von Wahlen

40

§39Absatz3BbgKVerfbestimmt,dassBeschlüssederGemeinde-vertretungoderderenwesentlicherInhaltinortsüblicherWeisederÖffentlichkeit zugänglich zu machen sind. Eine Online-Veröffent-lichung – auch im öffentlich zugänglichenTeil eines Ratsinforma-tionssystems– istunbestrittenmöglichund imSinnederTranspa-renzauchzubegrüßen.Auchinsoweitsolltejedochkritischgeprüftwerden,obNamenundsonstigepersonenbezogeneDatenvonEin-spruchsführendenwirklichzumwesentlichenInhaltdesBeschlussesgehören.Aus hiesiger Erfahrung ist dies beiWahleinsprüchen re-gelmäßigzuverneinen,dagrundsätzlichGründefürdenEinspruchgeltendgemachtwerden,dieauchandereBürgerinnenundBürgerhättenvorbringenkönnen.DiesgiltbesondersfürdiedenWahlein-sprüchenoftzuentnehmendenweiterenKontaktdaten.SelbstwennesausnahmsweiseaufdenNamendereinspruchsführendenPersonankommensollte,wäreinderSitzung,inderüberdenEinspruchent-schiedenwird, inBetracht zu ziehen, ob zurWahrungderRechteeineNamensnennungtrotzdemunterbleibenmuss.

InbeidenPhasenderVeröffentlichung,alsovorundnacheinerWahl,istessomitnotwendig,dassdieVerantwortlichendasGebotderEr-forderlichkeiteinerVeröffentlichungfürdasVerständnisdesSach-verhaltsimAugebehalten.

4 Überprüfung der Datenschutzinformationen in ausgewählten Arztpraxen

VeranlasstdurchzahlreicheAnfragenvonMedizinerinnenundMe-dizinern,diesichnachWirksamwerdenderDatenschutz-Grundver-ordnung (DS-GVO)erkundigten,wie sie ihre InformationspflichtenalsVerantwortlicheerfüllensollen12,batenwirausgewähltePraxenindenkreisfreienStädten,unseinExemplarihrerDatenschutzinfor-mationnachArtikel13,14DS-GVOfürihrePatientinnenundPati-entenzuüberlassen.

EtwadieHälftedervorgelegtenUnterlagenerfülltedieAnforderun-genderDatenschutz-Grundverordnung.Meist nutztendieseArzt-praxenMusterformulare. Soweitwir bei denDatenschutzinforma-tionenVerbesserungsbedarf erkannten, bestanddieser z.B. darin,dass unzureichende Informationen mit Einwilligungserklärungen

12 Tätigkeitsbericht Datenschutz 2018, I 2.4.

41

vermischtwurden.AufgrundunsererBeratungwurdenbeideFormu-lareentsprechenddengesetzlichenAnforderungenseparatgefasst.

MehrfachsahendieDatenschutzinformationenvor,dassBehandeltediesenzustimmenodersieals„gelesenundverstanden“bestätigensollten.WirwirktenaufdasStreichensolcherErklärungenbzw.Be-stätigungenhin,dadiePatientinnenundPatientennichtverpflichtetsind,die Informationen zurKenntnis zunehmenoder ihnen zuzu-stimmen.

Ein Informationsblatt benannte als DatenschutzaufsichtsbehördedieeinesanderenBundeslandes.AufgrundunseresHinweiseswur-dedieAngabegeändert.

Am Rande der Prüfung stelltenwir fest, dass gelegentlich Einwil-ligungen in die Speicherung oder Verarbeitung der Daten zu Be-handlungs-oderAbrechnungszweckenerbetenwurden.Wirwiesendaraufhin,dassdiezivilrechtlicheDokumentationspflichtderMedi-zinerinnenundMedizinerunabhängigvomWillenderPatientinoderdes Patienten besteht. Bereits die Datenschutz-Grundverordnungsieht eine datenschutzrechtliche Befugnis für dieVerarbeitung zuBehandlungszwecken grundsätzlich vor.Auch regelt das Sozialge-setzbuch–jedenfallsbeigesetzlichVersicherten–dieÜbermittlun-genzuAbrechnungszwecken.Insgesamtkonntenwiranlässlichun-sererUmfragediePraxisinhaberinnenund-inhabersensibilisierenzuprüfen, inwelchenFälleneineEinwilligungserklärungoderEntbin-dungvonderärztlichenSchweigepflichttatsächlichnotwendigist.

5 Umfrage bei Unternehmen zu Datenschutz-Management und Personaldatenverarbeitung

GroßeIndustrieunternehmenimLandsindbezogenaufdieAnzahlihrerMitarbeiterinnenundMitarbeiterhinsichtlichderbeiunsein-gehendenBeschwerdenzurVerarbeitungpersonenbezogenerDatender Beschäftigten deutlich unterrepräsentiert.Wir haben deshalbim Berichtszeitraum eine Umfrage unter derartigen Unternehmendurchgeführt,umunseinenEindruckvonderdortigenUmsetzungderAnforderungenderDatenschutz-Grundverordnung(DS-GVO)zuverschaffen.Wirwähltenstichprobenartiginsgesamt15Unterneh-menaus,dieaufdenInternetseitendesWirtschaftsministeriumsundderWirtschaftsförderungBrandenburgGmbHals„Leuchttürme“im

42

Landbenanntwerden.SieentstammendenBranchenBergbauundKraftwerke, metallerzeugende und metallverarbeitende Industrie,Turbinentechnik, Fahrzeugbau, chemische und optische Industrie.InsgesamtarbeitenindenausgewähltenUnternehmenüber28.000Beschäftigte.

AlleBeteiligtenerhielteneinenFragebogenzumDatenschutz-Ma-nagementundzurPersonaldatenverarbeitung imUnternehmen. IninsgesamtsechsThemenkomplexensolltensiesichz.B.zumDaten-schutzbeauftragten, zur Datenschutzorganisation, zur Sensibilisie-rungvonBeschäftigten fürdenDatenschutz, zudeneingesetzten(automatisierten)VerfahrenderPersonalverwaltung,derLohn-undGehaltszahlungsowiederZeitwirtschaft,zutechnischenundorga-nisatorischenMaßnahmenimUnternehmensowiezurAuftragsver-arbeitungäußern.WirbatendarüberhinausumAuszügeausdem

VerzeichnisderVerarbeitungstätigkeitenzurPersonaldatenverarbeitung sowie um eineKopie der Informationen für BeschäftigtenachArtikel13DS-GVO.

ZweiDrittelderUnternehmenantworteteninnerhalbder gesetztenFristvonvierWo-

chen.NacheinerweiterenWoche lagenuns80%derAntwortenvor.IneinemUnternehmenwarunserSchreibenmitdemFragebo-genzunächstverlorengegangen–dieAntworterreichteunsnach12Wochen.IneinemweiterenFalltrugdasUnternehmenvor,alsreinerProduktionsstandortkeineeigenenEntscheidungenzuMittelnundZweckenderVerarbeitungpersonenbezogenerDatenzutreffenundverwiesaufdieKonzernzentraleineinemanderenBundesland.WirbesprachendenSachverhaltmitdenKollegenderdortigenDaten-schutzbehördeundstimmtenzu,dieFragenkonzernweitundzentralunterderenAufsichtzuklären.

AlleUnternehmenhatteneineDatenschutzbeauftragtebzw.einenDatenschutzbeauftragtenbenannt. InetwaeinemDrittelderFällewarsiebzw.erimUnternehmenselbstbeschäftigt,beieinemwei-terenDrittel ineinemanderenUnternehmenderGruppebzw.desKonzerns angestellt. Die verbleibenden Unternehmen hatten ei-nenexternenDienstleistervertraglich gebunden, umdieFunktionderbzw.desDatenschutzbeauftragtenauszulagern.AllebefragtenUnternehmenveröffentlichtenentsprechenddergesetzlichenVor-schriftendieKontaktdatenihrerBeauftragten.

Große Unternehmen gut aufgestellt?

43

Circa die Hälfte der benannten Datenschutzbeauftragten hatteeinejuristischeBerufsausbildung,dieandereHälfteentwederei-nentechnischenodereinenbetriebswirtschaftlichenHintergrund.AlleBeauftragtenbesuchtenDatenschutzfortbildungen,zumTeilerwarbensieeinZertifikat.EinDrittelvonihnenführteimUnter-nehmenoderinderUnternehmensgruppeauchandereAufgabenaus;Interessenskonfliktewarenfürunsdabeijedochnichtoffen-sichtlich.

Positiv hervorzuheben ist, dass es in allen befragtenUnterneh-menzentraleRichtlinienzumDatenschutz,zurEinbeziehungderbzw.desDatenschutzbeauftragtensowiezumUmgangmitAus-kunfts-,Berichtigungs-undLöschansprüchenBetroffenergab.Dieganz überwiegende Zahl hatte auch einheitlicheVorgaben zumVerhaltenbeiVerletzungendesDatenschutzesundzurErfüllungder Melde- und Informationspflichten nach Artikel 33 bzw. 34 DS-GVO.Circa80%derUnternehmengaban,Beschäftigteregel-mäßiginFragendesDatenschutzeszusensibilisieren.

AlleUnternehmen,dieanderUmfrageteilnahmen,verarbeitendiePersonalstammdaten,dieLohn-undGehaltsdatensowiedieDa-tenderZeiterfassungautomatisiert.LediglichineinemFallwerdendie Personalakten noch in Papierform geführt, ansonsten domi-niertdieelektronischePersonalakte.ImHinblickaufdievorgeleg-tenAuszügeausdenVerzeichnissenderVerarbeitungstätigkeitengemäßArtikel30DS-GVOistfestzustellen,dassdieMehrzahlderUnternehmensichdarinnuraufdieunbedingterforderlichenIn-formationenbeschränkteundauchderenGranularitätrechtgrobwar,insbesonderebezüglichderKategorienderverarbeitetenDa-ten.EmpfängervonDatenwurdenoftmalsnurexemplarischange-geben;LöschfristenfürDatenlediglichpauschalbenanntundnichtmitkonkretenZeitangabenhinterlegt.GleichesbeobachtetenwirbeidenInformationenfürBeschäftigtenachArtikel13DS-GVO.Hierkamergänzendhinzu,dassinEinzelfällendieRechtsgrundla-genderDatenverarbeitungnichtkonkretbenanntoderdieRech-teBetroffenernachArtikel15ff.DS-GVOungenügenderläutertwurden.EinUnternehmen legtemehrWertaufdieausführlicheDarstellungderAusnahmen,indenenBetroffenekeineAnsprüchegegendenverantwortlichenDatenverarbeiterhaben, als aufdieRechteselbst.

44

Einzelne Unternehmen hatten es versäumt, dieAuszüge aus demVerzeichnisderVerarbeitungstätigkeiten fürdiePersonaldatenver-arbeitungsowiediediesbezüglichen InformationenfürBeschäftig-tebeizulegen,obwohlsieangaben,dassentsprechendeUnterlagenvorliegen.Wirwerden insoweitumeineErgänzungderAntwortenbitten.

HinsichtlichdertechnischenundorganisatorischenMaßnahmen,dieindenbefragtenUnternehmenbeiderPersonaldatenverarbeitungumgesetztwerden, interessierten uns insbesondereMechanismender Authentisierung von Benutzern, Rollen- und Rechtekonzep-te,dieProtokollierungvonZugriffenunddieVorkehrungenfürdieDatensicherung. Die ganz überwiegende Zahl der UnternehmengabindiesenPunktenzufriedenstellendAuskunft–dieaufgeführ-tenMaßnahmenwarenangemessenundgeeignet,dieRisikenderDatenverarbeitungzubeherrschen.Lediglich inBezugaufdieVer-schlüsselung personenbezogener Daten mussten wir in ungefährderHälfte derUnternehmenNachholbedarf feststellen:Mehrfachwurde angegeben, auf dieVerschlüsselung zu verzichten, obwohlBeschäftigtendatenandieKonzernzentraleoderanexterneDienst-leisterübertragenwurden.Nur57%derUnternehmenverschlüssel-tepersonenbezogeneDatenauchiminternenDatennetz.

ImErgebnisunsererUmfrage ist festzustellen,dassdiebeteiligtenUnternehmengrundsätzlichdieAnforderungenderDS-GVOerfül-len. Einige habenMängel selbst festgestellt und diese bereits be-hoben oder sich realistische Ziele für die Beseitigung gesetzt. IneinzelnenFällenwerdenwiraufdieUnternehmenerneutzugehen,umUnterlagennachzufordernbzw.spezielleDefiziteaufarbeitenzulassen.Auffälligist,dassdiejenigenUnternehmen,dieTeileinerUn-ternehmensgruppe sind,von Synergieeffektendurch zentraleVor-gaben,DokumenteundUmsetzungentechnischeroderorganisato-rischerMaßnahmenerheblichprofitieren.BeiallenBeteiligtenderUmfragebehaltenwirunseineKontrollevorOrtvor.

45

46

47

1 Ermittlungen eines Jobcenters in der Nachbarschaft  48

2 Arbeitsteilung zwischen Ausländerbehörde und privatemWachschutz  49

3 Aushang von Unterschriftenlisten imSchaukasten  51

4 Übermittlung von E-Mail-Adressen durch VersandhändleranPostdienstleister  52

5 Verbreitung von Schadsoftware und Umleitung von E-Mails durch mangelhafte Pflege einesWebservers  53

6 Zwischen Schein und Sein – ein DatenschutzvereinmitDatenschutzmängeln?  55

III Ausgewählte Fälle

48

1 Ermittlungen eines Jobcenters in der Nachbarschaft

Aufgrund einer Beschwerdewurdenwir darauf aufmerksam, dassdasJobcenterOstprignitz-RuppinzurKlärungdesBestehenseinerBedarfsgemeinschaft Zeugenfragebögen an mehrere Nachbarin-nenundNachbarnversandt hat.DieBeschwerdeführenden lebengetrenntundsindElterngemeinsamerKinder.DieBeschwerdefüh-rerinbeziehtSozialleistungen.IndementsprechendenZeugenfrage-bogenwurdennebenderenNamenauchdievollständigenNamender gemeinsamen Kinder genannt. Eine besondere Brisanz erhieltdasVorgehendesJobcentersdadurch, dassmehr als einDutzendPersonenausbeidenWohnortenderElternindemFragebogendazuaufgefordertwurden,teilweiseintimeFragenausderenPrivatlebenzu beantworten; beispielsweise, ob das Schlafzimmer gemeinsamgenutztwerde.EinevorVersendungdesFragebogensdurchgeführteÜberprüfungdurchdenBedarfsermittlungsdienstergab,dasskeineBedarfsgemeinschaftbesteht.DasJobcenterbegründeteseinewei-tergehendenErmittlungendamit, dass es imRahmendesdazuge-hörigen anhängigen Gerichtsverfahrens vom Gericht aufgefordertwordenwar,dieNachbarinnenundNachbarnzubefragen.

Ob eine Bedarfsgemeinschaft besteht und dementsprechend diedaran anknüpfenden Voraussetzungen einer Leistungsgewährungvorliegen,unterliegtdurchausderstaatlichenPrüfung.SoferndemJobcenterkonkreteAnhaltspunktefürdasBesteheneinerBedarfs-gemeinschaftvorliegen, istesberechtigt,eineweitergehendeAuf-klärungzubetreiben.AllerdingsistdieBefugnisdesJobcenterszurErmittlungnichtgrenzenlos.

DieErhebungpersonenbezogenerDatenmittelsZeugenfragebögenmussmitBlickaufdenGrundsatzderDatenminimierungnachArti-kel5Absatz1BuchstabecDatenschutz-Grundverordnung(DS-G-VO) auf das erforderlicheMaß begrenzt sein. Das bedeutet, dassjedeeinzelneangeforderteInformationüberdiebetroffenePersonfürdasJobcenterimRahmenderLeistungsbewilligungunerlässlichseinmuss.AuchdieÜbermittlungpersonenbezogenerDatenderBe-schwerdeführerinunddesBeschwerdeführersanDrittemusswe-gendesSozialgeheimnissesnach§35ErstesBuchSozialgesetzbuch(SGBI)aufdasErforderlichebeschränktbleiben.DasJobcenterhatdieseGrenzeerheblichüberschritten.

49

DieVorgehensweise,zahlreichePersonen inmehrerenWohnortenundmehrerenHausaufgängenzubefragen,vermittelteunsdenEin-druck, dass dasJobcenterPersonen in derNachbarschaft derBe-schwerdeführerinunddesBeschwerdeführersnichtgezieltfüreineZeugenbefragungausgewählthat, sonderneherwahllosmöglichstvieleInformationenzumVorliegeneinerBedarfsgemeinschafterhal-tenwollte.

DasJobcenterhatkeineausreichendedatenschutzrechtlicheAbwä-gungvorVersendungderZeugenfragebögenvorgenommen.DennunabhängigvonrichterlichenVorgabenhatesbeiseinerPrüfungs-pflichtdieGrenzenderErforderlichkeitzuwahren.AuchdieÜber-mittlungvon personenbezogenenDaten der gemeinsamenKinderwarzurKlärungderFragedesVorliegenseinerBedarfsgemeinschaftnicht erforderlich, zumal gerade Kinder nach der Datenschutz-GrundverordnungzueinembesondersschützenswertenPersonen-kreiszählen.

DahererfolgtedieBefragung sämtlicherNachbarinnenundNach-barndurchdasJobcenternichtzielgerichtet,sondern„insBlauehi-nein“ undwürde bei einer in gleicherWeise durchgeführten Zeu-genbefragungwegen derAnzahl der befragten Personen und desUmfangsdererfragtenundübermitteltenInformationenausdaten-schutzrechtlicher Sicht voraussichtlich als unzulässig zu bewertensein.Aufgrund der festgestelltenMängel beabsichtigt die Landes-beauftragte,gegenüberdemJobcentereineWarnungnachArtikel58Absatz2BuchstabeaDS-GVOauszusprechen,umdasJobcenterdamitaufzufordern,künftigvonseinerüblichenPraxisAbstandzunehmen. Zum Zeitpunkt des Redaktionsschlusses dieses BerichtswardasVerfahrennochnichtabgeschlossen.

2 Arbeitsteilung zwischen Ausländerbehörde und privatem Wachschutz

DurcheineBeschwerdehabenwirerfahren,dassinderAusländer-behörde des Landkreises Potsdam-Mittelmark personenbezogeneDatenvonAusländerinnenundAusländerndurchBeschäftigtedesvorOrtvomLandkreiseingesetztenprivatenWachschutzunterneh-mensvermutlichohnerechtlicheBefugnisverarbeitetwurden.EinedaraufhindurchgeführteunangekündigteVor-Ort-PrüfunghatdenInhaltdieserVermutungbestätigt.Wirstelltenfest,dassMitarbei-terinnenundMitarbeiterdesWachschutzunternehmensbereitsvor

50

dem Eingang eine Art „Einlasskontrolle“ durchführten, KundinnenundKundenaufforderten,ihreAusweisevorzuzeigenundanschlie-ßendWartenummern ausgaben. Auch imWartebereich verlangtederWachschutzbeständigAusweispapierezurAnsicht.ErgingaufAnliegenderKundinnenundKundeneinundbeantworteteFragen.

IneinemFallkonntenwireinefachlicheBeratungdurcheinenWach-schutzmitarbeiterunmittelbarmitverfolgen,beiwelchererAuskunftüber die Unzuständigkeit der hiesigen Ausländerbehörde erteilteundstattdessendiefürdasAnliegenderKundinzuständigeBehör-denannte.Wirkonntenebenfallsbeobachten,wiederWachschutzmehrfachpersönlicheUnterlagenansichnahm,umdiesezukopie-renundminutenlangdamitverschwand.

Wiederholtwarauchzubeobachten,dassBeschäftigtedesWach-schutzunternehmensdiezuvorerhaltenenDokumenteden jeweilszuständigen Sachbearbeiterinnen und Sachbearbeitern übergaben.Diese routiniert wirkende Interaktion zwischen Wachschutz undAusländerbehörde zeigte, wie eng die Arbeitsabläufe verknüpftwaren. In einer anschließenden Stellungnahme teilte uns dieAus-länderbehördezudemmit,dasssieüberdiedatenschutzrechtlichenMissständeinFormderunzulässigenDatenverarbeitungdurchdasprivateUnternehmenbereitsinformiertgewesensei.

DerunsvorgelegteVertragzwischendemLandkreisunddemWach-schutzunternehmenbelegteendgültig,dassdasUnternehmenkei-nerleiBefugnisseimBereichderDatenverarbeitungbesitzt.Essolllediglich die Sicherheit in der Ausländerbehörde gewährleisten.DerVertragenthieltkeineRegelung,welchedieBeschäftigtendesWachschutzeszurVerarbeitungpersonenbezogenerDatenderKun-dinnenundKundeninderAusländerbehördeberechtigenwürde.SieobliegtausschließlichdenjeweilszuständigenSachbearbeiterinnenundSachbearbeitern.

DieBeschäftigtendesWachschutzeshabenihrevertraglichfestge-legtenKompetenzenmitWissenderAusländerbehördeweitüber-schritten. Dementsprechendwaren dieses arbeitsteiligeVorgehensowiedessenDuldungdurchdenLandkreisausdatenschutzrechtli-cherSichtunzulässig.ImErgebnisbeabsichtigtdieLandesbeauftrag-te,denLandkreisdeswegennachArtikel58Absatz2BuchstabebDatenschutz-Grundverordnung zu verwarnen. Zum Zeitpunkt des

51

RedaktionsschlussesdiesesBerichtsbefindetsichdasVerfahreninderPhasederAnhörung.

3 Aushang von Unterschriftenlisten im Schaukasten

ZuBeginndesBerichtsjahresinformierteunseineBürgerin,imBe-reichderAmtsverwaltungBritz-Chorin-OderbergfindeeineAusei-nandersetzungzwischenderVerwaltungundeinzelnenBürgerinnenundBürgernumdasSchicksaleinergemeindlichenImmobiliestatt.DieBeschwerdeführerinhattegemeinsammitanderenindieserSa-che eine Stellungnahme verfasst, zu deren Unterstützung Namenund Unterschriften Gleichgesinnter gesammelt und Stellungnah-me sowie Unterschriftenliste in der Amtsverwaltung abgegeben.DieVerwaltunghattedaraufhineineEntgegnungverfasstundmitdieser auchdieStellungnahmederBeschwerdeführerinnebstUn-terschriftenlisteimMitteilungskastendesbetroffenenOrtsteilsver-öffentlicht.AufDrängenderInitiatorinnenundInitiatorenderStel-lungahmeundnacheinemBericht ineinerLokalzeitungwurdedieVeröffentlichungderUnterschriftenlistenachwenigenTagenwiederzurückgenommen.

WirbatendasAmtumAuskunft,insbesondereumBestätigungoderKorrektur des Sachverhalts. In der Sache legtenwir dar, dass dasAmtzwareinumfassendesMandatgemäߧ13BrandenburgischeKommunalverfassung(BbgKVerf)hat,dieBevölkerungeffektivüberwichtigeGemeindeangelegenheitenzuinformieren.Wirbezweifel-ten jedoch, dass der Aushang der Unterschriftenliste erforderlichwar. Zwar handelt es sich bei einerUnterschriftenkampagne, denmit ihrverfolgtenZielenunddemZuspruch, den sie erhaltenhat,ohneWeiteres um einewichtige Gemeindeangelegenheit. JedochgenügtzurInformationüberdenUmfangderUnterstützungdurchdieBürgerinnenundBürgerregelmäßigdieAngabederGesamtzahlder(validen)UnterschriftenohneNamensnennung.

