+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

40. Tätigkeitsbericht des Landesdatenschutzbeauftragten für den Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW)

von | Apr. 7, 2025 | Datenschutz, Papiere der Aufsichtsbehörden | 0 Kommentare

40. Tätigkeitsbericht Datenschutz und Informationssicherheit des LfDI BW

Das LfDI BW hat seinen 40. Tätigkeitsbericht 2024 veröffentlicht. 

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen. 

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor. 

Hinweis: Im Folgenden wird in der männlichen Form gesprochen. Wegen dem einfacheren Lesefluss unterscheiden wir nicht. Es sind aber natürlich alle Geschlechter angesprochen. 

Inhaltsverzeichnis

Auf den Punkt gebracht: Tätigkeitsbericht des LfDI

Auf den Punkt gebracht:
Auf den Punkt gebracht: Tätigkeitsbericht des LfDI BW
  • Ein zentraler Schwerpunkt des Berichts ist das Thema Künstliche Intelligenz (KI). Die Behörde verweist auf verschiedene Dokumente und geprüfte Tools, die im Zusammenhang mit KI stehen.
  • Ein weiterer großer Punkt ist das Thema Beschäftigtendatenschutz mit sehr interessanten Fällen aus der Praxis, auf welche in der Zusammenfassung genauer eingegangen wird

Viel Bewegung in Deutschland und Europa – Die Stabsstelle (Seite 22 ff.)

Der EDSA spricht

Rolle der Datenschutzaufsichtsbehörden im Rahmen der KI-Verordnung

  • Der Europäische Datenschutzausschuss (EDSA) hat sich zur Rolle der Datenschutzaufsichtsbehörden im Rahmen der KI-Verordnung geäußert. In einer Stellungnahme vom 16. Juli 2024 unterstützt der EDSA die Forderung, die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden für die KI-Verordnung zu benennen.

Stellungnahme zu Pay oder Consent Modellen

  • In einer Stellungnahme vom 17. April 2024 äußerte sich der EDSA zu den Pay-oder-Consent-Modellen auf großen Online-Plattformen. Der Ausschuss kommt zu dem Schluss, dass diese Modelle in den meisten Fällen nicht die Anforderungen an eine gültige datenschutzrechtliche Einwilligung erfüllen.
  • Unternehmen sollten sicherstellen, dass ihre Pay oder Consent Modelle den Anforderungen an eine gültige datenschutzrechtliche Einwilligung entsprechen. Eine echte Wahlmöglichkeit für die Nutzenden ist notwendig, um die Einwilligung rechtmäßig zu gestalten.

Was lange währt … Leitlinien zum berechtigten Interesse

  • Am 8. Oktober 2024 verabschiedete der EDSA Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 Buchst. f) DS-GVO. Diese Leitlinien bieten detaillierte Hilfestellungen zur rechtmäßigen Verarbeitung personenbezogener Daten auf Basis eines berechtigten Interesses.
  • Dabei werden auch jüngste Urteile des Europäischen Gerichtshofs (EuGH) berücksichtigt, wie beispielsweise das Urteil Az. C-621/22 vom 4. Oktober 2024. Verantwortliche müssen drei kumulative Bedingungen erfüllen:
    • Verfolgung eines berechtigten Interesses: Nur solche Interessen können als berechtigt betrachtet werden, die rechtmäßig, klar und präzise formuliert, real und gegenwärtig sind. Dies kann beispielsweise der Fall sein, wenn die betroffene Person Kunden des Verantwortlichen ist oder in seinen Diensten steht.
    • Erforderlichkeit der Verarbeitung:  Die Verarbeitung kann nicht als erforderlich angesehen werden, wenn es angemessene, ebenso wirksame, aber weniger einschneidende Methoden zur Erreichung der verfolgten Interessen gibt. Hier gilt es auch den Grundsatz der Datenminimierung zu beachten.
    • Keine überwiegenden Interessen oder Grundfreiheiten und Grundrechte der betroffenen Person: Der Verantwortliche hat sicherzustellen, dass sein berechtigtes Interesse nicht durch Interessen, Grundrechte oder Grundfreiheiten der Betroffenen dominiert wird. Bei dieser Abwägung müssen Verantwortliche die Interessen der Personen sowie ihre vernünftigen Erwartungen, die Auswirkungen der Verarbeitung und zusätzliche Schutzmaßnahmen berücksichtigen.
  • Unternehmen und Behörden sollten die Leitlinien des EDSA berücksichtigen, um ihre Rechtsgrundlagen zum berechtigten Interesse zu überprüfen und sicherzustellen, dass die Verarbeitung rechtmäßig erfolgt.

