Die griechische Datenschutzaufsichtsbehörde hat Bedenken im Datenschutz bei der Einführung der Überwachungssysteme „Kentauros“ und „Hyperion“ für Migrierende in Griechenland.
Am 02. April 2024 veröffentlichte die griechische Datenschutzbehörde (DPA) eine Entscheidung bezüglich des Datenschutzes der Überwachungssysteme „Κένταυρος“ (Kentauros/Centaur) und „Υπερίων“ (Hyperion). Diese Systeme, entwickelt vom griechischen Ministerium für Migration und Asyl (ΥΜΑ), zielen darauf ab, die Sicherheit und Verwaltung in Aufnahme- und Identifizierungszentren für Migrierende auf den Ägäischen Inseln zu verbessern. Die Entscheidung wirft jedoch bedeutende Fragen zum Schutz persönlicher (sensibler) Daten auf.
Übersicht der Überwachungssysteme
„Kentauros“: Dieses Programm ist ein digitales System zur Verwaltung der elektronischen und physischen Sicherheit in und um die geschlossenen Kontrollzentren sowie Aufnahme- und Identifizierungszentren. Es verwendet Überwachungskameras, Drohnen und Algorithmen zur Bewegungsanalyse, um die Sicherheit zu gewährleisten. Diese Technologien sammeln und verarbeiten persönliche Daten, insbesondere Bilddaten, zur Überwachung und Identifizierung von Personen innerhalb und außerhalb der Einrichtungen.
„Hyperion“: Dieses System kontrolliert den Ein- und Ausgang in den genannten Einrichtungen. Es verwendet RFID-Technologie in Kombination mit biometrischen Daten, wie Fingerabdrücke, zur Authentifizierung von Asylbewerbenden, NGO-Mitarbeitenden und anderen autorisierten Personen.
Bedenken im Datenschutz bei den Überwachungssystemen
Die Einführung dieser Programme hat zahlreiche datenschutzrechtliche Bedenken aufgeworfen, die letztlich von der griechischen Datenschutzbehörde gem. Art. 58 DSGVO auch bemängelt worden sind:
- Rechtsgrundlage und Transparenz: Die Aufsichtsbehörde (DPA) stellte fest, dass die Rechtsgrundlage für die Verarbeitung der erhobenen Daten teilweise unklar ist. Während das ΥΜΑ lediglich Art. 6 Abs. 1 Buchst. e) und f) der DSGVO als Rechtsgrundlage anführt, fordert die DPA eine klarere Definition und Erklärung, insbesondere hinsichtlich der Notwendigkeit und Verhältnismäßigkeit dieser Maßnahmen. Das YMA ließ eine Verhältnismäßigkeitsprüfung nach Art. 6 Abs. 1 Buchst. f) DSGVO vermissen.
- Datenverarbeitung und Speicherung: Es blieb unklar, wie lange die gesammelten Daten gespeichert werden und welche Maßnahmen zur Information der betroffenen Personen über die Datenerfassung und -verarbeitung getroffen werden. Die DPA betonte die Notwendigkeit einer klaren und transparenten Datenaufbewahrungsrichtlinie bzw. eines Löschkonzepts.
- Datenschutz-Folgenabschätzung (DPIA): Die Berichte, die vom ΥΜΑ eingereicht wurden, zeigten Schwächen und Lücken in der Bewertung der Auswirkungen auf den Datenschutz der betroffenen Personen. Die DPA forderte detailliertere und umfassendere Bewertungen, um sicherzustellen, dass alle potenziellen Risiken angemessen berücksichtigt und gemindert werden.
- Biometrische Daten: Die Verarbeitung biometrischer Daten durch das „Hyperion“-Programm erfordert besondere Sorgfalt. Die DPA wies auf die hohen Risiken und die Notwendigkeit strengerer Schutzmaßnahmen hin, um die Rechte und Freiheiten der betroffenen Personen zu gewährleisten. Die Datenschutz-Folgenabschätzung war größtenteils mangelhaft in diesem Bereich und konnte die DPA nicht überzeugen.
