Jahresbericht 2019 der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 03.04.2020

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, veröffentlicht heute ihren Jahresbericht für das Jahr 2019. Aufgrund der aktuellen Pandemie-Entwicklung muss die jährliche Pressekonferenz leider entfallen. Fragen zum Jahresbericht und Interview-Anfragen richten Sie bitte an die Pressestelle unter presse@datenschutz-berlin.de oder Tel: 030 13889 900.

Allgemeine Entwicklungen aus der Dienststelle

Das Arbeitsaufkommen in der Berliner Behörde für Datenschutz und Informationsfreiheit hat sich im Jahr 2019 auf unverändert stark erhöhtem Niveau eingependelt. So hat sich nach dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) im Jahr 2018 das Aufkommen an Beschwerden, die in der Behörde eingehen, verdreifacht. Im Schnitt erreichten die Behörde monatlich fast 400 Beschwerden. Thematisch betrafen diese besonders häufig die Missachtung von Betroffenenrechten, insbesondere das Recht auf Auskunft oder Löschung. Ein Großteil der eingehenden Beschwerden richtete sich gegen Unternehmen aus der Digitalwirtschaft, wie z. B. Onlineshops, Lieferdienste oder soziale Netzwerke. Daneben prägten Themen aus den Bereichen der Wohnungswirtschaft, der Gesundheit, den Finanzdienstleistungen und dem Beschäftigtendatenschutz die Arbeit der Behörde in besonderem Maße.

Kaum in einem anderen Bereich stieg das Arbeitsaufkommen so stark an wie bei den sog. Datenpannen. Insgesamt wurden im Jahr 2019 1017 solcher Pannen gemeldet, womit sich das Aufkommen seit Wirksamwerden der DS-GVO sogar versiebzehnfacht hat. Ob aus einer Kita gestohlene Digitalkameras, Post-Irrläufer oder Schadsoftware-Angriffe – die Fallkonstellationen im Bereich der Datenpannen sind vielfältig und erfordern oftmals ein unverzügliches Handeln (Kapitel 15, S. 206).

Darüber hinaus waren die Mitarbeiterinnen und Mitarbeiter der BlnBDI im vergangenen Jahr auch wieder mit komplexen Beratungsvorgängen im öffentlichen Bereich, mit zahlreichen Presseanfragen und Hinweisen aus der Presse, mit anonymen Anzeigen und Prüfungen von Amts wegen befasst, soweit es ihre völlig unzureichenden Kapazitäten zuließen.

Die Einführung der DS-GVO hat zahlreiche Anpassungen des Landesrechts notwendig gemacht, die der Berliner Gesetzgeber eigentlich bereits zum 25. Mai 2018 hätte erlassen müssen. Fast zwei Jahre nach Ablauf dieser Frist befindet sich Berlin nun auf der Zielgeraden. Mit einem Artikelgesetz sollen Mitte 2020 ca. 80 Berliner Gesetze und Verordnungen an die neue Rechtslage angepasst werden. Leider wurden wichtige Kritikpunkte der BlnBDI von der federführenden Senatsverwaltung für Inneres und Sport bisher nicht berücksichtigt. Bewegt sich der Gesetzgeber in diesen Punkten nicht, wird es teilweise zu europarechtswidrigen Regelungen im Landesrecht kommen (Kapitel 14.1, S. 194).

Themen des Jahresberichts

Datenschutz ist ein Thema, das jeden denkbaren Lebensbereich berührt. Entsprechend vielfältig war auch im Jahr 2019 die Arbeit der Berliner Datenschutzbehörde.

Ein wichtiges Ziel der Datenschutz-Grundverordnung ist es, die Praxis der Verhängung von Bußgeldern bei datenschutzrechtlichen Verstößen EU-weit anzugleichen. Auf europäischer Ebene wird die konkrete Methodik, nach der die Datenschutzbehörden bei der Verhängung von Bußgeldern vorgehen sollen, derzeit noch diskutiert. Um zumindest deutschlandweit ab sofort schon eine einheitliche, transparente und nachvollziehbare Bußgeldpraxis zu garantieren, haben die deutschen Aufsichtsbehörden in dem von der BlnBDI geleiteten „Arbeitskreis Sanktionen“ der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Bußgeldkonzept erarbeitet, das nun angewendet werden kann, bis entsprechende europäische Leitlinien verabschiedet sind. In ihrem Jahresbericht erklärt die BlnBDI das von der Wirtschaft mit großem Interesse erwartete Konzept (Kapitel 1.4, S. 35).

Auch bei der Prüfung von Beschwerden und Datenpannen hat die Zusammenarbeit der Datenschutzbehörden der EU Fahrt aufgenommen. Die DS-GVO sieht vor, dass zwischen den europäischen Aufsichtsbehörden immer dann ein sog. Kooperationsverfahren durchgeführt wird und beabsichtigte Maßnahmen abgestimmt werden, wenn die beanstandete Datenverarbeitung einen grenzüberschreitenden Bezug hat. Im Jahresbericht 2019 legt die BlnBDI dar, wie dieses Kooperationsverfahren in der Praxis aussieht. Anhand von Praxisbeispielen werden die Herausforderungen bei der Zusammenarbeit aufgezeigt und Instrumente vorgestellt, die die Datenschutz-Grundverordnung dafür vorsieht (Kapitel 1.5, S. 40 und Kapitel 14.3, S. 199).

Einen Schwerpunkt widmet der Jahresbericht dem Thema Künstliche Intelligenz. Der Bericht zeigt auf, welche Chancen in der Technik stecken, welche Risiken mit ihr für den Datenschutz verbunden sind und was bei dem Thema dringend beachtet werden muss. Besonders wird in diesem Zusammenhang auf die Aspekte Transparenz und vollautomatische Entscheidungen eingegangen (Kapitel 1.2, S. 24).

