[datensicherheit.de, 13.01.2025] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) meldet, dass ab sofort die Initiative „Mit Sicherheit gut behandelt“ auf ihrer Website monatlich Praxistipps veröffentlicht, um Ärzten und Psychotherapeuten bei der Umsetzung des Datenschutzes in ihrem Praxisalltag bedarfsgerecht zu unterstützen. Zusätzlich zum Web-Angebot sollen sie von den Mitgliedern der Initiative über weitere Kommunikationskanäle wie Newsletter und „Social Media“ zur Verfügung gestellt werden. Insgesamt sind demnach zwölf Praxistipps geplant.

Abbildung: Initiative „Mit Sicherheit gut behandelt“

Ärzte und Psychotherapeuten sollen bei ihrer Verpflichtung, die Vorgaben der Ärztlichen Schweigepflicht auch im 21. Jahrhundert zu gewährleisten, nicht alleine gelassen werden!

Datenschutz ein zentrales Thema in Arzt- und Psychotherapiepraxen

Datenschutz sei ein zentrales Thema in Arzt- und Psychotherapiepraxen. Mit ihren Praxistipps möchte die rheinland-pfälzische Initiative „den Behandelnden konkrete und aktuelle Hilfestellung geben, wie sie die gesetzlichen Vorgaben in ihren Arbeitsalltag integrieren können“.

Die Praxistipps sollen auf der Website „www.mit-sicherheit-gut-behandelt.de“ jeweils eine im Praxisbetrieb relevante datenschutzrechtliche Frage mit dazugehöriger Antwort vorstellen. Zusätzlich erhielten die Adressaten Hinweise zu Rechtsgrundlagen und weiterführende Links – dies alles kompakt auf einer Seite und zum Herunterladen als druckbare PDF-Dateien.

Auskunftsanspruch der Patienten hinsichtlich der zu ihnen gespeicherten Daten

Der erste Praxistipp sei dem Thema „Auskunftsanspruch nach der DSGVO“ gewidmet: Patienten hätten einen umfassenden Auskunftsanspruch über die zu ihrer Behandlung gespeicherten, sie betreffenden Daten. „So haben sie das Recht, eine vollständige Kopie der Behandlungsdokumentation zu erhalten.“ Die Patienten könnten die Form der Auskunftserteilung – Papierform oder elektronisch – selbst bestimmen. Die erste Kopie sei kostenfrei auszuhändigen.

Die nächsten Praxistipps beschäftigten sich etwa mit der Zulässigkeit einer E-Mail-Nutzung im Praxisalltag, dem Umgang mit Einwilligungen und Informationspflichten, den Anforderungen an eine „Cloud“-Speicherung von Patientendaten und Informationen zum Umfang des Auskunftsanspruchs beim Praxiswechsel oder im Fall von Minderjährigen.

Verantwortliche in Heilberufen sollen für das wichtige Thema Datenschutz sensibilisiert werden

Die Initiative „Mit Sicherheit gut behandelt“ setzt sich nach eigenen Angaben dafür ein, Verantwortliche in Heilberufen für das wichtige Thema Datenschutz zu sensibilisieren und über bestehende Anforderungen und Vorgaben zu informieren. Dazu organisiere sie Veranstaltungen und stelle geeignete Instrumente wie Handlungsempfehlungen und Checklisten zur Sicherstellung des Datenschutzes im Praxisbetrieb online zur Verfügung.

Die Initiative „Mit Sicherheit gut behandelt“ werde getragen vom rheinland-pfälzischen Landesbeauftragten für den Datenschutz und die Informationsfreiheit, von der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer Rheinland-Pfalz und der Landespsychotherapeutenkammer Rheinland-Pfalz.

Weitere Informationen zum Thema:

Mit Sicherheit gut behandelt.
Über die Initiative

Mit Sicherheit gut behandelt.
Datenschutz in der Praxis # 1 / Auskunftsanspruch nach der DSGVO

[datensicherheit.de, 02.08.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ging in seiner Stellungnahme vom 1. August 2024 auf die an diesem Tag in Kraft getretene Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI) ein: „Damit findet ein umfangreiches und langwieriges Gesetzgebungsvorhaben seinen Abschluss. Hersteller, Anbieter, Betreiber und Händler von KI-Systemen haben nun einen Orientierungsrahmen, der die Anforderungen an KI-Systeme in den einzelnen Phasen der Wertschöpfungskette klarstellt.“

Verhältnis von KI zum Datenschutz ein Schwerpunkt der LfDI-Behörde

Das Verhältnis von KI zum Datenschutz sei ein Schwerpunkt seiner Behörde, so Prof. Dr. Dieter Kugelmann, der LfDI. Er führt hierzu aus: „Schon 2019 haben wir in unserer ,Hambacher Erklärung’ als deutsche Datenschutzaufsichtsbehörden eine humanistische und damit grundrechtsschützende Ausrichtung von KI als Standard gefordert. Ich freue mich sehr, dass dieser Anspruch sich nun im europäischen Regulierungsrahmen wiederfindet.“ Die KI-Verordnung stelle nun sicher, „dass die Entwicklung und Verwendung von KI-Systemen einen menschenzentrierten, vertrauenswürdigen und damit wertebasierten Ansatz verfolgt“. In der EU solle die KI den Menschen dienen und nicht umgekehrt.

