Dokumente zu Datenschutz und Informationsfreiheit 2011
Contents
1. Antiterrorgesetze zehn Jahre nach 9 11 berwachung ohne berblick Datenschutz als Bildungsaufgabe Datenschutzkonforme Gestaltung und Nutzung von Cloud Computing Einf hrung von IPv6 steht bevor Datenschutz ins Netz einbauen Vorbeugender Grundrechtsschutz ist Aufgabe der Datenschutz beauftragten Anonymes elektronisches Bezahlen muss m glich bleiben II D sseldorfer Kreis Oberste Aufsichtsbeh rden f r den Datenschutz im nicht ffentlichen Bereich 1 Umlaufbeschluss vom 8 April 2011 Datenschutz Kodex des BITKOM f r Geodatendienste unzureichend Gesetzgeber gefordert 2 Beschl sse der Sitzung am 4 5 Mai 2011 in D sseldorf Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis EDV Systemen an medizinische Netze Datenschutzgerechte Smartphone Nutzung erm glichen Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinformationssystemen 3 Beschl sse der Sitzung am 22 23 November 2011 in D sseldorf Anonymes und pseudonymes elektronisches Bezahlen von Internet Angeboten erm glichen Besch ftigtenscreening bei AEO Zertifizierung wirksam begrenzen 19 20 22 23 25 27 27 27 28 28 30 31 33 33 34 4 Umlaufbeschluss vom 8 Dezember 2011 35 Datenschutz in sozialen Netzwerken 35 HI Europ ische Konferenz der Datenschutzbeauftragten 39 Br ssel 5 April 2011 392. sind Eignungstests ausschlie lich zul ssig wenn sie auf einer wissen schaftlichen Methode beruhen e Arbeitgeber m ssen verpflichtet werden Bewerber so fr h wie m glich um fassend ber die Datenerhebung aus allgemein zug nglichen Quellen z B im Internet und bei Dritten zu unterrichten e Zur Aufdeckung von Straftaten und hnlich schwerwiegenden Pflichtverlet zungen d rfen Besch ftigtendaten nur oberhalb normenklarer und verh ltnis m iger Einschreitschwellen erhoben und verwendet werden Arbeitgeber d r fen dabei insbesondere verdeckte berwachungsma nahmen nur ergrei fen wenn zu dokumentierende Tatsachen vorliegen Mit Blick auf rechtsstaat liche Anforderungen ist die Grenze zwischen eigenverantwortlichen Recher chen des Arbeitgebers und der den Strafverfolgungsbeh rden vorbehaltenen Aufgaben eindeutig zu bestimmen Aus pr ventiven Gr nden ist eine ver deckte Datenerhebung unzul ssig e Insbesondere bez glich der Durchf hrung von Screening Verfahren sind klare materielle Kriterien z B Pr fung der Verh ltnism igkeit Vorliegen von tat 13 Datenschutz Entschlie ungen der 81 DSB Konferenz 14 s chlichen Hinweisen auf Unregelm igkeiten erforderlich Zudem sollten Arbeitgeber verpflichtet sein die n heren Umst nde die den Abgleich veran lassen vorab zu dokumentieren Die an verschiedenen Stellen im Gesetzentwurf der Bundesregierung vorgese henen Regelungen
3. der f r die Datenverarbeitung Verantwortliche muss eindeutig ermittelt werden und sich der aus dem Datenschutzrecht erwachsenden Pflichten auch in Bereichen wie eingebautem Datenschutz Privacy by De sign Datensicherheit und Rechte der betroffenen Person bewusst sein Die be troffenen Personen m ssen in geeigneter Form dar ber unterrichtet werden wie ihre Daten verarbeitet werden und sich ber die grundlegenden Unterschiede darin wie ihre Daten verarbeitet werden im Klaren sein so dass sie ihre Einwil ligung in rechtsg ltiger Form geben k nnen Br ssel den 4 April 2011 F r die Datenschutzgruppe Der Vorsitzende Jacob KOHNSTAMM 73 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 Arbeitsdokument 1 2011 ber die EU Regeln f r Verst e gegen die Daten schutzvorschriften mit Empfehlungen f r zuk nftige Politikentwicklungen WP 184 Angenommen am 5 April 2011 Die Gruppe f r den Schutz von Personen bei der Verarbeitung personen bezogener Daten eingesetzt durch die Richtlinie 95 46 EG des Europ ischen Parlaments und des Rates vom 24 Oktober 1995 ABl L 281 vom 23 11 1995 S 31 gest tzt auf Artikel 29 und auf Artikel 30 Absatz 1 Buchstabe a und Absatz 3 die ser Richtlinie gest tzt auf ihre Gesch ftsordnung hat folgendes Arbeitsdokument angenommen I EINLEITUNG 1 Das vorliegende Dokument der Artikel 29 Datenschutzgruppe enth lt eine Bestandsau
4. An die Anbindung von Praxis EDV Systemen an medizinische Netze sind fol gende Mindestanforderungen zu stellen 28 Datenschutz Beschl sse des D sseldorfer Kreises 1 Die Kommunikation im Netz muss verschl sselt ablaufen Hierzu sind dem Stand der Technik entsprechende Verfahren zu nutzen 2 Ein unbefugter Zugriff auf die internen Netze der Praxis oder Einrichtung muss ausgeschlossen sein 3 Die Auswirkungen von Fehlkonfigurationen im internen Netz m ssen wirk sam begrenzt werden 4 Die Endpunkte der Kommunikation m ssen sich gegenseitig durch dem Stand der Technik entsprechende Verfahren authentisieren 5 Die Wartung der zum Netzzugang eingesetzten Hard und Software Kompo nenten muss kontrollierbar sein indem die Wartung durch eine aktive Hand lung freizuschalten ist und alle Wartungsaktivit ten protokolliert werden 6 Zum Netzzugang sind zertifizierte Hard und Software Komponenten einzu setzen 7 Grundstandards wie beispielsweise die Revisionssicherheit sind einzuhal ten F r die verwendeten Verschl sselungs und Authentisierungskomponenten soll ten Hardware L sungen genutzt werden da bei Software ein erh htes Manipula tionsrisiko besteht Software L sungen kommen allenfalls in Ausnahmef llen in Betracht wenn die zur Kommunikation mit anderen Stellen genutzten Rechner und Komponenten nicht mit dem internen Netz der Praxis verbunden sind Zus tzlich ist sicherzu stellen dass e
5. Zus tzlich gestattet die letzte Generation von Mobiltelefonen die Installation von Zugriffsm glichkeiten auf Online Mediendienste ber sog Apps Verschie dene Anbieter von mobilen Endger ten haben begonnen eigene Verteilungsplatt formen f r solche Apps anzubieten einschlie lich damit verbundener Zah lungsdienste Gleichzeitig werden in sozialen Netzwerkdiensten sog Drittanwendungen Third Party Applications zunehmend popul r Viele dieser Drittanwendungen werden gegen Geb hr von einem anderen Anbieter als dem des sozialen Netz werks angeboten Facebook hat z B k rzlich die Einf hrung einer eigenen W h rung facebook coins zum Bezahlen f r Dienste innerhalb seines sozialen Netz werks angek ndigt Diese Entwicklungen k nnen zu Beeintr chtigungen der Privatsph re von Nut zern solcher Dienste f hren wenn die grundlegenden Prinzipien des Schutzes der Privatsph re nicht beachtet werden Tats chlich haben die Anbieter solcher Mi cropayment Systeme die M glichkeit Werbeeinnahmen durch die Auswertung der detaillierten personenbezogenen Transaktionsdaten zu generieren die sie er langen k nnten Die Arbeitsgruppe hat bereits fr her regelm ig die Notwendigkeit der Wahrung der Anonymit t im gr tm glichen Ausma als einen essentiellen Aspekt des 134 Datenschutz Arbeitspapiere der IWGDPT Schutzes der Privatsph re im Internet betont Im Besonderen hat die Arbeits grup
6. Das Satellitennavigationssystem besteht aus Satelliten die von den Vereinigten Staaten von Amerika aus milit rischen Zwecken in die Umlaufbahn gebracht wurden Die Europ ische Kommission plant den Start von Galileo bis 2014 Galileo ist ein Netzwerk aus 18 Satelliten die eine freie nichtmilit rische Satellitennavigation erm g lichen Die ersten zwei Satelliten sollen 2011 in die Umlaufbahn gebracht werden und zwei weitere in 2012 Quelle European Commission Commission presents midterm review of Galileo and EGNOS 25 Januar 2011 URL http ec europa eu enterprise newsroom cf itemlongdetail cfm displayType news amp tpa_id 0 amp it em_id 4835 92 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Mit Hilfe der GPS Technologie kann die Position mit einer Genauigkeit von vier bis 15 Metern bestimmt werden Der gr te Nachteil von GPS ist der relativ langsame Start Ein weiterer Nachteil ist dass es in Geb uden nicht oder nur schlecht funktioniert Deshalb wird die GPS Technologie in der Praxis h ufig mit Daten von Basisstationen und oder kartografierten Wi Fi Zugangspunkten kom biniert 2 3 Wi Fi 2 3 1 Wi Fi Zugangspunkte Die Verwendung von Wi Fi Zugangspunkten ist eine relative neue Quelle f r In formationen zur Geolokalisierung Die Technologie hnelt der Verwendung von Basisstationen Sie st tzen sich beide auf eine eindeutige ID von der Basissta tion oder dem Wi Fi Zugangspunkt die von
7. 15 Gem Artikel 4 Absatz 4 Unterabsatz 2 m ssen die betroffenen Stellen ein Verzeichnis ber die Verletzungen f hren die Angaben darin m ssen ausreichend sein damit die zust ndigen Beh rden die Einhaltung der Anzei gepflichten pr fen k nnen 88 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Stellungnahme 13 2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endger ten WP 185 Angenommen am 16 Mai 2011 INHALT 1 Einleitung 2 Hintergrund verschiedene Infrastrukturen f r die Geolokalisierung 2 1 Daten der Basisstation 2 2 GPS Technologie 2 3 Wi Fi 2 3 1 Wi Fi Zugangspunkte 3 Gefahren f r den Datenschutz 4 Rechtsrahmen 4 1 Von Telekombetreibern verarbeitete Daten von Basisstationen 4 2 Verarbeitung von Basisstations Wi Fi und GPS Daten durch Anbieter von Diensten der Informationsgesellschaft 4 2 1 Anwendbarkeit der ge nderten Datenschutzrichtlinie f r elektroni sche Kommunikation 4 2 2 Anwendbarkeit der Datenschutzrichtlinie 5 Verpflichtungen aus Datenschutzgesetzen 5 1 F r die Verarbeitung der Daten Verantwortliche 5 1 1 F r die Verarbeitung Verantwortliche einer Infrastruktur f r die Geolokalisierung 5 1 2 Anbieter von Geolokalisierungsanwendungen und diensten 5 1 3 Entwickler des Betriebssystems 5 2 Verantwortlichkeiten Dritter 5 3 Berechtigter Grund 5 3 1 Intelligente mobile Endger te 5 3 2 Wi Fi Zugangspunkte 5 4 Information 5 5 Die Rechte der
8. 4 Umlaufbeschluss vom 8 Dezember 2011 Datenschutz in sozialen Netzwerken Der D sseldorfer Kreis sieht die Bem hungen von Betreibern von sozialen Netz werken als Schritt in die richtige Richtung an durch Selbstverpflichtungen den Datenschutz von Betroffenen zu verbessern Er unterstreicht dass eine Anerken 35 Datenschutz Beschl sse des D sseldorfer Kreises nung von Selbstverpflichtungen durch die Datenschutzaufsichtsbeh rden gem 38a Bundesdatenschutzgesetz BDSG die Gew hr daf r bietet dass die An forderungen des geltenden Datenschutzrechts erf llt werden und ein Daten schutzmehrwert entsteht Ungeachtet dieser allgemeinen Bem hungen um eine Verbesserung des Daten schutzes in sozialen Netzwerken m ssen die Betreiber schon heute das Daten schutzrecht in Deutschland beachten F r deutsche Betreiber ist dies unumstrit ten Aber auch Anbieter die au erhalb des Europ ischen Wirtschaftsraumes an s ssig sind unterliegen hinsichtlich der Daten von Betroffenen in Deutschland gem 1 Abs 5 Satz 2 BDSG dem hiesigen Datenschutzrecht soweit sie ihre Datenerhebungen durch R ckgriff auf Rechner von Nutzerinnen und Nutzern in Deutschland realisieren Dies ist regelm ig der Fall Die Anwendung des BDSG kann in diesen F llen nicht durch das schlichte Gr nden einer rechtlich selbst st ndigen Niederlassung in einem anderen Staat des Europ ischen Wirtschafts raumes umgangen werden 1 Abs 5 Satz 1 BD
9. Arbeitspapiere der IWGDPT tionsbestimmung aufkl ren In dem Fahrzeug sollte ein schriftlicher oder stimmlicher Hinweis erfolgen Ausdr ckliche und detaillierte Informationen sollten im Benutzerhandbuch vorhanden sein b Datenverarbeitende Stellen wie etwa Arbeitgeber Versicherer Autovermie tungen etc die Nutzer vollst ndig ber i den Zweck der Verarbeitung erho bener Daten ii die Kategorie n zu verarbeitender personenbezogener Daten iii die Empf nger bzw die Kategorien der Empf nger der Daten und iv ihre Zugriffsrechte informieren II Einwilligung des Eigent mers Jegliches zur Speicherung personenbezogener Daten f higes Ger t sollte regel m ig nur nach der freiwilligen Einwilligung des ausf hrlich informierten Ei gent mers und nach ausdr cklichem Hinweis an den Nutzer aktiviert werden Zwingend notwendige Einbauten die geeignet sind personenbezogene Daten zu speichern oder an Dritte zu bermitteln bed rfen einer gesetzlichen Grundlage aus der vorgesehene Zweck der Speicherung personenbezogener Daten eindeutig hervorgeht II Datenqualit t Die Datenaufzeichnung sollte nur solche personenbezogene Daten umfassen deren Verarbeitung im Verh ltnis zu dem Zweck ihrer Verarbeitung erforderlich und angemessen ist Der Nutzung anonymisierter Daten sollte der Vorzug gege ben werden wo immer dies m glich ist Entscheidungen anl sslich besonderer Vorkommnisse in Zusammenhang mit dem Fahrzeug s
10. Entschlie ung ber die Notwendigkeit eines umfassenden Rahmens f r den Datenschutz 39 IV Dokumente der Europ ischen Union Artikel 29 Datenschutzgruppe 42 Stellungnahme 10 2011 zu dem Vorschlag f r eine Richtlinie des Europ ischen Parlaments und des Rates ber die Verwen dung von Fluggastdatens tzen zu Zwecken der Verh tung Aufdeckung Aufkl rung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalit t WP 181 42 Stellungnahme 12 2011 zur intelligenten Verbrauchsmessung Smart Metering WP 183 54 Arbeitsdokument 1 2011 ber die EU Regeln f r Verst e gegen die Datenschutzvorschriften mit Empfehlungen f r zuk nftige Politikentwicklungen WP 184 74 Stellungnahme 13 2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endger ten WP 185 89 V Internationale Konferenz der Datenschutzbeauftragten 115 33 Konferenz vom 1 3 November 2011 in Mexiko Stadt 115 Entschlie ung ber die Verwendung eindeutiger Kennungen bei der Nutzung von Internet Protokoll Version 6 IPv6 115 VI Arbeitspapiere der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation 49 Sitzung am 4 5 April 2011 in Montreal Datenaufzeichnung in Fahrzeugen Event Data Recording EDR Fragestellungen zu Datenschutz und zum Schutz der Privatsph re f r Regierungen und Hersteller 50 Sitzung am 12 13 September 2011 in Berlin Privacy by Design
11. Privacy by Design und Smart Metering Minimierung personenbezogener Informationen zur Wahrung der Privatsph re bersetzung Hintergrund Aufgrund der kontinuierlichen Entwicklung des Smart Grids ndert sich die Rolle des Energieversorgungsbetriebs Historisch gesehen stand bei den Energie versorgern die Aufrechterhaltung einer regelm igen Versorgung zu m glichst niedrigen Kosten im Vordergrund Interaktionen mit Kunden bezogen sich weit gehend auf die Abrechnung und die Minimierung des Kreditrisikos Doch mit der aktuellen Neugestaltung der elektrischen Systeme durchlaufen diese Interaktio nen eine radikale Umgestaltung da die Smart Meter es den Energieversorgern er m glichen so detailliert wie noch nie zuvor und fast in Echtzeit Informationen ber das Nutzungsverhalten ihrer Privatkunden zu erlangen Diese nderung er m glicht die Entwicklung einer Reihe neuer Dienstleistungen und Nutzwerte so wohl f r die Verbrauchenden als auch die Energieversorger Zur Aufrechterhaltung des Vertrauens der Verbrauchenden werden das Smart Grid und das Smart Metering die Entstehung einer neuen auf Kundeneinbindung ausgerichteten Beziehung zwischen Versorgungsunternehmen und Privatperso nen erforderlich machen Datenschutz und Datensicherheit werden die dualen Eckpfeiler dieser Beziehung sein Smart Meters Im Rahmen des Smart Grids wird das Smart Meter die Technologie sein die dem Verbrauchenden am meisten auff llt der in
12. Dokumente der Artikel 29 Datenschutzgruppe WP 185 meln Sie sp ren Zugangspunkte im aktiven oder passiven Scannermodus auto matisch auf und sammeln automatisch Daten ber sie Dar ber hinaus senden Mobiltelefone die eine Geolokalisierung erfragen nicht nur Wi Fi Daten sondern oft auch andere Standortinformationen ber die sie verf gen einschlie lich GPS und Basisstationsdaten Das erm glicht es dem Anbieter den Standort neuer Wi Fi Zugangspunkte zu berechnen und oder die bestehenden Berechnungen der Wi Fi Zugangspunkte zu verbessern die bereits in der Datenbank verzeichnet sind Auf diese Weise wird die Erhebung von In formationen ber Wi Fi Zugangspunkte auf eine sehr wirksame Weise dezentra lisiert ohne dass dies den Kunden unbedingt bewusst ist Zusammenfassung die Geolokalisierung auf der Basis von Wi Fi Zugangspunk ten erm glicht eine schnelle und basierend auf st ndigen Messungen immer ge nauere Positionsbestimmung 3 Gefahren f r den Datenschutz Ein intelligentes mobiles Endger t ist sehr eng mit einer bestimmten Person ver bunden Die meisten Menschen neigen dazu ihr Mobiltelefon dicht bei sich zu tragen von der Hosentasche oder Tasche zum Nachttisch an ihrem Bett Es kommt selten vor dass ein solches Ger t an eine andere Person verliehen wird Den meisten Menschen ist es bewusst dass ihr mobiles Endger t eine Reihe von sehr pers nlichen Informationen enth lt von E Mails zu private
13. fungs prozess zumal andere Rechtsinstrumente auf EU Ebene wie etwa die PNR Ab kommen der EU mit Drittl ndern dies vorsehen Die Datenschutzgruppe unterstreicht dass es bei der Erarbeitung von Vorschl gen f r EU Rechtsvorschriften wichtig ist die Auswirkungen m glicher Gegen seitigkeitsregelungen zu ber cksichtigen Ein europ isches PNR Modell k nnte dazu f hren dass nichtdemokratische L nder oder L nder die den Schutz von Grundrechten und freiheiten einschlie lich personenbezogener Daten und der Privatsph re nicht angemessen gew hrleisten im Gegenzug hnliche Vorschrif ten erlassen Es liegt auf der Hand dass es f r den Einzelnen schwerwiegende Folgen haben k nnte falls solche L nder EU PNR Daten erhalten 9 Fazit Die Datenschutzgruppe ist der Auffassung dass die Notwendigkeit eines EU PNR Systems noch nicht erwiesen ist und die vorgeschlagenen Ma nahmen dem Grundsatz der Verh ltnism igkeit insbesondere deshalb nicht entsprechen weil das System die Erfassung und Speicherung s mtlicher Daten ber alle Reisenden auf allen Fl gen vorsieht Sie hegt au erdem ernste Zweifel an der Verh ltnism Bigkeit eines systematischen Abgleichs aller Flugg ste mit bestimmten im Voraus festgelegten Kriterien Die Datenschutzgruppe empfiehlt zun chst die bestehenden Systeme und Me thoden der Zusammenarbeit und ihr Zusammenwirken zu bewerten um etwaige Sicherheitsl cken zu ermitteln Falls Sicherheitsl cken best
14. glich mit Hilfe der Signalst rke und oder SSID die jeder mit einem Wi Fi f higen Ger t aufsp ren kann den genauen Standort des Zugangspunktes zu ermitteln So kann h ufig die Iden tit t der Person en festgestellt werden die an dem genauen Ort Haus oder Wohnung lebt leben an dem sich der Zugangspunkt befindet In sehr dicht besiedelten Gebieten weist die MAC Adtresse selbst mit Hilfe der Informationen ber die Signalst rke auf mehrere Wohnungen hin in denen sich der Zugangspunkt m glicherweise befindet In diesen F llen ist es ohne unvertretbaren Aufwand nicht m glich genau festzustellen wer in der Woh nung lebt in der der Zugangspunkt ermittelt wurde Die Tatsache dass es in einigen F llen derzeit nicht m glich ist den Inhaber eines Endger ts ohne unvertretbaren Aufwand zu ermitteln ndert nichts an der generellen Schlussfolgerung dass die Kombination einer MAC Adresse und einem WI Fi Zugangspunkt mit seinem berechneten Standort als personenbezo gene Daten zu behandeln ist 9 Wi Fi Zugangspunkte k nnen sogar direkt identifizierbar sein wenn der Anbieter des Internetzugangs ein Ver zeichnis aller MAC Adressen der Wi Fi Router f hrt die er f r seine identifizierten Kunden bereith lt 10 Die Verf gbarkeit solcher Register oder Verzeichnisse unterscheidet sich von Mitgliedstaat zu Mitgliedstaat 100 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Unter diesen Umst nden und angesi
15. sind die Energieversorger ge gebenenfalls berechtigt auf die Informationen zuzugreifen die sie f r die Kun denverwaltung und Rechnungsstellung ben tigen Au erdem k nnen sie detail liertere Daten abrufen beispielsweise zur Beratung ber Energieeinsparm glich keiten allerdings nur mit Zustimmung des Energiekunden Au erdem ist der VNB berechtigt detaillierte Informationen ber den Verbrauch seiner Kunden zu erheben um sein Netz verwalten und instand halten zu k nnen Daneben bestehen vielf ltige und komplexe Kommunikationswege mit zus tz lichen Zugangsstellen und Datenwegen aus denen sich komplizierte Sicherheits anforderungen ergeben die umfassende L sungen erfordern Aufgrund der komplexen und uneinheitlichen Gesamtsituation bringt die Auf gabe Empfehlungen zu formulieren besondere Herausforderungen mit sich weshalb Empfehlungen in dieser Phase offenkundig nur in allgemeiner und nicht in spezifischer Form abgegeben werden k nnen Vern nftig und realistisch ist in dieser Phase daher eine klare Aufgabenstellung f r die Analyse zu formulieren und dabei den Zusammenhang zwischen den rechtlichen Anforderungen in der Datenschutzrichtlinie und dem Kontext der intelligenten Verbrauchsmessung in den Mittelpunkt der Betrachtungen zu stellen Je nach Erfordernis soll dabei auf die von der Smart Grids Expert Group bereits durchgef hrten Forschungsarbei ten eingegangen werden So decken sich beispielsweise die in dieser Stell
16. ufig viele Rollen zur selben Zeit beispiels weise wenn sie ein Betriebssystem mit einer Datenbank mit kartografierten Wi Fi Zugangspunkten und einer Werbeplattform verbinden 5 1 1 F r die Verarbeitung Verantwortliche einer Infrastruktur f r die Geolokali s erung hnlich den Telekombetreibern bei der Verarbeitung des Standortes eines spezi fischen Endger ts mit Hilfe der Basisstationen verarbeiten die Inhaber von Da tenbanken mit kartografierten Wi Fi Zugangspunkten personenbezogene Daten wenn sie den Standort eines bestimmten intelligenten mobilen Endger ts errech nen Da sie beide die Zwecke und die Mittel dieser Verarbeitung bestimmen sind sie beide f r die Verarbeitung Verantwortliche im Sinne der Definition von Arti kel 2 Buchstabe d der Datenschutzrichtlinie Es muss betont werden dass das spezielle Endger t entscheidend f r die Berech nung seines Standortes ist indem es seine eigenen Standortdaten oft eine Kom bination aus GPS Wi Fi und Basisstation und die eindeutigen IDs von nahege 101 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 legenen Wi Fi Zugangspunkten an den Inhaber der Datenbank bermittelt Ein solches Ger t erf llt auch das Kriterium von Artikel 4 Absatz 1 Buchstabe c der Datenschutzrichtlinie Mittel die im Hoheitsgebiet eines Mitgliedstaates belegen sind Da die MAC Adresse eines Wi Fi Zugangspunktes in Kombination mit seinem errechneten Standort als persone
17. wenn die zur Kommunikation mit anderen Stellen genutzten Rechner und Komponenten nicht mit dem internen Netz der Praxis verbunden sind Zus tzlich ist sicherzu stellen dass entweder a nur solche Daten gesendet werden die bereits innerhalb des Praxisnetzes ver schl sselt und integrit tsgesch tzt wurden oder b eine Zwei Faktor Authentifikation des Berechtigten stattfindet mit der zum Zugang verwendeten Hard und Software ausschlie lich Zu gang zu medizinischen Netzen besteht sowie 11 Datenschutz Entschlie ungen der 81 DSB Konferenz die KBV Richtlinien zur Online Anbindung von Praxis EDV Systemen an das KV SafeNet eingehalten werden Keine Vorratsspeicherung und Rasterung von Flugpassagierdaten Die EU Kommission hat am 2 Februar 2011 einen neuen Entwurf f r eine Richt linie zur Nutzung von EU Flugpassagierdaten zur Gefahrenabwehr und Strafver folgung vorgestellt Zentraler Gegenstand des Entwurfs ist die systematische Erfassung der Daten aller Flugg ste die EU Au engrenzen berqueren Diese Daten aus den Bu chungssystemen der Fluggesellschaften sollen anlass und verdachtsunabh ngig an eine nationale Zentralstelle der Sicherheitsbeh rden bermittelt und regelm Big f r f nf Jahre gespeichert werden Ziel soll es sein damit Personen ausfindig zu machen die in Terrorismus oder schwere Kriminalit t verwickelt sein k nn ten Auch der neue Entwurf bleibt konkrete Beweise daf r sch
18. 2 Abschnitts des BezVG Als Organwal ter haben die Bezirksverordneten daher nicht die den Parlamentariern vorbehal tene Immunit t und Indemnit t gem Art 51 VvB Die Indemnit t bezweckt den parlamentarischen Diskurs frei von Beeintr chtigungen zu halten und so die Frei heit der Diskussionen und Abstimmungen zu gew hrleisten und schlie lich die Funktionsf higkeit des Parlaments zu sch tzen F r die Sitzungen der BVV existiert keine entsprechende Regelung auch 36 StGB ist nicht anwendbar Aus diesem Unterschied ergibt sich dennoch kein Grund f r die kategorische Ableh nung der Live bertragung einer BV V Sitzung denn auch bisher gab es eine Sit zungs ffentlichkeit und die Arbeit des Kollegialorgans ist durch das Fehlen per s nlicher Strafausschlie ungsgr nde nicht erkennbar beeintr chtigt worden HI Fazit Selbst unter Ber cksichtigung der unterschiedlichen Aufgabenfelder der Legisla tive und der Exekutive und der weiteren Unterschiede zwischen den Mitgliedern der BVV und des Abgeordnetenhauses ergibt sich daher keine zwingend unter schiedliche Beurteilung einer m glichen Sitzungs bertragung sofern die Be zirksverordnetenversammlung sorgf ltig zwischen solchen Inhalten differenziert die im ffentlichen und solchen die im nicht ffentlichen Teil der Sitzung er r tert werden Daran schlie t sich die Frage an ob eine Live bertragung unter Beachtung der gegebenen Vorschriften an sich zul ssig w re un
19. 2011 hat der Branchenverband Informationswirtschaft Telekommu nikation und neue Medien e V BITKOM einen Datenschutz Kodex f r Geoda tendienste vorgelegt der den schutzw rdigen Interessen der Eigent mer und Be wohner bei der Ver ffentlichung der sie betreffenden Geb udeansichten im Inter net Rechnung tragen soll Das Bundesministerium des Innern hatte der Internet wirtschaft in Aussicht gestellt bei der Vorlage einer angemessenen und mit den Datenschutzbeh rden des Bundes und der L nder abgestimmten Selbstverpflich tung auf gesetzliche Spezialregelungen f r Internet Geodatendienste wie Google Street View zu verzichten Der D sseldorfer Kreis stellt fest dass die Selbstregulierung der Internetwirt schaft mit dem vom BITKOM vorgelegten Datenschutz Kodex nicht gelingt Der Kodex entspricht in wesentlichen Bereichen nicht den datenschutzrechtlichen Anforderungen und ist nicht mit den Datenschutzbeh rden des Bundes und der L nder abgestimmt Der Kodex sieht zwar ein Widerspruchsrecht gegen die Ver ffentlichung von Ge b udeansichten im Internet vor ohne dass Gr nde dargelegt werden m ssen Der Widerspruch ist jedoch erst nach der Ver ffentlichung vorgesehen Alle Geb u deansichten sind deshalb zun chst im Internet verf gbar Bereits mit der Ver f fentlichung der Bilder wird aber das Recht auf informationelle Selbstbestimmung verletzt Auch bei weiteren Regelungen weist der Datenschutz Kodex daten schutzrechtliche Defiz
20. 6 4 Information Die Informationen m ssen klar umfassend und f r ein breites nicht technisch versiertes Publikum verst ndlich sowie st ndig und einfach zug nglich sein Die G ltigkeit der Einwilligung ist untrennbar verbunden mit der Qualit t der Informationen ber den Dienst Dritte wie Browser und soziale Netzwerke spielen eine Schl sselrolle in Bezug auf die Sichtbarkeit und Qualit t der Informationen zur Verarbeitung von Geolokalisierungsdaten 6 5 Die Rechte der betroffenen Personen Die verschiedenen f r die Verarbeitung von Informationen zur Geolokalisie rung von intelligenten mobilen Endger ten Verantwortlichen sollten ihren Kunden den Zugang zu ihren Standortdaten in einem Format erm glichen das von Menschen gelesen werden kann Die Nutzer sollten auch die M glichkeit haben die Daten zu ndern und zu l schen ohne dass berfl ssige personen bezogene Daten erhoben werden Die betroffenen Personen haben auch das Recht Zugang zu m glicherweise auf diesen Standortdaten erstellten Profilen zu nehmen diese zu berichtigen oder zu l schen Die Datenschutzgruppe empfiehlt das Einrichten eines sicheren Online Zu gangs 6 6 Aufbewahrungsfristen Die Anbieter von Geolokalisierunganwendungen oder diensten sollten Aufbe wahrungspolitiken einf hren die sicherstellen dass Daten zur Geolokalisie 113 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 rung oder anhand solcher Daten erste
21. Auch wenn daher mit der Kontrollkompetenz der BVV ein T tigkeitsfeld existiert das berwiegend von der Er rterung konkreter Verh ltnisse gepr gt ist l sst sich hieraus nicht ein solch eklatanter Unterschied zu den Aufgaben des Abgeordnetenhauses formulieren als dass dies allein eine unterschiedli che Bewertung der Frage nach der Rechtm igkeit einer Sitzungs bertra gung rechtfertige Aus dem Vergleich der unterschiedlichen Aufgaben der Bezirksverordnetenver sammlung und dem Abgeordnetenhaus ergeben sich demnach keine zwingenden Argumente gegen die Zul ssigkeit einer bertragung der Sitzungen b Unterschiedliche Bedeutung der ffentlichkeit Es gilt allerdings zu ber cksichtigen dass das Parlament entsprechend der vom BVerfG formulierten Wesentlichkeitstheorie die zentralen Fragen der Aus bung der Grundrechte sowie die Rahmenbedingungen der Teilhaberechte und staat lichen Schutzpflichten und die elementaren Grundsatzfragen durch formell ma terielles Gesetz zu regeln hat und die wesentlichen Entscheidungen somit nicht an die Verwaltung delegieren darf Im Lichte dieser Aufgabe erkl rt sich auch die zentrale Bedeutung der ffentlichkeitsfunktion des Parlaments Jegliches Ge setzesvorhaben ist von der Initiative bis zum Beschluss f r die Bev lkerung nachvollziehbar Es soll sowohl der ffentliche Diskurs durch die Er rterung im Parlament im Sinne der Willensbildungsfunktion gepr gt werden als auch an dersherum im
22. Datenschutzgruppe WP 181 4 Speicherung Die vorgeschlagenen Speicherungsfristen liegen deutlich unter denen des voran gegangenen Vorschlags und der verschiedenen PNR Abkommen auf EU Ebene Die Datenschutzgruppe h lt jedoch den Vorschlag Daten selbst wenn sie un kenntlich gemacht wurden f nf Jahre lang zu speichern nach wie vor f r unver h ltnism ig An PNR Systemen wird schon immer bem ngelt dass s mtliche Daten ber alle Reisenden gleich lange gespeichert werden und dass diese Spei cherungsfrist an sich unverh ltnism ig ist Der Datenschutzgruppe liegt bislang keine ausreichende Begr ndung daf r vor dass die Daten ber alle Reisenden ge speichert werden m ssen und dass die Speicherungsfrist f nf Jahre betragen muss 4 1 Unkenntlichmachung von Daten Wenngleich der Vorschlag vorsieht dass die Daten nach 30 Tagen unkenntlich ge macht werden und grunds tzlich nur bestimmten mit der Erstellung von Profilen und Mustern zum Reiseverhalten befassten Mitarbeitern der PNR Zentralstelle zug nglich sind w re dennoch der vollst ndige Zugriff auf alle Daten w hrend der gesamten Speicherungsfrist m glich Selbst wenn mit der Unkenntlichma chung von Daten versucht wird wichtigen Grunds tzen des Datenschutzes Da tenminimierung und Zugriffskontrolle Rechnung zu tragen bezweifelt die Da tenschutzgruppe nach wie vor dass s mtliche Daten ber alle Reisenden ben tigt werden und ist der Ansicht dass die Daten
23. Die Arbeitskreise sind aufgefordert diesen Revi sionsprozess zu koordinieren und das Ergebnis sp testens im Fr hjahr 2012 der Konferenz vorzulegen Die Konferenz nimmt die Orientierungshilfe zustimmend zur Kenntnis Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis EDV Systemen an medizinische Netze Niedergelassene rztinnen und rzte sowie andere Angeh rige von Heilberufen bermitteln vielfach medizinische Daten an andere Stellen mithilfe von Netzwer ken Dies dient Abrechnungs Behandlungs und Dokumentationszwecken Seit dem 1 Januar 2011 m ssen beispielsweise an der vertrags rztlichen Versorgung teilnehmende rzte Abrechnungsdaten leitungsgebunden an die jeweilige Kas sen rztliche Vereinigung bermitteln 295 Abs 4 SGB V in Verbindung mit den Richtlinien der Kassen rztlichen Bundesvereinigung f r den Einsatz von IT Sys temen in der Arztpraxis zum Zweck der Abrechnung siehe http www kbv de rechtsquellen 24631 htm An medizinische Netze sind hohe Anforderungen hinsichtlich der Vertraulichkeit und Integrit t zu stellen denn sowohl in den Netzen selbst als auch auf den an geschlossenen Praxissystemen werden Daten verarbeitet die der rztlichen Schweigepflicht 203 StGB unterliegen Bei der Anbindung von Praxis EDV Systemen an medizinische Netze ist daher die Technische Anlage zu den Emp fehlungen zur rztlichen Schweigepflicht Datenschutz und Datenverarbeitung in der Arztp
24. Handlungen Mit Blick darauf dass sich ein Identifikationsrisiko aus beiden Teilen der neuen Adressen ergeben kann sind Ma nahmen in unterschiedlichen Bereichen erfor derlich Die Datenschutzbeauftragten des Bundes und der L nder fordern bei der Um stellung auf IPv6 Datenschutz und IT Sicherheit zu gew hrleisten Anbieter von 23 Datenschutz Entschlie ungen der 82 DSB Konferenz Internetzug ngen und Diensten sowie Hersteller von Hard und Software L sun gen sollten ihre Produkte datenschutzgerecht gestalten privacy by design und dementsprechende Voreinstellungen w hlen privacy by default Internetnutzen den sollten bei der Beschaffung von Hard und Software sowie beim Abschluss von Vertr gen auf diese Aspekte besonders achten e Access Provider sollten Kundinnen und Kunden statische und dynamische Adressen ohne Aufpreis zuweisen Auf Kundenwunsch sollten statische Adressen gewechselt werden k nnen e Kundinnen und Kunden sollten mit nutzerfreundlichen Bedienelementen bei der Auswahl der Adressen f r jeden von ihnen genutzten Dienst unterst tzt werden e Hard und Softwarehersteller sollten die Privacy Extensions unterst tzen und standardm ig einschalten privacy by default um die Wiedererkennung von Nutzenden anhand von Hardwareadressen zu erschweren e Die Hard und Softwarehersteller sollten L sungen f r dezentrale Kommuni kationsdienste peer to peer in Kundensystemen entwickeln die den Verz
25. Monaten ihre Netzwerktechnik auf das Internet Protokoll Version 6 IPv6 um Grunds tzlich darf es mit einer Migration von IPv4 zu IPv6 nicht zu einer Verschlechterung der technischen Rahmenbedingungen zur Ausgestaltung von Privacy kommen Neuen Herausfor derungen muss mit wirksamen Konzepten begegnet werden IPv6 stellt eine nahezu unbegrenzte Anzahl von statischen IP Adressen zur Ver f gung die eine dynamische Vergabe von IP Adressen wie sie zur Zeit bei End kunden g ngig ist aus technischer Sicht nicht mehr erforderlich macht Aber durch die Vergabe statischer Adressen erh ht sich das Risiko dass Internetnut zende identifiziert und ihre Aktivit ten auf einfache Weise webseiten bergrei fend zu individuellen Profilen zusammen gef hrt werden k nnen Sowohl der von den Internet Providern bereitgestellte Adressanteil Pr fix als auch ger te spezifische Anteile in den IPv6 Adressen machen eine dauerhafte Identifizierung m glich Die Zuordnung einer IP Adresse zu einer bestimmten Person bedarf nicht zwingend einer Beteiligung des Zugangsanbieters Mit Hilfe von Zusatzin formationen die dem Betreiber eines Internet Angebots vorliegen oder ihm of fenstehen beispielsweise Identifikationskonten von Online Shops oder Sozialen Netzen ist eine eindeutige Zuordnung von Nutzern m glich Die vereinfachten M glichkeiten zur Profilbildung und Zusammenf hrung von Profilen erh hen zudem das Risiko und verst rken die Auswirkungen krimineller
26. Privatsph re der durch intelligente Verbrauchsmessger te verarbeiteten Daten verbessert werden k nnen diese Vor aussetzung f r die Datenverarbeitung dem f r die Datenverarbeitung Verantwort lichen eher offenstehen k nnte Dies ist insbesondere dann von Bedeutung wenn die Datenverarbeitung entspre chend dem berechtigten Interesse eines f r die Datenverarbeitung Verantwort lichen schon dem Wesen nach und in unverh ltnism iger Weise einen Eingriff in die Privatsph re darstellt oder die Folgen der Datenverarbeitung ungerechtfer tigte Nachteile f r die betroffene Person mit sich bringen Als Beispiele sind unter anderem die Erstellung detaillierter Profile der betroffenen Personen zu nennen die f r den vorgesehenen Zweck nicht ben tigt werden ferner die Weitergabe von Daten an Dritte ohne Kenntnis oder Einwilligung der betroffenen Person oder die Nutzung personenbezogener Daten f r Entscheidungen ber die Fernabschaltung ohne dass die Datenschutzrechte und sonstigen Rechte der be troffenen Person angemessen ber cksichtigt werden Die Datenschutzgruppe erinnert die Industrie au erdem daran dass in einigen Mitgliedstaaten die M glichkeit besteht dass die betroffene Person der Installa tion der intelligenten Verbrauchsmessger te widerspricht und dass in diesen F l len das Interesse der betroffenen Person gegen ber s mtlichen sonstigen Interes sen berwiegt Weitere Aspekte der Einhaltung der Rechtsvorschriften die s
27. Sendegenehmigung f r die ffentlichen Sitzungen zu erhalten Es handelte sich somit um eine Informationsbeschaffung gegen ber der ffentlichen Verwaltung und nicht wie vorliegend um eine Informationsverschaf fung durch die Verwaltung Das OVG kam in seiner Eilentscheidung zu dem Schluss dass eine pauschale Ablehnung dieses Ersuchens mit dem Verweis auf die Gef hrdung der Funktionsf higkeit des Verwaltungsorgans Stadtrat in rechtswidriger Weise gegen Art 5 Abs 1 GG verst t Anders als noch das BVerwG in seinem Beschluss vom 3 August 1990 7 C 14 90 war das OVG der Ansicht dass das Recht auf freie Berichterstattung durch ein grunds tzliches Sendeverbot g nzlich entleert w rde w hrend dies bei einem Verbot von Tonmitschnitten f r die Berichterstattung der Presse damals nicht gegolten habe Im Rahmen der Abw gung zur Herstellung der praktischen Kon kordanz zwischen dem Schutz der Funktionsf higkeit des Organs und dem Infor mationsinteresse der ffentlichkeit wies das OVG insbesondere daraufhin dass das allgemeine Pers nlichkeitsrecht der Stadtr te aufgrund ihrer politischen Funktion weit in den Hintergrund trete Auch sei der Verweis auf das Daten schutzrecht nicht zielf hrend oder entscheidend Schlie lich ergebe sich daher ein Anspruch des Rundfunkveranstalters auf ermessensfehlerfreie Abw gung da zwar nicht ausgeschlossen werden k nne dass im Einzelfall die Funktionsf hig keit des Stadtrates beeintr chtigt wer
28. Sinne der Artikulationsfunktion die ffentliche Diskussion ihren Niederschlag in den parlamentarischen Auseinandersetzungen finden Dieser zentrale Punkt kann nicht ohne Weiteres auch f r die Funktion der BVV heran gezogen werden denn im Rahmen der untergesetzlichen Normgebung erreicht die Bedeutung der Sitzungs ffentlichkeit der BVV nicht dieselbe zentrale Be deutung wie die ffentlichkeit des Abgeordnetenhauses 11 Ottenberg 12 Rn 19 f 12 Ottenberg 17 Rn 8 13 vgl BVerfG 33 125 Facharztbeschluss Dreier in Dreier GG Band II Art 20 Rn 110 103 145 Informationsfreiheit Live bertragung der BVV Sitzungen Andererseits l sst sich das Gebot der Transparenz der Verwaltungsarbeit mittel bar aus dem zentralen Prinzip der Volkssouver nit t gem Art 20 Abs 2 Satz 1 GG ableiten Aus diesem Grund haben die Sitzungen der BVV gem 8 Abs 6 Satz 1 BezVG grunds tzlich ffentlich stattzufinden Die BVV ist als origin re Vertretung der Einwohner des Bezirks angehalten den B rgern eine ffentliche Debatte ber die Themen des rtlichen Wirkungskreises zu erm glichen Insbe sondere die Diskussion ber den Bezirkshaushaltsplan soll im Fokus der Be zirks ffentlichkeit stattfinden Dementsprechend relativiert sich die unter schiedliche Bedeutung der ffentlichkeitsfunktion im Lichte der Wesentlich keitstheorie durch das Erfordernis die Aufgabenerf llung der BVV f r den B r ger transparent zu gestalten z
29. Verwendung von PNR Daten darstellt und die Notwendigkeit der vorgeschlagenen Ma nahmen nicht belegt Aus dem Vorschlag sollte eindeutig hervorgehen ob er auf die Bek mpfung schwerer grenz berschreitender Krimi nalit t zu der auch Terrorismus z hlt oder nur auf die Bek mpfung von Terro rismus und terroristischen Straftaten abzielt In Kapitel 3 2 der Folgenabsch tzung Respect of fundamental rights Achtung der Grundrechte hei t es lediglich dass die Checkliste f r Grundrechte verwen det wurde es fehlen jedoch weitere Informationen ber diese Einsch tzung zur 2 Stellungnahmen WP 103 Kanada WP 138 USA WP 151 USA Information von Flugg sten und WP 178 sektor bergreifendes Konzept der Kommission 43 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 Begr ndung der daraus gezogenen Schl sse Dar ber hinaus st tzt sich dieses Kapitel in Bezug auf Eingriffe in die Privatsph re gem Artikel 8 der Europ i schen Menschenrechtskonvention und Artikel 7 und 8 der Charta der Grund rechte der Europ ischen Union auf einen Zirkelschluss Die rechtliche Vorausset zung f r einen Eingriff in diese Rechte ist dass er f r die nationale oder ffent liche Sicherheit f r das wirtschaftliche Wohl des Landes zur Aufrechterhaltung der Ordnung zur Verh tung von Straftaten zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer sowie in einer de mokr
30. Zwecke der Gesichtserkennung und das Spei chern und Verwenden von biometrischen Gesichtserkennungsmerkmalen sind ohne ausdr ckliche und best tigte Einwilligung der abgebildeten Person unzu l ssig 36 Datenschutz Beschl sse des D sseldorfer Kreises e Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsm glichkei ten in sozialen Netzwerken Es enth lt im Hinblick auf Nutzungsdaten so weit keine Einwilligung vorliegt ein Verbot der personenbeziehbaren Profil bildung und die Verpflichtung nach Beendigung der Mitgliedschaft s mtliche Daten zu l schen e Das direkte Einbinden von Social Plugins beispielsweise von Facebook Google oder Twitter in Websites deutscher Anbieter wodurch eine Daten bertragung an den jeweiligen Anbieter des Social Plugins ausgel st wird ist ohne hinreichende Information der Internetnutzerinnen und nutzer und ohne ihnen die M glichkeit zu geben die Daten bertragung zu unterbinden unzu l ssig e Die gro en Mengen an teils auch sehr sensiblen Daten die in sozialen Netz werken anfallen sind durch geeignete technisch organisatorische Ma nahmen zu sch tzen Anbieter m ssen nachweisen k nnen dass sie solche Ma nah men getroffen haben e Daten von Minderj hrigen sind besonders zu sch tzen Datenschutzfreund lichen Standardeinstellungen kommt im Zusammenhang mit dem Minderj h rigenschutz besondere Bedeutung zu Informationen ber die Verarbeitung von Daten m
31. bertragung kann nicht aus Art 42 VvB hergeleitet werden Diese Vorschrift ist lediglich auf die Sitzungen des Abgeordnetenhauses anwendbar Gem 8 Abs 6 Satz 1 BezVG tagt die BVV ffentlich Eine Datenverarbeitung wird in der Vor schrift jedoch nicht explizit beschrieben erlaubt oder vorausgesetzt Als poten tielle Erlaubnisnorm ist sie daher in jedem Fall zu unbestimmt i S d 6 Abs 1 Satz 3 BInDSG Aus demselben Grund kann auch die Vorschrift des 7 Abs 2 Satz 1 BezVG die das Hausrecht des Bezirksverordnetenvorstehers normiert nicht als Erlaubnistatbestand fungieren Im Rahmen des BInDSG k me m glicherweise 6 Abs 1 Satz 2 i V m 13 BinDSG in Betracht Voraussetzung w re dass 6 Abs 1 Satz 2 BInDSG eine Erlaubnisnorm im Sinne des 13 BInDSG sein k nnte Vorliegend kann die Kl rung dieser Frage jedoch dahinstehen wenn die bermittlung auch bei einer hy pothetischen Anwendbarkeit des 6 Abs 1 Satz 2 BInDSG nicht zul ssig w re Die zu bermittelnden Daten sind ihrer Art nach nicht in ihrer Schutzw rdigkeit beschr nkt Bei den Redebeitr gen und dem entstehenden Bildmaterial handelt es sich unter Umst nden um spontane u erungen zu verschiedenartigsten The men Es erscheint daher nicht angemessen ein niedrigeres Schutzniveau anzuset zen und auf eine ausdr ckliche bereichsspezifische Erlaubnisnorm zugunsten einer einfachen Abw gung zu verzichten Auch die beabsichtigte Art der Ver wendung der Daten kann n
32. betroffenen Personen 5 6 Aufbewahrungsfristen 6 Schlussfolgerungen 89 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Die Gruppe f r den Schutz von Personen bei der Verarbeitung personen bezogener Daten eingesetzt durch die Richtlinie 95 46 EG des Europ ischen Parlaments und des Rates vom 24 Oktober 1995 gest tzt auf Artikel 29 und auf Artikel 30 Absatz 1 Buchstabe a und Absatz 3 die ser Richtlinie gest tzt auf ihre Gesch ftsordnung hat folgendes Dokument angenommen 1 Einleitung Geografische Informationen spielen eine wichtige Rolle in unserer Gesellschaft Fast alle menschlichen Aktivit ten und Entscheidungen weisen eine geografische Komponente auf Im Allgemeinen steigt der Wert einer Information wenn sie mit einem Standort verbunden ist Es k nnen alle Arten von Informationen Bezug zu einem geografischen Standort haben wie beispielsweise Finanzdaten Gesund heitsdaten und andere Verhaltensdaten der Verbraucher Durch die rasche techno logische Entwicklung und die weitverbreitete Nutzung von intelligenten mobilen Endger ten entsteht eine ganz neue Kategorie standortbezogener Dienste Mit Hilfe dieser Stellungnahme soll f r Klarheit hinsichtlich des f r Geolokali sierungsdienste geltenden Rechtsrahmens gesorgt werden die auf intelligenten mobilen Endger ten verf gbar sind und oder durch diese generiert werden Die betreffenden Endger te k nnen eine Verbindung mit dem Internet