AusderAntwortdesAmteswurdedeutlich,dassdieVeröffentlichungursprünglich–biszuihrerRücknahme–aufeineEinwilligungnachArtikel6Absatz1BuchstabeaundArtikel7Datenschutz-Grund-verordnung (DS-GVO) gestützt werden sollte. Die Unterschrei-bendenhättendadurch,dass sieunbestrittenoffensiv, z.B.durchMedienkontakte, indieÖffentlichkeit getreten seienunddasAmtausdrücklichzueinerStellungnahmebewegenwollten,signalisiert,

52

dasssieoffenbargegenüberdenInitiatorinnenundInitiatorenaucheinEinverständnisodergardenWunschgeäußerthätten,dassihreDatenimSchaukastenveröffentlichtwerden.AusdenvorliegendenMaterialienergabsicheinHinweisaufeinesolcheWillenserklärungindesnicht.DasAmtsahdaseigeneHandelninderRückschauselbstkritisch.

InErmangelungeinergesetzlichenRechtsgrundlagekannauskon-kludentemVerhaltennichtaufdasVorliegeneinerEinwilligungge-schlossenwerden.EinesolchebedarfvielmehreineraktivenHand-lung. Der bloße, auch erkennbare und aktiveWille dazu, das miteinerUnterschriftenlisteverfolgteSachthema inderÖffentlichkeitzuhalten,istnichtausreichendfüreineEinwilligungindieVeröffent-lichungpersonenbezogenerDaten.DadasAmtallerdingsbereitsimAntwortschreibenzuerkennengegebenhatte,dassUnterschriften-listen in Zukunft datenschutzkonform behandelt werden und derAushangnur fürverhältnismäßigkurzeZeit erfolgtwar, sahenwirvonMaßnahmenabundbatenlediglichabschließendumMitteilung,wie in Zukunftmit gleichgelagerten Fällen umgegangenwird.DasAmtteiltedaraufhinmit,dassPetitionennurnochinderFormver-öffentlichtwürden,dassdieAnzahlderUnterschreibendenundggf.derGradihrerBetroffenheit(z.B.„Anwohner“)erkennbarseinwer-de.FüreinweitergehendeVeröffentlichungen,soweitsienichtand-erweitiggesetzlichvorgesehensind,würdeninZukunftinformierteEinwilligungeneingeholt.

4 Übermittlung von E-Mail-Adressen durch Versandhändler an Postdienstleister

Im Rahmen der Abwicklung von Online-Bestellungen werden E-Mail-Adressen zunächst für die allgemeine Kommunikation mitdenKundinnenundKundenverwendet,beispielsweiseumBestell-bestätigungen, Rechnungen und nicht zuletzt Versandbestätigun-gen elektronisch versenden zu können. Darüber hinaus übermit-teln einigeHändlerinnen undHändler die zurVerfügung gestellteE-Mail-Adresse jedoch auch an dasmit demVersand beauftragtePostdienstleistungsunternehmen.Dies erfolgt regelmäßigmit demZiel,KundinnenundKundendetailliertere InformationenüberdenSendungsverlaufunddasavisierteZustelldatumzurVerfügungstel-lenzukönnen.ZuderÜbermittlungderE-Mail-AdressenerreichtenunsimBerichtszeitraumwiederholtBeschwerden.

53

Wie jede Verarbeitung personenbezogener Daten erfordert aucheinesolcheÜbermittlungderE-Mail-AdresseeineRechtsgrundlage,zumal demPostdienstleistungsunternehmen in diesenFällennichtnurdiese,sondernauchNameundAnschriftderEmpfängerinoderdes Empfängers vorliegen. Die Verantwortlichen argumentiertenregelmäßig,dassdieInformationüberdenSendungsstatusauchimInteresse der EmpfängerinnenundEmpfänger liege, etwaumdenErhaltderSendungamTagderZustellungentsprechendorganisie-renzukönnen.Verkanntwirddabeijedoch,dassdieZustellinforma-tionauchunmittelbardurchdenOnlinehandelselbstweitergegebenbzw.einLinkzurSendungsverfolgungindieVersandbestätigungein-gebundenwerdenkann.DiesstellteineobjektivzumutbareAlterna-tivezurÜbermittlungandaszustellendeUnternehmendar,weshalbesbereitsanderErforderlichkeitderVerarbeitungzurWahrungbe-rechtigter InteressendesVerantwortlichenfehlt.DieÜbermittlungkanninsoweitnichtaufArtikel6Absatz1BuchstabefDatenschutz-Grundverordnunggestütztwerden.SoferndieKundinoderderKun-deeinederartigeÜbermittlungwünscht,kommtalsRechtsgrundlagenureinevorherige,informierteEinwilligunginBetracht.

EineÜbermittlungohnetragfähigeRechtsgrundlagestelltdagegeneinen bußgeldbewährten Verstoß dar. Über die Einleitung einesOrdnungswidrigkeitenverfahrens entscheidet die Bußgeldstelle imjeweiligenEinzelfall.

5 Verbreitung von Schadsoftware und Umleitung von E-Mails durch mangelhafte Pflege eines Webservers

DieSoftwareDrupalisteinquelltextoffenesContentManagementSystem (CMS)zurErstellungundPflegevonWebsites.EndeMärz2018wiesendieEntwicklerinnenundEntwickleraufeinekritischeSicherheitslücke in ihrerSoftwarehin, stelltenUpdatesbereitundempfahlenVerantwortlichen,ihreInstallationenmöglichstschnellzuaktualisieren.BetroffenwarenlautMitteilungmehralseineMillionWebsitesweltweit.DieSicherheitslückeermöglichteesAngreifen-den,mit geringemAufwandSchadcode in eineDrupal-Installationeinzuschleusen,diegesamteWebsiteunddaszuGrunde liegendeServersystem zu kompromittieren, Daten von dort auszulesen, zumodifizierenoderzu löschen.Siewarderart schwerwiegend,dasssogarfürsehralteSoftwareversionen,dieoftmalsnoch imEinsatzwaren,einUpdatebereitgestelltwurde.

54

Im November 2018 meldete uns ein brandenburgisches Unter-nehmen eine Verletzung des Schutzes personenbezogener DatengemäßArtikel33Datenschutz-Grundverordnung (DS-GVO)–eineso genannte Datenpanne. Die auf dem CMS Drupal basierendeWebsite des Unternehmens wurde derart kompromittiert, dass

einerseits Daten der Nutzerinnen und Nut-zer (z. B. Anmeldungen fürVeranstaltungen)sowie administrative Daten (z. B. zur Pfle-ge der Website) ausgelesen werden konn-ten. Weiterhin war eine unbefugte Modifi-kation der Serverkonfiguration aufgefallen,wodurch ausgehende E-Mails über andereSysteme umgeleitet wurden. Andererseits

gelanges imZugedesAngriffs,dieWebsitesozuverändern,dassbei jedem Besuch automatisch eine Schadsoftware herunterge-laden und ausgeführt wurde. Diese Schadsoftware zweckent-fremdete die Computer der Nutzerinnen bzw. Nutzer, indem siediese für komplizierte Berechnungen im Kontext digitaler Wäh-rungen (das so genannte Schürfen oder Crypto Mining) miss- brauchte.

FestzustellenwareninsoweitalsoVerletzungenbzw.zumindester-hebliche Gefährdungen der Vertraulichkeit, Integrität undVerfüg-barkeit bei der Verarbeitung personenbezogener Daten über dieWebpräsenzdesUnternehmens.FürBesucherinnenundBesucherderWebsitekamhinzu,dassdurchdasunbefugteSchürfendigitalerWährungenderenphysikalischeRessourcenwiderrechtlichgenutztwurdenundeszueinemerheblichenVerlustanLeistungenbzw.zueinemdauerhaftenAusfallvonHardwarehättekommenkönnen.

BereitsinderMeldungderDatenpanneteiltedasUnternehmenmit,dassvermutlich einversäumtes SoftwareupdateUrsache desVor-fallsgewesenist.AufunsereNachfragehinstelltesichheraus,dassdermitderWartungbeauftragteexterneIT-DienstleisterdasCMSDrupalbereitsseitAnfang2017nichtmehraktualisierthatte.NachAuslaufendesdamaligenVertragesEnde2017wurdedieWebsitedurch das Unternehmen weiter angeboten, ohne jedoch für einetechnischePflegederzuGrundeliegendenSoftwarezusorgen.ErstEndeOktober2018ändertesichdieSituationmitderVerpflichtungeinesneuenDienstleisters,derdieerforderlichenAktualisierungendurchführte.EinVertragzurAuftragsverarbeitunggemäßArtikel28DS-GVOwurdemitderneuenWartungsfirmaerstnachträglichauf

Drupalgeddon und Crypto-Jacking durch

Webauftritt

55

unsere expliziteAufforderung hin geschlossen, zumZeitpunkt derDatenschutzverletzungexistierteeinsolchernicht.

Zusammenfassendistfestzuhalten,dassdieUrsachederVerletzungdesSchutzespersonenbezogenerDatenindermangelndenSorgfaltdesUnternehmens beimBetrieb derWebsite und bei derGestal-tung der Auftragsverarbeitung lag. Als Verantwortlicher hätte es u.a.technischeundorganisatorischeMaßnahmengemäßArtikel32DS-GVOentwederselbstumsetzenodereineDienstleisterinbzw.einenDienstleisterdamitbeauftragenunddieAuftragsausführungkontrollierenmüssen.WegenderVerstößegegenmehrereVorschrif-ten der Datenschutz-Grundverordnung wurde der Sachverhalt andieBußgeldstelleabgegeben,dieihrerseitseinOrdnungswidrigkei-tenverfahrengegendasUnternehmeneinleitete.

6 Zwischen Schein und Sein – ein Datenschutzverein mit Datenschutzmängeln?

ImerstenQuartaldesBerichtsjahreserreichteunseineReihevonBeschwerden und Hinweisen aus dem ganzen Bundesgebiet, ins-besonderevonkleinenUnternehmen,EinzelhandelskaufleutenundPrivatpersonen.Diesewurdenvon einemVereinmit Sitz im LandBrandenburg abgemahnt, weil sie auf ihrenWebseiten zwar per-sonenbezogeneDatenverarbeiteten (z.B.überKontaktformulare),jedochkeinehinreichendenMaßnahmenzurVerschlüsselungdieserDatenbeiderÜbertragungüberdasInternetumgesetzthatten.DerVerein,dessenZielgemäßseinerSatzungu.a.dieWahrungvonVer-braucherinteressenwar,prüftedieWebauftritte,ermittelteausdemdortvorhandenenImpressumdenjeweiligenVerantwortlichenundmahntedasVerhaltenab.InsbesonderesolltendiebetroffenenUn-ternehmerinnen und Unternehmer, Kaufleute und PrivatpersonenkurzfristigeinestrafbewehrteUnterlassungs-undVerpflichtungser-klärung unterzeichnen, die eineVertragsstrafe inHöhevon 4.000Eurovorsah,wennweiterkeineverschlüsselteDatenübertragungfürdie jeweiligenWebseiten installiertwerdenwürde.Darüberhinausforderte derVerein den Ersatzvon entstandenenKosten inHöhevon285,60Euro.

AusdatenschutzrechtlicherSichtistzunächstfestzuhalten,dassBe-treiberinnenundBetreibervonWebauftrittenstetspersonenbezo-geneDatenverarbeitenunddamitalsVerantwortlichedenAnforde-

56

rungen der Datenschutz-Grundverordnung (DS-GVO) unterliegen.Artikel32Absatz1DS-GVOverlangtvon jedemVerantwortlichenund ggf. seinen Auftragsverarbeitern die Umsetzung geeignetertechnischerundorganisatorischerMaßnahmen,umeindemRisikoangemessenes Schutzniveau bei der Verarbeitung personenbezo-gener Daten zu erreichen. Hierzu gehört insbesondere eine Ver-schlüsselungdieserDatennachdemStandderTechnik– siewirdunterBuchstabeadergenanntenVorschriftexplizitalsMaßnahmegenannt.InsoweithattederVereintatsächlicheineRechtsverletzungfestgestellt.

WirhattenallerdingsdiebegründeteVermutung,dassbeiderAb-mahntätigkeit desVereinsweniger dieWahrung vonVerbrauche-rinteressenalsvielmehrdas„schnelleGeld“ imVordergrundstand.GenährtwurdedieseVermutungu.a.ausdenindenBeschwerdengeschildertenBegleitumständendesAgierensdesVereins,MängelninseinemeigenenWebauftrittunddenfehlendenInformationenfürabgemahntePersonennachArtikel13DS-GVO.Wirwolltendeshalbprüfen, ob derVerein selbst dieAnforderungen derDatenschutz-Grundverordnungeinhält.AufgrundunsererbegrenztenZuständig-keit kümmertenwirunsdabeinurumdieVerarbeitungpersonen-bezogenerDaten,jedochnichtumandereAspekteseinerTätigkeit.

ZunächstwolltenwirunsvorOrteinBildvondenVerarbeitungstätig-keitendesVereinsmachen,fandenjedochandesseneingetragenemSitznurfastleereGeschäftsräumevor.AuchMitarbeiterinnenbzw.MitarbeiteroderVerantwortlichetrafenwirnichtan.DieZustellungunsereserstenSchreibensscheiterte–diePostinformierteunsübereinenNachsendeauftraganeineAdresseineinemanderenBundes-land.Wir leiteten ein förmlichesVerwaltungsverfahren gegen denVereineinundbaten zunächstumAuskunftu. a. zudendortigenProzessenderVerarbeitungpersonenbezogenerDaten, zuden In-formationennachArtikel13DS-GVOfürbetroffeneAbgemahnte,zuVerträgenmitAuftragsverarbeitern sowie zu den umgesetztentechnischen und organisatorischen Maßnahmen. Darüber hinausfordertenwirdieentsprechendenDokumente(z.B.dieVerträgezurAuftragsverarbeitungnachArtikel28DS-GVOsowiedasVerzeich-nisderVerarbeitungstätigkeitendesVereinsnachArtikel30DS-G-VO)an.

DieerstenAntwortendesVereinsaufunsereFragenwarenjeweilssehrkurz,unvollständigundnichtabschließend.EineDokumenta-

57

tion von technischen und organisatorischen Maßnahmen wurdezunächst genausowenig übersandtwie einVerzeichnis derVerar-beitungstätigkeiten.AuchrechtskräftigeVerträgezurAuftragsverar-beitungmit dem Internetdienstleister bzw.mitAnbieterinnenundAnbieternvoninderWebseiteeingebundenenAnwendungenkonn-ten nichtvorgelegtwerden.Wir erließen deshalb einenBescheid,mitdemwirdenVereinzueinervollständigen,abschließendenundaussagekräftigenAuskunftverpflichteten.NachfruchtlosemAblaufderFrist zurBeantwortungverhängtenwir zusätzlicheinZwangs-geld,umunsereForderungdurchzusetzen.

Danngingallesrechtschnell:WirerhielteneinSchreibenvomVer-ein, dasweder die konkreteUrheberin bzw. den konkretenUrhe-bererkennenließ,nocheineUnterschrifttrug.EssolltealsAntwortaufunserenAuskunftsbescheidzeitlichbereitsvorderVerhängungdes Zwangsgeldesverschicktworden sein, hatte uns jedoch nichterreicht. IndemSchreibenhießes,eineÜbersendungdervonunsangefordertenUnterlagen könne nicht erfolgen, da die Festplatte,aufderdiesegespeichertwaren,defektsei.Gleichzei-tigwurdeunsmitgeteilt,dassdieVereinsvorsitzendennichtmehrfürdenVereintätigseien.ImÜbrigenwer-dederVereinaufgelöst–dieskonntenwiranhandderEinträgeimVereinsregisternachvollziehen.

Die datenschutzrechtlichenMängel in derVereinstä-tigkeit waren offensichtlich. Auch der (behauptete)Defekt der Festplatte, auf der wichtige Geschäftsdaten abgelegtgewesenseinsollen,hättedenVereinnichtdavonentbunden,sei-nerPflichtnachArtikel5Absatz2DS-GVOzurDokumentationundzumNachweisderEinhaltungderAnforderungenderDatenschutz-Grundverordnungnachzukommen–hierhätteeseinerDatensiche-rung(imZweifelaufPapier)bedurft.DiehandelndenPersonenent-zogensichdurchdieVereinsauflösungjedochihrerVerantwortung:Mangels einer Rechtsnachfolge undwegen erheblicher rechtlicherUnsicherheiten imHinblickaufeinemöglichepersönlicheHaftungderVorsitzendenkonntenwirwederunsereForderungenvollstre-cken noch einOrdnungswidrigkeitenverfahrenwegen der Rechts-verstöße einleiten. ImErgebnis bleibt festzustellen:Wir sind zwarnichtinderLagenachzuweisen,dassunsereobigeVermutungwahrist;essprichtjedocheinigesdafür.

Wer Datenschutz fordert, sollte ihn auch selbst einhalten

58

59

1 Stellungnahmen zu Gesetzen und anderen Regelungen  62

1.1 GesetzzurÄnderungdesBrandenburgischenVerfassungsschutzgesetzes  62

1.1.1 RechtederBetroffenen  62

1.1.2 SchutzvonMinderjährigen  63

1.1.3 ErweiterungderAuskunftspflichten  64

1.1.4 EingeschränkteAufsichtsbefugnissederLandesbeauftragten  65

1.2 eID-undIT-BasiskomponentenverordnungzumBrandenburgischenE-Government-Gesetz  66

1.3 ÄnderungderMeldeordnungderLandesapothekerkammerBrandenburg  68

1.3.1 DatendesHeilberufsausweisesfürdasKammerverzeichnis  69

1.3.2 AngabenzuBeschäftigten  70

1.3.3 ÜbermittlungvonAusbildungsverträgen  71

2 BeratungimöffentlichenBereich  72

2.1 MeldedatenzurGratulationundähnlichen Zwecken?  72

2.2 Handy-Parken:MitdemSmartphonezum Parkschein  75

2.3 FortführungdesProjektszurinternetbasiertenZulassungvonKraftfahrzeugen  77

IV Ausgewählte Beratungen

60

3 BeratungimnichtöffentlichenBereich  79

3.1 VeränderteSchwerpunkteimnichtöffentlichenBereich  79

3.2 Fax-undE-Mail-KommunikationimGesundheitsbereich  81

4 16. Jahrestreffen mit den behördlichen Datenschutzbeauftragten  83

61

62

1 Stellungnahmen zu Gesetzen und anderen Regelungen

1.1 Gesetz zur Änderung des Brandenburgischen Verfassungsschutzgesetzes

ImApril 2019erhieltenwir dieGelegenheit, gegenüberdemAus-schuss für Inneres und Kommunales des Landtages Brandenburgeine Stellungnahme zu dem Entwurf für ein Drittes Gesetz zurÄnderung des Brandenburgischen Verfassungsschutzgesetzes (BVerfSchG)13abzugeben.ZielderReformwares,nebenderSchaf-fung eines einheitlichen Rechtsrahmens für dieArbeit der Sicher-heitsbehörden Konsequenzen aus den Erkenntnissen der parla-mentarischenUntersuchungsausschüsse in Bund und Ländern zurAufarbeitung der Mordserie des sogenannten „Nationalsozialisti-schenUntergrunds“zuziehen.Zudemgaltes,dasGesetzanVorga-bendesBundesverfassungsgerichtszumAntiterrorgesetz14undzumBundeskriminalamtgesetz15anzupassen.

Bereits im Jahr 2018 wurde das Brandenburgische Verfassungs-schutzgesetz an die neuen Datenschutzbestimmungen angepasst.DaunseredamaligendatenschutzrechtlichenHinweise leidernichtvollständig berücksichtigtwordenwaren, thematisiertenwir dieseerneut.DarüberhinausbenanntenwireineReihevonDefiziten,diedieGesetzesnovellemit sichbrachte.Neben zahlreichenweiterenAspekten,wiebeispielsweisedieAufweichungdesZweckbindungs-grundsatzes,sahenwirvorallemfolgendePunktekritisch:

1.1.1 RechtederBetroffenen

Wernichtweiß,dasserZielverfassungsschutzbehördlicherMaßnah-menwar,kannseineRechtealsbetroffenePersonnichtwahrneh-men.OhneKenntniseinesheimlichenEingriffs,seiesdurchObser-vation,AbhörenoderAufzeichnen,istaucheffektiverRechtsschutzkaummöglich. Informationspflichten sinddamit zentraleElementedesDatenschutzes,dieeinehinreichendeTransparenzvonDaten-verarbeitungsprozessenfürdiebetroffenenPersonengewährleisten

13 Landtags-Drucksache 6/10948 vom 26. März 2019.14 Urteil des Bundesverfassungsgerichts vom 24. April 2013, 1 BvR 1215/07.15 Urteil des Bundesverfassungsgerichts vom 20. April 2016, 1 BvR 966/09.

63

sollen.Nurdurch InformationkönnendieBürgerinnenundBürgerKenntnisdarübererlangen,dassihreDatenverarbeitetwerden.Zu-dembenötigensiedieseKenntnis,um(weitere)Betroffenenrechtewirksamausübenzukönnen. InsoweithängtdasAnliegen,Daten-verarbeitungsprozessefürdiebetroffenePersonhinreichendtrans-parentzuhalten,auchengmitderRechtsschutzgarantiezusammen.

FälltderZweckeinerMaßnahmewegoder istdiesererreicht,sindBetroffene nach unserer Auffassung über diese grundsätzlich zuunterrichten.MöglicheGeheimhaltungsinteressenkönnenallenfallsrechtfertigen, imEinzelfall von einerBenachrichtigung abzusehen,nicht aber Betroffenengruppen hiervon generell auszuklammern.DasArgumentdesGesetzgebers,dasseinegenerelleInformations-pflichtmitBlickaufdieRessourcenderVerfassungsschutzbehördenichtmöglichsei,dasiedannihreoperativenAufgabennichtmehrwahrnehmenkönne,überzeugtinkeinerWeise.DieInformationenkönnendurchausstandardisiertvorbereitetunderteiltwerden.

Auchhabenwirkritisiert,dassderGesetzentwurfeineBenachrich-tigungspflicht lediglichbeiMaßnahmenvorsah,die länger als eineWocheodermehrals14TageinnerhalbeinesMonatsandauern.Lei-derwurdenunsereBedenkennichtberücksichtigt.

1.1.2 SchutzvonMinderjährigen

DerGesetzentwurfbestimmte,dasspersonenbezogeneDatenvonKindernundJugendlichenvorVollendungdes14.Lebensjahrsnichtverarbeitetwerdendürfen.Diessolltejedochnichtgelten,„soweitminderjährige Personen von der Datenverarbeitung unvermeidbarals Dritte betroffen“ sind. Gegen dieseAusnahmeregelung hattenwirausmehrerenGründenerheblicheBedenken.Eswarunklar, inwelchenFällendieKinder„unvermeidbaralsDrittebetroffen“sind.EineErläuterungdesunbestimmtenRechtsbegriffsergab sichwe-der aus demNormtext selbst noch aus der Gesetzesbegründung.Außerdemwäreesmöglich,personenbezogeneDatenvonKindern,die das 14. Lebensjahr noch nicht erreicht haben, zu verarbeiten,soweitsieimZusammenhangmitStraftatenundverfassungsfeind-lichenBestrebungenstehen,obwohlsienichtselbstZielderverfas-sungsschutzrechtlichenMaßnahmensind.DamitwärendieseKindersogarwenigergeschützt,als jene,dienichtDrittesindundfürdieder Minderjährigenschutz des § 1 Absatz 2 Jugendgerichtsgesetz i.V.m.§19Strafgesetzbuchgilt.UnsereAnregung,hierNachbes-

64

serungenvorzunehmen,wurdenichtbeachtet.AuchunserHinweis,dassDatenDritter, insbesondereminderjährigerDrittergrundsätz-lichnur innichtrecherchierbarerFormgespeichertwerdensolltenund dies durch dieNormierung entsprechender technischerMaß-nahmenzugewährleistensei,fandkeineBerücksichtigungimweite-renGesetzgebungsverfahren.