In den zahlreichen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, blieben das Datenschutzrecht und der damit gesicherte Grundrechtsschutz von der KI-Verordnung unberührt. Dabei seien die Synergien offenkundig: „Viele Mechanismen, die zu einer transparenten und vertrauenswürdigen KI beitragen, sind bereits aus der Datenschutz-Grundverordnung und der Richtlinie für Polizei und Justiz bekannt.“ Wer über ein gutes Datenschutzmanagement verfügt, könne dieses für die Umsetzung der Anforderungen der KI-Verordnung nutzbar machen.

Risikomanagementsysteme nach Art. 9 KI-VO könnten mit Datenschutzmanagement kombiniert werden…

Mittels Transparenz- und Dokumentationsvorgaben werde Vertrauen in die Systeme geschaffen, zudem hätten die betroffenen Personen ein Recht auf Erläuterung der Entscheidungsfindung, „das zu den Betroffenenrechten der DS-GVO hinzutritt“. Auch wenn die Risiko-Klassifizierung der KI-Verordnung einem strikteren Konzept folge als in der Datenschutz-Grundverordnung (DS-GVO), könnten die Instrumente, mit denen Risiken gemanagt werden, sinnvoll ineinandergreifen:

„Risikomanagementsysteme nach Art. 9 KI-VO könnten etwa mit dem Datenschutzmanagement kombiniert werden, die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme öffentlicher Stellen nach Art. 27 KI-VO lässt sich gegebenenfalls mit der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verbinden.“

Mit Inkrafttreten der KI-Verordnung sind verschiedene Umsetzungsfristen angelaufen

Synergien zwischen den Anforderungen der KI-Verordnung und der DS-GVO habe der Verordnungsgeber auch erkannt, „als er den Datenschutzaufsichtsbehörden die Funktion der Marküberwachung über die ,Hochrisiko-Systeme’ im Bereich der Strafverfolgung, Justiz, Migration und Wahlen zuwies“. Erklärtes Ziel des Verordnungsgebers sei dabei die Sicherstellung einer einheitlichen Aufsicht. „Letzteres sollte auch der deutsche Gesetzgeber anstreben, der in den kommenden Monaten die nationale Aufsichtsstruktur der KI-Verordnung regeln muss.“ Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) habe ihre Bereitschaft zur Übernahme der nationalen Aufsicht über die KI-Verordnung bereits erklärt und entsprechende personelle Ausstattung eingefordert.

Mit dem Inkrafttreten der KI-Verordnung liefen verschiedene mit ihr verbundene Umsetzungsfristen an. „Schon zum 2. Februar 2025 werden bestimmte hochriskante Praktiken der Künstlichen Intelligenz verboten sein. Hierzu zählt das Verbot biometrischer Echtzeit-Fernüberwachung sowie das Verbot von ,Social Scoring’.“ Zum 2. August 2025 müssten die nationalen Aufsichtsbehörden für die KI-Verordnung benannt sein. Weitere Regelungen träten gestaffelt in Kraft, spätestens zum 2. August 2026 entfalte die KI-Verordnung vollumfänglich Wirksamkeit.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz, Datenschutz, 08.05.2024
Datenschutzkonferenz fordert nationale Zuständigkeiten für die KI-Verordnung – Kugelmann: „Wir stehen für diese Zukunftsaufgabe bereit“

DSK DATENSCHUTZKONFERENZ, 03.05.2024
Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) / Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024

datensicherheit.de, 31.07.2024]
EU AI Act ab 1. August 2024 in Kraft: TÜV AI.Lab bietet KI-Compliance-Check an / AI Act als Basis eines globalen Leitmarkts für sichere KI „Made in Europe“

datensicherheit.de, 24.07.2024
KI-Verordnung tritt am 1. August 2024 in Kraft / Auch Datenschutzbehörden werden KI-VO umsetzen

datensicherheit.de, 28.05.2024
Schatten-KI und EU AI Act: Unternehmen müssen sich den Herausforderungen zeitnah stellen / Philipp Adamidis nimmt Stellung zu Aspekten der erfolgreichen KI-Transformation

