Jahresbericht 2018 der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28.03.2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellt heute ihren Jahresbericht für das Jahr 2018 vor.

Das Jahr 2018 war mit Blick auf den Datenschutz ein höchst ereignisreiches Jahr. Die Datenschutz-Grundverordnung (DS-GVO) wurde wirksam und warf eine Vielzahl neuer Fragen auf. In ihrem Jahresbericht legt die Berliner Datenschutzbeauftragte dar, wie sich das Beschwerdeaufkommen im Land Berlin im letzten Jahr entwickelt hat und welche Themen die Berlinerinnen und Berliner besonders bewegt haben.

Schwerpunktthemen
Das Beschwerdeaufkommen hat sich bei der Berliner Datenschutzbehörde seit Wirksamwerden der DS-GVO nahezu vervierfacht (Kapitel 1.2, S. 19). Das liegt zum einen an der gestiegenen öffentlichen Aufmerksamkeit und der damit einhergehenden Sensibilisierung der Bürgerinnen und Bürger für das Thema.

Zum anderen wurden jedoch auch die Zuständigkeiten der Berliner Datenschutzbehörde durch das neue europäische Recht enorm ausgeweitet. Neu ist unter anderem, dass die Behörde nicht nur Beschwerden gegen Berliner Unternehmen und Behörden bearbeitet. Nach der DS-GVO haben alle Betroffenen das Recht, sich an „ihre“ Aufsichtsbehörde zu wenden, unabhängig davon, wo das Unternehmen, gegen das sich die Beschwerde richtet, sitzt. Diese Neuerung erleichtert es den Menschen enorm, ihr Recht auf Datenschutz effektiv durchzusetzen, denn sie müssen sich nicht mehr in einer Fremdsprache an Datenschutzbehörden anderer Länder wenden. Die Berliner Datenschutzbeauftragte prüft nunmehr bei jeder eingehenden Beschwerde, ob sie den Fall in alleiniger Zuständigkeit, federführend oder als betroffene Behörde in Zusammenarbeit mit anderen europäischen Aufsichtsbehörden bearbeitet. In jedem Fall bleibt sie über das gesamte Verfahren hinweg die Ansprechpartnerin für die beschwerdeführende Person (Kapitel 1.1, S. 17).

Auch für Unternehmen und sonstige datenverarbeitende Stellen hat sich einiges geändert. Erweiterte Meldepflichten bei sog. Datenpannen haben zu einem Anstieg der Pannenmeldungen um das nahezu Vierzehnfache seit Wirksamwerden der DS-GVO im Vergleich zum entsprechenden Vorjahreszeitraum geführt. Die Berliner Datenschutzbeauftragte war in diesem Zusammenhang mit Hackerangriffen, dem Verlust von USB-Sticks ebenso wie mit versehentlich verwendeten offenen E-Mail-Verteilern befasst (Kapitel 1.3, S. 23).

Unternehmen können seit Wirksamwerden der DS-GVO ein Datenschutz-Siegel beantragen, um nach außen zu dokumentieren, dass sie den Datenschutz sehr ernst nehmen. Solche Siegel können von privaten Zertifizierungsstellen ausgestellt werden, deren Tätigkeit die Berliner Datenschutzbeauftragte zulässt und überwacht (Kapitel 1.4, S. 28).

Neben allgemeinen Entwicklungen behandelt der Jahresbericht auch spezielle Rechtsfragen, die im Zusammenhang mit der DS-GVO immer wieder aufkommen. Klargestellt wird unter anderem, dass es – anders als oft dargestellt – für persönlich adressierte Werbung nicht immer einer Einwilligung bedarf. Da die DS-GVO keine speziellen Regelungen für die Zulässigkeit von Werbung enthält, herrscht in diesem Bereich Verunsicherung. Um Klarheit zu schaffen, hat die Berliner Datenschutzbeauftragte in ihrem Jahresbericht die wichtigsten Aspekte zu diesem Themenkomplex aufgeschlüsselt (Kapitel 1.5, S. 35).

Von großer Bedeutung war ein Urteil des Europäischen Gerichtshofs vom Juni 2018. Darin stellte das höchste europäische Gericht klar, dass die Betreiberinnen und Betreiber sogenannter Fanpages bei Facebook gemeinsam mit dem sozialen Netzwerk die Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Seiten tragen. Wer eine solche Seite für seine eigenen Zwecke bei Facebook betreibt, kann sich hinsichtlich des Umgangs mit den Nutzerdaten seither nicht mehr hinter dem sozialen Netzwerk „verstecken“. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine Reihe von Anhörungsverfahren gegen öffentliche Stellen, politische Parteien sowie Unternehmen mit Sitz in Berlin eröffnet, die eine Fanpage bei Facebook betreiben (Kapitel 1.7, S. 44).