- Pilotphase und kontinuierliche Anpassungen: Da sich die Programme noch in der Pilotphase befinden und kontinuierlich angepasst werden, besteht Unsicherheit über die endgültige Funktionalität und den Umfang der Datenerfassung. Dies erfordert eine fortlaufende Überprüfung und Anpassung der Datenschutzmaßnahmen. Eine lediglich vorläufige Datenschutz-Folgenabschätzung zu dem Pilotstand reichte der DPA nicht.
Rechtlicher Exkurs
Besonders interessant ist, dass sich die YMA auf die Rechtsgrundlage Art. 6 Abs. 1 Buchst. f) DSGVO beruht, da diese für Behörden nach der Datenschutz-Grundverordnung nicht anwendbar ist.
Entscheidung der DPA
Nachdem die griechische Datenschutzbehörde Kenntnis über die Angelegenheit erlangt hatte, kritisierte sie die mangelnde Kooperationsbereitschaft des Ministeriums für Einwanderung und Asyl, das für die Datenverarbeitung verantwortlich ist. Es stellte sich heraus, dass die vom Ministerium durchgeführten Datenschutz-Folgenabschätzungen nicht ausreichend und in wesentlichen Punkten unvollständig waren. Zudem gab es bei der Implementierung der Systeme erhebliche Versäumnisse hinsichtlich der Bestimmungen der Datenschutz-Grundverordnung. Aus diesen Gründen wurde gegen das Ministerium ein Bußgeld in Höhe von insgesamt 175.000 EUR verhängt.
Fazit
Die Einführung der Programme „Kentauros“ und „Hyperion“ in Griechenland zeigt den zunehmenden Einsatz digitaler Technologien zur Überwachung und Verwaltung von Migrierenden. Während diese Technologien potenziell zur Verbesserung der Sicherheit und Effizienz beitragen können, müssen sie strikt den datenschutzrechtlichen Anforderungen entsprechen.
Die griechische Datenschutzbehörde betont die Notwendigkeit einer klaren Rechtsgrundlage, Transparenz, umfassender Datenschutz-Folgenabschätzungen und strenger Schutzmaßnahmen, insbesondere bei der Verarbeitung biometrischer Daten, i.S.d. Art. 9 DSGVO. Es bleibt abzuwarten, wie das ΥΜΑ auf diese Anforderungen reagieren wird und welche Anpassungen vorgenommen werden, um die Einhaltung der Datenschutz-Grundverordnung beim Einsatz der Überwachungssysteme sicherzustellen und die Rechte der betroffenen Personen zu schützen.
Tipps zum Datenschutz beim Einsatz von Überwachungssystemen für Unternehmen
Die Entscheidung der griechischen Datenschutzbehörde (DPA) zur Einführung der Programme „Kentauros“ und „Hyperion“ bietet wertvolle Einblicke und Lehren für Unternehmen, die ebenfalls Überwachungssysteme einsetzen oder dies planen. Folgende zentrale Konsequenzen lassen sich aus dieser Entscheidung ableiten:
1. Rechtsgrundlage und Zweckbindung
Konsequenz: Unternehmen müssen sicherstellen, dass für die Verarbeitung personenbezogener Daten eine klare und rechtmäßige Grundlage gemäß der DSGVO vorhanden ist. Dies umfasst die präzise Definition des Verarbeitungszwecks und die Transparenz gegenüber den betroffenen Personen. Eine einfache Angabe der Rechtsgrundlagen nach der DSGVO ohne ausreichende Erläuterung, wird, wie oben gezeigt, zu einem aufsichtsbehördlichen Verfahren führen und ggf. in einem empfindlichen Bußgeld enden. Insbesondere gilt das für das berechtigte Interesse nach Art. 6 Abs. 1 Buchst. f) DSGVO.
Handlungsempfehlung:
- Unternehmen sollten genau dokumentieren, auf welche Rechtsgrundlagen sie sich bei der Datenerhebung und -verarbeitung stützen.
- Es muss eine Datenschutz-Folgenabschätzung bei der Erhebung von sensiblen Daten nach Art. 9 DSGVO erfolgen.
- Transparente und leicht zugängliche Informationen müssen den betroffenen Personen zur Verfügung gestellt werden, damit sie wissen, welche Daten zu welchem Zweck erhoben werden.