Das Arbeitsprogramm des Europäischen Datenschutzausschusses

  • Das Arbeitsprogramm des EDSA für 2024–2025 umfasst vier zentrale Säulen:
    • Harmonisierung und Förderung der Einhaltung der Vorschriften,
    • gemeinsame Rechtsdurchsetzung und effektive Zusammenarbeit,
    • Gewährleistung des Datenschutzes mit Blick auf unterschiedliche Regulierungen, und
    • globaler Dialog zum Datenschutz.
  • In der ersten Säule wird die Erarbeitung von Leitlinien zur Anonymisierung, Pseudonymisierung, zur Interessenabwägung nach Art. 6 Abs. 1 Buchst. f) DS-GVO, den personenbezogenen Daten von Kindern und den Consent-or-pay-Modellen forciert. Weitere Veröffentlichungen zur Datenschutz-Zertifizierung, IT-Sicherheit sowie die regelmäßige Beratung der gesetzgebenden Gewalt auf EU-Ebene sind ebenfalls geplant.
  • Die zweite Säule umfasst im Wesentlichen Maßnahmen, die die Zusammenarbeit zwischen den Aufsichtsbehörden betreffen. Hier ist insbesondere die Arbeit des Coordinated Enforcement Framework (CEF) hervorzuheben. Das CEF stellt eine flexible und koordinierte gemeinsame Maßnahme dar, die konkrete Ergebnisse hinsichtlich eines zuvor festgelegten Themas mit Bezug zur Datenschutz-Praxis erzielt.
  • In der dritten Säule werden die Themen behandelt, die sich auf die verschiedenen Digitalrechtsakte beziehen, wie die KI-Verordnung, der Digital Markets Act, der Digital Services Act und weitere europäische Regulierungen. Geplante Leitlinien betreffen die Sammlung von Daten für das Training von generativer künstlicher Intelligenz, die Blockchain und die Nutzung von Social-Media-Plattformen durch öffentliche Einrichtungen.
  • In der vierten und letzten Säule wird die Fortführung des globalen Austauschs zu Fragen des Datenschutzes, insbesondere zur Gestaltung von Datenübermittlungen in Länder, in denen die DS-GVO nicht gelten, ins Auge gefasst sowie die Stärkung der Zusammenarbeit mit den Datenschutzaufsichtsbehörden in diesen Ländern.

Beschäftigtendatenschutz (Seite 53 ff.)

Beratung zum Zugriff auf E-Mails, Protokolldaten und Dateiablagen

Eine öffentliche Stelle in Baden-Württemberg wollte die Nutzung der IT-Infrastruktur durch ihre Beschäftigten regeln und stellte Fragen zum Zugriff auf E-Mail-Accounts, Protokolldaten und Dateiablagen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) hat die Anfrage umfassend geprüft und die folgenden Aspekte hervorgehoben:

Erlaubte Privatnutzung

  • E-Mail-Accounts: Wenn die private Nutzung des dienstlichen E-Mail-Accounts gestattet ist, dürfen Arbeitgebende private E-Mails nicht zur Kenntnis nehmen. Es ist umstritten, ob Arbeitgeber an das Fernmeldegeheimnis gebunden sind, wenn sie die private Nutzung gestatten. Arbeitgeber sollten im Zweifel von der Anwendbarkeit des Fernmeldegeheimnisses ausgehen. Ein Zugriff auf private E-Mails ist nur mit Einwilligung der Beschäftigten zulässig.
  • Protokolldaten: Wenn die private Nutzung erlaubt ist, dürfen Protokolldaten über die Internet- und E-Mail-Nutzung nur mit Einwilligung der Beschäftigten verarbeitet werden. Ausnahmen gelten zum Schutz der technischen Systeme oder bei tatsächlichen Anhaltspunkten für eine rechtswidrige Nutzung.
  • Dateiablagen: Private Dateiablagen auf dienstlichen Computern unterliegen nicht dem Fernmeldegeheimnis. Ein Zugriff auf private Dateien ist grundsätzlich unzulässig, es sei denn, es liegt ein konkreter IT-Sicherheitsvorfall vor.

Nicht geregelte oder untersagte Privatnutzung

  • E-Mail-Accounts: Bei untersagter Privatnutzung dürfen Arbeitgeber davon ausgehen, dass sich nur geschäftliche E-Mails im Postfach befinden. Der Zugriff auf dienstliche E-Mails ist zur Durchführung des Beschäftigungsverhältnisses zulässig.
  • Protokolldaten: Protokolldaten dürfen zur Sicherstellung der IT-Sicherheit und zur Kontrolle der Einhaltung des Verbots der Privatnutzung verarbeitet werden.
  • Dateiablagen: Private Dateien sind durch die Beschäftigten selbst zu löschen. Ein Zugriff auf private Dateien ist nur bei konkreten IT-Sicherheitsvorfällen zulässig.

Kontrollen und Überwachung:

  • Stichprobenartige Kontrollen: Bei untersagter Privatnutzung sind stichprobenartige Kontrollen zulässig, um die Einhaltung des Verbots zu überprüfen. Diese Kontrollen müssen verhältnismäßig sein und dürfen keinen erheblichen Überwachungsdruck erzeugen.
  • Einwilligung: Bei erlaubter Privatnutzung sind verdachtsunabhängige Kontrollen nur mit Einwilligung der Beschäftigten zulässig. Die Einwilligung hat freiwillig und informiert zu erfolgen.

Unternehmen und Behörden sollten klare Regelungen zur Privatnutzung von E-Mail-Accounts und Internetzugängen treffen und sicherstellen, dass Zugriffe auf Protokolldaten und Dateiablagen datenschutzkonform erfolgen. Eine transparente Kommunikation der Regelungen und Einwilligungsmöglichkeiten ist notwendig. Regelmäßige Schulungen und Sensibilisierungen der Beschäftigten können helfen, datenschutzrechtliche Konflikte zu vermeiden.

Anmerkung der Datenbeschützerin

Wir empfehlen, die private Nutzung von dienstlichen E-Mail-Accounts z.B. über die zentrale Informationssicherheitsrichtlinie auszuschließen.

Verwendung privater Telefonnummern und E-Mail-Adressen für die Kommunikation bei IT-Notfällen

Ein Unternehmen plante die Nutzung privater Telefonnummern und E-Mail-Adressen der Beschäftigten für die Notfallkommunikation. Diese Daten wurden ursprünglich erhoben, um Beschäftigte bei ungeklärter Abwesenheit erreichen zu können. Nun sollten sie genutzt werden, um bei Ausfällen oder Manipulationen der Technik durch Dritte die betriebliche Kommunikation aufrechtzuerhalten.

