Tätigkeitsbericht 2020
des Unabhängigen Landeszentrums
für Datenschutz Schleswig-Holstein

Berichtszeitraum: 2019
Redaktionsschluss: 31.12.2019
Landtagsdrucksache 19/1992

Inhaltsverzeichnis

1             Datenschutz und Informationsfreiheit 

1.1         Datenschutz aus Europa – der Instrumentenkoffer für die Aufsicht
1.2         Zahlen und Fakten zum Jahr 2019
1.3         Die behördlichen und betrieblichen Datenschutzbeauftragten – tragende Säulen 
1.4         Datenpannen auch in Schleswig-Holstein – ein Grund zur Sorge 
1.5         Nächste Schritte für mehr Transparenz – das Transparenzportal & mehr

2             Datenschutz – global und national 

2.1         Zusammenarbeit der Beauftragten des Bundes und der Länder
2.2         Die Landesbeauftragte für Datenschutz in der Datenethikkommission 
2.3         Chance auf bessere Sicherheit nicht vertun 
2.4         Anpassungsbedarf der Datenschutz-Grundverordnung? 

3             Landtag  

3.1         Die Landesbeauftragte als Gast im Datenschutzgremium   
3.2         Service für Abgeordnete: Beratung zu Datenschutz und Informationsfreiheit

4             Datenschutz in der Verwaltung  

4.1         Allgemeine Verwaltung 

4.1.1      Anforderungen an die Benennung und Ausstattung von Datenschutzbeauftragten – Rundschreiben an Kreis-, Amts- und Gemeindeverwaltungen 
4.1.2      Aufgaben der Datenschutzbeauftragten 
4.1.3      Künftig verpflichtende Nutzung der landesweiten Kitadatenbank 
4.1.4      Verordnung über eine zentrale Stelle beim Zentralen IT-Management in Schleswig-Holstein (ZIT SH)
4.1.5      Umsetzung des Onlinezugangsgesetzes (OZG)
4.1.6      Keine Rechtsgrundlage für Personalaktenweitergabe an einen Verein vor dem Betriebsübergang 
4.1.7      Schwangerschaftsberatungsstellen der Kreise – wer ist für was verantwortlich? 
4.1.8      Abruf von Meldedaten für öffentlich-rechtliche Entsorgungsträger? 
4.1.9      Einbeziehung eines Betriebsarztes 
4.1.10    Einordnung von kommunalen Fraktionen als nichtöffentliche Stellen 
4.1.11    Prüfung kommunaler Rechenzentren 
4.1.12    Anfertigung von Tonaufzeichnungen eines Bürgerdialogs 
4.1.13    Infektion von Verwaltungsrechnern – und was man dagegen tun muss 
4.1.14    Einräumung falscher Zugriffsrechte 
4.1.15    Datenpanne beim Buß-Bericht zur Rockeraffäre 

4.2         Polizei und Verfassungsschutz 

4.2.1      Änderung des Landesverwaltungsgesetzes 
4.2.2      Flugdrohnen bei der Landespolizei
4.2.3      Erweitertes Auskunftsrecht für Bürger
4.2.4      Welche personenbezogenen Daten muss ich der Polizei geben? 
4.2.5      Null Datenpannenmeldungen im Polizeibereich?!

4.3         Justiz 

4.3.1      Mitteilung an den Arbeitgeber über ein Strafverfahren 
4.3.2      Änderungen für Notare durch die Datenschutz-Grundverordnung 
4.3.3      Meldepflicht zu Datenpannen im Justizbereich wohl noch nicht umfassend umgesetzt

4.4         Soziales 

4.4.1      Verpflichtung von Beschäftigten auf das Sozialgeheimnis 
4.4.2      Kann Nachbarschaftshilfe am Sozialgeheimnis scheitern? 

4.5         Schutz des Patientengeheimnisses 

4.5.1      Anhörung zum Entwurf für ein neues Landeskrankenhausgesetz 
4.5.2      Anhörung zum PsychHG-Entwurf
4.5.3      Kein Beschlagnahmeverbot, wenn Arzt nicht Zeuge, sondern Beschuldigter ist
4.5.4      Keine Behandlung, wenn eine Patientin die Datenschutzerklärung nicht unterschreibt? 
4.5.5      Mehrere Kubikmeter Patientenunterlagen in der Innenstadt frei zugänglich 
4.5.6      Gesundheitsdaten aus der Tüte – wenn die Nachbarn die gelieferten Medikamente sehen 
4.5.7      Änderung des Maßregelvollzugsgesetzes: Auskunftsrecht soll beschnitten werden? 
4.5.8      Diebstahl von (Patienten-)Unterlagen aus dem Auto – was tun? 
4.5.9      Übermittlung von Patientendaten an die private Krankenversicherung ohne Einwilligung? 
4.5.10    Sensible Daten unverschlüsselt auf USB-Sticks – immer noch!
4.5.11    Achtung: Abholung und Entsorgung von Röntgenbildern durch eine Fake-Firma!
4.5.12    Patientenbriefe aus dem Briefkasten gestohlen 
4.5.13    Unbefugter Zugriff von Mitarbeitern auf Patientendaten (von Kollegen)

