Datenschutz ist auch eine Gestaltungsaufgabe

HmbBfDI stellt Tätigkeitsbericht Datenschutz 2021 vor

Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 06.04.2022.

Gemeldete Datenschutzverstöße auf Höchststand

Auch 2021 war geprägt durch ein hohes Beschwerdeaufkommen. Erstmals erreichten den HmbBfDI über 4.000 Eingaben, davon 2.775 Beschwerden. Damit haben sich die Fallzahlen auf dem hohen Niveau des Vorjahrs stabilisiert. Dies bedeutet eine anhaltende hohe Arbeitsbelastung für die Behörde, ist aber zugleich ein erfreuliches Zeichen dafür, dass das Bewusstsein über das eigene Recht auf Privatheit und Datenschutz bei den Hamburger Bürger:innen hoch ist. Die meisten Beschwerden (31%) entfallen auf den Bereich IT/Medien/Telemedien, gefolgt vom Bereich des Gesundheitswesens (14%).

Das höchste Bußgeld (901.338€) betraf einen hamburgischen Energieversorger. Hier wurden Kundendaten abgeglichen, ohne dass dies im Vorfeld transparent gemacht wurde. Die häufigsten Einzelfälle mit Sanktionen im Privatbereich betrafen das heimliche Filmen von jungen Frauen, teilweise verknüpft mit Nachstellen im öffentlichen Raum. Ein Teilaspekt dieser Datenschutzverstöße ist inzwischen auch strafbar (sog. Upskirting).

Auffällig ist die hohe Zahl der von datenverarbeitenden Stellen gemeldeten Vorfällen (Data Breaches), die mit 871 den Vorjahreswert (686) deutlich übersteigt. Auch dies weist auf ein wachsendes Problembewusstsein für den Datenschutz hin, aber auch auf anhaltende Angriffe auf die IT-Sicherheit hamburgischer Unternehmen.

Neben diesen statistischen Zahlen geht der HmbBfDI auch auf aktuelle Themen ein:

„alles ablehnen“: Veränderungen bei den Cookie-Bannern

Cookie-Banner sind allgegenwärtig und werden von den meisten Nutzer:innen genervt weggeklickt, da es zu aufwändig ist, sich mit den Details der Datenverarbeitung zu beschäftigen. Auch deshalb ist es wichtig, dass es eine gleichwertige Alternative zu dem üblichen Button „ich stimme zu“ oder „alles akzeptieren“ gibt, etwa in Gestalt eines „alles ablehnen“-Buttons.

Diese gleichwertige Ablehnungsalternative wird schon seit längerem gefordert. Nun beginnen die europäischen Aufsichtsbehörden, auch basierend auf Richtlinien des Europäischen Datenschutzausschusses, dies durchzusetzen. Nach der Entscheidung der französischen Aufsichtsbehörde CNIL, die in diesem Zusammenhang Bußgelder gegen Facebook und Google verhängt hat, hat der HmbBfDI u.a. Google für Deutschland aufgefordert, seine Cookie-Banner dahingehend nutzerfreundlich und datenschutzkonform zu überarbeiten. Im Zusammenhang mit aktuellen Beschwerdeverfahren (Ziff. 2.6 TB) hat der HmbBfDI diese Forderung auch gegenüber drei Hamburger Medienhäusern erhoben.

Das Ziel ist, den „alles ablehnen“-Button zum Standard zu machen: Dann wird sich zeigen, ob die Nutzer:innen wirklich personalisierte Werbung wünschen und dafür ein umfassendes Tracking ihres Surfverhaltens in Kauf nehmen.

VeRA/Palantir auch in Hamburg? – Rechtsgrundlage im Hamburgischen Polizeigesetz vor dem Bundesverfassungsgericht

Letzten Monat gab der bayrische Innenminister bekannt, dass Bayern sich für ein „Verfahrensübergreifendes Recherche- und Analysesystem“ (VeRA) der US-Firma Palantir zur Datenanalyse in der Polizeiarbeit entschieden hat. Im Rahmen der bundesweiten Zusammenarbeit hat sein Bundesland einen Rahmenvertrag abgeschlossen, dem andere Länder, so auch Hamburg, beitreten können.

