Schlagwort: LDI NRW
19. Oktober 2022
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) genehmigte am 7. Oktober 2022 erstmalig die Kriterien eines Unternehmens für die Zertifizierung von Auftragsverarbeitern. Mit dem Zertifikat „European Privacy Seal“ („EuroPriSe“) sollen Unternehmen zukünftig ihre DSGVO-konformen Auftragsverarbeitungen nachweisen können.
Bedeutung
Die EuroPriSe GmbH ist europaweit das erste Unternehmen, das eine Genehmigung für seinen Kriterienkatalog erhalten hat. Im Genehmigungsverfahren hat die LDI NRW „gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“
Allerdings befreit ein Zertifikat weder die Verantwortlichen und Auftragsverarbeiter noch die Aufsichtsbehörden von ihren Pflichten aus der DSGVO. Die Zertifizierung bleibt ein freiwilliges Instrument (vgl. Art. 42 Abs. 3 DSGVO), welches lediglich für einen Zeitraum von drei Jahren mit Aussicht auf Verlängerung erteilt werden kann (vgl. Art. 42 Abs. 3 S. 1 DSGVO).
Zertifizierungsverfahren nach Art. 42 DSGVO
Das Zertifizierungsverfahren nach Art. 42 DSGVO ist aufwendig und erfordert die Zusammenarbeit der Deutschen Akkreditierungsstelle GmbH (DAkkS) und der zuständigen Aufsichtsbehörde. Für eine Zertifizierung muss zudem die Empfehlung des Europäischen Datenschutzausschusses (EDSA) eingeholt und umgesetzt werden, damit eine einheitliche Anwendung der DSGVO in der EU gewährleistet werden kann.
Bewertung und Ausblick
Die Vorteile eines solchen Zertifikats sind vielfältig und beschränken sich nicht nur auf Marketing-Zwecke. Anwendungsbereiche werden von der DSGVO an verschiedenen Stellen explizit erwähnt. So kann ein Zertifikat für den Nachweis der DSGVO-Anforderungen beispielsweise bei der Beurteilung der Erfüllung der Pflichten des Verantwortlichen, Garantien des Auftragsverarbeiters, Datenübertragungen an ein Drittland oder auch bei der Datenschutz-Folgenabschätzung als Faktor herangezogen werden. Eine Zertifizierung kann Verantwortlichen und Auftragsverarbeitern also in vielen Bereichen den Nachweis der Pflichterfüllung erleichtern. Laut LDI NRW sei ein zentrales Ziel Transparenz, da Zertifikate als bewährtes Instrument den Markteilnehmenden einen „raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“ lieferten.
Es bleibt abzuwarten, wie die Aufsichtsbehörden solche Zertifikate in Zukunft bei ihren Bewertungen von Verarbeitungsvorgängen einfließen lassen werden und ob sich die erhoffte Vereinfachung des Nachweises für Datenverarbeiter auch tatsächlich einstellt. Für den Markt bedeutet diese erste Genehmigung jedenfalls einen Meilenstein, der voraussichtlich den Weg für weitere Zertifizierungen nach Art. 42 DSGVO ebnen wird.
20. September 2022
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 14.09.2022 zum ersten Mal eine Überwachungsstelle für Verhaltensregeln nach Artikel 41 Datenschutz-Grundverordnung (DSGVO) akkreditiert (Pressemitteilung).
Hilfreiches Instrument bei Auslegungsfällen
Die DSGVO sieht vor, dass sich Wirtschaftsbranchen selbst Verhaltensregeln zum Umgang mit personenbezogenen Daten auferlegen können, um so die DSGVO zu konkretisieren. Art. 40 Abs. 2 DSGVO legt die Bereiche fest, für welche konkrete Verhaltensvorgaben gemacht werden können. Dazu gehören beispielsweise die faire und transparente Verarbeitung sowie die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen. Diese Verhaltensregeln (Codes of Conduct, CoC) können dann von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Sie dienen dann als Handlungsorientierung für das Unternehmen. So kann erwünschtes Verhalten gefördert bzw. unerwünschte Handlungen minimiert werden. Darüber hinaus können Auslegungsfragen mithilfe solcher Vorgaben einfacher gelöst werden. Eine Vereinfachung der Prozesse führt in der Regel zusätzlich auch zu einer Kostenersparnis. Konkret betreffen die vom LDI NRW akkreditierten Verhaltensregeln Wirtschaftsauskunfteien sowie die die Konkretisierung von Prüf- und Löschfristen für personenbezogene Daten.