Der LfDI BW hat die Anfrage umfassend geprüft und die folgenden Aspekte hervorgehoben:

Verarbeitung privater Kontaktdaten:

  • Rechtsgrundlage: Die Verarbeitung privater Kontaktdaten ist nach Art. 6 Abs. 1 Buchst. f) DS-GVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und keine milderen Maßnahmen zur Verfügung stehen. Die Interessen der betroffenen Personen dürfen nicht überwiegen.
  • Erforderlichkeit: Die Verarbeitung privater Kontaktdaten muss zur Sicherstellung der Notfallkommunikation erforderlich sein. Es ist zu prüfen, welche Beschäftigten tatsächlich zu informieren und welche Kontaktdaten dafür notwendig sind (z. B. Handynummer, Festnetznummer, E-Mail-Adresse).
  • Angemessenheit: Die Nutzung privater Kontaktdaten außerhalb der regulären Arbeitszeit ist nur zulässig, wenn es keine milderen Maßnahmen gibt, um den Zweck der Kontaktaufnahme zu erreichen. Beschäftigte sollten über die Nutzung ihrer privaten Kontaktdaten informiert werden und ihre Einwilligung geben.

Zweckänderung der Datenverarbeitung:

  • Vereinbarkeit: Die Zweckänderung der Datenverarbeitung muss mit dem ursprünglichen Erhebungszweck vereinbar sein. Die Verarbeitung privater Kontaktdaten, die ursprünglich für die Kontaktaufnahme bei ungeklärter Abwesenheit erhoben wurden, ist für die Notfallkommunikation zulässig, wenn die betroffenen Personen darüber informiert werden.
  • Kriterien: Die Vereinbarkeit der Zweckänderung wird anhand der Verbindung zwischen den ursprünglichen und neuen Zwecken, der Art der personenbezogenen Daten, den möglichen Folgen der Weiterverarbeitung und dem Vorhandensein geeigneter Garantien geprüft.

Notfallmanagement:

  • Planung: Unternehmen sollten einen Notfallmanagementplan erstellen, der definiert, welche Beschäftigten bei IT-Notfällen kontaktiert werden müssen und welche Kontaktdaten dafür verwendet werden.
  • Informationspflicht: Beschäftigte sind über die Nutzung ihrer privaten Kontaktdaten für die Notfallkommunikation zu informieren. Eine klare Kommunikation der Zweckänderung und der Einwilligungsmöglichkeiten ist notwendig.

Es ist sicherzustellen, dass die Verwendung privater Kontaktdaten für die Notfallkommunikation datenschutzkonform ist und die betroffenen Personen darüber informiert wurden. Eine klare Zweckbindung und Einwilligung sind notwendig.

Einsatz von Schadsoftware-Scannern

Im Jahr 2024 gingen zwei anonyme Hinweise ein, die sich gegen die Verarbeitung personenbezogener Daten durch Schadsoftware-Scanner richteten. Diese Scanner wurden von Arbeitgebern eingesetzt, um den Netzwerkverkehr zu analysieren und auf Schadsoftware zu prüfen. Dabei wurden auch personenbezogene Daten der Beschäftigten verarbeitet. Der LfDI BW hat die Hinweise geprüft und festgestellt, dass die Verarbeitung personenbezogener Daten durch Schadsoftware-Scanner unzulässig ist, wenn das eingesetzte Programm zur Herstellung der IT-Sicherheit nicht geeignet, erforderlich und angemessen ist.

Der LfDI BW hat folgende Empfehlungen zum Einsatz von Schadsoftware-Scannern gegeben:

Alternativen prüfen und Sicherheitsrichtlinie erstellen:

  • Vor dem Einsatz eines bestimmten Programms sollten Alternativen erwogen und eine Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen erstellt werden. Diese Richtlinie sollte die datenschutzrechtlichen Anforderungen an entsprechende Maßnahmen beschreiben.

Geeignetheit und Erforderlichkeit sicherstellen:

  • Das Scannen von Endgeräten auf Dateinamen, -inhalte und Windows-Registry-Einträge ohne konkrete Anhaltspunkte für einen Befall mit Schadsoftware ist problematisch. Es ist zu prüfen, ob das Scannen des Datenverkehrs zwischen den Clients und Servern und eine Endpoint Detection and Response zur Erfüllung des Sicherheitsbedarfs ausreichen.

Suchaufträge beschränken:

  • Die Durchführung einzelner Suchaufträge (Thread Hunting) in einem bestimmten Zeitraum ist einem andauernden Monitoring vorzuziehen. Suchaufträge sollten sich nur auf anerkannte Malware-Signaturen beschränken und nicht unnötig weitergehend sein.

Lokale Prüfung bevorzugen:

  • Bei Anzeichen auf einen Befall eines bestimmten Geräts sollte geprüft werden, ob das Gerät nicht abgeschaltet und nach Benachrichtigung der betroffenen Beschäftigten lokal untersucht werden sollte. Dies trägt zur Transparenz bei.

Besonderheiten berücksichtigen:

  • Besonderheiten können sich ergeben, wenn auch persönliche Daten von Beschäftigten oder Daten, die besonderer Geheimhaltung unterliegen, betroffen sind. Diese Daten sollten besonders geschützt werden.

Technische und organisatorische Maßnahmen:

  • Es sind geeignete technische und organisatorische Maßnahmen zu treffen, um die Rechte der betroffenen Personen zu schützen. Dazu gehört beispielsweise die Verpixelung von Kamerabildern, die nur die relevanten Bereiche erfassen, oder die Beschränkung der Verarbeitung auf das notwendige Maß.