Weiterhin kritisiertenwir, dass nach demGesetzentwurf dieVer-arbeitungvon personenbezogenenDaten über eineminderjährigePerson imAltervon14und15Jahren zulässigwäre, „wennnachdenUmständendesEinzelfallesnichtausgeschlossenwerdenkann,dassdieErhebungzurAbwehreinerGefahrfürLeiboderLebener-forderlich ist.“ Inwieweit dieseDatenerhebung im Zusammenhangmit den Aufgaben der Verfassungsschutzbehörde stehen soll, istnichtersichtlich.NachdemWortlauthandeltes sichhierumeineMaßnahmederGefahrenabwehr.AberwederdieoperativeGefah-renabwehrnochdieVerhütungkonkreterStraftatenistAufgabederVerfassungsschutzbehörde. ImÜbrigen erschließt sich nicht,wes-halb–wiebeianderenFallvariantenderNorm–nichtwenigstenstatsächliche Anhaltspunkte als Tatbestandsvoraussetzung gewähltwurden, sondern es stattdessen genügen sollte, dass eineGefahr„nichtausgeschlossenwerdenkann.“DiesstehtzugleichimWider-spruchzu§3Absatz1Satz2BbgVerfSchG,dereindeutigbestimmt,dass dasVorliegen tatsächlicherAnhaltspunkteVoraussetzung fürdasTätigwerdenderVerfassungsschutzbehördeist.

1.1.3 ErweiterungderAuskunftspflichten

KünftigsollenunteranderemdieBetreiberinnenundBetreibereinerVideoüberwachungsanlageimSinnedes§4Absatz1Bundesdaten-schutzgesetz(BDSG)verpflichtetsein,derVerfassungsschutzbehör-deAufzeichnungenzurVerfügungzustellen,wenndieszurAufklä-rungvonBestrebungenundTätigkeitenimSinnevon§3Absatz1BbgVerfSchGmiterheblicherBedeutungerforderlichist.

NachdemWortlautdesGesetzes trifftdieseVerpflichtungprinzi-piell jedenVerantwortlichen,deröffentlichzugänglichenRaumperVideoüberwacht.DieskannimExtremfalldazuführen,dassPrivat-personen, die über ihren Gartenzaun (versehentlich) den öffentli-chenStraßenraum(undseiesnurumeinpaarZentimeter)miterfas-sen,verpflichtetwären,familiäreAufzeichnungenpreiszugeben,die

65

unteranderenUmständennichteinmalindenAnwendungsbereichderDatenschutz-Grundverordnungfallenwürden.Problematischistzudem,dassbeispielsweisebeiSchwimmbädern (soferndiesgroß-flächigeAnlagenimSinnedes§4Absatz1Satz2BDSGsind)auchAufnahmenherausverlangtwerdenkönnen,die leichtbisgarnichtbekleidetePersonenbetreffen.UndalldieswürdeauchfürdenFallgelten,dassdieAufnahmenselbstgegendatenschutzrechtlicheRe-gelungen verstoßen und eigentlich unverzüglich gelöscht werdenmüssten.UnsereBedenkenwurdenimweiterenGesetzgebungsver-fahrennichtberücksichtigt.

ZudemsahdieGesetzesbegründungzwarvor,dassdieVerpflichtungaufBetreiberinnen undBetreiber einerVideoüberwachungsanlagevonöffentlichzugänglichengroßflächigenAnlagenzubeschränkensei, insbesondere Sport-,Versammlungs- undVergnügungsstätten,Einkaufszentren oder Parkplätzen, sowie von Fahrzeugen und öf-fentlich zugänglichen Einrichtungen des öffentlichen Luft-, Schie-nen-, Schiffs- und Busverkehrs. Aber unserer Empfehlung, dieseKlarstellungimGesetzestextzuverankernundsofürdieAnwende-rinnenundAnwenderunmissverständlich zumachen,wurdenichtgefolgt.

1.1.4 EingeschränkteAufsichtsbefugnissederLandesbeauftragten

Unsere datenschutzrechtlichenAufsichtsbefugnisse sindweiterhinohneerkennbarenGrundstarkeingeschränkt.ZwarkanndieLan-desbeauftragtegegenüberderVerfassungsschutzbehördeWarnun-genundVerwarnungenaussprechen.Sieistaberbeispielsweisenichtbefugt, dieVerfassungsschutzbehörde anzuweisen,Verarbeitungs-vorgängeinnerhalbeinesbestimmtenZeitraumsinEinklangmitdendatenschutzrechtlichenRegelungenzubringen.EbensowenigkannsiedieBerichtigungoderLöschungpersonenbezogenerDatenoderdieEinschränkungderVerarbeitunganordnen.

Die Beschränkung unserer Aufsichtsbefugnisse ist nicht nachvoll-ziehbar.DieBegründung, eswürdennurdiebisherigenAufsichts-befugnissefortgeschrieben,überzeugthiernicht.VielmehrsolltedieLandesbeauftragte gegenüber der Verfassungsschutzbehörde diegleichenBefugnissehabenwiegegenüberallenanderenBehördenim Land Brandenburg. Denn auch die Verfassungsschutzbehördeist –wie jedeöffentlicheStelle– anRechtundGesetz gebunden

66

und verpflichtet, datenschutzrechtliche Regelungen einzuhalten.Diesmussüberprüfbarund–sofernnotwendig–durchsetzbarseinundentsprichtdemallgemeinengesetzlichenAuftragderLandesbe-auftragtengemäߧ18BrandenburgischesDatenschutzgesetz.DieEinbindungderLandesbeauftragtenist insbesonderevordemHin-tergrunderforderlich,dasseineTransparenzderDatenverarbeitungsowie individueller Rechtsschutz bei heimlichen Überwachungs-maßnahmenohnehinnursehreingeschränktsichergestelltwerdenkönnen. Der Gewährleistung einer effektiven aufsichtsrechtlichenKontrollekommtdaherumsogrößereBedeutungzu.DiessetzteinemitwirksamenBefugnissenausgestatteteAufsichtsbehördevoraus.

ZwargibtesverschiedeneKontrollgremien,dieunteranderemdieRecht-undOrdnungsmäßigkeitderTätigkeitderVerfassungsschutz-behördeprüfen.DieseKontrolltätigkeitenzielenjedochgeradenichtauf eine speziell datenschutzrechtliche Prüfung der Vorgänge ab.Angesichts der eingeschränkten Betroffenenrechte und der dem-gegenüberstarkausgeweitetenBefugnissederVerfassungsschutz-behörde isteinedatenschutzrechtlicheKontrolle zurWahrungderRechtederBetroffenendringenderforderlich.

1.2 eID- und IT-Basiskomponentenverordnung zum Brandenburgischen E-Government-Gesetz

InunseremletztenTätigkeitsberichthabenwirüberdieBeteiligungderLandesbeauftragtenbeiderErarbeitungdesBrandenburgischenE-Government-Gesetzes (BbgEGovG) berichtet.16 Bereits damalshieltenwiresfürerforderlich,dieVerordnungsermächtigungendesGesetzeszunutzen,umkonkreteRegelungenzumDatenschutzzutreffen.Mitder eID-und IT-Basiskomponentenverordnung (eIDIT-BV)17 wurde im Berichtszeitraum ein erstes Ergebnis erzielt.WieschonbeimBrandenburgischenE-Government-GesetzhatunsdasMinisterium des Innern und für Kommunales frühzeitig eingebun-den.

DurchdieeID-und IT-BasiskomponentenverordnungwerdenAus-führungsbestimmungenzurelektronischen Identitätsfeststellung in

16 Tätigkeitsbericht Datenschutz 2018, V 1.2.17 Verordnung über Einzelheiten der elektronischen Identitätsfeststellung

und den Einsatz von IT-Basiskomponenten im Land Brandenburg vom 9. Juli 2019 (GVBl. II Nr. 48).

67

E-Government: gemeinsam zum Ziel

Verwaltungsverfahrengemäߧ3Absatz3BbgEGovG(eID-Service)sowiezumEinsatzvonIT-Basiskomponentengemäߧ11BbgEGovGgetroffen.DiesumfasstauchdieFestlegungderVerantwortlichkei-tennachderDatenschutz-Grundverordnung (DS-GVO).§1eIDIT-BVregelt,dassderBrandenburgischeIT-DienstleisterfürBehördendesLandesinVerwaltungsverfahren,beidenendieFeststellungderIdentitätderbetroffenenPersonelektronischerfolgt,alsDienstean-bieterimSinnedesPersonalausweisgesetzestätigwirdundimRah-menderErfüllungdieserAufgabepersonenbezogeneDatenausdemelektronischen Personalausweis (eID-Funktion) verarbeiten (alsoauslesenundübermitteln)darf.ErstelltdieseLeistungenauchKom-munenundanderenöffentlichenStellendesLandeszurVerfügung.

In Bezug auf die Bereitstellung von IT-Basiskomponenten gemäß § 11 BbgEGovG (wie z.B. Landesverwaltungsnetz, elektronischeVergabeplattform, virtuelle Poststelle oder elektronische Bezahl-plattform)grenzt§2eIDITBVdieAufgabenderbeteiligtenöffentli-chenStellenab:DerBrandenburgischeIT-DienstleisterentscheideteigenständigüberdieEinrichtungunddenBetriebderIT-Basiskom-ponenten.WerdendiesevoneinerBehördegenutzt,istsiezuständigfür dievon ihr imRahmender Erfüllung einer Fachaufgabeverar-beiteten personenbezogenenDaten. Bei der Umset-zung der datenschutzrechtlichen Pflichten wird dienutzendeBehördevomBrandenburgischenIT-Dienst-leisterunterstützt.Diesbetrifftz.B.dieBereitstellungder Informationen für das Verzeichnis der Verarbei-tungstätigkeiten gemäßArtikel 30DS-GVO, für eineevtl.durchzuführendeDatenschutz-FolgenabschätzunggemäßArti-kel35DS-GVOoderfürdasIT-SicherheitskonzeptnachArtikel32DS-GVO und § 4 Brandenburgisches Datenschutzgesetz. Für dieGewährleistung der Rechte betroffener Personen nachArtikel 12ff.DS-GVObleibt injedemFalldienutzendeBehördeverantwort-lich.Diesistsachgerecht,dasieauchfürdieErfüllungderjeweiligenFachaufgabe zuständig ist. Insgesamtwerden somit FestlegungenzurAusgestaltungdergemeinsamenVerantwortunggemäßArtikel26DS-GVOzwischendemBrandenburgischenIT-Dienstleisterundden die IT-Basiskomponenten nutzendenBehörden getroffen undunserefrüherenHinweiseausderStellungnahmezumEntwurfdesBrandenburgischenE-Government-Gesetzberücksichtigt.

Im Rahmen der Bestimmung desGeltungsbereiches der eID- undIT-Basiskomponentenverordnung ergaben sich Fragen hinsichtlich

68

derenAnwendungfürdiepolizeilicheGefahrenabwehr,dadiese–andersalsdieStrafverfolgung–nichtausdemGeltungsbereichdesBrandenburgischenE-Government-Gesetzesausgenommenwurde.UmWidersprüchen zu den für die polizeiliche DatenverarbeitungmaßgeblichendatenschutzrechtlichenRegelungenzuentgehen,reg-tenwirnachRücksprachemitdemZentraldienstderPolizeieineent-sprechendeAusnahmeregelungfürdieNutzungvonIT-Basiskompo-nenten imRahmenderpolizeilichenGefahrenabwehran.DemhatderVerordnungsgeberentsprochen.

Mit der eID- und IT-Basiskomponentenverordnung wurden dierechtlichen Regelungen für das Verfahren zum elektronischenIdentitätsnachweis sowie fürdieEinrichtungundNutzungvon IT-Basiskomponenten bei der Erbringung vonVerwaltungsdienstleis-tungen im LandBrandenburg konkretisiert.DerBrandenburgischeIT-Dienstleister istnungefordert,alle in§11Absatz1BbgEGovGgenanntenIT-BasiskomponentenzeitnahbereitzustellenundderenNutzungdurchdieöffentlichenStellenimLandzuermöglichen.

1.3 Änderung der Meldeordnung der Landesapothekerkammer Brandenburg

Nach dem Heilberufsgesetz (HeilBerG) sind Ärztinnen und Ärzte,Apothekerinnen und Apotheker, Tierärztinnen und Tierärzte so-wieZahnärztinnenundZahnärzte jeweils inKammernorganisiert.Es handelt sich dabei umKörperschaften des öffentlichen Rechtsmit eigenem Satzungsrecht. Die Kammern sind verpflichtet, einVerzeichnis ihrerMitgliederzu führen.DieMitgliederhaben ihrer-seits diePflicht, alle für dieErfüllungderAufgabenderKammernerforderlichenAngabenzumachenundentsprechendeNachweisezuerbringen.WelcheDatenfürdasVerzeichniskonkretanzugebensind,regelt§5Absatz2HeilBerGundergänzendeineSatzungderjeweiligenKammer.

Für die Apothekerinnen und Apotheker sind die entsprechendenErgänzungen in der als Satzung ausgestaltetenMeldeordnung derLandesapothekerkammer Brandenburg festgelegt. Das Ministeri-umfürArbeit,Soziales,Frauen,FamilieundGesundheitgabunsdieGelegenheit,zueineranstehendenÄnderungdieserMeldeordnungStellungzunehmen.Hierbeiwarenunsdie folgendendreiPunktebesonderswichtig:

69

1.3.1 DatendesHeilberufsausweisesfürdasKammerverzeichnis

DerSatzungsentwurfsahvor,dassdieApothekerinnenundApothe-kerAngabenzuihremelektronischenHeilberufsausweiswiez.B.dieausstellendeBehörde,denGültigkeitszeitraumunddengewähltenqualifiziertenVertrauensdiensteanbieterfürdasKammerverzeichnisabzugebenhaben.DieswurdemitderPflichtderKammerzurAus-stellungvonHeilberufsausweisenundzurSperrungderAuthentifi-zierungsfunktiondesAusweisesbeimWegfallderBerufsausübungs-befugnisbegründet.

HiergegenäußertenwirBedenken.

DieVerarbeitungvonPatientendatenzuVersorgungszweckenmit-telselektronischerGesundheitskartedürfennurbestimmteBerufs-gruppenvornehmen.DerenZugriffaufdieKarteerfolgtregelmäßigübereinenelektronischenHeilberufsausweis,derübereineMöglich-keit zur sicherenAuthentifizierungderAusweisinhaberinbzw.desAusweisinhabersundübereinequalifizierteelektronischeSignaturverfügt.DasFünfteBuchSozialgesetzbuchsiehtdementsprechendvor,dassindenLändernStellenbestimmtwerden,diefürdieAus-gabe desHeilberufsausweises zuständig sind, und Stellen,welchezuvor die Zugehörigkeit zu einer der berechtigten Berufsgruppenbestätigen.EsregeltzugleichÜbermittlungsbefugnissevonderfürdieBestätigungzuständigenStelleandieAusgabestelleundmachtdamitdeutlich,dassinsoweitzweiverschiedeneAufgabenbestehen.

Das Kammerverzeichnis führen die Heilberufskammern aufgrundvonLandesrecht,umeinenÜberblicküberihreMitgliederzuhaben.EineVermischungdieserreinlandesrechtlichenAufgabemitdenbei-deno.g.AufgabenausdemSozialgesetzbuchsahenwirerstrechtalsproblematischan.

Wir gingen außerdem davon aus, dass derHeilberufsausweis vondenApothekerinnenundApothekernbeider zuständigenLandes-apothekerkammerzubeantragenist.IndiesemZusammenhangsindalleerforderlichenAngabenzumachen,sodasswireineweitere,reinvorsorglicheErhebungdieserDatenfürdasKammerverzeichnisfürnichterforderlichhielten.

70

1.3.2 AngabenzuBeschäftigten

DieMeldeordnungverpflichtetedieKammermitgliederbereitsbis-her, jährlich personenbezogene Daten zu ihren Beschäftigten zuübermitteln.WirhattendiesinderVergangenheitakzeptiert,sofernsich dieKammer auf derGrundlage ihrer allgemeinenDatenerhe-bungsbefugnisdirektandiebetroffenenPersonenwandteundfürdasKammerverzeichnisausschließlichAngabenzureigenenPersonverlangte.DieslässtsichmitderPflichtzurFührungdesVerzeich-nissesrechtfertigen,daesgepflegtwerdenmussundaufaktuellemStandzuhaltenist.AllerdingswerdendurchdiejährlichenPersonal-meldungen an dieApothekerkammer überwiegendpersonenbezo-geneDaten anderer Personen erhoben, die teilweise nicht einmalselbst der Meldepflicht nach dem Heilberufsgesetz unterliegen.DenunsererAnsichtnachunzulässigenUmfangdieserPersonalmel-dungenhattenwirschonfrühererfolglosgegenüberdemMiniste-riumkritisiert.NunmehrbatesunsangesichtsderGeltungderDa-tenschutz-Grundverordnung undÄnderungen imHeilberufsgesetzselbstumeinePrüfungdiesesPunktes.

NachderbeispielhaftenAufzählungin§5Absatz2Satz3Nr.2Heil-BerGist–getrenntnachBerufsgruppen–nurdieZahlderBeschäf-tigteneinesselbstständigenApothekersmitzuteilen.ZwarkanndieSatzungNäheresbestimmen,eineErweiterunghatsichaberandenim Gesetz genannten Beispielen zu orientieren. Die Angabe derNamenderBeschäftigtenhaltenwir für nicht hinnehmbar, da derGesetzgebermitderWahldeseherstatistischenMerkmals„Anzahlder berufsspezifischenMitarbeiterinnenundMitarbeiter nachBe-rufsgruppen“deutlichgemachthat,dassesbeimKammerverzeich-nisinsoweitnichtumkonkretepersonenbezogeneDatengeht.Diesschließtnicht aus, dassdieKammer für andereZweckeoderAuf-gabenalsdieFührungdesVerzeichnissesvondenApothekerinnenund Apothekern personenbezogene Angaben ihrer Beschäftigtenerhebendarf.

NachderbislanggeltendenMeldeordnungsindsowohlselbstständi-gealsauchangestellteApothekerinnenundApothekermeldepflich-tig. Durch die jährliche Personalmeldung sind Doppelmeldungenzwangsläufigvorprogrammiert.

Das Verlangen, regelmäßig umfassende Personalmeldungen abzu-geben, erweckt den Eindruck, dass angestellten Apothekerinnen

71

undApothekern letztlichunterstelltwird,gegenMeldepflichtenzuverstoßen.Vorsorgliche Datenerhebungen verletzen aber den da-tenschutzrechtlichenGrundsatzderErforderlichkeit.EineDatener-hebungisterstdannerforderlich,wennkonkreteAnhaltspunktefüreinen Gesetzesverstoß vorliegen. Sollten Verstöße tatsächlich einbedenklichesAusmaßannehmen,könntezumeinenderGesetzgebernachAbwägung aller Interessen eine regelmäßigeDatenerhebungbeianderenPersonenoderStellenundeinenDatenabgleicheinfüh-ren.EinegenerelledoppelteMeldepflichtdurchKammermitgliederundihreArbeitgeberinnenundArbeitgeberistdemgegenübernichterforderlichundwidersprichtdemGrundsatzderDatensparsamkeit.

Darüber hinaus könnte die Landesapothekerkammer BrandenburginKenntnisdernachdemHeilberufsgesetzvonderApothekenlei-tung anzugebenden Zahl der Beschäftigten, die selbst Apotheke-rinnen oder Apotheker sind, auch prüfen, ob die MeldepflichtenalsBerufspflicht erfülltwerden.Hierzu ließe sichdieZahl der ge-meldetenBeschäftigtenmitdenEinzelmeldungenderangestelltenApothekerinnenundApothekereinerApothekevergleichen,umggf.Unstimmigkeiten festzustellen.EinesolcheVorgehensweisewürdedenVorgabenimHeilberufsgesetzentsprechenundwäredurchdieDatenverarbeitungsbefugnissederKammergedeckt.

1.3.3 ÜbermittlungvonAusbildungsverträgen

Die geltendeMeldeordnungverlangt außerdem, dass bei der Ein-stellungvonAuszubildendenfürdenBerufdesoderderpharmazeu-tisch-kaufmännischen Angestellten der Kammer der Ausbildungs-vertragvorzulegenist.EbensowiedasMinisteriumhattenauchwirVorbehaltegegendieseSatzungsregelung.AusdemBerufsbildungs-gesetz,einemBundesgesetz,ergibtsich,dassdieApothekerkammerein gesondertes Verzeichnis der Berufsausbildungsverhältnisse zuführenhat.AusbildendeundAuszubildendesinddanachgesetzlichverpflichtet,diefürdieEintragungerforderlichenTatsachenaufVer-langenderKammermitzuteilen.AusbildendesindnachdemBerufs-bildungsgesetzdarüberhinausgrundsätzlichverpflichtet,aufVerlan-genderKammerdiefürdieÜberwachungnotwendigenAuskünftezu erteilen. Auch enthält das Berufsbildungsgesetz inVerbindungmitderDatenschutz-GrundverordnungausreichendeRechtsgrund-lagenfürdieDatenverarbeitung.EinePflichtzurVorlagevonAus-bildungsverträgeninderMeldeordnungzuregeln, istfolglichnichtnotwendig.HierfürgibteszudemauchkeineSatzungsermächtigung.

72

ObunsereBedenkenundAnregungenaufgegriffenwerden,bleibtabzuwarten.

2 Beratung im öffentlichen Bereich

2.1 Meldedaten zur Gratulation und ähnlichen Zwecken?

GlückwünscheundGrüßederVerwaltung,insbesonderezuJubiläenältererMitbürgerinnenundMitbürgern,stelleneinewichtigeQuel-ledesgesellschaftlichenZusammenhalts inOrtsteilenundkleinenGemeinden dar. Oft drängt sich bei den kommunalenVerantwor-tungsträgerinnen und -trägern der Eindruck auf, der DatenschutzstehediesenkleinenAufmerksamkeitenentgegen.ImBerichtszeit-raum erhielt die Landesbeauftragte – besonders von Ortsvorste-herinnen und Ortsvorstehern sowie ehrenamtlichen Bürgermeis-terinnen und Bürgermeistern amtsangehöriger Gemeinden – vieleAnfragenzurVerarbeitungvonMeldedatenzumZweckevonGratu-lationen,BegrüßungenundÄhnlichem.WirlegendaherimFolgen-denunsereständigeAuskunftspraxiszudenrechtlichenGrundlagen,

Möglichkeiten und Grenzen der genanntenDatenverarbeitungdar.

In der Regel besteht derWunsch,Meldeda-ten zuverarbeiten, umEinwohnerinnenundEinwohnernzugratulieren.Dabeihandeltessich um Datenverarbeitungsvorgänge, die –wiealleGrundrechtseingriffe–einerRechts-

grundlage bedürfen.An der Qualität als Eingriff ändert sich auchdannnichts,wennbeabsichtigt ist,denBetroffenenetwas„Gutes“zutun–obdieDatenverarbeitungzumZweckderGratulationtat-sächlichwillkommenist,könnenletztlichnurdieBetroffenenselbstentscheiden.