33. cherstellen sollte k nnten einige der nachfolgend beschriebenen Faktoren zu unterschiedlichen Vorgehensweisen in den Mitgliedstaaten f hren II 2 Bereiche in denen es zu unterschiedlichen Vorgehensweisen kommen k nnte 10 Es gibt drei Bereiche in denen sich unterschiedliche Vorgehensweisen erge 11 78 ben k nnen Sie werden nachfolgend beschrieben Anwendungsbereich der Verpflichtung Die Verpflichtung zur Meldung von Verst en gegen die Datenschutzvorschriften findet gem der Daten schutzrichtlinie f r elektronische Kommunikation auf die Anbieter ffentlich zug nglicher elektronischer Kommunikationsdienste Anwendung Erw gungsgrund 59 der Richtlinie soll die Mitgliedstaaten allerdings zu einer Ausdehnung des Anwendungsbereichs anhalten Unterstreichung hinzuge f gt Bis zu einer berpr fung aller einschl gigen gemeinschaftlichen Rechtsvorschriften auf diesem Gebiet durch die Kommission sollte die Kom mission in Abstimmung mit dem Europ ischen Datenschutzbeauftragten unverz glich geeignete Ma nahmen ergreifen um die _gemeinschaftsweite Anwendung der in der Richtlinie 2002 58 EG Datenschutzrichtlinie f r elektronische Kommunikation enthaltenen Leitlinien f r die Anzeigepflicht bei Verst en gegen die Datensicherheit ungeachtet des Sektors oder der Art der betreffenden Daten zu f rdern Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 12 13 HI 14 Leitl
34. dass be stimmte Anwendungen ihre Standortdaten nutzen d rfen da die Schl sselele mente der Verarbeitung unverst ndlich veraltet oder ansonsten unzureichend sind Es bestehen verschiedene Verpflichtungen f r die unterschiedlichen Betroffenen von den Entwicklern der Betriebssysteme zu den Anbietern von Anwendungen und Dritten wie sozialen Netzwerken die auf ihren Plattformen Funktionen der Standortbestimmung f r mobile Endger te einbetten 6 1 Rechtsrahmen e Der EU Rechtsrahmen f r die Verwendung von Geolokalisierungsdaten von intelligenten mobilen Endger ten ist in erster Linie die Datenschutzrichtlinie Standortdaten von intelligenten mobilen Endger ten sind personenbezogene Daten Die Kombination aus der eindeutigen MAC Adresse und dem berech neten Standort eines Wi Fi Zugangspunktes sollte als personenbezogene Daten behandelt werden e Dar ber hinaus findet die berarbeitete Datenschutzrichtlinie f r elektroni sche Kommunikation 2002 58 EG nur bei der Verarbeitung der Basisstations daten durch Telekombetreiber Anwendung 111 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 6 2 F r die Verarbeitung Verantwortliche Es k nnen die folgenden drei Arten von f r die Verarbeitung Verantwortlichen unterschieden werden f r die Verarbeitung einer Infrastruktur f r die Geolo kalisierung Verantwortlicher insbesondere f r die Verarbeitung von kartogra fierten Wi Fi Zugangspunkten Verantwortliche
35. den generierten Informationen abgelesen werden kann vor allem da diese Informationen immer detaillierter werden und der charakteristische Stromverbrauch einzelner Ger ten diese er kennbar macht Doch selbst wenn der Stromverbrauch nicht im Minutentakt oder am Ger t aufgezeichnet wird k nnte die permanente Beobachtung des Strom verbrauchs die ungef hre Anzahl der Bewohner in einem Haushalt verraten Beispiele sind die deutsche Energie Gesetzgebung Energiewirtschaftsgesetz EnWG zuletzt ge ndert am 28 Juli 2011 Bundesgesetzblatt I S 1690 the Information and Privacy Commissioner of Ontario Canada s se ries of Smart Grid white papers and The Article 29 Data Protection Working Party s Opinion 12 2011 on Smart Metering WP 183 http ec europa eu justice policies privacy docs wpdocs 2011 wp183_de pdf gt u Accenture Launches Smart Grid Data Management Solution to Reduce Risks and Costs of Smart Grid Deploy ments Mar 18 2010 online http newsroom accenture com article_display cfm article_id 4971 a Entschlie ung der 80 Konferenz der Datenschutzbeauftragten des Bundes und der L nder Datenschutz bei der digitalen Messung und Steuerung des Energieverbrauchs http www bfdi bund de SharedDocs Publikationen Entschliessungssammlung DSBundLaender 80DSK_DatenschutzBeiDerDigitalenMessung pdf _blob publica tionFile 126 Datenschutz Arbeitspapiere der IWGDPT wann sie anwesend sind sowie
36. der Nutzungsprofile Entscheidungen ber individuelle Energienutzer treffen Zwar k nnen derartige Entscheidungen h u fig in Form von Energieeinsparungen durchaus Vorteile f r die Verbraucher mit sich bringen doch zeichnet sich auch ab dass durch die in den Privathaus 1 Smart meters controlling your energy bill Euractiv com online Verf gbar unter http www euractiv com en energy efficiency smart meters controlling your energy billlinksdossier 257199 Verf gbar ab 25 M rz 2011 Dieser Artikel bezieht sich auf die Meilensteine im Dritten Energiepaket das im Juni 2009 angenommen wurde 55 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 halten installierten Ger te die M glichkeit von Eingriffen in die Privatsph re der B rger besteht Au erdem kommt es dadurch zu einer grunds tzlichen Verschie bung in den Beziehungen zu den Energieversorgern da die Verbraucher in der Vergangenheit lediglich die Lieferanten f r die von diesen bezogenen Strom und Gaslieferungen bezahlt haben Mit dem Aufkommen intelligenter Verbrauchs messger te gestaltet sich dieser Prozess insofern komplexer als die betroffenen Personen damit den Versorgern Einblicke in ihre pers nlichen Gewohnheiten geben Zu den vielfach diskutierten Vorteilen intelligenter Formen des Energiever brauchsz hlen die M glichkeit dass die Verbraucher ihre Energiekosten durch nderung ihrer Gewohnheiten deutlich senken k nnen beispielsweise ind
37. der Sit zungs bertragungen nicht erkl ren l sst Sofern f r die Bekleidung der Position nicht in besonderer Weise die pers n lichen und sachlichen Verh ltnisse er rtert werden m ssen steht der Er rte rung solcher Personalfragen in ffentlicher Sitzung nichts entgegen schlie lich bekleiden auch die Ehrenamtlichen freiwillig ein ffentliches Amt Anders muss die Bewertung jedoch ausfallen wenn die BVV die Vor schlagslisten f r Sch ffen zusammenstellt Hierbei kann unter Umst nden in besonders intensiver Weise auf die pers nlichen Verh ltnisse der betroffenen Personen einzugehen sein Da die Sch ffen gem 36 Abs 2 GVG alle Grup pen der Bev lkerung repr sentieren sollen wird dabei auch auf die soziale Stellung einzugehen sein Es ist nicht auszuschlie en dass hierbei auch Ver m gens und gesundheitliche Verh ltnisse oder zur ckliegende Ermittlungs verfahren er rtert werden Zudem beziehen sich diese Unterredungen auch auf Personen die sich nicht zuvor f r ein Sch ffenamt beworben haben so dass sie zuvor keine Gelegenheit haben zu den einzelnen Punkten Stellung zu nehmen Diese Wahlbefugnis findet keine Entsprechung im Aufgaben gebiet des Abgeordnetenhauses sie ist allerdings aufgrund der zu er rtern den sensiblen personenbezogenen Daten der Betroffenen stets in nicht f fentlicher Sitzung auszu ben wie es auch in 32 Abs 4 der GO BVV vor gesehen ist Entsprechend f llt auch die Beurteilung
38. die ARP Tabelle im Hintergrund produ ziert werden 3 Wenn die MAC Adresse in der ARP Tabelle auftaucht steht fest dass der mit dem WLAN verbundene Nut zer auch der Nutzer mit dem Zugang zu der lokalen WLAN MAC Adresse ist Der f r die Verarbeitung Ver antwortliche berpr ft auf diese Weise die Anfrage nach L schung auf eine automatische und einfache Weise 108 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Die G ltigkeit der Einwilligung ist untrennbar verbunden mit der Qualit t der In formationen ber den Dienst Die Informationen m ssen klar umfassend und f r ein breites nicht technisch versiertes Publikum verst ndlich sowie st ndig und einfach zug nglich sein Die Informationen m ssen auf ein breites Publikum abgestimmt sein Die f r die Verarbeitung Verantwortlichen k nnen nicht davon ausgehen dass ihre Kunden allein weil sie ein intelligentes mobiles Endger t haben technisch versierte Per sonen sind Die Informationen m ssen altersgem sein wenn der f r die Verar beitung Verantwortliche wei dass das Ger t j ngere Menschen anspricht Wenn Anbieter von Geolokalisierungsanwendungen den Standort eines Endger tes h ufiger als einmal berechnen wollen m ssen sie ihre Kunden so lange in formieren wie die die Standortdaten verarbeiten Sie m ssen es ihren Kunden auch erm glichen die Einwilligung zu verl ngern oder zu widerrufen Damit diese Ziele erreicht werden sollten die
39. die Daten schutzgarantien 2 3 Verh ltnism igkeit Nach dem Vorschlag sollen personenbezogene Daten ber alle Flugg ste die in die EU einreisen und aus der EU ausreisen unabh ngig davon ob sie verd chtig sind in gro er Menge gesammelt werden Die Sammlung und Verarbeitung von PNR Daten zur Bek mpfung von Terrorismus und schwerer Kriminalit t darf keine massenhafte Verfolgungund berwachung aller Reisenden erm glichen Nach Auffassung der Datenschutzgruppe ist die Sammlung und Speicherung s mtlicher Daten ber alle Flugg ste f r alle Fl ge unverh ltnism ig und steht daher nicht im Einklang mit Artikel 8 der Charta der Grundrechte Wie bereits ausgef hrt enth lt die Folgenabsch tzung diesbez glich keine berzeugenden Anhaltspunkte Vorschl ge auf EU Ebene sollten spezifisch und gezielt an ein bestimmtes Problem herangehen und in diesem Zusammenhang sollte sich jeder Vorschlag schwerpunktm ig mit den durch Terrorismus und schwere Krimina lit t bedingten Risiken befassen Die Datenschutzgruppe hegt ernste Zweifel an der Verh ltnism igkeit des syste matischen Abgleichs aller Flugg ste mit bestimmten im Voraus festgelegten Kri terien und nicht n her bezeichneten relevanten Datenbanken Es ist nicht klar wie diese im Voraus festgelegten Kriterien und relevanten Datenbanken be stimmt werden sollen ob PNR Daten zur Erstellung oder Aktualisierung der Kri terien verwendet und in welchem Umfang alle
40. die Nut zung einer solchen Anwendung unter bestimmten Umst nden berechtigt ist Sie m ssen ihre Kinder zumindest informieren Sobald es vern nftigerweise m glich ist m ssen die Kinder an der Entscheidung ber die Nutzung einer solchen Anwendung beteiligt werden Die Datenschutzgruppe empfiehlt den Anwendungsbereich der Einwilligung zeitlich zu begrenzen und die Nutzer mindestens einmal im Jahr zu erinnern Die Datenschutzgruppe empfiehlt auch eine ausreichende Granularit t bei der Einwilligung in Bezug auf die Genauigkeit der Standortdaten 112 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Die betroffenen Personen m ssen die M glichkeit haben ihre Einwilligung auf eine sehr einfache Weise und ohne negative Auswirkungen auf die Ver wendung des Endger ts zur ckzuziehen In Bezug auf das Kartografieren von Wi Fi Zugangspunkten k nnen Unter nehmen ein berechtigtes Interesse an der erforderlichen Erhebung und Verar beitung der MAC Adressen und berechneten Standorte von Wi Fi Zugangs punkten f r den speziellen Zweck haben dass sie Geolokalisierungsdienste anbieten Das Gleichgewicht der Interessen zwischen den Rechten des f r die Verarbeitung Verantwortlichen und den Rechten der betroffenen Personen macht es erforderlich dass der f r die Verarbeitung Verantwortliche die M g lichkeit des einfachen und dauerhaften Opt out aus der Datenbank gibt ohne zus tzliche personenbezogene Daten einzufordern
41. die Preisgabe personenbezogener Daten zu kontrollieren oder zu vermeiden g ngige Funktionen des Selbstdatenschutzes k nnen nicht genutzt werden H ufig werden personenbezogene Daten ohne Wis sen der Nutzer an die Anbieter von Diensten bermittelt Mit einiger Berechti gung wird davon gesprochen ein solches Ger t sei ein Spion in der Hosenta sche Vor diesem Hintergrund ist aus datenschutzrechtlicher Sicht insbesondere Fol gendes zu fordern Transparenz bez glich der Preisgabe personenbezogener Daten In allen aktuellen Untersuchungen zeigt sich dass in einer Vielzahl von F llen durch die Ger te selbst mittels Betriebssystemen oder durch Anwendungen ein deutige Ger tekennungen Standortdaten E Mail und Telefontakte SIM Kar tennummer und weitere personenbezogene Daten ohne Unterrichtung der Nutzer an Ger tehersteller Provider oder Anbieter von Analysediensten bermittelt wer den Die Nutzer m ssen in die Lage versetzt werden diese bermittlungen nach zuvollziehen Sie m ssen auch ber den jeweiligen Zweck der Datennutzungen unterrichtet werden Steuerungsm glichkeiten der Nutzer f r die Preisgabe personenbezoge ner Daten Die Konzepte g ngiger Smartphones sind oftmals darauf reduziert dass wenn berhaupt lediglich w hrend der Installation einer Anwendung der Nutzer pau schal einen Datenzugriff steuern kann Auch erhalten zugelassene Anwendungen meist eine generelle Zugriffsm glichkeit z B au
42. die vern nftigerweise entweder von dem Verantwortlichen f r die Verarbeitung oder von einem Dritten eingesetzt wer den k nnten um die betreffende Person zu bestimmen Erw gungsgrund 27 der Richtlinie legt den breiten Geltungsbereich des Schutzes dar In der Tat darf der Schutz nicht von den verwendeten Techniken abh ngen da andernfalls ernsthafte Risiken der Umgehung entstehen w rden In ihrer Stellungnahme 4 2007 zum Begriff personenbezogene Daten hat die Datenschutzgruppe umfangreiche Leitlinien zur Definition personenbezogener Daten bereitgestellt 98 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Intelligente mobile Endger te Intelligente mobile Endger te sind untrennbar mit nat rlichen Personen verbunden Normalerweise liegt eine direkte und indirekte Identifizierbarkeit vor Erstens hat der den GSM und mobilen Internetzugang bereitstellende Telekom betreiber blicherweise ein Verzeichnis mit dem Namen der Adresse und Bank verbindung jedes Kunden zusammen mit verschiedenen Kennnummern des Ge r ts wie IMEI und IMSI Zweitens wird f r den Kauf zus tzlicher Software f r das Endger t Anwendun gen oder Apps gew hnlicherweise eine Kreditkartennummer ben tigt Dadurch wird die Kombination aus Kennnummer n und Standortdaten um Daten zur di rekten Identifizierung bereichert Indirekte Identifizierbarkeit kann durch eine Kombination aus Kennnummer n des Endger ts in Verb
43. e Eigent merinnen und Eigent mer von IP Adressen d rfen nur auf Wunsch in das weltweite stark zentralisierte Internet Telefonbuch whois aufgenom men werden Die Bundesregierung wird aufgefordert sich f r eine daten schutzfreundliche Gestaltung des whois Dienstes einzusetzen dahingehend dass die Internet Verwaltung ICANN den whois Dienst k nftig als verteilte Datenbank gestaltet so dass die Daten der Eigent merinnen und Eigent mer jeweils durch lokale Dienstleister oder Selbstverwaltungsgremien gespeichert gepflegt und von ihnen nach Ma gabe des lokalen Rechts an Dritte bermittelt werden Die Datenschutzbeauftragten des Bundes und der L nder werden die Einf h rung von IPv6 wachsam beobachten und bieten allen Akteuren ihre Unterst t zung an Vorbeugender Grundrechtsschutz ist Aufgabe der Datenschutzbeauftragten Der S chsische Datenschutzbeauftragte hat mit einem Bericht zu den nicht indi vidualisierten Funkzellenabfragen und anderen Ma nahmen der Telekommuni kations berwachung im Februar 2011 durch die Polizei und die Staatsanwalt schaft Dresden Stellung genommen Landtags Drucksache 5 6787 In nicht nachvollziehbarer Weise ist die Kompetenz des S chsischen Datenschutzbeauf tragten zur Kontrolle von Verfahrensweisen von Polizei und Staatsanwaltschaften im Vorfeld einer bzw nach einer richterlichen Anordnung in Frage gestellt wor den Die Konferenz ist der Auffassung dass derartige u erungen von der gebot
44. eine Vierteljahresrechnung f r den Kunden erstellt und von diesem beglichen werden muss braucht der Versorger keine h ufigeren Ablesewerte zu erfassen um diesen Vertrag zu erf llen Der Vertrag m sste dann eine zul ssige und rechts g ltige Bestimmung ber h ufigere Ableseintervalle enthalten oder der Versorger m sste sich f r diese Ablesungen auf eine andere Rechtsgrundlage st tzen Wahrnehmung einer Aufgabe die im ffentlichen Interesse liegt oder in Aus bung ffentlicher Gewalt erfolgt In einigen Mitgliedstaaten ist der Betreiber des Stromnetzes f r die Leistung des baulichen Netzes aber auch f r die Verringerung des Gesamtstromverbrauchs verantwortlich Dieser Stromverbrauch erstreckt sich sowohl auf den Gesamtver brauch an Elektrizit t als auch auf den Verbrauch w hrend Spitzenzeiten Diese Aufgaben werden im ffentlichen Interesse wahrgenommen und sind ein legiti mer Grund f r die Installation der intelligenten Verbrauchsmessger te Rechtliche Verpflichtung In einigen Mitgliedstaaten ist der Netzbetreiber verpflichtet bei jeder neuen In stallation intelligente Verbrauchsmessger te zu installieren und Daten ber diese Messger te zu erfassen Berechtigtes Interesse Gem Artikel 7 Buchstabe f der Richtlinie w re die Verarbeitung dann rechtm Big wenn sie f r das berechtigte Interesse des f r die Datenverarbeitung Verant wortlichen oder eines oder mehrerer Dritter erforderlich ist gegen ber de
45. erstellen oder sind mit Standortsensoren wie GPS ausgestattet Beispiele f r solche Dienste sind Karten und Navigation geopersonalisierte Dienste einschlie lich der Se hensw rdigkeiten der Umgebung Augmented Reality Georeferenzierung von Inhalten im Internet Geotagging Lokalisierung des Aufenthaltsortes von Freunden berwachung von Kindern und standortbezogene Werbung Die vorliegende Stellungnahme befasst sich auch mit den drei wichtigsten Arten der Infrastruktur die zur Bereitstellung von Geolokalisierungsdiensten verwen det werden n mlich GPS GSM Basisstationen und Wi Fi Hierbei wird beson deres Augenmerk auf die neue Infrastruktur gerichtet die auf der Lokalisierung von Wi Fi Zugangspunkten basiert Es ist der Datenschutzgruppe sehr wohl bewusst dass es noch viele andere Dienste gibt die Standortdaten verarbeiten und ebenfalls zu datenschutzrecht 90 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 lichen Bedenken f hren k nnen Das reicht von elektronischen Ticketsystemen zu Mautsystemen f r Autos und von Satellitennavigationsdiensten und der Stand ortbestimmung beispielsweise mit Hilfe von Kameras zur Geolokalisierung von IP Adressen Angesichts der raschen technologischen Entwicklung insbesondere im Hinblick auf das Kartografieren drahtloser Zugangspunkte verbunden mit der Tatsache dass neue Marktteilnehmer neue standortbezogene Dienste anbieten wollen die auf einer Kombination aus Basi
46. f r die Wahlentscheidung des einzel nen B rgers sodass sie insgesamt sehr eng mit den Aufgaben und Funktionen der Volksvertretung zusammenh ngt Aus dieser f r den demokratischen Parlamen 1 Morlok in Dreier GG Band II Art 42 Rn 27 2 Versteyl in v M nch Kunig GG Bd 2 Art 42 Rn 8 3 Magiera in Sachs GG Art 42 Rn 1 140 Informationsfreiheit Live bertragung der BVV Sitzungen tarismus zentralen Zweckbestimmung entsteht nach allgemeiner Ansicht die Pflicht sowohl der Presse als auch den anderen Massenmedien Zugang zu den Parlamentsverhandlungen zu gew hren wobei hiervon teilweise auch das Recht zur Direkt bertragung abgeleitet wird 2 Unterschiede zwischen dem Landesparlament und der BVV Die BVV ist kein Parlament im staatsrechtlichen Sinne Auch wenn augenschein lich etliche Gemeinsamkeiten bestehen unterscheiden sich die beiden Organe er heblich voneinander a Unterschiedlicher Aufgabenkatalog Die BVV ist als Kollegialorgan der bezirklichen Selbstverwaltung Teil der Exe kutive gem Art 72 Abs 1 VvB 2 Bezirksverwaltungsgesetz BezVG Anders als im Rahmen der Verhandlungen des Abgeordnetenhauses geht es in der BVV nicht vorrangig um die Vorbereitung parlamentarischer Beschl sse die zum berwiegenden Teil auf abstrakte Ma nahmen wie der Vorbereitung und Verab schiedung abstrakt genereller Regelungen abzielen Insofern gilt es zu er rtern inwiefern sich die Aufgaben der BVV von denen eines
47. hat In der EG Richtlinie ber Energieeffizienz und Energiedienstleistungen 2006 32 EG werden Energieeinsparziele festgelegt die von den einzelnen Mit gliedstaaten bernommen werden m ssen Um diese Ziele vorbehaltlich be 54 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 stimmter Ausnahmef lle zu erreichen werden die Mitgliedstaaten nach Arti kel 13 der Richtlinie verpflichtet den Verbrauchern Verbrauchsmessger te zur Verf gung zu stellen die ihren Energieverbrauch exakt wiedergeben und Infor mationen zur tats chlichen Nutzungszeit liefern Diese intelligenten Verbrauchs messger te sind Teil der Bestrebungen die Ziele der Europ ischen Union im Hinblick auf den Aufbau einer nachhaltigen Energieversorgung bis zum Jahr 2020 umzusetzen Von der Generaldirektion Energie wurde eine Taskforce zu intelligenten Strom versorgungsnetzen Smart Grids eingerichtet Die Sachverst ndigengruppe 2 die Teil dieser Taskforce ist ersuchte um Unterst tzung durch die Artikel 29 Datenschutzgruppe bei der eingehenderen Analyse der Ma nahmen die auf na tionaler Ebene durchgef hrt werden Hierf r wurde im Jahr 2010 ein Fragebogen an die Datenschutzbeh rden versandt In sechs Fragen wurden Meinungen zur Entwicklung intelligenter Stromversorgungsnetze abgefragt diese werden gro enteils auch in der vorliegenden Stellungnahme angesprochen In weiteren zw lf Fragen wurden Informationen zum gegenw rt
48. im Internet TV schon immer dann entstehen wenn eine Nutzung geb hrenpflichtig ist Nach den vorgesehenen Regelungen w rden noch mehr personenbezogene Daten unbescholtener B rgerinnen und B rger erfasst und ganz berwiegend anlasslos gespeichert Dies steht in Widerspruch zur Rechtsprechung des Bundesverfas sungsgerichts In seinem Urteil zur Vorratsdatenspeicherung von Telekommuni kationsdaten vom 02 M rz 2010 1 BvR 256 08 hatte das Gericht gemahnt dass Gesetze die auf eine m glichst fl chendeckende vorsorgliche Speicherung aller f r die Strafverfolgung oder Gefahrenpr vention n tzlichen Daten zielen mit der Verfassung unvereinbar sind Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder lehnt die vorgesehene verdachtsunabh ngige undifferenzierte und schrankenlose Daten erfassung ab die auch europarechtlich nicht geboten ist Die dritte Geldw sche richtlinie 2005 60 EG erlaubt den Mitgliedstaaten von Identifizierungs pflichten abzusehen wenn der Wert des erworbenen elektronischen Guthabens 150 Euro nicht bersteigt Der Bundesgesetzgeber sollte durch Einf hrung eines entsprechenden Schwellenwerts diesem risikoorientierten Ansatz folgen 26 II D sseldorfer Kreis Oberste Aufsichtsbeh rden f r den Datenschutz im nicht ffentlichen Bereich 1 Umlaufbeschluss vom 8 April 2011 Datenschutz Kodex des BITKOM f r Geodatendienste unzureichend Ge setzgeber gefordert Am 1 M rz
49. in die Pri vatsph re einhergehen dazu f hren k nnte dass sich ein Handel mit Energiepro filen zum Vorteil derjenigen entwickelt die Energiedienstleistungen am Markt anbieten m chten Zur technischen Unterst tzung bei der Einhaltung der Vorschriften wurde die Einrichtung eines zentralen Informations und Kommunikationsknotenpunkts vorgeschlagen der f r alle die auf die Verbraucherdaten zugreifen m chten als Schleuse dient ferner ein Kodex der von allen Beteiligten unterzeichnet wer den muss sowie eine industrieweite Charta Die Datenschutzgruppe unterstreicht in aller Deutlichkeit dass die Sicherheitsma nahmen umso strenger sein m ssen je weitreichender die Eingriffe in die Privatsph re sind Die Datenschutzgruppe ersucht daher die zust ndigen Regulierungsbeh rden mit Nachdruck um Pr fung der Zul ssigkeit von Datenverarbeitungsma nahmen die einen weitgehenderen Eingriff in die Privatsph re darstellen Die Grundlage hierf r w re in jedem Fall die Einwilligung des Verbrauchers wobei die Industrie daf r zu sorgen hat dass die betroffene Person diese Einwil ligung aus einer informierten Position heraus erteilen kann Wie die Daten schutzgruppe betont w re es nicht akzeptabel wenn Dritte detaillierte Angaben ber den Energieverbrauch der betroffenen Person ohne die Kenntnis und das Einverst ndnis der betroffenen Person verarbeiten w rden Sicherheit Im Rahmen des Verfahrens des eingebauten Datenschutzes
50. lang gespeichert und vom Elektrizit tsnetzbe treiber bei Bedarf erfasst In der bertragung auf das Konzept des eingebauten Datenschutzes k nnte dieses Modell so angepasst werden dass das Lastdia gramm nur auf Aufforderung erfasst und gespeichert wird 67 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Auch durch die technischen Kenngr en des Netzes sollte gew hrleistet werden dass die erfassten Daten im Haushalt verbleiben sofern nicht die Weitergabe an andere Empf nger erforderlich ist oder die betroffene Person der bermittlung zustimmt Au erdem sollte das System so aufgebaut sein dass selbst bei der bermittlung personenbezogener Daten alle Datenelemente die nicht f r den Zweck der bermittlung unabdingbar sind herausgefiltert oder entfernt werden Das bergeordnete Ziel sollte also darin bestehen m glichst geringe Datenmen gen zu verarbeiten und zu bermitteln Die Datenschutzgruppe empfiehlt au erdem die Systeme so auszulegen dass der Zugang zu personenbezogenen Daten nur soweit erm glicht wird wie es er forderlich ist damit der f r die Datenverarbeitung Verantwortliche seine Aufga ben wahrnehmen kann S mtliche Beteiligten die auf personenbezogene Daten zugreifen sollten darauf berpr ft werden ob sie legitime und zust ndige Emp f nger der personenbezogenen Daten sind und d rfen nur auf diejenigen perso nenbezogenen Daten zugreifen k nnen die sie zur Wahrnehmung ihrer Au
51. nnen m gli cherweise zur Aufstellung politischer Rahmenvorgaben und zu Forschungs zwecken auf Daten zugreifen Soweit es sich dabei um personenbezogene Daten handelt bernimmt die betreffende Regulierungsbeh rde eindeutig die Rolle eines f r die Datenverarbeitung Verantwortlichen 3 Externe Dienstleister h ufig als Energiedienstleistungsunternehmen bezeich net spielen bei der Nutzung der durch intelligente Verbrauchsmessger te er zeugten Daten eine zunehmend wichtige Rolle Wenn personenbezogene Daten dem Energiedienstleistungsunternehmen zug nglich gemacht werden damit dieses Dienstleistungen f r die Verbraucher oder f r andere Beteiligte z B f r einen Energieversorger erbringen kann bernimmt das Energie dienstleistungsunternehmen die Rolle eines f r die Datenverarbeitung Verant wortlichen Rechtm igkeit der Datenverarbeitung und berechtigte Gr nde Zwecke der Datenverarbeitung Wenn eine bestimmte juristische Person als f r die Datenverarbeitung verant wortlich identifiziert wurde m ssen die rechtlichen Anforderungen festgelegt werden denen der f r die Datenverarbeitung Verantwortliche gem der Daten schutzrichtlinie unterliegt Nach Artikel 6 der Richtlinie m ssen personenbezo gene Daten nach Treu und Glauben und auf rechtm ige Weise verarbeitet werden Die Verarbeitung personenbezogener Daten gilt als rechtm ig wenn einer oder mehrere der sechs Gr nde f r die rechtm ige Verarbeitung gem
52. re wird es weder Fahrern noch Passagieren solcher Smart Vehicles m glich sein die Verar beitung ihrer Daten zu kontrollieren oder zu berwachen Sie werden sich dieser Verarbeitung vielmehr gar nicht bewusst sein 4 Ungeachtet der mannigfaltigen Erscheinungsformen technologischer An wendungen in Fahrzeugen behandelt dieses Arbeitspapier ausschlie lich die Aspekte der Datenaufzeichnung Datenaufzeichnung in Fahrzeugen EDR Definitionen und Fakten 5 Im Moment eines Unfalls oder sonstigen Schadenseintritts werden verschie dene durch Sensoren erfasste Daten mittels eines in das Fahrzeug eingebau ten Ger ts des Event Data Recorder EDR oder auch Unfalldatenspei chers gespeichert Diese Ger te verarbeiten die Daten typischerweise inner 117 Datenschutz Arbeitspapiere der IWGDPT halb eines begrenzten Zeitraums im Zusammenhang mit einem Schaden Un fall oder sonstigen St rfall unmittelbar vor w hrend und nach dem Ereig nis Der EDR kann sowohl ab Werk als auch nachtr glich in das Fahrzeug einge baut werden Die gespeicherten Daten k nnen mittels spezieller f r Endver braucher meistens nicht frei verk uflicher Software heruntergeladen werden Die im Schadensfall gesammelten und registrierten Daten beziehen sich nicht ausschlie lich auf technische Gegebenheiten des Fahrzeugs wie etwa den Kraftstoffverbrauch oder die Funktionsf higkeit des Airbags und den Schadenszeitpunkt sondern lassen dar
53. und Erweiterung eines der Antiterrorpakete in den Gesetzgebungsprozess einzubringen BT Drs 17 6925 Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder fordert daher erneut die Auswirkungen der bestehenden Sicherheitsgesetze gerade in ihrem Zusammenwirken durch eine unabh ngige wissenschaftliche Evaluie rung so bereits die Entschlie ung der 79 Konferenz vom 17 18 M rz 2010 F r eine umfassende wissenschaftliche Evaluierung im Sicherheitsbereich zu untersuchen Die Wirksamkeit der Regelungen ihre Erforderlichkeit f r den ge setzgeberischen Zweck und ihre Angemessenheit insbesondere im Hinblick auf die Bedrohungslage sowie die Auswirkungen f r die Betroffenen m ssen vor einer weiteren Befristung endlich kritisch berpr ft werden Datenschutz als Bildungsaufgabe Ein gro er Teil der wirtschaftlichen gesellschaftlichen und pers nlichen Akti vit ten findet mittlerweile im Internet statt Millionen von B rgerinnen und B r gern nutzen seine M glichkeiten und gehen dabei auch besondere Risiken ein ohne dass ihnen dies immer bewusst w re Dies gilt insbesondere f r Kinder und Jugendliche aber auch erwachsene Internetnutzerinnen und nutzer werden von der digitalen Welt zunehmend berfordert Vielen sind die Grundlagen Funktionsbedingungen und wirtschaftlichen Spielre geln des Internet nicht oder nur zum Teil bekannt Die meisten Internetnutzerin 20 Datenschutz Entschlie ungen der 8
54. und privat zu 31 Datenschutz Beschl sse des D sseldorfer Kreises nutzen sind gro Pr fungen der Datenschutzaufsichtsbeh rden und bekannt ge wordene Missbrauchsf lle belegen dies Das Datenschutzrecht und die rztliche Schweigepflicht gebieten dass ein Zu griff auf die Daten von Kranken grunds tzlich nur denjenigen Krankenhausbe sch ftigten m glich sein darf die diese Kranken behandeln oder die Behandlung verwaltungsm ig abwickeln Die Aufsichtsbeh rden im nicht ffentlichen Be reich fordern daher die datenschutzkonforme Gestaltung der internen Abl ufe und der Erteilung von Zugriffsrechten in der Informationstechnik von Kranken h usern Es besteht das dringende Bed rfnis hierbei zu einem bundesweit und tr ger ber greifend einheitlichen Verst ndnis der datenschutzrechtlichen Anforderungen zu gelangen zumindest soweit dies Divergenzen in der Landeskrankenhausgesetz gebung erlauben Zu diesem Zweck wurde von den Datenschutzbeauftragten der L nder unter Mitarbeit von Datenschutzbeauftragten der Evangelischen Kirche in Deutschland und der Katholischen Kirche eine Orientierungshilfe erarbeitet Im Rahmen eines Kommentierungsverfahrens und bei Expertenanh rungen wurden Hersteller von Krankenhausinformationssystemen Betreiber und Datenschutzbe auftragte von Krankenh usern einbezogen Die Orientierungshilfe konkretisiert in ihrem ersten Teil die Anforderungen die sich aus den datenschutzrechtlichen Regelunge
55. user und die internen Datenschutzbeauftrag ten von Krankenh usern liegt damit erstmals ein Orientierungsrahmen f r eine datenschutzkonforme Gestaltung und einen datenschutzgerechten Betrieb ent sprechender Verfahren vor F r die Datenschutzbeh rden wird das vorliegende Dokument als Ma stab bei der k nftigen Bewertung konkreter Verfahren im Rahmen ihrer Kontroll und Be 9 Datenschutz Entschlie ungen der 81 DSB Konferenz ratungst tigkeit dienen Dabei ist zu ber cksichtigen dass ein Teil der am Markt angebotenen L sungen nach den Erkenntnissen der Datenschutzbeh rden in technischer Hinsicht gegenw rtig noch hinter den darin enthaltenen Anforderun gen zur ckbleibt Es ist daher von der Notwendigkeit einer angemessenen ber gangsfrist f r erforderliche Anpassungen durch die Hersteller auszugehen Stellen die Datenschutzbeh rden im Zuge ihrer Kontrollt tigkeit Defizite im Ver gleich zu den dargelegten Ma st ben fest so werden sie auf die Krankenh user einwirken und sie dabei unterst tzen in einem geordneten Prozess unter Wah rung der Patientensicherheit Wege zur Behebung der Defizite zu finden und zu begehen Die Deutsche Krankenhausgesellschaft und die jeweiligen Landeskran kenhausgesellschaften werden dabei einbezogen Die Erfahrungen der Pr ft tigkeit sollen in eine regelm ige berarbeitung und Aktualisierung der Orientierungshilfe unter Ber cksichtigung der technischen Weiterentwicklung einflie en
56. verbunden so ist eine solche Einwilligung nicht g ltig im Sinne von Artikel 7 oder Artikel 8 da sie nicht freiwillig erfolgt Wenn der Arbeitnehmer keine M glichkeit zur Ab lehnung hat kann nicht von Einwilligung gesprochen werden Probleme 104 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 entstehen dort wo die Einwilligung Einstellungsvoraussetzung ist Der Ar beitnehmer hat theoretisch das Recht die Einwilligung zu verweigern aber er muss in diesem Fall damit rechnen dass er die Chance auf eine bestimmte Stelle verliert Unter solchen Umst nden wird die Einwilligung nicht freiwil lig erteilt und ist daher nicht g ltig Statt die Einwilligung zu suchen m ssen Arbeitgeber pr fen ob es nachweisbar erforderlich ist den genauen Aufenthaltsort des Arbeitnehmers aus einem rechtm igen Grund zu ber wachen Dieses Erfordernis muss dann gegen die Grundrechte und Grund freiheiten der Arbeitnehmer abgewogen werden In den F llen in denen die Notwendigkeit angemessen gerechtfertigt werden kann k nnte die Rechts grundlage f r die Verarbeitung auf dem berechtigten Interesse des f r die Verarbeitung Verantwortlichen basieren Artikel 7 Buchstabe f der Daten schutzrichtlinie Der Arbeitgeber muss stets nach der am wenigsten ein schneidenden Ma nahme suchen eine st ndige berwachung vermeiden und beispielsweise ein System ausw hlen das eine Warnung sendet wenn ein Arbeitnehmer eine vorab
57. von nicht verd chtigten Reisenden gel scht werden sollten Sollte der Gesetzgeber beschlie en die Daten f r einen begrenzten Zeitraum zu speichern dann sollten die Daten so gesch tzt sein dass die zur Identifizierung geeigneten Angaben nicht erkennbar sind Die betreffenden Schutzma nahmen sollten sp testens bei der Ankunft des Fluges erfolgen F r den Zugriff auf die gesch tzten Daten zwecks Abruf der zur Identifizierung notwendigen Angaben f r konkrete strafrechtliche Ermittlungen sollte in jedem Fall ein richterlicher Be schluss erforderlich sein Die Datenschutzgruppe m chte au erdem besonders die Notwendigkeit einer exakten eindeutigen und unmissverst ndlichen Sprachregelung betonen In dem Vorschlag ist sowohl von Unkenntlichmachung als auch von Anonymisierung die Rede Die beiden Begriffe haben nicht dieselbe Bedeutung wobei klar ist dass Unkenntlichmachung und nicht Anonymisierung gemeint ist da die zur Identifi zierung einer Person erforderlichen Daten nach wie vor leicht abgerufen werden k nnen Der Vorschlag darf weder absichtlich noch aus anderen Gr nden miss verst ndlich oder irref hrend sein und keine unhaltbaren Versprechungen ma chen 49 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 5 Individuelle Datenschutzrechte Der Vorschlag enth lt Bestimmungen die speziell den Datenschutz betreffen Die Datenschutzgruppe h lt es f r notwendig dass jeder auf EU Ebene unter breite
58. welchen anderen Zusammenh ngen die erhobenen Daten polizeilich weiter verwendet werden d rfen Das Bundesverfassungsgericht hat stets betont dass die Erhebung von Verkehrs daten erhebliche R ckschl sse auf das Kommunikationsverhalten zul sst Ver kehrsdaten k nnen das soziale Netz des Betroffenen widerspiegeln allein aus ihnen kann die Verbindung zu Parteien Gewerkschaften oder B rgerinitiativen deutlich werden Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder fordert daher den Bundesgesetzgeber auf den Anwendungsbereich f r eine nichtindivi dualisierte Funkzellenabfrage einzuschr nken dem Grundsatz der Verh ltnism 17 Datenschutz Entschlie ungen der 82 DSB Konferenz Bigkeit zu st rkerer Beachtung in der Praxis zu verhelfen das Erforderlichkeits prinzip zu st rken etwa durch die Pflicht zur unverz glichen Reduzierung der er hobenen Daten auf das zur Strafverfolgung oder gerichtlichen Auseinanderset zung Erforderliche sowie die L schungsvorschrift des 101 Abs 8 StPO zu pr zisieren 3 Entschlie ungen der 82 Konferenz am 28 29 September 2011 in M nchen Datenschutz bei sozialen Netzwerken jetzt verwirklichen Anl sslich der aktuellen Diskussionen um den Datenschutz bei sozialen Netz werken wie beispielsweise Facebook stellt die Konferenz der Datenschutzbeauf tragten des Bundes und der L nder klar dass sich die Anbieter solcher Plattfor men die auf den europ ische
59. werden Indem die Nach weisbarkeit der Einhaltung der Vorgaben grundlegender Datenschutzprinzipien in jeder Phase einer Smart Meter Initiative sichergestellt ist wird gew hrleistet dass der Energieversorger jederzeit f r einen Audit durch Dritte bereit ist F r die Verwirklichung von Sichtbarkeit und Transparenz sind wichtige Grund s tze dass die Verbrauchenden ber die Verwendung der von intelligenten Z h lern erhobenen personenbezogenen Daten informiert werden und ein durchsichti ger und zug nglicher Beschwerdeprozess eingerichtet wird Die Verbrauchenden sollten die einfache technische M glichkeit zur Festlegung von Zugangskontroll profilen erhalten um so zu bestimmen wer welche personenbezogenen Daten er h lt 7 Smart Meter Initiativen sollten so gestaltet sein dass sie den Verbrau chendendatenschutz ber cksichtigen die Nutzenden sollen im Mittel punkt stehen Die Verbrauchenden sollten alle notwendigen Informationen Optionen und Kon trollm glichkeiten und entsprechende Erkl rungen erhalten um ihren Energie verbrauch und ihren Datenschutz regeln zu k nnen 8 Rechtliche Rahmenbedingungen sollten die Einf hrung und die Nut zung des datenschutzfreundlichen Einsatzes von Smart Meter f rdern Die in den vorstehenden Empfehlungen dargestellten Grunds tze sollten in na tional und international verbindliche Regelungen aufgenommen werden sofern dies noch nicht geschehen ist 131 Datenschutz Arbeits
60. werden in Risikoab sch tzungen f r Sicherheit und Datenschutz die m glichen Risiken f r die Da 69 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 tensicherheit aufgezeigt Aufgrund der neuartigen und noch gar nicht abzusch t zenden Perspektiven die sich durch intelligente Stromversorgungsnetze und die damit einhergehenden Technologien er ffnen bedeutet die Aufgabe die Sicher heitsanforderungen bereits im Vorfeld abzusch tzen eine besondere Herausfor derung Vor diesem Hintergrund wird in dieser Stellungnahme empfohlen zur Risiko minderung einen End to End Ansatz zu verfolgen in den s mtliche Parteien ein gebunden werden und ein breites Spektrum an Fachwissen genutzt wird Dar ber hinaus sollten Sicherheitsaspekte m glichst fr h in die Netzarchitektur einflie en und nicht erst sp ter nachtr glich aufgenommen werden Die Datenschutzgruppe betont dass die betroffenen Personen nur dann sicher sein k nnen dass ihre personenbezogenen Daten auf sichere Weise verarbeitet werden und ihr Grundrecht auf Datenschutz gewahrt wird wenn ausreichend be lastbare Sicherheitsvorkehrungen vorhanden sind Diese Sicherheitsvorkehrun gen sollten sich auf den gesamten Prozess erstrecken einschlie lich der im Haushalt untergebrachten Teile des Netzes der bermittlung personenbezogener Daten ber das Netz sowie der Speicherung und Verarbeitung personenbezogener Daten durch Lieferanten Netze und anderen f r
61. zahldienste insbesondere f r Micropayment Vorg nge in ihrer nationalen Ge setzgebung vorschreiben wo dies nicht bereits der Fall ist Dieser Gesichtspunkt sollte auch in dem laufenden Prozess der Evaluierung und m glichen nderung nationaler und internationaler Instrumente zum Datenschutz in Betracht gezogen werden z B der EU Richtlinie 95 46 der Konvention 108 des Europarats oder der OECD Richtlinien ber Datenschutz und grenz berschreitende Str me per sonenbezogener Daten Diensteanbieter sollten anonyme oder wenigstens pseudonyme M glichkeiten zum Bezahlen ihrer Dienste anbieten Sie sollten die Prinzipien des privacy by design in ihren Angeboten von Anfang an ber cksichtigen Nutzer von Online Diensten insbesondere von Online Mediendiensten sollten darauf hingewiesen werden dass ihre Wahl einer Zahlungsmethode einen direk ten Einfluss auf den Grad des Schutzes der Privatsph re haben kann der bei der Nutzung dieser Dienste garantiert werden kann Sie sollten sich ausf hrlich ber verschiedene verf gbare Zahlungsmethoden bei Diensteanbietern einzelner Platt formen informieren und anonyme oder wenigstens pseudonyme Bezahlungsme thoden fordern und w hlen wo immer dies m glich ist 136 B Dokumente zur Informationsfreiheit I Konferenz der Informationsfreiheitsbeauftragten in Deutschland IFK 1 Entschlie ungen der 22 Konferenz am 23 Mai 2011 in Bremen Geplantes europ isches Nanoprod
62. 2 DSB Konferenz nen und nutzer haben au erdem den berblick dar ber verloren wer wann und zu welchem Zweck welche Daten von ihnen speichert sie mit anderen Datens t zen verkn pft und ggf auch an Dritte weitergibt Wer aber nicht wei was mit seinen Daten geschieht oder geschehen kann kann auch das informationelle Selbstbestimmungsrecht nicht effektiv aus ben Um dieser Entwicklung entgegenzuwirken muss der Datenschutz auch als Bil dungsaufgabe verstanden und praktiziert werden Es gen gt nicht allein auf rechtliche Regelungen sowie auf datenschutzfreundliche technische Voreinstel lungen und Anwendungen zu setzen Die digitale Aufkl rung ist unverzichtbar als Teil einer Datenschutzkultur des 21 Jahrhunderts Sie beinhaltet zum einen die Vermittlung von Wissen und zum anderen die Entwicklung eines wachen werte bezogenen Datenschutzbewusstseins So wie Bildung eine gesamtgesellschaftliche Aufgabe ist so ist auch die Bildung im Hinblick auf die Datenschutzfragen unserer Zeit eine Aufgabe die nicht nur dem Staat sondern ebenso der Wirtschaft und der Zivilgesellschaft wie auch den Eltern im Verh ltnis zu ihren Kindern obliegt Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder begr t deshalb und unterst tzt vielf ltige berlegungen und Aktivit ten die sich st rker als bisher um eine gr ere Datenschutzkompetenz der Internetnutzenden bem hen Die Datenschutzkonferenz h lt die bisherigen Be
63. 95 niedergelegt sind 2 Die Richtlinie 2002 58 EG vom 12 Juli 2002 in der durch die Richtlinie 2009 136 EG ge nderten Fassung ist gem der Definition in Artikel 2 Buch stabe c dieser Richtlinie ebenfalls anzuwenden Standortdaten Daten die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geografischen Standort des Endger ts eines Nutzers eines ffentlich zug nglichen elektronischen Kommunikationsdienstes angeben Wenn ein Telekombetreiber einen hybriden Geolokalisierungsdienst anbietet der auch auf der Verarbeitung anderer Arten von Standortdaten wie GPS oder Wi Fi Daten basiert gilt diese T tigkeit als ffentlicher elektronischer Kommunika tionsdienst Der Telekombetreiber muss die vorherige Einwilligung seiner Kun den sicherstellen wenn er diese Geolokalisierungsdaten Dritten anbietet 4 2 Verarbeitung von Basisstations Wi Fi und GPS Daten durch Anbieter von Diensten der Informationsgesellschaft 4 2 1 Anwendbarkeit der ge nderten Datenschutzrichtlinie f r elektronische Kommunikation Typischerweise sind Unternehmen die Lokalisierungsdienste und anwendungen anbieten die auf einer Kombination von Basisstations GPS und Wi Fi Daten basieren Anbieter von Diensten der Informationsgesellschaft Als solche sind sie aufgrund der strengen Definition von elektronischen Kommunikationsdiensten ausdr cklich von der Datenschutzrichtlinie f r
64. Ablesewerte han deln e Alarmmeldungen Das Messger t kann eine Meldung bermitteln dass auf grund eines bestimmten Ereignisses der Alarm am Messger t ausgel st wor den ist 59 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 e Informationen auf Ebene des Netzes beispielsweise Spannungen Stromaus f lle und Qualit t der Energieversorgung e Lastgrafiken in unterschiedlichem Detaillierungsgrad Die Daten k nnen in Echtzeit an den f r die Datenverarbeitung Verantwortlichen bermittelt oder im intelligenten Verbrauchsmessger t gespeichert werden Aller dings wird gem der Datenschutzrichtlinie in beiden F llen davon ausgegangen dass die Daten von dem f r die Datenverarbeitung Verantwortlichen erfasst wurden Diese Liste ist bei weitem nicht ersch pfend die Datenschutzgruppe stellt jedoch fest dass es durch den Betrieb von intelligenten Verbrauchsmessger ten und im weiteren Sinne damit durch den Betrieb von jeder Weiterentwicklung intelligen ter Stromversorgungsnetze und Ger te zur Verarbeitung personenbezogener Daten gem der Definition in Artikel 2 der Richtlinie 95 46 EG und der Ausle gung durch die Datenschutzgruppe in ihrer Stellungnahme 4 2007 kommt Au erdem ist es aufgrund der zunehmenden Menge der verarbeiteten personen bezogenen Daten der M glichkeiten einer Fernsteuerung der Verbindung und der Wahrscheinlichkeit eines Energie Profiling auf der Grundlage detaillierter Me