[datensicherheit.de, 01.07.2024] In seiner aktuellen Stellungnahme berichtet Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz: „Rund 500 Erzieherinnen und Erzieher aus rheinland-pfälzischen Kitas haben in dieser Woche an einem Webinar teilgenommen, das der Landesdatenschutzbeauftragte speziell für den frühkindlichen Bereich anbot. Unter dem Motto ,Fotos, Portfolio, Einwilligung – Kita-Datenschutz gut umgesetzt’ informierte das Team des Landesbeauftragten zu datenschutzrechtlichen Fragen, die sich im Kita-Alltag auftun – vom Fotografieren beim Kita-Sommerfest bis hin zu Namensschildern am Kleiderhaken.“ Dieses Web-Seminar sei eine von sechs Aktionen gewesen, welche der LfDI zur „Woche der Medienkompetenz Rheinland-Pfalz“ 2024 beigetragen habe. Auf seiner Website stellt der LfDI auch umfangreiche und laufend aktualisierte „FAQs“ für Kitas bereit. „Dort stehen außerdem Mustertexte für die Einrichtungen der frühkindlichen Bildung zur Verfügung. Auch die Aufzeichnung des Webinars wird in Kürze zu finden sein.“

Von Kitas über Kinder erfasste Informationen besonders sensibel

„Guter Datenschutz fängt bei den Kleinsten an“, betont Professor Kugelmann und führt weiter aus: „Die besondere Schutzbedürftigkeit der Kinder betrifft auch ihre Persönlichkeitsrechte.“ Die von Kindertagesstätten über Kinder erfassten Informationen seien besonders sensibel. Häufig beträfen diese die Gesundheit, die persönliche Entwicklung oder den sozialen Kontext eines Kindes. „Die Anforderungen an den Datenschutz sind entsprechend hoch und die Mitarbeitenden der Kitas tragen viel Verantwortung.“

Dem LfDI sei es wichtig, dass die Erzieher sich im Umgang mit dem Datenschutz nicht allein gelassen fühlten. Deshalb setzt er sich nach eigenen Angaben mit seinem Team seit Jahren dafür ein, Kitas und Kita-Träger zu beraten und mit den nötigen Informationen zu versorgen – „alltagsnah, leicht verständlich und in Kenntnis der vielfältigen Herausforderungen, mit denen Kita-Mitarbeitende täglich konfrontiert sind“.

Datenschutz-Informationsangebot für Kita-Mitarbeiter bisher eher spärlich

Die große Zahl von 500 Teilnehmern am Web-Seminar zeige eindrücklich den Bedarf: „Anders als bei den Schulen, wo es längst etablierte Fortbildungsstrukturen gibt, ist das Angebot für Mitarbeitende von Kitas knapp. Dabei ist datenschutzrechtliches Wissen heute besonders wichtig angesichts der Digitalisierung, die nach den Schulen auch in der frühkindlichen Bildung angekommen ist.“

Das Web-Seminar werde nicht das letzte Angebot dieses Formats für Kitas sein. Neben dem diesmaligen Schwerpunkt „Bildrechte und Einwilligung“ fänden viele weitere Datenverarbeitungsprozesse in der Kita statt, zu denen das Team des LfDI in den kommenden Monaten Online-Angebote machen werde. „Das Format des Webinars macht es Kita-Mitarbeitenden möglich, trotz oft knapper Personalschlüssel ohne großen zeitlichen Aufwand an der Weiterbildung teilzunehmen.“

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenschutz in der Kita / Fragen und Antworten für Erzieherinnen und Erzieher

[datensicherheit.de, 18.06.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz hat nach eigenen Angaben eine Informationskampagne gestartet, um Unternehmen und Kultureinrichtungen in diesem Bundesland proaktiv auf die datenschutzrechtlichen Voraussetzungen hinzuweisen, welche für den Versand von Newslettern und E-Mail-Werbung gelten. Ziel sei die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich.

LfDI-Team prüfte 2923 rund 70 Bürger-Beschwerden zum Datenschutz

„Newsletter und Werbe-E-Mails sind für Unternehmen ein wichtiges Mittel in der Kommunikation mit Ihren Kundinnen und Kunden“, betont der LfDI, Prof. Dr. Dieter Kugelmann. Dies sei grundsätzlich legitim. Er stellt indes klar: „Aber es gelten Regeln, die die potenziellen Empfänger der Nachrichten in ihren Rechten schützen.“

Diese Regeln seien gar nicht so kompliziert, aber wohl nicht allen bekannt. „Leider stellen wir in diesem Bereich immer wieder Defizite fest und uns erreichen zahlreiche Beschwerden.“ Im vergangenen Jahr – 2023 – habe das LfDI-Team rund 70 Bürger-Beschwerden zu diesem Thema geprüft.