FürdieGratulationanlässlichAlters-undEhejubiläenbestehenmeh-reregesetzlicheVorschriften:

Gemäߧ50Absatz2Bundesmeldegesetz (BMG)darfdieMelde-behördeMandatsträgerinnenundMandatsträgernaufAntragNameundAnschriftvonPersonenmitteilen,derenAlters-undEhejubilä-enbevorstehen.AlsAltersjubiläumgiltjedesvolleJahrfünftabdem70. Geburtstag und jeder Geburtstag nach dem vollendeten 100.Lebensjahr. Ehejubiläen sind alle auf das 50. Jubiläum folgenden

Herzlichen Glückwunsch! Ihre

Bürgermeisterin

73

Jahrestage. Beantragen Mandatsträgerinnen und MandatsträgereinesolcheDatenübermittlung,mussdiesinderRegelnichtweiterbegründetwerden. IstdiebetroffenePersonmitderÜbermittlungnichteinverstanden,kannsiegemäߧ50Absatz5BMGwiderspre-chen.

NebendenDatenübermittlungen aufAntrag besteht dieMöglich-keitderautomatisiertenÜbermittlungnach§§14und15Absatz2Meldedatenübermittlungsverordnung (MeldDÜV). § 14 MeldDÜVnimmtBezugaufdieDefinitionvonAlters-undEhejubiläenin§50Absatz2BMGundbestimmt,dassdieLandrätinnenundLandräte–beibesondershohenJubiläenauchdieStaatskanzlei–Meldeda-tenzusolchenAnlässenautomatisierterhalten,ohnedassdiesbe-antragtwerdenmuss.Gemäߧ15Absatz2MeldDÜVdürfenunterdenselben Voraussetzungen Daten auch automatisiert und damitohnevorherigesErsuchendenehrenamtlichenBürgermeisterinnenundBürgermeisternsowieOrtsvorsteherinnenundOrtsvorstehernübermitteltwerden.

DanebenhabendieBürgermeisterinnenundBürgermeisteramtsan-gehörigerGemeindengemäߧ15Absatz1MeldDÜVAnspruchaufautomatisierteÜbermittlungvonMeldedatenzurErfüllungwieder-kehrendereigenerAufgaben.Schließlichkönnenganzallgemeinin-nerhalbderselbenöffentlichenStelle(hier:zwischenderGemeinde-verwaltungundeinemOrtsteil)gemäߧ37Absatz1inVerbindungmit§34Absatz1BMGDatenaufAnfrageweitergegebenwerden,wenndiesfürdieErfüllungderAufgabenderempfangendenStelleerforderlichist.

NachfolgendgehenwiraufeinigeFragenein,dieunsregelmäßigge-stelltwerden:

• MussdieMeldebehördepersonenbezogeneDatenauchfürGra-tulationenzu„nichtrundenGeburtstagen“weitergeben?

DiesesAnliegenfälltnichtunterdieobengenanntenVorschriften,dieabschließendAnlässezulässigerÜbermittlungenaufführen.§34Absatz1BMGmachtdeutlich,dasseinweitergehenderAnspruchauf Übermittlung von Meldedaten nur begründet werden kann,wennsiezurErfüllungeinerderbeantragendenStelleübertragenenAufgabe erforderlich ist. Es handelt sichbei derGratulation indesumeine freiwilligübernommeneAufgabe,diedasKommunalrecht

74

GemeindenundOrtsteilenbzw.ihrenAmtsträgerinnenundAmtsträ-gernfreistellt,abernichtauferlegt.

DieMeldebehördeistinsolchenFällengrundsätzlichnichtverpflich-tet,dieDatenherauszugeben.MüsstesiediesbereitsbeijedemGe-burtstag,sobedürfteesderRegelungin§50Absatz2BMGnicht.Sollenauch„krumme“Geburtstageberücksichtigtwerden,empfiehltessichdaher,denJubilarinnenundJubilarendieMöglichkeitzuge-ben,sichselbst–unterHinweisaufdieZweckeunddieMöglichkeitdesWiderrufs–ineinenGeburtstagskalendereinzutragen.

• DarfdieGemeindeGeburtstagevonJubilarinnenundJubilaren–ggf.bisaufWiderruf–imAmtsblattveröffentlichen?

GrundsätzlichistdieEhrungeinpersönlicherVorgangzwischenderGemeinde und den Geburtstagskindern. Daher ist vor einer vonderGemeindeodereinemOrtsteilbeabsichtigtenVeröffentlichungeineinformierteEinwilligungeinzuholen.Dennnichtallewünschendie mit der Veröffentlichung im Amtsblatt verbundene Publizität– dies gilt insbesondere, wenn zur örtlich verteilten Druckversi-onnocheine Internetveröffentlichungkommt.DieUmsetzungderIdeevielerGemeindenundOrtsteile,dieGeburtstagebiszueinemWiderspruch insAmtsblattaufzunehmen,wäre folglichunzulässig.Hinzuweisen istallerdingsauf§50Absatz2BMG,derderPresseunddemRundfunkeinenAuskunftsanspruchzuJubiläenvermittelt.Diesedürfen–vorbehaltlichandererPersönlichkeitsrechte–auchohne Einwilligung die Jubiläen veröffentlichen, da das materielleDatenschutzrecht für journalistischeTätigkeit der Presse nicht gilt(vgl.§16aBrandenburgischesPressegesetzinVerbindungmit§29BrandenburgischesDatenschutzgesetz).

• VorEinführungderDatenschutz-GrundverordnunghatdieMel-debehördeDaten zuJubiläen herausgegeben, seitdemverwei-gertsiedies.HatdasneueDatenschutzrechthieranetwasgeän-dert?

Nein. Die durch die Datenschutz-Grundverordnung eingetrete-nen Neuerungen berühren die vorstehenden Rechtsfragen nicht.DieletztetatsächlicheÄnderungderRechtslageerfolgtedurchdieMelderechtsreform imJahr2015–allerdingswarendieNeuerun-genauchdamalsehergraduellerNatur(u.a.geringfügigeÄnderung

75

Parken: smart und datenschutzgerecht

derkonkretenJubiläen,AusweitungdesEmpfängerkreisesnachderMeldedatenübermittlungsverordnung).

• MancheAnlässe,wiedieBegrüßungvonneuzugezogenenBür-gerinnen und Bürgern, die Durchführung vonVeranstaltungenusw.verfolgeneinenähnlichenZweckwiedieGeburtstagsgra-tulation. Kann die Herausgabe von Meldedaten auf dieselbeRechtsgrundlagegestütztwerden?

Nein.DieRegelungendes§50Absatz2BMGsowieder§§14und15Absatz2MeldDÜVsindinsoweitabschließend.

2.2 Handy-Parken: Mit dem Smartphone zum Parkschein

DieVerwendungvon Smartphones undApps imAlltag nimmt zu-nehmendaufdieGestaltungvonVerwaltungsleistungenEinfluss.SostellenDiensteanbieterinnenundDiensteanbieterbeispielsweiseimRahmenderParkraumbewirtschaftungVerfahrenzurelektronischenAbwicklungdesBezugsundderBezahlungeinesParkscheinsmit-tels Smartphone bereit (sogenanntes Handy-Parken). Im Berichts-zeitraumbatenunsmehrerebrandenburgischeGemeindenumeinedatenschutzrechtlichePrüfungdesBetreibermodellsundderAusge-staltungdesVerfahrens.

BevorjemanddasHandy-Parkennutzenkann,musssieodererei-nen privatrechtlichenVertragmit einerDiensteanbieterin oder ei-nem Diensteanbieter schließen und die zugehörige App auf demSmartphoneinstallieren.MitHilfederAppkönneneinelektronischesParkticketbezogenunddieKostengegenüberderDiensteanbiete-rinoderdemDiensteanbieterbeglichenwerden.Diehierbei anfallenden personenbezogenen Daten (wieName,Anschrift,Kontaktdaten,Kfz-Kennzeichen,Mo-bilfunknummer, je nach gewünschter ZahlungsweiseBankverbindungoderKreditkartendaten,Login-Daten,Beginn,EndeundDauereinesParkvorgangs,gewählteParkzone,gebuchteParkgebührundggf.Zahlungsverhalten)dürfenfürdieErbringungdesServiceverarbeitetwerden.Danebenbedarfes für Kontrollzwecke und die Prüfung eines ordnungsgemäßenParkvorgangs auch eines Zugangs des kommunalen Aufgabenträ-gerszudenDaten–jedochbeschränktaufdenfürdiesen(Kontroll-)Zweck erforderlichen Umfang (z.B. Kfz-Kennzeichen, Datum undZeitraumdesParkvorgangs,ParkzoneundgebuchteParkgebühr).

76

Grundsätzlichgehenwirdavonaus,dassfürdasVerfahrendesHan-dy-ParkensausdatenschutzrechtlicherSichtdie jeweiligeGemein-deunddieDiensteanbieterinoderderDiensteanbietergemeinsamüberMittelundZweckederVerarbeitungpersonenbezogenerDatenentscheidenundinsoweiteinegemeinsameVerantwortungnachAr-tikel26Datenschutz-Grundverordnung(DS-GVO)vorliegt.IneinerschriftlichenVereinbarung,hierdemBetreibervertrag,sindu.a.dieModalitätenderDatenverarbeitungfürdieZweckederParkraumbe-wirtschaftung,desBezugsundderAbrechnungvonParkscheinen,derÜberweisungdergesammeltenGebührendurchdieDienstean-bieterinoderdenDiensteanbieterandieGemeindesowiederKon-trollederParkvorgängedurchsie festzulegen.JedederbeteiligtenStellenhatdabeieineeigeneRechtsgrundlagefürdieVerarbeitungderpersonenbezogenenDaten:BeiderDiensteanbieterinoderdemDiensteanbieteristdieVerarbeitungzurErfüllungdesprivatrechtli-chenVertragesmitderbetroffenenPersonerforderlichund somitdurchArtikel6Absatz1BuchstabebDS-GVOlegitimiert.DieGe-meinde nimmtmit der Parkraumbewirtschaftung eineAufgabe imöffentlichenInteressewahrundkannimRahmenvonKontrolleninerforderlichemUmfangdiepersonenbezogenenDatenderParken-denaufBasisvonArtikel6Absatz1BuchstabeeDS-GVOverarbei-ten.

ImRahmendesBetreibervertragesalsFestlegungimSinnevonAr-tikel26DS-GVOmusseineklareZuteilungderdatenschutzrecht-lichen Zuständigkeiten und eindeutige Abgrenzung der jeweiligenAufgaben und Befugnisse der Beteiligten erfolgen. Dies beziehtsich beispielsweise auch auf diePflichten zur Informationder be-troffenen Personen bei der Erhebung der Daten nach Artikel 13und 14 DS-GVO, die Gewährleistung der Betroffenenrechte aufAuskunft, Berichtigungund LöschungnachArtikel 15 ff.DS-GVOoderdieMelde-undBenachrichtigungspflichtennachArtikel33und34DS-GVO imFallevonVerletzungendesDatenschutzes.DadieGemeindekeinendirektenEinflussaufdietechnischenEinzelheitender Diensteerbringung und die Details derAbwicklung der priva-trechtlichenVereinbarungmitdenbetroffenenPersonenhat,istdiejeweiligeDiensteanbieterinbzw.derDiensteanbieterhieralleinda-tenschutzrechtlichverantwortlich.UmgekehrtistdieGemeindefürdieVerarbeitungsprozessebeiderPrüfungvonParkvorgängenundggf.beiderEinleitungvonSanktioneneigenständigzuständig.

77

ÜbereinenZugangbeiderDiensteanbieterinbzw.demDienstean-bieter kann dieGemeinde durch Eingabe des Kennzeichens einesimParkraumbefindlichenKraftfahrzeugs feststellen,ob fürdiesesFahrzeugaktuelleinelektronischerParkscheingelöstwurde.DieseZugriffeundDatenübermittlungensinddatenschutzrechtlichzuläs-sigundvertraglichzwischenallendreiBeteiligtenseparatzuverein-baren.Datenschutzrechtlichkritischistesjedoch,wenneineAbfra-geseitensderGemeindezueinemKfz-Kennzeichenerfolgt,obwohlwedereinherkömmlicherpapiernerParkscheinnocheinHinweisaufdieTeilnahmeamHandy-ParkenimKraftfahrzeugexistieren.Indie-semFallerfolgteineunberechtigteÜbermittlungdesKfz-Kennzei-chensalspersonenbezogenesDatumandieDiensteanbieterinoderdenDiensteanbieter,dakeineRechtsgrundlagefürdieDatenweiter-gabevorliegt,wennkeinprivatrechtlicherVertragmitderoderdemParkendenbesteht.

Insofernisteserforderlich,dassalle,dieamHandy-Parkenteilneh-men, eine entsprechende Vignette im Fahrzeug hinterlassen. DieGemeindedarfnurfürKennzeichendieserFahrzeugeeineentspre-chendeAnfragebeiderDiensteanbieterinoderdemDiensteanbieterzuKontrollzweckenstellen.BeiFahrzeugenohneVignetteundohneherkömmlichenpapiernenParkscheinistgrundsätzlichderVerdachteinerOrdnungswidrigkeitgegeben.

2.3 Fortführung des Projekts zur internetbasierten Zulassung von Kraftfahrzeugen

Bereits im vorletzten Tätigkeitsbericht18 informiertenwir über dieerfolgreicheZusammenarbeitzwischendenLandkreisenundkreis-freienStädten,demBrandenburgischenIT-Dienstleister,demMinis-teriumdes InnernundfürKommunalessowieunsererBehörde imProjekt zur internetbasiertenKfz-Zulassung (iKfz).Diesewurde imBerichtszeitraumfortgesetzt.

Seit dem 1. Oktober 2019 besteht für die Kraftfahrzeug-Zulas-sungsbehörden die Pflicht, im Rahmen des Projekts iKfz Verwal-tungsleistungen für den aus zulassungsrechtlicher Sicht gesamtenLebenszykluseinesFahrzeuges–vonderNeuzulassungbiszurAu-ßerbetriebsetzung– auchüberdas Internet anzubieten.AufBasisder Erfahrungen der ersten beiden Phasen zur internetbasierten

18 Tätigkeitsbericht 2016/2017, B 11.5.

78

AbmeldungundWiederzulassungvonKraftfahrzeugenkonntediesedritteStufedesProjektsinBrandenburgfasttermingerechtumge-setztwerden;derersteLandkreisnahmdenProduktivbetriebimDe-zember2019auf,weiterefolgenzuBeginndesJahres2020.

Neben der Erweiterung des Umfangs der angebotenen Verwal-tungsleistungenderZulassungsbehördenwarenauchdienachdemWirksamwerden der Datenschutz-Grundverordnung (DS-GVO) er-forderlichen datenschutzrechtlichen Anpassungen des Verfahrensvorzunehmen. Diese betrafen insbesondere die Erfüllung der In-formationspflichten gegenüber den betroffenen Personen und dieumfassendeGewährleistungderBetroffenenrechte.DarüberhinausmusstendasIT-Sicherheitskonzeptmitdentechnischenundorgani-satorischenMaßnahmenzurGewährleistungvonDatenschutzundInformationssicherheitimVerfahrenfortgeschriebenunddiejewei-ligenMaßnahmeninderweiterentwickeltentechnischenInfrastruk-turumgesetztwerden.

Um die iKfz-Verwaltungsleistungen zu erbringen, verwenden dieZulassungsbehörden in den Landkreisen und kreisfreien Städten

die auf Grundlage des BrandenburgischenE-Government-GesetzesdurchdenBranden-burgischen IT-Dienstleister bereitgestelltenIT-Basiskomponenten elektronisches Identi-tätsmanagement (eID-Service), elektronischeBezahlplattform (ePayBL) sowie das Landes-

verwaltungsnetz.Durch dieNutzung des landesweit angeboteneneID-ServicekannaufdiezwischendenkommunalenAufgabenträ-gern abgeschlossene delegierende öffentlich-rechtliche Vereinba-rung nach § 5 desGesetzes über die kommunaleGemeinschafts-arbeit im LandBrandenburgverzichtetwerden.Diesewar bislangerforderlich, um einem ausgewählten Landkreis die Aufgabe deselektronischen Identitätsnachweises zu übertragen. Der Branden-burgischeIT-DienstleisteristimVerfahrendarüberhinausAuftrags-verarbeitergemäßArtikel28DS-GVOfürdenBetriebdesPortalsder internetbasierten Kfz-Zulassung für die jeweiligen LandkreiseundkreisfreienStädte.

AlsgroßeHerausforderungfüreinefristgemäßeInbetriebnahmedesVerfahrensunddieImplementierungderdatenschutz-undinforma-tionssicherheitstechnischenMaßnahmenerwiessichdiespäteVer-

Online zum Kfz-Kennzeichen

79

öffentlichungderMindestsicherheitsanforderungendesKraftfahrt-Bundesamtes für dieAnbindungdezentralerPortale inderdrittenStufedesProjektsiKfz.DiesePublikationlaginderfinalenVersionerstMitteNovember2019vor–alsonachdemZeitpunkt,abdemalleProzessederKfz-ZulassungbereitsimInternetunterstütztwer-densollten.

AuchinderaktuellenPhasedesProjektszurinternetbasiertenKfz-Zulassung wirkten wir in den entsprechenden Gremien beratendmit, gaben Hinweise zur Anpassung der Verfahrensunterlagen andieDatenschutz-GrundverordnungundnahmenEinsichtindasver-fahrensspezifische IT-Sicherheitskonzept des BrandenburgischenIT-DienstleistersalsAuftragsverarbeiter.DieintensiveKooperationallerBeteiligtenermöglichtees,dassderersteLandkreisdiedaten-schutzrechtliche Freigabe gemäß § 4 Brandenburgisches Daten-schutzgesetzzügigerteilenkonnte.DiedortgemachtenErfahrungensowiedie imProjekterstelltenDokumentebildendenGrundsteinfürdenflächendeckendeniKfz-BetriebimLandBrandenburg,dadieweiterenLandkreiseundkreisfreienStädtehiervonprofitierenundnachAnpassungandieörtlichenBesonderheitenihreVerfahrenje-weilsselbstmiterheblichgeringeremAufwandfreigebenkönnen.

Die vertrauensvolle Zusammenarbeit zwischen den verantwort-lichen Stellen, dem Brandenburgischen IT-Dienstleister und derLandesbeauftragtenimProjektiKfzzeigtabermals,wiedieflächen-deckende Implementierungvon E-Government-Verfahren im LandBrandenburgzueinempositivenAbschlussgebrachtwerdenkann.Vor dem Hintergrund der Bemühungen der Landesregierung zurUmsetzungdesOnline-ZugangsgesetzesundderEntwicklungundBereitstellung digitaler Verwaltungsleistungen empfehlen wir eineFortführungderengenKooperationundeineÜbertragungderEr-fahrungenaufandereProjekte.

3 Beratung im nicht öffentlichen Bereich

3.1 Veränderte Schwerpunkte im nicht öffentlichen Bereich

MitdemWirksamwerdenderDatenschutz-GrundverordnunghattensichimvorhergehendenBerichtszeitraumeinigeBeratungsschwer-punkteherauskristallisiert.InsbesonderezurFotografie,zumDaten-schutz in denVereinen sowie zur Benennung eines Datenschutz-beauftragtenwurdedieLandesbeauftragtevielfachkonsultiert. Im

80

aktuellen Berichtszeitraum erreichten uns zu den vorgenanntenThemenzwarimmernochdiverseAnfragen–eswurdejedochauchdeutlich,dassderBeratungsbedarfsichzunehmendhinzuspeziel-lerenFragestellungenverschiebt.ErfreulicherweisehatunserAus-tauschmitbetroffenenPersonenundVerantwortlichengezeigt,dassdieBeteiligtenvermehrtbessereinzuordnenwissen,welcherechtli-chenAspektebeiderDatenverarbeitungzubeachtensind.Betrof-fenesindzunehmendgut informiertdarüber,welcheRechteihnenzustehen; verantwortliche Daten verarbeitende Stellen wiederumhabensichmitdenAnforderungenderDatenschutz-Grundverord-nungbesservertrautgemacht.EswarvielmehrhäufigderkonkreteUmfangderRechteundPflichten,überdensichdieAkteurinnenundAkteurenichtklarwaren.

SoerreichtenunsvieleAnfragenundBeschwerdenzurUmsetzungdesRechtsaufAuskunft.Dabeigingesnichtmehrnurdarum,obundinwelcherFristeinVerantwortlicher reagierenmuss, sondernver-stärktumDetails.HierzuzählteetwadieFrage,wannAuskunftsdo-kumentealsvollständiggeltenoderunterwelchenUmständenAus-künftenichterteiltwerdenmüssen,zumBeispiel,weilRechteDritterbeeinträchtigtwerdenkönnten.DasichzudiesenGesichtspunktennochkeinegefestigteRechtsprechunggebildethatunddieSachver-haltegroßeUnterschiedeaufweisenkönnen,warunsereBeratunghäufigzwangsläufigdaraufbeschränkt,dieBeteiligtenüberdiebe-stehendenNormenzuinformieren,ausdenensichAusnahmenoderEinschränkungenergebenkönnen.

Bei vielen Beschwerden hat sich zudem gezeigt, dass BetroffenesehrpauschaldieLöschungallerihrerDateneinfordern–undvieleVerantwortlichehieraufvielzupauschalreagieren.WirhabendahervielfachgegenüberbeidenBeteiligtenaufklärendtätigwerdenmüs-sen.BeispielsweisemussimRahmeneinesLöschbegehrensgegen-übereinerehemaligenVertragspartnerinbzw.einemVertragspartnerzwischendenunterschiedlichenDatenkategorien,dieimLaufedesVertragsverhältnissesausgetauschtodergeneriertwurden,differen-ziert werden (Kontaktdaten, Kommunikationsinhalte, Rechnungs-informationen, Nutzungsdaten usw.). Denn ein Anspruch auf Lö-schungbestehtimZeitpunkteinerKündigungnichtgleichermaßenhinsichtlichallerDatenkategorien.SokannetwaderUmstand,dassgegenseitige Forderungen noch nicht vollumfänglich ausgeglichensindodereinegesetzlicheAufbewahrungspflicht,wie sie in §257

81

Handelsgesetzbuchzufindenist,dersofortigenLöschungbestimm-terDatenentgegenstehen.

3.2 Fax- und E-Mail-Kommunikation im Gesundheitsbereich

Die Landesärztekammer Brandenburg berichtete uns von Unsi-cherheiten bei ihrenMitgliedern imHinblick auf dieNutzung derFax-Kommunikation zurÜbermittlungvonGesundheitsdaten, z.B.voneinemHausarzt zueinerFachärztin zurweiterenBehandlung.Insbesondere interessierte sich die Kammer für Hinweise unsererBehördezurNutzungvonFax-GerätensowiedieMöglichkeitfürPa-tientinnenundPatienten,dieDatenübermittlungperFaxdurcheineEinwilligungzulegitimieren.