2. Notwendigkeit und Verhältnismäßigkeit
Konsequenz: Die Maßnahmen zur Datenerfassung und -verarbeitung müssen notwendig und verhältnismäßig im Hinblick auf den verfolgten Zweck sein. Es sollte eine Abwägung zwischen den Sicherheitsinteressen und den Rechten der Betroffenen erfolgen.
Handlungsempfehlung:
- Unternehmen sollten vor der Einführung von Überwachungssystemen prüfen, ob die geplanten Maßnahmen notwendig sind und ob mildere Mittel verfügbar sind.
- Eine regelmäßige Überprüfung und Anpassung der Maßnahmen sind erforderlich, um sicherzustellen, dass sie weiterhin verhältnismäßig sind.
3. Datenschutz-Folgenabschätzung
Konsequenz: Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend erforderlich. Diese muss umfassend und detailliert sein.
Handlungsempfehlung:
- Unternehmen sollten DPIAs durchführen, bevor sie neue Überwachungssysteme implementieren, insbesondere wenn diese biometrische bzw. sensible Daten nach Art. 9 DSGVO verarbeiten. Grundsätzlich sind bei der Einführung neuer Systeme und Tools Erforderlichkeitsprüfungen für DPIAs zu empfehlen.
- Die DPIA sollte regelmäßig aktualisiert und an die tatsächlichen Gegebenheiten angepasst werden, um neue Risiken zu identifizieren und zu minimieren.
4. Speicherung und Löschung von Daten
Konsequenz: Die Dauer der Datenspeicherung muss klar definiert und die Löschung der Daten nach Ablauf der Speicherdauer gewährleistet sein. Es ist notwendig, eine transparentes Löschkonzept zu etablieren.
Handlungsempfehlung:
- Unternehmen sollten eine detaillierte Datenaufbewahrungsrichtlinie und Löschfristen entwickeln und umsetzen, die die Speicherdauer und Aufbewahrung für verschiedene Datentypen festlegt.
- Regelmäßige Audits und Überprüfungen der Datenspeicherungspraktiken sind notwendig, um die Einhaltung der Richtlinien sicherzustellen.
5. Transparenz und Information der Betroffenen
Konsequenz: Betroffene Personen müssen umfassend über die Datenerhebung, -verarbeitung und ihre Rechte informiert werden. Dies erhöht das Vertrauen und reduziert das Risiko von Beschwerden und rechtlichen Konsequenzen.
Handlungsempfehlung:
- Unternehmen sollten transparente und verständliche Datenschutzhinweise bereitstellen, die den betroffenen Personen leicht zugänglich sind.
- Betroffenenrechte, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen aktiv unterstützt und umgesetzt werden.
6. Technische und organisatorische Maßnahmen
Konsequenz: Angemessene technische und organisatorische Maßnahmen müssen implementiert werden, um die Sicherheit der verarbeiteten Daten zu gewährleisten und unbefugten Zugriff zu verhindern, Art. 32 DSGVO.
Handlungsempfehlung:
- Unternehmen sollten robuste Sicherheitsmaßnahmen implementieren, einschließlich Verschlüsselung, Zugangskontrollen und regelmäßiger Sicherheitsüberprüfungen.
- Es ist wichtig, dass diese Maßnahmen regelmäßig aktualisiert und an neue Bedrohungen angepasst werden.
Fazit
Die Entscheidung der griechischen Datenschutzbehörde zur Einführung der Überwachungsprogramme „Kentauros“ und „Hyperion“ dient als wichtige Erinnerung, nicht nur für Unternehmen, die Überwachungssysteme einsetzen, dass die internen Datenschutzmaßnahmen aktualisiert und sorgfältig umgesetzt werden müssen. Hier können Sie ebenfalls eine parlamentarische Nachfrage des EU-Parlaments zu dem Fall nachlesen.
Der Schutz personenbezogener Daten und die Einhaltung der DSGVO sind von entscheidender Bedeutung. Unternehmen müssen sicherstellen, dass sie über eine solide Rechtsgrundlage verfügen, transparente Praktiken anwenden und robuste Datenschutzmaßnahmen implementieren, um das Vertrauen der Betroffenen zu gewinnen und rechtliche Risiken zu minimieren.
Kontaktieren Sie uns gern, sollten Sie bei den aufgeworfenen Problematiken Unterstützung benötigen.
Bildnachweis: KI generiert