65. Anbieter der Anwendungen eng mit dem Entwickler des Betriebssystems zusammenarbeiten Der Entwickler ist technisch in der besten Position eine dauerhaft sichtbare Erinnerung daran zu schaffen dass die Standortdaten verarbeitet werden Der Entwickler kann auch gut kon trollieren dass keine Anwendungen angeboten werden die den Standort der in telligenten mobilen Ger te heimlich berwachen Wenn der Entwickler des Betriebssystems eine Phone Home Funktion oder an dere Mittel des Zugangs zu auf dem Endger t gespeicherten Daten geschaffen hat oder wenn er auf einem anderen Weg beispielsweise durch dritte Werbetreibende Zugang zu den Daten erh lt muss er die betroffene Person im Voraus ber die spezifischen und berechtigten Zweckbestimmungen informieren f r die er diese Daten verarbeiten will Er muss die betroffene Person auch ber die Dauer der Verarbeitung informieren Die Verpflichtung zur Informierung der betroffenen Personen besteht auch f r die f r die Verarbeitung der Datenbanken mit geografisch bestimmten Wi Fi Zu gangspunkten Verantwortlichen Sie m ssen die Allgemeinheit auf eine ange messene Weise ber ihre Identit t und die Zweckbestimmungen der Verarbeitung informieren und ihnen sonstige einschl gige Informationen geben Die reine Er w hnung einer m glichen Erhebung von Daten ber Wi Fi Zugangspunkte in einer speziellen Datenschutzerkl rung die auf die Nutzer einer Geolokalisie rungsanwendung abzielt reicht ni
66. Ar tikel 7 der Richtlinie erf llt sind Die Datenschutzgruppe stellt fest dass die genaue Art der Zwecke der Verarbei tung personenbezogener Daten die durch ein intelligentes Verbrauchsmessger t gespeichert oder bermittelt werden in vielen wenn nicht gar allen Mitglied staaten erst noch eindeutig gekl rt bzw ordnungsgem definiert werden muss Aus diesem Grund empfiehlt die Arbeitsgruppe diese Zwecke festzulegen bevor geltend gemacht werden kann dass die Datenverarbeitung rechtm ig ist Dar ber hinaus stellt die Datenschutzgruppe fest dass jeder Zweck f r sich alleine rechtm ig sein muss und dass es nicht zul ssig ist die Rechtm igkeit eines Zwecks zur Begr ndung der Rechtm igkeit eines anderen Zwecks heranzuzie hen Insbesondere ist es nicht zul ssig personenbezogene Daten f r andere Zwe cke weiterzuverarbeiten die mit dem Zweck f r den sie urspr nglich erfasst wurden nicht vereinbar sind 63 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Nach der Auffassung der Arbeitsgruppe bestehen f nf m gliche Gr nde f r die Datenverarbeitung die von den f r die Datenverarbeitung Verantwortlichen in diesem Zusammenhang in Anspruch genommen werden k nnen Einwilligung Viele der F lle in denen personenbezogene Daten verwendet werden k nnen be ziehen sich auf zus tzliche Dienstleistungen die der betroffenen Person angebo ten werden beispielsweise zeitabh ngige Tarife od
67. Datenschutzbeh rden als auch der betroffenen Personen und iii Festlegung der Kriterien f r die Be wertung der Wirksamkeit technischer Schutzma nahmen Koordinierung der Verfahren bei grenz berschreitenden Datenschutzver letzungen Dar ber hinaus sollte die Plattform zur Koordinierung der Verfahren bei grenz berschreitenden Datenschutzverletzungen herangezogen werden Es wird erwartet dass eine gro e Zahl von Datenschutzverletzungen einen grenz berschreitenden Bezug haben wird Der f r die Verarbeitung der Daten Verantwortliche k nnte zum Beispiel in einem Mitgliedstaat niederge lassen sein und die Verletzung ereignet sich aber in einem oder mehreren an deren Mitgliedstaaten z B wenn ein Hacker dort in eine Anlage eingedrun gen ist Es k nnte auch passieren dass die am meisten betroffenen Personen nicht in dem Mitgliedstaat sind in dem sich die Verletzung ereignet hat oder dass sich die Datenschutzverletzung zeitgleich in mehreren Einrichtungen ereignet hat In anderen F llen k nnte es unklar sein wo sich die Daten schutzverletzung ereignet hat w hrend die Auswirkungen in vielen Mit 10 Es sei angemerkt dass die Mitgliedstaaten selbst die zust ndige nationale Beh rde bestimmen die die Anforde rungen gem Artikel 3 der Rahmenrichtlinie erf llen muss Das hei t dass in einigen Mitgliedstaaten die na tionalen Datenschutzbeh rden f r die Entgegennahme der Meldung einer Verletzung des Schutzes personenbe zogen
68. Dokumente zu Datenschutz und Informationsfreiheit 2011 Impressum Herausgeber Berliner Beauftragter f r Datenschutz und Informationsfreiheit An der Urania 4 10 10787 Berlin Telefon 0 30 138 89 0 Telefax 0 30 2 15 50 50 E Mail mailbox datenschutz berlin de Internet http www datenschutz berlin de Druck Brandenburgische Universit tsdruckerei und Verlagsgesellschaft mbH Stand Februar 2012 Inhaltsverzeichnis Seite Vorwort 7 A Dokumente zum Datenschutz 9 I Konferenz der Datenschutzbeauftragten des Bundes und der L nder 9 1 Entschlie ungen der 81 Konferenz am 16 17 M rz 2011 in W rzburg 9 Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinformationssystemen 9 Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis EDV Systemen an medizinische Netze 10 Keine Vorratsspeicherung und Rasterung von Flugpassagierdaten 12 Besch ftigtendatenschutz st rken statt abbauen 13 Ohne gesetzliche Grundlage keine Telekommunikations berwachung auf Endger ten 15 Gravierende Defizite bei der Umsetzung des SWIFT Abkommens dringender Handlungsbedarf auf nationaler und europ ischer Ebene 15 2 Entschlie ung zwischen der 81 und 82 Konferenz vom 27 Juli 2011 16 Funkzellenabfrage muss eingeschr nkt werden 16 3 Entschlie ungen der 82 Konferenz am 28 29 September 2011 in M nchen 18 Datenschutz bei sozialen Netzwerken jetzt verwirklichen 18
69. Einwilligung respektiert werden muss und r t denjenigen die die Normen umsetzen zu ber cksichtigen dass der unter einer bestimmte URL gespeicherte Inhalt sich so ndert dass die vorher gew hrten Standortgenehmigungen in Bezug auf den Nutzer nicht mehr zutreffen Oder die Nutzer k nnten einfach ihrer Meinung ge ndert haben Beispiel einer bew hrten Praxis f r Anbieter von Geolokalisierungs anwendungen Eine Anwendung die Standortdaten verwenden m chte informiert den Nut zer deutlich ber die Zwecke f r die die Daten genutzt werden sollen und er fragt die ausdr ckliche Einwilligung f r jeden m glichen Zweck Der Nutzer w hlt aktiv das Ma der Granularit t der Geolokalisierung beispielsweise auf L nderebene St dteebene Postleitzahlenebene oder so genau wie m g lich Sobald der Dienst zur Standortbestimmung aktiviert ist ist st ndig ein Icon auf jedem Bildschirm sichtbar der anzeigt dass die Dienste zur Stand ortbestimmung aktiviert sind Der Nutzer kann seine Einwilligung jederzeit zur ckziehen ohne hierf r die Anwendung verlassen zu m ssen Der Nutzer hat auch die M glichkeit alle auf dem Endger t gespeicherten Standortdaten einfach und dauerhaft zu l schen 5 3 2 Wi Fi Zugangspunkte Auf der Grundlage der Datenschutzrichtlinie k nnen Unternehmen f r den spe ziellen Zweck des Anbietens von Geolokalisierungsdiensten ein berechtigtes Interesse an der erforderlichen Erhebung und Verarbeitung
70. Indicator TDOA Time Difference of Arrival und AOA Angle Of Arrival wei ter vergr ert werden Die Daten von Basisstationen k nnen auf innovative Weise genutzt werden bei spielsweise zum Aufsp ren von Verkehrsstaus Auf jeder Stra e gibt es f r jeden Tagesabschnitt eine bestimmte Durchschnittsgeschwindigkeit Wenn es l nger als erwartet dauert bis das Endger t das Gebiet der benachbarten Basisstation er reicht liegt offensichtlich ein Verkehrsstau vor Zusammenfassend l sst sich sagen dass diese Methode der Standortbestimmung eine schnelle grobe Standortangabe erm glicht jedoch verglichen mit GPS und Wi Fi Daten nicht sehr genau ist Die Genauigkeit betr gt in eng besiedelten Stadtgebieten ungef hr 50 Meter in l ndlichen Gebieten aber bis zu einigen Ki lometern 2 2 GPS Technologie In intelligente mobile Endger te sind Chips tze mit GPS Empf ngern eingebaut die ihren Standort bestimmen Bei der GPS Technologie Satellitennavigationssystem werden 31 Satelliten ver wendet die alle in einem der sechs verschiedenen Orbits um die Erde kreisen Jeder Satellit sendet ein sehr genaues Funksignal Das mobile Endger t kann seinen Standort bestimmen wenn der GPS Sensor mindestens vier dieser Signale auff ngt Anders als bei den Daten der Basis stationen geht das Signal nur in eine Richtung Die die Satelliten betreibenden Einrichtungen k nnen nicht nachverfolgen welche Endger te das Funksignal empfangen haben
71. NIST Aufgrund des gro Ben Vertrauens in die Technologie den Informationsaustausch muss die Ber ck sichtigung von Datenschutzrisiken ein Teil des heutigen Gesch ftsmodells sein und die Erw gung der Auswirkungen auf den Datenschutz sollte einen Teil der t glichen Gesch ftsaktivit ten ausmachen Ontario Canada Minister of Energy Directive Respektieren und sch tzen Sie die Privatsph re der Kunden Integrieren Sie fr hzeitig Datenschutzanforde rungen in die Planung und Gestaltung von Smart Grids einschlie lich der Aus f hrung von Absch tzungen der Auswirkungen auf die Privatsph re Privacy Im pact Assessments Center for Democracy and Technology amp Electronie Frontier Foundation Die Annahme von Datenschutzbestimmungen die den gesamten Satz an fairen Informationspraktiken umsetzen wird jetzt zu Beginn des Einsatzes von Smart Grids f r solide und anpassungsf hige Rahmenbedingungen f r den Einbau des Datenschutzes in die sich weiter entwickelnden Smart Grids sorgen Dadurch be kommen Versorgungsunternehmen und Innovatoren ein festes Rahmenwerk auf dem sie aufbauen k nnen Smart Grid Canada Der erfolgreiche Einsatz von Smart Grid beruht letztlich auf dem Vertrauen der Verbrauchenden Datenschutzrechtliche Bedenken und an dere ffentliche Belange die eine Bedrohung f r das Vertrauen der Verbrauchen den darstellen m ssen angegangen werden Es ist von h chster Priorit t die Pro ble
72. PA WPA2 erm glicht hat Der Standort eines Wi Fi Zugangspunktes kann auf zwei verschiedene Arten be rechnet werden 1 Statisch einmal die f r die Verarbeitung Verantwortlichen sammeln die Mac Adressen von Wi Fi Zugangspunkten selbst indem sie mit Fahrzeugen her umfahren die mit Antennen ausgestattet sind Sie zeichnen den genauen Brei ten und L ngengrad des Fahrzeuges zu dem Zeitpunkt auf wenn das Signal eingefangen wird So k nnen sie den Standort der Zugangspunkte unter ande rem anhand der Signalst rke errechnen 2 Dynamisch st ndig die Nutzer von Geolokalisierungsdiensten sammeln auto matisch die MAC Adressen die ihre Wi Fi f higen Ger te empfangen wenn sie beispielsweise eine Online Karte nutzen um ihre Position zu bestimmen Wo bin ich Das mobile Endger t sendet dann dem Anbieter der Geolokali sierungsdienste alle verf gbaren Informationen zu einschlie lich der MAC Adressen der SSIDs und der Signalst rke Der f r die Verarbeitung Verant wortliche kann diese st ndigen Beobachtungen dazu nutzen den Standort der Wi Fi Zugangspunkte zu berechnen oder deren Berechnung in seiner Datei mit den kartografierten Wi Fi Zugangspunkten zu verbessern Es muss angemerkt werden dass mobile Endger te keine Verbindung mit den Wi Fi Zugangspunkten aufnehmen m ssen um Wi Fi Informationen zu sam 5 Zum Sammeln der MAC Adressen sendet der Sammler einen Probe Request Frame an alle Zugangspunkte 94 Datenschutz
73. Parlamentes unterschei den um die Frage zu kl ren ob sich hieraus zwingende Argumente f r die ab weichende Beurteilung der Zul ssigkeit der Sitzungs bertragungen ergeben Die Zust ndigkeiten der BVV ergeben sich aus den Art 69 72 73 74 76 VvB und aus dem Bezirksverwaltungsgesetz Die Grundlinienkompetenz und das Initiativrecht erm glichen es der BVV Empfehlungen und Ersuchen an das Bezirksamt zu richten Es handelt sich dabei jedoch nicht um eine umfangreiche Befugnis zum Erlass verbindlicher Verwaltungsvorschriften oder um ein allgemein politisches Mandat Die Li teratur misst den Vorschriften Art 72 Abs 1 VvB und 12 Abs 1 Satz 2 BezVG dahingehend lediglich deklaratorischen Charakter bei Die BVV berpr ft die F hrung der Gesch fte des Bezirksamtes BA im Rahmen der Kontrollkompetenz gem Art 72 VvB i V m 12 Abs 1 Satz 2 BezVG Die BVV bt Entscheidungsbefugnisse gem 12 Abs 2 BezVG aus sofern es um den Bezirkshaushaltsplan die Zustimmung zu Rechtsverordnungen 4 Magiera in Sachs GG Art 42 Rn 3 Versteyl in v M nch Kunig GG Bd 2 Art 42 Rn 8 5 Ottenberg BezVG 12 Rn 1 Driehaus VvB Art 72 Rn 1 Zivier Verfassung und Verwaltung von Berlin 90 4 2 6 Zivier Verfassung und Verwaltung von Berlin 90 4 4 141 Informationsfreiheit Live bertragung der BVV Sitzungen zur Festsetzung von Bebauungs und Fl chennutzungspl nen und anderen baurechtlichen Akte geht sie beschlie t Bet
74. SG Nur wenn das soziale Netz werk auch in der Verantwortung dieser europ ischen Niederlassung betrieben wird kann die Verarbeitung der Daten deutscher Nutzerinnen und Nutzer unter Umst nden dem Datenschutzrecht eines anderen Staates im Europ ischen Wirt schaftsraum unterliegen Betreiber von sozialen Netzwerken m ssen insbeson dere folgende Rechtm igkeitsanforderungen beachten wenn sie in Deutschland aktiv sind Es muss eine leicht zug ngliche und verst ndliche Information dar ber gege ben werden welche Daten erhoben und f r welche Zwecke verarbeitet werden Denn nur eine gr tm gliche Transparenz bei Abschluss des Vertrags ber eine Mitgliedschaft bzw informierte Einwilligungen gew hrleisten die Wah rung des Rechts auf informationelle Selbstbestimmung Die Voreinstellungen des Netzwerkes m ssen auf dem Einwilligungsprinzip beruhen jedenfalls so weit nicht der Zweck der Mitgliedschaft eine Angabe von Daten zwingend voraussetzt Eine Datenverarbeitung zun chst zu beginnen und nur eine Widerspruchsm glichkeit in den Voreinstellungen zu erm glichen ist nicht gesetzm ig e Es muss eine einfache M glichkeit f r Betroffene geben ihre Anspr che auf Auskunft Berichtigung und L schung von Daten geltend zu machen Grund voraussetzung hierf r ist die Angabe von entsprechenden Kontaktdaten an leicht auffindbarer Stelle damit die Betroffenen wissen wohin sie sich wen den k nnen e Die Verwertung von Fotos f r
75. Smart Meter Initiativen erreicht werden 5 Datenschutz und Datensicherheit sollten durchgehend aufrechterhalten werden Schutz w hrend des gesamten Lebenszyklus Daten aus intelligenten Stromz hlern insbesondere solche die einer Person zu geordnet werden k nnen sollten gut gesch tzt werden sowohl bei der Speiche rung als auch bei der bermittlung Dies erfordert die Entwicklung und Durch f hrung von Datensicherungsma nahmen auf dem Smart Meter selbst wobei bestm glich gew hrleistet sein muss dass das Ger t manipulationssicher ist und nicht mehr Daten als notwendig speichert w hrend der Daten bermittlung Ver 130 Datenschutz Arbeitspapiere der IWGDPT schl sselung Anonymisierung Identifikation und Schutz der Metadaten und w hrend der Verarbeitung und Nutzung auf das erforderliche Ma beschr nkter Zugriff auf Daten Sicherstellung dass Dritte entsprechende Schutzstandards er f llen sichere L schung am Ende der Nutzungsdauer etc 6 Smart Meter Initiativen sollten erkennbar und transparent sein und re chenschaftspflichtige Gesch ftspraktiken anwenden gegen ber den Verbrauchenden sollte nachgewiesen werden dass die Technologie in bereinstimmung mit den festgelegten Zielen betrieben wird Energieversorger sollten nachweisen k nnen dass die angewandten Methoden zur Integration des Datenschutzes in ihren Smart Meter Initiativen den daten schutzrechtlichen Anforderungen des Projekts gerecht
76. Treffer zus tzlich untersucht wer den Die Datenschutzgruppe m chte auch daran erinnern dass in einigen Mit gliedstaaten hnliche Methoden der Polizeiarbeit nur dann verfassungskonform sind und von der Polizei eingesetzt werden d rfen wenn eine gerichtliche Ge nehmigung daf r vorliegt und bestimmte Umst nde wie etwa eine konkrete Be drohung gegeben sind Das vorgeschlagenen PNR System w rde diese Ausnah 46 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 mef llen vorbehaltene Methode zu einem gew hnlichen Instrument der Polizei arbeit machen Ma nahmen die den Schutz der Rechte und Freiheiten von Reisenden nicht ge w hrleisten k nnen sind nur dann verh ltnism ig wenn sie befristet f r eine konkrete Bedrohung eingef hrt werden was f r diesen Vorschlag nicht zutrifft Der Eingriff in die Privatsph re von Reisenden muss in einem angemessenen Ver h ltnis zu dem dadurch erzielten Nutzen f r die Bek mpfung von Terrorismus und schwerer Kriminalit t stehen Der Datenschutzgruppe sind bislang keine Sta tistiken ber das Verh ltnis zwischen der Zahl unschuldiger Reisender deren PNR Daten erfasst wurden und der Zahl der mithilfe dieser PNR Daten erzielten Erfolge der Strafverfolgung bekannt Insgesamt ist die Datenschutzgruppe nach wie vor der Auffassung dass die Not wendigkeit des Systems nicht erwiesen ist und die vorgeschlagenen Ma nahmen nicht dem Grundsatz der Verh ltnism igkeit e
77. Verarbeitung Verpflichtungen zur Unterrichtung von Personen das Verbot der bermittlung von Daten an private Nutzer sowie Bestimmungen enthalten wonach Entscheidungen nicht allein auf grund einer automatisierten Verarbeitung getroffen werden d rfen Die Daten schutzgruppe betont au erdem die Bedeutung der Einbeziehung von nationalen Aufsichtsbeh rden die auf Ebene der Mitgliedstaaten f r die Umsetzung von EU Rechtsvorschriften zust ndig sind Sensible Daten sollen dem Vorschlag zufolge von der PNR Zentralstelle heraus gefiltert und gel scht werden In ihren Stellungnahmen zu den verschiedenen PNR Abkommen der EU mit Drittl ndern hat die Datenschutzgruppe stets das Verbot der Verarbeitung sensibler Daten in diesem Zusammenhang unterst tzt und bekr ftigt mit Nachdruck ihre seit langem vertretene Ansicht dass die Filte rung durch die Fluggesellschaften erfolgen sollte bevor die Daten mittels der Push Methode an die empfangende Beh rde bermittelt werden Die Datenschutzgruppe unterstreicht wie wichtig es ist zu gew hrleisten dass auf EU Ebene unterbreitete Vorschl ge die sich auf die Rechte und Freiheiten 50 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 von Personen auswirken berwachungs und berpr fungsma nahmen wie etwa die Protokollierung der Verarbeitung und von Datenanfragen zur berpr fung der Rechtm igkeit der Verarbeitung zur Selbstkontrolle und zur Gew hr leistung der Unver
78. Verbraucher und den anderen Akteuren erh ht und damit auch die Menge der ber den Verbraucher vorliegenden Daten gesteigert werden auf die diese anderen Akteure Zugriff haben Die Erfassung und Nutzung der Daten deckt ein wesentlich breiteres Spektrum und wesentlich vielf ltigere Ver wendungszwecke ab als es bei herk mmlichen Messger ten ohne intelligente Funktionen der Fall ist die direkt allerdings relativ selten abgelesen werden Grunds tzlich zeichnet ein intelligentes Verbrauchsmessger t Werte auf welche den Energieverbrauch in einem Geb ude ausdr cken Dieser aufgezeichnete Wert kann zusammen mit anderen Informationen sp ter auch au erhalb des Geb udes weiter bermittelt werden Bei einigen Modellen wird er direkt an einen zentralen Kommunikationsknotenpunkt bermittelt wo die Daten der intelligenten Mess ger te verwaltet werden Dort k nnen VNB Versorger und Energiedienstleis tungsunternehmen ESCO auf die Daten zugreifen Die Einf hrung intelligenter Verbrauchsmessger te ist eine Grundvoraussetzung f r ein intelligentes Stromversorgungsnetz Beim so genannten Smart grid han delt es sich um ein intelligentes Elektrizit tsnetz in dem Informationen der Ver 58 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 braucher im Netz so kombiniert werden dass die Stromversorgung wirksamer und wirtschaftlicher geplant werden kann als es vor Einf hrung derartiger intel ligenter Netze
79. alit t und schwere grenz berschreitende Kriminalit t wer den als die in Artikel 2 Absatz 2 des Rahmenbeschlusses 2002 584 JI des Rates aufgef hrten strafbaren Handlungen definiert Die Datenschutzgruppe unter streicht wie wichtig konkrete Definitionen in diesem Bereich sind Allerdings ist die Definition von schwerer Kriminalit t sehr weit gefasst und wir bezweifeln die Notwendigkeit und Verh ltnism igkeit der Verwendung von PNR Daten bei ei nigen dieser Straftaten In diesem Zusammenhang k nnen die Mitgliedstaaten nach Erw gungsgrund 12 des Vorschlags nicht ganz so schwerwiegende Straftaten ausschlie en bei denen eine Verarbeitung von PNR Daten nicht verh ltnism ig w re wobei die Wahl jedoch den einzelnen Mitgliedstaaten berlassen bleibt Dies wird wahrscheinlich dazu f hren dass Straftaten in manchen Mitgliedstaaten einbezogen werden in anderen hingegen nicht Es ist nicht klar wer ber die Verh ltnism igkeit ent scheidet und ob diese Entscheidung der Kommission mitzuteilen ist die bei spielsweise f r eine einheitliche und korrekte Anwendung des Grundsatzes der Verh ltnism igkeit sorgen k nnte Die Bedenken der Datenschutzgruppe im Hinblick auf die m glicherweise zu breit gefasste Definition schwerer Kriminalit t betreffen auch die Bestimmungen der vorgeschlagenen Richtlinie zur Weitergabe von Daten an andere Beh rden innerhalb und au erhalb der EU 48 Datenschutz Dokumente der Artikel 29
80. an hat begr t und nachdr cklich unterst tzt Vor dem Hintergrund dass die Kommission im Laufe des Jahres 2011 einen Vor schlag f r einen neuen rechtlichen Rahmen zu unterbreiten beabsichtigt erinnert die Konferenz an die wichtigsten Herausforderungen die in diesem Rahmen zu meistern sind darunter Declaration on leadership and the future of data protection in Europe Erkl rung zur f hrenden Rolle und Zu kunft des Datenschutzes in Europa verabschiedet von der Konferenz der europ ischen Datenschutzbeauftragten am 23 24 April 2009 Resolution on future development of data protection and privacy Entschlie ung zur k nftigen Entwicklung von Datenschutz und Privatsph re verabschiedet von der Konferenz der europ ischen Datenschutzbeauftragten am 30 April 2010 in Prag N 39 Datenschutz Entschlie ung der Europ ischen DSB Konferenz e die Konsequenzen der Globalisierung und des grenz berschreitenden Ver kehrs personenbezogener Daten e die technologische Entwicklung insbesondere in der Online Welt e die Bedeutung eines wirksamen Schutzes in den Bereichen Polizei und Jus tiz auch angesichts der Tendenz personenbezogene Daten des privaten Sektors in systematischer Weise f r Strafverfolgungszwecke wiederzuver wenden betont dass Artikel 8 Absatz 1 der Charta der Grundrechte und Artikel 16 des Vertrags ber die Arbeitsweise der Europ ischen Union ohne Ansehen der Per son oder der Verh ltnisse Folg
81. and Luxemburg dem Vereinigten K nigreich und m g licherweise auch Frankreich oder die nationalen Regulierungsbeh rden f r elektronische Kommunikation Schweden und Finnland In anderen F llen wird die Zust ndigkeit geteilt Deutschland In den meisten Mitgliedstaaten entsprechen die Vorschriften ber die As pekte die in den Leitlinien zu regeln sind denen der Datenschutzrichtlinie f r elektronische Kommunikation In einigen F llen werden jedoch wei tere Aspekte erfasst Dies ist in Estland der Fall die nationale Daten schutzbeh rde kann Ausnahmen von der Verpflichtung zur Benachrichti gung festlegen und m glicherweise in Frankreich In einigen F llen scheint der Umfang der Leitlinien noch unbestimmt zu sein Italien und in einigen F llen scheint er eingeschr nkter zu sein als in der Richtlinie Die meisten zust ndigen Beh rden haben bislang noch keine Leitlinien entwickelt Einige zust ndige Beh rden verf gten jedoch bereits ber be w hrte Verfahren oder Leitlinien wie im Vereinigten K nigreich in Ir land und Deutschland IV ZUK NFTIGE MASSNAHMEN DIE VON DEN ZUST NDIGEN NATIONALEN BEH RDEN UND DER ARTIKEL 29 ARBEITS GRUPPE DURCHZUF HREN SIND 19 Die Bestandsaufnahme hat gezeigt dass das Problembewusstsein und der Stand der Umsetzung der Benachrichtigungsverfahren im Fall einer Verlet zung des Schutzes personenbezogener Daten von Land zu Land noch sehr 8 Nach dem derzeitigen Stand der noch n
82. angemerkt werden dass es in dem oben beschriebenen Kontext ein Kenn zeichen m glich macht den Nutzer eines spezifischen Endger ts ausfindig zu machen und R ckschl sse ber ihn zu ziehen selbst wenn sein wirklicher Name nicht bekannt ist 99 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Wi Fi Zugangspunkte Diese indirekte Identifizierbarkeit trifft auch auf Wi Fi Zugangspunkte zu Die MAC Adresse eines Wi Fi Zugangspunktes in Verbindung mit seinem berechne ten Standort ist untrennbar verbunden mit dem Standort des Inhabers dieses Zu gangspunktes Basierend auf der Signalst rke und den st ndigen Aktualisierungen des Standor tes durch die Nutzer seines Geolokalisierungsdienstes kann ein vern nftig ausge statteter f r die Verarbeitung Verantwortlicher einen in zunehmendem Ma e ge nauen Standort eines Wi Fi Zugangspunktes berechnen Mit Hilfe dieser Mittel kann h ufig eine kleine Gruppe von Wohnungen oder H usern identifiziert werden in denen der Inhaber eines Zugangspunktes lebt Wie leicht es ist diesen Inhaber mit Hilfe der MAC Adresse zu identifizieren h ngt von der Umgebung ab e In d nn besiedelten Gebieten in denen die MAC Adresse auf ein einziges Haus hinweist kann der Inhaber des Hauses direkt mit Hilfe von Grundb chern Telefonb chern W hlerverzeichnissen oder sogar anhand einer einfa chen Suchmaschinenabfrage bestimmt werden e In dichter besiedelten Gebieten ist es m
83. arlaments ihre Bedenken in Bezug auf PNR Fragen mehrfach wiederholt Diese Stellungnahme richtet sich an die an der Er rterung und Erarbeitung des j ngsten Vorschlags Beteiligten insbesondere die Kommission die Arbeits gruppe GENVAL des Rates und das Europ ische Parlament 2 Notwendigkeit und Verh ltnism igkeit Dem Vorschlag von 2011 ist eine Folgenabsch tzung beigef gt in der die Beweg gr nde f r den Vorschlag und sein Inhalt n her erl utert werden Die Daten schutzgruppe ist der Auffassung dass der Kampf gegen Terrorismus und organi sierte Kriminalit t notwendig und legitim ist und personenbezogene Daten ins besondere bestimmte Fluggastdaten zur Absch tzung der Risiken sowie Verh tung und Bek mpfung von Terrorismus und organisierter Kriminalit t von Wert sein k nnen Allerdings muss im Falle eines EU PNR Systems die Einschr n kung von Grundrechten und freiheiten sorgf ltig begr ndet und ihre Notwendig keit eindeutig nachgewiesen werden um ein ausgewogenes Verh ltnis zwischen dem gebotenen Schutz der ffentlichen Sicherheit und der Einschr nkung der Privatsph re wahren zu k nnen Die Datenschutzgruppe hat die Notwendigkeit und Verh ltnism igkeit von PNR Systemen stets in Frage gestellt und bezweifelt sie auch in Bezug auf den Vorschlag von 2011 Wir begr en zwar die in der Folgenabsch tzung enthaltenen zus tzlichen Einzelheiten meinen aber dennoch dass sie keine angemessene Be urteilung der
84. atenschutzrichtlinie f r elektronische Kommunikation ist der 25 Mai 2011 Derzeit befinden sich die Mitgliedstaaten in denen ffentliche Konsultationen durchgef hrt wer den in der Minderheit Die meisten Mitgliedstaaten haben erste Entw rfe ausgearbeitet die wenigsten dieser Entw rfe haben allerdings den Stand von Gesetzesvorhaben erreicht Bislang scheint noch kein Mitgliedstaat Rechts vorschriften erlassen zu haben Im Prinzip bedeutet das dass die Umsetzungsanstrengungen noch nicht sehr weit gediehen sind Leider scheint es einer gro en Anzahl von Mitgliedstaa ten nicht m glich zu sein die Frist einzuhalten Gemeinsame Kernelemente Die Informationen die die Datenschutzbeh r den zu der Situation in den jeweiligen Mitgliedstaaten gesammelt haben deuten darauf hin dass sich die meisten Mitgliedstaaten bei der Umsetzung der Datenschutzrichtlinie f r elektronische Kommunikation sehr eng an den Wortlaut der Richtlinie halten Im Einzelnen a Definitionen Die meisten Mitgliedstaaten scheinen die Definitionen aus der Datenschutzrichtlinie f r elektronische Kommunikation bernommen zu haben b Kriterien f r die Benachrichtigung von Einzelpersonen Die meisten Mitgliedstaaten scheinen die Kriterien bernommen zu haben Einige Mitgliedstaaten haben jedoch nderungen eingef gt Die Tschechische Republik schl gt beispielsweise vor schwerwiegenden hinzuzuf gen Schweden hat vorgeschlagen eine Benachrichtigung verpfl
85. atischen Gesellschaft notwendig ist und nur unter Wahrung des Grundsat zes der Verh ltnism igkeit vorgenommen werden darf Die Tatsache dass der Vorschlag auf die Verh tung von Terrorismus und schwerer Kriminalit t abzielt bedeutet nicht unbedingt dass er diese Anforderungen erf llt Der Nachweis der Notwendigkeit und Verh ltnism igkeit steht jedenfalls noch aus In dem von der Kommission selbst gegebenen berblick ber Informationsmanagementsysteme hei t es Notwendigkeit Die Beeintr chtigung des Rechtes einer Person auf ihre Privatsph re durch eine staatliche Beh rde kann im Interesse der nationalen oder ffentlichen Si cherheit oder der Kriminalit tsvorbeugung notwendig sein Der Europ ische Gerichtshof f r Menschenrechte hat drei Bedingungen herausgearbeitet unter denen solche Beeintr chtigungen gerechtfertigt sein k nnen Der Eingriff muss rechtm ig sein mit ihm muss ein legitimes Ziel verfolgt werden und er muss in einer demokratischen Gesellschaft notwendig sein Ein Eingriff in das Recht auf Privatsph re gilt dann als notwendig wenn er einem zwingenden ge sellschaftlichen Erfordernis entspricht wenn er im Vergleich zu dem verfolg ten Ziel verh ltnism ig ist und wenn die staatlichen Beh rde den Eingriff ausreichend begr ndet Bei allen k nftigen Vorschl gen in diesem Bereich wird die Kommission die erwarteten Auswirkungen auf die Rechte des Einzel nen auf Privatsph re und auf d
86. aus freien St cken erteilt und damit auch widerrufen werden k nnen muss d h in den Verfah ren zur Einholung der Einwilligung ist die M glichkeit vorzusehen dass die be troffene Person ohne unverh ltnism igen Aufwand ihre Meinung ndern kann Eine m gliche L sung w re beispielsweise dass die Einwilligung an der Mess ger tekonsole im Haushalt per Druckknopf erteilt werden kann Die Verf g barkeit einer entsprechenden Funktion ist vom konstruktiven Entwicklungsstand des Messger ts und der Messger tekonsole abh ngig damit gew hrleistet ist dass das Einwilligungsverfahren seine G ltigkeit beh lt Vertrag Die Verarbeitung von Daten ist gegebenenfalls auch notwendig um einen Vertrag erf llen zu k nnen bei dem die betroffene Person Vertragspartei ist oder um auf 64 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Aufforderung der betroffenen Person vor Vertragsabschluss bestimmte Ma nah men einleiten zu k nnen Diese Rechtsgrundlage k nnte zur Legitimierung der Verarbeitung personenbezogener Daten f r die Rechnungserstellung dienen da ohne ordnungsgem erstellte Rechnung der Vertrag ber die Energieversorgung nicht erf llt werden kann Hinsichtlich der Rechnungserstellung ist der Faktor der Erforderlichkeit in die ser Voraussetzung zu beachten Anders ausgedr ckt wenn der Grund f r die Ver arbeitung von Daten in der Erf llung eines Vertrags besteht bei dem lediglich
87. bene und in vielen L ndern Deshalb appelliert die Konferenz an die Gesetzgeber in Bund und L ndern diese Regelungsdefizite zu beseitigen und fl chendeckend allgemeine Regelungen f r den Informationszugang zu schaffen und die Ombudsfunktionen der Informa tionsfreiheitsbeauftragten f r Verbraucher Umwelt und sonstige Informationen in Bund und L ndern gesetzlich zu regeln 138 Informationsfreiheit Entschlie ungen der IFK 2 Entschlie ung der 23 Konferenz am 28 November 2011 in Berlin Informationsfreiheit ins Grundgesetz und in die Landesverfassungen Demokratie und Rechtsstaat k nnen sich nur dort wirklich entfalten wo auch die Entscheidungsgrundlagen staatlichen Handelns offen gelegt werden Bund und L nder m ssen ihre Bem hungen weiter verst rken f r mehr Transparenz staat lichen Handelns zu sorgen Eine verfassungsrechtliche Verankerung der Informa tionsfreiheit ist geboten Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland tritt daf r ein den Anspruch auf freien Zugang zu amtlichen Informationen in das Grund gesetz und die Landesverfassungen soweit noch nicht geschehen aufzuneh men Staatliche Stellen m ssen die ihnen vorliegenden Informationen grunds tz lich ffentlich zug nglich machen 139 II Live bertragung der Sitzungen der Bezirksverordneten versammlung BVV via Internet I Sachverhalt Im Zusammenhang mit der Anfrage des Gesch ftsordnungsauss
88. ber hinaus direkt oder indirekt R ckschl sse auf das Fahrerverhalten zu z B Brems ldruck zu Beginn und Ende des Bremsvorgangs Geschwindigkeit Bremsverhalten Motordreh zahl Gaslast Verwendung oder Nichtverwendung von Sicherheitsgurten Es handelt sich somit um personenbezogene Daten des Fahrers und ggf auch der Passagiere z B hinsichtlich der Daten ber die Benutzung des Sicher heitsgurtes EDR in Verbindung mit anderen On Board Systemen 9 10 Im Rahmen vertraglicher Vereinbarungen mit Mobilfunkanbietern sind die EDRs mit den im Fahrzeug verbauten Kommunikationssystemen verbunden die im Falle eines entsprechenden Vorfalls die relevanten Informationen an bestimmte Empfangsstationen bermitteln Die bermittlung erfolgt durch ein Unfallerkennungssystem oder eingebautes Notrufsystem das zu die sem Zweck automatisch oder auch manuell aktiviert wird In den USA und der EU wurden bereits Initiativen ins Leben gerufen die den Einbau dieser Systeme und die Einf hrung allgemeiner technischer Standards in den ver schiedenen Transportsektoren bef rdern sollen Um mehr Beweismaterial zu einem Unfall zu erhalten operieren EDRs ver einzelt auch mit eingebauten Videokameras sog Video Event Data Recor Die US National Highway Traffic Safety Administration NHTSA hat im August 2006 entschieden dass Hersteller nicht verpflichtet sind EDRs in Neufahrzeuge einzubauen Dennoch verlangt die NHTSA von den Herstell
89. besondere International Standards on the Protection of Personal data and privacy Internationale Standards zum Schutz von personenbezogenen Daten und Privatsph re verabschiedet am 5 November 2009 in Madrid auf der 31 Internationalen Konferenz der Datenschutzbeauftragten Resolution calling for the organisation of an intergovernmental conference with a view to developing a binding international instrument on privacy and the protection of personal data Entschlie ung f r einen Aufruf zur Veranstaltung einer Regierungskonferenz auf der ein verbindliches internationales Instrument zur Privat sph re und zum Schutz personenbezogener Daten entwickelt werden soll verabschiedet am 29 Oktober 2010 in Jerusalem auf der 32 Internationalen Konferenz der Datenschutzbeauftragten 41 IV Dokumente der Europ ischen Union Artikel 29 Datenschutzgruppe Stellungnahme 10 2011 zu dem Vorschlag f r eine Richtlinie des Europ i schen Parlaments und des Rates ber die Verwendung von Fluggastdaten s tzen zu Zwecken der Verh tung Aufdeckung Aufkl rung und strafrecht lichen Verfolgung von terroristischen Straftaten und schwerer Kriminalit t WP 181 Angenommen am 5 April 2011 Die Gruppe f r den Schutz von Personen bei der Verarbeitung personenbezoge ner Daten eingesetzt durch die Richtlinie 95 46 EG des Europ ischen Parlaments und des Rates vom 24 Oktober 1995 gest tzt auf Artikel 29 sowie auf Artikel 30 Absatz 1 Buch
90. cherweise bereits in der Einladung zur Sitzung abgedruckt sein Entsprechend sind auch die Zuschauer der Sitzung auf die bertragung hinzu weisen Es sollte daher zumindest ein Aushang vor dem Sitzungssaal angebracht werden sodass ein Zuschauer seine Einwilligung bei Betreten konkludent er kl rt In technischer Hinsicht sollte die Kameraperspektive feststehend sein Die Ka mera sollte lediglich auf das Rednerpult gerichtet sein Keinesfalls sollten Bilder aus dem Zuschauerraum bertragen werden auch eine bertragung der zuh ren den anderen Bezirksversammlungsmitglieder sollte unterbleiben Den Verordne ten sollte vor der ersten bertragung das Bild der bertragungen vorgef hrt wer den sodass die Redner und Zuh rer einsch tzen k nnen welcher sichtbare Be reich ins Internet gestreamt wird Es ist zu erw gen ob nicht ber die Einstellungen zur Bildaufl sung und der Bildwechselfrequenz fps Anzahl der Bilder pro Sekunde ein wirksamer techni scher Datenschutz erreicht werden kann Es erscheint nicht notwendig einen hochaufl senden fl ssigen Film von der Sitzung zu bertragen bei dem jede Nuance und jedes visuelle Detail erkennbar ist wenn die Zwecke Transparenz B rgern he und Herstellung der ffentlichkeit auch durch ein verpixeltes Bild erreicht werden k nnen Technisch kaum zu verhindern ist die M glichkeit dass die gestreamten bertra gungen gespeichert werden k nnen Den besten Schutz verspricht daher d
91. cht Produkte die Na nomaterial enthalten zu kennzeichnen Erst 2013 wird eine solche Pflicht f r Kosmetika bestehen F r Lebensmittel wird die Kennzeichnungspflicht noch dis kutiert Zugleich stellt die Nano Kommission der Bundesregierung in ihrem Aktionsplan Nanotechnologie 2015 fest fehlen vielfach grundlegende Kennt nisse ber die Risiken bei der Exposition mit Nanomaterialien Die Informationsfreiheitsbeauftragten in Deutschland fordern die Bundesregie rung auf sich bei den Diskussionen und Verhandlungen auf europ ischer Ebene daf r einzusetzen dass B rgerinnen und B rgern ein direkter Zugang zu Infor 137 Informationsfreiheit Entschlie ungen der IFK mationen ber Nanotechnologie in Produkten erm glicht wird Deshalb ist es notwendig dass auch B rgerinnen und B rger Zugang insbesondere zu dem auf europ ischer Ebene diskutierten Nanoproduktregister erhalten Beim Einsatz neuer Technologien muss verst rkt auf Aufkl rung Transparenz und Einbindung der Menschen gesetzt werden Informationsfreiheit L cken schlie en Der Gedanke der Transparenz staatlichen Handelns ist beim Bund und den meis ten L ndern seit einigen Jahren angekommen wie die Informationsfreiheitsge setze von Brandenburg 1998 der meisten anderen L nder und auch das Infor mationsfreiheitsgesetz des Bundes 2005 zeigen Vor diesem Hintergrund begr t die Konferenz der Informationsfreiheitsbeauf tragten die Absicht der neu
92. cht aus Es gibt gen gend Mittel sowohl On line als auch Offline mit Hilfe derer die Allgemeinheit informiert werden kann 5 5 Die Rechte der betroffenen Personen Die betroffenen Personen haben das Recht von den verschiedenen f r die Verar beitung Verantwortlichen Zugang zu den Standortdaten zu erhalten die diese von 109 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 den intelligenten mobilen Endger ten erhoben haben Sie haben auch ein Recht auf Informationen bez glich der Zweckbestimmungen der Verarbeitung und der Empf nger oder Kategorien von Empf ngern an die die Daten weitergegeben werden Die Information muss in einem Format erteilt werden das von Menschen gelesen werden kann Das hei t es muss ein geografischer Standort genannt wer den und nicht abstrakte Zahlen beispielsweise der Basisstationen Die betroffenen Personen haben auch ein Zugangsrecht zu den m glichen Profi len die aufgrund dieser Standortdaten erstellt wurden Wenn Standortdaten ge speichert werden sollte es den Nutzern erm glicht werden diese zu aktualisie ren zu berichtigen oder zu l schen Die Datenschutzgruppe empfiehlt dass die f r die Verarbeitung Verantwortlichen sichere Wege suchen mit denen Online ein direkter Zugang zu Standortdaten und m glichen Profilen bereitgestellt werden kann Es ist unabdingbar dass ein sol cher Zugang erm glicht wird ohne weitere personenbezogene Daten zur ber pr fung der Ide
93. chts der Tatsache dass es unwahrscheinlich ist dass der f r die Verarbeitung Verantwortliche dazu in der Lage ist zwischen F llen zu unterschieden in denen der Inhaber eines Wi Fi Zugangspunktes iden tifizierbar ist und solchen in denen er es nicht ist sollte der f r die Verarbeitung Verantwortliche alle Daten ber Wi Fi Router als personenbezogene Daten be handeln Es muss daran erinnert werden dass der Zweck der Verarbeitung dieser Geoloka lisierungsdaten nicht die Identifizierung der Nutzer sein muss Ob es ohne un verh ltnism igen Aufwand m glich ist die Inhaber von Wi Fi Zugangspunkten zu ermitteln h ngt stark von den technischen M glichkeiten des f r die Verar beitung Verantwortlichen oder jeder sonstigen Person ab die die Inhaber ermit teln m chte 5 Verpflichtungen aus Datenschutzgesetzen 5 1 F r die Verarbeitung der Daten Verantwortliche Im Zusammenhang mit Geolokalisierungsdiensten die von Diensten der Infor mationsgesellschaft bereitgestellt werden k nnen drei Funktionsbereiche mit unterschiedlichen Verantwortlichkeiten in Bezug auf die Verarbeitung personen bezogener Daten unterschieden werden Diese sind der f r die Verarbeitung einer Infrastruktur f r die Geolokalisierung Verantwortliche der Anbieter einer be stimmten Anwendung oder eines bestimmten Dienstes zur Geolokalisierung und der Entwickler des Betriebssystems eines intelligenten mobilen Endger ts In der Praxis bernehmen Unternehmen h
94. chusses der BVV Treptow K penick an die Datenschutzbeauftragte des Bezirksamtes kam die Frage auf warum gegen die Live bertragung der Sitzungen der BVV Bedenken bestehen w hrend die Plenarsitzungen des Berliner Abgeordnetenhauses ber tragen werden I Rechtliche Bewertung Die Unterschiede in der Bewertung der bertragungen sind grunds tzlich den kommunal und verfassungsrechtlichen Unterschieden zwischen der Bezirksver ordnetenversammlung und dem Abgeordnetenhaus geschuldet 1 Live bertragungen aus dem Abgeordnetenhaus Die Zul ssigkeit der Live Berichterstattung aus dem Parlament wird aus Art 42 Abs 3 VvB gefolgert wonach Verhandlungen des Abgeordnetenhauses ffent lich sind Das Abgeordnetenhaus ist das Landesparlament des Landes Berlin gem Art 38 Abs 1 VvB In Anlehnung an Art 42 Abs 1 Satz 1 GG werden aus dem ffent lichkeitsgebot die Sitzungs ffentlichkeit und die Berichterstattungs ffentlichkeit abgeleitet Unter Beachtung des Wandels der Mediennutzung wird davon ausge gangen dass erst durch den Zugang der Massenmedien zu den Sitzungen die f r die Kontrolle der Abgeordneten und der Regierung notwendige ffentlichkeit hergestellt wird Die ffentlichkeit der Sitzungen stellt somit die Transparenz des legislativen Handelns sicher Sie dient dar ber hinaus im Hinblick auf die Ar tikulations und ffentlichkeitsfunktion des Parlaments der politischen Willens bildung und schlie lich hat sie Bedeutung
95. d das Ergebnis eines Interessenaus gleichs einerseits bieten die Kriterien die die Pflicht zur Benachrichtigung von Einzelpersonen ausl sen grunds tzlich einen angemessenen Schutz an dererseits stellen sie keine berzogenen oder unn tigen Anforderungen Letztendlich ndert sich nichts an dem Sachverhalt der Verletzung personen bezogener Daten ob nun der f r die Verarbeitung der Daten Verantwortliche ein Transportunternehmen eine Bank ein Unternehmen oder eine Stelle des ffentlichen Sektors ist Die Vorschriften m ssen also dieselben sein wenn die Bedingungen f r alle gleich sein sollen Dieser Ansatz scheint durch die Aussage der Kommission in der Mitteilung Gesamtkonzept f r den Daten schutz in der Europ ischen Union best tigt zu werden wonach es auch f r diese Aspekte eines konsequenten koh renten Ansatzes bedarf w h rend gleichzeitig gesagt wird dass die Datenschutzrichtlinie f r elektroni sche Kommunikation nicht in die Pr fung einbezogen wird bertragene Befugnisse Durchf hrungsma nahmen 33 36 a 37 Viele Mitgliedstaaten beziehen sich auf die Vorschrift in der Datenschutz richtlinie f r elektronische Kommunikation die es ihren zust ndigen natio nalen Beh rden erlaubt Leitlinien f r die Umst nde das Format und die Ver fahren vorzugeben die auf die Informations und Benachrichtigungspflicht anzuwenden sind Das sind auch die Aspekte die die Kommission mit Hilfe vo