4.6         Kommunale Steuerverwaltung 

5             Datenschutz in der Wirtschaft 

5.1         Keine Weitergabe von Mieterdaten an Wohnungslosenhilfe ohne Einwilligung 
5.2         Einzelfälle 

5.2.1      Missverständliche Werbeschreiben einer Tageszeitung 
5.2.2      Informationen über eine frühere Behandlung bei Ausbildung in derselben Klinik 
5.2.3      Einführung von digitalen Spielerpässen – Begrenzung der Datensammlung 
5.2.4      Anmeldungen zu Sportveranstaltungen gekoppelt an die Veröffentlichung von Sportlerdaten 
5.2.5      Keine konkludente Einwilligung zur Veröffentlichung von Fotos bei Facebook beim Besuch einer Veranstaltung 
5.2.6      Tätigkeit als Verantwortlicher im Inkassobereich 
5.2.7      Displayanzeigen bei Lottoannahmestellen 
5.2.8      Aushang von Aufstellungen zu Betriebsratsstunden 
5.2.9      Kenntnis von Gehaltsdaten durch unbefugte Mitarbeiter
5.2.10    Kopplung der Einwilligung zum E-Mail-Newsletter mit erweiterter Garantie 
5.2.11    Veröffentlichung einer Liste mit Namen von Privatpersonen mit Zuordnung zu einer politischen Haltung 
5.2.12    Faxversand durch Berufsgeheimnisträger – der Absender muss auf die Sicherheit achten!
5.2.13    Weitergabe von Kontaktdaten und Einhaltung von Informationspflichten 

5.3         Datenpannen in der Wirtschaft

5.3.1      Allgemeines zu Datenschutzpannen 
5.3.2      Fehlzusendung von Kontoanträgen und Mitteilungen zu Zinsen und Umsätzen 
5.3.3      Unverschlüsselte mobile Datenträger mit Kundendaten 
5.3.4      Kundendaten in offenen Umschlägen versendet
5.3.5      Diebstahl einer Kamera mit Speicherkarte 
5.3.6      Veröffentlichung von Teilnehmerdaten zu einem Kindersportprojekt

5.4         Videoüberwachung 

5.4.1      Videoüberwachung im Fitnessstudio – Update 
5.4.2      Videoüberwachung in Toilettenräumen 
5.4.3      Die Gruß-Webcam – ein Sonderfall unter den Webcams 
5.4.4      Aktualisierte Orientierungshilfen der Datenschutzkonferenz: Bodycams, Dashcams, Drohnen, Kameras in Schwimmbädern 
5.4.5      Orientierungshilfe der Datenschutzkonferenz: biometrische Analyse 

6             Systemdatenschutz  

6.1         Fokus Schleswig-Holstein 

6.1.1      Zusammenarbeit mit dem Zentralen IT-Management (ZIT SH)
6.1.2      Dokumentation von IT-Verfahren 

6.2         Zusammenarbeit der Datenschutzbeauftragten zu Systemdatenschutz 

6.2.1      Das Windows-10-Prüfschema 
6.2.2      Messenger-Dienste im Krankenhaus 
6.2.3      Standard-Datenschutzmodell V2: das SDM wird erwachsen 
6.2.4      Das Datenschutzrisiko systematisch abschätzen und beurteilen

6.3         Ausgewählte Ergebnisse aus Beratungen und Prüfungen 

6.3.1      Zusammenarbeit mit den Spitzenorganisationen der Gewerkschaften 
6.3.2      Transparenzportal
6.3.3      Gemeinsame Prüfung des Zentralen Meldedatenbestandes (ZMB) – Update 
6.3.4      Artikel-33-Meldungen im öffentlichen und nichtöffentlichen Bereich – die technische Sicht

7             Neue Medien  

7.1         Entscheidung des Bundesverwaltungsgerichts zu Facebook-Fanpages 
7.2         Veröffentlichung der Orientierungshilfe für Anbieter von Telemedien 

8             Modellprojekte und Studien  

8.1         Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt: Schutzräume nötig 
8.2         Projekt AppPETs – Datenschutz eingebaut in Smartphone-Anwendungen 
8.3         Projekt EMPRI-DEVOPS – Datenschutz in digitalen Arbeitswelten 
8.4         Cybersicherheit und Datenschutz 

8.4.1      Projekt EIDI – verlässliche Benachrichtigung von Betroffenen nach Cybervorfällen 
8.4.2      Projekt CANVAS – Cybersicherheit zwischen Technik, Ethik und Recht
8.4.3      Projekt PANELFIT – Cybersicherheit und Datenschutz 

8.5         Projekt SPECIAL – Transparenz- und Einwilligungsmanagement für das semantische Netz 
8.6         Projekt Privacy&Us – Usability für das Internet of Things 

9             Zertifizierung: Audit und Gütesiegel 

9.1         Akkreditierungsregeln und Zusammenarbeit im AK Zertifizierung 
9.2         Stand der Zertifizierung beim ULD  

10          Aus dem IT-Labor  

10.1       Pseudonymisierungslösungen mit zahlreichen Facetten – nicht „One size fits all“ 
10.2       Ergebnisse der Datenschutz-Taskforce „Künstliche Intelligenz“ 
10.3       Nutzung von DNS-over-HTTPS 
10.4       Verschlüsselte Kommunikation mit Behörden 

11          Europa und Internationales 

11.1       Guidelines aus Europa – Verantwortlicher und Auftragsverarbeiter
11.2       Guidelines aus Europa – der Vertrag als Rechtsgrundlage 

12          Informationsfreiheit 

12.1       Geschäftsgeheimnisse europäisch definiert
12.2       Erforderlichkeit zur Angabe einer Postadresse 
12.3       Eigenverantwortlichkeit bei der Weiterverwendung der erlangten Informationen 
12.4       Kosten bei der Erteilung des Informationszugangs in Selbstverwaltungsangelegenheiten 
12.5       Transparenzportal – Veröffentlichungspflichten der Landesbehörden 

13          DATENSCHUTZAKADEMIE Schleswig-Holstein  

13.1       Fortbildungsveranstaltungen im Programm der DATENSCHUTZAKADEMIE 
13.2       Sommerakademie – jährliche Datenschutzkonferenz in Kiel