Kontrolle obliegt Privatwirtschaft
In Zukunft werde die Einhaltung der CoC dann von einer privaten Überwachungsstelle kontrolliert, die ebenfalls von der Datenschutzaufsichtsbehörde genehmigt wird. Diese Überwachungsstellen arbeiten nach Angabe der Behörde neutral und unabhängig. Sie seien extra dafür geschaffen worden, dass die Einhaltung der Datenschutzregeln von der Branche selbst überwacht wird.
Darüber hinaus hätten Bürger:innen nun eine zentrale Stelle, an die sie sich wenden können, wenn sie meinen, dass die Speicherung ihrer Daten unzulässig erfolgt. Die Überwachungsstelle kann dann auch eine Anpassung für alle an den Verhaltensregeln beteiligten Auskunfteien als Maßnahme herbeiführen.
Ausblick mit Chancen
Zusätzlich bleiben auch die staatlichen Datenschutzaufsichtsbehörden weiterhin zuständig. Das gilt sowohl für die Datenschutzaufsicht über Auskunfteien als auch für die Überwachungsstelle. Möglicherweise werden nun aber in Zukunft auch in anderen Branchen weitere Akkreditierungen folgen. Aus datenschutzrechtlicher Sicht ist es erfreulich, dass diese Möglichkeit zur Schaffung größerer Rechtssicherheit und Kontrolle nun erstmalig genutzt wurde.
29. Juni 2022
Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick:
Um was für eine Software handelt es sich und wozu wird sie eingesetzt?
Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden.
Wie weit ist die Software verbreitet?
In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen.
Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten.
Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt.
Was ist die Kritik an der Software?
Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte.
Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten.
Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben.
Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen.
28. April 2021
Im Rahmen der Corona-Pandemie setzt die Landesregierung Nordrhein-Westfalen zum Zweck des Gesundheitsschutzes unter anderem auf den Einsatz von Coronaselbsttests für alle an Schulen in Präsenz tätigen Personen. Über datenschutzrechtliche Grundsätze, Voraussetzungen und Grenzen bei der Durchführung dieser Selbsttests informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem Schreiben.
Auch wenn die Durchführung von Coronaschnelltests aus datenschutzrechtlicher Sicht laut der LDI NRW nicht zu beanstanden ist, so müssen dennoch bestimmte Grundsätze beachtet werden, um datenschutzrechtliche Voraussetzungen zu erfüllen.
1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten
Bei der Durchführung von Coronaschnelltests werden durch die Schulen Gesundheitsdaten z.B. von Schülerinnen und Schülern, d.h. personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verarbeitet. Diese Gesundheitsdaten unterliegen einem besonderen Schutz nach der DSGVO, da deren Verarbeitung grundsätzlich untersagt ist. Nur in Ausnahmefällen nach Art. 9 Abs. 2 DSGVO ist eine Verabeitung zulässig. So z.B. nach Art. 9 Abs. 2 lit. i in den Fällen, in denen die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage nationalen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist. Hinsichtlich einer solchen Regelung verweist die LDI NRW als Rechtsgrundlage für die Schulen auf § 1 Abs. 2 lit. b und lit. e Coronabetreuungsverordnung (CoronaBetrVO) und bejahte auch dessen Verhältnismäßigkeit.
2. Vertraulichkeit der Testergebnisse
Zudem verweist die Landesbeauftragte darauf, dass die Ergebnisse der Coronaselbsttests Unbefugten gegenüber nicht offengelegt werden dürfen. Das bedeutet, dass die Schulen die Bekanntgabe der Ergebnisse so organisieren müssen, dass sie den Schülerinnen und Schülern oder ihren Erziehungsberechtigten gegenüber einzeln erfolgt. Im Rahmen dessen sieht die LDI NRW den Ausschluss positiv getetester vom Präsensunterricht, durch den grundsätzlich auch ein Rückschluss auf das Testergebnis möglich wäre, als unumgänglich und mithin als datenschutzrechtlich hinnehmbar an.