Transparenz und Information:

  • Die betroffenen Personen sind über die Datenverarbeitung zu informieren. Eine klare Kommunikation der Maßnahmen und der Einwilligungsmöglichkeiten ist notwendig.

Virenprüfung führt zu Veröffentlichungen von Bewerbungsdaten

  • Eine PDF-Datei einer Bewerbung wurde nach einer Virenprüfung auf zwei Webseiten veröffentlicht und war über eine Suchmaschine auffindbar. 
  • Das Unternehmen hat die Datenpanne gemeldet und die betroffenen Personen benachrichtigt. Eine Verwarnung wurde seitens der Behörde ausgesprochen.
  • Es ist daher sicherzustellen, dass bei der Nutzung von Virenprüfungsdiensten keine personenbezogenen Daten öffentlich zugänglich werden. Eine datenschutzrechtliche Überprüfung auch bei kostenlosen Diensten ist daher unbedingt notwendig!

Sensible Fragen auf Fragebogen zur Vorbereitung eines Bewerbungsgesprächs

Im Jahr 2024 erreichte den LfDI BW eine Beschwerde, dass ein Unternehmen in Baden-Württemberg zur Vorbereitung eines Bewerbungsgesprächs einen Fragebogen an Bewerber ausgegeben hatte. Dieser Fragebogen enthielt sensible Fragen nach Krankheiten und Krankheitsfolgen, einer Schwerbehinderung, der Mitgliedschaft in einer Gewerkschaft, Pfändungen, Hobbys sowie nach persönlichen Daten von Lebenspartner und Kindern. Auf dem Fragebogen war vermerkt, dass das Ausfüllen freiwillig sei.

Der LfDI BW prüfte die Beschwerde und stellte fest, dass die Erhebung dieser Daten unzulässig ist, da sie nicht zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich sind. Die wichtigsten Punkte der Prüfung waren:

Rechtsgrundlage für die Datenerhebung:

  • Einwilligung: Eine Einwilligung der Bewerber nach Art. 6 Abs. 1 Buchst. a) DS-GVO war nicht gegeben, da die Einwilligung nicht freiwillig war. Bewerber müssen befürchten, dass eine Weigerung, den Fragebogen auszufüllen, negative Rückschlüsse auf ihre Bewerbung haben könnte.
  • Erforderlichkeit: Die Erhebung von Daten zur Gewerkschaftszugehörigkeit, Pfändungen, Schwerbehinderung, Krankheiten und Krankheitsfolgen, Lebenspartner und Kindern sowie Hobbys war nicht nach Art. 6 Abs. 1 Buchst. b) DS-GVO zur Durchführung vorvertraglicher Maßnahmen erforderlich. Diese Informationen sind für die Entscheidung über die Einstellung irrelevant und dürfen daher nicht erhoben werden.

Besondere Kategorien personenbezogener Daten:

  • Die Erhebung besonderer Kategorien personenbezogener Daten, wie Gesundheitsdaten und Daten zur Gewerkschaftszugehörigkeit, ist nach Art. 9 Abs. 1 DS-GVO grundsätzlich verboten. Eine Ausnahme nach Art. 9 Abs. 2 DS-GVO lag nicht vor, da keine ausdrückliche Einwilligung der betroffenen Personen gegeben war.

Sofern Fragebögen an Bewerber zur Vorbereitung auf ein Bewerbungsgespräch ausgeteilt werden, ist sicherzustellen, dass nur zulässige Fragen an den Bewerber gestellt werden. Zudem haben Unternehmen ein funktionierendes Datenschutzmanagement-System zu etablieren, das die fortlaufende Prüfung und Evaluierung von Risiken umfasst.

Inneres, Videoüberwachung und Verkehr (Seite 93 ff.)

Ruhe in Unfrieden – Videoüberwachung auf dem Friedhof

  • In mehreren Gemeinden wurden Videoüberwachungsanlagen auf Friedhöfen installiert, um Vandalismus und Diebstahl zu verhindern. Angehörige der Verstorbenen und Nutzungsberechtigte von Gräbern befürchteten, dass die Videoüberwachung ihre Privatsphäre beeinträchtigen könnte und wandten sich mit Beschwerden an den LfDI BW.
  • Der LfDI BW prüfte die Beschwerden und stellte fest, dass die Videoüberwachung auf Friedhöfen datenschutzrechtlich problematisch ist. Die wichtigsten Punkte der Prüfung waren:

Rechtsgrundlage für Nutzungsberechtigte von Gräbern:

  • Art. 6 Abs. 1 Buchst. f) DS-GVO: Die Verarbeitung personenbezogener Daten durch Nutzungsberechtigte von Gräbern kann auf Art. 6 Abs. 1 Buchst. f) DS-GVO gestützt werden, wenn sie zur Wahrung berechtigter Interessen erforderlich ist. Ein berechtigtes Interesse kann beispielsweise in der Sicherung von Beweisen im Falle von Beschädigung und Schändung des Grabes oder Diebstahl bestehen.
  • Erforderlichkeit: Die Videoüberwachung hat zur Erreichung des berechtigten Interesses erforderlich zu sein. Eine nur auf die Grabanlage beschränkte Überwachung kann ungeeignet sein, da die erzeugten Aufzeichnungen als Beweismittel möglicherweise nicht ausreichen. Mildere mittel sind vorab zu prüfen, wie z. B. verstärkte Beleuchtung, Einsatz von Brandmeldern oder Entsorgungsmöglichkeiten für Sperrmüll.