Weitere Themen des Jahresberichts zum Datenschutz
Auch jenseits der DS-GVO bewegte die Öffentlichkeit eine Reihe von datenschutzrelevanten Fragen. Bekannt gewordene Fälle des Missbrauchs von Datenbanken der Berliner Polizei veranlassten die Berliner Datenschutzbeauftragte, mehrere aufsichtsrechtliche Untersuchungen durchzuführen und auf die Beseitigung von Missständen hinzuwirken.

Die datenschutzrechtliche Aufklärung eines gravierenden Falls, in dem ein Polizist polizeiliche Informationen missbräuchlich dafür verwendet hatte, Drohbriefe an Personen aus der linksautonomen Szene zu verfassen, zieht sich nach wie vor hin (Kapitel 3.1, S. 55).

Auch in Bezug auf die Akkreditierungen für Journalistinnen und Journalisten im Vorfeld des G20-Gipfels im Juli 2017 in Hamburg wurde die Berliner Datenschutzbeauftragte tätig. Die Erkenntnisse des Bundeskriminalamts, die seinerzeit dazu geführt hatten, dass 32 Journalistinnen und Journalisten die Akkreditierung entzogen wurde, beruhten auf Daten, die von Landespolizeibehörden in das bundesländerübergreifende Informationssystem INPOL eingestellt wurden. Bei der Prüfung der entsprechenden Speicherpraxis der Berliner Polizei zeigten sich erhebliche Mängel (Kapitel 3.4, S. 60).

Von der Berliner Feuerwehr wurde die Berliner Datenschutzbeauftragte zur Prüfung eines neuen Verfahrens beratend hinzugezogen. Die geplante Ersthelfer-App „Katretter“ soll Ersthelfende in räumlicher Nähe zu Notruforten alarmieren und kann so Leben retten. Da die Berliner Datenschutzbeauftragte in einem frühen Projektstadium beteiligt wurde, konnten datenschutzrechtliche Anforderungen insbesondere zur Speicherpraxis von Standortdaten und zur Freiwilligkeit an der Teilnahme frühzeitig berücksichtigt werden, sodass einer Einführung aus Datenschutz-Sicht nichts im Wege steht (Kapitel 3.5, S. 62).

Viel Beachtung fand im vergangen Jahr das Pilotprojekt zum Einsatz „intelligenter“ Videoüberwachung am Bahnhof Südkreuz. In der ersten Projektphase stellte die erprobte Technik ihre Intelligenz nicht überzeugend unter Beweis. Die zweite Projektphase, die für das Jahr 2019 geplant ist, wird von der Berliner Datenschutzbeauftragten aufsichtsrechtlich begleitet (Kapitel 4.4, S. 75).

Weitere Fragen, die Berlinerinnen und Berliner in ihrem alltäglichen Leben berührt haben, betrafen den Datenschutz in Kindertagesstätten. Beratungsersuchen und Beschwerden, die die Aufsichtsbehörde erreichen, betreffen besonders häufig den Einsatz neuer Technologien, wie z. B. Apps, mit denen Bring- und Abholzeiten der Kinder elektronisch erfasst werden, und den Umgang mit Foto- und Videoaufnahmen im Kita-Alltag. Der Handlungsleitfaden „Datenschutz bei Bild- Video- und Tonaufnahmen – Was ist in der Kindertageseinrichung zu beachten?“, den die Berliner Datenschutzbeauftragte in Zusammenarbeit mit der Senatsverwaltung für Bildung, Jugend und Familie herausgegeben hat, fand große Resonanz (Kapitel 5.4, S. 88).

Wie bei der Datenverarbeitung in Kitas sorgen auch Sachverhalte, die medizinische Daten von Patientinnen und Patienten betreffen, häufig für Besorgnis und Unsicherheit. In diesem Bereich war die Einführung einer elektronischen Gesundheitsakte zur Verwaltung von Patientendaten mittels App ein Thema, das die Datenschutz-Aufsichtsbehörde gründlich unter die Lupe genommen hat. Dabei standen vor allem Aspekte der Datensicherheit im Fokus (Kapitel 6.3, S. 98).

Bei einer von Amts wegen eingeleiteten Überprüfung des klinischen Krebsregisters Berlin-Brandenburg stellte die Aufsichtsbehörde fest, dass auch nach zweijährigem Betrieb des Registers noch kein Konzept für die Löschung von Daten vorhanden war. Das hatte in der Praxis dazu geführt, dass sensitive Daten deutlich länger als zulässig gespeichert blieben (Kapitel 6.8, S. 105).

Im Gesundheitsbereich sorgte außerdem ein Pflegedienst für Aufsehen, der unbedarft einen Großteil der sensitiven Daten der zu pflegenden Personen bei internationalen Cloud-Dienstleistern speicherte, ohne sicherzustellen, dass die notwendigen Schweigepflichts-Voraussetzungen dafür vorlagen (Kapitel 6.7, S. 104).

Im Bereich Beschäftigtendatenschutz ermahnte die Berliner Datenschutzbeauftragte eine Senatsverwaltung, die einer abgelehnten Bewerberin auf Antrag nicht nur Einsicht in die eigenen, sondern zugleich auch in die Bewerbungsunterlagen sämtlicher Mitbewerberinnen und Mitbewerber gewährt hatte (Kapitel 8.4, S.119).