3. Dokumentation der Testergebnisse
Schließlich müssen die Schulen die Testergebnisse nach § 1 Abs. 2 lit. e CoronaBetrVO erfassen und dokumentieren. Positive Testergebnisse müssen sie dem Gesundheitsamt übermitteln. Die Ergebnisse der durchgeführten Coronaselbsttests dürfen darüber hinaus nicht an Dritte übermittelt werden und müssen nach 14 Tagen vernichtet werden. Hinsichtlich der Vernichtung verweist die LDI NRW darauf, dass eine datenschutzkonforme Vernichtung erfolgen muss, d.h. in der Form, dass die Daten nicht wieder herstellbar sind, wofür sie ein bloßes Zerreißen von Listen und die Entsorgung über den Papiermüll als nicht ausreichend beschreibt. Auch eine Erforderlichkeit, die Testergebnisse zur Schülerakte zu nehmen, verneint die Landesbeauftragte. Sollte im Einzelfall eine Aufbewahrung für erforderlich gehalten werden, so verweist die LDI NRW darauf, dass dies nur in einem verschlossenen Umschlag, auf den nur ein eingeschränkter Personenkreis zur Aufgabenerfüllung der Schule Zugriff haben darf, erfolgen sollte. Auf dem Umschlag sei dann, so die LDI NRW, zu vermerken, wer wann und zu welchem Zweck auf das Testergebnis zugegriffen hat und wann es danach wieder im Umschlag verschlossen wurde.
5. Juni 2020
Mit einer Stellungnahme vom 27.05.2020 erklärte der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, dass betriebliche Datenschutzbeauftragte auch während einer (Corona-bedingten) Kurzarbeit im Unternehmen unverzichtbar sind.
Denn auch für den Fall, dass ein Verantwortlicher in seinem Unternehmen Kurzarbeit einführt – dass also entweder in geringerem Umfang weitergearbeitet oder vorübergehend die gesamte Tätigkeit eingestellt wird – bleibt das Unternehmen an sich bestehen. Betriebliche Dateschutzbeauftragte sind insbesondere deswegen weiterhin von Bedarf, da Kunden- und Geschäftsbeziehungen auch während einer Kurzarbeit bestehen bleiben. Somit werden auch weiterhin personenbezogene Daten verarbeitet. Auch bringt die Corona-Pandemie neue datenschutzrechtliche Herausforderungen mit sich. So wurden durch Betriebe vermehrt Home-Office angeordnet oder Konferenzen und Besprechungen per Videosysteme abgehalten. Ebenso mussten teilweise die innerbetrieblichen Kommunikationswege mit neuen elektronischen Systemen und Anbietern sichergestellt werden.
Es obliegt weiterhin dem Verantwortlichen gemäß Art. 38 Abs. 2 der Datenschutz-Grundverordnung (DSGVO), dem Datenschutzbeauftragten zu ermöglichen, Kontroll- und Beratungsaufgaben wahrzunehmen.
Auch die Pflicht, einen Datenschutzbeauftragten nach Bundesdatenschutzgesetz (BDSG) zu benennen, besteht weiter. Dass in § 38 Abs. 1 S. 1 BDSG festgelegt ist, dass Verantwortliche dann einen Datenschutzbeauftragten zu benennen haben, “…soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”, soll nicht heißen, dass damit jegliche kurzzeitige Veränderung in Betriebsabläufen gemeint ist. Vielmehr muss hier eine langfristige Betrachtung der Verarbeitungsvorgänge vorgenommen werden. Solange auch im Anschluss an die Kurzarbeit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Pflicht zur Bennenung eines Datenschutzbeauftragten nach Bundesdatenschutzgesetz gegeben.
