≡ Sitemap

Pressemitteilung

des Bayerischen Landesbeauftragten für den Datenschutz


10.11.2016

Ergebnisse der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 9. und 10. November 2016 in Kühlungsborn

Unter dem Vorsitz des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Reinhard Dankert, hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 9. und 10. November 2016 in Kühlungsborn getagt. Sowohl nationale als auch internationale Themen des Datenschutzes standen auf der Tagesordnung.

Mit einer Entschließung fordert die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder den Bundesinnenminister dazu auf, den Entwurf eines Videoüberwachungsverbesserungsgesetzes zurückzuziehen. Der Entwurf ist für die Bürgerinnen und Bürger ein Placebo mit kurzem Verfallsdatum. Er suggeriert mehr Sicherheit, ohne die bisher geltende Rechtslage tatsächlich zu verbessern, und ändert ein Bundesdatenschutzgesetz, das bald abgelöst werden wird. Auch lehnt die Konferenz die mit dem Gesetzentwurf verfolgte Verlagerung der Verantwortung für die öffentliche Sicherheit auf private Betreiber von Einkaufszentren und öffentlichem Personennahverkehr ab. Die Sicherheit der Bevölkerung zu gewährleisten ist Aufgabe des Staates. Die staatlichen Vollzugsorgane verfügen bereits über die dafür notwendigen landes- und bundesgesetzlichen Grundlagen - auch im Bereich der Videoüberwachung. Ein "Videoüberwachungsverbesserungsgesetz" ist daher schlicht überflüssig.

Eine weitere Entschließung der Konferenz betrifft die unverhältnismäßige Speicherung personenbezogener Daten bei Bagatelldelikten in der gemeinsamen Falldatei Rauschgift (FDR) des Bundes und der Länder. In der FDR werden bundesweit Informationen über sichergestellte Drogen und Verstöße gegen das Betäubungsmittelgesetz auf der Grundlage des BKA-Gesetzes zentral beim Bundeskriminalamt gespeichert. Die Datenschutzbehörden des Bundes und der Länder Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen-Anhalt, Schleswig-Holstein und Thüringen haben gemeinsam die FDR überprüft. Bei der Überprüfung wurden gravierende Mängel festgestellt. Vielfach haben die Behörden nicht einmal die gesetzlichen Voraussetzungen für eine Speicherung in der Datei hinreichend geprüft und gegen Dokumentationspflichten verstoßen. Die Konferenz fordert die Innenminister des Bundes und der Länder auf, diese Mängel abzustellen und datenschutzrechtliche Standards bei sämtlichen Speicherungen in Verbunddateien einzuhalten.

Zudem weisen die unabhängigen Datenschutzbehörden des Bundes und der Länder darauf hin, dass eine Reihe von bundes- und landesgesetzlichen Regelungen zu heimlichen Überwachungsmaßnahmen mit Blick auf die aktuelle Rechtsprechung des Bundesverfassungsgerichts zeitnah zu überprüfen und gegebenenfalls zu überarbeiten sind. Die verfassungsrechtlichen Mängel, auf die das Bundesverfassungsgericht in seiner Entscheidung zum BKA-Gesetz hingewiesen hat, bestehen auch bei anderen Gesetzen, die Regelungen zu verdeckt durchgeführten Überwachungsmaßnahmen zum Zweck der Gefahrenabwehr oder Strafverfolgung enthalten.

Weiter verfolgen wird die Konferenz das Gesetzgebungsverfahren zur Änderung des Personalausweisgesetzes. Besonders im Fokus steht hierbei die eID-Funktion des neuen Personalausweises. Die Bürgerinnen und Bürger sollen auch künftig über die Aktivierung der Funktion selbst entscheiden können. Außerdem muss die Übermittlung personenbezogener Daten mit Hilfe der eID-Funktion für die Ausweisinhaber transparent sein und den Grundsätzen der Zweckbindung und Erforderlichkeit genügen.