Datenschutz-Informationsschreiben an vorerst 30 rheinland-pfälzische Unternehmen und Kultureinrichtungen

Die Behörde habe daher Informationsschreiben an vorerst 30 rheinland-pfälzische Unternehmen und Kultureinrichtungen aus verschiedenen Branchen verschickt, um deren Aufmerksamkeit auf das Thema zu lenken und die geltenden Vorschriften zu erklären.

„Die angeschriebenen Verantwortlichen wurden nicht ausgewählt, weil bei ihnen selbst Verstöße festgestellt wurden, sondern in erster Linie als Werbetreibende, die diese Art der Kommunikation regelmäßig nutzen.“

Adressierte Verantwortliche als Datenschutz-Multiplikatoren

Professor Kugelmann erläutert: „Wir setzen auch auf einen Multiplikationseffekt, also darauf, dass die adressierten Unternehmen und Kultureinrichtungen die Informationen in ihre Branchen weitertragen.“

Dies sei nicht nur aus Sicht des Datenschutzes und seiner Behörde wünschenswert, sondern auch für die betroffenen Branchen ein Gewinn. Abschließend unterstreicht er: „Denn Verstöße können im Fall von Beschwerden zu aufsichtsbehördlichen Maßnahmen bis hin zu Bußgeldern führen.“

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Direktwerbung und Newsletter

[datensicherheit.de, 09.01.2024] Nach eigenen Angaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) unterstützte dieser in 248 Fällen Bürger im abgelaufenen Jahr 2023 dabei, ihr Recht auf Informationszugang gegenüber Behörden und anderen öffentlichen Stellen in Rheinland-Pfalz durchzusetzen. Die Zahl der Beratungsanfragen und Beschwerden sei damit im Vergleich zu den Vorjahren erneut gestiegen und habe einen neuen Höchststand erreicht. Inhaltliche Schwerpunkte bildeten demnach die Themen Hochwasserschutz und Innere Sicherheit. Konkrete Fälle und die Arbeitsschwerpunkte des vergangenen Jahres hat der LfDI RLP, Prof. Dr. Dieter Kugelmann, am 9. Januar 2024 in seiner Jahrespressekonferenz „Best of Informationsfreiheit“ vorgestellt.

Informationsfreiheit stößt zuweilen an lebenspraktische Grenzen

Maßnahmenlisten für den Hochwasser- und Katastrophenschutz sowie Konzepte zur Warnung der Bevölkerung seien ebenso angefragt worden wie Unterlagen zu städtischen Mietwohnungen und Prüfungsbögen für das medizinische Staatsexamen. In den allermeisten Fällen habe das Team des LfDI RLP erfolgreich vermitteln und den Antragstellern zu einer rechtskonformen Bearbeitung ihrer Informationsfreiheitsanträge verhelfen können.

In lediglich drei Fällen seien Beanstandungen gegenüber rheinland-pfälzischen Behörden nötig gewesen. In manchen Fällen indes sei das Recht auf Informationszugang nämlich an lebenspraktische Grenzen gestoßen – etwa in einem Fall von baurechtlichen Genehmigungen, in dem Schimmelbefall den Zugang zu den angefragten Akten verzögert habe.

Informationsfreiheit: Staatliche Stellen müssen sich erklären, Vorhaben und Entscheidungsgrundlagen nachvollziehbar machen…

„Staatliche Stellen müssen sich erklären, ihre Vorhaben und Entscheidungsgrundlagen nachvollziehbar machen, veröffentlichen, Barrieren abbauen und sich öffnen“, stellte Professor Kugelmann klar. Sein gegenwärtiges Fazit: „Vieles läuft gut, aber Transparenz ist und bleibt Arbeit – und das ist sie wert. Ich setze mich mit meinem Team täglich dafür ein, dass das Recht auf Informationsfreiheit geachtet und zu einem selbstverständlichen Bestandteil unserer modernen demokratischen Gesellschaft wird.“

Diesem Ziel trage auch der neu konstituierte „Transparenzbeirat“ Rechnung, der sich im November 2023 zu seiner ersten Sitzung getroffen habe. Dieser bestehe aus Vertretern verschiedener gesellschaftlicher Gruppen, der Wissenschaft, des Landtags und der Landesregierung. Unter Leitung der Grünen-Fraktionsvorsitzenden Pia Schellhammer, MdL, werde dieser zukünftig dreimal pro Jahr in öffentlichen Sitzungen zusammenkommen und den LfDI RLP bei der Wahrnehmung seiner Aufgaben nach dem Landestransparenzgesetz unterstützen.