Interessenabwägung:

  • Privatsphäre der Trauernden: Friedhöfe sind Orte des Gedenkens und der Ruhe, an denen häufig religiösen und weltanschaulichen Überzeugungen Ausdruck verliehen wird. Trauernde haben ein berechtigtes Interesse daran, in Ruhe gelassen zu werden und nicht überwacht zu werden. Der Schutz der Privatsphäre umfasst auch Situationen großer emotionaler Belastung, wie bei der Trauer um einen Angehörigen.
  • Informationsgehalt der Aufnahmen: Die Aufnahmen können Informationen enthalten, die der Privatsphäre zuzuordnen sind, wie tröstende Gesten gegenüber Trauernden oder persönliche Regungen und Handlungen. Diese Informationen sind nicht für die Augen Dritter bestimmt und sind zu schützen.

Rechtsgrundlage für Gemeinden:

  • § 18 LDSG: Für Gemeinden ist die Videoüberwachung nur unter den engen Voraussetzungen des § 18 LDSG zulässig. Die abschließende Auflistung von Schutzgütern in § 18 Abs. 1 LDSG ist zu beachten. Schutzgüter wie das Pietätsgefühl der Angehörigen der Verstorbenen und der öffentliche Frieden, die im Straftatbestand der Störung der Totenruhe (§ 168 StGB) enthalten sind, finden sich in § 18 LDSG nicht wieder.
  • Mildere Mittel: Gemeinden sollten alternative Maßnahmen wie beschränkte Öffnungszeiten, Beleuchtung während der Nachtstunden und verstärkte Kontrollen sowie Sensibilisierungsmaßnahmen gegenüber den Einwohnern in Betracht ziehen.

Gemeinden und Nutzungsberechtigte von Gräbern sollten sicherstellen, dass die Videoüberwachung auf Friedhöfen datenschutzkonform erfolgt und die Privatsphäre der Trauernden gewahrt bleibt. Alternative Maßnahmen zur Verhinderung von Vandalismus und Diebstahl sollten geprüft und gegebenenfalls umgesetzt werden. Eine klare Regelung in der Friedhofssatzung kann helfen, datenschutzrechtliche Konflikte zu vermeiden.

Ordnung muss sein – von Falschparkern und Hunde-DNA

  • Bürger meldeten Falschparker durch Fotos an das Ordnungsamt und eine Kommune plante die Erstellung einer DNA-Datenbank für Hunde, um unsachgemäß entsorgten Hundekot den Haltern zuzuordnen.
  • Das Fotografieren von Falschparkern und die Weiterleitung an das Ordnungsamt sind grundsätzlich zulässig, solange die datenschutzrechtlichen Grundsätze (nur Aufnahmen des Autos mit Kennzeichen, keine Aufnahmen von dritten Personen) eingehalten werden. Eine Veröffentlichung der Fotos der Falschparker z.B. in Social-Media ist unzulässig.
  • Die Behörde kam zum Ergebnis, dass die Erstellung einer DNA-Datenbank für Hunde ist datenschutzrechtlich unzulässig ist, da es an einer Rechtsgrundlage fehlt.

KI-Anwendung in Schwimmbädern

  • In Schwimmbädern werden zunehmend KI-Systeme eingesetzt, um die Sicherheit der Badegäste zu erhöhen. Diese Systeme nutzen Kameras, die über den Becken angebracht sind, um den Schwimmbetrieb zu überwachen und potenzielle Gefahren frühzeitig zu erkennen. Die KI analysiert die Bewegungsmuster der Badegäste und gibt bei ungewöhnlichen Bewegungen eine Sicherheitswarnung aus.
  • Die Behörde sieht den Einsatz von KI-Systemen in Schwimmbädern als eine vielversprechende Möglichkeit, die Sicherheit zu erhöhen. Gleichzeitig betont der LfDI BW die Notwendigkeit, datenschutzrechtliche Anforderungen zu erfüllen. Die wichtigsten Punkte der Prüfung waren:
  • Rechtsgrundlage: Die Verarbeitung personenbezogener Daten durch KI-Systeme in Schwimmbädern kann auf Art. 6 Abs. 1 Buchst. f) DS-GVO gestützt werden, wenn sie zur Wahrung berechtigter Interessen erforderlich ist. Das berechtigte Interesse liegt in der Erhöhung der Sicherheit der Badegäste.
    • Erforderlichkeit und Angemessenheit:  Die Kameras dürfen nur die relevanten Bereiche erfassen und die Datenverarbeitung muss auf das notwendige Maß beschränkt sein. Eine Verpixelung von Bereichen außerhalb des Schwimmbeckens kann dazu beitragen, die Privatsphäre der Badegäste zu schützen.
    • Transparenz und Information: Die betroffenen Personen sind über die Datenverarbeitung zu informieren. Dies umfasst Informationen über den Zweck der Datenverarbeitung, die Rechtsgrundlage, die Speicherdauer und die Rechte der betroffenen Personen. Eine klare und transparente Kommunikation ist notwendig.
    • Technische und organisatorische Maßnahmen: Dazu gehört beispielsweise die Verschlüsselung der Daten und der Zugangsschutz zu den Kameras und den KI-Systemen.

Betreiber von Schwimmbädern sollten sicherstellen, dass der Einsatz von KI-Systemen datenschutzkonform erfolgt und die betroffenen Personen über die Datenverarbeitung informiert werden. Die Prüfung hat jeweils im Einzelfall zu erfolgen. Der LfDI BW steht bei datenschutzrechtlichen Fragen für Beratungen zur Verfügung.