Klassische Polizeiarbeit kann durch den Einsatz von intelligenter Technologie effizienter gemacht werden. Das Interesse am Einsatz von Technologien, die mittels einer Big-Data-Analyse den Zugriff auf riesige Datenmengen in Echtzeit erlauben und gar neue Erkenntnisse liefern können, ist daher nachvollziehbar. Der Einsatz solcher Systeme steht in einem Spannungsverhältnis mit dem Datenschutzrecht, da die ohnehin umstrittene Aussagekraft der gewonnenen Erkenntnisse meistens auf einer umfassenden Auswertung personenbezogener Daten basiert. Diese Datenverarbeitung ist mit dem Zweckbindungsgrundsatz nur dann vereinbar, wenn der Umfang der Verarbeitung auf das Maß beschränkt ist, das unbedingt notwendig ist, um den Zweck zu erfüllen. Daten werden durch solche Systeme aber häufig zu vollkommen anderen Zwecken genutzt, als die, zu denen sie ursprünglich erhoben wurden.

Auch deshalb steht § 49 Hamburgisches Gesetz über die Datenverarbeitung der Polizei (PolDVG) beim Bundesverfassungsgericht auf dem Prüfstand. Die Norm schafft im Bereich der polizeilichen Gefahrenabwehr eine Rechtsgrundlage für die „automatisierte Anwendung zur Datenauswertung“, wobei Weite und mangelnde Bestimmtheit der Norm problematisch sind. Der HmbBfDI wird hier der Aufforderung zur Stellungnahme des höchsten deutschen Gerichts nachkommen und auf die datenschutzrechtlichen Anforderungen an Rechtsgrundlagen bei derartig weitreichenden Eingriffen aufmerksam machen.

Datenschutz im Wandel: (Gemeinnützige) Nutzung von Daten für die Forschung ermöglichen und gestalten.

Die Nutzung von Daten kann und sollte im gesellschaftlichen Interesse sein. Moderne Mobilitätskonzepte etwa benötigen zwingend Daten zum Mobilitätsverhalten der Bürger:innen. Hier werden im Hamburg zahlreiche richtungsweisende Projekte im Nachgang des ITS-Weltkongresses realisiert, in die der HmbBfDI eingebunden ist (Ziff. 6.6 TB).

Die Pandemie hat aber auch gezeigt, wie groß der Nachholbedarf bei der Datenlage im Gesundheitswesen ist, wie dies etwa der Corona-Sachverständigenrat der Bundesregierung festgestellt hat. Hier stellt sich die Frage, wie die Nutzung von Gesundheitsdaten datenschutzkonform möglich ist, etwa durch gute Pseudonymisierungs- oder Anonymisierungskonzepte. Dabei gilt es, ungenutzte Forschungspotenziale zu erwecken und gleichzeitig Forschenden Rechtssicherheit durch präzise Vorgaben zu geben sowie das Vertrauen der Patient:innen zu stärken.

Der HmbBfDI begrüßt die Pläne der Bundesregierung, mit diversen Gesetzesvorhaben (Forschungsdatengesetz) insbesondere im Gesundheitsbereich (Gesundheitsdatennutzungsgesetz) dieses Thema besser zu regeln und Datenzugang und -nutzung zum gesamtgesellschaftlichen Nutzen zu verbessern. Auf Landesebene unterstützt der HmbBfDI die Novellierung des Hamburgischen Krankenhausgesetzes, damit Forschungsdaten unter Beachtung datenschutzrechtlicher Garantien genutzt werden können. Darüber hinaus steht der HmbBfDI in regelmäßigem Austausch mit medizinischen Einrichtungen, um die Möglichkeiten auszuloten, die das Recht schon jetzt eröffnet.

Hier hat der Datenschutz eine Gestaltungsaufgabe, der der HmbBfDI mit konstruktiven Vorschlägen nachkommt.

Der vollständige Tätigkeitsbericht kann Hier heruntergeladen werden.