Gesundheitsdaten zählen gemäßArtikel 9Absatz 1 Datenschutz-Grundverordnung(DS-GVO)zudenbesonderenKategorienperso-nenbezogenerDaten.EinVerlustderVertraulichkeit,IntegritätoderVerfügbarkeitderDatenkannu.U.erheblicheRisikenfürBetroffenebishinzueinerLebensgefahrnachsichziehen.InsofernsindandieGewährleistungdergenanntenSicherheitszieleunddieUmsetzungentsprechender technischer und organisatorischer MaßnahmenhoheAnforderungenzustellen.Zubeachtenistauch,dassdieunbe-fugteOffenbarungvonPatientendatendurchÄrztinnenbzw.ÄrzteundanderesmedizinischesPersonalnach§203Strafgesetzbuchge-ahndetwerdenkann.

Artikel 24 und 32 DS-GVO verlangen von demVerantwortlichen(hier:einerniedergelassenenÄrztinbzw.einemArztodereinerIn-stitution imGesundheitswesenwie z. B. einemKrankenhaus) undggf.derAuftragsverarbeiterinbzw.demAuftragsverarbeiterdieUm-setzunggeeignetertechnischerundorganisatorischerMaßnahmen,um sicherzustellen, dass die Verarbeitung gemäß der VerordnungerfolgtundeindemRisikoangemessenesSchutzniveaugewährleis-tetwird.BeiderAuswahlderMaßnahmensindnachdengenanntenVorschriftenderStandderTechnik,dieImplementierungskosten,dieArt, derUmfang, dieUmstände und die Zwecke derVerarbeitungsowiedieunterschiedlicheEintrittswahrscheinlichkeitundSchweredesRisikos für dieRechte undFreiheitennatürlicherPersonen zuberücksichtigen.Artikel32Absatz1BuchstabeaDS-GVObenenntexplizit dieVerschlüsselung als eineMaßnahme,Buchstabebdie-serVorschriftverlangt,u.a.dieVertraulichkeitderVerarbeitungaufDauersicherzustellen.§22Absatz2Bundesdatenschutzgesetzent-

82

hält ähnlicheVorgaben,die sichausdrücklich aufdieVerarbeitungbesondererKategorienpersonenbezogenerDatenbeziehen.

GeeigneteFormender sicherenÜbermittlungvonGesundheitsda-tensindz.B.diepersönlicheÜbergabe,derVersandperBriefpostoderKurierinverschlossenemUmschlagsowiedieKommunikationmittels Ende-zu-Ende-verschlüsselter E-Mail. Die Nutzung unver-schlüsselterE-MailsoderdieKommunikationperTelefax in (heutestandardmäßig anzutreffenden) IP-basierten Netzen entsprechengrundsätzlich nicht den genannten datenschutzrechtlichen Anfor-derungen.EinerseitswirddamitdenhohenRisiken fürBetroffenenicht in ausreichendemUmfang entgegengewirkt, andererseits isteineVerschlüsselungderE-Mail-Kommunikation seitJahrenStandderTechnikundmitvertretbaremAufwandzuimplementieren.

AllenfallsimabsolutenAusnahmefall–etwabeiunmittelbardrohen-dengesundheitlichenSchädenfüreinePatientinodereinenPatien-tenoderbeieingeschränkterErreichbarkeit imAusland–wäreeinVerzichtaufdiegenanntenFormendersicherenÜbermittlungvonGesundheitsdatentolerabel.IndiesemFallmüssteallerdingsdurchzusätzlicheMaßnahmenbestmöglichverhindertwerden,dassVer-traulichkeit, Integrität oder Verfügbarkeit bei der Kommunikationverletzt werden. Solche Maßnahmen können insbesondere darinbestehen,

• die Kommunikationsgeräte so aufzustellen und zu benutzen,dassUnbefugtemedizinischeDatennichtzurKenntnisnehmenkönnen,

• dieZielnummerbzw. -adressevorab festzuspeichernundvordemVersandnochmalssorgfältigabzugleichen,umFehlversen-dungenauszuschließen,

• auftelefonischemWegsowohlderEmpfängerinbzw.demEmp-fängerdieunmittelbarbevorstehendeKommunikationanzukün-digenalsauchderAbsenderinbzw.demAbsenderdenerfolgrei-chenAbschlussderÜbertragungzubestätigenund

• vorhandene geräte- bzw. softwarespezifische Sicherheitsfunk-tionenzunutzen(z.B.AbrufdesFaxesnurnachEingabeeinesPassworts,KontrollevonSende-undEmpfangsprotokollen,Ver-

83

schlüsselung des internen Gerätespeichers, Verzicht auf Fern-wartungsfunktionen).

Die Regelungen der Datenschutz-Grundverordnung sehen nichtvor,dassbetroffenePatientinnenundPatientenaufdieUmsetzungtechnisch-organisatorischer Maßnahmen verzichten können. DieVerpflichtung, ein den Risiken angemessenes und dem Stand derTechnik entsprechendes Schutzniveau bei der Datenübermittlungzugewährleisten,trifftdenVerantwortlichenunmittelbarundkannnicht durch eineEinwilligungderbetroffenenPerson abbedungenwerden.HiervonzuunterscheidenistallerdingseineEntbindungderÄrztinbzw.desArztesvonderSchweigepflicht.DiesewürdeeineOffenlegungderPatientendatengegenüberDrittenerlauben.

4 16. Jahrestreffen mit den behördlichen Datenschutzbeauftragten

AuchimzurückliegendenBerichtsjahrkonntenwirdiebehördlichenDatenschutzbeauftragten der Landkreise, kreisfreien Städte undgrößerenkreisangehörigenStädteundGemeindenwiederzueinerganztägigenBeratunginunsererDienststellebegrüßen.

Dasnunmehr16.Jahrestreffendientedem informativenundkriti-schenErfahrungsaustausch.EssolltenichtnurdieArbeitderohne-hin bereits gut vernetzten behördlichen Datenschutzbeauftragtenerleichtern.Vielmehr hatte es auch zum Ziel, Einblicke in dieAr-beitsweisederKommunenundderDatenschutzaufsichtsbehördezuvermitteln,offenedatenschutzrechtlicheFragenanzusprechenundzurLösungdatenschutzbezogenerProblemeausdemArbeitsalltagbeizutragen.

HauptsächlichesThemaderVeranstaltungwarenRechtsfragenrundumdieInformationspflichtenderVerantwortlichen.AufdemJahres-treffengelangesbeispielsweise,Antwortendaraufzufinden,wanneineInformationüberdieDatenverarbeitungimSozialbereichunter-bleibenkannoderinwieweiteineInformationnachArtikel13bzw.14Datenschutz-Grundverordnung(DS-GVO)zumBeispielumeinenHinweis aufMitwirkungspflichten ergänztwerdendarf.Auch kamdie Pflicht zur Benennung eines Datenschutzbeauftragten durchkommunaleSchiedsstellenzurSprache.DerUmgangmitderEinfüh-rungelektronischerAktensowiemitAuskunftsersuchennachArti-

84

kel15DS-GVOwurdenumfassenddiskutiert.AufgroßesInteressestießauchdieErörterung,wiemitAuskunftsersuchenvonErmitt-lungsbehördenzuverfahrenist.

Die Landesbeauftragte schätzt das Engagement derTeilnehmerin-nenundTeilnehmerdesJahrestreffensundbetontausdrücklichdieBedeutung der behördlichen Datenschutzbeauftragten in derenDienststellen. Nur wenn sie frühzeitig in bevorstehende Projekteeingebundenwerden, sind sie in der Lage, dem Entstehen daten-schutzrechtlicherProblemeentgegenzuwirkenunddieVerantwort-licheneffektivzuunterstützen.IhnensolltendeshalbnichtnurdasnötigeVertrauen,sondernaucheinausreichendesZeitbudgetfürdieBewältigung ihrerAufgaben zurVerfügung gestelltwerden. Nichtzuletzt dient dies derVermeidungvonDatenschutzverstößenunddamit möglicher Sanktionen. Behördliche DatenschutzbeauftragtestellenkeinezusätzlichenHürden fürdieArbeitderVerwaltungenauf,sondernvermitteln,wiedieindenjeweiligenFachbereichenan-gestrebtenZielemitdenbestehendengesetzlichenVorgabenzumSchutz personenbezogener Daten in Einklang zu bringen sind. IndiesemSinnestelltdieZusammenarbeitzwischendenbehördlichenDatenschutzbeauftragtenundderAufsichtsbehördeimRahmenih-rerregelmäßigenTreffeneinenwichtigenBeitragzumDatenschutzindenbrandenburgischenKommunendar.

85

86

87

1 Beschwerden  88

2 Beratungen  88

3 MeldungenvonDatenschutzverletzungen  88

4 Abhilfemaßnahmen  90

4.1 Warnungen,Verwarnungen,AnweisungenundAnordnungen  90

4.2 Geldbußen  91

5 EuropäischeVerfahren  93

6 Förmliche Begleitung bei Rechtsetzungsvorhaben  94

V Zahlen und Fakten

88

1 Beschwerden

Im Berichtszeitraum gingen bei der Landesbeauftragten 878 Be-schwerdenein.Davonumfasst sindalleBeschwerdenvonnatürli-chenPersonen,diederAnsichtsind,dassdieVerarbeitungdersiebetreffenden personenbezogenen Daten gegen das Datenschutz-rechtverstößt.KeineBerücksichtigungfandenhierbeitelefonischeBeschwerden,diesichmündlicherledigenließen.VielfachwendensichBetroffeneausBrandenburgauchdannandieLandesbeauftrag-te,wennderfürdieDatenverarbeitungVerantwortlicheseinenSitznichtinBrandenburg,sondernineinemanderenBundeslandhat.IndiesenFällenleitenwirdieEingabeandiezuständigeAufsichtsbe-hördeweiterundunterrichtendenBeschwerdeführerüberdieAb-gabe.Diesbetraf137Beschwerden.

2 Beratungen

NebenderBearbeitungvonBeschwerdengehörtauchdieBeratunginDatenschutzfragenzudenAufgabenderLandesbeauftragten.SiehatbetroffenePersonen,VerantwortlicheimöffentlichenundnichtöffentlichenBereichsowiedieLandesregierungbeiRechtssetzungs-verfahren in insgesamt über 400 Fällen schriftlich beraten. HinzukommteineVielzahlvontelefonischenBeratungen,dienichtinAk-tenerfasstwerden.

3 Meldungen von Datenschutzverletzungen

Verantwortliche sind nach Artikel 33 Datenschutz-Grundverord-nung(DS-GVO)verpflichtet,derAufsichtsbehördeVerletzungendesSchutzespersonenbezogenerDatenzumelden.Davonausgenom-mensindlediglichVorfälle,dievoraussichtlichkeinRisikofürdieBe-troffenendarstellen.DieMeldunghat unverzüglichundmöglichstbinnen72StundenabKenntnisderDatenschutzverletzungzuerfol-gen.MitderMeldungistderVorfallzubeschreiben;fernersinddieKategorienunddieungefähreZahlderbetroffenenPersonensowiedieKategorienunddieungefähreZahlderbetroffenenpersonenbe-zogenenDatensätze anzugeben.DieMeldung soll außerdemAus-führungenüberdiemöglichenFolgenderDatenschutzverletzungfürdieBetroffenensowieAngabenzudenergriffenenoderbeabsichtig-tenMaßnahmenzurBehebungderDatenschutzverletzungoderAb-milderung ihrerAuswirkungenenthalten.HatderDatenschutzvor-

89

fallvoraussichtlicheinhohesRisikofürdiepersönlichenRechteundFreiheitenderBetroffenenzurFolge, istderVerantwortlichenachArtikel34DS-GVOverpflichtet,sieunverzüglichvonderVerletzungzuunterrichten.

ImBerichtszeitraumerhieltdieLandesbeauftragte362Meldungenim Sinne vonArtikel 33DS-GVO.VonVerantwortlichen aus demöffentlichen Bereich gingen 177, von solchen aus dem nicht öf-fentlichen Bereich 185 Meldungen ein. Mehr als die Hälfte derMeldungen betraf Fälle, in denenUnterlagen an falsche,weilver-alteteAdressen, annamensgleichePersonenoder ehemaligeEhe-partnerinnen bzw. -partner versandt wurden, in denen aufgrundvon Fehlkuvertierungen Unterlagen Dritter beigefügt waren oderin denen den Verantwortlichen Fehler beim E-Mail-Versand un-terliefen. Hervorzuheben sind daneben die Fälle von Hackeran-griffen, Virenbefall, Phishing und erpresserischer Verschlüsse-lung. Diese Datenschutzverletzungen beliefen sich auf 30 Fälle. InderüberwiegendenZahlderFällewarennurwenigePersonenbe-troffen.DieZahlderMeldungenvonVorfällenmitbiszudreioderwenigerbetroffenenPersonenlagbei214.DieskorrespondiertmitderhohenZahlvonfehlgeleitetenUnterlagen,dieinderRegelnur

54%

8%

38%

ArtderDatenschutzverletzung

FehlerbeimVersandvonUnterlagen

Hackerangriffe,Viren,PhishingunderpresserischeVerschlüsselung

SonstigeVorfälle

90

wenige Personen betrifft.Datenschutzvorfällemitmehr als 1.000BetroffenenwurdenderLandesbeauftragtenzehnmalgemeldet.

4 Abhilfemaßnahmen

4.1 Warnungen, Verwarnungen, Anweisungen und Anordnungen

Artikel58Absatz2Datenschutz-Grundverordnung(DS-GVO)stat-tetdieAufsichtsbehördenmitBefugnissenaus,dieesihnenerlau-ben,gegenVerantwortlichevorzugehenundsiezurEinhaltungderdatenschutzrechtlichenVorschriften anzuhalten.Die Landesbeauf-tragte machte von diesen Befugnissen (ohne Geldbußen) im Be-richtszeitraumin20FällenGebrauch.MitzehnVerwarnungenmus-stedieseAbhilfemaßnahmeamhäufigstenergriffenwerden,gefolgtvonsechsAnweisungenbzw.Anordnungen,mitdenenVerantwortli-chezueinemkonkretenTunoderUnterlassenaufgefordertwerden.BeispielefürergriffeneAbhilfemaßnahmenschildernwir indiesemBerichtunterAI.

59%17%

8%3% 13%

AnzahlderBetroffenenprogemeldeterDatenschutzverletzung

biszudreiBetroffene

über3bis100Betroffene

über100bis1.000Betroffene

über1.000Betroffene

keinegenauenAngabenmöglich

91

4.2 Geldbußen

ImBerichtsjahrwurden der Bußgeldstelle der Landesbeauftragten47 Sachverhalte wegen Verstößen gegen datenschutzrechtlicheVorgabenzurKenntnisgegeben,umdieEinleitungeinesOrdnungs-widrigkeitenverfahrens zu prüfen. Dies bedeutete eine spürbareSteigerung zu den imvorherigen Berichtszeitraum eingegangenenFällen,die sich inderSummeauf24beliefen.EinerheblicherAn-teil,nämlich28Fälle,wurdevondenzuständigenPolizeibehördenoder Staatsanwaltschaften an die Bußgeldstelleweitergeleitet. Ei-nenkleinerenAnteilstellteninsgesamt14Sachverhaltedar,dievonaufsichtsbehördlich tätigenMitarbeiterinnen undMitarbeitern derLandesbeauftragten an die Bußgeldstelle abgegebenwurden. DieübrigenfünfFällesetztensichausAbgabenunzuständigerAufsichts-behördensowieAnzeigenvonBürgerinnenundBürgernzusammen.

Von den 47 neu eingegangenen Sachverhalten sind mehr als dieHälftenachderneuenRechtslagezubewerten.Dennocherreichenuns auchweiterhinFälle, indenendie relevanteHandlungbereitsvor dem Wirksamwerden der Datenschutz-Grundverordnung am 25.Mai2018abgeschlossenwurde.Diesesindweiterhinnachder

4

10

6

0

2

4

6

8

10

12

Warnungen Verwarnungen AnweisungenundAnordnungen

Abhilfemaßnahmen

92

altenRechtslagezubeurteilen.DazusätzlicheinRückstauanAltfäl-lenzuverzeichnen ist,wardieBußgeldstelleauch imBerichtszeit-raumschwerpunktmäßigmitderBearbeitungvonBußgeldverfahrenbefasst,aufdiediealteRechtslageanwendbarist.

ImJahr2019hatdieBußgeldstelle24Verfahrenabgeschlossen,diesichsowohlgegennichtöffentlicheStellenalsauchgegenMitarbei-terinnenundMitarbeiteröffentlicherStellenrichteten.In11Fällen,also fast der Hälfte, verhängte die Landesbeauftragte wegen derfestgestelltendatenschutzrechtlichenVerstößeeineGeldbuße.DieGesamtsumme der festgesetzten Bußgelder betrug 69.150 Euro.Derweit überwiegende Teil der Bußgeldverfahrenwar bereits imvorangegangenenBerichtszeitraumeröffnetwordenundbetrafVer-stöße,dienachderaltenRechtslagezubewertenwaren.LediglichineinemFallwareinOrdnungswidrigkeitentatbestanddesArtikels83DS-GVOerfüllt,daderVerstoßnachWirksamwerdenderDaten-schutz-Grundverordnung begangenwurde. In einemweiteren FallhabenwirdasBußgeldverfahrennach§32desneuenBrandenbur-gischenDatenschutzgesetzesgeführt.

9%9%

82%

RechtsgrundlagederverhängtenBußgelder

Art.83DS-GVO

§32BbgDSG

Rechtslagevordem25.Mai2018

93

DieandereHälftedergeführtenVerfahren–alsojeneFälle, inde-nenwir keinBußgeldverhängt haben–wurde aufverschiedenenWegenbeendet:VierVerfahrenhatdieBußgeldstelleaufgrundvonOpportunitätserwägungenoder rechtlichenHindernissengarnichtersteingeleitet. IndreiFällenwurdedasVerfahrenmangelshinrei-chendenTatverdachts eingestellt. In zwei Fällen erhieltendieVer-antwortlichen eine ordnungswidrigkeitenrechtliche VerwarnungnachalterRechtslage.InzweiweiterenFällengabdieBußgeldstel-lemangelseigenerZuständigkeitinderSachedieVerfahrenandieDatenschutzaufsichtsbehördeeinesanderenBundeslandesab.ZweiFällewurdendurchdieStaatsanwaltschaftübernommen.

5 Europäische Verfahren

Die Datenschutz-Grundverordnung (DS-GVO) hat zu einer Inten-sivierung der Zusammenarbeit der europäischen Datenschutzauf-sichtsbehörden inFällengrenzüberschreitenderDatenverarbeitunggeführt.EinesolchegrenzüberschreitendeVerarbeitungliegtunteranderem vor, wenn die Verarbeitung personenbezogener DatendurchdenVerantwortlicheninmehrerenMitgliedstaatenerfolgt.DasBinnenmarkt-Informationssystem(IMI)derEuropäischenKommissi-onbieteteineelektronischePlattformfürdenhierzuerforderlichenAustausch zwischendenBehörden. IndenKooperationsverfahrender Mitgliedstaaten hatte die Landesbeauftragte im Berichtszeit-raumin1249Fällenzuprüfen,obsietätigwerdenmuss:

748 Fälle wurden über das Binnenmarkt-Informationssystem vonanderenAufsichtsbehörden aufgrundvonBeschwerden gemeldet.Hierprüftenwir,obdieLandesbeauftragtefederführendeoderbe-troffeneAufsichtsbehördeistundentsprechendeVerfahrensschritteergreifenmuss.DieFederführungorientiertsichdabeianderHaupt-niederlassungodereinzigenNiederlassungdesVerantwortlicheninderEuropäischenUnion.EineBetroffenheitistdemgegenüberdanngegeben,wenndiegemeldeteVerarbeitungstätigkeitdurchdasUn-ternehmenerheblicheAuswirkungenaufBürgerinnenundBürgerimLandBrandenburghabenkönnteoderderVerantwortlicheeineNie-derlassungimZuständigkeitsbereichderLandesbeauftragtenhat.

EineFederführungderLandesbeauftragtenhabenwirineinemFallangenommen.EineBetroffenheitderLandesbeauftragtenbejahtenwir in 27 Fällen. Bei den übrigen Sachverhalten haben wir nachDurchsicht entschieden, uns nicht an demweiterenVerfahren zu

94

beteiligen,dadieVerantwortlichenkeineNiederlassunginBranden-burghattenundkeineerheblichenAuswirkungenaufBrandenbur-gerinnenundBrandenburgerzuerwartenwaren.

Sechs bei uns eingegangene Beschwerden gegen eine grenzüber-schreitendeDatenverarbeitunghabenwirdenübrigeneuropäischenAufsichtsbehördenmitHilfedesBinnenmarkt-InformationssystemszurKenntnisgegeben.SiehabendamitdieGelegenheit,ebenfallszuprüfen,obsie indiesenFällenfederführendeoderbetroffeneAuf-sichtsbehördesind.

In501FällenbeteiligtenwirunsanVerfahrenderZusammenarbeitundKohärenznachKapitelVIIDatenschutz-Grundverordnung,diekeineIndividualbeschwerdezumGegenstandhatten,etwaimRah-mengegenseitigerAmtshilfeoderbeiderVorbereitungeinerStel-lungnahmedes EuropäischenDatenschutzausschusses.Davon ge-hen20aufdieInitiativederLandesbeauftragtenzurück.

ImBerichtszeitraumwurdeneuropaweit81KooperationsverfahrennachArtikel60DS-GVOdurcheinenBeschlussderjeweilszustän-digenfederführendenAufsichtsbehördeabgeschlossen.ZehndieserBeschlüsseberuhenaufPrüfungenandererdeutscherAufsichtsbe-hörden,einergehtaufBrandenburgzurück.

6 Förmliche Begleitung bei Rechtsetzungsvorhaben

Gemäߧ18Absatz5Satz1BrandenburgischesDatenschutzgesetzistdieLandesbeauftragtevordemErlassvonRechts-undVerwal-tungsvorschriften zu hören. Auch die Datenschutz-Grundverord-nungüberträgt inArtikel57Absatz1Buchstabe cdenAufsichts-behörden eineBeratungsfunktionbei legislativenMaßnahmen. ImBerichtszeitraum hat die Landesbeauftragte dementsprechend zu20RechtsetzungsvorhabenStellunggenommen.Diesbetraf sechsGesetzedesLandesBrandenburg,einGesetzdesLandesSachsen-Anhaltund13brandenburgischeRechtsverordnungen.