KI- Anwendungen in der Schule

Der Einsatz von Künstlicher Intelligenz (KI) in Schulen bietet viele Chancen, aber auch erhebliche rechtliche Herausforderungen, insbesondere im Hinblick auf den Datenschutz und die Rechte der Lernenden. Nachstehend sind die wichtigsten Punkte seitens des LfDI BW zusammengefasst:

Rechtliche Rahmenbedingungen

Datenschutz-Grundverordnung (DS-GVO):
  • Automatisierte Entscheidungen: Schulen dürfen keine rechtlich relevanten Entscheidungen, wie die Vergabe von Noten, ausschließlich auf Basis einer KI treffen (Art. 22 DS-GVO).
  • Automation Bias: Wenn eine KI zuerst eine Korrektur vornimmt, besteht die Gefahr, dass menschliche Entscheidende die Ergebnisse des Computers ohne weitere Kontrolle übernehmen.
KI-Verordnung (KI-VO):
  • Hochrisiko-KI-Systeme: Systeme, die Lernergebnisse bewerten, gelten als Hochrisiko-KI-Systeme und unterliegen strengen Vorschriften (Art. 6 Abs. 2 und 3 KI-VO in Verbindung mit Anhang III, Punkt 3 KI-VO).
  • Adaptive Lernsysteme: Diese Systeme, die den Lernprozess steuern, sind ebenfalls als Hochrisiko-Systeme eingestuft und streng reguliert (Anhang III, Punkt 3b KI-VO).

Praktische Anwendung

  • Bewertungssysteme: Schulen sollten vermeiden, KI-Systeme für Bewertungen oder Prüfungen einzusetzen, da dies umfangreiche Pflichten mit sich bringt.
  • Lernunterstützungssysteme: Systeme, die das Lernen unterstützen, ohne personenbezogene Daten zu verarbeiten, sind rechtlich weniger problematisch.
  • KI-Kompetenz: Nutzende an Schulen benötigen ein ausreichendes Maß an Fähigkeiten und Kenntnissen, um KI-Systeme sachkundig einzusetzen und sich der Chancen und Risiken bewusst zu sein (Art. 4 KI-VO).

Empfehlungen

  • Fortbildungen: Schulen sollten Fortbildungen anbieten, um Lehrkräfte und andere Beteiligte für die rechtlichen Anforderungen und Risiken zu sensibilisieren.
  • Beratung: Das LfDI BW bietet über das Bildungszentrum Datenschutz und Informationsfreiheit (BIDIB) Fortbildungen an. Diese sollten von Schulungen und Lehreinrichtungen genutzt werden.

Der Einsatz von KI in Schulen ist möglich, aber mit rechtlichen Hürden verbunden. Insbesondere bei der automatisierten Bewertung von Klausuren oder der Verwendung adaptiver Systeme müssen Schulen äußerst vorsichtig sein. Die Zukunft des Lernens mit KI bietet spannende Chancen, doch nur wer die rechtlichen Rahmenbedingungen im Blick hat, kann diese auch gefahrlos nutzen.

Unwetter und Datenschutz

  • „Wer würde schon vermuten, dass ein starkes Unwetter und der Datenschutz etwas miteinander zu tun haben könnten?“ Diesen Fall beschreibt der LfDI BW in seinem Bericht
  • Bei einem heftigen Unwetter wurde der Keller einer Schule geflutet, in welchem Unterlagen und Abschriften von Abschlusszeugnissen lagerten. Durch die Wettereinflüsse waren die Dokumente nahezu vollständig zerstört.
  • Die Schule meldete den Fall bei der Behörde als Vorfall. Der LfDI BW forderte die Schule auf, alles zu tun, um die Dokumente noch zu retten. Zudem sah die Behörde eine Nachricht an die Betroffenen als erforderlich an. Als Empfehlung wurde eine öffentliche Bekanntmachung seitens der Behörde angeraten.
  • Behörden und Organisationen sollten Notfallpläne entwickeln, die auch den Schutz personenbezogener Daten bei Unwetterereignissen berücksichtigen.

Datenschutzrechtliche Prüfung von Webseiten öffentlicher Schulen

Im dritten Quartal 2024 wurden stichprobenartige Prüfungen von Webseiten öffentlicher Schulen durchgeführt, um datenschutzrechtliche Mängel zu identifizieren. Folgende Mängel hat die Behörde bei der Prüfung festgestellt:

Einwilligungsbanner

  • Ca. die Hälfte der geprüften Webseiten wiesen Mängel oder Probleme bei der Gestaltung des Einwilligungsbanners auf:
    • Fehlen einer Auswahlmöglichkeit (nur Hinweis auf Cookies bei Nutzung der Webseite mit einem „OK“ Button);
  • Verwendung von täuschenden Designpraktiken (Deceptive Design), etwa durch Hervorheben der Wahlmöglichkeit „Alles akzeptieren“ oder erneutes Nachfragen nach Ablehnung;
    • Verdecken der Datenschutzinformation durch den Banner, so dass die Information ohne eine vorherige Auswahl nicht zur Kenntnis genommen werden konnte;
    • Angabe falscher Rechtsgrundlagen und Angabe von Zwecken, die mit den Aufgaben einer öffentlichen Schule nicht vereinbar sind;
    • unzureichende Informationen für eine informierte Einwilligung;
    • Auswahlmöglichkeit von Trackingmechanismen.

Informationssicherheit

  • Viele Schulwebseiten nutzen nicht die verfügbaren Techniken wie Content Security Policy (CSP) und HTTP Strict Transport Security (HSTS), um zusätzliche Schutzmaßnahmen gegen Sicherheitslücken und Angriffe zu implementieren.
  • Die Implementation von CSP war oft unvollständig oder gar nicht vorhanden, und HSTS wurde häufig nicht genutzt. Die Schulen wurden gebeten, diese Sicherheitsmaßnahmen zu verbessern, was sich jedoch als fachlich schwierig erwies.