Engagement auf der ICIC – einem global organisierten Gremium aus Informationsfreiheitsbeauftragten

Der LfDI RLP habe sich im Jahr 2023 auch auf internationaler Ebene innerhalb der „International Conference of Information Commissioners“ (ICIC) engagiert: „Die ICIC ist ein global organisiertes Gremium aus Informationsfreiheitsbeauftragten, Ombudspersonen und anderen Stellen, das mit der Überwachung der Umsetzung von Informationsfreiheitsgesetzen betraut ist.“

Gemeinsam mit den Landesbeauftragten von Berlin und Brandenburg sowie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vertrete Professor Kugelmann die Bundesrepublik Deutschland in der ICIC. Dieser „Blick über den Tellerrand“ schärfe das Bewusstsein für die Transparenz in der Demokratie.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Best of Informationsfreiheit: Die spannendsten und interessantesten Fälle im Jahr 2023

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Informationsfreiheit

[datensicherheit.de, 13.11.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) berichtet in einer aktuellen Meldung über die jüngste Tagung des „Runden Tischs der rheinland-pfälzischen Wirtschaft“ – im Fokus habe ein produktiver Austausch zu datenschutzrechtlichen Themen gestanden:

Runder Tisch der rheinland-pfälzischen Wirtschaft: 3. Tagung am 9. November 2023

Zum 9. November 2023 habe der LfDI RLP eingeladen und die Teilnehmer gemeinsam mit seinem Team über datenschutzrechtliche Entwicklungen informiert – und daraus resultierende Praxisfragen diskutiert. Rund 25 Vertreter der Wirtschaft und aus Kammern sowie des Wirtschaftsministeriums des Landes haben demnach an diesem Dialog zu Gast bei der BASF in Ludwigshafen teilgenommen.

„Auf der Tagesordnung standen Themen mit hoher Aktualität und konkretem Praxisbezug für größere ebenso wir für kleinere und mittlere Unternehmen.“ Der Umgang mit Anwendungen aus dem Bereich der Künstlichen Intelligenz (KI) sei ebenso beleuchtet worden wie der im Juli 2023 von der Europäischen Kommission verabschiedete „Angemessenheitsbeschluss zum Datentransfer in die USA“ auf der Grundlage des „EU-US Data Privacy Framework“.

Auch das „Hinweisgeberschutzgesetz“ sowie dessen organisatorische Auswirkungen auf die Wirtschaft seien diskutiert worden. Nicht zuletzt habe der Ausblick auf bevorstehende europäische Rechtsakte wie „Data Act“ oder „AI Act“ eine Rolle gespielt.

Runder Tisch zu Gast bei der BASF: Eröffnung durch Dr. Martin Hummrich

Eröffnet worden sei die Veranstaltung durch ein Grußwort von Dr. Martin Hummrich vom Ministerium für Wirtschaft, Verkehr, Landwirtschaft und Weinbau des Landes Rheinland-Pfalz.

Ziel des nach 2020 und 2022 zum dritten Mal veranstalteten „Runden Tisches“ sei die Förderung einer proaktiven und direkten Kommunikation zwischen der Landesdatenschutzbehörde und den im Land agierenden Unternehmen:

„Ein offener und zielorientierter Austausch mit den Akteurinnen und Akteuren der rheinland-pfälzischen Wirtschaft ist mir wichtig. Nur so können Probleme erkannt und Missverständnisse vermieden werden. Wenn wir datenschutzrechtliche Herausforderungen gemeinsam in den Blick nehmen und Lösungen entwickeln, profitieren alle davon. Innovation ist datenschutzkonform möglich“, so der LfDI, Prof. Dr. Dieter Kugelmann.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz, 06.09.2023
Datenverkehr mit den USA: Anwendungshinweise zum Angemessenheitsbeschluss zum EU-US Data Privacy Framework

[datensicherheit.de, 18.09.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in seinem Kommentar vom 7. September 2023 das neue Bundesdatenschutzgesetz als „Fortschritt“ bezeichnet, fordert aber dazu auf, die „Länderrolle“ widerzuspiegeln.

Bundesdatenschutzgesetz soll Datenschutz-Grundverordnung ergänzen und präzisieren

Anfang August 2023 hat demnach das Bundesinnenministerium den Entwurf für ein novelliertes Bundesdatenschutzgesetz veröffentlicht – die deutschen Datenschutzbehörden haben dazu Position bezogen. Der LfDI RLP, Prof. Dr. Dieter Kugelmann, hat nach eigenen Angaben daran wesentlich mitgewirkt: „Wir haben einige Punkte identifiziert, die der Nachschärfung bedürfen. An einem Punkt ist der Entwurf ein Fortschritt: Erstmalig wird darin die schon lange existierende Datenschutzkonferenz als etabliertes Format der Zusammenarbeit zwischen den deutschen Datenschutzaufsichtsbehörden gesetzlich anerkannt.“

Das Bundesdatenschutzgesetz ergänze und präzisiere die Datenschutz-Grundverordnung (DSGVO) der EU in Bereichen, welche die EU-Staaten jeweils selbst ausgestalten dürften. In Deutschland regele das Bundesdatenschutzgesetz den Datenschutz bei privaten Unternehmen sowie Einrichtungen und insbesondere auch die Zuständigkeiten der Datenschutzaufsichtsbehörden der Länder und des Bundes.