96. d wie sie ausgestaltet sein m sste 16 Schulze Fielitz in Dreier GG Band II Art 46 Rn 8 Driehaus VvB Art 51 Rn 2 147 Informationsfreiheit Live bertragung der BVV Sitzungen IV Zul ssigkeit der Live bertragung Anders als das Abgeordnetenhaus unterliegt die BVV als Teil der Exekutive dem Anwendungsbereich des Berliner Datenschutzgesetzes vgl 1 2 BInDSG Die geplante bermittlung personenbezogener Daten ist gem 6 Abs 1 Satz 1 BInDSG nur zul ssig wenn das BInDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat Die Direkt bertragung der ffentlichen BV V Sitzung stellt eine bermittlung im Sinne einer Bekanntgabe an Dritte dar wobei die potentiellen Empf nger des Internetstreams eine unbestimmte Anzahl an Personen sind die sich r umlich berall auf der Welt befinden k nnen Das BInDSG ist anwendbar da die BVV als Teil der Berliner Verwaltung eine ffentliche Stelle i S d 2 Abs 1 BInDSG ist Die Beitr ge der Redner stellen Einzelangaben ber ihre eigene Person dar Sofern inhaltlich andere Personen betroffen sind handelt es sich auch diesbez g lich um personenbezogene Daten Desweiteren stellen auch die Bilder der Web cam personenbezogene Daten dar Neben den Verordneten selbst k nnen auch ge ladene G ste Bezirksamtsmitglieder oder Besucher der Sitzung betroffen sein Ein expliziter Erlaubnistatbestand f r ein solches Streaming liegt nicht vor Die
97. den k nnte aber keinesfalls ein genereller Vorrang dieses Interesses vor dem Informationsinteresse der ffentlichkeit gege ben sei Dieser neueren Entwicklung l sst sich jedenfalls entnehmen dass ein Ersuchen eines Rundfunkveranstalters die Sitzungen zu bertragen nur unter gr erem Begr ndungsaufwand im Einzelfall abgelehnt werden k nnte Des Weiteren hat die vorgenommene Abw gung des OVG gezeigt dass die Organwalter in den Selbstverwaltungsgremien hnlich den Abgeordneten der Parlamente in ihrer po litischen ffentlichen Funktion t tig werden und ein Verweis auf die ehrenamtlich bernommene Aufgabe nicht geeignet ist ein grunds tzlich h heres Schutzni veau f r das allgemeine Pers nlichkeitsrecht anzunehmen als dies bei Berufspo litikern der Fall ist Allerdings hat das OVG auch die M glichkeit gesehen dass Rundfunkveranstalter zum Schutz der Rechte einzelner Gremienmitglieder nur mit der Ma gabe zugelassen werden dass sie die betreffenden Gremienmitglie der nicht in Bild oder Ton aufnehmen 3 Praktische Hinweise Sollte die Live bertragung im Internet auf Veranlassung der BVV zuk nftig stattfinden gilt es folgende praktische Hinweise zu bedenken und ggf umzuset zen 150 Informationsfreiheit Live bertragung der BVV Sitzungen Sachverst ndige und Bezirksamtsmitarbeiter die der Sitzung beiwohnen m s sen um ihre Einwilligung gebeten werden Der Hinweis auf die bertragung sollte daher praktis
98. der ob sein Zweck darin besteht Antworten auf die Fragen zu finden Wo bist du wo warst du und wo wirst du n chste Woche sein Anders ausgedr ckt Der f r die Verarbeitung Verantwortliche muss besondere Aufmerk samkeit auf die Einwilligung f r die Zwecke richten die die betroffene Person nicht erwartet wie beispielsweise das Erstellen von Profilen und oder Behaviou ral Targeting Wenn sich der Zweck der Verarbeitung grundlegend ndert muss der f r die Ver arbeitung Verantwortliche erneut die Einwilligung f r den konkreten Fall einho len Wenn ein Unternehmen beispielsweise urspr nglich angegeben hat es w rde personenbezogene Daten Dritten nicht mitteilen dies aber jetzt tun m chte muss es die aktive vorherige Einwilligung jedes Kunden einholen Eine ausbleibende Antwort oder eine andere Art von Opt out Szenario reicht nicht aus Es muss unterschieden werden zwischen der Einwilligung in einen einmaligen Dienst und in ein regelm iges Abonnement Um beispielsweise einen bestimm ten Dienst zur Geolokalisierung zu nutzen kann es m glicherweise erforderlich sein diesen Dienst an dem Ger t oder in dem Browser einzustellen Wenn die Geolokalisierungsfunktion auf an steht kann jede Website die Standortdetails des Nutzers des betreffenden intelligenten mobilen Endger tes lesen Um die Ri siken einer geheimen berwachung zu verhindern ist die Artikel 29 Daten schutzgruppe der Ansicht dass das Ger t st ndig warne
99. des D sseldorfer Kreises len Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugins er hebt Wenn sie die ber ein Plugins m gliche Datenverarbeitung nicht berbli cken d rfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden 38 HI Europ ische Konferenz der Datenschutzbeauftragten Br ssel 5 April 2011 Entschlie ung ber die Notwendigkeit eines umfassenden Rahmens f r den Datenschutz Die europ ischen Datenschutzbeh rden hatten bereits fr her auf ihrer Fr hlings konferenz in Edinburgh 2009 eine Erkl rung abgegeben in der sie ihre Absicht bekundeten sich an der Debatte ber die Notwendigkeit hoher Standards f r den Datenschutz in allen Lebensbereichen darunter sich entwickelnde Technolo gien Online Welt und Strafverfolgung aktiv zu beteiligen und diese Standards zu f rdern Die in der Erkl rung zum Ausdruck gebrachte Bereitschaft eine f hrende Rolle zu bernehmen wurde auf der Fr hlingskonferenz 2010 in Prag bekr ftigt Ins besondere beharrten die Datenschutzbeauftragten darauf dass in einer globalen Umwelt f r eine wirksame und koh rente Umsetzung der Grundrechte gesorgt werden muss Von der Br sseler Fr hlingskonferenz wird der Umstand dass die Europ ische Kommission jetzt mit ihrer Mitteilung 2010 609 vom 4 November 2010 einen ersten konkreten Schritt hin zu einem Gesamtkonzept f r den Datenschutz in der Europ ischen Union get
100. die Datenverarbeitung Verant wortlichen Die Datenschutzgruppe geht davon aus dass intelligente Verbrauchsmessger te eine lange Lebensdauer erreichen werden und weist daher darauf hin dass die Datenschutzma nahmen im Laufe der Zeit aktualisiert und optimiert und regel m ig berpr ft und getestet werden m ssen Angesichts der zunehmenden Mengen an personenbezogenen Daten die ver arbeitet werden nimmt offenkundig auch das Risiko f r den Schutz der Daten zu Daher empfiehlt die Datenschutzgruppe dass die technischen und organisa torischen Schutzma nahmen zumindest die folgenden Bereiche abdecken soll ten e vorbeugende Ma nahmen gegen die unbefugte Offenlegung personenbezoge ner Daten e Aufrechterhaltung der Datenintegrit t als Schutz gegen unbefugte Ver nde rungen der Daten e wirksame Authentifizierung der Identit t aller Empf nger personenbezogener Daten e Unterbrechungen wichtiger Dienste durch Angriffe auf die Sicherheit perso nenbezogener Daten sind zu vermeiden 70 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 e Vorkehrungen f r die Durchf hrung sachgem er Pr fungen personenbezoge ner Daten die auf einem Z hler gespeichert sind oder von diesem bertragen werden e Angemessene Zugangskontrollen und Speicherungszeitr ume e Aggregierung von Daten wenn Daten auf Einzelebene nicht ben tigt wer den Individuelle Rechte einschlie lich der an betroffene Persone
101. die Erhebung und Verarbeitung von SSIDs f r das Anbieten von Geolokalisierungsdiensten nicht erforderlich Deshalb geht die Erhebung und Verarbeitung von SSIDs ber den Zweck des Anbietens von Geolokalisie rungsdiensten hinaus die auf dem Kartografieren des Standortes von Wi Fi Zu gangspunkten basieren 5 4 Information Die verschiedenen f r die Verarbeitung Verantwortlichen m ssen sicherstellen dass die Inhaber der intelligenten mobilen Endger te gem Artikel 10 der Da tenschutzrichtlinie angemessen ber die Schl sselelemente der Verarbeitung in formiert werden Dazu z hlen beispielsweise die Identit t des f r die Verarbei tung Verantwortlichen die Zweckbestimmung der Verarbeitung die Art Daten die Dauer der Verarbeitung das Vorliegen von Auskunfts Berichtigungs und L schungsrechten der betroffenen Personen sowie ihr Recht die Einwilligung zur ckzuziehen 15 Folgendes ist ein m glicher Anwendungsfall 1 Eine betroffene Person geht auf eine spezielle Website ber die sie die MAC Adresse ihres Wi Fi Zugangs punktes eingeben kann 2 Wenn die MAC Adresse in der Datenbank mit den kartografierten Wi Fi Zugangspunktenerscheint kann der f r die Verarbeitung Verantwortliche eine berpr fungsseite zeigen die ein Skript enth lt das nach der ARP Tabelle des Internetger ts fragt Theoretisch k nnen die WLAN MAC Adressen ber den Befehl ARP a ge zeigt werden Mit Hilfe des Codes in dem Browser wie Java kann
102. direkt identifiziert werden kann insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder meh reren spezifischen Elementen die Ausdruck ihrer physischen physiologischen psychischen wirtschaftlichen kul turellen oder sozialen Identit t sind 77 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 ten Die Datenschutzrichtlinie f r elektronische Kommunikation schreibt die Benachrichtigung von Personen im folgenden Fall vor Ist anzuneh men dass durch die Verletzung personenbezogener Daten die personenbe zogenen Daten oder Teilnehmer oder Personen in ihrer Privatsph re be eintr chtigt werden Alle Datenschutzverletzungen sind den Beh rden zu melden Inhalt und Zeitpunkt der Benachrichtigung Der Zeitpunkt der Benach richtigung von Personen ist gem Artikel 4 Absatz 3 Unterabs tze 1 und 2 unverz glich In der Benachrichtigung sind die Art der Verletzung des Schutzes personenbezogener Daten die Kontaktstellen und die Ma nahmen zur Begrenzung der m glichen nachteiligen Auswirkungen aufzu f hren In der Benachrichtigung an die zust ndige nationale Beh rde m s sen auch die von dem Betreiber infolge der Verletzung ergriffenen Ma nahmen dargelegt werden M gliche Ausnahmen im Zusammenhang mit technischen Schutzma nah men Artikel 4 Absatz 3 Unterabsatz 3 und mit der Strafverfolgung Auch wenn dieser Rahmen harmonisierte Vorschriften in der ganzen EU si
103. e gemeint zu sein Mit Aktivit t 3 Zweck 2 scheint 47 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 ein Abgleich von PNR Daten mit Profilen f r bestimmte Straftaten und mit Akti vit t 4 Zweck 2 die Verwendung von PNR Daten zur Entwicklung dieser Pro file gemeint zu sein Ein Grundprinzip des Datenschutzes besteht darin dass die Ziele und Aktivit ten klar definiert sein m ssen Die relevanten Datenbanken sollten ebenfalls ge nauer definiert werden m glicherweise indem sie in die Liste der zust ndigen Beh rden aufgenommen werden die jeder Mitgliedstaat an die Kommission zu bermitteln h tte In jedem Fall sollten die verwendeten Datenbanken diejenigen sein die f r dieselben Zwecke n mlich die Verh tung Aufdeckung Aufkl rung und strafrechtliche Verfolgung von terroristischen Straftaten und schwerer Kri minalit t eingerichtet worden sind Ferner m ssen in den Umsetzungsma nah men die Nutzungsbeschr nkungen dieser Datenbanken eindeutig festgelegt sein Die Datenschutzgruppe erinnert au erdem daran wie wichtig es ist dass alle von den Mitgliedstaaten zur Auswertung von Daten verwendeten Pr fkriterien spezi fisch notwendig und gerechtfertigt sind und regelm ig berpr ft werden 3 1 Begriffsbestimmungen In dem Vorschlag werden terroristische Straftaten als Straftaten im Sinne der Artikel 1 bis 4 des Rahmenbeschlusses 2002 475 JI des Rates definiert Schwere Krimin
104. eauftragten unterst tzt den Gesetzentwurf des Bundesrates zur nderung des Telemediengesetzes BT Drs 17 6765 als einen Schritt in die richtige Richtung Antiterrorgesetze zehn Jahre nach 9 11 berwachung ohne berblick In der Folge der Anschl ge vom 11 September 2001 wurden der Polizei den Strafverfolgungsbeh rden und den Nachrichtendiensten zahlreiche neue Befug nisse einger umt die sich durch eine gro e Streubreite auszeichnen und in die Grundrechte zahlreicher B rgerinnen und B rger eingreifen Zunehmend werden Menschen erfasst die nicht im Verdacht stehen eine Straftat begangen zu haben oder von denen keine konkrete Gefahr ausgeht Unbescholtene geraten so ver st rkt in das Visier der Beh rden und m ssen zum Teil weitergehende Ma nah men erdulden Wer sich im Umfeld von Verd chtigen bewegt kann bereits erfasst sein ohne von einem Terrorhintergrund oder Verdacht zu wissen oder in entspre chende Aktivit ten einbezogen zu sein Zunehmend werden Daten z B ber Flugpassagiere und Finanztransaktionen in das Ausland bermittelt ohne dass hinreichend gekl rt ist was mit diesen Daten anschlie end geschieht vgl dazu Entschlie ung der 67 Konferenz vom 25 26 M rz 2004 bermittlung von Flugpassagierdaten an die US Beh rden Entschlie ung der 78 Konferenz vom 8 9 Oktober 2009 Kein Ausverkauf von europ ischen Finanzdaten an die USA Das Bundesverfassungsgericht hat in seinem Urteil zur Vor
105. eben 2 Beschl sse der Sitzung am 4 5 Mai 2011 in D sseldorf Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis EDV Systemen an medizinische Netze Niedergelassene rztinnen und rzte sowie andere Angeh rige von Heilberufen bermitteln vielfach medizinische Daten an andere Stellen mithilfe von Netzwer ken Dies dient Abrechnungs Behandlungs und Dokumentationszwecken Seit dem 1 Januar 2011 m ssen beispielsweise an der vertrags rztlichen Versorgung teilnehmende rzte Abrechnungsdaten leitungsgebunden an die jeweilige Kas sen rztliche Vereinigung bermitteln 295 Abs 4 SGB V in Verbindung mit den Richtlinien der Kassen rztlichen Bundesvereinigung f r den Einsatz von IT Sys temen in der Arztpraxis zum Zweck der Abrechnung siehe http www kbv de rechtsquellen 24631 htm An medizinische Netze sind hohe Anforderungen hinsichtlich der Vertraulichkeit und Integrit t zu stellen denn sowohl in den Netzen selbst als auch auf den an geschlossenen Praxissystemen werden Daten verarbeitet die der rztlichen Schweigepflicht 203 StGB unterliegen Bei der Anbindung von Praxis EDV Systemen an medizinische Netze ist daher die Technische Anlage zu den Emp fehlungen zur rztlichen Schweigepflicht Datenschutz und Datenverarbeitung in der Arztpraxis der Bundes rztekammer und der Kassen rztlichen Bundesverei nigung siehe Deutsches rzteblatt Jg 105 Heft 19 vom 9 Mai 2008 zu beach ten
106. egangen von den Unternehmen umfangrei che Screenings von Mitarbeitern und gegebenenfalls Daten Dritter zu verlan gen Diese Screenings werden zum Teil in Abst nden von wenigen Wochen ohne konkreten Anlass und undifferenziert durchgef hrt In diesem Gesch ftsfeld be t tigen sich bereits spezialisierte Dienstleister die sich die bestehende Unsicher heit bei den Unternehmen zunutze machen Dies ist auch der Grund warum diese Screenings immer h ufiger durchgef hrt werden Nach den praktischen Erfah rungen der Aufsichtsbeh rden mangelt es an klaren Regelungen wie mit den Er gebnissen von Daten screenings umzugehen ist Treffermanagement Das 1 vgl Entschlie ung der 82 Konferenz der Datenschutzbeauftragten des Bundes und der L nder am 28 29 Sep tember 2011 in M nchen Anonymes elektronisches Bezahlen muss m glich bleiben 34 Datenschutz Beschl sse des D sseldorfer Kreises Bundesministerium der Finanzen hat zwar am 14 Juni 2010 anl sslich dieser Pra xis einschr nkende Vorgaben erlassen diese werden jedoch von den zust ndigen Zollbeh rden nicht einheitlich umgesetzt Der D sseldorfer Kreis h lt in seinem vorgenannten Beschluss derartige Screenings nur aufgrund einer speziellen Rechtsgrundlage f r zul ssig Eine solche Rechtsgrundlage fehlt Weder die geltenden EU Antiterrorverordnungen noch andere Sanktionslisten er f llen die Anforderungen an eine solche spezielle Rechtsgrundlage Diese Ver o
107. ehen sollte dann untersucht werden wie sie am besten geschlossen werden k nnen was nicht not wendigerweise mit der Einf hrung eines v llig neuen Systems verbunden sein muss Vielmehr k nnten die bestehenden Mechanismen weiter genutzt und ver bessert werden Falls die vorgeschlagene Richtlinie in Kraft tritt sollte sie geeignete und ange messene Datenschutzma nahmen und garantien enthalten Die Kommission 52 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 sollte au erdem pr fen ob bestehende Systeme wie die API Richtlinie aufgeho ben werden k nnen um Ma nahmen berschneidungen vermeiden Die Datenschutzgruppe wird die Entwicklungen weiterhin genau verfolgen und begr t jede Gelegenheit ihre Ansichten gegen ber den verschiedenen an die sem Vorschlag Beteiligten darzulegen und weiterzuentwickeln Sie wird au er dem weiterhin gegebenenfalls notwendige Stellungnahmen abgeben Br ssel den 5 April 2011 F r die Datenschutzgruppe Der Vorsitzende Jacob KOHNSTAMM 53 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Stellungnahme 12 2011 zur intelligenten Verbrauchsmessung Smart Metering WP 183 Angenommen am 4 April 2011 Die Gruppe f r den Schutz von Personenen bei der Verarbeitung personen bezogener Daten eingesetzt durch die Richtlinie 95 46 EG des Europ ischen Parlaments und des Rates vom 24 Oktober 1995 gest tzt auf Artikel 29 sowie auf A
108. eht vor dass die Mitgliedstaaten der Kommission innerhalb von zw lf Monaten nach dem Inkrafttreten der Richtlinie die Liste ihrer zust ndigen Beh rden bermitteln und diese Liste im Amtsblatt ver ffentlicht wird Die Da tenschutzgruppe unterst tzt der Transparenz dienende Ma nahmen die eindeutig aufzeigen wer befugt ist Daten zu empfangen und zu verarbeiten Allerdings sind die Rollen f r die Verarbeitung Verantwortliche Auftragsverarbeiter der zust ndigen Beh rden und PNR Zentralstellen nicht klar Die Datenschutzgruppe bekr ftigt ihre Bedenken hinsichtlich der weit gefassten Definition von schwerer Kriminalit t insbesondere in Bezug auf die Weitergabe von Daten sowohl innerhalb als auch au erhalb der EU 5l Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 8 berpr fung und Gegenseitigkeit Dem Vorschlag zufolge soll die Richtlinie innerhalb von vier Jahren nach ihrem Inkrafttreten berpr ft werden Innerhalb von zwei Jahren nach Inkrafttreten der Richtlinie soll im Rahmen einer besonderen berpr fung die Einbeziehung von Fl gen innerhalb der EU in den Anwendungsbereich der Richtlinie untersucht werden Die Datenschutzgruppe betont dass bei berpr fungen von EU Rechts vorschriften die Notwendigkeit und Wirksamkeit von Systemen anhand eindeuti ger Kriterien beurteilt werden m ssen Sie bekr ftigt au erdem die Bedeutung der Einbeziehung der nationalen Datenschutzbeh rden in jeden berpr
109. einem mobilen Endger t aufgesp rt werden kann und zu einem Dienst gesendet wird der f r jede eindeutige ID den Standort hat Die MAC Adresse Medium Access Control ist die eindeutige ID jedes Wi Fi Zugangspunktes Die Mac Adresse ist eine eindeutige einer Netzwerkschnitt stelle zugewiesene ID Sie ist blicherweise in der Hardware hinterlegt wie Spei cherchips und oder Netzwerkkarten in Computern Telefonen Laptops oder Zu gangspunkten Wi Fi Zugangspunkte k nnen als Quelle f r die Geolokalisierung herangezogen werden da sie ihre Verf gbarkeit st ndig anzeigen Die meisten Breitband Inter net Zugangspunkte verf gen standardm ig auch ber eine Wi Fi Antenne Die Standard Einstellung der am h ufigsten genutzten Zugangspunkte in Europa f r diese Verbindung ist an auch wenn der Nutzer seine n Computer nur mit Ka beln mit dem Zugangspunkt verbunden hat Gleich einem Radio sendet der Wi Fi Zugangspunkt selbst dann st ndig seinen Netzwerknamen und seine MAC Adresse wenn niemand die Verbindung nutzt und selbst wenn die Inhalte der drahtlosen Kommunikation mit WEP WPA oder WPA2 verschl sselt sind Es gibt zwei verschiedene Wege die MAC Adressen von Wi Fi Zugangspunkten zu sammeln N Um die Erkennung des ersten GPS Signals zu beschleunigen k nnen sogenannte Rainbow Tables mit den erwar teten Positionen der verschiedenen Satelliten in den n chsten Wochen vorgeladen werden Ein Beispiel f r eine MAC Adre
110. elektronische Kommunikation ausgeschlossen Artikel 2 Absatz c der ge nderten Rahmenrichtlinie unver n dert 8 Richtlinie 2002 21 EG vom 7 M rz 2002 Artikel 2 Buchstabe c elektronische Kommunikationsdienste ge w hnlich gegen Entgelt erbrachte Dienste die ganz oder berwiegend in der bertragung von Signalen ber elektronische Kommunikationsnetze bestehen einschlie lich Telekommunikations und bertragungsdienste in Rundfunknetzen jedoch ausgenommen Dienste die Inhalte ber elektronische Kommunikationsnetze und dienste anbieten oder eine redaktionelle Kontrolle ber sie aus ben nicht dazu geh ren die Dienste der Informationsge sellschaft im Sinne von Artikel 1 der Richtlinie 98 34 EG die nicht ganz oder berwiegend in der bertragung von Signalen ber elektronische Kommunikationsnetze bestehen 97 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Die Datenschutzrichtlinie f r elektronische Kommunikation findet keine An wendung auf die Verarbeitung von Standortdaten durch Dienste der Informa tionsgesellschaft selbst wenn eine solche Verarbeitung ber ein ffentliches elektronisches Kommunikationsnetz erfolgt Ein Nutzer kann sich entscheiden GPS Daten ber das Internet zu bermitteln zum Beispiel wenn er Navigations dienste des Internets nutzt In diesem Fall wird das GPS Signal unabh ngig von dem GSM Netzwerk in die Anwendungsebene der Internetkommunikation bertragen Der Anbiet
111. elfen bestimmte Ergebnisse zur Kenntnis zu nehmen Sie wurden darauf auf merksam gemacht dass Folgema nahmen erforderlich sind die in dem vorlie genden Arbeitsdokument beschrieben sind Ein Ergebnis der Bestandsauf nahme ist dass die zust ndigen Beh rden weiter darauf hinwirken sollten dass interne Regeln und Verfahren festgelegt werden nach denen die zust n digen Beh rden und betroffene Einzelpersonen von den f r die Verarbeitung der Daten Verantwortlichen benachrichtigt werden Wenn man in Betracht zieht dass die f r die Verarbeitung der Daten Verantwortlichen in zunehmen dem Ma e grenz berschreitende Verst e gegen den Schutz personenbezoge ner Daten melden werden wird dar ber hinaus deutlich dass die Beh rden ge meinsam Methoden der Zusammenarbeit besprechen m ssen 4 Drittens Die Bestandsaufnahme hat der Artikel 29 Datenschutzgruppe die Gelegenheit gegeben das Thema weiter zu vertiefen und einige Schlussfolge rungen bez glich zuk nftiger Politikentwicklungen im Bereich der Meldung von Verst en zu ziehen Diese Schlussfolgerungen erg nzen die Stellungnah men die die Artikel 29 Datenschutzgruppe bei anderen Gelegenheiten zu diesem Thema abgegeben hat Sie bauen auf den gemeldeten Verst en gegen den Datenschutz auf die diejenigen nationalen Datenschutzbeh rden die die Anzeigepflicht f r Datenschutzverst e bereits anwenden gesammelt haben Nach Ansicht der Artikel 29 Datenschutzgruppe sollten diese Er
112. elligenten Ver brauchsmessverfahren die Verantwortlichkeit f r die Verarbeitung der Daten sowie die Pr fung legitimer Gr nde f r die Datenverarbeitung Die Empfehlun gen basieren auf dem aktuellen Kenntnisstand f r zuk nftige Themen beispiels weise intelligente Haushaltsger te werden jedoch voraussichtlich noch weitere Arbeiten durchgef hrt werden m ssen Definitionen Intelligente Verbrauchsmessger te und intelligente Stromversorgungsnetze wer den auf unterschiedlichste Weise definiert Um die Fragestellungen und Priorit ten der Artikel 29 Datenschutzgruppe angemessen abdecken zu k nnen er scheint jedoch die folgende Definition intelligenter Stromversorgungsnetze und intelligenter Verbrauchsmessger te zweckm ig Intelligente Verbrauchsmessger te werden im Haushalt der Kunden von Energie versorgungsunternehmen installiert und sind f r eine Zweiwegekommunikation ausgelegt Sie informieren die Verbraucher ber die verbrauchte Energiemenge diese Informationen k nnen aber auch zu den Energieversorgern und anderen be nannten Akteuren bermittelt werden Zentrales Merkmal der intelligenten Ver brauchsmessger te ist dass sie die M glichkeit f r eine entsprechende Fernkom munikation zwischen dem Messger t und befugten Stellen wie Versorgern oder Netzbetreiben und befugten Dritten oder Energiedienstleistungsunternehmen bieten Durch intelligente Verbrauchsmessger te kann die H ufigkeit der Kom munikation zwischen
113. em sie ihren Energieverbrauch auf andere Tageszeiten verlegen in denen g nstigere Ta rife gelten sowie durch die M glichkeit f r die Industrie den Bedarf genauer im Voraus absch tzen zu k nnen so dass sich kostspielige Energiespeicherkosten verringern lassen Das Erreichen der Klimaziele st tzt sich in gewissem Umfang darauf dass Verbraucher personenbezogene Daten freigeben allerdings muss dies so erreicht werden dass alle an den Programmen zur Einf hrung intelligen ter Verbrauchsmessger te und an der Entwicklung der intelligenten Stromversor gungsnetze beteiligten Akteure daf r Sorge tragen dass die Grundrechte der B r ger gesch tzt und eingehalten werden Ohne einen diesbez glichen Schutz be steht nicht nur die Gefahr dass die Verarbeitung personenbezogener Daten gegen die einzelstaatlichen Rechtsvorschriften verst t mit denen Richtlinie 95 46 EG umgesetzt wird sondern auch dass die Verbraucher diese Programme ablehnen weil sie mit der Erfassung personenbezogener Daten grunds tzlich nicht einver standen sind Zu einer solchen Ablehnung kann es selbst dann kommen wenn gar kein Gesetzesversto vorliegt Kurz gesagt die Artikel 29 Datenschutzgruppe weist unter datenschutzrechtlichen Aspekten darauf hin das diese Programme zwar weit reichende erhebliche potenzielle Vorteile bieten aber gleichzeitig dazu f hren k nnen dass personenbezogene Daten in zunehmendem Umfang und in einer in dieser Branche noch nie dagewesene
114. en datenschutzfreundliche Verfahren f r die Erhebung Nut zung und bermittlung von Informationen aus den intelligenten Stromz hlern zu schaffen Die Regulierungsbeh rden sollten als Grunds tze festlegen dass die Verbrauchenden volle Transparenz und die M glichkeit erhalten den Fluss per sonenbezogener Daten zu kontrollieren und zu bestimmen Detaillierte Muster ber den Energieverbrauch des Einzelnen sollten nur der betroffenen Person zu g nglich sein es sei denn diese gibt die Daten weiter Allerdings darf der Datenschutz nicht nur auf den rechtlichen oder administrati ven Schutz angewiesen sein er sollte ebenfalls in die Gestaltung der Technologie einflie en An dem Scheidepunkt der Datenerhebung k nnen Smart Meter eine ma gebliche Rolle dabei spielen zu definieren welche Daten in das gr ere Smart Grid kosystem gelangen und in welcher Form dies geschieht 4 Smart Meter Initiativen sollten unn tige Kompromisse zwischen dem Datenschutz und anderen zul ssigen Funktionen oder organisatorischen Zielen vermeiden Datenschutz sollte nicht als Widerspruch zu der Funktionsvielfalt der intelligen ten Stromz hler betrachtet werden Die Verbrauchenden sollten nicht gezwungen werden sich zwischen Datenschutz und Energieeffizienz einsparung zu ent scheiden vielmehr m ssen Versorgungsunternehmen durch den Einsatz von Pri vacy by Design sicherstellen dass alle gesetzm igen Ziele einschlie lich des Datenschutzes in den
115. en Landesregierung von Baden W rttemberg auch dort ein Informationsfreiheitsgesetz auf den Weg zu bringen Dabei sollte aller dings wie in Rheinland Pfalz vorgesehen dem Landesbeauftragten f r den Da tenschutz die Aufgabe der oder des Beauftragten f r die Informationsfreiheit bertragen werden Diese unabh ngige Funktion eines oder einer Informations freiheitsbeauftragten fehlt gegenw rtig auch noch in Th ringen Bayern Hessen Niedersachsen und Sachsen lehnen dagegen beharrlich jede gesetzliche Regelung f r einen Anspruch der B rgerinnen und B rger auf Zugang zu beh rdlichen In formationen ab Dies f hrt zu absurden Ergebnissen So haben die B rgerinnen und B rger gegen ber den Jobcentern mit gemeinsamer Tr gerschaft durch Bundesagentur f r Arbeit und Kommune auch in den vier L ndern ohne Informationsfreiheits gesetze einen Anspruch auf der Grundlage des Bundesgesetzes Dagegen besteht gegen ber den Jobcentern der Optionskommunen in ausschlie lich kommunaler Tr gerschaft in diesen L ndern kein Anspruch auf Informationszugang Unbefriedigend ist auch dass die B rgerinnen und B rger bei Ersuchen auf Zu gang zu Verbraucher und Umweltinformationen nicht durchg ngig die gesetz lich garantierte M glichkeit haben sich an die Informationsfreiheitsbeauftragten zu wenden Eine Ombudsfunktion ist zwar in den meisten Informationsfreiheits gesetzen vorgesehen fehlt aber f r Umwelt und Verbraucherinformationen auf Bundese
116. en Schutz der personenbezogenen Daten ab sch tzen und darlegen warum die Ma nahme notwendig und die vorgeschla gene L sung im Vergleich zum legitimen Ziel der Aufrechterhaltung der inne ren Sicherheit in der Europ ischen Union zur Verh tung von Straftaten und f r die Migrationssteuerung verh ltnism ig ist Die Datenschutzgruppe ist nicht der Auffassung dass die Kommission die vor stehenden Zusagen im Hinblick auf den EU PNR Vorschlag erf llt hat Verschie dene weitere Aspekte der Argumentation zu Notwendigkeit und Verh ltnism ig keit werden nachstehend er rtert 3 berblick ber das Informationsmanagement im Bereich Freiheit Sicherheit und Recht KOM 2010 385 endg ltig 44 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 2 1 Mehr Sicherheit Laut dem Vorschlag und der Folgenabsch tzung w rde ein EU PNR System die Sicherheit gew hrleisten und Sicherheitsl cken aufgrund der Abschaffung der Kontrollen an den Binnengrenzen im Rahmen des Schengener bereinkommens schlie en Dies w re bei angemessener Begr ndung ein legitimes Ziel allerdings liegen der Datenschutzgruppe noch keine ausreichenden Nachweise daf r vor dass durch die Verarbeitung von PNR Daten in allen Mitgliedstaaten Sicherheits l cken vermieden werden die durch die Verarbeitung dieser Daten in nur einigen Mitgliedstaaten entstehen Es gibt bereits auf EU Ebene Systeme und Instrumente als Ausgleich f r die Ab schaff
117. en wurden Einf h rungspl ne entwickelt nach denen eine Datenschutz Folgenabsch tzung Pri vacy Impact Assessment durchgef hrt werden muss auch die Datenschutz gruppe empfiehlt diese Vorgehensweise Die intelligenten Verbrauchsmessger te die gegenw rtig in mehreren Mitglied staaten erprobt werden erfassen je nach Art des mit dem Kunden geschlossenen Vertrags mehrere Ablesewerte Verf gt der Kunde beispielsweise ber einen ein fachen Vertrag bei dem er ber den gesamten Tag hinweg den gleichen Stromta rif bezahlt erfasst das Messger t einen einzigen Ablesewert pro Tag Sind im Ver trag mit dem Kunden jedoch je nach Tageszeit unterschiedliche Tarife vorgese hen erfasst das Messger t beispielsweise zehn verschiedene Ablesewerte pro Tag In der einfachsten Ausf hrung w rde durch den eingebauten Datenschutz Privacy By Design gew hrleistet dass die Ablesewerte des Messger ts nur so h ufig bermittelt werden wie es f r den Betrieb des Systems oder die Erbrin gung der Dienstleistung zu deren Inanspruchnahme der Kunde sein Einverst nd nis gegeben hat notwendig ist In einer gegenw rtig eingesetzten Ausf hrung des Verbrauchsmessger ts werden beispielsweise alle zehn bis sechzig Minuten in Echtzeit Verbrauchsmessdaten er fasst und daraus ein Lastdiagramm erstellt Die H ufigkeit kann durch Fernab frage vom Elektrizit tsnetzbetreiber eingestellt werden Dieses Lastdiagramm wird im Messger t zwei Monate
118. endes best tigen Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten stellt allgemeiner fest dass das neue rechtliche Umfeld des Vertrags von Lis sabon und die Charta den Datenschutz ausdr cklich als Grundrecht anerken nen und dieses Recht verbindlich machen und dass der Vertrag von Lissabon die S ulenstruktur abschafft die Ursache f r die Zersplitterung des Daten schutzrahmens auf EU Ebene war begr t den Umstand dass die Kommission f r den neuen Rahmen ein Ge samtkonzept unter Einschluss der Strafverfolgung vorsieht erkennt an dass zwar f r bestimmte Bereiche darunter die Strafverfolgung wie in Erkl rung 21 im Anhang des Vertrags dargelegt und andere besondere Bereiche wie dies bei der Datenschutzrichtlinie f r elektronische Kommuni kation bereits der Fall war spezifische erg nzende Vorschriften erforderlich sein k nnten beharrt aber darauf dass solche bereichsspezifischen erg nzen den Vorschriften das Schutzniveau unter keinen Umst nden senken und nur rechtm ige Einschr nkungen zulassen d rfen die im Einklang mit den allge meinen Grunds tzen des Datenschutzes stehen Die Konferenz beharrt darauf dass ein umfassendes und koh rentes Konzept be n tigt wird das nicht nur den EU Rahmen sondern auch das internationale Um feld und die Notwendigkeit globaler Standards f r den Schutz personenbezoge ner Daten ber cksichtigt Sie hat deshalb besonderes Inte
119. enen inhaltlichen Aufarbeitung der Dresdener Funkzellenabfragen ablenken Die ge setzliche Befugnis des S chsischen Datenschutzbeauftragten zur Kontrolle aller polizeilichen und staatsanwaltschaftlichen Ma nahmen der Datenverarbeitung steht au er Frage Es ist auch im Bereich der Strafverfolgung eine verfassungs rechtlich begr ndete Kernaufgabe der unabh ngigen Datenschutzbeauftragten einen vorgezogenen Rechtsschutz dort zu gew hrleisten wo Einzelne aufgrund der verdeckten Datenverarbeitung des Staates nicht oder nicht ausreichend fr h anderweitigen Rechtsschutz erlangen k nnen Der S chsische Datenschutzbeauf tragte hat die polizeiliche Anregung bzw staatsanwaltschaftliche Beantragung der konkreten Funkzellenabfragen als unverh ltnism ig und die besonderen Rechte von Abgeordneten Verteidigerinnen und Verteidigern nicht wahrend be anstandet Es kann dahinstehen ob die funktional als Aus bung vollziehender Gewalt vgl BVerfGE 107 395 406 zu qualifizierende richterliche Anordnung solcher Ma nahmen von Landesdatenschutzbeauftragten kontrolliert werden kann da die jeweiligen richterlichen Anordnungen in den konkreten F llen nicht beanstandet wurden 25 Datenschutz Entschlie ungen der 82 DSB Konferenz Anonymes elektronisches Bezahlen muss m glich bleiben Die Datenschutzbeauftragten des Bundes und der L nder fordern den Bundesge setzgeber auf bei der Bek mpfung von Geldw sche auf umfassende und gene relle Id
120. entifizierungspflichten beim Erwerb von elektronischem Geld zu verzich ten Ein aktueller Gesetzentwurf der Bundesregierung zum Geldw schegesetz BT Drs 17 6804 sieht vor ber bereits bestehende allerdings nicht umge setzte gesetzliche Verpflichtungen hinaus umfangreiche Daten ber s mtliche Erwerber elektronischen Geldes zu registrieren Der anonyme Erwerb von E Geld w rde damit generell abgeschafft Dies ist besonders kritisch da umfangreiche Kundinnen und Kundendaten un abh ngig vom Wert des E Geldes erhoben werden m ssen Beispielsweise ist eine Tankstelle bereits beim Verkauf einer E Geld Karte im Wert von f nf Euro verpflichtet den Namen das Geburtsdatum und die Anschrift der Kundinnen und Kunden zu erheben und f r mindestens f nf Jahre aufzubewahren Eine generelle Identifizierungspflicht w rde au erdem dazu f hren dass anony mes Einkaufen und Bezahlen im Internet selbst bei Bagatellbetr gen praktisch ausgeschlossen werden Anonyme Bezahlsysteme im Internet bieten ihren Nut zern jedoch M glichkeiten die Risiken eines Missbrauchs ihrer Finanzdaten bei spielsweise durch Hackerangriffe zu minimieren Sie sind zugleich ein wichtiger Baustein um die M glichkeit zum anonymen Medienkonsum zu erhalten da On line Medien zunehmend gegen Bezahlung angeboten werden Auf jeden Fall muss verhindert werden dass personenbeziehbare Nutzungsdaten ber jeden ein zelnen Artikel in Online Zeitungen oder einzelne Sendungen
121. er cksichtigt 60 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 werden Ein derartiges Ziel l sst sich offenkundig nur erreichen wenn auch der Energieverbrauch der einzelnen Verbraucher gesenkt wird und nach den Aussagen der Energieversorger und netze ist dieses Ziel zu einem erheblichen Teil nur erreichbar indem umfangreiche Datenmengen ber das Verhalten die ser Verbraucher gesammelt werden Anwendung der Definition des f r die Datenverarbeitung Verantwortlichen auf intelligente Verbrauchsmessger te Durch die Richtlinie 95 46 EG werden dem f r die Datenverarbeitung Verant wortlichen bestimmte Pflichten bei der Verarbeitung personenbezogener Daten auferlegt Bevor dargelegt wird wie diese Pflichten im Kontext der vorliegenden Stellungnahme Anwendung finden muss die Datenschutzgruppe darstellen wel che juristischen Personen nach ihrer Auffassung unter die Definition des f r die Datenverarbeitung Verantwortlichen fallen Bei der Einf hrung von intelligenten Verbrauchsmessger ten sind verschiedene Organisationen an der Verarbeitung personenbezogener Daten beteiligt unter an derem ohne hierauf beschr nkt zu sein Energieversorger Energienetzbetrei ber Regulierungsstellen staatliche Stellen externe Dienstleister und Kommuni kationsdienstleister Angesichts der Zahl und Komplexit t der Beziehungen sind bei der Anwendung der ma geblichen Definitionen mit einiger Wahrscheinlich keit Schwier
122. er Daten zust ndig sein werden In anderen k nnten es dagegen andere Organe sein wie beispielsweise die nationalen Regulierungsbeh rden Unabh ngig davon gehen die nationalen Datenschutzbeh rden davon aus dass sie einbezogen werden 82 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 23 24 25 26 2 gliedstaaten zu sp ren sind In allen diesen F llen und m glicherweise noch in anderen k nnte der Koordinierungsbedarf zwischen den zust ndigen Be h rden gro sein Daher ist die Artikel 29 Arbeitsgruppe entschlossen Koordinierungsma nahmen einzuleiten Dazu sollten zun chst untersucht werden welche Rechtsvorschriften bei grenz berschreitenden Verst en gegen die Daten schutzvorschriften zur Anwendung kommen und welche Beh rden zust ndig sind Das w rde auch eine Pr fung der Informations und Anzeigepflicht sowie die Schaffung der entsprechenden Verfahren mit sich bringen Die Plattform wird so bald wie m glich eingerichtet Dies ist besonders hilf reich da sie die Artikel 29 Datenschutzgruppe auch dabei unterst tzen w rde Anregungen f r Legislativma nahmen der EU im Zusammenhang mit Datenschutzverletzungen zu geben siehe Abschnitte V und VTI ZUK NFTIGE EU LEGISLATIVMASSNAHMEN IN BEZUG AUF DIE VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN Wie oben dargelegt werden nachfolgend n her beschrieben in zweierlei Hinsicht legislative Entwicklungen im Bereich d
123. er Energieberatungsleistun gen Wenn eine betroffene Person darin einwilligt eine derartige Dienstleistung anzunehmen hat der Anbieter der Dienstleistung entweder ein Versorger oder ein Dritter wahrscheinlich auch die Gelegenheit die Einwilligung der betroffe nen Person in die Verarbeitung personenbezogener Daten einzuholen Die Datenschutzgruppe weist die f r die Datenverarbeitung Verantwortlichen darauf hin dass sie wenn sie sich auf die Einwilligung der betroffenen Person verlassen zu beachten haben dass eine Einwilligung nur dann rechtsg ltig ist wenn die betroffene Person eine Entscheidung in voller Kenntnis der Sachlage treffen konnte Eine Einwilligung kann nur dann als Grund f r die Verarbeitung personenbezogener geltend gemacht werden wenn die betroffene Person ausrei chende Informationen ber die Verarbeitung personenbezogener Daten erhalten hat und eine fundierte Entscheidung treffen konnte Insbesondere dann wenn verschiedene Funktionen vorliegen sollte die Einwilligung soweit differenziert sein dass die verschiedenen M glichkeiten zum Ausdruck kommen und nicht eine einzige Einwilligung zur Legitimierung abweichender und nicht damit zu sammenh ngender anderweitiger Zwecke herangezogen wird Die Datenschutzgruppe empfiehlt dass die Industrie wirksame und praxisnahe Mittel entwickelt mit deren Hilfe die betroffenen Personen ihre Einwilligung er teilen k nnen Dabei sollte bedacht werden dass die Einwilligung
124. er Internationalen DSB Konferenz M glichkeiten der Pseudorandomisierung der Schnittstellenkennung Pri vacy Extensions genutzt werden Ger tehersteller vor allem Hersteller mo biler Ger te sollten solche M glichkeiten schnell in ihre Produkte integrie ren Der Einsatz dynamischer Adressen f r Endger te sollte als Standardfunk tion aktiviert werden e Als Standardeinstellung sollten Anbieter Protokolle Produkte und Dienstleis tungen die Nutzung tempor rer und nicht permanenter Adressen anbieten e Wie jeweils anwendbar sollten Netzwerke und Applikationen alle Sicherheits funktionen von IPv6 IPSec in vollem Umfang nutzen um die Sicherheit In tegrit t und Vertraulichkeit zu gew hrleisten Immer wenn Standortinformationen f r die Nutzung der Dienste auf mobilen Ger ten und anderen ber IPv6 verbundenen Ger ten notwendig ist sollten solche Informationen z B durch Verschl sselung gegen rechtswidriges Abh ren und Missbrauch gesch tzt werden e Alle f r die Ausarbeitung und Umsetzung aller weiteren Entwicklungen des IP Protokolls verantwortlichen Akteure m ssen sicherstellen dass solche Nor men und Vorgaben die Datenschutzrechte und Werte von Anfang an vollst n dig ber cksichtigen Die Internationale Konferenz begr t es dass die International Working Group on Data Protection in Telecommunications IWGDPT derzeit ber einen umfas senden Bericht zu diesen Fragen diskutiert In dem Be
125. er Internationalen Datenschutzkonferenz im Oktober 2010 als ein wesentlicher Bestandteil des grundlegenden Schutzes der Privatsph re anerkannt worden ist Der PbD Standard von Beginn an bei der Ausgestaltung Schutzvorrichtungen einzuplanen wurde auch ein G tesiegel bei Datenschutz und Datensicherheitsbewertungen von Smart Grid und Smart Metering siehe An hang A Privacy by Design bietet Organisationen die M glichkeit unter Ber cksichtigung der Privatsph re von Anfang an ein positives Gesamtbild zu erzeugen und dabei Datenschutz und Funktionalit tsanforderungen in Einklang zu bringen Die Be wegung in Richtung des Smart Grid und insbesondere Smart Metering bildet in seinem aktuellen Entwicklungszustand eine ideale Plattform f r die Anwendung von Privacy by Design Nachstehend geben wir einige Empfehlungen f r Smart Meter Initiativen auf der Grundlage der Best Practices for Privacy on the Smart Grid Empfehlungen 1 Smart Meter Initiativen sollten in dem gesamten Rahmen der Projekt f hrung Grunds tze des Datenschutzes aufweisen und proaktiv daten schutzrechtliche Anforderungen in ihre Entwicklung einbinden um da tenschutzgef hrdenden Ereignissen vorzubeugen Energieversorger sollten Datenschutzvertr glichkeitspr fungen sog Privacy Im pact Assessments PIAs oder gleichartige Bewertungsverfahren als Teil der An forderungen und der Entwicklungsstufen von Smart Meter Initiativen durchf h ren Innerhalb dieser Eva
126. er Ver zicht auf hochaufl sende Bilder und Nahaufnahmen Es gilt au erdem zu bedenken dass infolge der Nutzung eines kommerziellen Streamingdienstes die M glichkeit besteht dass die Daten auf Servern in Dritt staaten zwischengespeichert werden Insbesondere wenn der Anbieter auf p2p Technik setzt kommt es zu zahlreichen Zwischenspeicherungen des Streams auf den Rechnern der Nutzer auch wenn diese nicht unmittelbar abspielbar sind Auch darauf sollten die Verordneten vorab hingewiesen werden Eine Beschr nkung der Erreichbarkeit des Streams mittels IP Adressen Filterung w re zwar grunds tzlich m glich aber dies w re technisch dann nicht zu reali sieren wenn man die Infrastruktur eines kommerziellen Streaminganbieters nutzt Es soll an dieser Stelle auch darauf hingewiesen werden dass kommer zielle Anbieter sich die Nutzung des hochgeladenen Streams gerne selbst vorbe halten wie sich aus dieser typischen Klausel des Anbieters ustream tv ergibt den die BVV Marzahn Hellersdorf derzeit nutzt 151 Informationsfreiheit Live bertragung der BVV Sitzungen by uploading streaming submitting emailing posting publishing or otherwise transmitting any User Submission to Ustream on the Site or to the Services you hereby grant Ustream a non exclusive worldwide royalty free sublicensable perpetual and irrevocable right and license to use reproduce modify adapt prepare derivative works based on perform display p
127. er Verletzung des Schutzes personenbezogener Daten erwartet Zun chst werden Entwicklungen bei der Datenschutzrichtlinie f r elektro nische Kommunikation erwartet Diese Richtlinie gibt den umfassenden Rechtsrahmen f r Verst e gegen die Datenschutzvorschriften vor Zur Si cherstellung einer einheitlichen Durchf hrung und Anwendung des Rahmens werden der Kommission Befugnisse bertragen Artikel 4 Absatz 5 Diese Erm chtigung ist gerechtfertigt um sicherzustellen dass die Menschen uni onsweit ein gleich hohes Schutzniveau genie en und dass Stellen in denen es zu Sicherheitsverletzungen kommt nicht mit unterschiedlichen Anzeige pflichten belastet sind Die Befugnisse beziehen sich insbesondere auf die Umst nde das Format und die Verfahren f r die Erteilung von Informationen und f r Benachrichtigungen Das sind die Bereiche in denen die zust ndigen nationalen Beh rden zur Ausgabe von Leitlinien befugt sind Das Verfahren zur Annahme technischer Durchf hrungsma nahmen kann unter anderem wegen der Konsultationspflichten mehr als ein Jahr dauern Bevor die Kommission Ma nahmen annehmen kann muss sie erst verschie 11 Das Verfahren umfasst die Vorbereitung der Ma nahmen nach Konsultationen mit den Interessengruppen die Stellungnahme des Ausschusses das sich aus Vertretern der Mitgliedstaaten zusammensetzt und die endg ltige Annahme durch die Kommission Das Europ ische Parlament hat ein Mitspracherecht 83 Daten