Möglich ist, den Arbeitszeitumfang eines betrieblichen Datenschutzbeauftragten, der vor der Kurzarbeit in Vollzeit tätig war, zu verringern. Es muss jedoch stets gewährleistet sein, dass er seinen datenschutzrechtlichen Pflichten uneingeschränkt nachkommen kann.
Um dies zu gewährleisten, muss dem Datenschutzbeauftragten des Weiteren mit geeigneten Maßnahmen durch den Verantwortlichen ermöglicht werden, telefonisch und/oder per E-Mail erreichbar zu sein und ihre Posteingänge prüfen zu können.
13. Mai 2020
Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (im Folgenden: LDI), Helga Block, hat heute den Jahresbericht für 2019 veröffentlicht. Gleichzeitig gab sie auch den Leitungswechsel bekannt, da sie 2020 ihren gesetzlichen Ruhestand antreten wird.
Die datenschutzrechtlichen Eingaben sind, im Vergleich zum Vorjahr, auf über 12.500 weiter angestiegen. Über 2200 Datenpannen wurden in der Zeit gemeldet. Obwohl bereits einige Grundsatzfragen durch das LDI geklärt werden konnten, besteht weiterhin Klärungsbedarf zu den Vorgaben und der Anwendung der DSGVO.
Die Landesbeauftragte hatte sich 2019 schwerpunktmäßig u.a. mit der Evaluation zur DSGVO und den datenschutzrechtlichen Fragen zur inneren Sicherheit, zum Internet und zu den Medien befasst. Besonders kritisierte Helga Block die umfangreichen Eingriffe in die informationelle Selbstbestimmung durch die strategische Fahndung der Polizei. Bei dieser wurden pro Fahndung jeweils 5000 Menschen Teil von Kontrollen und Identitätsfeststellungen, ohne dass das angestrebte Ziel erreicht worden ist. Ein weiteres zentrales Thema war die Veröffentlichung von Informationen zu Entscheidungen des Europäischen Gerichtshofes zum Betrieb von Facebook-Fanpages und zur Einbindung von Social Plugins auf Websites.
Abschließend äußerte sich Helga Block zur aktuellen Situation: „Die Vorlage dieses Berichtes fällt angesichts der Corona-Pandemie in eine Krisenzeit, in der die Freiheitsrechte durch Maßnahmen der Gesundheitsfürsorge stark eingeschränkt werden. Der Schutz der Grundrechte, zu denen auch das Recht auf informationelle Selbstbestimmung gehört, ist auch und gerade in einer solchen schweren Krise ein wesentliches Merkmal unserer freiheitlich-demokratischen Grundordnung, die es zu schützen gilt.“
Perspektivisch sprach sich die Landesbeauftragte für den kommenden Berichtszeitraum für die Wahl eines Ländervertreters aus, der im Europäischen Datenschutzausschuss neben dem Bundesbeauftragten an den Ausschusssitzungen teilnehmen kann.
13. März 2018
Im Jahre 2008 fuhren die Autos von Google durch Deutschlands Straßen um Aufnahmen für Google Streetview zu erstellen. Betroffene konnten Fassaden, Häuser, Autos und Personen über einen Antrag verpixeln lassen. Dies führte in Deutschland dazu, dass die Google Autos 2010 verschwanden, während in anderen Ländern die interaktive Karte von Google Streetview aktualisiert wurde.
Google hat jedoch eine neue Möglichkeit gefunden auch verpixelte Häuser und Fassaden anzuzeigen. Die neue Funktion heißt Google Maps 3D. Hierfür errechnet Google aus unterschiedlichen Luftbildaufnahmen von Apple, Bing oder Satellitenaufnahmen, eine realistische und detailgetreue 3D Aufnahme. Google beruft sich bezüglich der fehlenden Verpixelung darauf, dass die Bilder aus ohnehin frei zugänglichen Quellen zusammengestellt wurden und das darüber hinaus nicht viel zu erkennen sei.
Viele fühlen sich trotzdem in ihrem Persönlichkeitsrecht verletzt und fürchten Einbrüche.
