DatenschutzWoche vom 20.02.2023

Bundesverfassungsgericht: Polizei-Datenbanken in Hamburg und Hessen verfassungswidrig

Mit Urteil vom 16. Februar 2023 (Az. 1 BvR 1547/19) hat das Bundesverfassungsgericht entschieden, dass die Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in den Polizeigesetzen vom Hamburg und Hessen verfassungswidrig sind.

Nach Ansicht des Gerichts verstoßen die Regelungen in § 25a Abs. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und in § 49 Abs. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) gegen das allgemeine Persönlichkeitsrecht, da keine ausreichende Eingriffsschwelle enthalten ist. Die beiden weitgehend gleichlautenden Regelungen schaffen eine spezielle Rechtsgrundlage dafür, bisher unverbundene Datenquellen in Datenbanken zusammenzuführen und durchsuchbar zu machen.

Deren Nutzung ist in begründeten Einzelfällen zur vorbeugenden Bekämpfung bestimmter Straftaten vorgesehen. Nach Auffassung des Bundesverfassungsgerichts bleiben diese Regelungen jedoch „[…] weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück“.

Die Pressemitteilung des Bundesverfassungsgerichts fasst die Entscheidung zusammen.

Die Datenschutzaufsichtsbehörden Hamburg und Hessen sowie der Bundesdatenschutzbeauftragte begrüßen die Entscheidung.

Aktionsplan der Datenschutzaufsicht Rheinland-Pfalz

Die Datenschutzaufsicht Rheinland-Pfalz hat am 15. Februar 2023 ihren Aktionsplan für das Jahr 2023 für dieses Jahr veröffentlicht. Ein Arbeitsschwerpunkt der Behörde soll auf der „[…] Schaffung und Erhaltung digitaler Souveränität und damit zusammenhängend der Umgang mit Software-Anwendungen bestimmter Anbieter mit Monopol- oder Oligopolcharakter […]“ liegen. Darüber hinaus wird sich die Behörde mit den zahlreichen geplanten Vorschriften des neuen EU-Datenrechts und möglichen neuen Zuständigkeiten der Behörde befassen. Außerdem wird neben der Änderung des Bundesdatenschutzgesetzes auch die Rechtmäßigkeit von Datenübermittlungen in die USA auf der Agenda stehen.

Untersuchungen und Kontrollen kündigt die Behörde in der Kommunalverwaltung und beim Versand von Newslettern durch nicht-öffentliche Stellen an. Mittels Stichproben soll außerdem geprüft werden, ob Verantwortliche ärztliche Informationen, die im Zusammenhang mit der Pandemie erhoben wurden, ordnungsgemäß gelöscht haben.

Bei den Themen Microsoft 365 oder Fanpages/Pages geht es der Behörde „[…] auch darum, durch geeignete Maßnahmen der Öffentlichkeitsarbeit Akzeptanz für datenschutzrechtliche Bedenken bzw. Anforderungen zu fördern“. Neben weiteren sachbezogenen Schwerpunkten will der Landesdatenschutzbeauftragte auch seine Bemühungen fortsetzen, die Öffentlichkeit über Datenschutz und Informationsfreiheit aufzuklären.

Verantwortliche können den Aktionsplan nutzen, um ihre Datenschutz-Compliance in den Bereichen, die dieses Jahr im Fokus stehen, zu überprüfen. Darüber hinaus ist mit Spannung zu erwarten, wie sich die Behörde dem eher politisch geprägten Begriff der digitalen Souveränität vor dem Hintergrund ihrer Aufgaben und Befugnisse aus der DSGVO annähern wird. Gleiches gilt für die geplanten Maßnahmen zum „Umgang mit Software Anwendungen bestimmter Anbieter mit Monopol- oder Oligopolcharakter“, die der Wortwahl nach eher Assoziationen zum Kartellrecht als zum Datenschutzrecht wecken.

Internationale Nachrichten

• Schweiz: Die schweizerische Bundesverwaltung wird Microsoft 365 als neue Office-Version einführen. Die Analyse zu den rechtlichen Grundlagen für den Einsatz von Microsoft 365 ist zusammen mit weiteren Informationen auf der Internetseite der Bundeskanzlei abrufbar.
• Europa: Das EDPB veröffentlicht neuerdings thematische Zusammenfassungen zu One-Stop-Shop-Entscheidungen.

Aktuelle Gerichtsentscheidungen

• OLG Hamm, Urteil vom 24.11.2022, Az. 4 U 88/21 (juris): Das Recht auf Löschung gilt nicht, soweit die beanstandete Datenverarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist.
• BVerfG, Urteil vom 16. Februar 2023, Az. 1 BvR 1547/19 (Volltext): Die Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten sind verfassungswidrig.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „EDSA entscheidet über Zertifizierung als Instrument für Übermittlungen und praktische Hinweise zu Benutzeroberflächen von Social-Media-Plattformen“ – Pressemitteilung vom 15.02.2023
• Datenschutzaufsicht Rheinland-Pfalz: „Aufsicht und Aufklärung - Aktionsplan des LfDI Rheinland-Pfalz für das Jahr 2023“ – Pressemitteilung vom 15.02.2023
• Datenschutzaufsicht Hamburg: „Bundesverfassungsgericht stärkt den Datenschutz - Regelung zur automatisierten Datenauswertung durch die Polizei Hamburg verfassungswidrig“ – Pressemitteilung vom 16.02.2023
• Datenschutzaufsicht Hessen: „Urteil des Bundesverfassungsgerichts: Rechtsgrundlage für HessenDATA verfassungswidrig“ – Pressemitteilung vom 16.02.2023
• Bundesdatenschutzbeauftragter: „BfDI begrüßt Urteil zu polizeilichen Datenanalysen“ – Pressemitteilung vom 16.02.2023
• Datenschutzaufsicht Sachsen-Anhalt: „Neue Anschrift ab dem 1. März 2023“ – Pressemitteilung vom 16.02.2023
• Bundesdatenschutzbeauftragter: „BfDI kritisiert rechtswidrige Datenverarbeitung und Gesetzgebung“ – Pressemitteilung vom 17.02.2023
• Datenschutzaufsicht Baden-Württemberg: „EDSA Leitlinien zu „Irreführenden Designeffekten“ angenommen“ – Pressemitteilung vom 17.02.2023