Datenschutzinformationen

  • Die meisten Datenschutzinformationen sind lang oder verwenden eine komplexe Sprache, die für die Nutzer schwer verständlich ist. Viele Schulwebseiten bieten zwar Datenschutzinformationen, diese sind jedoch oft nicht vollständig oder korrekt an die tatsächliche Datenverarbeitung angepasst.

Veröffentlichung von personenbezogenen Daten

  • Die Schulen wurden darauf aufmerksam gemacht, dass die Veröffentlichung von personenbezogenem Daten, z.B. von Lehrern, auf der Webseite (Ausnahme Schulleitung) einer Einwilligung bedarf.
  • Positiv wurde festgestellt, dass kein Vertretungsplan öffentlich online abrufbar war, sondern nur über einen gesicherten Zugang (z.B. Intranet etc.).

Es ist erforderlich, dass die Webseiten den datenschutzrechtlichen Anforderungen entsprechen. Dies umfasst vollständige und korrekte Datenschutzinformationen, die an die tatsächliche Datenverarbeitung angepasst sind. Daher sollten Schulen (aber natürlich auch andere Organisationen) regelmäßig ihre Webseiten überprüfen und gegebenenfalls anpassen.

Cyber-Security-Check der Datenbeschützerin

Auf Wunsch prüfen wir gerne Ihre Webseite mittels unseres Cyber-Security-Checks. In diesem prüfen wir Ihre Webseite auf technische Sicherheitslücken und die datenschutzrechtlichen Aspekte (z.B. Einwilligungsbanner, Cookies etc.). Sie erhalten einen umfassenden Analysebericht über die Prüfung sowie auch die individuelle Datenschutzerklärung für Ihre Webseite.

40. Tätigkeitsbericht Datenschutz und Informationssicherheit des LfDI BW
Pin it on Pinterest!

Datenschutz in der Privatwirtschaft (Seite 129 ff.)

Neues aus dem Bereich Internationaler Datentransfer

Überprüfungspflicht hinsichtlich Vorgaben zum Drittstaatentransfer bei auftragsverarbeitenden Stellen

  • Verantwortliche Stellen haben sicherzustellen, dass ihre Auftragsverarbeiter die Vorgaben zum Drittstaatentransfer gemäß den Vorgaben der Datenübermittlung einhalten. Die Behörde rät, folgende Punkte zu beachten:
    • Auftragsverarbeitungsverträge daraufhin prüfen, ob darin ausreichende Informationspflichten der auftragsverarbeitenden Stelle gegenüber der verantwortlichen Stelle – auch in Bezug auf etwaige (Weiter-)Übermittlungen in Drittstaaten durch unterauftragsverarbeitende Stellen – vorgesehen sind;
    • Die überlassenen Informationen zu einem Drittstaatentransfer auf Vollständigkeit und Schlüssigkeit überprüfen.

Diskussionspapier 2.0 – Rechtsgrundlage im Datenschutz zum Einsatz von KI

  • Das Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ wurde seitens der Behörde aktualisiert und veröffentlicht. Das Papier soll verantwortlichen Stellen helfen, sich mit den Rechtsgrundlagen auseinanderzusetzen, die das Datenschutzrecht für den Einsatz von KI-Systemen vorsieht. Für die Finalisierung wurden die Rückmeldungen von Experten und Bürgern berücksichtigt. Auf das Papier wird hier nicht näher eingegangen.
  • Unternehmen und Behörden sollten das Diskussionspapier nutzen, um ihre Datenschutzpraktiken beim Einsatz von KI-Systemen zu überprüfen und anzupassen. Eine regelmäßige Auseinandersetzung mit den Rechtsgrundlagen und Nutzungsszenarien ist notwendig. Die Behörde teilt auch mit, dass das Dokument als „lebendes“ Dokument zu verstehen ist und zukünftig wohl noch weitere Anpassungen vorgenommen werden.

Einsatz von KI-Tools in der Praxis

  • Ein Unternehmen plante den Einsatz eines KI-Tools zur Transkription von Online-Veranstaltungen und virtuellen Besprechungen. Das Tool sollte gesprochene Inhalte in Echtzeit aufzeichnen und automatisch in Text umwandeln, um die händische Protokollierung zu ersetzen und die Nachbereitung zu vereinfachen. Dabei werden personenbezogene Daten wie Nutzerinformationen und das gesprochene Wort der Teilnehmenden verarbeitet.

Die Behörde prüfte die datenschutzrechtlichen Anforderungen und stellte folgendes fest:

  • Verantwortlichkeit: Die Entscheidung, ein KI-Tool zu nutzen, macht die Stelle, die das Tool einsetzt, zur verantwortlichen Stelle im Sinne des Art. 4 Nummer 7 DS-GVO. Der Anbieter des KI-Tools fungiert als Auftragsverarbeiter, weshalb ein Auftragsverarbeitungsvertrag gemäß Art. 28 DS-GVO erforderlich ist.
  • Informationspflichten: Die Teilnehmer sind vor der Datenverarbeitung gemäß Art. 13 DS-GVO umfassend zu informieren, insbesondere über den Einsatz des KI-Tools und den Zweck der Datenverarbeitung.
  • Rechtsgrundlage: Neben der Wahrung berechtigter Interessen nach Art. 6 Abs. 1 Buchst. f) DS-GVO kommt häufig eine Einwilligung nach Art. 6 Abs. 1 Buchst. a) DS-GVO in Betracht. Diese ist klar und verständlich zu formulieren und hat den Zweck der Datenverarbeitung sowie die Speicherdauer der Daten wiederzugeben.
  • Besondere Kategorien personenbezogener Daten: Wenn sensible Informationen wie Gesundheitsdaten verarbeitet werden, ist eine Einwilligung nach Art. 9 DS-GVO erforderlich.
  • Strafrechtliche Aspekte: Das gesprochene Wort ist in Deutschland besonders geschützt. Eine Aufnahme ohne Einverständnis kann nach § 201 StGB strafbar sein, weshalb eine (zumindest stillschweigende oder mutmaßliche) Einwilligung erforderlich ist.