Neben Datenschutzfragen aus dem Verhältnis Bürger - Staat beschäftigte sich die Konferenz auch mit technischen Neuerungen im Alltag und ihren Auswirkungen auf die Privatsphäre. Erste Anbieter testen bereits die Paketzustellung via Roboter oder Drohne. Doch damit sich Roboter und Drohen unversehrt im öffentlichen Raum bewegen können, statten die Unternehmen sie gleich mit mehreren Kameras aus. Aber was zeichnen diese Kameras auf und was geschieht mit den auf diese Weise erhobenen Daten? Die Konferenz wird den Einsatz von Robotern und Drohnen im öffentlichen Raum aus datenschutzrechtlicher Sicht analysieren und Anforderungen an einen datenschutzkonformen Einsatz dieser Technologie erarbeiten.

Einen praktikablen Weg, rechtliche Vorgaben des geltenden Datenschutzrechts und zukünftig auch der Europäischen Datenschutz-Grundverordnung in angemessene technische und organisatorische Maßnahmen umzusetzen, soll das Standard-Datenschutzmodell (SDM) eröffnen. Die Konferenz hat das SDM beraten und die Veröffentlichung der aktuellen Version als Erprobungsfassung beschlossen. Das SDM soll sowohl in der eigenen Kontroll- und Beratungspraxis als auch bei der Planung und beim Betrieb von Datenverarbeitungen durch verantwortliche Stellen im öffentlichen und nicht-öffentlichen Bereich erprobt werden. Das SDM wird von einem Arbeitsgremium der Konferenz laufend fortentwickelt.

Im Bereich des internationalen Datenverkehrs dominierte die Europäische Datenschutz-Grundverordnung (DSGVO) die Beratungen. Ein erster Referentenentwurf zur Anpassung der bundesdeutschen Rechtslage an die DSGVO wurde im Sommer dieses Jahres auf netzpolitik.org geleakt. Die Konferenz hat beschlossen, ein dazu von ihr erarbeitetes Eckpunktepapier zu veröffentlichen. Sie fordert, das hohe Datenschutzniveau des Bundesdatenschutzgesetzes und der DSGVO zu erhalten. Die Rechte der von einer Datenverarbeitung Betroffenen müssen gewahrt und der Grundsatz der Zweckbindung beibehalten werden. Starker Datenschutz braucht zudem durchsetzungsfähige Aufsichtsbehörden, auch gegenüber Berufsgeheimnisträgern. Diese verarbeiten besonders sensible personenbezogene Daten und müssen der Aufsicht und Kontrolle der Datenschutzbehörden unterstellt sein. Nicht zuletzt müssen die zu treffenden Regelungen klar formuliert und für die Anwender verständlich sein.

Handlungsbedarf besteht auch bei den unabhängigen Datenschutzbehörden des Bundes und der Länder selbst. Die DSGVO erfordert eine intensive Zusammenarbeit und Abstimmung der Aufsichtsbehörden auf europäischer Ebene. Hierfür ist eine Reihe von Veränderungen der Konferenzstruktur erforderlich. Erste Maßnahmen dafür hat die Konferenz auf den Weg gebracht.

Die Übermittlung personenbezogener Daten in Drittstaaten wurde ebenfalls diskutiert. Mit der Safe-Harbor-Entscheidung hat der Europäische Gerichtshof ein Instrument der Übermittlung personenbezogener Daten in die USA für unzulässig erklärt und die Privacy-Shield-Entscheidung der Europäischen Kommission erforderlich gemacht. Die grundrechtlichen Erwägungen des Urteils sind aus Sicht der Konferenz auch auf die anderen Grundlagen der Übermittlung personenbezogener Daten in Drittstaaten, wie Binding Corporate Rules und Standardvertragsklauseln, übertragbar. Diese müssen im Einzelfall überprüft werden

Die Entschließungen sind auf https://www.datenschutz-bayern.de unter "Konferenzen" abrufbar.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.