128. er des Telekommunikationsdienstes fungiert als reiner Kanal Er kann ohne sehr einschneidende Methoden wie Deep Packet Inspection keinen Zugang zu GPS und oder Wi Fi und oder Basisstationsdaten erhalten die von und zu einem intelligenten mobilen Endger t zwischen einem Nutzer Teilnehmer und einem Dienst der Informationsgesellschaft gesendet wer den 4 2 2 Anwendbarkeit der Datenschutzrichtlinie Ist die ge nderte Datenschutzrichtlinie f r elektronische Kommunikation nicht anwendbar findet gem Artikel 1 Absatz 2 die Richtlinie 95 46 EG Anwen dung Die Bestimmungen dieser Richtlinie stellen eine Detaillierung und Erg nzung der Richtlinie 95 46 EG im Hinblick auf die in Absatz 1 genannten Zwecke dar Basierend auf der Datenschutzrichtlinie sind personenbezogene Daten alle Infor mationen ber eine bestimmte oder bestimmbare nat rliche Person betroffene Person als bestimmbar wird eine Person angesehen die direkt oder indirekt identifiziert werden kann insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen die Ausdruck ihrer physi schen physiologischen psychischen wirtschaftlichen kulturellen oder sozialen Identit t sind Artikel 2 Buchstabe a der Richtlinie Erw gungsgrund 26 der Richtlinie legt besondere Betonung auf den Begriff be stimmbar Es steht zu lesen Bei der Entscheidung ob eine Person bestimmbar ist sollten alle Mittel ber cksichtigt werden
129. ern den Einbau von EDRs um jedenfalls einen Mindestdatensatz speichern zu k nnen Dieser soll 15 Typen von Unfalldaten beinhalten darunter Geschwindigkeit vor dem Unfall Gaslast Bremsverhalten Geschwindigkeitsver nderungen Sicherheitsgurtnutzung Status der Airbag Kontrolllampe und die Airbagaus l sungszeit Die Hersteller m ssen sich mit diesen Standards bis September 2012 einverstanden erkl ren http www nhtsa gov EDR N Zur E call Intiative der Europ ischen Union im Einzelnen Mitteilung der Europ ischen Kommission an das Europ ische Parlament den Rat den Europ ischen Wirtschafts und Sozialausschuss und den Ausschuss der Regionen eCAll Time for Deployment Br ssel 21 8 2009 KOM 2009 434 endg http ec europa eu information_society activities esafety ecall index_de htm 118 Datenschutz Arbeitspapiere der IWGDPT der VEDR wodurch nochmals erheblich mehr Informationen ber das Verhalten des Fahrers sowie ber an dem Unfall beteiligte Dritte gespeichert werden Personenbezogene Fahrerdaten Daten beim Einsatz von EDR 11 Personenbezogene Fahrerdaten die mittels EDR bzw VEDR insbesondere im Zusammenhang mit elektronischen Kommunikations und Lokalisie rungssystemen gesammelt wurden lassen sich von einer stetig wachsenden Anzahl von Interessengruppen zu den verschiedensten Zwecken verwenden a gB Hersteller Fahrer ebenso wie andere in Verkehrsunf lle verwickelte Per sonen Eige
130. es Da tenstroms entscheidet ist er der f r die Verarbeitung dieser Daten Verantwortli che Ein verbreitetes Beispiel einer solchen Phone Home Funktion ist die auto matische Bereitstellung von Zeitzonen Aktualisierungen basierend auf dem Standort Au erdem ist der Entwickler ein f r die Verarbeitung Verantwortlicher wenn er eine Werbeplattform anbietet und oder eine Web Shop hnliche Umgebung f r Anwendungen und wenn das Ger t dazu in der Lage ist personenbezogene Daten aus der Installation und Verwendung von Anwendungen zur Geolokalisierung un abh ngig von dem Anbieter der Verwendung zu verarbeiten 5 2 Verantwortlichkeiten Dritter Es gibt zahlreiche Dritte die Online t tig sind und die weitere Verarbeitung der Standortdaten erm glichen Dazu geh ren Browser soziale Netzwerke oder Kommunikationsmedien die beispielsweise die Georeferenzierung erm g lichen Wenn sie auf ihrer Plattform Einrichtungen zur Geolokalisierung einbet ten haben sie eine wichtige Verantwortung f r die Entscheidung bez glich der Standardeinstellung der Anwendung standardm ig an oder aus Auch wenn sie nur in dem Ausma f r die Verarbeitung Verantwortliche sind in dem sie selbst aktiv personenbezogene Daten verarbeiten haben sie beispielsweise in Bezug auf die Sichtbarkeit und Qualit t der Informationen zur Verarbeitung von Geolokalisierungsdaten eine Schl sselrolle in Bezug auf die Rechtm igkeit der Verarbeitu
131. ezogen werden auch f r diese Technologien wenn sie dazu genutzt werden den geografischen Standort von Menschen ber ihrer Endger te zu bestimmen 2 Hintergrund verschiedene Infrastrukturen f r die Geolokalisierung 2 1 Daten der Basisstation Das von den verschiedenen Telekommunikationsbetreibern abgedeckte Gebiet ist in Bereiche aufgeteilt die gemeinhin als Zellen bekannt sind Um ein Mobiltele fon nutzen oder eine Verbindung mit dem Internet ber die 3G Kommunikation aufbauen zu k nnen muss das mobile Endger t eine Verbindung mit der Antenne im Folgenden Basisstation aufnehmen die diese Zelle abdeckt Die Zellen de cken Bereiche unterschiedlicher Gr e ab Das h ngt von den Interferenzen bei spielsweise mit Bergen oder hohen Geb uden ab 91 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Immer wenn ein mobiles Endger t angeschaltet ist ist es mit einer bestimmten Basisstation verbunden Der Telekombetreiber zeichnet diese Verbindungen st n dig auf Jede Basisstation hat eine eindeutige ID und ist unter einem bestimmten Standort registriert Sowohl der Telekombetreiber als auch viele mobile Endge r te k nnen die Signale sich berschneidender Zellen nutzen benachbarte Basis stationen um so den Standort des mobilen Endger ts mit steigender Genauigkeit zu sch tzen Diese Technik wird auch Triangulation genannt Die Genauigkeit kann durch Informationen wie RSSI Received Signal Strength
132. f Kontaktinformationen Den Nutzern m ssen M glichkeiten an die Hand gegeben werden mit denen aus der Nutzungssituation heraus gesteuert werden kann ob und welche Daten einer Ap plikation zug nglich gemacht werden und an wen sie bermittelt werden 30 Datenschutz Beschl sse des D sseldorfer Kreises Einflussm glichkeiten auf das L schen von Spuren bei der Internet Nut zung Im Gegensatz zu der f r herk mmliche PCs bestehenden Situation fehlt es im Smartphonebereich weitgehend an M glichkeiten Datenspuren die bei der Internet Nutzung auf dem Ger t entstehen zu vermeiden zu reduzieren mindes tens jedoch diese erkennbar zu machen und ggf zu l schen Solche M glichkei ten m ssen geschaffen und angeboten werden Anonyme und pseudonyme Nutzungsm glichkeiten Generell sollte die M glichkeit geschaffen werden Smartphones und die ber sie vermittelten Dienste anonym oder pseudonym zu nutzen Die Anbieter entsprechender Ger te beziehungsweise Betriebssysteme und die jeweiligen Diensteanbieter m ssen m glichst datenschutzfreundliche Funktiona lit ten vorsehen und Schwachpunkte eliminieren Der Grundsatz der Datenspar samkeit ist ernst zu nehmen und umzusetzen Von besonderer Bedeutung ist die umfassende Information der Nutzer ber die Erhebung und Verwendung ihrer Nutzungsdaten Dies gilt sowohl f r die grundlegenden Betriebssysteme einer seits wie f r die darauf aufbauenden Funktionalit ten App
133. fgaben ben tigen ber diesen Rahmen hinaus d rfen sie nicht auf personenbezogene Daten zugreifen k nnen Speicherung personenbezogener Daten Vor der Einf hrung intelligenter Systeme hat die Energiewirtschaft Verfahren entwickelt um personenbezogene Daten f r einen begrenzten Bereich von Ver wendungszwecken aufbewahren zu k nnen beispielsweise f r die Rechnungs stellung Mit intelligenten Verbrauchsmesssystemen stellen sich neue Herausfor derungen Da erheblich gr ere Datenmengen verarbeitet werden m ssen die Leitlinien und Verfahrensweisen f r die Datenspeicherung f r neue Verwen dungszwecke festgelegt und f r bereits bestehende Zwecke berarbeitet werden Um sicher sein zu k nnen dass bestimmte Daten nur so lange gespeichert blei ben wie dies f r einen bestimmten rechtm igen Zweck erforderlich ist m ssen die Verarbeitungszwecke um die es hierbei geht klarer verstanden werden k n nen Damit k nnen die f r die Datenverarbeitung Verantwortlichen ihrerseits nachweisen dass personenbezogene Daten nur so lang wie n tig gespeichert wer den H ufig wird als Verwendungszweck beispielsweise angegeben dass anhand der ber ein Messger t erfassten Daten der Verbraucher in Fragen der effizienten Energienutzung beraten werden kann In bestimmten F llen k nnen im Rahmen dieses Service Vergleiche ber mehrere Jahre hinweg angeboten werden weshalb dreizehn Monate als geeigneter Zeitraum f r die Speicherung pers
134. fnahme der Umsetzung der Datenschutzrichtlinie f r elektronische Kommunikation und der Art und Weise wie die Mitgliedstaaten die Vorschrif ten dieser Richtlinie ber Verst e gegen den Datenschutz in nationales Recht umsetzen 2 Mit dieser Bilanz soll ein dreifaches Ziel verfolgt werden Erstens m chte die Artikel 29 Datenschutzgruppe umfassende Kenntnis ber den aktuellen Stand der Dinge erlangen Dazu geh ren sowohl grundlegende Aspekte wie der Stand der Umsetzung als auch komplexere wie beispielsweise die Ermittlung der Unterschiede in der Vorgehensweise in verschiedenen Bereichen z B der Anwendungsbereich der Vorschriften nationale Leitlinien in denen einige As pekte der Richtlinie weiterentwickelt werden die zust ndige Beh rde des Mit gliedstaaten usw Durch das Aufzeigen etwaiger abweichender Entwicklun gen in den Mitgliedstaaten kann diesen geholfen werden selbst in dieser sp ten Phase noch ihre Positionen anzugleichen und eine fragmentierte Umset zung zu vermeiden 1 Richtlinie 2009 136 EG des Europ ischen Parlaments und des Rates vom 25 November 2009 zur nderung unter anderem der Richtlinie 2002 58 EG ber die Verarbeitung personenbezogener Daten und den Schutz der Privatsph re in der elektronischen Kommunikation Amtsblatt L 337 vom 18 12 2009 S 11 74 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 3 Zweitens die Bestandsaufnahme soll den nationalen Datenschutzbeh rden h
135. fstand Ein transparentes Ver fahren und die Beteiligung der ffentlichkeit sind unabdingbar Die gravierenden M ngel erfordern zudem einen sofortigen Stopp der Entwicklung eines ver gleichbaren EU Systems 2 Entschlie ung zwischen der 81 und 82 Konferenz vom 27 Juli 2011 Funkzellenabfrage muss eingeschr nkt werden Die Strafverfolgungsbeh rden in Dresden haben mit einer sog Funkzellenab frage anl sslich von Versammlungen und dagegen gerichteter Demonstrationen am 19 Februar 2011 Hunderttausende von Verkehrsdaten von Mobilfunkverbin 16 Datenschutz Entschlie ung zwischen der 81 und 82 DSB Konferenz dungen erhoben darunter die Rufnummern von Anrufern und Angerufenen die Uhrzeit sowie Angaben zur Funkzelle in der eine Mobilfunkaktivit t stattfand Dadurch sind zehntausende Versammlungsteilnehmerinnen und Versammlungs teilnehmer darunter Abgeordnete von Landtagen und des Deutschen Bundesta ges Rechtsanw ltinnen und Rechtsanw lte sowie Journalistinnen und Journalis ten in Aus bung ihrer T tigkeit aber auch Anwohnerinnen und Anwohner der dicht besiedelten Dresdener Innenstadt in ihrer Bewegung und ihrem Kommuni kationsverhalten erfasst worden Dieser Vorfall verdeutlicht die Schw che der ge setzlichen Regelung Rechtsgrundlage der nichtindividualisierten Funkzellenabfrage ist bisher 100 g Abs 2 S 2 StPO wonach im Falle einer Straftat von erheblicher Bedeutung eine r umlich und zeitlich hinreiche
136. gebnisse bei k nftigen Politikentwicklungen in Bezug auf Verst e ber cksichtigt werden Politikentwicklungen werden insbesondere in den folgenden beiden Kontexten erwartet a Erg nzung der Bestimmungen der Datenschutzrichtlinie f r elektronische Kommunikation die Datenschutzverletzungen betreffen In Artikel 4 Ab satz 5 der Richtlinie wird der Kommission die Befugnis zur Annahme tech nischer Durchf hrungsma nahmen gem Artikel 290 AEUV nach der Annahme des Vertrags von Lissabon als bertragene Befugnisse bezeich net bertragen um eine einheitliche Umsetzung und Anwendung der Be stimmungen in genau festgelegten Bereichen sicherzustellen d h Um st nde Form und Verfahren der in den Bestimmungen vorgeschriebenen In formationen und Anzeigen 2 Siehe Papier der Artikel 29 Datenschutzgruppe Die Zukunft des Datenschutzes Gemeinsamer Beitrag zu der Konsultation der Europ ischen Kommission zu dem Rechtsrahmen f r das Grundrecht auf den Schutz der perso nenbezogenen Daten angenommen am 1 12 2009 WP 168 Stellungnahme 1 2009 ber die Vorschl ge zur n derung der Richtlinie 2002 58 EG ber die Verarbeitung personenbezogener Daten und den Schutz der Privat sph re in der elektronischen Kommunikation Datenschutzrichtlinie f r elektronische Kommunikation ange nommen am 10 02 2009 WP 159 Stellungnahme 2 2008 zur berpr fung der Richtlinie 2002 58 EG ber die Verarbeitung personenbezogener Daten und den Sc
137. gesetzliche Grundlage keine Telekommunikations berwachung auf Endger ten Wollen Strafverfolgungsbeh rden verschl sselte Internetkommunikationsvor g nge z B Internettelefonie oder E Mails berwachen und aufzeichnen muss regelm ig auf dem Endger t des Betroffenen eine Software angebracht werden die die Daten aus dem laufenden Kommunikationsvorgang vor ihrer Verschl sse lung erfasst und an die Beh rde weiterleitet sog Quellen Telekommunikations berwachung Die hierbei anzuwendende Technik entspricht der der Online Durchsuchung die grunds tzlich auch Zugriffe auf gespeicherte Inhalte erm g licht Telekommunikations berwachungsma nahmen durch Zugriffe auf Endger te m ssen sich auf Daten aus laufenden Telekommunikationsvorg ngen beschr n ken Dies ist durch technische Vorkehrungen und rechtliche Vorgaben sicherzu stellen Nur so wird der Rechtsprechung des Bundesverfassungsgerichts entspro chen Die Strafprozessordnung enth lt keine Regelung die diesen Anforderungen gerecht wird Im grundrechtsrelevanten Bereich muss der Gesetzgeber alle wesentlichen Vorgaben selbst treffen Es reicht nicht aus wenn derartige Schutz vorkehrungen nur im Rahmen eines Gerichtsbeschlusses auf der Grundlage von 100 a 100 b Strafprozessordnung angeordnet werden Vielmehr m ssen die vom Bundesverfassungsgericht geforderten rechtlichen Vorgaben und techni schen Vorkehrungen gesetzlich verankert sein Die Datenschutzbeauftragte
138. gesetzte virtuelle Grenze berschreitet Ein Ar beitnehmer muss die M glichkeit haben jedes berwachungsger t au erhalb der Arbeitszeiten auszuschalten Es muss ihm gezeigtwerden wie das geht Fahrzeugortungsger te sind keine Ger te zur berwachung der Mitarbeiter Ihre Funktion ist es Fahrzeuge zu orten oder den Standort der Fahrzeuge zu berwachen in denen sie eingebaut sind Arbeitgeber sollten sie nicht als Ger t ansehen mit dem sie das Verhalten oder den Aufenthaltsort von Fah rern oder anderen Mitarbeiten berpr fen k nnen indem sie beispielsweise Warnungen in Bezug auf die Geschwindigkeit des Fahrzeuges senden Einwilligung von Kindern In einigen F llen muss die Einwilligung von Kindern von ihren Eltern oder anderen gesetzlichen Vertretern gegeben werden Das bedeutet beispiels weise dass der Anbieter einer Anwendung zur Geolokalisierung die Eltern ber die Erhebung und die Nutzung der Standortdaten ihrer Kinder infor mieren muss und ihre Einwilligung einholen muss bevor er weiter Informa tionen ber die Kinder erhebt und nutzt Einige Anwendungen zur Geoloka lisierung wurden speziell f r die elterliche berwachung entworfen Sie zei gen beispielsweise st ndig den Standort des Ger ts auf einer Website an oder senden einen Alarm wenn das Ger t ein vorher festgelegtes Gebiet verl sst Die Nutzung solcher Anwendungen ist problematisch In ihrer Stellung nahme 2 2009 zum Schutz der personenbezogenen Date
139. gt ihr noch keine sachgerechte Bewertung der Wirksamkeit der API Richtlinie und ihrer na tionalen Umsetzungsma nahmen vor und sie bezweifelt dass die API Richtlinie nach der Einf hrung eines EU weiten PNR Systems berhaupt noch notwendig 1st Die Datenschutzgruppe fragt sich ob nicht alle in der EU bereits bestehenden Formen der polizeilichen und justiziellen Zusammenarbeit zur Verh tung und Verfolgung von Straftaten die auch die Bek mpfung von Terrorismus und schwe 45 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 rer Kriminalit t einschlie en f r den vom PNR Vorschlag vorgesehenen Zweck ausreichen Dies wird in der Folgenabsch tzung nicht untersucht Die Datenschutzgruppe erkennt an dass einige Mitgliedstaaten die nicht dem Schengen Raum angeh ren einige der bestehenden Instrumente und Systeme nicht nutzen k nnen was sich m glicherweise auf die Pr fung der Notwendigkeit f r diese Staaten auswirkt Allerdings k nnen diese Mitgliedstaaten die API Richtlinie anwenden und tun dies auch Deshalb sollte gepr ft werden ob nicht durch eine bessere Nutzung bestehender Systeme und eine verst rkte Zu sammenarbeit zwischen diesen und anderen Mitgliedstaaten die ben tigten Infor mationen f r die jeweiligen Zwecke beschafft werden k nnen Dass PNR Daten wie in der Folgenabsch tzung erw hnt wird zur polizeilichen Erkenntnisgewin nung verwendet werden sollen erh ht ebenfalls die Anforderungen an
140. he in die USA bermittelt Diese Vorgehensweise ist mit dem SWIFT Ab kommen und der Europol darin zugewiesenen datenschutzrechtlichen W chter funktion nicht vereinbar Nach dem SWIFT Abkommen muss Europol im Interesse der EU B rgerinnen und B rger gew hrleisten dass die Beschr nkungen und Verfahrensvorgaben des Abkommens strikt beachtet werden Europol ist demnach verpflichtet alle US Ersuchen auf die Beachtung dieser Beschr nkungen und damit auf die Erforder lichkeit der Daten bermittlung zu berpr fen Ohne die Zustimmung von Euro pol darf SWIFT keine EU Zahlungsdaten an die USA bermitteln Die jetzt festgestellten M ngel best tigen die bereits im Vorfeld des Abkommens von der Konferenz ge u erte Bef rchtung dass Europol seine Kontrollaufgabe bei SWIFT nicht angemessen wahrnimmt Offenkundig werden die Vorausset zungen unter denen das Europ ische Parlament dem SWIFT Abkommen zuge stimmt hat nicht eingehalten Inakzeptabel ist auch dass die festgestellten De tails von Europol pauschal als geheim klassifiziert wurden und dem Europ ischen Parlament nicht mitgeteilt werden sollen Auch die ffentlichkeit hat ein Recht darauf zu erfahren in welchem Umfang Daten aufgrund des Abkommens in die USA bermittelt wurden Die Konferenz fordert die politisch Verantwortlichen auf europ ischer und natio naler Ebene auf die M ngel umgehend zu beseitigen Das Abkommen und seine Umsetzungspraxis geh ren dringend auf den Pr
141. hinsichtlich der von der BVV durch zuf hrenden Abberufungen der von ihr eingesetzten und gew hlten Personen aus Da stets pers nliche Verh ltnisse er rtert werden sind diese Tagesord nungspunkte ausschlie lich in nicht ffentlicher Verhandlung zu kl ren Abschlie end l sst sich daher aus den Wahlbefugnissen der BVV sofern sie im ffentlichen Teil der Sitzung er rtert werden kein Hinweis f r den Grund der unterschiedlichen Beurteilung der Sitzungs bertragungen ablei ten 10 vgl zu den datenschutzrechtlichen Aspekten der Sch ffenvorschlagsliste TB 32 4 1 9 des ULD Schleswig Hol stein und TB 27 4 3 6 sowie den Beitrag des ULD unter https www datenschutzzentrum de material themen divers schoeffenwahl htm zuletzt abgerufen am 28 07 2011 144 Informationsfreiheit Live bertragung der BVV Sitzungen Konkrete Bez ge zu individuellen Personen k nnen auch im Rahmen der Kontrollbefugnisse der BVV zu er rtern sein Insbesondere bei der Unter suchung der Durchf hrung einzelner Gesch fte der Bezirks mter k nnen h ufig auch die individuellen Verh ltnisse oder Gesch ftsinteressen einzel ner B rger betroffen sein 12 Abs 3 BezVG zeigt dies im Hinblick auf das Aufhebungs und Selbstentscheidungsrecht besonders deutlich wenn auch die BVV von diesem Recht in der Praxis u erst selten Gebrauch macht Wie bereits bei anderen oben angesprochenen Punkten ist in solchen F llen nicht ffentlich zu tagen
142. ht erreichen Eines der in einigen Mit gliedstaaten derzeit getesteten Messger te weist beispielsweise nur ein kleines Textanzeigefenster auf Der Verbraucher kann also weder auf die vom Messger t bereits bermittelten Daten noch auf die Anzeigegrafiken wie z B das Lastdia gramm das im Messger t gespeichert ist zugreifen Dieses Anzeigefenster d rfte also nicht ausreichen um die Forderung der betroffenen Person auf Daten einsicht zu erf llen Verarbeitung von Daten im Rahmen von Verbrechenspr vention und aufkl rung Die Datenschutzrichtlinie untersagt die Verarbeitung personenbezogener Daten in den F llen in denen sie im Hinblick auf den Zweck unverh ltnism ig ist Das detaillierte Bild das intelligente Verbrauchsmessger te liefern und mit dem sie die Versorger ber die Energieverbrauchsmuster informieren k nnte auch die Aufkl rung verd chtiger und in bestimmten F llen gesetzeswidriger T tigkeiten erm glichen Die Datenschutzgruppe erinnert die Industrie daran dass das Be stehen einer solchen M glichkeit jedoch nicht automatisch die breit angelegte Verarbeitung von Daten f r diesen Zweck rechtlich legitimiert Von besonderer Bedeutung ist dabei dass personenbezogene Daten die eine angebliche Straftat betreffen als sensible Daten eingestuft w rden und die f r die Datenverarbeitung Verantwortlichen diese Daten daher nur verarbeiten d rften wenn Artikel 8 Ab satz 5 der Richtlinie zur Anwendung k me Schlussfo
143. hutz der Privatsph re in der elektronischen Kommunikation Datenschutzrichtlinie f r elektronische Kommunikation angenommen am 15 05 2008 WP 150 75 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 b Erweiterung der Bestimmungen der Datenschutzrichtlinie f r elektronische Kommunikation die Datenschutzverletzungen betreffen im Zusammen hang mit der berpr fung der Richtlinie 95 46 Die Kommission hat sich gegen ber dem Europ ischen Parlament dazu verpflichtet unverz glich an gemessene Vorbereitungsarbeiten einzuleiten Dazu geh rt auch die Kon sultation interessierter Kreise mit dem Ziel diesbez gliche Vorschl ge sofern anwendbar bis Ende 2011 vorzulegen Diese Verpflichtung wurde in der Mitteilung der Kommission Gesamtkonzept f r den Datenschutz in der Europ ischen Union bekr ftigt 5 Die oben genannten Punkte werden wie folgt behandelt Nach einer Zu sammenfassung der wichtigsten Vorschriften zur Verletzung des Schutzes per sonenbezogener Daten in der Datenschutzrichtlinie f r elektronische Kommu nikation Abschnitt II werden die einschl gigen Rechtsvorschriften der Mit gliedstaaten zusammengefasst Abschnitt III Die Zusammenfassung basiert auf den Informationen die von den nationalen Datenschutzbeh rden bereitge stellt wurden Sie werden hier jedoch nicht wiedergegeben da die Umsetzung ein fortschreitender Prozess ist In Abschnitt IV werden Ma nahmen aufge zeigt d
144. ich tigung der Personen ber die Presse usw gestattet ist wenn die Empf nger beispielsweise nicht bekannt sind sollten Leitlinien verfasst werden Dabei sollten die zust ndigen Beh rden Ermessensspielraum f r die Beurteilung der jeweiligen Umst nde haben F nftens Dar ber hinaus sollte f r das Format der Informationen zu Daten schutzverletzungen die die Anbieter in einem Verzeichnis erfassen m ssen Leitlinien verfasst werden Sechstens Basierend auf den Erfahrungen die die zust ndigen Beh rden in den Mitgliedstaaten sammeln und aufgrund der Kommentare der in Artikel 4 Absatz 5 genannten Interessengruppen ersucht die Artikel 29 Datenschutz gruppe die Kommission Leitlinien f r die technischen Schutzma nahmen festzulegen die bei entsprechender Anwendung eine Ausnahme von der Be nachrichtigungspflicht begr nden Anwendungsbereich Schlie lich ist die Artikel 29 Datenschutzgruppe der Ansicht dass alle Durchf hrungsma nahmen die gem der Datenschutzrichtlinie f r elektro nische Kommunikation entwickelt wurden auch auf alle anderen f r die Ver arbeitung der Daten Verantwortlichen anwendbar sein sollen Die Kommis sion sollte sich folglich nicht zu sektorspezifischen Ma nahmen verleiten lassen und sich stattdessen auf die Ausarbeitung von allgemein anwendbaren Ma nahmen konzentrieren Doppelarbeit ist zu vermeiden Br ssel den 5 April 2011 F r die Datenschutzgruppe Der Vorsitzende Jacob KOHNSTAMM
145. ich daf r einzusetzen dass der Vorschlag der EU Kommission f r eine Richtlinie ber die Verwendung von Passagierdaten nicht realisiert wird 12 Datenschutz Entschlie ungen der 81 DSB Konferenz Besch ftigtendatenschutz st rken statt abbauen Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder bekr f tigt die Notwendigkeit durch umfassende allgemein g ltige Regelungen f r den Datenschutz am Arbeitsplatz mehr Rechtssicherheit zu erreichen und bestehende Schutzl cken zu schlie en Dieser Ansatz erfordert klare gesetzliche Begrenzun gen der Erhebung Verarbeitung und Nutzung von Besch ftigtendaten Die Bundesregierung und die Bundestagsfraktionen der SPD und von B NDNIS 90 DIE GR NEN haben hierzu Gesetzentw rfe vorgelegt Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder appel liert an den Deutschen Bundestag bei den Beratungen ber Regelungen des Be sch ftigtendatenschutzes insbesondere folgende notwendige Anforderungen si cherzustellen e Im Bewerbungsverfahren und im Besch ftigungsverh ltnis ist die Erforderlichkeit von Eignungstests und medizinischen Untersuchun gen vor der Durchf hrung der jeweiligen Ma nahme zu dokumentieren sind Datenerhebungen nur zul ssig wenn und soweit diese Daten wegen der Art und der Aus bung der T tigkeit oder der Bedingung ihrer Aus bung unabdingbar sind und entscheidende berufliche Anforderungen oder Hin dernisse darstellen
146. ich aus der in telligenten Verbrauchsmessung ergeben Aufgrund des breiten Spektrums der Fragestellungen die durch die intelligente Verbrauchsmessung aufgeworfen werden kann die Datenschutzgruppe keine 66 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 umfassende Liste der Punkte vorlegen zu denen Leitlinien vorgelegt werden k nnten Dieser T tigkeitsbereich ist erst im Aufbau begriffen weshalb die Da tenschutzgruppe davon ausgeht dass sich im Zuge der Installation weiterer intel ligenter Verbrauchsmessger te neue Probleme und L sungen im Bereich des Da tenschutzes ergeben werden Bestimmte generell relevante Aspekte sollten nach Ansicht der Datenschutzgruppe jedoch von allen Akteuren in diesem Bereich ernsthaft in die eigenen berlegungen einbezogen werden Eingebauter Datenschutz Privacy by Design Die Datenschutzgruppe verweist auf ihre Stellungnahme 168 wonach Dienstleis tungen und Technologien die sich auf die Verarbeitung personenbezogener Daten st tzen nach dem Prinzip der Privacy by default datenschutzfreundliche Vor einstellungen aufgebaut sein sollten In dieser Hinsicht muss die Einf hrung in telligenter Verbrauchsmessverfahren so erfolgen dass der Datenschutz von An fang an mit einbezogen wird und zwar nicht nur hinsichtlich der Sicherheits ma nahmen sondern auch dadurch dass die Menge der verarbeiteten personen bezogenen Daten minimiert wird In einigen Mitgliedstaat
147. icht auf zentrale Plattformen und Portale erm glichen Sie sollten interessierten Dritten die Entwicklung solcher Dienste gestatten e Content Provider d rfen zur Reichweitenmessung nur die ersten 4 Bytes der IPv6 Adresse heranziehen und m ssen den Rest der Adresse l schen denn eine Analyse von Nutzungsdaten ist nach Ansicht der Datenschutzaufsichtsbe h rden nur auf der Grundlage anonymisierter IP Adressen zul ssig Die ersten 4 Bytes sind f r eine Geolokalisierung ausreichend e Zugangsanbieter und Betreiber von Internetangeboten sollten nicht protokol lierende Proxy Server einsetzen und die Voraussetzungen schaffen dass ein Internetzugang oder die Nutzung von im Internet bereitgestellten Inhalten in anonymer Form m glich ist Anonymisierungsdienste e Hersteller und Anbieter von Betriebssystemen und vorkonfigurierten Ger ten wie PCs Smartphones und Routern sollten ihre Anstrengungen bei der Pflege und Weiterentwicklung ihrer Produkte intensivieren und regelm ig Fehler bereinigte Versionen ihrer IPv6 f higen Software anbieten e Angesichts h ufig mangelnder Reife von IPv6 f higen Produkten ist Anwen dern vom Einsatz von IPv6 innerhalb von lokalen Netzen noch abzuraten wenn dort sensible personenbezogene Daten verarbeitet werden sollen und funktionsf hige Filtereinrichtungen weder zentral noch auf den einzelnen Rechnern im LAN vorhanden und aktiviert sind 24 Datenschutz Entschlie ungen der 82 DSB Konferenz
148. icht Argument f r die ausnahmsweise Zul ssigkeit sein da eine bermittlung weltweit und unter Umst nden beliebig reproduzier bar stattfinden w rde Hinsichtlich der Offenkundigkeit kann nicht auf die Tatsa 148 Informationsfreiheit Live bertragung der BVV Sitzungen che abgestellt werden dass die Sitzung der BVV selbst ffentlich ist um auf die sem Wege offenkundige Daten i S d 6 BInDSG anzunehmen Eine ber mittlung w re demnach auch bei hypothetischer Anwendbarkeit des 6 Abs 1 Satz 2 BInDSG nicht ohne Einwilligung zul ssig Daher kommt eine zul ssige bermittlung nur dann in Betracht wenn eine Ein willigung der Betroffenen vorl ge V Weiteres Vorgehen 1 Gesetzliche Regelung Es w re empfehlenswert f r die Zukunft eine gesetzliche Vorschrift f r die ber mittlung der Sitzungen via Streamingdienste zu schaffen Ob dies im Wege einer Erg nzung des 32 der GO der BVV geschehen kann indem man einen neuen Absatz einf gt der die bertragung des ffentlichen Teils der Sitzung der BVV ausdr cklich erlaubt ist fraglich Denn eine solche Erlaubnisnorm w rde nicht ausreichen um die Rechte Dritter einzuschr nken Die GO ist als Innenrecht der BVV nicht geeignet Grundrechte zu beschr nken sofern die betreffende Norm nicht ausnahmsweise ein formell materielles Gesetz konkretisiert Ohne eine solche ausreichende Rechtsgrundlage wird man auf die Einholung der Einwilligungen der Verordneten ve
149. icht abgeschlossenen Diskussionen k nftige Rechtsvorschriften k nnen andere Regelungen enthalten 9 Siehe Fu note 8 8l Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 a 20 21 b 22 unterschiedlich sind Wie oben dargelegt haben einige Mitgliedstaaten be reits Erfahrungen in diesem Bereich w hrend andere das noch nicht haben Einrichtung einer Plattform zur Sensibilisierung der Beh rden f r Sicher heitsverletzungsverfahren Die Artikel 29 Datenschutzgruppe ist der Ansicht dass Handlungsbedarf be steht so dass alle nationalen Datenschutzbeh rden auf den gleichen Stand gebracht werden Zu diesem Zweck ist die Artikel 29 Datenschutzgruppe entschlossen eine Untergruppe zu bilden die als Plattform f r einen Mei nungs und Wissensaustausch dienen soll Das Ziel der Plattform ist die F r derung harmonisierter Verfahren und Konzepte die bei Benachrichtigungen im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten in den Mitgliedstaaten anzuwenden sind Anf nglich m chte sich die Artikel 29 Datenschutzgruppe dabei insbeson dere auf die folgenden Bereiche konzentrieren diese Liste kann sich je nach Bedarf ndern i Schaffung eines Wissenspools in Bezug auf die Um st nde unter denen eine Benachrichtigung von Einzelpersonen erforderlich ist ii Erstellung von Leitlinien in Bezug auf das Verfahren und den Zeit punkt der Benachrichtigung sowohl der nationalen
150. ichtend zu ma chen wenn sich die Verletzung in einem gr eren Ausma auf die Teil nehmer oder Nutzer deren Daten betroffen sind auswirkt 18 Bereiche in denen mit unterschiedlichen Vorgehensweisen zu rechnen ist 80 Die Angaben der Mitgliedstaaten zeigen dass sich einige kleine Unter schiede in der Vorgehensweise ergeben haben Sie werden nachfolgend auf gef hrt a Anwendungsbereich Trotz der Anreize den Anwendungsbereich auf an dere Akteure als die Anbieter elektronischer Kommunikationsdienste aus zuweiten haben die meisten Mitgliedstaaten dies nicht getan Ausnahmen Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 sind Deutschland und sterreich Das liegt allerdings daran dass diese Mitgliedstaaten bereits Vorschriften f r Verst e gegen die Datenschutz vorschriften erlassen hatten die sektor bergreifend anwendbar sind Auch in anderen Mitgliedstaaten haben die nationalen Datenschutzbeh rden als gute Praxis angeregt sie und die betroffenen Personen grunds tzlich zu benachrichtigen Dies ist zum Beispiel im Vereinigten K nigreich und in Irland der Fall Leitlinien Fast die H lfte der Mitgliedstaaten die Bestimmungen ent worfen oder Rechtsvorschriften vorgeschlagen haben sehen die Annahme von Leitlinien vor Verschiedene Stellen sind f r die Annahme der Leitlinien zust ndig In den meisten F llen werden damit die nationalen Datenschutzbeh rden be traut wie in Estl
151. ie folgenden Schlussfolgerungen und Empfehlungen formulieren Anwendungsbereich der Verpflichtung 31 Die Artikel 29 Datenschutzgruppe unterst tzt die Einf hrung einer Pflicht zur Anzeige von Datenschutzverst en in dem allgemeinen Rahmen die auf alle f r die Verarbeitung der Daten Verantwortlichen ausgeweitet wird Die Rechtfertigungsgr nde f r diese Verpflichtung gelten auch vollumf nglich f r andere f r die Verarbeitung von Daten Verantwortliche als die Betreiber ffentlich zug nglicher elektronischer Kommunikationsdienste Deshalb be gr t es die Artikel 29 Datenschutzgruppe dass die Kommission eine solche Ausweitung im Rahmen der berpr fung der Richtlinie 95 46 in Betracht zieht Kernelemente Definitionen Kriterien der Rechtsvorschriften ber Daten schutzverletzungen 32 33 34 Die meisten Mitgliedstaaten scheinen die Kernelemente der Sicherheitsver letzungsvorschriften der Datenschutzrichtlinie f r elektronische Kommuni kation in sehr hnlicher Form zu bernehmen Das umfasst die Definitionen Kriterien und andere wichtige Punkte Entsprechend wird erwartet dass die zust ndigen nationalen Beh rden und relevanten Akteure bei Sicherheitsver letzungen zunehmend nach diesen Vorgaben vorgehen sollten Diese Vorga ben und Verfahren werden sich deshalb in den n chsten Jahren in den EU Mitgliedstaaten verfestigen Dies l sst darauf schlie en dass die Kommission bei der Ausweitung der Ver
152. ie von den zust ndigen Beh rden und von der Artikel 29 Datenschutz gruppe mit Blick auf die Festlegung interner Prozesse und Kooperationsver fahren durchzuf hren sind In den Abschnitten V und VI wird insofern der Schwerpunkt auf die neuen Politikentwicklungen gelegt als darin der Ge samtanwendungsbereich und die Verfahren f r die erwarteten Aktionspl ne in Bezug auf die Verletzung des Schutzes personenbezogener Daten in Erinne rung gerufen und Politikempfehlungen gegeben werden Die hier zum Ausdruck gebrachten Meinungen pr judizieren nicht m glicher weise speziellere Leitlinien die auch im Zusammenhang mit der Annahme der technischen Durchf hrungsma nahmen gem Artikel 4 Absatz 5 der Da tenschutzrichtlinie f r elektronische Kommunikation durch die Kommission aufgestellt werden k nnen II DATENSCHUTZVERLETZUNGEN GEM SS DER DATENSCHUTZ RICHTLINIE F R ELEKTRONISCHE KOMMUNIKATION 7 Die revidierte Datenschutzrichtlinie f r elektronische Kommunikation legt w gt erstmals in der EU einen Rahmen f r eine Verpflichtung zur Anzeige von Siehe die Erkl rung die die Kommission 2009 zur Anzeigepflicht f r Datenschutzverst e vor dem Europ ischen Parlament im Zusammenhang mit der Reform des Rechtsrahmens f r die elektronische Kommunikation abgege ben hat KOM 2010 609 endg ltig vom 4 11 2010 76 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 Verst e gegen die Daten
153. ige Methoden zur Wahrung und ggf Durch setzung ihrer Rechte bereitgestellt werden Eine vorherige Folgenabsch tzung in Bezug auf den Datenschutz und den Schutz der Privatsph re ist ein n tzliches In strument f r eine solche Analyse VI Datensicherheit und integrit t Standardisierte Sicherheitsma nahmen zur Vermeidung unrechtm igen Zu griffs Verlustes oder rechtswidriger Ver nderung der aufgezeichneten Daten m ssen festgelegt und universell umgesetzt werden Um das Risiko unerw nsch ter Datentransfers und anderer schwerwiegender Angriffe von au en zu ver ringern sollten zus tzlich verl ssliche Verschl sselungstechniken und Authen tifizierungssysteme verwendet werden F r den Endverbraucher sollte klar er kennbar sein dass die im Fahrzeug verbauten Systeme zur Datenaufzeichnung und bermittlung diesen Standards vollauf gerecht werden Im Zusammenhang untereinander vernetzter Systeme sind entsprechende Sicherheitsma nahmen sogar von noch gr erer Bedeutung VII berwachung von Arbeitnehmern Dar ber hinaus sind gesetzliche Regelungen zum Schutz von Arbeitnehmern vor berwachung durch den Arbeitgeber zu beachten und zu respektieren wenn die ser Systeme installiert die der Verhaltenskontrolle von Arbeitnehmern oder der Ortung der Fahrzeugposition dienen z B Fahrtenschreiber oder Lokalisierungs dienste 123 Datenschutz Arbeitspapiere der IWGDPT 2 50 Sitzung am 12 13 September 2011 in Berlin
154. igen Stand der Einf hrung intelli genter Verbrauchsmesssysteme in den Mitgliedstaaten angefragt Die Mitglied staaten die die sechs Fragen beantworteten erkl rten in erg nzenden Anmerkun gen dass das Sicherheitsniveau demjenigen anderer breit angelegter Systeme wie Internetbanking vergleichbar sein m sse Aus den Antworten auf die weiteren zw lf Fragen wurde deutlich dass die Umsetzung von Programmen mit denen intelligente Verbrauchsmessungen bei Haushaltskunden der Energieversorger eingef hrt werden in vielen EU Mitgliedstaaten zu den relevanten und dr ngen den Problemen geh rt Der intelligenten Verbrauchsmessung kommt insofern be sondere Bedeutung zu als sie das Leben fast aller B rger beeinflussen kann da jeder B rger Strom und Gas bezieht Ihre Reichweite ist also au erordentlich be tr chtlich und beschr nkt sich nicht auf Technologiebegeisterte Das Ziel lautet dass bis 2020 insgesamt 80 der Kunden erfasst sein werden Intelligente Verbrauchsmessger te erm glichen die Erstellung bermittlung und Auswertung von Daten ber die Verbraucher und zwar in wesentlich gr erem Umfang als es mit herk mmlichen Messger ten ohne intelligente Zusatz funktionen m glich ist Demzufolge k nnen auch der Netzbetreiber auch als Verteilungsnetzbetreiber VNB bezeichnet die Energieversorger und andere Akteure detaillierte Informationen ber den Energieverbrauch und die Ver brauchsmuster erstellen und anhand
155. igkeiten k nnen auch mit einer ferngesteuerten Aktivierungs und Deaktivierungsfunktion f r die Versorgung ausgestattet sein Dadurch kann ein Energieversorger mittels Fernsteuerung eine verbrauchende Person zu oder abschalten Obwohl sich das Smart Metering bis heute auf den Verbrauch elektrischer Ener gie konzentriert geht man davon aus dass in der Zukunft die intelligenten Z h ler auch f r Wasser Gas und W rme eingesetzt werden Dementsprechend sind einige intelligente Z hler darauf ausgelegt die Messung f r unterschiedliche Ver sorgungsunternehmen durchzuf hren um eine unn tige Verdoppelung der Infra strukturen zu vermeiden Datenschutzrechtliche Probleme beim Smart Metering Seit seiner Einf hrung haben sich Gesetzgeber zahlreiche Datenschutzgruppen und Regulierungsbeh rden auf die Notwendigkeit des Schutzes der Privatsph re der Verbrauchenden beim Smart Grid konzentriert Es ist davon auszugehen dass das Smart Grid bis zu acht Mal mehr Daten als das jetzige Stromnetz gene rieren wird die in einigen F llen detaillierte Informationen ber eine Person er kennen lassen k nnten Diese Intensivierung der Stromverbrauchsdaten ist ver bunden mit dem Fernablesen und erfassen der Daten was Fragen in Bezug auf die Transparenz und die Kontrolle der Daten durch den Verbrauchenden auf wirft Forschungsergebnisse deuten darauf hin dass bei der Fortentwicklung des Smart Grids der Lebenswandel der Konsumierenden aus
156. igkeiten zu erwarten allerdings entspricht die Auswertung in dieser Stellungnahme dem von der Datenschutzgruppe in ihrer Stellungnahme 1 2010 verfolgten Konzept zu den Begriffen des f r die Datenverarbeitung Verantwort lichen und des Auftragsverarbeiters Die Verantwortlichkeiten die sich aus den Rechtsvorschriften zum Datenschutz ergeben sollten daher in eindeutiger Form so zugewiesen werden dass die Einhaltung der Datenschutzvorschriften in der Praxis in ausreichender Weise gew hrleistet ist Energieversorger In manchen Mitgliedstaaten ist der Energieversorger die juristische Person mit der gr ten Verantwortung f r die Verarbeitung personenbezogener Daten Die ses Unternehmen hat den Vertrag mit der von der Datenverarbeitung betroffenen Person geschlossen wodurch die Datenverarbeitung zustandekommt und da durch dass diese Unternehmen entscheiden welche Daten sie zur Erf llung ihrer Aufgaben ben tigen und wie sie diese erfassen speichern und verwenden lie e sich nat rlich sagen dass sie festlegen wof r und auf welche Weise die perso nenbezogenen Daten verarbeitet werden Damit stehen sie eindeutig als die f r die Datenverarbeitung Verantwortlichen fest in deren Verantwortungsbereich die Verarbeitung der personenbezogenen Daten f llt welche von einem Energiever 61 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 brauchsmessger t erstellt wurden die Datenschutzgruppe vertritt daher die Auf fa
157. ignale von Ba sisstationen und Wi Fi Zugangspunkten sammeln Technisch ist es m glich die berwachung im Geheimen durchzuf hren ohne den Inhaber zu informieren Die berwachung kann auch im Halbgeheimen erfolgen wenn die Leute ver gessen oder nicht richtig dar ber informiert werden dass die Dienste zur Stand ortbestimmung eingeschaltet sind oder wenn die Zugangseinstellungen der Standortdaten von privat auf ffentlich verstellt werden Selbst wenn Personen ihre Standortdaten im Internet bewusst ber Aufenthalts ort und Georeferenzierungsdienste verf gbar machen schafft der uneinge schr nkte globale Zugang neue Probleme die von Datendiebstahl zu Einbr chen und sogar zu k rperlichen Angriffen und Stalking f hren Wie bei anderen neuen Technologien auch liegt ein gro es Risiko in Bezug auf die Nutzung der Standortdaten in der schleichenden Ausweitung der Zweckbe stimmung Das hei t dass basierend auf der Verf gbarkeit eines neuen Datentyps neue Zweckbestimmungen entwickelt werden die zum Zeitpunkt der urspr ng lichen Erhebung der Daten nicht vorhergesehen wurden 4 Rechtsrahmen Die Datenschutzrichtlinie 95 46 EG ist der einschl gige Rechtsrahmen Sie findet in jedem Fall Anwendung in dem personenbezogene Daten als Folge der Verarbeitung von Standortdaten verarbeitet werden Die Datenschutzricht linie f r elektronische Kommunikation 2002 58 EG in der durch die Richtlinie 2009 136 EG ge
158. ikel 29 Datenschutzgruppe bereits eine Reihe von Empfehlungen unterbreitet Richtlinie 2010 40 EU des Europ ischen Parlaments und des Rates vom 7 Juli 2010 zum Rahmen f r die Ein f hrung intelligenter Verkehrssysteme im Stra enverkehr und f r deren Schnittstellen zu anderen Verkehrstr gern Abl L 207 1 2010 Art 10 Abs 3 der Richtlinie 2010 40 EU Vgl Intelligent Car Brochure p 16 auf http ec europa eu information_society activities intelligentcar docs right_column intelligent_car_brochure pdf Vgl f r die bundesstaatliche Ebene den Vorsto durch The Motor Vehicle Safety Act of 2010 H R 5381 Kalifornien war der erste Staat der gesetzlich verf gt hat dass die Hersteller ihren Kunden gegen ber den Ein bau von EDRs oder black boxes offenbaren m ssen Zur Gesetzgebung in Bezug auf Privatsph re im Zu sammenhang mit Datenaufzeichnung in Fahrzeugen siehe die Website der National Conference of State Legila tures auf http www ncesl org Detaillierte Informationen zum aktuellen Stand in Sachen Datenaufzeichnung in Fahrzeugen in den U S A finden sich auf der Seite der National Highway Traffic Safety Administration http www nhtsa gov EDR Vgl f r die bundesstaatliche Ebene den Vorsto durch The Motor Vehicle Safety Act of 2010 H R 5381 Franz sische Datenschutzbeh rde CNIL D lib ration n 2006 066 du 16 mars 2006 portant adoption d une recommendation relative la mise en oeuvre de dispo
159. indung mit einem oder mehreren errechneten Standort en erzielt werden Jedes intelligente mobile Endger t hat zumindest ein Kennzeichen die MAC Adresse Das Endger t kann noch andere eindeutige Identifikationsnummer haben die von dem Entwickler des Betriebssystems hinzugef gt wurden Diese Kennzeichen k nnen im Zusammenhang mit Geolokalisierungsdiensten ber mittelt und weiter verarbeitet werden Es ist eine Tatsache dass der Standort eines bestimmten Ger tes sehr pr zise bestimmt werden kann insbesondere wenn die verschiedenen Infrastrukturen zur Geolokalisierung kombiniert werden Ein sol cher Standort kann auf ein Haus oder einen Arbeitgeber hinweisen Insbesondere durch wiederholte Beobachtungen ist es m glich den Inhaber des Endger ts zu identifizieren Bei der Ber cksichtigung der verf gbaren Mittel zur Identifizier muss die Ent wicklung ber cksichtigt werden dass die Menschen dazu tendieren immer mehr pers nliche Standortdaten im Internet bekannt zu geben indem sie beispiels weise den Standort ihres Wohn oder Arbeitsplatzes zusammen mit anderen Iden tifizierungsdaten angeben Eine solche Offenlegung kann auch ohne ihr Wissen erfolgen wenn sie von anderen Leuten mit geografischen Tags versehen werden Diese Entwicklung macht es einfacher einen Standort oder ein Verhaltensmuster mit einer spezifischen Person in Verbindung zu bringen Gem Stellungnahme 4 2007 zum Begriff personenbezogene Daten sollte auch