95

96

97

1 VorbemerkungzurÄnderungderRechtslage  98

2 Beanstandung wegen des fehlenden RahmensicherheitskonzeptsderPolizei  98

3 KennzeichenerfassungssystemKESY  100

3.1 SteindesAnstoßes:ErmittlungenimFalleinerVermissten  101

3.2 BeanstandungwegendesVerstoßesgegendieUnterstützungspflicht  102

3.3 StellungnahmegegenüberdemLandesverfassungsgericht  103

3.4 BeanstandungwegendatenschutzrechtlicherVerstößeundWarnung  104

4 EinsatzvonKörperkameras  106

5 Beratung zur Änderung des Brandenburgischen Polizeigesetzes  108

6 Beratung zur Umsetzung der Richtlinie (EU) 2016/680: Brandenburgisches Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz  110

7 ZahlenundFakten  113

Teil B: Bericht nach § 37 Brandenburgisches Polizei-, Justizvollzugs-undMaßre-gelvollzugsdatenschutzge-setz

98

VI Teil B: Bericht Nach Art. 37 BbgPJMDSG

1 Vorbemerkung zur Änderung der Rechtslage

DieimdeutschenRechtssysteminzwischenetablierteDatenschutz-Grundverordnungfindetbeistraf-oderordnungswidrigkeitenrecht-lichenVerfahren sowie imVollzugsbereich keineAnwendung. FürdieVerarbeitungpersonenbezogenerDatendurchdiezuständigenBehördenzumZweckederVerhütung,Ermittlung,AufdeckungoderVerfolgungvonStraftatenoderderStrafvollstreckung,alsoimBereichJustizundInneres,wurdebereits2016diesogenannteeuropäischeJI-Richtlinie,19erlassen.AndersalsdieunmittelbaranwendbareDa-tenschutz-GrundverordnungmussdieRichtlinieinnationalesRechtumgesetztwerden.DieserUmsetzungsprozesserfolgt teilweise imBundesrechtaberauchinlandesrechtlichenGesetzen.UmeinzelneFachgesetzenichtmiteinerFüllevondatenschutzrechtlichenNeu-regelungenanzureichern,hatsichdasLandBrandenburgentschlos-sen, die allgemeinen Inhalte der Richtlinie in einem gemeinsamenGesetz für die Rechtsbereiche polizeiliches Handeln, JustizvollzugundMaßregelvollzug umzusetzen. Das Brandenburgische Polizei-,Justizvollzugs-undMaßregelvollzugsdatenschutzgesetztratam22.Juni2019inKraft.20

2 Beanstandung wegen des fehlenden Rahmensicherheitskonzepts der Polizei

DiePolizeiBrandenburgbetreibtseitvielenJahreneinegroßeZahlanVerfahrenzurVerarbeitungpersonenbezogenerDaten,z.B.daspolizeilicheVorgangsbearbeitungssystemComVor,dasInformations-undAuskunftsverfahrenPOLAS,dasEinsatzleitsystemfürBehördenundOrganisationenmitSicherheitsaufgabenELBOSunddasKenn-zeichenerfassungssystemKESY.

DamitdieEinzelnendurchdieVerarbeitungpersonenbezogenerDa-tennicht inunzulässigerWeise in ihrenGrundrechtenbeeinträch-

19 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung per-sonenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU L 119/89).

20 siehe B 6

99

tigtwerden,hatdiePolizeiBrandenburgbeiEinführungundBetriebdieserVerfahrendatenschutzrechtlicheVorgabeneinzuhalten.Dazugehörtesauch,dasseinauseinerRisikoanalyseentwickeltesIT-Si-cherheitskonzept ergebenmuss, dassdievondemVerfahren aus-gehendenGefahrenfürdieRechteundFreiheitenderBetroffenendurchgeeignete technischeundorganisatorischeMaßnahmenbe-herrschtwerdenkönnen.

DiegesetzlicheVerpflichtungzurErstellungvonSicherheitskonzep-ten fürdievon ihnenbetriebenenVerfahren ist denVerantwortli-chenderPolizeiBrandenburgseitLangembekannt.ImSinneeinersystematischenundeffizientenHerangehensweisehattediePolizeivorgesehen, ein sogenanntesRahmensicherheitskon-zeptfürdiepolizeilicheIT-Infrastrukturmitallenange-schlossenenSystemenundKomponentenzuerstellen,indemgrundlegende,verfahrensunabhängigeSicher-heitsmaßnahmenbeschriebenundumgesetztwerden.DasRahmensicherheitskonzeptsolltedamitdieBasisfür alle auf ihmaufbauendenTeilsicherheitskonzepteder einzelnen Fachverfahren bilden.DieseVorgehensweise ist beigroßen und komplexen Informationsverbünden üblich, entsprichtdemStand derTechnik undwirdvon der Landesbeauftragten un-terstützt.

Trotz unsererwiederholtenAufforderung hat die Polizei das Rah-mensicherheitskonzeptallerdingsüberJahrehinwegnichtkomplettvorgelegt. Bereits in unserem letzten Tätigkeitsbericht hatten wirdeshalbkritisiert,dassesimmernochnichtfertiggestelltist,undge-fordert,diesenMangelzubeseitigen.

Die Verantwortlichen stellten uns nacheinander mehrere TermineinAussicht,ohne sieeinzuhalten.StattdessenwurdedieFinalisie-rungdesKonzeptes immerweiterverschoben.Wirmusstendaherfeststellen, dass es hinsichtlich der Erfüllung der gesetzlichenAn-forderungenzurGewährleistungdesDatenschutzesundderInfor-mationssicherheit bei derVerarbeitung personenbezogener DatenBetroffenermittelseinesumfassendenundaktuellenRahmensicher-heitskonzepteserheblicheMängelgibtunddieserMissstandbereitsseitvielenJahrenandauert.DieLandesbeauftragtehatdahergegen-über demverantwortlichenMinister für Inneres undKommunalesdieVerstößegegen§7Abs.3,§10und§10aBrandenburgisches

IT-Sicherheit lange nicht nachgewiesen

100

Datenschutzgesetzinderam24.Mai2018geltendenFassungbe-anstandetundihnaufgefordert,unverzüglicheinvollständigesRah-mensicherheitskonzeptvorzulegen.

Der Minister legte in seiner Stellungnahme dar, dass er sich mitNachdruckfürdieFertigstellungdererforderlichenDokumenteein-setzenwerdeundversicherte,dassDatenschutzundInformationssi-cherheithöchstePrioritäthätten.EinigeMonatespäterwurdenunsvonderPolizeiBrandenburgumfangreicheUnterlagen zumgefor-dertenSicherheitskonzeptübergeben.DiesebefindensichzurzeitinderPrüfung.EineendgültigedatenschutzrechtlicheBewertungstehtdahernochaus.

Auch nach der mit dem Brandenburgischen Polizei-, Justizvoll-zugs-undMaßregelvollzugsdatenschutzgesetzbestehendenneuenRechtslagesinddieVerantwortlichenderPolizeiverpflichtet, tech-nischeundorganisatorischeMaßnahmenzubestimmenundumzu-setzen,umdieRisiken fürdieRechteundFreiheitendervonpoli-zeilicherDatenverarbeitungbetroffenenPersonenzubeherrschen.Wir werden die uns zur Verfügung stehenden Mittel nutzen, dieEinhaltungdiesergesetzlichenAnforderungenzukontrollierenunddurchzusetzen.

3 Kennzeichenerfassungssystem KESY

Im Jahr 2019 stand dasVerfahren der brandenburgischen Polizeizur automatischenKennzeichenerfassung (KESY) imFokus.Anlasswar ein Ermittlungsfall der Strafverfolgungsbehörden, der auch inderÖffentlichkeit,demzuständigenMinisteriumdesInnernundfürKommunalesundinparlamentarischenGremienzueinerintensivenBefassungmitdieserMaßnahmeführte.FürunsistdiesesVerfahrenrelevant,weildasKraftfahrzeugkennzeicheneinpersonenbezogenesDatumist,dessenVerarbeitungeinerRechtsgrundlagebedarf.

DiePolizeiinBrandenburgnutztdasVerfahrenKESYseitdemJahr2010. Es wird sowohl zu gefahrenabwehrrechtlichen Fahndungs-zweckengemäߧ36aBrandenburgischesPolizeigesetzalsauchzurStrafverfolgung nachVorschriften der Strafprozessordnung (StPO)eingesetzt.DasSystemumfasstmehrerestationäreAnlagenmitKa-meras, die an definierten Standorten in Brandenburg digitalisierteBilder von Kraftfahrzeugkennzeichen und die rückwärtigeAnsichtdes Fahrzeugs aufnehmen. Das Verfahren kann im sogenannten

101

Fahndungsmodusbetriebenwerden,beidemerfassteKennzeichenmit einem konkreten Fahndungsbestand abgeglichen, Nichttrefferautomatisiertgelöschtundnursogenannte„Treffer“fürdieweitereBearbeitung gespeichertwerden. Im sogenanntenAufzeichnungs-moduswerdendagegenalleKennzeichenvonFahrzeugen,dieeineErfassungskamerapassieren,eingelesen,aufgezeichnetundgespei-chert. DieseDatenbestände sind, solange keine Löschung erfolgt,dauerhaftrecherchierbar.DenAufzeichnungsmodusnutztdiePoli-zeizurepressivenZwecken,beispielsweiseimZugevonRingalarm-fahndungen (§ 111 StPO) oder bei längerfristigen ObservationenunterVerwendungbesondererfürObservationszweckebestimmtertechnischerMittel(§163fi.V.m.§100hAbsatz1Nummer2StPO).Die längerfristigeObservationeinerodereinesBeschuldigtendarfnur durch ein Gericht bei tatsächlichenAnhaltspunkten für Straf-taten von erheblicher Bedeutung für die Dauer vonmaximal dreiMonaten angeordnetwerden, kann allerdings, soweit dieVoraus-setzungenfortbestehen,wiederholtverlängertwerden.DerEinsatzdestechnischenMittelszurDurchführungderObservationwirdinderRegelvonderzuständigenStaatsanwaltschaftangeordnet.DieBrandenburgische Polizei nutzt die Kennzeichenfahndung sowohlfürlandeseigeneErmittlungsverfahrenalsauchinAmtshilfebeiEr-suchenvonErmittlungsbehördenandererBundesländer.

3.1 Stein des Anstoßes: Ermittlungen im Fall einer Vermissten

DiePolizeidesLandesBerlinermittelteimMärz2019wegeneinervermisstenjungenFrau,alsbekanntwurde,dassdasFahrzeugeinesTatverdächtigenaufdemGebietdesLandesBrandenburgan zweimehrereWochen zurückliegenden Tagen erfasst und gespeichertwurde, obwohl das Kennzeichen zu diesem Zeitpunkt weder zurGefahrenabwehrnochzurStrafverfolgungineinerFahndungsdateiderbrandenburgischenPolizeihinterlegtwar.Esstelltesichheraus,dass zu diesem Zeitpunkt der Aufzeichnungsmodus des Kennzei-chenerfassungssystemsaufgrundeinesnichtmitdemVermisstenfallzusammenhängenden, bei der Staatsanwaltschaft Frankfurt (Oder)betriebenenErmittlungsverfahrenswegenschwererBandenkrimina-litätaktiviertwar.FürdiesesVerfahren lagenmehrere, zeitlichan-einander anschließende gerichtlicheBeschlüsse zur längerfristigenObservationvor.DarüberhinausexistiertenauchstaatsanwaltlicheAnordnungen,besonderefürObservationszweckebestimmtetech-nischeMittelzunutzen.DiesewurdenerstmalsimSeptember2017erlassenundwarenohneUnterbrechung immerwiederverlängert

102

worden.DadasErmittlungsverfahrennochnichtbeendetwar,wur-denDatenüberinsgesamt19MonateangesammeltunddabeiauchdasvonderBerlinerPolizei gesuchteKennzeichenmiterfasst.DiebrandenburgischePolizeihatteaufErsuchenderBerlinerKollegin-nenundKollegendanachrecherchiertunddieDatenübermittelt.

3.2 Beanstandung wegen des Verstoßes gegen die Unterstützungspflicht

FürunswardiemedialeBerichterstattungAnlass,denEinsatzdesKennzeichenerfassungssystemsumfassendzuprüfen.DazuführtenwirimJuli2019eineVor-Ort-KontrolleimEinsatz-undLagezentrumderPolizei inPotsdamundbeieinerDienststelledesLandeskrimi-nalamtsdurch.UnsereAbsicht, auchdiebei derPolizeivorliegen-dengerichtlichenBeschlüsseundstaatsanwaltlichenAnordnungeneinzusehen,diedenEinsatzvonKESYindemFrankfurterVerfahrenlegitimierensollten,konntenwirnichtumsetzen.DiePolizeiverwei-gerteunsdieVorlagederDokumenteunterHinweisdarauf,dassal-leindiesachleitendeStaatsanwaltschaftFrankfurt(Oder)berechtigtsei, Entscheidungen über dieAkteneinsicht in ein noch laufendesVerfahren zu gewähren und keine Einwilligungen dieser Staatsan-waltschaftvorlägen.AusunsererSichtistdieseArgumentationun-haltbar,denndiePolizeiisttrotzderBefugnisderStaatsanwaltschaft,derartigeMaßnahmenanzuordnen,datenschutzrechtlichfürdasvonihrbetriebeneVerfahrenKESYverantwortlich.DiePolizeibestimmtausschließlichüberdieMittelderVerarbeitungpersonenbezogenerDaten,dasieKenntnisundKontrolleüberdiestationärenStandorte,denBetrieb,einzelneAbläufewiedieAuswertungderDatenalsauchübertechnisch-organisatorischeAspektedesVerfahrenshat.SieistinderVerfahrensdokumentationfolgerichtigalsverantwortlicheOr-ganisationseinheitbenannt.AlsVerantwortlicheristsiedahergemäߧ35Absatz1und2BrandenburgischesPolizei,-Justizvollzugs-undMaßregelvollzugsdatenschutzgesetz (BbgPJMDSG)verpflichtet,dieDatenschutzaufsichtbeiderErfüllungihrerAufgabenzuunterstüt-zenundinsbesondereEinsichtinalleVorgängeundAufzeichnungenzugewähren.DadieBeschlüsseundAnordnungensichinFallaktenderPolizeibefanden,warunsZugangdazuzugewähren.WegenderfortgesetztenWeigerungderPolizei habenwir daher gemäß § 36Absatz1Nummer2BbgPJMDSGgegenüberdemPolizeipräsiden-teneineBeanstandungwegenVerstoßesgegendieUnterstützungs-pflicht ausgesprochen. Die gerichtlichen Beschlüsse und die An-ordnungenderStaatsanwaltschaftFrankfurt (Oder)wurdenunszu

103

einemspäterenZeitpunktdurchdieGeneralstaatsanwaltschaftzurVerfügung gestellt.Dadurch konntenwir denVerfahrensgang unddieFormulierungenindenAnordnungenprüfen.

3.3 Stellungnahme gegenüber dem Landesverfassungsgericht

ParallelnahmenwirdieGelegenheitwahr,gegenüberdemVerfas-sungsgericht des LandesBrandenburg eine Stellungnahme zu dendatenschutzrechtlichen Fragen der Kennzeichenerfassung abzu-geben. Dortwar eineVerfassungsbeschwerde eines Beschwerde-führersanhängig,dermitseinemFahrzeugregelmäßigeinenAuto-bahnabschnittinBrandenburgbefährtunddavonausgeht,dassseinKennzeichenmehrfachvonderPolizeigespeichertwurde.Ersahda-rineinenEingriffinseinRechtaufinformationelleSelbstbestimmungundhattevordemAmtsgerichtundnachfolgendimBeschwerdever-fahrenvordemLandgerichtdieRechtmäßigkeitderstrafprozessua-lenAnordnungenundderenUmsetzungüberprüfen lassenwollen.BeideGerichtelehntenseinenAntragjedochunterHinweisaufdiefehlende Antragsberechtigung ab, weshalb der BeschwerdeführerwegenVerletzungseinesrechtlichenGehörsvordasVerfassungsge-richtzog.InunsererStellungnahmelegtenwirauchunsereRechts-auffassungzurflächendeckendenErfassungvonKennzeichendurchdiePolizeidar.

AlsErgebnisstelltenwirfest,dassdieherangezogeneBefugnisnormdes § 100hAbsatz 1 Satz 1Nummer 2 StPO für den Einsatz derKennzeichenerfassungimAufzeichnungsmoduskeineausreichendeRechtsgrundlagedarstellt.BeiderErmächtigungzumEinsatztech-nischerMittel fürObservationenhattederBundesgesetzgeberur-sprünglich anMittel gedacht, die nicht zuAufzeichnungen führenundAuswirkungenaufDrittevermeiden,wieetwaPeilsender.Beider fortlaufenden Daueraufzeichnung erfasst und speichert KESYjedocheineunbegrenzteAnzahlvonFahrzeugennichtbeschuldigterPersonen,diedadurchzuZielpersonenwerden,dajederzeitweitereErmittlungshandlungen(wiezumBeispielHalterabfragenoderspä-tereDatenabgleiche)darananknüpfenkönnen.DerEinsatztechni-scherMittelgegennichtbeschuldigtePersonen istnurausnahms-weisezulässig.VordemHintergrundderangedachtentechnischenMittelwurdenandenEinsatznurwenigbeschränkendeVorausset-zungengeknüpft.DieslässtsichfürdieKennzeichenerfassungnichtrechtfertigen,zumalganzüberwiegendgegenüberdenbetroffenenPersonen(Halterinbzw.HalteroderFührerinbzw.Führerderaufge-

104

zeichnetenFahrzeuge)keinVerdachtbesteht,dasssieinirgendeinerVerbindungzudenBeschuldigtendesUrsprungsverfahrensstehenoderzuderenAuffindenführen. ImJahr2018hatdasBundesver-fassungsgerichtfestgestellt,dassbereitsjedeKennzeichenkontrolleeinenEingriffindasRechtaufinformationelleSelbstbestimmungal-lerindieKontrolleeinbezogenenPersonenbegründet,unabhängigdavon,obdasKennzeichendanachsofortgelöschtwird.21 In unse-remPrüffallsindwirunterBerücksichtigungderhohenAnzahldergespeichertenFahrzeugevonUnbeteiligten,derLaufzeitderMaß-nahmevoninsgesamt23MonatenunddemErmittlungsgegenstand(EigentumsdelikteverübtdurcheineBande)zudemSchlussgelangt,dassderEinsatzdesKESY-VerfahrensimAufzeichnungsmodusnichtverhältnismäßigwar.

3.4 Beanstandung wegen datenschutzrechtlicher Verstöße und Warnung

Unabhängig von der Frage der Rechtsgrundlagen für den BetriebdesKennzeichenerfassungssystems(KESY)imAufzeichnungsmodusstelltenwirbeiunsererPrüfungvorOrtdatenschutzrechtlicheVer-stößefest.

IndenAnordnungenderStaatsanwaltschaftFrankfurt(Oder)findensichübervieleMonatehinwegkeinekonkretenAnweisungen,KESYim Aufzeichnungsmodus als technisches Mittel einzusetzen. Viel-mehrwurde lediglichdieRechtsnormzitiert,ohnedasMittelkon-kretzubenennen.DiePolizeihatdiesbezüglichauchnichtumeineKlarstellung ersucht, sondern das System eigenverantwortlich fürdieObservation imAufzeichnungsmoduseingesetzt.DamithatsiegegendasGebotderDatensparsamkeitunddasdatenschutzrecht-licheErforderlichkeitsprinzipverstoßen.AlsVerfahrensverantwort-lichewardiePolizeiausunsererSichtdarüberhinausverpflichtet,dieüberMonateangesammeltenKennzeichendateninangemesse-nerZeit undnachAbsprachemit der Staatsanwaltschaft auch aufdieErforderlichkeitfürihreweitereSpeicherungfürdasanhängigeErmittlungsverfahren zuüberprüfenundnichtbenötigteDaten zulöschen.DergesamteDatenbestandwurdejedochvorgehaltenundsolltenachAuskunftderPolizeierstmitAbschlussdesVerfahrensgelöschtwerden,wenndieStaatsanwaltschafteineentsprechende

21 Beschluss des Bundesverfassungsgerichts vom 18. Dezember 2018, 1 BvR 142/15.

105

Verfügungerlässt.DiesePraxisverstößtgegendasGebotunverzüg-licherLöschungnichtmehrerforderlicherDatenundistunzulässig.DadiebrandenburgischePolizeidasKennzeichenerfassungssystemimAufzeichnungsmodusnichtnurfürlandeseigeneVerfahren,son-dernüberwiegend inAmtshilfe fürandereStaatsanwaltschaften inAmtshilfebetreibt,liegenhäufigmehrereAnordnungenfürdenglei-chenZeitraumvor.DieüberKESYakkumuliertenDatensindnichtnachden jeweiligen, sich teilweiseüberschneidendenErmittlungs-verfahrengetrennt,waseinedatenschutzgerechteLöschpraxis zu-sätzlicherschwert.

Schließlichstelltenwirfest,dassdiePolizeiesversäumthat,Zugriffs-rechteaufdasVerfahrennachstriktenErforderlichkeitskriterienzubegrenzen.AbgesehenvonderAnzahlderBerechtigtenkonntendieNutzungsberechtigtenbiszu28Tagerückwirkendaufalleerhobe-nenDatenzugreifen.

WirhabendieinderVergangenheitliegendenVerstößederPolizeiimDezember2019gemäߧ36Absatz1Nummer2Brandenbur-gisches Polizei-, Justizvollzugs- undMaßregelvollzugsdatenschutz-gesetz (BbgPJMDSG) beanstandet. Zugleich sprachen wir eineWarnunggemäߧ36Absatz1Nummer1BbgPJMDSGüberdendatenschutzwidrigenEinsatzinderZukunftaus,fallsdiePolizeibe-absichtigt,dieDatenverarbeitungsobeizubehalten.Wir forderten,denbestehendenDatenbestandeinerÜberprüfungzuunterziehenundkünftignichtmehrerforderlicheKennzeichendatenzulöschen.

Das Polizeipräsidium hatte bereits vor unserer Beanstandung teil-weise Abhilfe geschaffen, indem es durch eine interne Dienstan-weisung festlegte, vor demEinsatzvonKESY darauf hinzuwirken,dassdieKennzeichenerfassungundderBetriebsmodushinreichendkonkretinderstaatsanwaltlichenAnordnungbenanntwerden.Auchdie Zahl der Zugriffsberechtigtenwurde durch die PolizeiführungüberprüftundbisJuni2019ummehralsdieHälftereduziert.DieseNotmaßnahmensindzubegrüßen,jedochnichtausreichend.

Wirhabendeutlichgemacht,dassdieStrafverfolgungsbehördenei-nenEingriffindasinformationelleSelbstbestimmungsrechtmitdie-serTragweitefürnichtbeschuldigteVerkehrsteilnehmendenichtaufdieherangezogeneRechtsgrundlage§100hStPOstützenkönnen.DiesePositionwirdauchvonderKonferenzderunabhängigenDa-tenschutzaufsichtsbehördendesBundesundderLändergeteilt,die

106

inihrerEntschließungvom6.November2019geforderthat,dieun-terschiedsloseErfassung,SpeicherungundAuswertungderKennzei-chendatenzurepressivenZweckenzuunterlassenundrechtswidriggespeicherteDaten zu löschen.ObderBeschlussderJustizminis-terinnenundJustizministerderLänderaufihrerFrühjahrskonferenz2019füreineausdrücklichegesetzlicheRegelungdesEinsatzesvonKennzeichenlesesystementatsächlichzueinerRechtsänderungundgegebenenfallszueinerNeubewertungführenwird,bleibtabzuwar-ten.

Wirgehenjedochdavonaus,dass§100hStPOinBrandenburgzu-nächstweiterhinfürdenrepressivenEinsatzvonKESYimAufzeich-nungsmodus herangezogenwird.Daher habenwir u. a. gefordert,dasszumindestdieFormderSpeicherungineinemeinzigenDaten-bestandüberarbeitetwerdenmuss,umunverzüglicheLöschungenzuermöglichen.

Bis zum Jahresschluss war nicht absehbar, ob die PolizeiführungnunmehrdiedatenschutzrechtlicheVerantwortung fürdasVerfah-renübernimmt.EineStellungnahmezuunsererBeanstandungundWarnungerwartenwirfürdenJahresbeginn2020.