Immer wieder wenden sich Menschen an die Datenschutzbeauftragte, weil Unternehmen, bei denen sie Auskunft über ihre dort gespeicherten Daten verlangen, sie dazu auffordern, sich zunächst mit einer Personalausweiskopie zu identifizieren. Ein solcher Nachweis ist jedoch nur im Ausnahmefall notwendig und nicht relevante Daten sollten immer geschwärzt werden (Kapitel 9.2, S. 124).

Zwei eindrückliche Fallbeispiele verdeutlichen, wie Menschen ohne eigenes Verschulden rechtswidrig in sog. Warndatenbanken von Versicherungen und Banken gelandet sind. Solche Einträge können für die Betroffenen schwerwiegend sein, wenn sie in der Folge Versicherungsverträge nicht mehr oder nur unter schlechten Konditionen abschließen können oder ihnen die Eröffnung eines Bankkontos verwehrt wird. In einem solchen Fall hat die Berliner Datenschutzbeauftragte ein relevantes Bußgeld erlassen (Kapitel 9.7 und 9.8, S. 130-131).

Erfreulich war, dass auch im vergangenen Jahr die Start-Up Sprechstunde der Berliner Datenschutzbeauftragten sehr rege angenommen wurde. Beratungstermine waren in der Regel für drei Monate im Voraus ausgebucht. Der Jahresbericht zeigt auf, welche Themen die Jungunternehmen der Stadt besonders beschäftigen (Kapitel 9.4, S. 126).

Eine Frage, die für viel Unruhe und Nachfragen bei der Aufsichtsbehörde gesorgt hat, war, ob Fotografinnen und Fotografen und journalistisch tätige Personen ihrer Arbeit unter der DS-GVO noch nachgehen könnten, ohne existenzbedrohende Bußgelder befürchten zu müssen. Aufgrund einer Regelung im Berliner Datenschutzgesetz kann diese Frage für Berliner Fotografinnen und Fotografen bejaht werden. Für sie ist weiterhin das Kunsturhebergesetz anwendbar, wenn sie in Ausübung ihrer beruflichen Tätigkeit Fotomaterial anfertigen und verwenden (Kapitel 12.4, S. 151).

Online Bewertungsportale erfreuen sich großer Beliebtheit. Die Berliner Beauftragte für Datenschutz wirkte in einer Prüfung der Plattform www.richterscore.de darauf hin, dass diese nun datenschutzkonform betrieben wird, ohne das Grundrecht auf Meinungsfreiheit zu gefährden (Kapitel 12.5, S. 152).

Auch einige Fragen in Bezug auf politische Parteien beschäftigten die Berliner Datenschutzbeauftragte im vergangenen Jahr. So wird im Jahresbericht erläutert, warum sie die Berliner NPD aufforderte, personenbezogene Daten in Zusammenhang mit einer von der Partei erstellten Karte von Einrichtungen für Asylsuchende zu löschen (Kapitel 10.1, S. 133), wohingegen die Initiative „Neutrale Schule“ der Berliner AfD-Fraktion nicht der Berliner Datenschutzaufsicht unterliegt (Kapitel 10.3, S. 135).

Sie prüfte und beantwortete zudem die im vergangenen Jahr viel diskutierte Frage, ob politische Parteien Daten von der Deutschen Post für ihren Wahlkampf verwenden durften (Kapitel 10.2, S. 134).

Informationsfreiheit
Im Bereich der Informationsfreiheit setzte sich die Berliner Informationsfreiheitsbeauftragte im vergangenen Jahr besonders für mehr Transparenz der Verwaltung beim Einsatz von Algorithmen und künstlicher Intelligenz ein. Der Einsatz solcher Technologien kann zwar Effizienzsteigerungen bewirken und Auswertungen großer Datenmengen erleichtern bzw. überhaupt erst ermöglichen. Die Verwaltung trägt jedoch eine hohe Verantwortung, ihren Einsatz im Zusammenhang mit behördlicher Entscheidungsfindung rechtmäßig zu gestalten.
Elementar sind in diesem Zusammenhang die Beachtung der Menschenwürde und des Diskriminierungsverbots. Im Sinne der Informationsfreiheit müssen eingesetzte Algorithmen und KI-Verfahren transparent gemacht werden, damit Bürgerinnen und Bürger, aber auch die Verwaltung selbst das Zustandekommen der Entscheidungen nachvollziehen können. In einem von der Berliner Informationsfreiheitsbeauftragten mitinitiierten Positionspapier wurden die Voraussetzungen und Pflichten von öffentlichen Stellen für den grundrechtskonformen Einsatz solcher Verfahren aufgezeigt (Kapitel 13.1, S. 155).

Der Jahresbericht ist auf der Homepage der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter www.datenschutz-berlin.de abrufbar.