Datenschutzkonferenz soll gesetzlich festgeschrieben werden

Die im Entwurf nun faktisch vorgesehene Institutionalisierung der Datenschutzkonferenz (DSK) hätten die 18 deutschen Datenschutzaufsichtsbehörden in ihrer gemeinsamen Stellungnahme ausdrücklich begrüßt. Die DSK sei als Format für die gelingende Zusammenarbeit der Behörden seit Langem etabliert. Professor Kugelmann leitet den im Jahr 2020 gegründeten Arbeitskreis „DSK 2.0“, welcher auf die weitere Intensivierung und Professionalisierung hinarbeiten soll. Schon heute habe die DSK eine Geschäftsordnung und lasse Mehrheitsbeschlüsse zu.

„Der vorliegende Gesetzentwurf schreibt insoweit die Fortschritte fest, die wir in den vergangenen Monaten erzielt haben. Das ist gut.“ Was in diesem Gesetzentwurf jedoch fehle, sei die Einrichtung einer DSK-Geschäftsstelle. Professor Kugelmann betont: „Die Datenschutzkonferenz braucht eine Geschäftsstelle, um dauerhaft effizient arbeiten zu können. Ich bedaure, dass die Chance zur organisatorischen Festlegung des Gremiums im Gesetzentwurf noch nicht genutzt wurde. Ich werde mich weiter für die Einrichtung einer Geschäftsstelle einsetzen.“

Zuständigkeit der Länder für den Datenschutz auf föderaler Ebene und Mitwirkung auf EU-Ebene

Neben der gemeinsamen DSK-Stellungnahme haben die Landesdatenschutzaufsichtsbehörden laut LfDI RLP eine zweite, eigene Stellungnahme an das Bundesinnenministerium geschickt. Diese Stellungnahme der Länder gehe insbesondere auf diejenigen Aspekte des Gesetzentwurfs ein, welche die Verteilung der Zuständigkeiten der Aufsichtsbehörden auf föderaler Ebene und die Mitwirkung auf der Ebene der EU betreffen. Professor Kugelmann moniert: „Einige der vorgesehenen Änderungen fallen hinter die Lösungen zurück, die die Aufsichtsbehörden in der Praxis für eine schnelle und gute Abstimmung schon gefunden haben.“

Die Stellungnahme formuliere daher aus Ländersicht konstruktive Vorschläge zu denjenigen Passagen im Gesetzentwurf, welche etwa länderübergreifende Datenverarbeitungsvorhaben und die deutsche Vertretung auf EU-Ebene betreffen. Abschließend unterstreicht Professor Kugelmann: „Als rheinland-pfälzischer Landesdatenschutzbeauftragter leitet mich stets das Ziel, eine einheitliche Anwendung der DS-GVO für alle Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung zu erreichen, ohne die zahlreichen Vorteile der regionalen Zuständigkeit zu verlieren.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 06.09.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

LfDI RLP, 06.09.2023
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

[datensicherheit.de, 15.02.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland- Pfalz (LfDI RLP) hat nach eigenen Angaben für das Jahr 2023 einen „Aktionsplan“ erstellt. Dieser setze einen Schwerpunkt auf die Schaffung und Erhaltung Digitaler Souveränität hinsichtlich technischer Entwicklungen, Digitalisierungsprozessen und Datenströmen.

Abbildung: LfDI RLP

LfDI-Aktionsplan 2023: „Aufsicht und Aufklärung – Datenschutz im Aufwind“

Übergreifende LfDI-Themen: Schaffung und Erhaltung Digitaler Souveränität

Übergreifende Themen werden demnach die Schaffung und Erhaltung Digitaler Souveränität und damit zusammenhängend der Umgang mit Software-Anwendungen bestimmter Anbieter mit Monopol- oder Oligopol-Charakter sein.

Außerdem plane der LfDI, wieder verstärkt sogenannte Vor-Ort-Kontrollen und Untersuchungen durchzuführen, z.B. in Kommunalverwaltungen, welche EfA-Dienste (Einer für Alle) gemäß dem OZG (Onlinezugangsgesetz) einsetzen. Zudem sei im Nachgang der „Corona-Pandemie“ angezeigt, „im Sinne eines ,Aufräumens’ nach der ,Pandemie’ mittels Stichproben die Löschung von insbesondere ärztlichen Unterlagen etwa in Schulen oder bei Arbeitgebern zu kontrollieren“.