4 Einsatz von Körperkameras

Im Rahmen einer Änderung des Brandenburgischen Polizeigeset-zes (BbgPolG)22 wurde im Berichtszeitraum eine RechtsgrundlagefürdenEinsatzvonKörperkameras(sogenannteBodycams)zurEi-gensicherungundDokumentationgeschaffen.Nach§31aAbsatz2BbgPolGkanndiePolizeizurErfüllungihrerAufgabenbeiPersonen-oderFahrzeugkontrollenBildaufnahmen,Bild-undTonaufzeichnun-gendurchdenEinsatzkörpernahgetragenertechnischerMittelher-stellen,wennTatsachendieAnnahmerechtfertigen,dassdieszumSchutzvonBeamtinnenundBeamtenoderDrittengegeneineGe-fahrfürLeib,LebenoderFreiheiterforderlichist.UnzulässigisteinesolcheMaßnahmeu.a.inWohn-undNebenräumen,eingeschränktzulässiginArbeits-,Betriebs-undGeschäftsräumensowieaufande-rembefriedetenBesitztum.

22 Zwölftes Gesetz zur Änderung des Brandenburgischen Polizeigesetzes vom 1. April 2019 (GVBl. I Nr. 3).

107

Bodycams können zunächst im Bereitschaftsmodus betriebenwerden.Hierbeiwird eineBild- undTonaufnahme als sogenanntePre-Recording-Sequenzvon60SekundenDauerimKurzzeitspeicherder Kamera abgelegt und fortlaufend automatisch überschrieben.VersetztdieBeamtinoderderBeamtedieBodycamindenAufzeich-nungsmodus,wirddieletztePre-Recording-Sequenzzusammenmitder fortlaufenden Bild- und Tonaufnahme dauerhaft gespeichert.Wird dieKamera ausgeschaltet, ohne dass derAufzeichnungsmo-duseingeschaltetwar, istdiePre-Recording-SequenzaufgrundderFlüchtigkeitdesKurzzeitspeichersspurenlosgelöscht.

Die brandenburgische Polizei hat uns ihre Planungen zumEinsatzvonKörperkamerasvorgestellt. Beabsichtigt ist ein einjähriges Pi-lotprojekt in den Polizeiinspektionen Potsdam, Oranienburg undCottbus,beidemBodycamsimtäglichenStreifendienstundvonderBereitschaftspolizeigetestetwerden.Dabeisollen20KamerasvonvierverschiedenenHerstellerneingesetztwerden.AmEndedesPro-jektzeitraumsisteinestandardisierteundvergleichendeAuswertungunterBeteiligungdertestendenDienststellenundmitHilfederEx-pertisederHochschulederPolizeiBrandenburgvorgesehen.

DerEinsatzderKörperkameraswirdvorrangiginBrennpunktberei-chen erfolgen, entsprechend der gesetzlichen Regelungen jedochnicht inWohnräumen. Durch ein deutlich sichtbares Piktogrammbzw. einen Aufnäher mit dem Schriftzug „Video/Audio“ in einerSignalfarbeweistdiePolizeideutlichaufdieKamerahin.DasEin-schaltendesAufzeichnungsmoduswirdzudemverbalangekündigt.GrundsätzlichsollendieKamerasabschreckendwirken,umWider-stands-undGewalthandlungenvorzubeugen.Aufzeichnungendür-fenmaximal14Tagegespeichertwerden,außerinFällen,indenensiebenötigtwerdenzurVerfolgungvonOrdnungswidrigkeitenvonerheblicherBedeutungodervonStraftatenoderfürdieÜberprüfungderRechtmäßigkeitvonaufgezeichnetenpolizeilichenMaßnahmen,insbesonderewenneinebetroffenePersondiesverlangt.

Wir haben darauf hingewiesen, dass die deeskalierendeWirkungvon Körperkameras bisher nicht durch eine wissenschaftlich fun-dierteEvaluationbelegtwurde.AusunsererSichtkannderdurchdieVideo-bzw.AudioaufnahmeeintretendeEingriffindasRechtaufin-formationelleSelbstbestimmungnurdurcheinenachweislicherhöh-teSicherheitfürLeib,LebenundFreiheitderPolizeibeamtinnenund-beamten oderDritter gerechtfertigt sein.Wir haben deshalb un-

108

sereZweifelanderGeeignetheitundErforderlichkeitderEingriffs-befugnisdeutlichgemacht.AufjedenFallistdaherimRahmendesPilotbetriebssicherzustellen,dassdieKörperkamerasentsprechendrestriktiveingesetztunddieBeamtinnenundBeamtenangemessenfürdieRechtederbetroffenenPersonensensibilisiertwerden.DiePolizeihatunszugestimmt,dassderEinsatzvonBodycamsnurbeiGefahr einer schweren Körperverletzung oder Lebensgefährdungin Betracht kommt. SollenAufnahmen für andere Zwecke als zurEigensicherung und Dokumentation verwendetwerden, läge eineZweckänderungvor,überdiedieBehördenleitungnachPrüfungderRechtsgrundlagezuentscheidenhätte.

Zudem istderPolizeiklar,dasssiesorgfältiggeeignetetechnischeundorganisatorischeMaßnahmenzuergreifenhat,umdieVertrau-lichkeitundIntegritätderAufzeichnungenzugewährleisten.AlleKa-merasbietenzwareineverschlüsselteSpeicherungan–allerdingskonntediePolizeiaufNachfragekeineAussagenzudenkonkretenVerschlüsselungsverfahrentreffen.HierhabenwirumnachträglicheInformation gebeten.Wir haben außerdemauf dieNotwendigkeiteinerDatenschutz-FolgenabschätzungvorProjektbeginnundaufdiezu erstellenden Fachkonzepte undDokumentationen hingewiesen(z. B. Risikobewertung, IT-Sicherheitskonzept, Rechte-/Rollenkon-zept,Löschkonzept,VerzeichnisderVerarbeitungstätigkeiten).

5 Beratung zur Änderung des Brandenburgischen Polizeigesetzes

DenGesetzentwurfzurÄnderungdesBrandenburgischenPolizeige-setzeshatdieLandesregierungimOktober2018indenLandtagein-gebracht.23WirwurdenvomMinisteriumdesInnernundfürKom-munales bereitswährend des Entwurfsstadiums eingebunden undhattenimJanuar2019nochmalsdieGelegenheit,ineinerAnhörungimAusschussfürInneresundKommunalesdesLandtagesBranden-burgunsereStellungnahmezuerläutern.

Mitdemam1.April2019verkündeten12.Änderungsgesetz zumPolizeigesetz24 wurden neue und teilweise erweiterte Eingriffsbe-fugnissefürdiePolizeigeschaffen.NeueingefügtwurdendieMel-

23 Tätigkeitsbericht Datenschutz 2018, V 1.1.24 Zwölftes Gesetz zur Änderung des Brandenburgischen Polizeigesetzes

vom 1. April 2019 (GVBl I Nr. 3).

109

deauflage,MaßnahmenwiedieerkennungsdienstlicheBehandlung,die anlassbezogene Kennzeichenfahndung, Ausschreibung undverdeckteRegistrierung jeweils zurAbwehrvonTerrorgefahr,Auf-enthaltsvorgabenundKontaktverbotebis zudreiMonatenDauer,derGewahrsamzurVerhinderungeinerStraftatundderEinsatzvonKörperkamerasimöffentlichzugänglichenRaum.UnsereBedenkengegendenverdecktenEinsatztechnischerMittelzurÜberwachungder Telekommunikation durch Eingriffe in informationstechnischeSysteme(sogenannteQuellen-TKÜ)wurdenvomberatendenInnen-ausschussaufgegriffenunddieBefugnisersatzlosgestrichen.

EinegravierendeÄnderungimVergleichzuraltenRechtslageistdieEinführungeinesvonunsalsnichthinreichendkonkretkritisierten„vorverlagerten Gefahrenbegriffs“ bei einigen Erhebungsbefugnis-sen zurAbwehr vonGefahren desTerrorismus.Aus unserer SichtsinddiefestgelegtenEingriffsvoraussetzungen,dieeinepolizeilicheEinschätzungeinerdrohenden– imGegensatz zueinerkonkreten–GefahrenlageundvonmöglicherweisestrafrelevantemVerhaltenerfordern,nichtausreichendbestimmt.DieerwarteteBegehungei-ner Straftatmuss gemäßder neuenVorschrift nur „ihrerArt nachkonkretisiert“seinundineinem„übersehbarenZeitraum“geschehenkönnen.BereitsVerhaltensweisen,dieeine„konkreteWahrschein-lichkeit“ einer Rechtsgutschädigung begründen, sollen Eingrifferechtfertigen können.Mit unsererRechtsauffassung, dassdasAb-weichenvontradiertenGefahrenabwehrkategorienmitunbestimm-tenRechtsbegriffenohnenähereKonkretisierung inderBefugnis-normnichtimEinklangmitsicherheits-undverfassungsrechtlichenPrinzipiensteht,konntenwirunsjedochnichtdurchsetzen.

FürdiebeschlosseneEinführungvonKörperkameraszurAufzeich-nungvonBildundTonzurEigensicherungbeiPersonen-oderFahr-zeugkontrollen, die auch eine Pre-Recording-Funktion (Vorabauf-zeichnung)umfasst,hättenwirunszumindesteineBefristungundanschließendeEvaluierungderMaßnahmehinsichtlichderbehaup-teten Abschreckungswirkungen gewünscht. Dies hat der Landtagjedochnichtumgesetzt.

ImVergleichzudenÄnderungenderPolizeigesetzeandererLänderfälltdieErweiterungpolizeilicherBefugnisse inBrandenburgnochmoderat aus. Dennoch haben wir neben der konkreten Kritik aneinzelnenMaßnahmendeutlich gemacht, dassunsdie stetigeKu-mulation vonDatenerhebungen durch neue Erlaubnisnormen und

110

herabgesenkteEingriffsschwellen zunehmendSorgenbereitetunddiePolizeieineGesamtschauderEingriffsbefugnisseundderdamiteinhergehendengrundrechtlichenBelastungenderBürgerinnenundBürgervornehmenmuss.

6 Beratung zur Umsetzung der Richtlinie (EU) 2016/680: Brandenburgisches Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz

Die EU-Richtlinie 2016/680 (sogenannte JI-Richtlinie) stellt daszweiteStandbeindereuropäischenDatenschutzreformdar; sie istfürdenBereichderDatenverarbeitungvonSicherheitsbehördenundbeiderStrafvollstreckungmaßgeblich.DieRichtliniewaram5.Mai2016inKraftgetretenundräumtedenMitgliedstaateneinezweijäh-rigeUmsetzungsfristbiszum6.Mai2018ein.DaesinBrandenburgnichtgelang,dieentsprechendenLandesvorschriftenfristgerechtzuerlassen,beschlossderLandtagimApril2018eineÜbergangsrege-lung.FürdieDatenverarbeitungderPolizeiundOrdnungsbehörden,soweitsieOrdnungswidrigkeitenverfolgen,galtdasBrandenburgi-scheDatenschutzgesetzinseinerbisherigenFassungfort,währendindenübrigen,nichtderDatenschutz-Grundverordnung(DS-GVO)unterfallendenAnwendungsbereichendasnovellierteBrandenbur-gische Datenschutzgesetz und die Datenschutz-Grundverordnungfürentsprechendanwendbarerklärtwurden.ImJahr2019wurdendieVorgabenderRichtlinieaufLandesebenedurchdasBrandenbur-gische Polizei-, Justizvollzugs- undMaßregelvollzugsgesetz (BbgP-JMDSG)25umgesetzt.Estratzum22.Juni2019inKraft.

ImZugederbrandenburgischenStrategie,einengemeinsamenGe-setzentwurf für die Bereiche Polizei, Justiz- und MaßregelvollzugmitdenallgemeinenInhaltenderJI-Richtlinievorzubereitenundnureinzelne,spezialgesetzlicheÄnderungenindenFachgesetzen(Poli-zeigesetz, Strafvollzugs- und Maßregelvollzugsgesetz) einzufügen,wareine interministerielleArbeitsgemeinschaftgegründetworden.Indiesewurdenwir imHerbst2018zunächstfüreineSitzungmit

25 Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 für die Verarbeitung personenbezogener Daten durch die Polizei sowie den Justiz- und Maßre-gelvollzug des Landes Brandenburg vom 19. Juni 2019 (GVBl. I 2019 Nr. 43).

111

einbezogen. Unsere beratende Mitarbeit in diesem Gremium fieljedoch dem engen parlamentarischen Zeitrahmen zumOpfer.DieMinisterienwünschtenunterallenUmständeneineUmsetzungderRichtliniebiszumEndederlaufendenLegislaturperiodeimSommer2019.WirkonntendiesenProzesszwarmiteinererstenStellung-nahmebegleiten,dawirvomMinisteriumdesInnernundfürKom-munalesfrühzeitigbeteiligtwurden.AngesichtsdesZeitdrucksundkurzerFristenwardiegebotenetiefergehendeBefassungmitdemGesetzentwurfjedochnichtmöglich.Wirhabenunsdaherdafüraus-gesprochen,dasVorhabenaufdenBeginnderneuenWahlperiodezuverschieben.Dem folgte die Landesregierung nicht.Der feder-führendeAusschuss für Inneres undKommunales, an den der am28.Februar2019ausgegebeneGesetzentwurfderLandesregierungzurBeratungüberwiesenwurde,führteeineschriftlicheAnhörungdurchundersuchteunsimApril2019umeineStellungnahme,derenwesentlichen Inhalt die Landesbeauftragte in einer nachfolgendenAusschusssitzungnochmalserläuternkonnte.

Nurwenigeunserer Empfehlungenwurden imGesetz berücksich-tigt.NebenbegrifflichenBesonderheiten,dievonderTerminologiederRichtlinieweiterhinabweichenundineinigenFällenVerkürzun-gendarstellen,sehenwiru.a.folgendeRegelungsaufträgenurunzu-reichendumgesetzt:

• AusderJI-RichtlinieunddenvorangestelltenErwägungsgründengehthervor,dasssoweitwiemöglichzwischendenpersonen-bezogenenDatenverschiedenerbetroffenerPersonengruppen,wiezumBeispielderVerdächtigen,Verurteilten,Opfer,Zeugin-nenundZeugen,klarzuunterscheidenist.DieserAnsatzwurdenichtindasbrandenburgischeGesetzübernommen.

• PolizeilichesTätigwerdenzurGefahrenabwehroderimStrafver-folgungsbereichumfassthäufigMaßnahmenzurDatenverarbei-tung, denen die betroffene Person aufgrund einer rechtlichenVerpflichtungauchgegenihrenWillennachkommenmuss.Wer-denDaten durch die zuständigenBehörden aufgrund einer solegitimiertenAnweisungoderAnordnungverarbeitet, sieht dieJI-Richtlinie vor, dass diese Datenverarbeitung grundsätzlichnicht durch eine Einwilligung der betroffenen Person gerecht-fertigtwerden kann. Schließlich besteht in diesenFällen keineFreiwilligkeit,dieabereinwesentlichesElementderEinwilligungist.Nur imAusnahmefall sollenBetroffene derDatenverarbei-

112

tungfürpräventiveoderrepressiveZweckezustimmenkönnen,insbesonderewenndiesineinerRechtsvorschriftvorgesehenist.DieFormulierunginderumsetzendenNorm(§10BbgPJMDSG)verkenntdiesescharfeTrennung,indemsielediglichdieOptionerläutert,dasseineDatenverarbeitungaufderGrundlageeinerEinwilligungerfolgenkannundfürdiesenFallVoraussetzungenfestlegt,ohneklarzustellen,aufwelcheSituationensichdiesbe-schränkt.

• EinweitererKritikpunktbetrafdieAufsichtsbefugnissederoderdesLandesbeauftragten,diedurchdasneueGesetzverkürztwer-den.DieJI-Richtlinieverpflichtet die EU-Mitgliedstaaten dazu,wirksame Untersuchungs- und Abhilfebefugnisse zu schaffenundbenenntdabeibeispielhaftverschiedene,alternativanwend-bareMaßnahmenbishinzurvorübergehendenoderendgültigenBeschränkung oder einem Verbot der Datenverarbeitung. DaMaßnahmenvonErmittlungsbehördenteilweiseerheblichindasRecht auf informationelle Selbstbestimmung eingreifen, habenwirunsdafürausgesprochen,diesenKatalogauszuschöpfenundalsUltimaRatioaucheinVerbotderDatenverarbeitungzuzulas-sen.DieimBrandenburgischenPolizei-,Justizvollzugs-undMaß-regelvollzugsdatenschutzgesetz festgelegten Befugnisse sehendagegeneinzweistufigesSystemvor,daseineAnweisung,Datenzuberichtigen, zu löschenoder ihreVerarbeitungeinzuschrän-ken,voneinervorgeschaltetenerfolglosenBeanstandungoderWarnungdurchdieLandesbeauftragteabhängigmacht.AufdieMöglichkeit, eine Datenverarbeitung zu untersagen, verzichtetdasneueGesetzvollständig.

• Schließlichhabenwirbemängelt,dassauchbeitechnisch-organi-satorischenMaßnahmen,diederVerantwortlichezutreffenhat,AbweichungenvondenVorgabenderRichtliniezuInkonsisten-zen,UngenauigkeitenundteilweiseauchAbschwächungenderdatenschutzrechtlichenAnforderungengeführthaben.Sohaltenwiresbeispielsweisefürunzureichend,SicherheitsmaßnahmeneinschränkendvondenKostenfürdieUmsetzungabhängigzumachen(§17BbgPJMDSG)oderdiegeboteneTrennungvonDa-tennachZweckenundbetroffenenPersonenunterdenVorbe-haltzustellen,dassdiesmöglichbzw.ohneunverhältnismäßigenAufwandmöglichist(§20BbgPJMDSG).

113

WiesichdasneueGesetzinderAnwendungspraxisbewährt,bleibtabzuwarten. Angesichts der Missbrauchspotenziale, die im Rege-lungsbereichderJI-RichtliniebeipolizeilichenDatenbeständenbe-stehen,kanneserforderlichwerden,Umsetzungsdefizitezubeseiti-genunddasGesetznachzubessern.

7 Zahlen und Fakten

ImBerichtszeitraumerreichtenuns27BeschwerdengegenDaten-verarbeitungsvorgänge ausdemBereichderpolizeilichenTätigkeitund drei Beschwerden, die sich ausschließlich gegen solche derStaatsanwaltschaftenimLandBrandenburgrichteten.ImmerwiedergingesdabeiumAuskunftsersuchenbetroffenerPersonen,dienichtodernurzumTeilerfülltwurden,aberauchumdenFehlversandvonDokumentenmitpersonenbezogenenDatenanDritteoderFragenderRechtmäßigkeitfürpolizeilicheÜbermittlungsbefugnisseanan-dereöffentlicheStellen.Etwa20ProzentderFällebezogensichaufdiepotenzielleErfassungundSpeicherungderpersonenbezogenenDatenderBeschwerdeführerinnenundBeschwerdeführerdurchdaspolizeilicheKennzeichenerfassungssystemKESY.Darüberhinausha-benwirbetroffenePersonenauchaußerhalbvonBeschwerdefälleninerheblichemUmfangberaten.DiegenaueZahllässtsichimNach-hineinnichtangeben,dadiesnurzumTeilinAktenerfasstwurde.

InsechsFällenhabenwirdieLandesregierungsowieVerantwortlicheingrößeremUmfangberaten,sozumBeispieldiePolizeiBranden-burg hinsichtlich der datenschutzrechtlichen und technisch-orga-nisatorischen Voraussetzungen für die geplante Einführung vonKörperkameras. EinweiteresGroßprojekt unter Führung des Lan-deskriminalamtes,daswirimBerichtsjahrberatendbegleitethabenundweiterbegleitenwerden,istdasLandesprojektzurUmsetzungdes imAufbaubefindlichenneuenPolizeilichen Informations-undAnalyseverbunds (PIAV) und des einheitlichen Fallbearbeitungs-systems (eFBS). In diesem Zusammenhang nahmen wir auch amInformationsaustausch mit Vertreterinnen undVertretern der Da-tenschutzaufsichtsbehörden anderer Bundesländer und des Bun-desbeauftragten fürdenDatenschutzunddie Informationsfreiheitteil.DesWeiterenhabenwirzusammenmitdenAufsichtsbehördender anderen beteiligten Bundesländer umfangreiche BeratungenimRahmendesAufbausdesGemeinsamenKommunikations-und

114

Dienstleistungszentrums durchgeführt. Intensive Beratungen desMinisteriumsdesInnernundfürKommunaleserfolgtenfürdas12.Änderungsgesetz zum Brandenburgischen Polizeigesetz und dasUmsetzungsgesetz für die Richtlinie (EU) 2016/680 (JI-Richtlinie),das Brandenburgische Polizei-, Justizvollzugs- und Maßregelvoll-zugsdatenschutzgesetz(BbgPJMDSG).

Zu denbeiden letztgenanntenGesetzesvorhabenwar die Landes-beauftragte imBerichtszeitraumaußerdemanden jeweiligenpar-lamentarischenVerfahren beteiligt undhat hierzu gegenüber demzuständigenAusschussdesLandtagesBrandenburgStellunggenom-men.GegenüberdemVerfassungsgerichtdesLandesBrandenburghatdieLandesbeauftragtezudemimRahmeneinesBeschwerdever-fahrenseineStellungnahmeabgegeben.

Auffälligist,dassunsimBerichtszeitraumkeineinzigerVerantwort-licherDatenschutzverletzungenimGeltungsbereichderJI-Richtliniegemeldethat.DiemitderUmsetzungderRichtlinie in§29BbgP-JMDSGeingefügteVerpflichtungzuderartigenMeldungentratal-lerdingserstam22.Juni2019inKraftundistvermutlichnochnichtausreichendbekannt.

ImBerichtszeitraumhatdieLandesbeauftragteeineBeanstandungnach§25BbgDSGinderam24.Mai2018geltendenFassung,zweiBeanstandungennach§36Absatz1Nummer2BbgPJMDSGundeineWarnungnach§36Absatz1Nummer1BbgPJMDSGausge-sprochen.

115

VII Statistik

116

117

Teil C: Die Dienststelle

1 Öffentlichkeitsarbeit  118

2 Pressearbeit  121

3 Personal und Organisation der Dienststelle  125

4 Neue Aufgaben der Landesbeauftragten in denDatenschutzgremien  126

4.1 Vorsitzineinemnationalen Arbeitskreis  126

4.2 LändervertretungineinereuropäischenArbeitsgruppe  127

118

1 Öffentlichkeitsarbeit

DerSafer InternetDayisteinvonderEuropäischenUnioninitiier-ter,jährlichveranstalteterweltweiterAktionstagfürmehrSicherheitimInternet.ImBerichtsjahrfanderam5.FebruarunterdemMotto„Togetherforabetterinternet“statt.DieLandesbeauftragtebetei-ligtesichdarangemeinsammitdemMinisteriumderJustizundfürEuropa undVerbraucherschutz sowiemit derVerbraucherzentraleBrandenburg.IhreMitarbeiterinnenundMitarbeiterinformiertenandiesemTag in den Bahnhofspassagen des PotsdamerHauptbahn-hofszumThema„ImNetz?MitSicherheit!“.SchwerpunktderAktionwardie SicherheitvonSmartphones. PassantinnenundPassantenerhielten einfach umzusetzendeHinweise,mit denen sich verhin-dern lässt,dassdieeigenenDatenaufdemSmartphone infalscheHändegeraten.