160. inien der zust ndigen Beh rden Die Datenschutzrichtlinie f r elektro nische Kommunikation Artikel 4 Absatz 4 erlaubt es den zust ndigen na tionalen Beh rden ausdr cklich zu den drei nachfolgend genannten Punkten Leitlinien anzunehmen und Anweisungen zu erteilen a Umst nde unter denen die Benachrichtigung seitens der Betreiber ber eine Verletzung des Schutzes personenbezogener Daten erforderlich ist b Format der Benachrichtigung und c Verfahrensweise f r die Benachrichtigung Der vorgenannte Punkt a berechtigt die zust ndigen nationalen Beh rden beispielsweise dazu bestimmte personenbezogene Informationen festzule gen bei deren Beeintr chtigung wegen ihrer Sensibilit t das Kriterium auto matisch als erf llt gilt und die Benachrichtigungspflicht ausgel st w rde Sie k nnen danach auch festlegen f r welche Situationen in denen das Kri terium nicht erf llt ist keine Benachrichtigungspflicht besteht Je nachdem ob und wie die zust ndigen Beh rden diese Befugnis nutzen werden sich zu mindest in Bezug auf diese Punkte Unterschiede in der Vorgehensweise er geben F r Leitlinien und Anweisungen der zust ndigen Beh rden kann die Kommission jedoch Durchf hrungsma nahmen erlassen Siehe Abschnitt V und VI Technische Schutzma nahmen Unterschiede k nnen sich auch bei der An wendung der Ausnahmeregel in Bezug auf die technischen Schutzma nah men ergeben Mit diesen Ma nahmen werden die Daten f r al
161. ird der Vorsitzende grunds tzlich die Nicht ffentlichkeit der Sitzung herstellen Allein aus der Tatsache dass bestimmte Themen nicht in der f fentlichen Sitzung er rtert werden ergibt sich jedoch noch kein grundlegen der Unterschied zu den Parlamenten denn auch dort besteht gem Art 42 Abs 1 Satz 2 GG bzw Art 42 Abs 2 VvB die M glichkeit die ffentlich keit aus der Sitzung auszuschlie en Betrachtet man daher nur den ffent lichen Teil der BVV Sitzungen ergeben sich hinsichtlich der Entscheidungs kompetenz der BVV keine grundlegenden die stark abweichende Beurtei lung der Sitzungs bertragungen rechtfertigenden Unterschiede zu der Be richterstattung aus dem Abgeordnetenhaus Hinsichtlich der Wahlbefugnisse gilt es zu differenzieren Sofern die Be zirksamtsmitglieder gew hlt werden so geschieht dies entsprechend den Wahlvorschl gen der Fraktionen Die Bezirksamtsmitglieder selbst erf llen politische Selbstverwaltungsaufgaben und bed rfen des politischen Vertrau ens Sollten im Rahmen der Nominierung die pers nlichen Verh ltnisse ein zelner Anw rter er rtert werden so ist zu ber cksichtigen dass diese sich f r ein politisches ffentliches Amt bewerben Auch wenn diesbez glich kon krete Personalien er rtert werden so unterscheidet sich die Wahl der Be zirksamtsmitglieder daher nicht in qualitativer Weise von den in den Parla menten zu er rternden Personalfragen sodass auch diese Aufgabe keine an dere Be
162. it der Rechtm ig keit einer solchen Datenverarbeitung verwechselt werden Wenn die Standardein stellungen eines Betriebssystems die bertragung von Standortdaten erm glicht sollte das fehlende Einschreiten durch den Nutzer nicht f lschlicherweise als frei willige Einwilligung missverstanden werden In dem Ausma in dem Entwickler von Betriebssystem und andere Dienste der Informationsgesellschaft Standortdaten selbst aktiv verarbeiten beispielsweise wenn sie Zugang zu Standortinformationen von oder durch das Ger t erhalten m ssen sie ebenfalls von ihren Nutzern die vorherige Einwilligung in Kenntnis der Sachlage einholen Es muss klar sein dass eine solche Einwilligung freiwil lig weder durch die zwingende Annahme der allgemeinen Gesch ftsbedingungen eingeholt werden kann noch durch die M glichkeit zum Opt out Lokalisierungs dienste sollten standardm ig ausgeschaltet sei Die Standardeinstellung sollte aus sein und der Nutzer sollte dann die M glichkeit haben stufenweise bei be stimmten Anwendungen auf an zu stellen Einwilligung von Arbeitnehmern Die Einwilligung als rechtm ige Grundlage f r die Verarbeitung ist im Be sch ftigungsumfeld problematisch In ihrer Stellungnahme zur Verarbeitung personenbezogener Daten von Besch ftigten schrieb die Datenschutzgruppe Wird eine Einwilligung vom Besch ftigten erbeten und ist die Nichteinwilli gung mit tats chlichen oder potenziellen Nachteilen f r ihn
163. ite auf Viele Ver ffentlichungen die die Privatsph re be eintr chtigen werden vom Kodex nicht erfasst so etwa Schr gaufnahmen aus der Luft Hinzu kommt dass der Datenschutz Kodex nur f r die Unternehmen bindend ist die ihn unterzeichnet haben Deshalb ist jetzt der Gesetzgeber gefordert das Recht auf informationelle Selbst bestimmung im Internet mit einer umfassenden Regelung zu sch tzen die dem besonderen Gef hrdungspotential f r das Pers nlichkeitsrecht im Internet Rech nung tr gt Hierzu z hlt insbesondere ein gesetzlich verbrieftes Widerspruchs recht gegen die Ver ffentlichung das es den Betroffenen erm glicht bereits vor der Ver ffentlichung personenbezogener Daten im Internet Widerspruch einzule gen 27 Datenschutz Beschl sse des D sseldorfer Kreises Ein solches Vorab Widerspruchsrecht entspricht den Anforderungen die der D sseldorfer Kreis in seinem Beschluss vom 13 14 November 2008 nach Ausle gung des geltenden Rechts konkretisiert hat Besonders wichtig sind demnach die folgenden Punkte e Gesichter und Kfz Kennzeichen sind unkenntlich zu machen Eigent mer und Bewohner eines Hauses m ssen die M glichkeit erhalten die Ver ffentlichung der Geb udefassade durch einen Widerspruch zu verhindern die Widerspruchsm glichkeit muss vor wie auch nach der Ver ffentlichung bestehen e Die geplante Datenerhebung und der Hinweis auf die Widerspruchsm glich keit sind rechtzeitig bekannt zu g
164. l sse des D sseldorfer Kreises begehen Die Deutsche Krankenhausgesellschaft und die jeweiligen Landeskran kenhausgesellschaften werden dabei einbezogen Die Erfahrungen der Pr ft tigkeit sollen in eine regelm ige berarbeitung und Aktualisierung der Orientierungshilfe unter Ber cksichtigung der technischen Weiterentwicklung einflie en Die Aufsichtsbeh rden nehmen die Orientierungshilfe zustimmend zur Kenntnis 3 Beschl sse der Sitzung am 22 23 November 2011 in D sseldorf Anonymes und pseudonymes elektronisches Bezahlen von Internet Angebo ten erm glichen Die Aufsichtsbeh rden f r den Datenschutz im nicht ffentlichen Bereich haben zur Kenntnis genommen dass zahlreiche Internet Anbieter planen ihre Ge sch ftsmodelle so umzustellen dass ihre Angebote insbesondere Informations dienste und Medieninhalte nicht mehr nur werbefinanziert sondern auch gegen Bezahlung angeboten werden Das darf nicht dazu f hren dass den Nutzern die M glichkeit genommen wird sich im Internet anonym zu bewegen und Inhalte zur Kenntnis zu nehmen ohne dass sie sich identifizieren m ssen Das Recht sich m glichst anonym aus ffentlichen Quellen zu informieren ist durch das Recht auf informationelle Selbstbestimmung und durch Artikel 5 GG Recht auf Informationsfreiheit verfassungsrechtlich gesch tzt Dementspre chend ist in 13 Abs 6 Telemediengesetz vorgeschrieben dass die M glichkeit bestehen muss Telemedien a
165. ldungen soll sie dann Durchf hrungsma nahmen vorschlagen Die Erfahrungen die in den Mitgliedstaaten gesammelt wer den k nnen sehr hilfreiche Anregungen geben Es scheint besonders wichtig zu sein die Umst nde einheitlich festzulegen unter denen alle relevanten Datenschutzverletzungen angezeigt werden insbesondere in Bezug auf Ein richtungen die in mehreren Mitgliedstaaten angesiedelt sind Ein sp tes Ein greifen w rde das Risiko erh hen dass sich unterschiedliche Vorgehenswei sen unter den Mitgliedstaaten verfestigen Inhalt Auf der Grundlage des Rahmens der Datenschutzrichtlinie f r elektronische Kommunikation empfiehlt die Artikel 29 Datenschutzgruppe der Kommis sion in folgenden Bereichen von ihren bertragenen Befugnissen Gebrauch zu machen Erstens Festlegung der Umst nde unter denen eine Verletzung des Schutzes personenbezogener Daten gemeldet werden muss Dies erfordert die Pr zi sierung der Kriterien f r die Benachrichtigung von Einzelpersonen So k nnte die Benachrichtigungspflicht beispielsweise grunds tzlich greifen wenn sensible Daten verletzt wurden Eine Harmonisierung in diesem Be reich ist insbesondere f r Akteure wichtig die in mehr als einem Mitglied staat t tig sind d h es w re nicht erstrebenswert wenn die zust ndigen Be h rden einem Betreiber f r dieselbe Verletzung des Schutzes personenbezo gener Daten unterschiedliche Anforderungen zur Benachrichtigung stellen w rden Zweite
166. le Personen verschl sselt die nicht befugt sind Zugang zu den Daten zu haben Unter schiede k nnen auftreten da es gem Artikel 4 Absatz 3 den zust ndigen nationalen Beh rden obliegt zu bewerten ob die technischen Ma nahmen geeignet sind und ob sie angewendet werden VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN IN DEN MITGLIEDSTAATEN Die Artikel 29 Datenschutzgruppe hat den Stand der Umsetzung der neuen Vorschriften zur Verletzung des Schutzes personenbezogener Daten in den Rechtsvorschriften der Mitgliedstaaten berpr ft Diese berpr fung ist in ihrem Umfang begrenzt sie deckt nur die wichtigsten Bereiche ab und ba siert auf dem aktuellen Stand der Umsetzung Die Situation ndert sich na 7 Eine solche Beeintr chtigung w rde nachteilige Auswirkungen im Sinne von Artikel 4 Absatz 3 Unterabsatz 2 zus tzlich zu den in Erw gungsgrund 61 festgelegten F llen die immer nachteilige Auswirkungen haben dar stellen 79 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 15 16 17 t rlich Deshalb sollten die Ergebnisse nur als Zwischenergebnisse angese hen werden die nderungen unterworfen sind Jedes Mal wenn Mitglied staaten Vorschriften zur Umsetzung der Datenschutzrichtlinie f r elektroni sche Kommunikation erlassen wird das einen Einfluss auf die Ergebnisse haben Im Folgenden werden die Ergebnisse zusammengefasst Stand der Umsetzung Stichtag f r die Umsetzung der D
167. legt worden der Anbieter von Online Zahlungsdiensten zwingen w rde personalisierte Zahlungsmittel auch f r Micropayment Vorg nge anzu bieten Dies wird auf die Annahme gest tzt dass solche Dienste f r Geldw sche missbraucht werden k nnten Vgl Bericht und Empfehlungen zu Datenschutz und Privatsph re im Internet Budapest Berlin Memorandum angenommen auf der 20 Sitzung in Berlin Deutschland am 18 19 November 1996 http www datenschutz berlin de attachments 137 bbmen_de pdf Vgl Arbeitspapier Datenschutz bei der Verbreitung digitaler Medieninhalte und beim digitalen Fernsehen 42 Sit zung Berlin Deutschland 4 5 September 2007 http www datenschutz berlin de attachments 350 digit_de pdf N w Vgl 32 Internationale Konferenz der Datenschutzbeauftragten Jerusalem Israel 27 29 Oktober 2010 Resolution zu privacy by design http www justice gov i NR rdonlyres F8A79347 170C 4EEF AOAD 155554558 A5F 26502 ResolutiononPrivacybyDesign pdf 135 Datenschutz Arbeitspapiere der IWGDPT Empfehlungen Im Lichte des oben Gesagten gibt die Arbeitsgruppe die folgenden Empfehlun gen Gesetzgeber sollten von einem gesetzlichen Verbot von anonymen Mitteln zum Micropayment Abstand nehmen Es muss m glich bleiben allt gliche Eink ufe auch im Online Bereich zu t tigen ohne sich einzig f r das Bezahlen identifizie ren zu m ssen Gesetzgeber sollten das Angebot anonymer oder wenigstens pseudonymer Be
168. lgerung Mit der Einf hrung intelligenter Verbrauchsmessungen die den Weg f r intelli gente Stromversorgungsnetze frei machen entsteht ein v llig neues komplexes Modell gegenseitiger Wechselbeziehungen das besondere Herausforderungen an 72 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 die Anwendung des Datenschutzrechts stellt Aus den Antworten auf den Frage bogen der Generaldirektion Energie geht hervor dass die Situation in den EU Mitgliedstaaten sehr unterschiedlich ist sowohl hinsichtlich der Fortschritte bei der Einf hrung als auch hinsichtlich der Energieversorgungssysteme wodurch sich die Sachlage weiter kompliziert Eindeutig klar ist jedoch die immense Trag weite intelligenter Verbrauchsmessungen Vor Ende dieses Jahrzehnts d rften entsprechende Systeme in den Haushalten der berwiegenden Mehrheit der B r ger Europas installiert sein In dieser Stellungnahme wird die Anwendbarkeit des Datenschutzrechts erl u tert dabei wird dargelegt dass von den Messger ten personenbezogene Daten verarbeitet werden und somit die Datenschutzvorschriften Anwendung finden Mit dieser Stellungnahme wird aufgezeigt dass intelligente Verbrauchsmessun gen das Potenzial f r vielf ltige neue Formen der Datenverarbeitung und der Kundendienstleistungen bieten Egal wie die Datenverarbeitung erfolgt ob auf hnliche Weise wie zu den Zeiten vor Einf hrung intelligenter Systeme oder in v llig neuartiger Form
169. llte Profile nach einem angemessenen Zeitraum gel scht werden e Wenn der Entwickler des Betriebssystems und oder der f r die Verarbeitung der Infrastruktur zur Geolokalisierung Verantwortliche eine Kennnummer wie die MAC Adtresse oder die UDID in Bezug auf die Standortdaten verarbeitet darf die Kennnummer h chstens f r die Dauer von 24 Stunden f r Betriebs zwecke gespeichert werden Br ssel den 16 Mai 2011 F r die Datenschutzgruppe Der Vorsitzende Jacob KOHNSTAMM 114 V Internationale Konferenz der Datenschutzbeauftragten 33 Konferenz vom 1 3 Novemer 2011 in Mexiko Stadt Entschlie ung ber die Verwendung eindeutiger Kennungen bei der Nut zung von Internet Protokoll Version 6 IPv6 Heute hat sich das Internet zur wichtigsten Technologie f r die bermittlung jeder Art von Kommunikation entwickelt sei es Sprache Video oder Daten und es wurde zur Grundlage fast aller gesch ftlicher Transaktionen und sozialer Inter aktionen Angesichts der drohenden Ersch pfung der Adressen die vom gegen w rtig genutzten Internet Protokoll Version 4 IPv4 zur Verf gung gestellt wer den angesichts der anhaltenden enormen weltweiten Nachfrage f r Internet adressen und angesichts der Notwendigkeit des Internets zur Unterst tzung einer wachsenden Palette neuer Ger te einschlie lich Sensoren und intelligenter Z h ler das Internet der Dinge wurde ein neues Internetprotokoll IPv6 IP Ver sion 6 standa
170. luierung sollten zwei wichtige Erw gungen angestellt werden Zuerst sollten Versorgungsunternehmen festlegen welche auf Smart Meter basierten Informationen f r die rechtm igen Ziele erforderlich sind und auf welcher Ebene der Identifizierbarkeit und nicht welche Informationen durch Smart Meter verf gbar sind Sodann sollten Mechanismen eingesetzt wer den die den Verbrauchenden die Kontrolle ber alle verf gbaren nicht notwen digen Informationen erm glichen Zweitens sollten nur die zur Erf llung der 11 http www privacybydesign ca content uploads 2010 03 achieve goldstnd pdf 128 Datenschutz Arbeitspapiere der IWGDPT festgelegten Zwecke erforderlichen personenbezogenen Daten die Wohnung des Verbrauchenden ber den intelligenten Stromz hler verlassen Um sicherzustel len dass die Verbrauchenden stets die Kontrolle ber ihre Daten behalten ist es wesentlich dass sie vollst ndig ber die Daten die ihre Wohnungen verlassen informiert werden Sie sollten in die Lage versetzt werden dar ber zu bestim men welche Daten bermittelt werden und gegebenenfalls eingreifen k nnen Studien haben gezeigt dass Versorgungsunternehmen keine detaillierten Infor mationen ber den Stromverbrauch einzelner Verbrauchender ben tigen um den Netzlastausgleich zu schaffen Um den Fluss personenbezogener Daten so gering wie m glich zu halten k nnen Energieversorger Verfahren wie Anonymisierung Pseudonymisierung oder Datenagg
171. m glich war Anwendung des Datenschutzrechts auf die Verarbeitung von ber intelli gente Verbrauchsmessger te erfassten Daten Wenn die von einem intelligenten Verbrauchsmessger t generierten und weiter verbreiteten Informationen personenbezogene Daten enthalten f llt die Verarbei tung dieser Daten nach Auffassung der Datenschutzgruppe unter die Richtlinie 95 46 EG Aus den zu diesem Thema vorliegenden allgemeinen Informationen und aus aus f hrlichen auf einzelstaatlicher Ebene gef hrten Diskussionen zum Betrieb intel ligenter Verbrauchsmessger te geht hervor dass von der Verarbeitung der folgen den Arten von Daten ausgegangen werden kann e die eindeutige Identifikationsnummer des intelligenten Verbrauchsmessger ts und oder die eindeutige Kennummer des Geb udes selbst ohne diese Kenn daten kann das Messger t m glicherweise anhand seines eindeutigen Energie lastdiagramms identifiziert werden e Metadaten zur Konfiguration des intelligenten Verbrauchsmessger ts e eine Beschreibung der bermittelten Mitteilung beispielsweise ob es sich um eine Messger teablesung oder um eine Alarmmeldung bei unautorisierten Ein griffen am Ger t handelt e Datums und Zeitstempel Inhalt der Mitteilung Der Inhalt der Mitteilung enth lt blicherweise die folgenden Arten von Infor mationen e Ablesedaten des Z hlers Dabei kann es sich um einen einzelnen Ablese wert oder bei komplexeren Tarifen um eine Gruppe mehrerer
172. m hungen allerdings noch nicht f r ausreichend Will man die Internetnutzerinnen und nutzer dazu bef higen Vorteile und Gefahren von Internetangeboten abzuw gen und selbstverantwort lich zu entscheiden in welchem Umfange sie am digitalen Leben teilhaben wol len sind weitergehende und nachhaltige Anstrengungen notwendig Vor allem ist sicherzustellen dass 1 dabei viel intensiver als bisher die M glichkeiten des Selbstdatenschutzes der verantwortungsvolle Umgang mit den Daten anderer und die individuellen und gesellschaftlichen Auswirkungen einer leichtfertigen Nutzung des Internets thematisiert werden 2 sich die schulischen und au erschulischen Programme und Projekte zur F r derung von Medienkompetenz nicht auf Fragen des Jugendmedienschutzes und des Urheberrechts beschr nken sondern den Datenschutz als wesent lichen Bestandteil mit einbeziehen 3 Medien und Datenschutzkompetenz entweder in einem eigenst ndigen Schul fach oder in einem F cherspektrum mit Leitf chern verpflichtend zu veran kern ist 21 Datenschutz Entschlie ungen der 82 DSB Konferenz 4 die Vermittlung von Datenschutz als integraler Bestandteil von Medienkom petenz ausdr cklich in den Bildungsstandards und Lehrpl nen verankert wird und dass die entsprechenden Anforderungen bewertungs bzw pr fungsrele vant ausgestaltet werden und 5 Medien und Datenschutzkompetenz und insbesondere die digitale Aufkl rung zum verbindlichen Gegens
173. me in Bezug auf die Integrit t zu bestimmen die Entwicklung von L sungen und Standards auszuweiten und sie in die in Kanada eingesetzten Smart Grid Produkte und Dienstleistungen einzubauen 18 http tacd org index2 php option com_docman amp task doc_view amp gid 294 amp Itemid 19 http epic org privacy smartgrid NIST_Smartgrid_Priv_Guidelines pdf 20 http www wise uwaterloo ca SmartGrid Minister_directive_smart_grid_20101123 pdf 21 http www eff org files PoliciesandProcedures_150ct2010_OpeningComment pdf 22 http sgeanada org media 2011 04 Smart Grid Priorities for Canada in 2011 pdf 133 Datenschutz Arbeitspapiere der IWGDPT Datenschutz und elektronisches Micropayment im Internet bersetzung Hintergrund ffentliche u erungen prominenter Medienunternehmen deuten darauf hin dass sich die ra der kostenfreien Nutzung von Online Medien ihrem Ende n hern k nnte Verschiedene Anbieter von Online Diensten und insbesondere On line Zeitungen weltweit beginnen den Zugriff auf ihre Dienste ausschlie lich gegen eine Geb hr anzubieten Die diskutierten Gesch ftsmodelle reichen von Abonnements bei denen ein Zu griff auf Basis einer monatlichen Geb hr angeboten wird bis zu pay per view Gesch ftsmodellen bei denen ein kleiner Geldbetrag f r den Zugriff auf eine Einzelinformation gezahlt wird sog Micropayment z B f r einen einzelnen Artikel in einer Online Zeitung oder einen Video Clip
174. n bermittelten Informationen Mit der Einf hrung intelligenter Verbrauchsmessger te entstehen auch komplexe und neuartige Abl ufe f r die Verarbeitung personenbezogener Daten Die meis ten betroffenen Personen haben weder von der Art dieser Abl ufe noch von den m glichen Auswirkungen auf ihre Privatsph re eine Vorstellung Wenn sie aber keine Kenntnis von der Verarbeitung der personenbezogenen Daten haben k n nen sie hier ber auch keine Entscheidungen in voller Kenntnis der Sachlage tref fen Die Pflicht die betroffenen Personen ber die Verarbeitung ihrer personen bezogenen Daten zu informieren ist eines der Grundprinzipien der Datenschutz richtlinie In Artikel 10 ist die Bereitstellung dieser Informationen geregelt und der f r die Datenverarbeitung Verantwortliche wird dazu verpflichtet der betrof fenen Person die folgenden Informationen vorzulegen e die Identit t des f r die Verarbeitung Verantwortlichen und gegebenenfalls sei nes Vertreters e die Zweckbestimmungen der Verarbeitung e weitere Informationen die eine faire Datenverarbeitung erm glichen Hierzu z hlen die Identit t der Empf nger der personenbezogenen Daten sowie das Bestehen von Auskunfts und Berichtigungsrechten Die f r die Datenverarbeitung Verantwortlichen die f r die Installation und War tung der Z hler verantwortlich sind sind gehalten den betroffenen Personen zu erkl ren welche Informationen aus dem Messger t erfasst werden und
175. n Aus diesen Aufgaben der BVV ist die unterschiedliche Bewertung der bertragung der Sitzungen daher nicht zu erkl ren Im Rahmen der Entscheidungsbefugnisse gem 12 BezVG befindet die BVV nicht ber formell materielle Gesetze als Teil der Exekutive macht sie lediglich von Erm chtigungen des parlamentarischen Gesetzgebers Ge brauch und erl sst in diesem Rahmen sog nur materielle Gesetze in der Form der Satzung oder der Rechtsverordnung bzw sie erteilt ihre Zustim mung zu den Verordnungen des BA Rechtsverordnung und Satzungen sind aber abstrakt generelle Regelungen und daher hinsichtlich ihrer Formulie rung mit formell materiellen Gesetzen vergleichbar Sofern demensprechend 7 Zivier Verfassung und Verwaltung von Berlin 90 4 5 8 Zivier Verfassung und Verwaltung von Berlin 90 4 6 9 Zivier Verfassung und Verwaltung von Berlin 90 4 7 142 Informationsfreiheit Live bertragung der BVV Sitzungen vor der Beschlussfassung in der Sitzung ein untergesetzlicher Rechtsakt vor bereitet und diskutiert wird unterscheiden sich die u erungen in ihrer Qua lit t oder Intensit t nicht von solchen wie sie im Zusammenhang mit der Be schlussfassung im Abgeordnetenhaus get tigt werden Sollte im konkreten Fall ein Satzungsbeschluss insbesondere ein Bebauungsplan den betroffenen Personenkreis in besonderer Weise eingrenzen und sollten in diesem Zu sammenhang personenbezogene Daten von Privatpersonen offenbart werden so w
176. n unberechtigter Zugang folgt b Rechtliche Kriterien f r die Benachrichtigung von Personen und Beh rden Artikel 4 Absatz 3 Unterabs tze 1 und 2 Anhand der Kriterien entschei det sich wann eine Stelle in der es zu einer Datenverletzung gekommen ist dazu verpflichtet ist die Beh rden und betroffenen Personen zu unterrich Wie definiert in Artikel 2 der Richtlinie 2002 21 EG des Europ ischen Parlaments und des Rates vom 7 M rz 2002 ber einen gemeinsamen Rechtsrahmen f r elektronische Kommunikationsnetze und dienste in der durch die Richtlinie 2009 140 EG und Verordnung 544 2009 ge nderten Fassung Rahmenrichtlinie Sie gilt f r An bieter von gew hnlich gegen Entgelt erbrachten Diensten die ganz oder berwiegend in der bertragung von Signalen ber elektronische Netze bestehen Die Definition nimmt die Bereitstellung von Inhalten und von Diens ten der Informationsgesellschaft aus die nicht ganz oder berwiegend in der bertragung von Signalen ber elektronische Netze bestehen Richtlinie 1995 46 EG des Europ ischen Parlaments und des Rates vom 24 Oktober 1995 zum Schutz nat rlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Amtsblatt L 281 vom 23 11 1995 Artikel 2 Buchstabe a der Datenschutzrichtlinie alle Informationen ber eine bestimmte oder be stimmbare nat rliche Person betroffene Person als bestimmbar wird eine Person angesehen die direkt oder in
177. n Bildern und vom Browserverlauf beispielsweise zu einer Kontaktliste Dies erm glicht es den Anbietern von auf der Geolokalisierung basierenden Diensten einen pers nlichen berblick ber die Gewohnheiten und Muster der Inhaber solcher Endger te zu bekommen und umfassende Profile zu erstellen Von dem Muster der Inaktivit t bei Nacht k nnen R ckschl sse auf den Schlaf platz gezogen werden und aus einem regelm igen Reisemuster am Morgen kann der Standort des Arbeitgebers geschlossen werden Das Muster kann auch Daten umfassen die basierend auf dem sogenannten Social Graph aus den Bewe gungsmustern der Freunde erschlossen werden Ein Verhaltensmuster kann besondere Datenkategorien enthalten wenn es zum Beispiel Besuche im Krankenhaus oder an religi sen Orten aufzeigt oder die An wesenheit bei politischen Demonstrationen oder an bestimmten anderen Orten 6 Der Begriff Social Graph weist auf die Sichtbarkeit von Freunden in sozialen Netzwerken hin sowie auf die M glichkeiten Verhaltensmerkmale anhand der Daten ber diese Freunde zu erschlie en 95 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 die Daten zum Beispiel ber das Sexualleben offenbaren Diese Profile k nnen f r Entscheidungen herangezogen werden die den Inhaber massiv beeintr chti gen Die Technologie von intelligenten mobilen Endger ten erm glicht die st ndige berwachung von Standortdaten Smartphones k nnen st ndig S
178. n Durchf hrungsma nahmen regeln k nnte Die Artikel 29 Datenschutzgruppe empfiehlt einen harmonisierten Rahmen f r den Fall der Verletzung des Schutzes personenbezogener Daten in allen Mitgliedstaaten Dieser sollte ihrer Meinung nach auf den Erfahrungen der zust ndigen nationalen Beh rden aufbauen die bereits mit Sicherheitsverlet zungen befasst sind Zeitplanung Angesichts des langwierigen Verfahrens zum Erlass von Durchf hrungsma nahmen und der vorgeschriebenen Konsultation der verschiedenen Interes sengruppen der ENISA der Artikel 29 Datenschutzgruppe und des Euro 13 Siehe die vorgenannten Stellungnahmen 150 und 159 der Artikel 29 Datenschutzgruppe 14 Zweite Stellungnahme des Europ ischen Datenschutzbeauftragten zur berpr fung der Richtlinie 2002 58 EG ber die Verarbeitung personenbezogener Daten und den Schutz der Privatsph re in der elektronischen Kommu nikation Datenschutzrichtlinie f r elektronische Kommunikation ABl C 128 vom 6 6 2009 S 28 86 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 b 38 p ischen Datenschutzbeauftragten fordert die Artikel 29 Datenschutz gruppe die Kommission dazu auf die Durchf hrungsma nahmen so bald wie m glich anzugehen Die Artikel 29 Datenschutzgruppe schl gt vor dass die Kommission hierzu unter anderem eine Erhebung ber die ersten Verfahren macht die von den zust ndigen Beh rden entwickelt werden Auf der Grundlage der R ckme
179. n Form verarbeitet werden und per sonenbezogene Daten einem gr eren Empf ngerkreis unmittelbar zur Verf gung stehen als es gegenw rtig der Fall ist Die Artikel 29 Datenschutzgruppe ist sich dar ber im Klaren dass die Umst nde je nach Mitgliedstaat erheblich variieren k nnen und das Spektrum von Staaten reicht in denen nach entsprechender staatlicher Initiative die Einf hrung weit ge hend abgeschlossen ist bis hin zu Staaten in denen berhaupt keine entspre chenden Messger te installiert sind Auch der Grad der Beteiligung der Datenschutzbeh rden variiert erheblich So weit noch nicht geschehen m chte die Datenschutzgruppe daher alle Akteure der intelligenten Verbrauchsmesstechnik daran erinnern wie wichtig die Konsulta tion der Datenschutzbeh rde ist 56 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Weitere Unterschiede sind in den Strukturen der M rkte der Mitgliedstaaten sowie bei der Zust ndigkeit f r die Installation der Verbrauchsmessger te festzu stellen In einigen Mitgliedstaaten sind im Besitz der ffentlichen Hand befindli che Versorgerbetriebe zust ndig In anderen L ndern stehen die Versorger auf dem Markt miteinander im Wettbewerb Verteilungsnetzbetreiber nehmen in eini gen L ndern eine besonders herausgehobene Stellung ein In bestimmten Mit gliedstaaten ist der Austausch der Messger te bei jedem Kunden vorgeschrieben Wenn der Messz hler an den VNB eingesandt wird
180. n Markt zielen auch dann an europ ische Daten schutzstandards halten m ssen wenn sie ihren Sitz au erhalb Europas haben Die Konferenz stellt insbesondere fest dass die direkte Einbindung von Social Plugins beispielsweise von Facebook Google Twitter und anderen Plattformbe treibern in die Webseiten deutscher Anbieter ohne hinreichende Information der Internet Nutzenden und ohne Einr umung eines Wahlrechtes nicht mit deutschen und europ ischen Datenschutzstandards in Einklang steht Die aktuelle von So cial Plugin Anbietern vorgesehene Funktionsweise ist unzul ssig wenn bereits durch den Besuch einer Webseite und auch ohne Klick auf beispielsweise den Gef llt mir Knopf eine bermittlung von Nutzendendaten in die USA ausge l st wird auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind Die Social Plugins sind nur ein Beispiel daf r wie unzureichend einige gro e Betreiber sozialer Plattformen den Datenschutz handhaben So verwendet Face book mittlerweile Gesichtserkennungs Technik um Bilder im Internet bestimm ten Personen zuzuordnen Betroffene k nnen sich dem nur mit erheblichem Auf wand entziehen Sowohl Facebook als auch Google verlangen dass die Nutzen den sich identifizieren obwohl nach deutschem Recht aus guten Gr nden die M glichkeit zumindest einer pseudonymen Nutzung solcher Dienste er ffnet werden muss Die Datenschutzbeauftragten des Bundes und der L nder fordern dahe
181. n des Bundes und der L nder fordern den Gesetzge ber auf Rechtssicherheit auch f r die Strafverfolgungsbeh rden zu schaffen und die Zul ssigkeit und die Voraussetzungen der Quellen Telekommunikations berwachung unter strenger Beachtung der Vorgaben des Bundesverfassungsge richts zu kl ren Gravierende Defizite bei der Umsetzung des SWIFT Abkommens dringen der Handlungsbedarf auf nationaler und europ ischer Ebene Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder missbil ligt dass wie eine Pr fung der Gemeinsamen Kontrollinstanz von Europol er geben hat EU Zahlungsdaten auf der Grundlage viel zu abstrakter Anfragen 1 Der von der Gemeinsamen Kontrollinstanz von Europol vor wenigen Tagen ver ffentlichte ffentliche Teil des Kontrollberichts zur Umsetzung des SWIFT Abkommens ist auf der Homepage der GKI http europoljsb consilium europa eu about aspx abrufbar 15 Datenschutz Entschlie ung zwischen der 81 und 82 DSB Konferenz von US Seite umfassend in die USA bermittelt wurden Im Ergebnis wurden damit nicht einmal die im Abkommen festgelegten unzureichenden Datenschutz regeln beachtet Das europ ische Polizeiamt Europol hat jedem US Ersuchen zu gestimmt obwohl aufgrund der Abstraktheit der schriftlichen Ersuchen mit nur m ndlicher Begr ndung eine abkommenskonforme Erforderlichkeitspr fung durch Europol nicht m glich war Die angeforderten Daten wurden stets ohne Abstric
182. n erforderlich ist nicht aber f r den Schutz der personenbezogenen Daten Hier sollten zumindest zwei besondere berlegungen angestellt werden Erstens sollte wenn dem Verbraucher mehrere Optionen angeboten werden entweder im Hinblick auf die Art des Z hlers oder auf dessen Grundeinstellung die Stan dardeinstellung die datenschutzfreundlichste Einstellung sein Zweitens sollte selbst wenn sich die Verbrauchenden f r eine detaillierte Erfassung ihrer Ver 12 Vgl z B Kursawe K Danezis G Johlweiss M 2011 Privacy Friendly Aggregation for the Smart Grid and Jawurek M Johns M and Kerschbaum F 2011 Plug in privacy for Smart Metering billing beide in Fischer H bner S and Hopper N Eds Proceedings of the 11th Privacy Enhancing Technologies Symposium Waterloo ON July 2011 129 Datenschutz Arbeitspapiere der IWGDPT brauchsdaten durch die intelligenten Z hler entschieden haben vor jeder einzel nen Nutzung oder Weitergabe dieser Daten f r andere als die Prim rzwecke die informierte positive Einwilligung dieser Personen eingeholt werden 3 Der Datenschutz sollte ein wesentlicher Bestandteil bei der Ausgestal tung von Smart Meter Systemen und Anwendungen sein Da Smart Meter Initiativen in immer mehr Rechtssystemen weltweit zu finden sind werden eine Reihe von Best Practices der Wirtschaft und rechtliche Anfor derungen entwickelt Diese werden die Bem hungen der Energieversorger und Dritter vorantreib
183. n sollte wenn der Geolo kalisierungsdienst eingeschaltet ist Das k nnte beispielsweise mittels eines dau erhaft zu sehenden Icons gemacht werden Die Datenschutzgruppe empfiehlt den Anbietern von Geolokalisierungsanwen dungen oder diensten die individuelle Einwilligung nach einer angemessenen Zeitspanne zuerneuern selbst wenn keine nderung in der Art der Verarbeitung erfolgt ist Es w re beispielsweise nicht richtig Standortdaten weiterhin zu ver 106 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 arbeiten wenn die betreffende Person den Dienst w hrend der letzten zw lf Mo nate nicht aktiv genutzt hat Selbst wenn eine Person den Dienst genutzt hat sollte sie zumindest einmal im Jahr oder h ufiger wenn die Art der Verarbeitung dies erforderlich macht an die Art der Verarbeitung ihrer personenbezogenen Daten erinnert werden und es sollte ihr eine einfache M glichkeit zum Ausschal ten aufgezeigt werden Schlie lich muss die betroffene Person die M glichkeit haben ihre Einwilligung auf eine sehr einfache Weise und ohne negative Auswirkungen auf die Verwen dung des Endger ts zur ckzuziehen Unabh ngig von den europ ischen Daten schutzrichtlinien hat das World Wide Web Consortium W3C einen Norment wurf f r Geolocation API herausgegeben der die Notwendigkeit der vorherigen ausdr cklichen Einwilligung in Kenntnis der Sachlage betont W3C erkl rt ins besondere dass der Widerruf einer
184. n sowie den Vorgaben zur rzt lichen Schweigepflicht f r den Krankenhausbetrieb und den Einsatz von Infor mationssystemen in Krankenh usern ergeben In Teil 2 werden Ma nahmen zu deren technischer Umsetzung beschrieben F r die Hersteller von Krankenhaus informationssystemen die diese nutzenden Krankenh user und die internen Da tenschutzbeauftragten von Krankenh usern liegt damit erstmals ein Orientie rungsrahmen f r eine datenschutzkonforme Gestaltung und einen datenschutzge rechten Betrieb entsprechender Verfahren vor Die Aufsichtsbeh rden im nicht ffentlichen Bereich werden sich an dem vorlie genden Dokument als Leitlinie bei der k nftigen Bewertung konkreter Verfahren im Rahmen ihrer Kontroll und Beratungst tigkeit orientieren Dabei ist zu be r cksichtigen dass ein Teil der am Markt angebotenen L sungen nach den Er kenntnissen der Datenschutzbeh rden in technischer Hinsicht gegenw rtig noch hinter den darin enthaltenen Anforderungen zur ckbleibt Es ist daher von der Notwendigkeit einer angemessenen bergangsfrist f r erforderliche Anpassun gen durch die Hersteller auszugehen Stellen die Aufsichtsbeh rden im Zuge ihrer Kontrollt tigkeit Defizite im Ver gleich zu den dargelegten Ma st ben fest so werden sie auf die Krankenh user einwirken und sie dabei unterst tzen in einem geordneten Prozess unter Wah rung der Patientensicherheit Wege zur Behebung der Defizite zu finden und zu 32 Datenschutz Besch
185. n tendenziell mit einer bidirektionalen Kom munikationsfunktionalit t ausgestattet Diese erm glicht es den Versorgungs unternehmen die Messger te aus der Ferne abzulesen bei einer deutlichen Kos tenreduzierung im Vergleich zu Messger ten die vor Ort durch einen Besch ftig ten des Energieversorgers abgelesen werden Diese Funktion erm glicht den Verbrauchenden zunehmend die Kontrolle ihres Energieverbrauchs pro zur ck liegendem Intervall in Online Web Portalen Die bidirektionale Kommunikation erlaubt den Versorgungsunternehmen auch die Aktivierung von Lastausgleichs funktionen bei denen die Energieversorger den Energieverbrauch durch Kom munikation mit den intelligenten Messger ten in teilnehmenden Haushalten er mitteln k nnen In einigen Rechtsr umen kann der Verbrauchende eine spezielle 2 Pacific Northwest National Laboratory The Smart Grid An Estimation of the Energy and CO2 Benefits http energyenvironment pnnl gov news pdf PNNL 19112_Revision_1_Final pdf 3 Pike Research Nov 2 2009 Smart Meter Installations to Reach 250 Million Worldwide by 2015 online http www pikeresearch com newsroom smart meter installations to reach 250 million worldwide by 2015 125 Datenschutz Arbeitspapiere der IWGDPT Einrichtung an das Ger t anschlie en die automatisch seinen ihren Energiever brauch basierend auf der Netzbelastung kontrolliert Manche intelligenten Strom z hler mit bidirektionalen Kommunikationsf h
186. n von Kindern schrieb die Artikel 29 Datenschutzgruppe Es sollte niemals vorkommen dass Kinderaus Sicherheitsgr nden mit einem berma an berwachung 12 WP48 Stellungnahme 8 2001 zur Verarbeitung personenbezogener Daten von Besch ftigten ro WP160 Stellungnahme 2 2009 zum Schutz der personenbezogenen Daten von Kindern Allgemeine Leitlinien und Anwendungsfall Schulen 105 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 konfrontiert werden die ihre Selbstbestimmung einschr nken w rde Vor die sem Hintergrund gilt es das richtige Gleichgewicht zwischen dem Schutz der Intimit t und Privatsph re von Kindern und ihrer Sicherheit zu finden Der Rechtsrahmen sieht vor dass Eltern daf r verantwortlich sind dass das Recht der Kinder auf Privatsph re gew hrleistet ist Wenn Eltern entschei den dass die Nutzung einer solchen Anwendung unter bestimmten Umst n den berechtigt ist m ssen die Kinder wenigstens informiert werden Sobald dies vern nftigerweise m glich ist m ssen sie an der Entscheidung ber die Nutzung einer solchen Anwendung beteiligt werden Die Einwilligung muss f r den konkreten Fall und f r jeden der unterschiedlichen Zwecke gegeben werden aus denen die Daten verarbeitet werden Der f r die Verarbeitung Verantwortliche muss es sehr deutlich klarstellen ob sein Dienst darauf beschr nkt ist auf die freiwillige Frage Wo bin ich jetzt gerade eine Antwort zu geben o
187. nbezogene Daten behandelt werden sollte f hrt die Erhebung dieser Daten auch zur Verarbeitung personenbezogener Daten Un geachtet der Art auf die diese Daten erhoben werden einmalig oder st ndig sollte der Eigent mer einer solchen Datenbank die Verpflichtungen aus der Da tenschutzrichtlinie erf llen 5 1 2 Anbieter von Geolokalisierungsanwendungen und diensten Intelligente mobile Endger te erm glichen die Installation von Software Dritter sogenannter Anwendungen Solche Anwendungen k nnen die Standortdaten und andere Daten von einem intelligenten mobilen Endger t unabh ngig von dem Entwickler des Betriebssystems und oder dem f r die Verarbeitung der Infra struktur f r die Geolokalisierung Verantwortlichen verarbeiten Beispiele solcher Dienste sind Wettervorhersagen f r die Regenwahrscheinlich keit in den n chsten paar Stunden in einer ganz bestimmten Region Dienste die Informationen ber nahegelegene Gesch fte anbieten Dienste die die Identifi zierung eines verlorenen Mobiltelefons anbieten oder die den Standort von Freunden anzeigen Der Anbieter einer Anwendung die zur Verarbeitung von Standortdaten f hig ist ist der f r die Verarbeitung der personenbezogenen Daten Verantwortliche die aus der Installation und der Verwendung der Anwendung resultieren Nat rlich ist es nicht immer erforderlich gesonderte Software auf einem intelli genten mobilen Endger t zu installieren Viele Dienste zur Geolokalisieru
188. nd bestimmte Bezeichnung der Telekommuni kation ausreichend sein soll um Verkehrsdaten bei den Telekommunikations diensteanbietern erheben zu d rfen Diese Aussage wird mit einer allgemeinen Subsidiarit tsklausel verkn pft Diese 2001 in die Strafprozessordnung einge f gte Regelung ist unzureichend da sie weder hinreichend bestimmt ist noch den heutigen technischen Gegebenheiten entspricht Aktuelle Ger te erzeugen durch ihren Datenverkehr ohne aktives Zutun des Besitzers eine Vielzahl von Verkehrs daten die sp ter in einer Funkzellenabfrage erhoben werden k nnen Die Funkzellenabfrage ist ein verdeckter Eingriff in das Fernmeldegeheimnis Art 10 GG Sie richtet sich unterschiedslos gegen alle in einer Funkzelle anwe senden Mobilfunkger tebesitzer nicht nur wie etwa eine Telekommunikations berwachung nach 100 a StPO gegen bestimmte einzelne Tatverd chtige Sie offenbart Art und Umst nde der Kommunikation von u U Zehntausenden von Menschen die selbst keinen Anlass f r einen staatlichen Eingriff gegeben haben Sie schafft damit des Weiteren die M glichkeit diese Personen rechtswidrig wegen Nicht Anlasstaten etwa Verst en gegen das Versammlungsgesetz zu verfolgen Sie ist bezogen auf einzelne Personen ein Instrument der Verdachtsge nerierung Die Strafprozessordnung regelt nicht n her wie die Beh rden mit den erhobenen Daten umzugehen haben insbesondere nicht ber welche Zeitr ume zu welchen Personen und in
189. nderten Fassung findet nur auf die Verarbeitung von Daten der Basisstation von ffentlichen elektronischen Kommunikationsdiensten und netzen Telekombetreiber Anwendung 4 1 Von Telekombetreibern verarbeitete Daten von Basisstationen Telekombetreiber verarbeiten im Rahmen der Bereitstellung von ffentlichen elektronischen Kommunikationsdiensten st ndig Daten von Basisstationen Sie k nnen dies auch tun um Dienste mit Zusatznutzen bereitzustellen Dieser Fall wurde bereits von der Datenschutzgruppe in der Stellungnahme 5 2005 WP 115 7 Merke dass die Bereitstellung von ffentlichen Wi Fi Hotspots durch Telekombetreiber auch als ffentlicher elektronischer Kommunikationsdienst gilt und deshalb vorrangig die Bestimmungen der Datenschutzrichtlinie f r elektronische Kommunikation erf llen sollte 96 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 behandelt Obwohl einige der Beispiele in der Stellungnahme durch die ausge weitete Nutzung der Internettechnologie und der Sensoren in immer kleineren Endger ten zwangsl ufig berholt sind bleiben die rechtlichen Schlussfolgerun gen und Empfehlungen aus dieser Stellungnahme in Bezug auf die Verwendung der Daten von Basisstationen g ltig 1 Da sich Standortdaten von Basisstationen auf bestimmte oder bestimmbare Personen beziehen unterliegen sie den Bestimmungen zum Schutz personen bezogener Daten die in der Datenschutzrichtlinie 95 46 EG vom 24 Oktober 19
190. nen personenbezogene Daten offengelegt werden sofern nicht das Interesse oder die Grundrechte der betroffenen Person berwiegen 3 Siehe Erlass Nr 2010 1022 Frankreich vom 31 August 2010 65 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Entscheidend ist hierbei dass der R ckgriff auf diese Rechtsgrundlage von der angemessenen Gewichtung der Interessen und Rechte der betroffenen Personen abh ngig ist Vordergr nding scheint es unstrittig dass eine effizientere Energie versorgung und effizienterer Energieverbrauch im berechtigten Interesse des f r die Datenverarbeitung Verantwortlichen und der Gesellschaft insgesamt l gen und dass dies durch die Erfassung personenbezogener Daten aus intelligenten Verbrauchsmessger ten erreicht werden k nnte Nur weil diese besondere Ver wendung personenbezogener Daten scheinbar berechtigt und f r viele w n schenswert erscheint bedeutet dies jedoch nicht dass damit jeder Teil der Da tenverarbeitung legitimiert werden kann Anders ausgedr ckt die Notwendigkeit den Energieverbrauch zu senken berwiegt auch wenn sie ein sinnvolles Ziel der Politik der ffentlichen Hand w re nicht in jedem Fall gegen ber den Rech ten und dem Interesse der betroffenen Personen Es versteht sich von selbst dass durch praxisnahe Ma nahmen wie Technologien zum besseren Schutz der Privatsph re und Datenschutz Folgenabsch tzungen mit denen die Sicherheit und der Schutz der
191. ng sind auch ber einen Browser zug nglich Ein Beispiel hierf r ist die Nutzung einer Online Karte die eine Person durch eine Stadt f hrt 5 1 3 Entwickler des Betriebssystems Der Entwickler des Betriebssystems eines intelligenten mobilen Endger ts kann ein f r die Verarbeitung der Standortdaten Verantwortlicher sein wenn das End ger t direkt mit dem Nutzer interagiert und personenbezogene Daten erhebt bei 11 Das mobile Endger t kann die verschiedenen Standortdaten die es empf ngt bermitteln damit der f r die Ver arbeitung Verantwortliche den Standort des Endger ts berechnen kann oder damit es seinen Standort selbst be rechnen kann In beiden F llen ist das Ger t ein wesentliches Mittel f r die Verarbeitung 102 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 spielsweise durch das Anfordern einer Erstregistrierung als Nutzer und oder durch die Erhebung von Standortinformationen zur Verbesserung der Dienste Als ein f r die Verarbeitung Verantwortlicher muss der Entwickler die Grund s tze des eingebauten Datenschutzes anwenden um eine heimliche berwa chung entweder durch das Endger t selbst oder durch verschiedene Anwendun gen und Dienste zu verhindern Ein Entwickler ist auch der f r die Verarbeitung der Daten Verantwortliche die er verarbeitet wenn das Endger t eine Phone Home Funktion f r seinen Aufent haltsort hat Da in diesem Fall der Entwickler ber die Mittel und Zwecke d
192. ng von Daten durch f r die Verarbeitung Verantwortliche wie die An bieter spezieller Anwendungen 5 3 Berechtigter Grund 5 3 1 Intelligente mobile Endger te Wenn Telekombetreiber die Daten der Basisstation nutzen wollen um einem Kunden Dienste mit Zusatznutzen anzubieten m ssen sie nach der ge nderten 103 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Datenschutzrichtlinie f r elektronische Kommunikation die vorherige Einwilli gung des Kunden einholen Sie m ssen auch sicherstellen dass der Kunde ber die Bedingungen der Verarbeitung informiert ist Angesichts der Sensibilit t der Verarbeitung von Mustern von Standortdaten ist die vorherige Einwilligung in Kenntnis der Sachlage auch die wichtigste Grund lage um die Verarbeitung von Daten in Bezug auf die Verarbeitung der Standorte eines intelligenten mobilen Endger ts im Zusammenhang mit Diensten der Infor mationsgesellschaft zu legitimieren Gem Artikel 2 Buchstabe h der Datenschutzrichtlinie muss die Einwilligung ohne Zwang f r den konkreten Fall und in Kenntnis der Sachlage als freie Wil lensbekundung der betroffenen Person gegeben werden Abh ngig von der Art der verwendeten Technologie spielt das Endger t des Nut zers eine relativ aktive Rolle bei der Verarbeitung der Daten zur Bestimmung der Geoposition Das Ger t kann Standortdaten von verschiedenen Quellen an jeden Dritten bertragen Diese technische F higkeit sollte nicht m
193. ngsmittel wie z B die Geldkarte zu einem zumindest pseu donymen Zahlungsmittel f r Telemedien weiterentwickelt werden k nnen Dies k nnte z B durch die Ausgabe nicht personengebundener White Cards erfol gen die ber Einzahlungsautomaten bei Banken und anderen Kreditinstituten an onym aufgeladen werden k nnen Schlie lich nehmen die Aufsichtsbeh rden mit Sorge zur Kenntnis dass ein aktueller Gesetzentwurf der Bundesregierung zum Geldw schegesetz BT Drs 17 6804 die Gefahr birgt dass das anonyme elektronische Bezahlen gesetz lich unterbunden wird Die Intention des Telemediengesetzes die pseudonyme bzw anonyme Nutzung von Telemedien zu erm glichen w rde zunichte ge macht Die Aufsichtsbeh rden unterst tzen die Forderung der 82 Konferenz der Datenschutzbeauftragten des Bundes und der L nder am 28 29 September 2011 in M nchen die M glichkeit zum elektronischen anonymen Bezahlen insbeson dere f r Kleinbetr ge sog Micropayment zu erhalten Besch ftigtenscreening bei AEO Zertifizierung wirksam begrenzen Der D sseldorfer Kreis hat sich bereits mehrfach mit dem Problem des Mitarbei terscreenings befasst zuletzt durch Beschluss vom 23 24 04 2009 Es gibt An lass die Problematik erneut aufzugreifen In den letzten Jahren ist insbesondere die Zollverwaltung im Rahmen der Bewil ligung des zollrechtlichen Status eines zugelassenen Wirtschaftsbeteiligten AEO Zertifizierungen dazu berg
194. nonym oder unter Pseudonym zu nutzen soweit dies technisch m glich und zumutbar ist Der Nutzer ist ber diese M glichkeiten zu informieren Diese Rechte sind in Gefahr wenn Daten ber die Nutzung einzelner Medienan gebote entstehen Wenn Inhalte gegen Bezahlung angeboten werden sollen muss verhindert werden dass personenbeziehbare Daten ber jeden einzelnen Abruf von Beitr gen aus Online Zeitungen oder einzelner Sendungen im Internet TV entstehen Die Aufsichtsbeh rden f r den Datenschutz im nicht ffentlichen Bereich for dern die Anbieter von Telemedien auf ihren gesetzlichen Verpflichtungen aus 13 Abs 6 des Telemediengesetzes bei der Einf hrung von kostenpflichtigen In halten nachzukommen Es muss ein Bezahlungsverfahren angeboten werden das auf der ganzen Linie anonym oder mindestens pseudonym ausgestaltet ist Eine Zahlung ber pseudonyme Guthabenkarten w rde die datenschutzrechtlichen 33 Datenschutz Beschl sse des D sseldorfer Kreises Anforderungen erf llen Es reicht dagegen nicht aus wenn sich z B der Inhalte anbieter f r die Abwicklung der Zahlverfahren eines Dritten bedient und dieser eine Identifizierung der Betroffenen verlangt Die Kreditwirtschaft hat es bisher vers umt datenschutzgerechte Verfahren mit ausreichender Breitenwirkung anzubieten oder zu unterst tzen Die Aufsichtsbe h rden fordern diese auf zu berpr fen inwieweit bereits im Umlauf befindliche elektronische Zahlu
195. ns Festlegung der Vorgehensweise im Fall einer Datenschutzverlet zung Dazu k nnten beispielsweise konkretere Fristen f r die Meldung einer Verletzung an die Beh rden geh ren Die Vorgehensweise k nnte auch be stimmte Verfahrensschritte vorsehen zum Beispiel die berpr fung der Sys temsicherheit oder die Hinzuziehung forensischer Ermittler zur Untersu chung der Fakten und Umst nde der Datenschutzverletzung Drittens Basierend auf den Erfahrungen der zust ndigen nationalen Beh r den auch aus der Anwendung der Artikel 19 20 und 21 der Richtlinie 95 46 fordert die Artikel 29 Datenschutzgruppe die Kommission dazu auf EU Standardmuster zu erstellen die f r die Benachrichtigung zu verwenden sind Bei den Standardmustern an die zust ndigen Beh rden sollten zumin 87 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 c 39 dest Kopfzeilen enthalten sein d h Beschreibung der Verletzung die Fol gen die unternommenen vorgeschlagenen Ma nahmen um den Beh rden bei der Bewertung der Verletzung im Rahmen ihrer Kontrollbefugnisse zu helfen Viertens Die Artikel 29 Datenschutzgruppe bef rwortet die Festlegung der Modalit ten f r die Zustellung der Benachrichtigung an Einzelpersonen im Wege von Durchf hrungsbefugnissen wobei Leitlinien dazu herausgegeben werden sollten ob eine Zustellung per E Mail oder eine telefonische Be nachrichtigung zuzulassen ist Auch f r die F lle in denen eine Benachr
196. nt mer z B Autovermieter oder Firmenflottenverwalter und Versicherungsgesellschaften k nnten die EDR Daten nutzen um bei Rechtsstreitigkeiten Zeugenaussagen zu berpr fen Polizei und andere Beh rden z B k nnte die f r die Sicherheit des Stra Benverkehrs zust ndige Beh rde die Informationen zur Vervollst ndigung der Beweislage bei einem Verkehrsunfall nutzen Arbeitgeber aus organisatorischen und Sicherheitsgr nden Versicherungsgesellschaften zur Einteilung der Kunden in spezifische Tarifgruppen z B nach der Fahrweise oder nach Regionen in die gefah ren wird Forschung zur Verbesserung der Verkehrsinfrastruktur Werbe und Marketingagenturen k nnten auf Grundlage der Daten Ver haltensanalysen durchf hren um so spezifisch zugeschnittene Angebote zu platzieren andere Dienstleister z B Pannenhilfe 12 Die oben aufgef hrten Entwicklungen erfordern besonders sorgf ltige ber legungen in Bezug auf den Datenschutz und die Pers nlichkeitsrechte sowohl der Fahrer als auch aller potentiellen Passagiere Ein angemessener Aus gleich mit anderen individuellen Rechten und Interessen und mit dem ffent lichen Interesse an der Sicherheit des Stra enverkehrs muss erreicht werden 13 Die Europ ische Kommission hat 2008 eine Mitteilung betreffend einen Ak tionsplan zum Thema Intelligente Verkehrssysteme ver ffentlicht Gleich 3 Aktionsplan zum Einsatz intelligenter Verkehrssysteme In Eur
197. ntit t der betroffenen Personen abzufragen 5 6 Aufbewahrungsfristen Anbieter von Geolokalisierungs und Anwendungsdiensten sollten Aufbewah rungsfristen f r die Standortdaten festlegen die den Zeitraum nicht berstiegen der f r die Zwecke ben tigt wird f r die die Daten erhoben wurden oder weiter verarbeitet werden Sie m ssen sicherstellen dass Standortdaten oder die anhand dieser Daten erstellten Profile nach einem angemessenen Zeitraum gel scht wer den Sollte es f r den Entwickler des Betriebssystems und oder den f r die Verarbei tung einer Infrastruktur zur Geolokalisierung Verantwortlichen nachweislich er forderlich sein anonyme Standortdaten f r den Zweck der Aktualisierung oder Verbesserung des Dienstes zu erheben muss mit u erster Sorgfalt vorgegangen werden um zu vermeiden dass die Daten indirekt erkennbar gemacht werden Selbst wenn ein mobiles Endger t mit einem wahllos zugewiesenen Unique De vice Identifier UDID identifiziert wird sollte eine solche Kennnummer maxi mal f r die Dauer von 24 Stunden f r Betriebszwecke gespeichert werden Nach diesem Zeitraum sollte die UDID weiter anonymisiert werden Dabei muss be r cksichtigt werden dass eine wahre Anonymisierung in zunehmendem Ma e schwieriger wird und dass die kombinierten Standortdaten dennoch zu einer Identifizierung f hren k nnten Eine solche UDID sollte weder mit fr heren noch zuk nftigen UDIDs des Endger ts verkn pft werden k nnen n
198. ntlich oder unrechtm ig gel scht oder ge ndert werden wenn sie verlorengegangen sind oder wenn Unbefugte darauf zugegriffen oder sie weitergegeben haben Nach der Mitteilung beabsichtigt die Kommission eine Pr fung der Modalit ten f r die Einf hrung einer Anzeigepflicht bei Daten schutzverst en in der allgemeinen Datenschutzregelung die alle Sektoren abdeckt und mit der Anzeigepflicht gem der Datenschutzrichtlinie f r elektronische Kommunikation bereinstimmen sollte Die Artikel 29 Datenschutzgruppe begr t dies da sie davon berzeugt ist dass sektor bergreifende Meldungen von Sicherheitsverletzungen dem Ein zelnen helfen die notwendigen Schritte f r eine Begrenzung des m glichen aus der Verletzung resultierenden Schadens zu unternehmen Au erdem wird die Anzeigepflicht von Datenschutzverletzungen Unternehmen dazu anhal ten f r mehr Datensicherheit zu sorgen und ihre Rechenschaftspflicht st rken EMPFEHLUNGEN F R ZUK NFTIGE ENTWICKLUNGEN BEI DER MELDUNG VON DATENSCHUTZVERLETZUNGEN Nachdem sowohl die Situation in den Mitgliedstaaten Abschnitt III als auch die aktuelle Situation auf EU Ebene Abschnitte II und IV analysiert wurde 12 Siehe Seiten 6 7 der Mitteilung der Kommission Gesamtkonzept f r den Datenschutz in der Europ ischen Union KOM 2010 609 endg ltig vom 4 11 2010 84 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 m chte die Artikel 29 Datenschutzgruppe d
199. ntsprechen Sie h lt es aber den noch f r konstruktiv im Folgenden auch zu anderen Aspekten der vorgeschlage nen Richtlinie Stellung zu nehmen 3 Zwecke In der vorgeschlagenen Richtlinie sind zwei allgemeine Zwecke der Verarbeitung mit vier spezifischen Aktivit ten angegeben PNR Daten k nnen nur zu folgen den Zwecken verarbeitet werden Verh tung Aufdeckung Aufkl rung und strafrechtliche Verfolgung von terro ristischen Straftaten und schwerer Kriminalit t durch berpr fung von Flug g sten vor ihrer Ankunft bzw ihrem Abflug durch Abgleich mit relevanten Da tenbanken Zweck 1 Aktivit t 1 und durch Beantwortung von Anfragen zu st ndiger Beh rden in besonderen F llen Zweck 1 Aktivit t 2 Verh tung Aufdeckung Aufkl rung und strafrechtlichen Verfolgung von ter roristischen Straftaten und schwerer grenz berschreitender Kriminalit t durch berpr fung von Flugg sten vor ihrer Ankunft bzw ihrem Abflug anhand be stimmter Kriterien Zweck 2 Aktivit t 3 und durch Auswertung von PNR Daten zwecks Aktualisierung oder Aufstellung neuer Kriterien Zweck 2 Ak tivit t 4 Es ist nicht klar was diese Zwecke in der Praxis bedeuten Mit Aktivit t 1 Zweck 1 scheint ein Abgleich mit Beobachtungslisten der SIS Datenbank oder anderen Datenbanken auf EU Ebene und nationaler Ebene gemeint zu sein Mit Aktivit t 2 Zweck 1 scheint der individuelle Austausch von Informationen auf grund einer konkreten Anfrag
200. ntweder a nur solche Daten gesendet werden die bereits innerhalb des Praxisnetzes ver schl sselt und integrit tsgesch tzt wurden oder b eine Zwei Faktor Authentifikation des Berechtigten stattfindet mit der zum Zugang verwendeten Hard und Software ausschlie lich Zu gang zu medizinischen Netzen besteht sowie die KBV Richtlinien zur Online Anbindung von Praxis EDV Systemen an das KV SafeNet eingehalten werden 29 Datenschutz Beschl sse des D sseldorfer Kreises Datenschutzgerechte Smartphone Nutzung erm glichen Smartphones sind Mobiltelefone die insbesondere im Zusammenhang mit der Nutzung des Internet ber deutlich mehr Computerfunktionalit ten und Kommu nikationsm glichkeiten verf gen als herk mmliche Mobiltelefone Smartphones werden f r eine Vielzahl von Aktivit ten genutzt und sind damit in weitaus gr Berem Umfang als sonstige Ger te der Informations und Kommunikationstech nik pers nliche Ger te die den Nutzer im Alltag permanent begleiten ber das Telefonieren hinaus er ffnen auf den Ger ten installierbare Programme Apps Lokalisierungsfunktionen GPS und Bewegungssensoren eine breite Palette von Anwendungsbereichen Die dabei anfallenden Daten lassen detail lierte R ckschl sse auf Nutzungsgewohnheiten Verhaltensweisen oder Aufent haltsorte der Nutzer zu Im Gegensatz zu herk mmlichen PCs bieten Smartphones den Nutzern jedoch nur rudiment re M glichkeiten
201. och sollte sie mit einem festen Kennzeichen des Nutzers oder des Telefons wie die MAC Adresse IMEI oder IMSI Nummer oder einer sonstigen Kontonummer ver kn pfbar sein 110 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 In Bezug auf die Daten ber Wi Fi Zugangspunkte ist Folgendes zu beachten Sobald die MAC Adresse eines Wi Fi Zugangspunktes basierend auf der st ndi gen Beobachtung von Inhabern intelligenter mobiler Endger te einem neuen Standort zugeordnet ist muss der vorherige Standort umgehend gel scht werden So soll die weitere Nutzung der Daten f r unangemessene Zwecke verhindert werden Dazu z hlt Marketing das auf Personen abzielt die ihren Standort ge wechselt haben 6 Schlussfolgerungen Mit Hilfe von Technologien zur Geolokalisierung wie Daten von Basisstationen GPS und kartografierten Wi Fi Zugangspunkten k nnen intelligente mobile Endger te durch alle m glichen f r die Verarbeitung Verantwortlichen aufgesp rt werden Die Zwecke reichen hierbei von Behavioural Targeting zur berwachung von Kindern Da Smartphones und Tablet PCs untrennbar mit ihrem Inhaber verbunden sind bieten die Bewegungsmuster dieser Endger te eine sehr pers nliche Einsicht in das Privatleben ihrer Eigent mer Eine der gro en Gefahren ist dass die Inhaber nicht wissen dass sie ihren Standort bermitteln und an wen Eine weitere damit in Verbindung stehende Gefahr ist die Ung ltigkeit der Einwilligung
202. ogramm Datenschutzrechtliche Erw gungen m ssen Entscheidungen zur Architektur und zur Ausgestaltung des Informationsflusses innerhalb dieses Netzwerks antreiben genauso wie die Stra tegien zu Smart Grid Daten die von einer zunehmenden Anzahl von Einheiten gehalten werden was sich bei der Erzielung des Nutzens dieser Investition als hilfreich erweisen wird Da der Datenschutz in die technische Entwicklung inte griert werden muss kann er keine angemessene Ber cksichtigung finden wenn Richtlinien erst nach der vollst ndigen Entwicklung der Technologien geschaffen werden 13 http ec europa eu energy gas_electricity smartgrids doc expert_group2 pdf 14 http ec europa eu justice policies privacy docs wpdocs 2011 wp183_de pdf 15 http eur lex europa eu LexUriServ LexUriServ do uri COM 2011 0202 FIN DE PDF 16 http www bfdi bund de SharedDocs Publikationen Entschliessungssammlung DSBundLaender 80DSK_Daten schutzBeiDerDigitalenMessung pdf _blob publicationFile 17 http hes standards org doc SC25_WGI1_N1475 pdf 132 Datenschutz Arbeitspapiere der IWGDPT Trans Atlantic Consumer Dialogue TACD Unterst tzen Sie den Daten schutz und die Datensicherheit durch die Ausgestaltung einschlie lich der Da tenminimierung Anonymisierung und Aggregation sowie Modellen bei denen die Kontrolle der Verbrauchenden ber ihre Energieverbrauchsdaten im Vorder grund steht National Institute of Standards and Technology
203. ollten nicht ausschlie lich von den Informationen aus der Daten aufzeichnung abh ngig gemacht werden Zu Zwecken der Qualit tsanalyse sind die aufgezeichneten Daten durch ausgewiesene Sachverst ndige zu pr fen und sorgf ltig unter Heranziehung weiterer Nachweise und Begleitumst nde abzu gleichen IV Privacy by Design Das Leitmotiv bei der Entwicklung und Einf hrung von Systemen zur Daten aufzeichnung in bzw der Interaktion mit Fahrzeugen sollte es sein den Daten schutz und den Schutz der Privatsph re von vornherein in die Gesamtkon zeption einzubeziehen Derartige Systeme sollten darauf ausgerichtet sein die Notwendigkeit der Verarbeitung personenbezogener Daten zu minimieren und zugleich einen potentiellen Missbrauch personenbezogener Daten zu verhin dern 122 Datenschutz Arbeitspapiere der IWGDPT V Zugriff auf personenbezogene Daten Vor einer Einf hrung ist das Augenmerk auf den Schutz der Privatsph re zu rich ten und klar festzulegen wer unter welchen Voraussetzungen z B Richtervorbe halt auf die aufgezeichneten personenbezogenen Daten zugreifen darf Dies gilt insbesondere in Hinsicht auf solche personenbezogenen Daten die nicht aus schlie lich vom Fahrer stammen Ihm selbst ist das freie und vollumf ngliche Zu griffsrecht auf seine eigenen Daten grunds tzlich zuzuerkennen Hinsichtlich aller anderen Personen deren personenbezogene Daten aufgezeichnet werden k nnten sollten klare und zweckm
204. onenbezogener Daten f r diesen Verwendungszweck genannt wurden Ein derart langer Aufbe wahrungszeitraum w re allerdings nur dann akzeptabel wenn die betroffene Per son der Inanspruchnahme eines entsprechenden Service zugestimmt hat F r an dere Dienstleistungsangebote m sste ein wesentlich k rzerer Speicherungszeit raum vorgeschrieben werden 68 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Dar ber hinaus w re denkbar dass die Verbraucher einen Gro teil dieser Daten auf dem Messger t oder einem vergleichbaren Zwischenger t bei dem es sich nicht um das f r die Rechnungsstellung verwendete Ger t handelt speichern k nnten Die betroffene Person k nnte dann eine selbstst ndige Entscheidung ber die Datenspeicherung treffen In diesem Fall w re es sinnvoll dass die Ver braucher durch ein System mit Erinnerungs oder Aufforderungsmeldungen bei der Verwaltung dieser Daten unterst tzt werden Verarbeitung personenbezogener Daten durch Dritte Es ist abzusehen dass Dritte bzw Energiedienstleistungsunternehmen in erhebli chem Umfang an der Einf hrung und Unterst tzung intelligenter Verbrauchs messungen beteiligt sein werden die Datenschutzgruppe h lt daher eine genaue Pr fung dieses Sachverhalts f r notwendig Einfluss und Beteiligung Dritter va riieren je nach Mitgliedstaat allerdings ist klar dass die Einf hrung intelligenter Verbrauchsmessungen mit denen besonders weitreichende Eingriffe
205. opa COM 2008 886 119 Datenschutz Arbeitspapiere der IWGDPT zeitig hat die Kommission eine entsprechende Richtlinie vorgeschlagen die k rzlich durch den Rat und das Europ ische Parlament verabschiedet wurde Diese Richtlinie die bis Februar 2012 durch die Mitgliedsstaaten umgesetzt werden muss verlangt beim Einsatz intelligenter Verkehrssysteme die Verwendung anonymer Daten soweit dies angemessen ist Der Daten schutz und ein verantwortungsvoller Umgang mit den gesammelten Informa tionen sind in dem Aktionsplan wie in der Richtlinie von zentraler Bedeu tung um das Ziel effizienterer umweltfreundlicher und sichererer Mobilit t im Fracht und Passagierverkehr innerhalb der Europ ischen Union zu errei chen 14 Durch das Rahmenprogramm f r Forschung und technologische Entwick lung in der Europ ischen Union wurde eine Vielzahl von Forschungsprojek ten aufgelegt die inzwischen teilweise abgeschlossen sind oder immer noch andauern um die Sicherheit auf den Stra en zu erh hen In einigen Juris diktionen wurden Gesetzesvorschl ge entwickelt in anderen sogar bereits Gesetze verabschiedet die unter anderem auf den Schutz der Privatsph re des Fahrers im Zusammenhang mit dem Einsatz von EDR abzielen 15 Zeitgleich wird von Seiten der Datenschutzbeauftragten ein Anstieg der E EDR Verwendung zur Verwaltung von Fahrzeugflotten registriert Im Rah men der europ ischen E call Initiative hat die Art
206. papiere der IWGDPT ANHANGA Beispiele von Privacy by Design in Smart Grid Konsultationsdokumenten Expert Group 2 Wenn der Datenschutz w hrend der Ausgestaltungsphase des Smart Grid Privacy by Design ber cksichtigt wird ist es m glich daraus nut zer und unternehmensfreundliche L sungen zu entwickeln Seien Sie sich ber das zuk nftige Einschleichen von Funktionen bewusst und integrieren Sie Datenschutz und Datensicherheitsaspekte fr hzeitig in die Entwicklung durch die Anwendung der Privacy and Security by Design Prinzipien Artikel 29 Arbeitsgruppe Die Einf hrung intelligenter Verbrauchsmessver fahren muss so erfolgen dass der Datenschutz von Anfang an mit einbezogen wird und zwar nicht nur hinsichtlich der Sicherheitsma nahmen sondern auch dadurch dass die Menge der verarbeiteten personenbezogenen Daten minimiert wird Europ ische Kommission Die Task Force Intelligente Netze ist bereinge kommen dass ein Privacy by Design Ansatz erforderlich ist Dieser Ansatz wird in die Normen eingearbeitet werden die von den europ ischen Normungs gremien entwickelt werden Konferenz der Datenschutzbeauftragten des Bundes und der L nder Deutschland Die Gew hrleistung des Datenschutzes muss dabei bereits bei der Konzeption und Gestaltung der Infrastruktur zur Energiemessung und der technischen Einrichtungen erfolgen Public Interest Energy Research PIER Pr
207. pe die Notwendigkeit des Erhalts der M glichkeit zum anonymen Zugriff auf digitale Medien und besonders beim digitalen Fernsehen unterstrichen In j ngerer Zeit sind diese Prinzipien erneut in dem Konzept des privacy by de sign best tigt worden Diese Prinzipien k nnten gef hrdet sein wenn der Zugang zu Online Medien und anderen Diensten gegen Geb hr angeboten wird ohne dass anonyme Zah lungsmethoden zur Verf gung stehen Wir k nnten in eine Situation geraten in der Nutzende sich allein zum Zweck der Bezahlung f r einen Dienst identifizie ren m ssen Insbesondere besteht ein Risiko dass Micropayment Vorg nge z B das Be zahlen f r das Ansehen eines spezifischen Artikels in einer Online Zeitung zum Entstehen von Nutzungsdaten f hren die Spuren dar ber enthalten wer welchen Artikel in welchem Online Medium zu welcher Zeit gelesen hat Gegenw rtig sind im Online Bereich nur wenige Zahlungsmittel verf gbar die denselben Grad von Anonymit t wie Bargeld in der Offline Welt haben Die meisten der g ngigen Zahlungsmethoden z B Kreditkarten Mobiltelefone Zahlungsdiensteanbieter oder ber Bankkonten erlauben im Gegenteil keine an onyme Nutzung W hrend anonyme Guthabenkarten erh ltlich sind wird die Zahlung mit diesen Mitteln gegenw rtig nur von einer Minderheit von Online Diensteanbietern an geboten Gleichzeitig ist in Deutschland ein Gesetzentwurf durch die deutsche Bundesre gierung vorge
208. pflichtung auf andere Akteure auf dieselben oder auf sehr hnliche Kernelemente bauen sollte wie in der Datenschutzrichtlinie f r elektro nische Kommunikation Das gilt f r die Definition und insbesondere f r die Kriterien f r die Benachrichtigung der betroffenen Personen wonach eine Benachrichtigung erforderlich ist wenn anzunehmen ist dass die Verletzung personenbezogener Daten die personenbezogenen Daten oder Personen in ihrer Privatsph re beeintr chtigt Nachdem Erfahrungen bei der Anwendung dieser Kriterien gewonnen wur den w re es kontraproduktiv auf andere f r die Verarbeitung von Daten Ver antwortliche als die Betreiber ffentlich zug nglicher elektronischer Kom munikationsdienste andere Kriterien anzuwenden Dar ber hinaus wurden die spezifischen Vorschriften f r den Fall der Verletzung des Schutzes perso nenbezogener Daten in der ge nderten Datenschutzrichtlinie f r elektroni sche Kommunikation w hrend des Gesetzgebungsverfahrens das der An nahme der Datenschutzrichtlinie f r elektronische Kommunikation voraus 85 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 ging ausgiebig diskutiert Bei dieser Debatte wurden die Stellungnahmen der Artikel 29 Datenschutzgruppe und des Europ ischen Datenschutzbe auftragten zusammen mit den Ansichten anderer Interessengruppen be r cksichtigt Die Vorschriften in die die Standpunkte der verschiedenen Interessengruppen eingeflossen sind sin
209. r Anbieter von Geolokalisie rungsanwendungen und diensten und Entwickler der Betriebssysteme intelli genter mobiler Endger te 6 3 Berechtigte Gr nde Da die Standortdaten intelligenter mobiler Endger te sehr pers nliche Details ber das Privatleben ihrer Nutzer offenlegen ist der wichtigste berechtigte Grund die vorherige Einwilligung in Kenntnis der Sachlage Die Einwilligung kann nicht durch allgemeine Gesch ftsbedingungen einge holt werden Die Einwilligung muss f r den konkreten Fall und f r die verschiedenen Zwe cke aus denen die Daten verarbeitet werden erteilt werden Dazu geh ren auch das Erstellen von Profilen oder Behavioural Targeting durch den f r die Verarbeitung Verantwortlichen Wenn sich der Zweck der Verarbeitung grund legend ndert muss der f r die Verarbeitung Verantwortliche erneut die Ein willigung f r den konkreten Fall einholen Standortdienste m ssen standardm ig ausgeschaltet sein Eine M glichkeit zum Opt out stellt keinen angemessenen Mechanismus zur Einholung der Ein willigung des Nutzers in Kenntnis der Sachlage dar Die Einwilligung ist problematisch in Bezug auf Arbeitnehmer und Kinder In Bezug auf Arbeitnehmer k nnen Arbeitgeber diese Technologie nur dann an wenden wenn sie nachweislich f r einen rechtm igen Zweck erforderlich ist und dieselben Ziele nicht mit weniger einschneidenden Ma nahmen erreicht werden k nnen In Bezug auf Kinder m ssen die Eltern beurteilen ob
210. r alle f fentlichen Stellen auf von der Nutzung von Social Plugins abzusehen die den geltenden Standards nicht gen gen Es kann nicht sein dass die B rgerinnen und B rger die sich auf den Seiten ffentlicher Stellen informieren wollen mit ihren Daten daf r bezahlen Unbeschadet der rechtlichen Verantwortung sollten die f 18 Datenschutz Entschlie ungen der 82 DSB Konferenz fentlichen Stellen auf solchen Plattformen keine Profilseiten oder Fanpages ein richten Die Obersten Aufsichtsbeh rden f r den Datenschutz im nicht ffentlichen Be reich haben bereits 2008 und zuletzt 2010 in Beschl ssen Anforderungen an die datenschutzkonforme Gestaltung sozialer Netzwerke formuliert Die Konferenz der Datenschutzbeauftragten fordert die Anbieter sozialer Netzwerke auf diese Beschl sse umzusetzen soweit dies noch nicht geschehen ist In diesem Zu sammenhang unterst tzen die Datenschutzbeauftragten Bestrebungen zur Ent wicklung von technischen L sungen zur datenschutzkonformen Gestaltung von Webangeboten Bedauerlicherweise hat die Bundesregierung ihrer schon im letzten Jahr gemach ten Ank ndigung gesetzgeberische Ma nahmen gegen die Profilbildung im Internet vorzuschlagen keine Taten folgen lassen Der blo e Verweis darauf dass die Diensteanbieter Selbstverpflichtungen eingehen sollten wird dem akuten Schutzbedarf der immer zahlreicher werdenden Nutzerinnen und Nutzer nicht ge recht Die Konferenz der Datenschutzb
211. ratsdatenspeicherung von Telekommunikationsdaten vom 2 M rz 2010 1 BvR 256 08 klargestellt Es 19 Datenschutz Entschlie ungen der 82 DSB Konferenz geh rt zur verfassungsrechtlichen Identit t der Bundesrepublik Deutschland dass die Freiheitswahrnehmung der B rgerinnen und B rger nicht total erfasst und registriert werden darf Die Verfassung fordert vielmehr ein austariertes Sys tem bei dem jeder Eingriff in die Freiheitsrechte einer strikten Pr fung seiner Verh ltnism igkeit standh lt Von einem austarierten System der Eingriffsbefugnisse kann schon deshalb keine Rede sein weil die Wechselwirkungen zwischen den verschiedenen Eingriffsin strumentarien nie systematisch untersucht worden sind Bundesregierung und Gesetzgeber haben bislang keine empirisch fundierten Aussagen vorgelegt zu welchem berwachungs Gesamtergebnis die verschiedenen Befugnisse in ihrem Zusammenwirken f hren Die bislang nur in einem Eckpunktepapier angek n digte Regierungskommission zur berpr fung der Sicherheitsgesetze ersetzt die erforderliche unabh ngige wissenschaftliche Evaluation nicht Viele zun chst unter Zeitdruck erlassene Antiterrorgesetze waren befristet wor den um sie durch eine unabh ngige Evaluation auf den Pr fstand stellen zu k n nen Eine derartige umfassende unabh ngige Evaluation hat jedoch nicht statt gefunden Dies hat die Bundesregierung nicht davon abgehalten gleichwohl einen Entwurf f r die Verl ngerung
212. raxis der Bundes rztekammer und der Kassen rztlichen Bundesverei nigung siehe Deutsches rzteblatt Jg 105 Heft 19 vom 9 Mai 2008 zu beach ten 10 Datenschutz Entschlie ungen der 81 DSB Konferenz Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder fordert dabei insbesondere folgende Mindestanforderungen zu stellen 1 Die Kommunikation im Netz muss verschl sselt ablaufen Hierzu sind dem Stand der Technik entsprechende Verfahren zu nutzen 2 Ein unbefugter Zugriff auf die internen Netze der Praxis oder Einrichtung muss ausgeschlossen sein 3 Die Auswirkungen von Fehlkonfigurationen im internen Netz m ssen wirk sam begrenzt werden 4 Die Endpunkte der Kommunikation m ssen sich gegenseitig durch dem Stand der Technik entsprechende Verfahren authentisieren 5 Die Wartung der zum Netzzugang eingesetzten Hard und Software Kompo nenten muss kontrollierbar sein indem die Wartung durch eine aktive Hand lung freizuschalten ist und alle Wartungsaktivit ten protokolliert werden 6 Zum Netzzugang sind zertifizierte Hard und Software Komponenten einzu setzen 7 Grundstandards wie beispielsweise die Revisionssicherheit sind einzuhal ten F r die verwendeten Verschl sselungs und Authentisierungskomponenten soll ten Hardware L sungen genutzt werden da bei Software ein erh htes Manipula tionsrisiko besteht Software L sungen kommen allenfalls in Ausnahmef llen in Betracht
213. rdisiert entwickelt und im Laufe der letzten 10 Jahren getestet und muss nun umgesetzt werden Obwohl IPv6 im Vergleich zu IPv4 eine Reihe praktischer Vorteile aufweist k n nen seine Eigenschaften auch zu bestimmten Risiken f r den Datenschutz und die Privatsph re f hren was von der Konfiguration des neuen Protokolls und vor allem von der f r die Zuteilung und Zuweisung der IPv6 Adresse gew hlten Stra tegie abh ngt Diese Risiken m ssen beim Einsatz der neuen Version des Inter netprotokolls angesprochen und kontrolliert werden Die Internationale Konferenz gibt folgende Empfehlungen e Die Nutzung tempor rer und nicht permanenter IPv6 Adressen dynamische Adressen muss f r jeden Nutzer durch die Beibehaltung der dynamischen Zuweisung von IPv6 Adressen durch ISPs m glich bleiben Internetzugangs anbieter und Betreiber von Gateways sollte die Nutzung dynamischer IP Adressen als Standardeinstellung anbieten Nutzer sollten au erdem in der Lage sein ihre IP Adresse w hrend einer Sitzung durch einfaches Verfahren zu ndern Die Gesetzgeber oder Regulierungsbeh rden sollten soweit erfor derlich es in Erw gung ziehen entsprechende Verpflichtungen in ihre natio nale Rechtsrahmen hinzuzuf gen sofern dies nicht bereits geschehen ist e Der Einsatz tempor rer und nicht permanenter IPv6 Adressen muss mit den IPv6 Autokonfigurationsfunktionen m glich bleiben indem alle vorhandenen 115 Datenschutz Entschlie ung d
214. rdnungen enthalten lediglich die allgemeine Handlungspflicht den in den Anla gen genannten Personen und Institutionen keine rechtlichen Vorteile zu gew h ren verpflichten jedoch nicht zu Screenings von Mitarbeitern Kunden oder Lie feranten Auch die Bundesregierung ist der Auffassung dass die Terrorismusverordnungen keinen systematischen anlassunabh ngigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangen Allenfalls nach Ma gabe von Sorgfaltspflichten und differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seien solche Abgleiche zul ssig Es bleibe den Unternehmen berlassen wie sie die Einhaltung der Terrorismusverordnungen sicherstellen Bundestags Drucksache 17 4136 vom 03 12 2010 Vor diesem Hintergrund empfiehlt und fordert der D sseldorfer Kreis e Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchf h ren Da die Lohnzahlung nur unbar erfolgt die Kreditinstitute nach 25c Kre ditwesengesetz KWG ohnehin Abgleiche mit den Terrorlisten vornehmen ist ein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdaten nicht geboten e Die Zollbeh rden werden aufgefordert die rechtsstaatlichen Vorgaben im Rahmen der AEO Zertifizierung zu beachten Eine einheitliche Praxis nach diesen Vorgaben gibt den Unternehmen Rechtssicherheit e Die Bundesregierung wird gebeten die derzeitige AEO Zertifizierungspraxis einer baldigen und umfassenden Evaluation zu unterziehen
215. regation anwenden Es sollten lokale Gate ways Schnittstellen f r einzelne Geb ude oder kleine Wohnviertel eingesetzt werden die den Verbrauchenden einen Einblick in ihren Energieverbrauch ge w hren ohne dass die bermittlung von Informationen ber identifizierbare Ver brauchende an den Energieversorger n tig ist Solche Gateways sollten in der Regel nicht von au en zug nglich sein und mit festgelegten Zugangskontrollpro filen arbeiten w hrend die Kommunikation auf dem push Verfahren basierten sollte die durch das Gateway initiiert wird Andere Ma nahmen wie zum Bei spiel gr ere Intervalle zwischen den einzelnen Ablesungen k nnen ebenso ver hindern dass detaillierte Profile ber die Lebensf hrung erstellt werden Selbst verst ndlich werden hohe technische Standards f r die sichere Speicherung und den Zugriff auf die Daten unerl sslich sein 2 Smart Meter sollten zum Schutz der Privatsph re idealerweise daten schutzfreundliche Grundeinstellungen enthalten ohne dass es einer Handlung seitens des Verbrauchenden bedarf Um den Datenschutz zu gew hrleisten sollte die Privatsph re idealerweise durch datenschutzfreundliche Grundeinstellungen gesch tzt werden Der Datenschutz sollte sich in dem Modus keine Aktion erforderlich befinden der Verbrau chende sollte nur dann handeln m ssen wenn er ber die Grundversorgungsleis tungen hinausgehende Dienste nutzen m chte f r die die Bekanntgabe weiterer Date
216. resse 40 an den Arbeiten die derzeit beim Europarat und bei der OECD geleistet wer den die beide in wertvollen Initiativen ihren derzeitigen Rahmen berpr fen und ermitteln wo Modernisierungsbedarf besteht an der Initiative des Europarats zur Ermutigung von Nichtparteien des ber einkommens Nr 108 und seines Zusatzprotokolls ob sie nun Mitglied des Rates sind oder nicht diesen Instrumenten beizutreten Datenschutz Entschlie ung der Europ ischen DSB Konferenz an anderen Initiativen zur Entwicklung internationaler Standards die welt weit anerkannt werden sollen Die Konferenz ist der Meinung dass die Bem hungen um die Modernisierung und St rkung der verschiedenen rechtlichen Rahmen zu Synergien f hren sollten und ruft die wichtigsten Interessentr ger dieser Projekte dazu auf ihre Aktivit ten zu koordinieren Die europ ischen Datenschutzbeauftragten sind der Ansicht dass all diese Ent wicklungen enorme Chancen f r eine wirkliche Verbesserung des Datenschutz rahmens bieten um einen wirksamen Schutz f r alle Betroffenen unter allen Um st nden nicht nur jetzt sondern auch in einer ferneren Zukunft zu gew hrleisten Es ist an der Zeit ambitioniert zu sein und die Kr fte f r einen wirksameren Da tenschutz zu b ndeln Die Datenschutzbeauftragten sind bereit alles ihnen M g liche dazu beizutragen dass ein so starkes und umfassendes Datenschutzsystem Wirklichkeit wird 3 Siehe ins
217. richt sollen insbesondere die Auswirkungen einer datenschutzfreundlichen Umsetzung von IPv6 auf dem Gebiet der Strafverfolgung untersucht werden Die IWGDPT wird gebeten ihren Bericht unter Ber cksichtigung der oben genannten Empfehlungen abzuschlie Ben 116 VI Arbeitspapiere der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation 1 49 Sitzung am 4 5 April 2011 in Montreal Datenaufzeichnung in Fahrzeugen Event Data Recording EDR Frage stellungen zu Datenschutz und zum Schutz der Privatsph re f r Regierun gen und Hersteller bersetzung Hintergrund 1 Der rasante technologische Fortschritt in der Informationsgesellschaft insbe sondere im Bereich Intelligente Verkehrssysteme IVS hat eine zuneh mende Verarbeitung personenbezogener Daten in Fahrzeugen PKW und LKW sowohl f r private als auch f r kommerzielle Zwecke zur Folge 2 Die nahezu allgegenw rtige Internetanbindung und immer gr ere Band breiten erm glichen eine permanente Vernetzung sogenannter Smart Vehic les Intelligente Fahrzeuge und somit den Zugriff auf angefallene Daten Diese alarmierende technische Entwicklung f hrt zu einer Eingliederung in telligenter Fahrzeuge in das sog Internet of Things das die Verkn pfung von physischen Objekten also Sachen mit einer virtuellen Repr sentation in einer Internet hnlichen Struktur beschreibt 3 Ohne geeignete Ma nahmen zum Schutz der Privatsph
218. riebssatzungen der Eigenbe triebe und bt auch ein allgemeines Entscheidungsrecht 12 Abs 3 BezVG 7 aus Gem 16 Abs 1 BezVG w hlt die BVV u a die Mitglieder des Bezirksam tes und die B rgerdeputierten sie stellt au erdem die Vorschlagslisten f r Sch ffen zusammen Gem 7 9 BezVG bestimmt sie einen Vorstand und bildet Aussch sse Weitere Wahlbefugnisse k nnen sich aus Spezialgesetzen ergeben Grunds tzlich kann die BVV Meinungs u erungen oder Resolutionen t tigen sofern hierdurch nicht der Kompetenzbereich eines anderen Staatsor gans tangiert wird Der berwiegende Teil der Zust ndigkeiten erfordert in den Sitzungen und den Redebeitr gen abstrakte Auseinandersetzungen mit Sachthemen sodass sich Wertungen zu der ffentlichkeitsfunktion des Parlamentes in bestimmten Punk ten bertragen lassen Sofern die BVV die Grundlinien der Verwaltungspolitik festsetzt und Emp fehlungen an das BA richtet werden die Redebeitr ge in den Sitzungen ganz berwiegend allgemein gehaltene abstrakte u erungen enthalten Daher ergibt sich aus der Tatsache dass kommunalpolitische Themen aus dem rt lichen Wirkungskreis des Bezirks behandelt werden nicht zwingend ein Wertungsunterschied zu den Sachverhalten die im Abgeordnetenhaus disku tiert werden Diese Wertung gilt ebenfalls dann wenn die BVV Meinungs u erungen oder Resolutionen hervorbringt auch hierbei wird es sich stets um abstrakte Anmerkungen handel
219. rtikel 30 Absatz 1 Buchstabe a und Absatz 3 dieser Richtlinie gest tzt auf ihre Gesch ftsordnung hat folgende Stellungnahme angenommen Einleitung und Umfang Die Artikel 29 Datenschutzgruppe verfolgt mit dieser Stellungnahme das Ziel den rechtlichen Rahmen darzulegen der auf den Betrieb intelligenter Ver brauchsmessger te Smart Meters im Energiesektor zur Anwendung kommt Diese Stellungnahme soll keinen ersch pfenden berblick ber s mtliche spezi fischen Aspekte von Programmen f r die intelligente Verbrauchsmessung geben da dies aufgrund der Uneinheitlichkeit der zu diesem Thema gegenw rtig vertre tenen Standpunkte gar nicht m glich w re Intelligente Verbrauchsmessger te bieten neue Funktionalit ten wie z B detaillierte Informationen ber den Ener gieverbrauch die M glichkeit einer Fernablesung der Verbrauchsz hler die Ent wicklung neuer Tarife und Dienstleistungen die sich nach Energieprofilen rich ten sowie die M glichkeit der Fernabschaltung der Energieversorgung Intelligente Stromversorgungsnetze Smart grids bieten noch mehr Entwick lungsspielraum und M glichkeiten f r die Verarbeitung zus tzlicher personenbe zogener Daten Die Arbeitsgruppe m chte zum gegenw rtigen Zeitpunkt ihre Stellungnahme nicht auf die Smart Grid Funktion ausdehnen schlie t aber nicht aus dass sie sich eingehender mit intelligenten Stromnetzen befassen wird sobald sich das Bild weiter konkretisiert
220. rweisen m ssen Prinzipiell muss die Einwil ligung eines jeden Verordneten vorliegen um die bertragung zu legalisieren so dass ein einstimmiger Beschluss hierf r notwendig w re Es w re jedoch auch denkbar einen Mehrheitsbeschluss ausreichen zu lassen sofern der einzelne Ver ordnete die M glichkeit hat sich der bertragung zu entziehen indem beispiels weise die Kamera und das Mikrofon vor Beginn seines Redebeitrages abgestellt werden Ein Verordneter sollte zudem die M glichkeit haben grunds tzlich f r die Zukunft einen Widerspruch gegen die bertragung zu vermerken Auf eine solche M glichkeit sollte im Rahmen eines neuen Absatzes in der GO verwiesen werden Auch sollte dort festgelegt werden dass die bertragungen nur f r den ffentlichen Teil der regul ren Sitzungen vorgesehen sind w hrend bspw die B rgerfragestunde grunds tzlich nicht bertragen wird 2 Tendenzen der neueren Rechtsprechung Angesichts der neueren Entwicklung in der Rechtsprechung sei darauf hinge wiesen dass sich diese Entscheidungen nur bedingt auf die vorliegende Situation 17 vgl OVG Saarlouis Beschluss vom 30 8 2010 3 B 203 10 Urteil des VG Saarlouis vom 25 03 2011 3 K 501 10 149 Informationsfreiheit Live bertragung der BVV Sitzungen bertragen lassen Die im Saarland zu entscheidende Streitigkeit bezog sich auf das Ersuchen eines privaten lokalen Rundfunkveranstalters an den Ratsvorsitzen den eines Stadtrates eine
221. s andererseits Diese Anforderungen lassen sich unter den Begriff Privacy by Design fassen auf den Inhalt und die Bedeutung dieses Punktes hat j ngst die Internationale Konfe renz der Datenschutzbeauftragen hingewiesen Resolution on Privacy by Design v 29 10 2010 Der Aufgabe den Selbstdatenschutz zu st rken kommt im Bereich der Smart phone Nutzung eine besondere Bedeutung zu Die Datenschutzaufsichtsbeh r den unterst tzen alle entsprechenden Anstrengungen insbesondere auch die der European Network and Information Security Agency ENISA vgl Empfehlun gen der ENISA vom Dezember 2010 ber Informationssicherheitsrisiken M g lichkeiten und Empfehlungen f r Nutzer von Smartphones http www enisa europa eu act it oar smartphones information security risks opportunities and recommendations for users at_download fullReport Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinforma tionssystemen Krankenhausinformationssysteme sind heute zu unverzichtbaren Hilfsmitteln rztlicher Behandlung in Krankenh usern geworden Ein Abruf der darin elektro nisch gespeicherten Patientendaten ist jederzeit ortsungebunden und sekunden schnell m glich und bietet damit die Grundlage f r effiziente Behandlungsent scheidungen Diesen Vorteilen stehen allerdings erhebliche Datenschutzrisiken gegen ber Die M glichkeiten f r Klinikpersonal Behandlungsdaten von Be kannten Kolleginnen und Kollegen oder Prominenten einzusehen
222. schlie lich der Sicherheitskon zeption damit die Cloud Anwender einerseits entscheiden k nnen ob Cloud Computing berhaupt in Frage kommt und andererseits Aussagen haben um zwischen den Cloud Anbietern w hlen zu k nnen e transparente detaillierte und eindeutige vertragliche Regelungen der Cloud gest tzten Datenverarbeitung insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung ber eventuelle Ortswechsel zur Portabilit t und zur Interoperabilit t 22 Datenschutz Entschlie ungen der 82 DSB Konferenz e die Umsetzung der abgestimmten Sicherheits und Datenschutzma nahmen auf Seiten von Cloud Anbieter und Cloud Anwender und e aktuelle und aussagekr ftige Nachweise bspw Zertifikate anerkannter und unabh ngiger Pr fungsorganisationen ber die Infrastruktur die bei der Auf tragserf llung in Anspruch genommen wird die insbesondere die Informa tionssicherheit die Portabilit t und die Interoperabilit t betreffen Die Datenschutzbeauftragten des Bundes und der L nder bieten ihre Unterst t zung bei der Entwicklung und bei der Nutzung von Cloud Computing Diensten an Details zur datenschutzgerechten Ausgestaltung dieser Dienste sind einer Orientierungshilfe der Arbeitskreise Technik und Medien zu entnehmen die die Datenschutzkonferenz zustimmend zur Kenntnis genommen hat Einf hrung von IPv6 steht bevor Datenschutz ins Netz einbauen Viele Betreiber und Anwender stellen in diesen
223. schutz Dokumente der Artikel 29 Datenschutzgruppe WP 184 28 29 VI 30 dene Stellen konsultieren Gem Artikel 4 Absatz 5 sind dies insbesondere die ENISA der Europ ische Datenschutzbeauftragte und die Artikel 29 Da tenschutzgruppe Derselbe Artikel schreibt weiterhin vor dass auch andere relevante Interessengruppen miteinbezogen werden insbesondere um sich ber die besten verf gbaren technischen und wirtschaftlichen Methoden f r die Durchf hrung zu informieren Politikentwicklungen bez glich der Datenschutzverletzungen wurden auch im Rahmen der berpr fung der Richtlinie 95 46 angek ndigt Die ber pr fung der Datenschutzrichtlinie f r elektronische Kommunikation gab den Legislativorganen die M glichkeit Pflichten im Fall einer Datenschutzver letzung einzuf hren Angesichts des Anwendungsbereiches der besagten Richtlinie waren die Pflichten auf die Betreiber ffentlich zug nglicher elektronischer Kommunikationsdienste beschr nkt Diese sektorspezifischen Vorschriften m ssen jedoch erg nzt werden indem auch alle f r die Verar beitung der Daten Verantwortlichen zur Benachrichtigung verpflichtet wer den Dies soll im Zusammenhang mit der berpr fung der Richtlinie 95 46 geschehen Die Mitteilung der Kommission Gesamtkonzept f r den Daten schutz in der Europ ischen Union hat die Ansicht der Kommission best tigt dass es wichtig ist dass Personen informiert werden wenn ihre Daten versehe
224. schutzvorschriften fest Dieser Rahmen findet nur auf die Anbieter ffentlich zug nglicher elektronischer Kommunikations dienste Anwendung z B Anbieter von Kommunikationsnetzen und Internet zugangsanbieter Der Rahmen enth lt bestimmte Kernelemente die zwingend in den Rechtvorschriften der Mitgliedstaaten umgesetzt werden m ssen II 1 Gemeinsame Kernelemente 8 Folgende Kernelemente sind in der Datenschutzrichtlinie f r elektronische 5 a Kommunikation niedergelegt a Definition von Datenschutzverletzung gem Artikel 2 Buchstabe i Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit die auf unbeabsichtigte oder unrechtm ige Weise zur Vernich tung zum Verlust zur Ver nderung und zur unbefugten Weitergabe von bzw zum unbefugten Zugang zu personenbezogenen Daten f hrt die bertragen gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstel lung ffentlich zug nglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden Eine Verletzung des Datenschutzes kann nur vorliegen wenn es um personenbezogene Daten in der Defini tion von Artikel 2 Buchstabe a der Datenschutzrichtlinie geht Eine Verlet zung des Datenschutzes umfasst die unbefugte Weitergabe oder den unbe rechtigten Zugang zu personenbezogenen Daten aber auch eine einfache unbeabsichtigte Vernichtung oder Ver nderung auf die kein oder h chst wahrscheinlich kei
225. sehrtheit der Daten und der Sicherheit der Datenverarbeitung vorsehen Ebenso muss aber auch klar sein wie solche Systeme in der Praxis funktionieren und wie gut die Protokollierung und Dokumentation mit den oben genannten Grunds tzen der Datenminimierung vereinbar ist 6 Datenelemente Im Gegensatz zu API Daten werden PNR Daten nicht berpr ft und sind daher weniger zuverl ssig Die als Anhang zu diesem Vorschlag aufgef hrten Daten elemente sind dieselben 19 Elemente wie in den PNR Abkommen zwischen der EU und den USA bzw Kanada Die Datenschutzgruppe bekr ftigt ihren Stand punkt dass kein ausreichender Nachweis daf r vorliegt welche Felder sich als notwendig erwiesen haben Daher ist eine solche Liste als unverh ltnism ig zu betrachten Die Kategorien sind allgemein gehalten und mehrere von ihnen ent halten weitere Datenuntergruppen Selbst bei einem Verbot der Verarbeitung sen sibler personenbezogener Daten ist in der Liste der Datenelemente das Feld All gemeine Hinweise vorgesehen das alle Arten von Informationen wie Men w nsche spezielle Serviceanfragen usw enthalten kann Der Datenschutzgruppe liegen noch keine ausreichenden Nachweise daf r vor welche PNR Datenele mente sich als notwendig erwiesen haben oder erfolgreich f r die Strafverfolgung genutzt worden sind Dar ber hinaus sammeln nicht alle Fluggesellschaften PNR Daten 7 Zust ndige Beh rden und Weitergabe von Daten an Dritte Der Vorschlag si
226. sem Hintergrund ruft die Arbeitsgruppe die Regierungen dazu auf a in Zusammenarbeit mit den Datenschutzbeauftragten und den betreffenden Interessenvertretern aus Industrie und Wirtschaft ein angemessenes gesetzge berisches Regelwerk darzulegen zu definieren bzw zu best tigen damit die Verarbeitung personenbezogener Daten auf gesetzm ige Weise erfolgt und Missbrauch der durch EDR und m glicherweise andere intelligente Technolo gien in Fahrzeugen gesammelten und oder bermittelten Daten ausgeschlos sen oder eingeschr nkt wird b die Umsetzung der erforderlichen technischen Standards zu f rdern und zu unterst tzen und empfiehlt I Transparenz Jedwede Verwendung von Daten die durch EDRs oder andere intelligente Tech nologien entstanden sind sollte f r den Fahrzeugeigent mer sowie die jeweili gen Fahrzeugnutzer in vollem Umfang transparent sein Die Nutzer sind in die Lage zu versetzen sich auf einfachstem Wege ein vollst ndiges Bild ber die Er hebung und Speicherung sowie den Zweck der Verwendung aller sie betreffenden pers nlichen Informationen machen zu k nnen Zu diesem Zweck sollten a Hersteller Systemintegratoren ihre Kunden sorgf ltig ber die Verarbeitung personenbezogener Daten einschlie lich der M glichkeiten der Fahrzeugposi 12 Vgl ISO TR Technical Report 12859 on Intelligent transport systems System architecture Privacy aspects in ITS standards and systems 121 Datenschutz
227. sitifs destin s geolocaliser les v hicules automobiles utilis s par les employ s d un organisme public ou priv D lib ration 2010 096 du 8 avril 2010 portant recom mandation relative la mise en oeuvre par les compagnies d assurance et les constructeurs automobiles de dis positifs de g olocalisation embarqu s dans les v hicules Italienische Datenschutzbeh rde Garante per la prote zione dei dati personali on Geolocation in Public Transportation and Passenger Security 5 June 2008 http www garanteprivacy it doc no 1672796 Artikel 29 Datenschutzgruppe Working document on data protection and privacy implications in eCAll initia tive WP 125 http ec europa eu justice_home fsj privacy docs wpdocs 2006 wp125_de pdf 120 Datenschutz Arbeitspapiere der IWGDPT 16 Die anstehende umfassende Einf hrung dieser Systeme die Komplexit t der Materie sowie die absehbaren notwendigen Investitionen m glicherweise auch in Hinsicht auf die Verkehrsinfrastruktur bedingen die dringliche Not wendigkeit eines klaren Regelwerkes dem gleichwohl eine ausf hrliche f fentliche Auseinandersetzung mit der Thematik vorausgehen sollte Der Ent wicklung und Ausgestaltung eines solchen Regelwerkes sollte der Gedanke innewohnen den Datenschutz von vornherein in die Gesamtkonzeption ein beziehen anstatt Datenschutzprobleme im Nachhinein m hsam und mit viel Zeitaufwand durch Korrekturprogramme beheben zu wollen 17 Vor die
228. ss ger teablesungen unabdingbar dass das Grundrecht der betroffenen Personen auf den Schutz ihrer Privatsph re in angemessener Weise Ber cksichtigung findet Gr nde f r die Schlussfolgerung dass personenbezogene Daten verarbeitet wer den 1 Die Daten die gem der obigen Aufz hlung durch intelligente Verbrauchs messger te erzeugt werden sind in den meisten F llen eindeutigen Kenndaten wie der Identifikationsnummer eines Verbrauchsmessger ts zugeordnet F r Privatverbraucher als Kunden von Energieversorgern ist diese Identifikations nummer unweigerlich an die Person gebunden die f r das entsprechende Kun denkonto verantwortlich ist Anders ausgedr ckt Mithilfe dieses Ger ts kann die betreffende Person aus der Gruppe der brigen Verbraucher herausgefiltert werden 2 Dar ber hinaus beziehen sich die als Teil eines intelligenten Verbrauchsmess dienstes gesammelten Daten auf das Energieprofil eines Verbrauchers im Zu sammenhang mit seinem Energieverbrauch und werden f r Entscheidungen genutzt die diese Person unmittelbar betreffen Am offensichtlichsten dient eine entsprechende Entscheidung zur Festlegung der Kosten f r die Energie versorgung allerdings ist sie nicht auf Abrechnungsaspekte beschr nkt 3 Dieser Standpunkt findet seine weitere Best tigung wenn die weithin propa gierten Vorteile der Einf hrung intelligenter Verbrauchsmessger te wie die Senkung des Gesamtenergieverbrauchs in den Mitgliedstaaten b
229. sse 00 1F 3F D7 3C 58 Die MAC Adresse eines Wi Fi Zugangspunktes wird BSSID Basic Service Set Identifier genannt w gt Aktives und passives Scannen wurden in der IEEE 802 11 standardisiert um Zugangspunkte zu finden 93 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 1 Aktives Scannen Versenden von aktiven Abfrage Paketen an alle Wi Fi Zu gangspunkte in der Umgebung und Aufzeichnen der Antworten Diese Ant worten enthalten keine Informationen ber die mit dem Wi Fi Zugangspunkt verbundenen Endger te 2 Passives Scannen Verzeichnen der regelm igen Beacon Frames die jeder Zugangspunkte sendet blicherweise zehnmal je Sekunde Als eine nicht dem Standard entsprechende Alternative zeichnen einige Ger te alle von den Zugangspunkten bermittelten Wi Fi Frames auf einschlie lich derjenigen die keine Beacon Signale bertragen Wenn diese Art Scannen ohne die rich tige Anwendung des eingebauten Datenschutzes Privacy by Design durchge f hrt wird kann es zur Erhebung von Daten f hren die zwischen Zugangs punkten und den mit ihnen verbundenen Ger ten ausgetauscht werden Auf diese Weise k nnten die MAC Adressen von Desktop Computern Laptops und Druckern aufgezeichnet werden Diese Art von Scannen k nnte auch zur rechtswidrigen Aufzeichnung des Inhalts der Mitteilungen f hren Die Inhalte sind leicht lesbar wenn der Inhaber eines Wi Fi Zugangspunktes keine Wi Fi Verschl sselung WEP W
230. ssen auf den Empf ngerhorizont von Minderj hrigen R cksicht nehmen und also auch f r diese leicht verst ndlich sein e Betreiber die au erhalb des Europ ischen Wirtschaftsraumes ans ssig sind m ssen gem 1 Abs 5 Satz 3 BDSG einen Inlandsvertreter bestellen der Ansprechperson f r die Datenschutzaufsicht ist In Deutschland ans ssige Unternehmen die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fan pages in einem Netzwerk pr sentieren haben eine eigene Verantwortung hin sichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots Es m ssen zuvor Erkl rungen eingeholt werden die eine Verarbeitung von Daten ihrer Nut zerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen k nnen Die Erkl rungen sind nur dann rechtswirksam wenn verl ssliche Infor mationen ber die dem Netzwerkbetreiber zur Verf gung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben wer den k nnen Anbieter deutscher Websites die in der Regel keine Erkenntnisse ber die Daten verarbeitungsvorg nge haben k nnen die beispielsweise durch Social Plugins ausgel st werden sind regelm ig nicht in der Lage die f r eine informierte Zu stimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen Sie laufen Gefahr selbst Rechtsverst e zu begehen wenn der Anbieter eines sozia 37 Datenschutz Beschl sse
231. sstation GPS und Wi Fi Daten be steht hat sich die Datenschutzgruppe entschieden die rechtlichen Voraussetzun gen gem der Datenschutzrichtlinie insbesondere f r diese Dienste klarzustel len In der Stellungnahme wird zuerst die Technologie beschrieben dann werden die Risiken f r den Datenschutz herausgearbeitet und bewertet und schlie lich wer den Schlussfolgerungen gezogen zur Anwendbarkeit der einschl gigen Artikel auf die verschiedenen f r die Verarbeitung Verantwortlichen die Standortdaten von mobilen Endger ten erheben und verarbeiten Dazu geh ren zum Beispiel Anbieter der Infrastruktur f r die Geolokalisierung Hersteller von Smartphones und die Entwickler von standortbezogenen Anwendungen Diese Stellungnahme bewertet nicht die spezielle Technologie zur Georeferenzie rung die mit dem sogenannten Web 2 0 verkn pft ist bei dem Nutzer georefe renzierte Informationen in soziale Netzwerke wie Facebook oder Twitter inte grieren Die Stellungnahme wird auch einige andere Technologien zur Geoloka lisierung nicht n her untersuchen die verwendet werden um Ger te innerhalb eines relativ kleinen Bereichs miteinander zu verbinden Einkaufszentren Flug h fen B rogeb ude usw wie Bluetooth ZigBee Geofencing und Wi Fi ba sierte RFID Etiketten Dennoch gelten viele der Schlussfolgerungen die in der vorliegenden Stellungnahme in Bezug auf berechtigte Gr nde Informations rechte und die Rechte der betroffenen Person g
232. ssung dass die Versorger in diesem Kontext unabh ngig von der durch intelli gente Verbrauchsmessger te entstehenden zus tzlichen Komplexit t weiterhin zu den f r die Datenverarbeitung Verantwortlichen z hlen Netzbetreiber oder VNB In anderen Modellen ist der VNB in dessen Besitz sich das Netz befindet f r In stallation und Betrieb des Systems der intelligenten Verbrauchsmessger te Smart Meters verantwortlich Der VNB ist au erdem f r die Festlegung ver antwortlich wie die Daten erfasst gespeichert und verwendet werden In diesem Modell ist der VNB der f r die Datenverarbeitung Verantwortliche Wenn die Energieversorger berechtigt sind auf die von den Messger ten bermittelten Daten zuzugreifen und die Daten f r eigene Zwecke nutzen beispielsweise f r die Rechnungsstellung oder Kundenberatung gelten sie hinsichtlich der von ihnen verarbeiteten personenbezogenen Daten ebenfalls als f r die Datenverar beitung Verantwortliche Sonstige Akteure Daneben kommen zahlreiche weitere Akteure in Betracht die bei der Wahrneh mung ihrer Aufgaben in einem Programm zur Einf hrung intelligenter Ver brauchsmessger te gegebenenfalls personenbezogene Daten verarbeiten Einige dieser Akteure treten m glicherweise erst auf wenn die vollen Auswirkungen der Verlagerung hin zur Verarbeitung gr erer Mengen personenbezogener Daten of fenkundig werden daher w re es nicht sinnvoll in der jetzigen Phase eine um fassende Lis
233. stabe a und Absatz 3 dieser Richtlinie sowie auf Artikel 15 Absatz 3 der Richtlinie 2002 58 EG des Europ ischen Parlaments und des Rates vom 12 Juli 2002 gest tzt auf ihre Ge sch ftsordnung hat folgende Stellungnahme angenommen 1 Einleitung Am 2 Februar 2011 ver ffentlichte die Europ ische Kommission ihren Vorschlag f r eine Richtlinie ber die Verwendung von Fluggastdatens tzen zu Zwecken der Verh tung Aufdeckung Aufkl rung und strafrechtlichen Verfolgung von terro ristischen Straftaten und schwerer Kriminalit t Die Datenschutzgruppe hat auch zu dem vom der Kommission am 6 November 2007 unterbreiteten vorangegan genen PNR Vorschlag Vorschlag f r einen Rahmenbeschluss des Rates ber die Verwendung von Fluggastdatens tzen PNR Daten zu Strafverfolgungszwe cken eine Stellungnahme vorgelegt Die Datenschutzgruppe hat sich au erdem 1 WP 145 gemeinsame Stellungnahme mit der Arbeitsgruppe Polizei und Justiz 42 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 181 bereits in mehreren Stellungnahmen ausf hrlich zu den verschiedenen zwischen der EU und Drittl ndern bestehenden PNR Abkommen sowie zu dem in der Mit teilung der Kommission vom 21 September 2010 dargelegten Konzept der Kom mission ge u ert Dar ber hinaus hat die Datenschutzgruppe in verschiedenen Schreiben an die Kommissionsmitglieder Barrot und Malmstr m Generaldirek tor Faull und den LIBE Ausschuss des Europ ischen P
234. tand der Lehrerausbildung gemacht werden Digitale Aufkl rung und Erziehung zum Datenschutz bestimmen letztlich auch ber den Stellenwert den Privatsph re und Pers nlichkeitsrecht und damit Men schenw rde und Demokratie k nftig in der internetgepr gten Gesellschaft insge samt haben werden Datenschutzkonforme Gestaltung und Nutzung von Cloud Computing Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder fordert Cloud Anbieter auf ihre Dienstleistungen datenschutzkonform zu gestalten Cloud Anwender hingegen d rfen Cloud Services nur dann in Anspruch neh men wenn sie in der Lage sind ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutz und Informations sicherheitsanforderungen gepr ft haben Dies betrifft neben den Anforderungen an Vertraulichkeit Integrit t und Verf g barkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit Transparenz und Beeinflussbarkeit der Da tenverarbeitung Cloud Computing darf nicht dazu f hren dass Daten verarbei tende Stellen allen voran ihre Leitung nicht mehr in der Lage sind die Verant wortung f r die eigene Datenverarbeitung zu tragen Zu verlangen sind also mindestens e offene transparente und detaillierte Informationen der Cloud Anbieter ber die technischen organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen ein
235. te Vorschlag der sich auf die Rechte und Freiheiten von Personen auswirkt Bestimmungen ber die Rechte des Einzelnen auf Auskunft Berichtigung Scha denersatz und Rechtsbehelfe enth lt Allerdings entsprechen die in diesem Vorschlag verankerte Rechten nicht denen der Richtlinie 95 46 EG sondern denen des Rahmenbeschlusses 2008 977 JI und sind somit st rker eingeschr nkt Es ist nicht klar ob die Rechte nur f r Daten die an eine andere Beh rde ber mittelt werden oder auch f r die von der nationalen Beh rde gespeicherten Daten gelten In einigen Mitgliedstaaten die derzeit PNR Daten nutzen stehen Personen Rechte auf Auskunft und Berichtigung sowie Rechtsbehelfe nach den nationalen Umsetzungsma nahmen zur Richtlinie 95 46 EG zu Diese Rechte w rden im Falle einer Inkraftsetzung der vorgeschlagenen PNR Richtlinie einge schr nkt Ferner besteht die Gefahr der Diskriminierung aufgrund der Profilerstellung da dieses System die Flugg ste als Gruppe ins Visier nimmt Die Flugg ste werden nicht ber die Kriterien unterrichtet anhand derer sie berpr ft werden was die von der Profilerstellung unmittelbar Betroffenen in der Aus bung ihrer Rechte einschr nkt Die Datenschutzgruppe erinnert daran wie wichtig es ist dass auf EU Ebene unterbreitete Vorschl ge die sich auf die Rechte und Freiheiten von Personen auswirken geeignete Datenschutzma nahmen und garantien wie etwa Vor schriften zur Vertraulichkeit und Sicherheit der
236. te aufstellen zu wollen Au erdem sollten die Unterschiede der Ver sorgermodelle und Konzepte in den verschiedenen Mitgliedstaaten bedacht wer den Dabei ist allerdings zu ber cksichtigen dass die Gefahr dass weder die Ein haltung der Vorschriften noch die Anwendung bew hrter Verfahren erreicht wird zunimmt wenn nicht alle beteiligten Akteure bei ihrer T tigkeit nach einer ge meinsamen Definition des Begriffs des f r die Datenverarbeitung Verantwort lichen handeln Vor diesem Hintergrund erinnert die Datenschutzgruppe alle be teiligten Akteure an die folgenden wichtigen Punkte 1 Bei bestimmten Einf hrungsmodellen wird eine zentrale Kommunikations stelle eingerichtet die f r die Abwicklung der Daten bertragung zwischen Messger t und Versorger verantwortlich ist Diese Stelle ist durchaus in Form eines Datenverarbeiters denkbar der nur auf Anweisung der Versorger handelt an die er Daten bermittelt und von denen er Daten erh lt Ist diese Kommu nikationsstelle allerdings an der Entscheidung beteiligt ob personenbezogene Daten gegen ber Dritten offengelegt werden d rfen oder ob solche Daten f r 62 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 neue Zwecke verarbeitet werden d rfen kann die Kommunikationsstelle bei dieser Verarbeitung personenbezogener Daten die Rolle des f r die Datenver arbeitung Verantwortlichen bernehmen 2 Auch Energieregulierungsbeh rden sind wichtige Akteure Sie k
237. telligente Z hler der wichtige erste Schritt auf dem Weg zu einem umfassenderen intelligenten Stromnetz als Gan zes Diese Messger te mit integrierter wechselseitiger Kommunikation und ver besserter individueller Nutzungsinformation werden den Energieverbrauchenden die Kontrolle und die Regulierung ihres eigenen Verbrauchs erlauben und es den Energieversorgern erm glichen eine bedarfsgerechte Versorgung zu gew hrleis ten und den Lastausgleich zu steuern Sie werden ebenfalls eine wichtige Rolle European Commission Staff Working Paper Interpretative note on directive 2009 72 ec concerning common rules for the internal market in electricity and directive 2009 73 ec concerning common rules for the internal mar ket in natural gas p 7 online http ec europa ew energy gas_electricity interpretative_notes doc implementation_notes 2010_01_21_retail_markets pdf 124 Datenschutz Arbeitspapiere der IWGDPT bei der Entwicklung verbesserter Strategien zur Energieeinsparung spielen um den internationalen Kampf gegen die Erderw rmung zu unterst tzen w hrend sie den Verbrauchenden erm glichen ihren Verbrauch mit Hilfe von Informa tions und R ckkoppelungssystemen zu reduzieren Ein Pike Forschungsbericht aus dem Jahr 2009 weist darauf hin dass 250 Millionen intelligente Stromz hler weltweit bis zum Jahr 2015 installiert werden k nnten Diese Z hler werden eine entscheidende Rolle in den fortgeschrittenen Mess Infrastrukt
238. tserw gungen anzustellen Hierbei sind insbesondere datenschutzrechtliche Grunds tze wie sie bspw in 88 5 ff BInDSG kodifiziert sind zu beachten Gem 5 BInDSG hat die verar beitende Stelle hier also die BVV sicherzustellen dass organisatorische Ma nahmen getroffen werden um den Schutzzweck des Datenschutzgesetzes zu rea lisieren Konkret ergibt sich hieraus die Pflicht der BVV diejenigen Tagesord nungspunkte in nicht ffentlicher Sitzung zu er rtern in deren Zusammenhang 14 Ottenberg 1 Rn 17 15 Machalet Die Berliner Bezirksverwaltung S 49 m w N 146 Informationsfreiheit Live bertragung der BVV Sitzungen personenbezogene Daten er rtert werden m ssen sodass sich die Verordneten bereits bei der Aussprache ber die Tagesordnung der n chsten Sitzung dar ber Gedanken machen m ssen ob es einer Ausnahme vom Grundsatz der ffent lichkeit bei einem der konkret anstehenden Themenkomplexe bedarf Aus dieser Pflicht zur datenschutzkonformen Aufgabenerf llung ergibt sich somit der Schluss dass es im Grunde keine Situation geben darf in der personenbezogene Daten eines B rgers ohne dessen Einwilligung im ffentlichen Teil der Sitzung explizit er rtert werden d Unterschiede zwischen Bezirksverordneten und Abgeordneten Auch wenn die Verordneten gem Art 70 VvB nach denselben Grunds tzen wie die Abgeordneten gew hlt werden ben sie ein ehrenamtliches Mandat aus Es gelten demnach die Bestimmungen des
239. tzung von Krankenhausinforma tionssystemen Die Konferenz der Datenschutzbeauftragten des Bundes und der L nder hat im Oktober 2009 auf die Notwendigkeit einer datenschutzkonformen Gestaltung und Nutzung von Informationstechnik in Krankenh usern hingewiesen Es besteht das dringende Bed rfnis hierbei zu einem bundesweit und tr ger ber greifend einheitlichen Verst ndnis der datenschutzrechtlichen Anforderungen zu gelangen zumindest soweit dies Divergenzen in der Landeskrankenhausgesetz gebung erlauben Zu diesem Zweck hat eine Unterarbeitsgruppe der Arbeits kreise Gesundheit und Soziales und Technik unter Mitarbeit von Daten schutzbeauftragten der Evangelischen Kirche in Deutschland und der Katholi schen Kirche eine Orientierungshilfe erarbeitet Im Rahmen eines Kommentie rungsverfahrens und bei Expertenanh rungen wurden Hersteller von Kranken hausinformationssystemen Betreiber und Datenschutzbeauftragte von Kranken h usern einbezogen Die genannten Arbeitskreise haben die Orientierungshilfe verabschiedet Sie konkretisiert in ihrem ersten Teil die Anforderungen die sich aus den daten schutzrechtlichen Regelungen sowie den Vorgaben zur rztlichen Schweige pflicht f r den Krankenhausbetrieb und den Einsatz von Informationssystemen in Krankenh usern ergeben In Teil 2 werden Ma nahmen zu deren technischer Umsetzung beschrieben F r die Hersteller von Krankenhausinformationssyste men die diese nutzenden Krankenh
240. ublish distribute transmit broadcast and otherwise exploit such User Submissions in any form medium device or technology now known or later developed inclu ding without limitation on third party websites and platforms where the Servi ces are syndicated For example Ustream will have the right to insert place or include all types of advertisements within or around your User Submissions including without limitation to running or streaming pre rolls mid rolls post rolls overlays banners campaign and companion ads and any other type of advertising units in connection with your User Submission hnliche Klauseln finden sich in den AGB aller gr eren Streaminganbieter Der Vorsitzende hat bei laufender bertragung besonders darauf zu achten dass Zwischenrufe aus dem Zuschauerraum unterbleiben die das Pers nlichkeitsrecht eines Dritten oder eines Verordneten betreffen Denn anders als bei der Aus bung der T tigkeit im Rahmen des bernommenen Amtes ist der einzelne Verordnete in seinem allgemeinen Pers nlichkeitsrecht dann gesch tzt wenn er bspw in sei ner Person beleidigt wird 152
241. uktregister Transparenz f r B rgerin nen und B rger Neue Technologien rufen bei B rgerinnen und B rgern nicht nur positive Reak tionen hervor sondern sto en h ufig auf Skepsis oder l sen ngste aus Grund hierf r ist nicht selten eine unzureichende Informationslage bis hin zur Zur ck haltung von Informationen f r Verbraucherinnen und Verbraucher Wer das Po tential neuer Technologien aussch pfen m chte muss mit offenen Karten spie len Das bedeutet dass nicht nur Vorteile sondern auch Risiken offengelegt wer den m ssen um einen demokratischen Diskurs und jedem Menschen eine infor mierte Willensbildung zu erm glichen Ein aktuelles Beispiel ist der Einsatz von Nanotechnologie Dabei geht es um k nstlich hergestellte winzige Partikel Nanomaterial die heute schon in Bau stoffen Textilien sowie Kosmetika und zuk nftig immer mehr in verbraucherna hen Produkten wie etwa Lebensmitteln eingesetzt werden Nanotechnologie soll Produkte zum Beispiel robuster machen In einem Bericht aus dem Jahre 2009 nano DE Report 2009 geht das Bundesministerium f r Wissenschaft und For schung davon aus dass nanotechnologisches Know how in den Bereichen Ge sundheit Informations und Kommunikations sowie Energie und Umwelttech nik immensen Einfluss auf die Wertsch pfung nehmen wird Ein Weltmarktvolu men von 15 Prozent der globalen G terproduktion wird prophezeit Wenigen ist dies bekannt denn es besteht derzeit keine Pfli
242. uldig dass die anlass freie automatisierte Auswertung und Analyse von Flugpassagierdaten geeignet und erforderlich ist um dieses Ziel zu f rdern Ein solches Zusammenspiel von Vorratsspeicherung und Rasterung von Passagierdaten ist weder mit der EU Grundrechtecharta noch mit dem grundgesetzlich garantierten Recht auf infor mationelle Selbstbestimmung vereinbar Dies gilt insbesondere im Hinblick auf die Rechtsprechung des Bundesverfassungsgerichts das in seinem Urteil vom 2 M rz 2010 1 BvR 256 08 zur Vorratsdatenspeicherung von Telekommunika tionsverkehrsdaten gemahnt hat Zur verfassungsrechtlichen Identit t der Bundesrepublik Deutschland geh rt es dass die Freiheitswahrnehmung der B r gerinnen und B rger nicht total erfasst und registriert werden darf Hierf r hat sich die Bundesrepublik auch auf europ ischer und internationaler Ebene einzu setzen Ein solches System w rde noch weiter reichende Eingriffe in die B rgerrechte erm glichen wenn sogar Vorschl ge zur Speicherung der Fluggastdaten bei Fl gen innerhalb der Europ ischen Union und von Daten der Bahn und Schiffsrei senden Eingang in diese Richtlinie finden w rden Dieser Entwurf verdeutlicht erneut dass ein schl ssiges Gesamtkonzept auf eu rop ischer Ebene zur Datenverarbeitung im Bereich der inneren Sicherheit fehlt welches die Grundrechte der Betroffenen hinreichend gew hrleistet Die Konferenz fordert daher die Bundesregierung und den Bundesrat auf s
243. umal der Sinn der rechtlichen Selbstverwaltung ge rade in der Volks Orts und Sachn he gesehen wird Unter diesen Gesichtspunkten rechtfertigt sich allein aus dem Verweis auf die zentrale Bedeutung des Parlaments als unmittelbare Volksvertretung und Tr ger der wesentlichen Entscheidungen keine unterschiedliche Bewertung der Sit zungs bertragungen c Unterschiedliches Diskussionsklima Insbesondere ergibt sich auch keine andere Beurteilung aus der Annahme dass in den Sitzungen der BVV die Verh ltnisse einzelner Personen oder Personengrup pen besonders heftig oder kontrovers diskutiert und dabei personenbezogene Daten offenbart werden Als Organ der ffentlichen Verwaltung ist die BVV gem 2 Abs 1 BInDSG vom pers nlichen Anwendungsbereich des BInDSG umfasst Demensprechend richtet sich die Zul ssigkeit der Datenverarbeitung grunds tz lich nach 4 Abs 1 BInDSG Sollte es im Rahmen der oben er rterten Aufga benerf llung erforderlich sein auf die pers nlichen oder sachlichen Verh ltnisse eines B rgers derart einzugehen dass hierbei konkrete Einzelangaben ber be stimmte oder bestimmbare Personen in den Sitzungen offenbart werden richtet sich die Beurteilung einer solchen bermittlung im Sinne einer Bekanntgabe an Dritte nach 6 Abs 1 Satz 1 Nr 1 9 Abs 1 BInDSG i V m Art 72 ffVvB 12 ff BezVG Im Rahmen der Bestimmung der Erforderlichkeit gem 9 Abs 1 BInDSG sind umfangreiche Verh ltnism igkei
244. und Smart Metering Minimierung personenbezogener Informationen zur Wahrung der Privatsph re Datenschutz und elektronisches Micropayment im Internet B Dokumente zur Informationsfreiheit I I Konferenz der Informationsfreiheitsbeauftragten in Deutschland IFK 1 Entschlie ungen der 22 Konferenz am 23 Mai 2011 in Bremen Geplantes europ isches Nanoproduktregister Transparenz f r B rgerinnen und B rger Informationsfreiheit L cken schlie en 2 Entschlie ung der 23 Konferenz am 28 November 2011 in Berlin Informationsfreiheit ins Grundgesetz und in die Landes verfassungen Live bertragung der Sitzungen der Bezirksverordneten versammlung BVV via Internet 117 117 117 124 124 134 137 137 137 137 138 139 139 140 Vorwort Die Datenschutzbeh rden in Deutschland haben sich 2011 in gemeinsamen Entschlie ungen vor allem zu drei Schwerpunktthemen ge u ert Krankenhaus informationssysteme Cloud Computing und soziale Netzwerke Daneben sind Stellungnahmen zu einer Vielzahl anderer Themen entstanden die kaum weniger wichtig sind Durch alle diese Papiere zieht sich die Kernaussage dass Daten schutz keine technische Entwicklung verhindert sondern sich daf r einsetzt dass von vornherein bestimmte Voraussetzungen zur Gew hrleistung der informa tionellen Selbstbestimmung eingehalten werden Daf r hat sich in der internatio nalen Disk
245. ung nahme enthaltenen Aussagen zum eingebauten Datenschutz Privacy by De sign und zur Sicherheit mit den Empfehlungen der Datenschutzgruppe Offen kundig ist die massenhafte Einf hrung intelligenter Verbrauchsmessger te be reits in vollem Gange weshalb die Betroffenen unbedingt verstehen m ssen auf welche Weise intelligente Verbrauchsmessger te personenbezogene Daten verar beiten und welche Fragestellungen sich daraus ergeben auch wenn der Umfang der vorliegenden Ver ffentlichung keinen Anspruch auf Vollst ndigkeit erhebt 2 Um den Prozess der EU weiten Einf hrung intelligenter Stromversorgungsnetze zu f rdern und zu unterst tzen beschloss die Europ ische Kommission die Einrichtung einer Taskforce f r intelligente Stromversorgungsnetze Hierf r wurden drei Sachverst ndigengruppen eingerichtet die Empfehlungen f r die Einf hrung intelligenter Stromversorgungsnetze erarbeiten sollen Das Grundlagendokument f r diese Stellungnahme ist Task Force Smart Grids Expert Group 2 Regulatory Recommendations for Data Safety Data Handling and Data Protection Report Issued February 16 2011 online Verf gbar unter http ec europa eu energy gas_electricity smart grids doc expert_group2 pdf eingestellt 25 M rz 2011 57 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 In dieser Stellungnahme werden folgende Themenbereiche angesprochen die Definition personenbezogener Daten im Zusammenhang mit int
246. ung der Grenzkontrollen im Schengen Raum die sich auf den sogenannten Schengen Besitzstand st tzen Wenn also noch Sicherheitsl cken bestehen dann sollte der erste Schritt eine Untersuchung des reibungslosen Funktionierens der bestehenden Systeme sein 2 2 Bestehende Systeme Instrumente und Zusammenarbeit In dem berblick der Kommission ber das Informationsmanagement im Be reich Freiheit Sicherheit und Recht wird weder die Wirksamkeit der verschiede nen bestehenden Systeme beurteilt noch gepr ft ob sie in ihrer Gesamtheit ge eignete Instrumente zur Bek mpfung von Terrorismus und organisierter Krimi nalit t darstellen und wo falls dem nicht so ist m gliche Sicherheitsl cken be stehen Die Datenschutzgruppe ist der Auffassung dass eine solche Beurteilung erforderlich ist bevor weitere hnliche Ma nahmen wie ein EU PNR System eingef hrt werden Der PNR Vorschlag f hrt zu einander berschneidenden Ver pflichtungen f r Fluggesellschaften zur Sammlung von bereits in anderen Syste men verf gbaren Daten und birgt ernsthaft die Gefahr einer schleichenden Zweckentfremdung function creep So verpflichtet die API Richtlinie etwa Fluggesellschaften Angaben ber die bef rderten Personen im Voraus zu ber mitteln wobei die Daten nicht nur bei Grenzkontrollen sondern auch f r die Strafverfolgung verwendet werden d rfen Obwohl die Datenschutzgruppe dieses Thema mehrfach gegen ber der Kommission angesprochen hat lie
247. uren der Versor gungsunternehmen spielen welche ohne hier n her darauf einzugehen ebenfalls die Integration angemessener Datenschutzma nahmen in den Systemen erfor dern Es existiert keine standardisierte universelle Definition des Begriffs Smart Meter vielmehr wurde der Begriff auf eine Vielzahl von Ger ten angewandt die unterschiedliche Funktionalit ten umfassen Es gibt jedoch einige grundlegende gemeinsame Charakteristika bei den meisten aktuell entwickelten intelligenten Z hlern Als wesentlichste dieser Eigenschaften erweist sich die relativ feingra nulare digitale Messung des Energieverbrauchs von Haushalten zum Beispiel die Ablesung des Energieverbrauchs im Minutentakt Aber auch eine gr bere Taktung wie die st ndliche Ablesung erm glicht die Erhebung von Intervallver brauchsdaten wodurch Zeittarif Abrechnungen erm glicht werden die tageszeit abh ngige Strompreisunterschiede beim Verbrauch ber cksichtigen Eine Digi talanzeige zum Energieverbrauch der Haushalte z B aktueller Verbrauch pro Intervall oder zur ckliegender Verbrauch pro Intervall wird in der Regel mit der M glichkeit zur bermittlung dieser Informationen an ein anderes Ger t z B Smartphone oder Fernsehen vorhanden sein Intelligente Messger te k nnen auch mit einem internen Speicher ausgestattet sein der die Speicherung aller Ab lesungen aus einem Zeitraum von mindestens sechs Monaten erm glicht Intelligente Messger te sind danebe
248. ussion der Begriff privacy by default datenschutzgerechte Grund einstellung eingeb rgert Auf europ ischer Ebene enthalten die Arbeitspapiere der sog Art 29 Gruppe der Datenschutzbeh rden seit jeher wichtige Orientierungshilfen An dieser Stelle k nnen nur ausgew hlte Papiere abgedruckt werden die f r Deutschland und Berlin praktisch bedeutsam sind Allgemein gilt aber schon seit geraumer Zeit dass auf der europ ischen Ebene wesentliche Weichen f r den Datenschutz vor Ort gestellt werden Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation sog Berlin Group hat erneut zukunftstr chtige Themen Datenaufzeichnung in Fahrzeugen elektronische Zahlverfahren und intelligente Stromz hler behandelt und hierzu Empfehlungen abgegeben Der Band wird abgeschlossen durch die Entschlie ungen der deutschen Informa tionsfreiheitsbeauftragten und eine rechtliche Einordnung der Online Bericht erstattung Livestreaming ber Beratungen in Berliner Bezirksverordnetenver sammlungen die auch f r das Abgeordnetenhaus von Bedeutung sein kann Diese Dokumentensammlung kann auch ber unsere Webseite abgerufen werden Dr Alexander Dix Berliner Beauftragter f r Datenschutz und Informationsfreiheit A Dokumente zum Datenschutz I Konferenz der Datenschutzbeauftragten des Bundes und der L nder 1 Entschlie ungen der 81 Konferenz am 16 17 M rz 2011 in W rzburg Datenschutzkonforme Gestaltung und Nu
249. von MAC Adressen und errechneten Standorten von Wi Fi Zugangspunkten haben 14 W3C Geolocation API http www w3 org TR geolocation APV 107 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 185 Der berechtigte Grund gem Artikel 7 Buchstabe f der Datenschutzrichtlinie er fordert ein Gleichgewicht zwischen dem berechtigten Interessen des f r die Ver arbeitung Verantwortlichen und den Grundrechten der betroffenen Personen An gesichts der halbstatischen Natur der Wi Fi Zugangspunkte stellt das Kartogra fieren von Wi Fi Zugangspunkten im Prinzip eine geringere Gefahr f r die Pri vatsph re der Inhaber dieser Zugangspunkte dar als die Standortortung in Echt zeit durch die intelligenten mobilen Endger te Das Gleichgewicht zwischen den Rechten des f r die Verarbeitung Verantwort lichen und den Rechten der betroffenen Personen ist dynamisch Damit die f r die Verarbeitung Verantwortlichen ihre berechtigten Interessen langfristig ber die Interessen der betroffenen Personen stellen k nnen m ssen sie Garantien ein f hren und umsetzen Dazu geh rt zum Beispiel das Recht sich einfach und dau erhaft von der Datenbank abzumelden ohne dem f r die Verarbeitung dieser Da tenbank Verantwortlichen zus tzliche personenbezogene Daten geben zu m ssen Sie k nnen beispielsweise eine Software nutzen die es automatisch feststellt wenn eine Person mit einem bestimmten Zugangspunkt verbunden ist Dar ber hinaus ist
250. wann sie wach sind oder schlafen Dies gef hrdet die Unverletzlichkeit der Wohnung und solche intimen Details des t glichen Le bens erfordern ein hohes Schutzniveau Diese Informationen sollten ohne das Wissen und das Einverst ndnis der des Bewohner s nicht zug nglich sein Die Verbrauchenden m ssen die M glichkeit und die F higkeit haben einzugreifen und zu bestimmen wer auf diese Daten zugreifen darf Prinzipiell sind alle of fengelegten personenbezogenen Daten auf ein Mindestma zu beschr nken so wohl im Hinblick auf die Art und die Menge der Daten als auch in Bezug auf die bermittlung die nur an die notwendigen Akteure erfolgen darf Die Bedeutung der Erhaltung des Vertrauens der Verbrauchenden in Bezug auf Datenschutz und Smart Metering wurde in vielen Rechtssystemen deutlich Bei spiele hierf r sind e Kalifornien USA Der Versorger PG amp E wurde mit Blockaden von Anwoh nern konfrontiert die den Einbau intelligenter Z hler in ihrem Viertel verhin dern wollten und sich dabei auf den Schutz der Privatsph re und auf gesund heitliche Bedenken beriefen e British Columbia Kanada Zahlreiche Beschwerden haben den Daten schutzbeauftragten der Provinz dazu veranlasst eine Untersuchung von BC Hydro s Smart Meter Programm ins Leben zu rufen Dabei stellte er fest Da tenschutz und Datensicherheit in Bezug auf die Energieverbrauchsdaten ist ein sehr reales Problem f r die B rger e Niederlande Ein Geset
251. wertung rechtfertigt Diese Beurteilung gilt erst recht wenn besondere politische Positionen in der BVV selbst gem 7 Abs 1 BezVG besetzt werden sodass die Wahl des Vorstehers seines Vertreters und der brigen Vorstandsmitglieder keinen sachlichen Unterschied in der Bewertung bedeuten kann Sofern aus der Mitte der BVV Aussch sse gem 15 GO BVV und der l testenrat gem 9 BezVG gebildet werden gilt diese Beurteilung ebenfalls entsprechend Anders ist die Sachlage zu bewerten wenn Ehren mter wie der Patienten f rsprecher gem 26 LKG B rgerdeputierte gem Art 73 Abs 2 Satz 2 VvB oder andere Ehren mter besetzt werde sollen Im Unterschied zu den parlamentarischen Personalfragen werden hierbei B rger f r besondere Posi tionen und Aufgaben ausgew hlt Diese Wahlbefugnisse finden keine direkte 143 Informationsfreiheit Live bertragung der BVV Sitzungen Entsprechung in den Befugnissen und Aufgaben des Abgeordnetenhauses Am ehesten l sst sich diese Befugnis mit dem Auswahlverfahren bei der Ein berufung bestimmter Sonderaussch sse oder der Enquete Kommission gem Art 44 Abs 3 VvB 20 Abs 2 23 der GO des Abgeordnetenhauses ver gleichen bei denen auch Sachverst ndige als Mitglieder bestimmt werden k nnen Demnach ist es auch im parlamentarischen Betrieb nicht g nzlich untypisch bestimmte Positionen mit B rgern zu besetzen sodass sich aus der entsprechenden Wahlbefugnis der BVV eine andere Bewertung
252. wof r sie verwendet werden Soweit Dritte an der Verarbeitung personenbezogener Daten f r die Erbringung bestimmter Dienstleistungen f r die betroffenen Personen beteiligt sind sollten die betroffenen Personen in hnlicher Weise unterrichtet werden In bestimmten F llen ist es m glicherweise angebracht eine unabh ngige berpr fung oder berwachung des Zugriffs Dritter auf personenbezogene Daten und der Nutzung dieser Daten durch Dritte zu erm glichen damit eine Irref hrung der betroffenen Personen ausgeschlossen ist 71 Datenschutz Dokumente der Artikel 29 Datenschutzgruppe WP 183 Rechte der betroffenen Person Die f r die Datenverarbeitung Verantwortlichen sind verpflichtet die Rechte der betroffenen Personen auf Dateneinsicht und gegebenenfalls auf Berichtigung oder L schung der ber sie gespeicherten Daten zu beachten Da ein zentraler Bestandteil des Projekts der intelligenten Verbrauchsmessungen in der Einf h rung eines haushaltsinternen Netzes in dem der Verbraucher aus dem intelli genten Verbrauchsmessger t unmittelbar Informationen ber seine Verbrauchs muster und Tarife erh lt besteht bedeutet dies zugleich die M glichkeit dass die betroffenen Personen ihre Rechte unter Verwendung von Instrumenten die einen direkten Zugriff auf die Daten erm glichen wahrnehmen k nnen Mit bestimmten Technologien l sst sich die Dateneinsichtnahme f r die betroffe nen Personen jedoch m glicherweise nic
253. zesentwurf aus dem Jahr 2006 wurde abgelehnt der die obligatorische Einf hrung von Smart Metern vorsah Dies geschah teil weise aufgrund eines Berichts in dem festgestellt wurde dass die Daten schutzbelange im Zusammenhang mit dem Gesetzesentwurf gegen Artikel 8 der Europ ischen Konvention zum Schutze der Menschenrechte und Grund freiheiten EMRK Recht auf Achtung des Privat und Familienlebens ver sto en k nnten In diesen und anderen F llen h tten vorausgehende Initiativen zur Entwicklung und zur Vermittlung des Datenschutzes sowie Schutzma nahmen f r Smart Meter Systeme eine Schl sselrolle dabei gespielt R ckschl ge in der Entwick lung zu vermeiden 7 http blogs sfweekly com thesnitch 2010 12 smart_meters_west_marin php 8 http www oipe be ca news 2011Releases NR_SmartMeters_28July2011 pdf 9 http www consumentenbond nl morello bestanden 209547 onderzoek_UvT_slimme_energil pdf 10 http download pwe com ie pubs smart_from_start pdf 127 Datenschutz Arbeitspapiere der IWGDPT Privacy by Design In der gleichen Zeit in der sich das Verh ltnis zwischen dem Verbrauchenden und dem Energieversorger ver ndert hat und die Erhebung von Stromverbrauchsdaten erweitert worden ist sind weltweit die Grunds tze des Privacy by Design PbD angenommen worden Von seinen Urspr ngen Mitte der 90er Jahre entwickelte sich PbD zu einem weltweiten Standard der durch eine einstimmig angenom mene Entschlie ung d
254. zur Verhaltens und Leistungskontrolle sind nach wie vor zu weitgehend Der Gesetzgeber muss hier strenge Voraussetzungen vorgeben Die Konferenz weist auf die gefestigte verfassungsrechtliche Rechtsprechung zum unzumutbaren berwachungsdruck hin Die Konferenz der Datenschutzbeauftragten fordert die offene Video berwa chung st rker zu begrenzen und insbesondere zu verbieten die z B bei der Qualit tskontrolle anfallenden Daten zur Ver haltens und Leistungskontrolle zu nutzen f r Bereiche zu untersagen die nicht nur berwiegend sondern auch der privaten Nutzung dienen Das Petitionsrecht darf nicht beschr nkt werden Besch ftigte m ssen sich je derzeit an die zust ndige Datenschutzaufsichtsbeh rde wenden k nnen ohne deswegen benachteiligt oder gema regelt zu werden In gesetzliche Regelungen zum Besch ftigtendatenschutz sind dar ber hinaus Bestimmungen aufzunehmen zur Personalaktenf hrung einschlie lich der automatisierten Personalak tenf hrung zur privaten Nutzung von Telekommunikationsdiensten zum Thema Whistleblowing zum Bereich der Video berwachung im ffentlich zug nglichen Bereich bei denen Besch ftigtendaten mit anfallen zum Beweisverwertungsverbot bei unzul ssiger Datenerhebung und ver wendung zum Konzerndatenschutz unter Ber cksichtigung des internationalen Da tenverkehrs Datenschutz Entschlie ungen der 81 DSB Konferenz Ohne
Download Pdf Manuals
Related Search