Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Marit Hansen bei der Vorstellung des 39. Tätigkeitsberichts

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2020 vorgelegt.

Der Bericht umfasst ein großes Spektrum an Themen aus den Bereichen Datenschutz und Informationsfreiheit. Ein Schwerpunkt der Arbeit ergab sich aus der Corona-Pandemie – dies zeigen die unterschiedlichen Aspekte rund um Pandemiebekämpfung und Digitalisierung. Insgesamt wird aus zahlreichen Beschwerden und Datenpannenmeldungen deutlich, dass bei vielen Organisationen immer noch Nachholbedarf im Bereich Datenschutz und Informationssicherheit besteht.

Stellungnahme als PDF-Datei

Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Mittlerweile bieten verschiedene Unternehmen digitale Lösungen zur Verarbeitung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern an. Die App „luca“ des Unternehmens culture4life GmbH hat dabei in den vergangenen Wochen besonderes mediales Interesse erfahren. Culture4life hat bei mehreren Aufsichtsbehörden um ein datenschutzrechtliches Votum zu der Lösung ersucht. Darüber hinaus haben einige Länder und Landkreise die Absicht bekundet, diese App einzuführen und dann eine Verbindung zu den jeweiligen Gesundheitsämtern herzustellen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt-und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Um eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung zu ermöglichen, fehlt es bislang allerdings an gesetzlichen Regelungen. Hierfür sollten bundeseinheitliche normenklare Vorgaben zur digitalen Kontaktnachverfolgung geschaffen werden.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Vielfach stellen Arbeitgeberinnen oder Arbeitgeber ihren Beschäftigten ein Mobiltelefon oder ein Smartphone zur dienstlichen Benutzung bereit. Wie beim Festnetztelefon im Büro stellt sich dann häufig die Frage, ob und inwieweit eine private Nutzung zulässig ist und wie sie zu regeln ist.

Gemäß § 7 Abs. 1 Corona-Bekämpfungsverordnung Schleswig-Holstein (Corona-Verordnung) sind Gaststättenbetreiber wie auch andere Betreiber oder Veranstalter verpflichtet, bestimmte Kontaktdaten ihrer Gäste zu erheben. Nach § 4 Abs. 2 Corona-Verordnung müssen „Erhebungsdatum und -uhrzeit, Vor- und Nachname, Anschrift, sowie, soweit vorhanden, Telefonnummer oder E-Mail-Adresse für einen Zeitraum von vier Wochen“ aufbewahrt und dann vernichtet werden.

Mit Datum des 31.12.2018 ist die „Landesverordnung über die Sicherheit und Ordnungs­mäßigkeit automatisierter Verarbeitung personenbezogener Daten“ (Daten­schutz­ver­ordnung, DSVO) vom 05.12.2013, GVOBl. 2013 S. 554, außer Kraft getreten. Von der Ermäch­tigung in § 7 Abs. 2 LDSG zum Erlass einer Nachfolgeverordnung hat die Landes­regierung bisher keinen Gebrauch gemacht.

Zur Erleichterung der Erstellung der erforderlichen Dokumentationsunterlagen zur Um­set­zung der Datenschutzgrundverordnung (DSGVO) und des Landesdatenschutzgesetzes gibt das Unabhängig Landeszentrum für Datenschutz die nachfolgenden Hinweise. Sie sind in ihrer Struktur an die bisherigen Regelungen der DSVO angepasst.

Beginn: 3. Juni 2020, 10.00 Uhr
Ende: 3. Juni 2020, 15.45 Uhr

Teilnehmende:

• Herr Prof. Kelber, BfDI
• Herr Gronenberg, BfDI
• Herr Dr. Brink, Baden-Württemberg
• Frau Groß, Baden-Württemberg
• Frau Dr. Sommer, Bremen
• Herr Prof. Dr. Caspar, Hamburg
• Frau Grethel, Saarland
• Herr Müller, Mecklenburg-Vorpommern
• Frau Schäfer, Mecklenburg-Vorpommern
• Frau Katernberg, Nordrhein-Westfalen
• Herr Prof. Dr. Kugelmann, Rheinland-Pfalz
• Herr Müller, Rheinland-Pfalz
• Herr Mack, Rheinland-Pfalz
• Herr Dr. von Bose, Sachsen-Anhalt
• Frau Hansen, Schleswig-Holstein
• Herr Krasemann, Schleswig-Holstein
• Frau Göhring, Thüringen
• Herr Fellmann, Thüringen
• Herr Prof. Dr. Ronellenfitsch, Hessen
• Herr Dr. Piendl, Hessen
• Frau Dalle (Protokoll), Hessen
• Frau Sagel (Protokoll), Hessen

Referent:

• Herr Barton, Regierungspräsidium Darmstadt

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder erreichen vermehrt Anfragen von Arbeitgebern/Dienstherren, ob und wie personenbezogene Daten von Mitarbeitern sowie Gästen und Besuchern bei im Zusammenhang mit der Corona-Pandemie stehenden Maßnahmen verarbeitet werden können. Dazu einige allgemeine Hinweise:

Der Informationszugang nach dem IZG-SH ist u.a. ausgeschlossen, soweit es sich um Betriebs- und Geschäftsgeheimnisse von Privaten handelt (§ 10 Satz 1 Nr. 3 IZG-SH) (Behörden können sich nicht auf Betriebs- und Geschäftsgeheimnisse berufen (VG Schleswig, Urteil vom 25.03.2015, 8 A 8/14; OVG Schleswig, Beschluss vom 30.03.2005, 4 LB 26/04)).

In der Praxis kommt es durchaus vor, dass die antragstellende Person einen IZG-SH-Antrag, der auf jeweils die gleichen Informationen gerichtet ist, bei verschiedenen informationspflichtigen Stellen stellt. Fraglich ist, ob ein derartiges Vorgehen zulässig, oder als „offensichtlich rechtsmissbräuchlich“ zu werten ist (vgl. § 9 Abs. 2 Nr. 1 IZG-SH).