Die Sicherheit von Smartphones war auch Thema eines Informa-tionsstandesderLandesbeauftragtenaufdemTagderoffenenTürimLandtagBrandenburgam6.April2019.IneinerspielerischenUm-fragehabenwirBesucherinnenundBesucherunseresStandesge-beten,einigeFragenzurNutzungdesSmartphoneszubeantworten.Unsinteressierte,welcheSicherheitsmaßnahmensiekonkretumset-zen.DieunerwartetregeBeteiligunghabenwirzumAnlassgenom-men, die Ergebnisse – selbstverständlich anonym – auszuwerten.Auchwenndie215Antwortensichernichtrepräsentativsind:UmbeiVerlustoderDiebstahldesMobiltelefonseinenBasisschutzvorunbefugtemZugriffaufpersönlicheDatenzugewährleisten,nutz-ten83%derBefragteneineZugangssperrebeiihremSmartphone. 74%derBefragtengabenan,regelmäßigaktuelleSicherheitsupda-tes zu installieren. Regelmäßige Daten-Backups setzten allerdingsnur42%um.EinemöglicheErklärungfürdiegeringereNutzungs-rate–imVerhältniszudenanderenerwähntenMethoden–könntediekomplexere technischeUmsetzung sein.EineVielzahlderTeil-nehmerinnenundTeilnehmerwarsichderRisikenbewusst,dieeinepermanente und uneingeschränkte Nutzung von Ortungsdienstenwie GPS bedeuten kann. 59% der Befragten achteten auf einenbewusstenUmgangmitdiesemDienstunddeaktiviertenihn,wennsie ihn nicht benötigten. Etwasmehr als 50% achteten nicht aufdieDeaktivierungderWLAN-SchnittstelleihresMobilgerätes,wennsiediesenichtbenötigten.InsgesamtlässtsichdasBewusstseinderBefragtenfürdieSicherheitvonSmartphonesalsodurchauspositivbewerten.BeidenFragenzuZugangssperrenundSicherheitsupda-

119

tesistfestzuhalten,dassdiegroßeMehrheitMindeststandardsdesDatenschutzesfürMobilgerätenutzt.DieAntwortenaufdieande-renFragenlassendurchausdenSchlusszu,dasseingroßerAnteilderbeiderUmfragemitwirkendenGästedesTagesderoffenenTürimLandtagsichmitdiesenThemenzumindestauseinandersetzt.

Seit Jahren stellt die Landesbeauftragte in ihrem InternetangebotMusterschreibenfürSelbstauskünftezurVerfügung.Dieseerleich-tern es Betroffenen, bei verantwortlichen Stellen Informationenüber die zur eigenen Person gespeicherten Daten zu erfragen,Berichtigungen zu erreichen,Widerspruch gegen die Datenverar-beitungeinzulegenundunterUmständendieLöschungderperso-nenbezogenenDatenzuerzwingen.ImZugedesWirksamwerdensder Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018wareineAnpassungandieneueRechtslageerforderlichgeworden,sodasswirdieMusterschreibenvorübergehendvomNetznehmenmussten.ImBerichtsjahrkonntenwirsieingründlichüberarbeiteterFormwiederbereitstellen.MehrereAuskunftsanliegen,diezuvorinseparatenVordruckenberücksichtigtwurden,habenwirzusammen-gefasst,sodassdieZahlderSchreibensichzugunstenderÜbersicht-lichkeitreduzierte.

DieDruckbroschüredesbereits imJahr2018andieneueRechts-lage angepassten Brandenburgischen Datenschutzgesetzes habenwir,nachdemdieersteAuflagevergriffenwar,imBerichtsjahrnach-druckenlassen.AußerdemhabenwirdasBrandenburgischePolizei-,Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz, das dieRichtlinieEU2016/680umsetzt,alsBroschüreherausgegeben.DasGesetzwarvomLandtagBrandenburgimJuni2019verabschiedetworden.InhaltlichüberarbeitetundneuaufgelegthabenwirimBe-richtszeitraumdas Faltblatt „DigitaleAngriffe?Nicht beimir!“.DiegenanntenPublikationensindaufWunschinPapierformkostenloserhältlichundsteheninunseremInternetangebotinelektronischerFormzurVerfügung.

Die intensive Abstimmung zwischen den unabhängigen Daten-schutzaufsichtsbehördendesBundesundderLänderimRahmenderDatenschutzkonferenzschlugsichauchinderÖffentlichkeitsarbeitnieder. So beteiligte sich die Landesbeauftragte – ebensowie dieübrigenKonferenzmitglieder – an derAusrichtung einer zentralenVeranstaltunganlässlichdes13.EuropäischenDatenschutztagesam28.Januar2019 inBerlin.Siestandganz imZeichender jüngsten

120

ReformdesDatenschutzrechts: „EuropäischerDatenschutz:Chan-ceoderRisiko?AchtMonateDatenschutz-Grundverordnung–Bi-lanzundBlicknachvorn“.DieKonferenzvorsitzendedesVorjahres–die Landesbeauftragte fürDatenschutz und InformationsfreiheitNordrhein-Westfalen – hat diese Veranstaltung organisiert. Etwa230 Gäste aus Politik,Wirtschaft, Verwaltung sowie interessierteBürgerinnenundBürgernahmendaranteil.

Gemeinsammit den übrigen unabhängigenDatenschutzaufsichts-behörden des Bundes und der Länder hat die Landesbeauftragtemehrere neue Papiere für die Praxis des Datenschutzes in unter-schiedlichenSachgebietenveröffentlicht.DazuzählendieOrientie-rungshilfe fürAnbietervonTelemedien, dieOrientierungshilfemitAnforderungenanAnbietervonOnline-DienstenzurZugangssiche-rung sowie die Orientierungshilfe zu dem Einsatz von Bodycamsdurch private Sicherheitsunternehmen. In drei PositionspapierenlegtdieKonferenzihreRechtsauffassungzurbiometrischenAnalyse,zurUnzulässigkeitvonVideoüberwachungausFahrzeugen (mittelssog.Dashcams)sowiezurNutzungvonKameradrohnendurchnichtöffentlicheStellendar.DasWhitepaper„TechnischeDatenschutzan-forderungen anMessenger-Dienste imKrankenhausbereich“ dientderöffentlichenKonsultation.VeröffentlichthatdieKonferenzda-rüber hinaus ein Prüfschema zum Datenschutz bei Windows 10sowie eine Beschreibung des Akkreditierungsprozesses für denBereich „Datenschutz“ gemäß Artikel 42, 43 DS-GVO. Das Stan-dard-Datenschutzmodell–eineMethodezurDatenschutzberatungund-prüfungaufderBasiseinheitlicherGewährleistungsziele–liegtinzwischenineinerüberarbeitetenVersion2.0vor.ImBerichtszeit-raumhatdieKonferenzeinweiteresKurzpapiererarbeitet,dasdieEinwilligungnachderDatenschutz-Grundverordnungbehandelt.Beideninzwischen20KurzpapierenhandeltessichumHilfestellungenfürkleineundmittlereUnternehmenbeiderUmsetzungderneuenRechtslage.DiegenanntenDokumentesteheninunseremInterne-tangebotinelektronischerFormzurVerfügung.

In gleicher Weise veröffentlicht die Landesbeauftragte auch dievom Europäischen Datenschutzausschuss herausgegebenen Leitli-nien.ImBerichtsjahrwarendiesdieLeitlinien1/2019überVerhal-tensregeln und Überwachungsstellen gemäß derVerordnung (EU)2016/679sowiedieLeitlinien2/2019zurVerarbeitungpersonen-bezogener Daten unter Artikel 6 Absatz 1 Buchstabe b DS-GVOimZusammenhangmitderBereitstellungvonOnline-Diensten für

121

betroffenePersonen.WeitereLeitliniendesAusschusses (z.B. zurVideoüberwachungundzumRechtaufVergessenwerden)befindensichgegenwärtig inderöffentlichenKonsultation.AlleDokumentewerdensukzessiveindiedeutscheSpracheübersetzt.

2 Pressearbeit

AusAnlassdesSafer InternetDaysam5.Februar2019informier-tendieLandesbeauftragte,dasMinisteriumderJustizund fürEu-ropaundVerbraucherschutzunddieVerbraucherzentraleBranden-burgineinerPresseinformationüberihreandiesemTaggemeinsamdurchgeführteAktion „Sichern Sie Ihr Smartphone“.Mitarbeiterin-nen undMitarbeiter aller drei Einrichtungen gaben hierzu in den Bahnhofspassagen des PotsdamerHauptbahnhofs praktischeHin-weise.

Ende März informierten wir über ein Urteil des Bundesverwal-tungsgerichtsvom27.März2019zurVideoüberwachung ineinerbrandenburgischen Zahnarztpraxis. Die Landesbeauftragte hattederZahnärztinaufgegeben,dieKamerasoauszurichten,dassderfürPatientinnenundPatientenundsonstigeBesucherinnenundBesu-cherzugänglicheBereichnichtmehrerfasstwird.DieRechtmäßig-keitdieserAnordnunghatdasBundesverwaltungsgericht ineinemRevisionsverfahren bestätigt. Über den Einzelfall hinaus kam derEntscheidungeinegrundsätzlichedatenschutzrechtlicheBedeutungzu.DieRichterinnenundRichterbestätigtendarin auchdie zuvorteilweisebestritteneRechtsauffassungderDatenschutzaufsichtsbe-hördenzumVorrangdesUnionsrechtsvordemBundesdatenschutz-gesetzaufdemGebietderVideoüberwachungdurchPrivate.

Am25.Mai2019zogdieLandesbeauftragteanlässlichdeserstenJahrestages der Geltung der Datenschutz-Grundverordnung eineersteBilanz.AlspositivbewertetesiedieStärkungdesDatenschut-zesalsBürgerrecht,eindeutlichgestiegenesBewusstseinaufallenEbenen und die internationale Signalwirkung. Allerdings wies sieauch kritisch aufdenNachholbedarf somancherVerantwortlichersowieaufdenZuwachsvielfältigerneuerAufgabenihrereigenenBe-hördebeiknappenRessourcenhin.

ImVorfeld derWahlen zum Landtag Brandenburg rief dieDaten-schutzbeauftragte die Parteien zu einem sorgsamen Umgang mitWählerdatenauf.AuchhiergeltendieVorschriftenderDatenschutz-

122

Grundverordnung.DiesbetrifftbeispielsweisedenUmgangmitAus-künftenausdemMelderegister,denVersandvonWahlwerbung,denHaustürwahlkampfunddenEinsatzsozialerNetzwerke.WirbotenindiesemZusammenhangausdrücklichunsereBeratungan.

Am 20.August 2019machtenwir die Beanstandung der Landes-beauftragtengegenüberdemPolizeipräsidiumBrandenburgpublik.GrundwardessenmangelndeUnterstützung imRahmeneinerda-tenschutzrechtlichen Prüfung des Systems zur automatisiertenKennzeichenfahndung(KESY)–dasPolizeipräsidiumhattederDa-tenschutzaufsichtsbehörde die Einsicht in gerichtliche Beschlüssebzw. staatsanwaltschaftliche Anordnungen verweigert. Die Frageder Zulässigkeit der automatisierten Kennzeichenfahndung aufbrandenburgischenAutobahnensowiediePrüftätigkeitderLandes-beauftragtenwarenimBerichtsjahrwochenlangintensivindenMe-diendiskutiertworden.

ImSommerhäuftensichHinweiseaufAkten,dieauffreizugänglichenFlächenoder inungenutztenGebäudenherumlagenund teilweisesogar Sozialdaten enthielten.Dies nahmenwir am11. September2019 zum Anlass, über die entsprechenden Aufsichts- und Buß-geldverfahrenunsererBehördezurAhndungdieserDatenschutzver-stößezuinformieren.AußerdemriefdieLandesbeauftragteinihrerPresseinformationUnternehmen undVereine auf,DatensicherheitsowohlbeiderelektronischenDatenverarbeitungalsauchbeimUm-gangmitPapieraktenalsDaueraufgabewahrzunehmen.

EinUrteildesEuropäischenGerichtshofsvom1.Oktober2019be-antwortetedie langeumstritteneFrage,wieCookiesdatenschutz-gerechteingesetztwerdenkönnen.AusdiesemAnlass informiertedieLandesbeauftragteam7.Oktober2019überihreForderunganöffentlicheStellen,UnternehmenundVereine inBrandenburg,dieCookie-Funktionen ihrerWebseitenzuüberprüfenundverständli-cheOptionenfürdieerforderlicheEinwilligungderNutzerinnenundNutzeranzubieten.

AusAnlasszahlreicherBeschwerdenüberundHinweiseaufdieun-zulässigeEinbindungvonAnalyse-DienstenaufWebseitenbranden-burgischerBetreiberinnenundBetreiberwiesdieLandesbeauftragteimNovember2019darauf hin, dass diese einewirksameEinwilli-gungderBesucherinnenundBesucherbenötigen,wennsieDiensteDrittereinbinden.SiefordertedieVerantwortlichenauf,ihreWeb-

123

seitenaufdieZulässigkeitvonAnalyse-ToolsundTracking-Mecha-nismenzuüberprüfenundkündigteimFallederBeschwerdenundHinweiseihreaufsichtsrechtlichePrüfungan.

Beiden84 imJahresverlaufandieLandesbeauftragtegerichtetenPresseanfragen lassen sich zwei deutliche Schwerpunkte ausma-chen:ImAprilundMai2019berichtetenvieleMedienüberdieEr-fahrungenderAufsichtsbehörden imerstenJahr nachderEinfüh-rungderDatenschutz-Grundverordnung.IndenanunsgerichtetenAnfragengingesnebeneinerEinschätzungdieserErfahrungenvorallemumstatistischeAngabenzurAnzahlderBeschwerden,derver-hängtenBußgelder,zuSanktionenundMaßnahmensowiezurZahldergemeldetenDatenschutzverstöße.ZwarhatderNeuigkeitswertderDatenschutzreformganzoffensichtlichnachgelassen–dieAn-fragenzurEinführungdesneuenDatenschutzrechtsnahmenerwar-tungsgemäßdeutlichab.DasInteresseanderAufsichtstätigkeitderLandesbeauftragten war jedoch nur unwesentlich geringer als imVorjahr.

ImOktober 2019war die datenschutzrechtlicheEinschätzungderLandesbeauftragten zur Rechtsgrundlage für die automatisierteKennzeichenfahndung imZusammenhangmit einementsprechen-denVerfahrenvordemLandesverfassungsgerichtBrandenburgamhäufigstengefragt.AufdiesemThemalageindeutigder inhaltliche

02468101214

PresseanfragenimJahresverlauf2019

124

SchwerpunktderAnfragendesJahres2019.DasInteresseanKESYerklärtzugleichdengrößtenTeilderAnfragen,dieunsimWesent-lichenseitdemFrühjahr2019zurTätigkeitderPolizeibehördener-reichten.

Ein weiterer inhaltlicher Schwerpunkt der Presseanfragen lag aufdemThemaVideoüberwachung.Hier interessiertensichdieMedi-enfürganzunterschiedlicheArtendesKameraeinsatzes–vonderWebcamüberdieÜbertragungvonGremiensitzungen,denEinsatzineinerSchule,KamerafahrtenfürelektronischeKartendienstebishin zurVerkehrsüberwachung. Die Fragen zurVideoüberwachungverteiltensichimGegensatzzudenbeidenanderenSchwerpunktenmehroderwenigergleichmäßigüberdasJahr.

WiebereitsimVorjahrstelltenwirfest,dassdiemeistenAnfragen–etwa45%–vonJournalistinnenundJournalistengestelltwerden,diefürTageszeitungenrecherchieren.DasInteressevonFernsehen,Online-MediensowieNachrichtenagenturenbeläuftsichjeweilsaufetwasmehralseinZehnteldergesamtenPressekontakte.WeitüberdieHälftederAnfragenstammtvonMedienausderRegion;etwasmehralseinDrittelhateinenüberregionalenBezugundnurknappfünfProzentderKontaktereichenüberdieGrenzenderBundesre-publikDeutschlandhinaus.

22

19107

6

4 16

Polizei Aufsichtstätigkeit der LDAVideoüberwachung Einführung der DS-GVOSchulen und Kitas WirtschaftSonstige

Schwerpunkt der Presseanfragen

125

3 Personal und Organisation der Dienststelle

Im Berichtsjahr hat die Dienststelle insgesamt fast zwei DutzendStellenbesetzungsverfahren durchgeführt. Dieswurde deshalb er-forderlich,weilmirderLandtagfürdenDoppelhaushalt2019/2020fünfneueStellenbewilligthat.DarüberhinauswarensieveranlasstdurchdenWechselvonBeschäftigtenzuanderenArbeitgeberinnenundArbeitgebernoderDienststellenimLandBrandenburg,dieVer-tretungvonElternzeiten,dasErreichendergesetzlichenAltersgren-zesowiedasErringeneinesLandtagsmandats.

WährenddieStellenbesetzungensowohlimjuristischenalsauchimVerwaltungs-undSekretariatsbereicherfolgreichmitqualifiziertenMitarbeiterinnen und Mitarbeitern gelangen, war der Fachkräfte-mangelanInformatikerinnenundInformatikerndeutlichzuspüren.ImLaufedesBerichtsjahreswarenzeitweisenichteinmaldieHälfteder Stellen imBereichTechnik undOrganisation besetzt.Dies er-schwerteunsereArbeiterheblich.BiszumEndedesBerichtsjahreskonnten zwei Informatiker eingestelltwerden; drei Stellenbleibenallerdingsnochvakant.

ImTätigkeitsbericht2018hatteichbereitsdarüberinformiert,welcheneuen inhaltlichenundorganisatorischenAufgabenmeineDienst-stelleimZugederintensiviertenZusammenarbeitdereuropäischenAufsichtsbehördenseitMai2018zubearbeitenhat.NichtnurBe-schwerdenzugrenzüberschreitendenDatenverarbeitungsprozessenerforderneineengeAbstimmung zwischendenbetroffeneneuro-päischenAufsichtsbehörden.Auchdavonlosgelöststimmensichdieeuropäischen Datenschutzaufsichtsbehörden zunehmend intensivab,umdasRechteinheitlichanzuwenden.BereitsnacheinigenMo-naten der europaweitenKooperation hat sich herausgestellt, dassdieBefassungmitgrenzüberschreitendenSachverhaltensowiedieerforderlichen Abstimmungsverfahren im Rahmen der bisherigenOrganisationinmeinerDienststelleaußerordentlichaufwändigwa-ren.Diesliegtnichtzuletztdaran,dassdieeuropäischeKooperationinenglischerSprachegeführtwirdundderNutzungeines spezifi-schenInformationssystemsbedarf.

UmdieProzesseeffektiverzugestalten,habeichdieeuropäischenAufgabenzuBeginndesBerichtsjahresineinereigenständigenOr-ganisationseinheit(Europa-IMI-Stelle)gebündelt.Hierfürwurdeu.a.

126

eineigenesPostfacheingerichtet,überdasmeineDienststelleauchfürKolleginnenundKollegenausanderenMitgliedstaatenerreich-bar ist und dieKommunikation zu europäischenKooperationsver-fahrenzentralverwaltetwird.BetreutwirddieEuropa-IMI-StellevondreiReferentinnenundReferenten,diehierfürteilweisevonanderenAufgabenentlastetwurdenundUnterstützungdurchdasSekretariaterhalten.

Die Pläne, meine Dienststelle von Kleinmachnow in die Landes-hauptstadt Potsdam zu verlegen, zerschlugen sich im Berichtsjahrleider erneut. Der bestehenden Raumnot am aktuellen DienstsitzkonntenurnochdurchdieAufgabezahlreicherFunktionsräumeunddieTeilungeinesBeratungsraumsinzweizusätzlicheBürosbegeg-netwerden.SämtlicheNotlösungensind inzwischenausgeschöpft.DarüberhinausistdiefehlendeBarrierefreiheitnachwievoreinPro-blem–auchfürBürgerinnenundBürger,diedieDienststellebesu-chen.DadiederzeitigeräumlicheSituationfürdieBeschäftigtenzu-nehmendbelastendistunddieAufgabenerfüllungerschwert,werdeichmichweiteraktivbemühen,dieUnterbringungderDienststelleinderLandeshauptstadtPotsdamzurealisieren.HierbeihoffeichaufdieUnterstützungdesLandtagesundderLandesregierung.

4 Neue Aufgaben der Landesbeauftragten in den Datenschutzgremien

4.1 Vorsitz in einem nationalen Arbeitskreis

Auf Beschluss der Konferenz der unabhängigen Datenschutzauf-sichtsbehördendesBundesundderLänderhabeichdenVorsitzdesArbeitskreisesVerwaltungvonmeinemsächsischenKollegenüber-nommen.GleichzeitigwurdendieThemenfelder,diederArbeitskreisbearbeitet,erheblichausgeweitet.VordemHintergrunddergeplan-tenumfassendenDigitalisierungderVerwaltung–auchimKontextderUmsetzungdesGesetzeszurVerbesserungdesOnlinezugangszuVerwaltungsleistungen–sindbundesweittiefgreifendeÄnderun-geninderdeutschenVerwaltungslandschaftzuerwarten,dieaucheine aktive Begleitung undMitwirkung derDatenschutzaufsichts-behördenerfordern.MitderLeitungdesArbeitskreisesunterstütztmeineDienststelledieseProzessekünftigaktiv.

DieKonferenzhatmehrereArbeitskreiseeingerichtet.Siearbeitenihrzu, indemsiegemeinsamePositionenaufArbeitsebeneabstim-

127

men und Entscheidungenvorbereiten.DieseArbeitskreise deckenverschiedene fachliche Fragestellungen zu rechtlichen und tech-nisch-organisatorischenAspektendesDatenschutzesab.Üblicher-weiseführtjeweilseinKonferenzmitglieddenVorsitzeinesArbeits-kreises.IhmkommtnebenderorganisatorischenVorbereitungderindenmeistenFällenhalbjährlichenSitzungenauchdieFederführungfürdieinhaltlichenArbeitendesGremiumssowiedieKoordinationder Zusammenarbeit der teilnehmenden Datenschutzaufsichtsbe-hördenzu.

4.2 Ländervertretung in einer europäischen Arbeitsgruppe

Im Berichtszeitraum habe ich die Vertretung der unabhängigenDatenschutzaufsichtsbehörden der Länder in der Compliance,E-GovernmentundHealthExpertSubgroupdesEuropäischenDa-tenschutzausschusses übernommen. Diese Subgroup ist bereitsausweislichihrerBezeichnungfüreinumfangreichesFachgebietzu-ständig.AlseinevonmehrerenArbeitsgruppenunterstütztsiedenEuropäischenDatenschutzausschussbei seiner europaweitenAuf-gabe,eineeinheitlicheAnwendungderDatenschutzvorschriftenzufördern.

MeineDienststellehatdamitkünftigdieAufgabe,dieZusammen-arbeitderunabhängigenDatenschutzaufsichtsbehördenderLänderinnerhalb der Subgroup zu koordinieren sowie deren Positionenzu Stellungnahmen, Leitlinien, Empfehlungen sowieweiteren Ent-scheidungen des Europäischen Datenschutzausschusses inhaltlichabzustimmen.NebendenLändern istauchderBundesbeauftragtefürdenDatenschutzunddie Informationsfreiheit inderSubgroupvertreten, mit dem ich intensiv kooperiere. Üblicherweise findendieeuropäischenGremiensitzungeninBrüsselstattundwerdeninenglischerSpracheabsolviert.DiesbringtimGegensatzzurTeilnah-me an nationalen Gremiensitzungen einen erhöhtenAufwand fürDienstreisenundfremdsprachlicheVorbereitungumfangreicherUn-terlagenmitsich.

128

129

130

Kontakt

Die Landesbeauftragte für den Datenschutz und für das Recht auf AkteneinsichtStahnsdorferDamm7714532Kleinmachnow

Telefon 033203356-0Fax 033203356-49E-Mail Poststelle@LDA.Brandenburg.de

WWW.LDA.BRANDENBURG.DE