Unternehmen haben sicherzustellen, dass sämtliche Vorgaben nach der DSGVO eingehalten werden. Dies umfasst die klare Festlegung der Verantwortlichkeiten, den Abschluss eines Auftragsverarbeitungsvertrags, die umfassende Information der Teilnehmenden und die Einholung von Einwilligungen. Besondere Vorsicht ist bei der Verarbeitung sensibler Daten und der Einhaltung strafrechtlicher Vorgaben geboten.

Keine Hürden bei Newsletter-Abmeldung

  • Die Abmeldung von Newslettern wurde aufgrund mehrerer Beschwerden untersucht, da diese in der Praxis oft mit Hürden verbunden war.
  • Die Abmeldung von Newslettern ist einfach und benutzerfreundlich zu gestalten. Die Behörde gibt hierzu folgende Tipps an die Hand:
  • Nutzer werden nach Anklicken des Abmeldelinks im Newsletter bereits auf die für die Abmeldung vorgesehenen Landing- Page (Abmeldeseite) weitergeleitet.
    • Wenn schon Auswahlfelder zur Abmeldung existieren, sollte das Feld „vollständige Abmeldung“ als erste Option aufgeführt und vorausgewählt sein.
    • Nach der Abmeldung sollte eine Bestätigungsseite erscheinen, auf welcher die Abmeldung bestätigt wird, z.B. Sie sind jetzt von Newsletter XY abgemeldet

Unternehmen sollten sicherstellen, dass die Abmeldung von Newslettern einfach und benutzerfreundlich ist. In jedem Newsletter muss die Möglichkeit zur Abmeldung bestehen.

Technisch organisatorischer Datenschutz, Datensicherheit

Anmeldezwang für Geräte

  • Eine Beschwerde betraf den mutmaßlichen Anmeldezwang für ein Gerät, bei dem bereits ohne Interaktion des Nutzenden Verbindungen zu Drittanbieter-Servern hergestellt und Cookies gesetzt wurden.
  • Die Webseite setzte Cookies und stellte Verbindungen zu Drittanbietern her, bevor die Nutzer über mögliche Verarbeitungen informiert wurden. Dies verstößt gegen datenschutzrechtliche Vorgaben.
  • Es ist wichtig, dass die Nutzer vor der Verarbeitung personenbezogener Daten umfassend informiert werden und ihre Einwilligung eingeholt wird.

Tracking im Web

  • Viele Webseiten und Apps verwenden Tracking-Technologien, um das Verhalten der Nutzer zu analysieren und personalisierte Werbung zu schalten. Dies umfasst die Verwendung von Cookies und anderen Tracking-Mechanismen, die personenbezogene Daten erfassen.
  • Die Behörde betont, dass die Nutzung von Tracking-Technologien eine klare und transparente Information der Nutzer erfordert. Webseitenbetreiber haben sicherzustellen, dass die Einwilligung der Nutzer für das Tracking eingeholt wird. Es wurde festgestellt, dass viele Webseiten die Einwilligung nicht korrekt einholen oder die Nutzer nicht ausreichend informieren.
  • Es ist sicherzustellen, dass sie die Einwilligung der Nutzer für das Tracking korrekt eingeholt wird und diese umfassend über die Datenverarbeitung informiert werden.

Neues aus der Bußgeldstelle

Private Videoüberwachung

  • Die Behörde verhängte einige Bußgelder hinsichtlich einer unzulässigen Videoüberwachung z.B. heimliche Videoaufnahmen am Swimmingpool des Nachbarn oder in Bordellen.
  • Bei dem Thema Videoüberwachung geht eindeutig hervor, dass auch Privatpersonen von einem Bußgeld betroffen sind und das „Haushaltsprinzip“ hier nicht greift.
  • Es ist notwendig, dass auch bei Videokameras auf Privatgrundstücken die Vorgaben (insbesondere der Hinweisschilder und Informationspflicht) eingehalten werden.

Einsatz von Tracking-Geräten

  • Ein Arbeitgeber aus der Baubranche hat seinen erkrankten Mitarbeiter heimlich mittels eines Trackers überwacht. Der Arbeitgeber hatte die Vermutung, dass der Arbeitnehmer bereits wieder genesen war und auf einer anderen Baustelle tätig war. Tatsächlich wurde der Arbeiter auf einer fremden Baustelle angetroffen.
  • „Das heimliche Tracking stellte einen massiven Eingriff in das allgemeine Persönlichkeitsrecht des Mitarbeiters dar. Arbeitgeber sind gut beraten, im Verdachtsfall auf legale und verhältnismäßige Methoden zur Aufklärung zurückzugreifen, um schwerwiegende rechtliche Konsequenzen wegen eigenen Fehlverhaltens zu vermeiden, aber dennoch das vertragswidrige Verhalten eines Mitarbeitenden ahnden zu können.“

Quelle

40. Tätigkeitsbericht des LfDI BW: Datenschutz  + Digitalisierung = nachhaltige Entwicklung

Diesen Beitrag teilen

Das ist sicher auch interessant für Sie

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert