• Mit dem neuen Urteil des Europäischen Gerichtshofs vom 30. März 2023 (C 34/12) ist verbunden, dass in zahlreichen deutschen Regelungen zum Beschäftigtendatenschutz nachgebessert werden muss. Die Datenschutz-konferenz weist auf diese Notwendigkeit hin und erneuert ihre Forderung nach einem eigenen Beschäftigtendatenschutzgesetz.

• Das Bundesverfassungsgericht hat in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen an solche eingriffsintensiven Analysemethoden mit und ohne künstlicher Intelligenz formuliert (1 BvR 1547/19 und 1 BvR 2634/20). In ihrer Entschließung zur automatisierten Datenanalyse bei Polizei und Nachrichtendiensten appelliert die Datenschutzkonferenz an die Gesetzgeber von Bund und Ländern, zu prüfen, ob und inwieweit sich aus den Entscheidungen des Bundesverfassungsgerichts gesetzgeberischer Handlungsbedarf ergibt. Halten sie den Einsatz komplexer Datenanalysemethoden für erforderlich, müssen hierfür klare Rechtsgrundlagen und geeignete Rahmenbedingungen geschaffen werden, mittels derer der Grundrechtsschutz betroffener Personen sichergestellt wird. Die vorhandenen gesetzlichen Bestimmungen sind in der Praxis in verfassungskonformer Weise anzuwenden.

• Während der Einsatz von Smart Meter zum Strom- und Wärmeverbrauch flächendeckend gesetzlich geregelt ist, ist dies für die funkbasierten Kaltwasserzähler bisher nicht der Fall. Die aus der Ferne abrufbaren Verbrauchsdaten der Haushalte lassen Rückschlüsse auf das Verhalten und die Lebensgewohnheiten der Bewohnerinnen und Bewohner zu. Die Datenschutzkonferenz hält die Einführung möglichst einheitlicher Regelungen für nötig, in denen die konkreten Zwecke, der Umfang der Daten, die Häufigkeit der Abrufe und die Löschfristen festgelegt werden. Außerdem müssen für den Einsatz die technischen und organisatorischen Sicherheitsmaßnahmen nach dem Stand der Technik getroffen werden.

• Die Datenschutzkonferenz bringt mit dem Positionspapier „Kriterien für Souveräne Clouds“ ihre Expertise in die politische Diskussion ein. Die erarbeiteten Kriterien zielen auf die digitale Souveränität der Cloud-Anbietenden und Cloud-Anwendenden ab, um die Einhaltung der Rechte und Freiheiten der betroffenen Personen zu unterstützen. Souveräne Clouds müssen es den Verantwortlichen ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen die Punkte „Nachvollziehbarkeit durch Transparenz“, „Datenhoheit und Kontrollierbarkeit“, „Offenheit“, „Vorhersehbarkeit und Verlässlichkeit“ sowie „Regelmäßige Prüfung der aufgestellten Kriterien“.

Die erarbeiteten und beschlossenen Dokumente werden in Kürze auf der Website der Datenschutzkonferenz
https://www.datenschutzkonferenz-online.de/ bereitgestellt. Vorab besteht bereits eine Abrufmöglichkeit direkt beim diesjährigen Vorsitz der Datenschutzkonferenz unter:
 
• DSK-Entschließung „Notwendigkeit spezifischer Regelungen zum Beschäftigtendatenschutz! – Rechtsprechung des Europäischen Gerichtshofs hat Auswirkungen auf zahlreiche deutsche Vorschriften im Beschäftigungskontext“:
https://uldsh.de/DSK-BeschaeftigtenDS

• DSK-Entschließung „Verfassungsrechtliche Anforderungen bei automatisierter Datenanalyse durch Polizei und Nachrichtendienste beachten!“:
https://uldsh.de/DSK-DatenanalysePolizei

• DSK-Stellungnahme „Daten der Verbraucherinnen und Verbraucher beim Einsatz von Smart Meter zur Erfassung des Kaltwasserverbrauchs durch einheitliche Regelungen schützen“:
https://uldsh.de/DSK-Funkwasser

• DSK-Positionspapier „Kriterien für Souveräne Clouds“: https://uldsh.de/DSK-SouvClouds