1. Oktober 2015
Zum heutigen Tag löst Helga Block den bisherigen Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Ulrich Lepper, ab, der nach fünf Jahren Amtszeit in den Ruhestand tritt.
Block war – nach ihrer Anfangszeit bei den Bezirksregierungen Detmold und Düsseldorf – seit 1989 im Ministerium für Inneres und Kommunales beschäftigt, seit 2001 war sie dort als Abteilungsleiterin tätig und unter anderem für die Themen Verfassungsrecht und Datenschutz verantwortlich. Sie wurde 1954 in Münster geboren und studierte dort Rechtswissenschaften.
Medienberichten zufolge werde Block, wenn nötig, auch einmal “unbequem” sein, sie wolle in Zukunft gerne ihre Ansicht “als unabhängige Teilnehmerin an der öffentlich geführten Debatte” einbringen.
Hinsichtlich einer der größten Herausforderungen der kommenden Monate, der Entwicklung der EU-Datenschutzgrundverordnung, äußerte sie sich dahingehend, dass sie sich auf jeden Fall noch in die Trilog-Verhandlungen einbringen werde, um das neue Recht verbraucherfreundlich zu gestalten. Es verstehe sich für sie von selbst, “dass die Reform des EU-Datenschutzrechts das hohe Schutzniveau in Deutschland mindestens halten sollte”.
1. Dezember 2014
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Lepper warnt explizit davor, persönlichste Daten zur täglichen Lebensführung Versicherungen zur Verfügung zu stellen, um damit einen Preisvorteil zu erhalten. Er nimmt Bezug auf diesbezügliche Berichte über Planungen einiger deutschen Versicherungen, sich Daten über Fitness, Ernährung und Lebensstil ihrer Kunden übermitteln zu lassen (z.B. über eine App) und zu analysieren. Die Kunden sollen im Gegenzug Gutscheine und Rabatte erhalten.
„Datenschutzrechtlich kann das zulässig sein, wenn die Kunden freiwillig einwilligen und vorher transparent über die geplante Datenverarbeitung informiert werden. Aber mit solchen Geschäftsmodellen wird ein finanzieller Druck erzeugt, tiefen Einblick in Lebensgewohnheiten und Gesundheit ermöglichen“, so Lepper. Schon bei einer Kfz-Versicherung, die Rabatte dafür anbietet, wenn Kunden ihr Fahrverhalten analysieren lassen und sich wunschgemäß verhalten, hatte der Landesdatenschutzbeauftragte davor gewarnt, dass in immer mehr Lebensbereichen persönlichste Daten „verkauft“ werden. Die geplanten Geschäftsmodelle von Krankenversicherungen würden noch einen Schritt weitergehen und auch die Gesundheitsdaten kommerzialisieren. Ulrich Lepper: „Das ist nicht nur eine Datenschutzfrage. Neben Verbraucherschutz und Versicherungsaufsicht ist auch die Politik gefragt. Es ist Zeit für eine gesellschaftliche Debatte darüber, wo Grenzen für solche Geschäftsmodelle zu ziehen sind.“
25. August 2014
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Lepper kritisiert Medienberichten zufolge den Vorstoß des Bundesjustizministers Maas, Verbraucherverbänden ein Klagerecht gegen datenmissbrauchende Unternehmen einzuräumen. Er warnt vor einer “schädlichen Doppelzuständigkeit”, sollten nicht nur er und seine Amtskollegen, d.h. die Datenschutzbeauftragten des Bundes oder der Länder, sondern auch Verbraucherverbände bei Verstößen gegen das Datenschutzgesetz klagen dürfen.
“Wenn Datenschutzaufsichtsbehörden und Verbände für dieselbe Sache zuständig sind und zudem mit Zivil- und Verwaltungsgerichtsbarkeit unterschiedliche Rechtswege zur Verfügung stehen, gefährdet das Rechtseinheit und Rechtssicherheit”, so Lepper. Er begrüße nichts desto trotz das Ziel, mehr Datenschutz für Verbraucher zu erreichen. Lediglich der Weg, dies über eine Erweiterung der Verbandsklagerechte anzugehen, sei nicht der richtige.