LfDI-Aktionsplan dient der Transparenz der Tätigkeiten der Behörde nach außen und der Selbstvergewisserung

„Der Aktionsplan dient der Transparenz der Tätigkeiten meiner Behörde nach außen. Er dient aber auch der eigenen Selbstvergewisserung, welche datenschutzrechtlichen Themen drängen, wenn nicht sogar brennen, zu welchen Themen der LfDI den betroffenen Personen, aber auch den Verantwortlichen Hilfestellungen geben will und in welchen politischen Prozessen die Stimme des Datenschutzes erhoben werden muss, um demokratische Prozesse mitzugestalten“, so der Landesbeauftragte, Prof. Dr. Dieter Kugelmann.

Seine Behörde und er selbst hätten eine Vielzahl von Aufgaben zu erfüllen. Professor Kugelmann abschließend: „Durch die Setzung von Schwerpunkten soll den aktuellen Herausforderungen Rechnung getragen werden, soweit sie absehbar sind.“

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Aktionsplan 2023 / Aufsicht und Aufklärung – Datenschutz im Aufwind

[datensicherheit.de, 08.02.2023] „Chat-Roboter, Bildgeneratoren und andere KI-Systeme werden seit einigen Wochen aus den IT-Forschungslaboren auf die Internetnutzer losgelassen“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) in seiner aktuellen Stellungnahme. Aus diesem gegebenen Anlass wirft er „einen genaueren Blick auf Datenschutz“ bei Künstlicher Intelligenz (KI).

Datenschützer begleiteten KI-Entwicklungen seit einigen Jahren und weisen insbesondere auch auf die Gefahren hin

„Den Aufsatz über Vincent van Gogh mit ein paar Klicks schreiben lassen, statt mühsam verschiedene Quellen zusammenzutragen und schöne Sätze zu konstruieren, das verspricht eine Software, die sich derzeit bei Schülern und Studenten großer Beliebtheit erfreut“, berichtet der LfDI RLP anlässlich des diesjährigen „Safer Internet Day“ (SID) am 7. Februar 2023. Seit einigen Wochen sei in Schulen der Sprach-Roboter „ChatGPT“ angekommen, welcher demnach in Sekunden scheinbar von Schülerhand geschriebene Texte über alle möglichen Unterrichtsthemen erstellen kann.

Dies sei nur ein Beispiel, „wie KI-Systeme sich mehr und mehr in digitalen Anwendungen unseres Alltags finden“. Datenschützer begleiteten die Entwicklungen im Bereich KI seit einigen Jahren und wiesen insbesondere auch auf die Gefahren hin, welche diese Systeme bergen könnten: „KI-Systeme, sei es im Sprachassistenten, der Forschung oder bei Sicherheitsbehörden, können menschliche Aufgaben in einem Bruchteil der Zeit erledigen und werden daher als Unterstützung immer verbreiteter. Problematisch ist, dass bei vielen der Systeme der Algorithmus, der die Entscheidungen trifft, eine Black-Box ist“, sagt der Landesdatenschutzbeauftragte Prof. Dr. Dieter Kugelmann und führt weiter aus: „Wer den Algorithmus entwickelt und kontrolliert, der bestimmt die Ergebnisse. Hier kann es schnell zu tendenziösen oder falschen Ergebnissen, politischen Beeinflussungen oder rassistischen Diskriminierungen kommen. Transparenz der Algorithmen und die Möglichkeit, die Systeme durch unabhängige Dritte überprüfen zu lassen, sind daher das A und O, bevor man entsprechende KI-Systeme beispielsweise im Bereich des staatlichen Handelns einführt.“

Die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (DSK) habe bereits 2019 in der „Hambacher Erklärung“ zur Künstlichen Intelligenz sieben Anforderungen an KI-Systeme definiert, welche helfen sollten, missbräuchlichen Einsatz zu verhindern.

Datensammlung: Seit Herbst 2022 bei einigen KI-Systemen Login für alle möglich

Dass die „Intelligenz“ der Systeme noch Grenzen habe, zeige sich bei genauerer Betrachtung der Ergebnisse dieser Chat-Roboter oder Bildgeneratoren. Oftmals seien die Texte zwar sprachlich perfekt geschrieben, „inhaltlich gehen sie aber nicht zu sehr in die Detailtiefe oder sind schlichtweg falsch“.

Auch die Bildgeneratoren versagten beim Erstellen der – ansonsten fotorealistischen – Bilder noch bei Details wie Augen, Fingern oder Gegenständen wie Brillen. Um hierfür wirkliche Perfektion zu liefern, fehlten den Systemen schlicht noch mehr menschliche Daten. Das ist eine Triebfeder, warum seit Herbst 2022 bei einigen Systemen der „Login für Jederfrau und Jedermann“ geöffnet worden sei. Millionen Nutzer seien in den ersten Wochen auf diese Plattformen geströmt, welche sich zum Teil nur angemeldet mit einem Account nutzen ließen, und fütterten den Algorithmus mit jeder ihrer Eingaben mit Daten, einschließlich ihrer Mobilfunknummer. Eine immense, valide Testgruppe, welche die Betreiberfirmen und Geldgeber hinter den Programmen mit eigenen Mitteln nie hätten einkaufen können. „Und das trotz beispielsweise angekündigten Investitionen von 10 Milliarden US-Dollar des US-Konzerns Microsoft in ,ChatGPT’. Erst die vermeintlich spielerische Chat-Tätigkeit vieler Millionen Nutzerinnen und Nutzer mit dem Roboter schafft den rasant wachsender Datenbestand, der sich zur Verbesserung der Systeme ausschlachten lässt.“

Professor Kugelmann betont abschließend: „Die Diskussion um KI nimmt zu Beginn des Jahres somit gerade an Fahrt auf. Für Lehrkräfte ist es jetzt eine gute Gelegenheit, in das Thema einzusteigen und sich mit den Schülerinnen und Schülern konstruktiv-kritisch mit den Programmen auseinanderzusetzen.“ Er möchte mit dem neuen Themenbereich zu KI daher gerade Schulen ansprechen und der LfDI RLP werde hierzu in den kommenden Monaten weitere Informationen bereitstellen, „die Schülerinnen und Schülern den Einblick in die Welt der KI und den Schutz ihrer persönlichen Daten erfahrbarer machen sollen“.

Weitere Informationen zum Thema:

YOUNG DATA
Künstliche Intelligenz

SID23, 07.02.2023
SAFER INTERNET DAY

heise online, Stefan Krempl, 05.02.2023
„Virtueller Freund“: Datenschützer stoppen Chatbot Replika in Italien / Die italienische Datenschutzbehörde hat es dem Replika-Entwickler untersagt, Informationen von Nutzern des Landes zu verarbeiten. Die Risiken seien zu hoch.

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

DSK DATENSCHUTZKONFERENZ, 03.04.2019
Hambacher Erklärung zur Künstlichen Intelligenz / Sieben datenschutzrechtliche Anforderungen

[datensicherheit.de, 11.06.2021] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Meldung auf Ergebnisse der „40. Konferenz der Informationsfreiheitsbeauftragten in Deutschland“ ein. Diese haben sich demnach am 2. Juni 2021 unter Vorsitz Sachsen-Anhalts versammelt und die Gesetzgebung in Bund und Ländern aufgefordert, „den Zugang zu Informationen auch bei den Verfassungsschutzbehörden zu gewährleisten und Ausnahmeregelungen auf den Schutz konkreter Sicherheitsbelange zu beschränken“. Zwar unterlägen die im Vorfeld konkreter Gefahren zur Erfüllung ihrer Aufgaben vorgenommenen Maßnahmen zumeist der Geheimhaltung. Dies bedeute aber nicht, dass ihre gesamte Tätigkeit zwangsläufig intransparent sein müsse.

Abbildung: Screenshot v. LfDI-RLP-Website

Konferenz der Informationsfreiheitsbeauftragten in Deutschland: 40. Auflage am 2. Juni 2021

Konferenz plädiert für verbindliche Einführung behördlicher Informationsfreiheitsbeauftragter

Darüber hinaus habe die Konferenz die verbindliche Einführung behördlicher Informationsfreiheitsbeauftragter in allen deutschen Informationsfreiheitsgesetzen gefordert. Sowohl in Rheinland-Pfalz als auch in Thüringen sei eine solche Regelung schon im Gesetz vorgesehen.
In diesen zwei Ländern könnten Informationsfreiheitsbeauftragte die öffentlichen Stellen in ähnlicher Weise unterstützen und die Informationsfreiheit fördern, wie es im Bereich des Datenschutzes schon seit Langem der Fall sei.

Konferenz erwartet vom Bundesgesetzgeber Transparenzgesetz mit Vorbildfunktion

Des Weiteren habe die Konferenz den Bundesgesetzgeber aufgefordert, „in der neuen Legislaturperiode ein Transparenzgesetz mit Vorbildfunktion zu schaffen“. Als zweites deutsches Land und zugleich als erstes „Flächenland“ habe Rheinland-Pfalz 2016 bereits ein Transparenzgesetz eingeführt.
Dieses sei mit Blick auf Umsetzungserfahrungen und die Fortentwicklung von Informationsfreiheit und Transparenz staatlichen Handelns in den Jahren 2020 und 2021 durch das Deutsche Forschungsinstitut für öffentliche Verwaltung evaluiert worden.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Entschließung der Informationsfreiheitsbeauftragten der Länder anlässlich der 40. Konferenz der Informationsfreiheitsbeauftragten in Deutschland am 2. Juni 2021