Transparenz war ebenfalls im Rahmen intensiver Beratungen zur Umsetzung des Onlinezugangsgesetzes (OZG) auf Landesebene ein wichtiges Thema. Das OZG sieht vor, dass bis Ende 2020 alle Verwaltungsdienstleistungen auch digital zur Verfügung stehen. Die Digitalisierung von Verwaltungsdienstleistungen kann jedoch nur dann erfolgreich verlaufen, wenn die Nutzenden bereit sind, die digitalen Angebote auch wahrzunehmen. Um eine breite Akzeptanz zu fördern, setzte sich die BlnBDI daher u. a. erfolgreich für eine adäquate Transparenzregelung ein (Kapitel 2.1, S. 47).

Beratend wurde die BlnBDI auch im Fall der Aufarbeitung der Rolle der zuständigen Senatsverwaltung bei der Unterbringung von Jugendlichen bei pädophilen Männern im Rahmen des sog. „Kentler-Experiments“ hinzugezogen. Die Frage, ob und unter welchen Bedingungen Sozialdaten aus Jugendhilfeakten für Forschungszwecke herausgegeben werden dürfen, muss im Einzelfall bewertet werden. Die BlnBDI war mit derartigen Fragestellungen in der Vergangenheit schon wiederholt betraut und konnte auch in diesem Fall Hilfestellung geben (Kapitel 5.5, S. 95).

Nach einem etwas holprigen Start wurde die Berliner Datenschutzbeauftragte im Oktober auch gerade noch rechtzeitig von der Senatsverwaltung für Integration, Arbeit und Soziales hinzugezogen, um die datenschutzrechtlichen Aspekte der sog. Nacht der Solidarität zu erörtern. Bei der Zählung und insbesondere der Befragung wohnungsloser Menschen muss das Recht auf informationelle Selbstbestimmung gewahrt bleiben. Insbesondere kann eine solche Befragung nur freiwillig erfolgen und muss eine spätere Identifizierung einzelner befragter Personen ausgeschlossen sein. Um dafür Sorge zu tragen, wird die Datenschutzbehörde das Projekt auch bei Folgezählungen begleiten. (Kapitel 7.2, S. 114)

Ein Fall, in dem die BlnBDI nicht rechtzeitig hinzugezogen wurde, betraf die Berliner Verkehrsbetriebe (BVG) und ihre neue Mobilitäts-App Jelbi. Mithilfe dieser App sollen verschiedene Fortbewegungsmittel sinnvoll miteinander verknüpft und die Buchung und Bezahlung vereinfacht werden. Da dabei jedoch eine große Menge personenbezogener Daten anfällt wie z. B. Bewegungs- und Zahlungsdaten der Kundinnen und Kunden, ist eine datenschutzkonforme Ausgestaltung unabdingbar. Leider hatte die BVG dies in der Projekt-Entwicklung übersehen und unterließ es, die Datenschutzbehörde rechtzeitig über das Vorhaben zu informieren. Erst nachdem das Projekt mit großer medialer Aufmerksamkeit der Öffentlichkeit vorgestellt worden war, konnte die Aufsichtsbehörde nachträglich eine Prüfung einleiten, die zur Feststellung zahlreicher Mängel führte. Wie so oft in solchen Fällen wären diverse Datenschutzprobleme vermeidbar gewesen, wenn der Datenschutz von Beginn an berücksichtigt worden wäre (Kapitel 4.1, S. 79).

Mediale Aufmerksamkeit veranlasste die BlnBDI auch zu einer Prüfung des Leihfahrrad-Anbieters Mobike. Dabei stellte sie fest, dass das Unternehmen bei der Menge der von den Nutzenden erhobenen Daten zwar über das Ziel hinausgeschossen war. Die Verarbeitung der Daten durch den chinesischen Mutterkonzern ist jedoch nach derzeitiger Rechtslage formal nicht zu beanstanden, da von der Datenschutz-Grundverordnung vorgesehene Verträge zwischen den beiden Unternehmen geschlossen wurden. Die den Verträgen zugrundeliegenden und derzeit noch zulässigen Standardvertragsklauseln werden allerdings gerade vom Europäischen Gerichtshof überprüft (Kapitel 4.3, S. 83).

Ein besonders schwerwiegendes Ereignis, das die Aufsichtsbehörde im vergangenen Jahr beschäftigte, war der Emotet-Befall beim Berliner Kammergericht. Die BlnBDI überwachte die Sicherheitsmaßnahmen, die zur Bewältigung der Probleme ergriffen wurden und begleitet diesen Prozess weiterhin. In ihrem Jahresbericht erklärt sie, wie es zu einem solchen Schadsoftware-Befall kommen kann und welche Lehren Behörden und öffentliche Stellen aus diesem Vorfall ziehen müssen (Kapitel 2.4, S. 56).

An ausreichenden Maßnahmen der Datensicherheit mangelt es jedoch nicht nur im öffentlichen Bereich. Auch bei der Entwicklung von Gesundheits-Apps, die die Gesundheitswirtschaft in Berlin intensiv beschäftigt, muss Datensicherheit oberste Priorität haben. Solche Apps werden für Beratungs- und therapeutische Zwecke eingesetzt und erfordern die Verarbeitung höchst sensitiver Daten. Die BlnBDI hat einen solchen cloudbasierten Anbieter genauer unter die Lupe genommen und musste feststellen, dass die angewandten Sicherheitsmaßnahmen kein ausreichendes Schutzniveau geboten haben. In ihrem Jahresbericht legt sie dar, wo die Gefahren drohen und was bei der Entwicklung solcher Angebote zu beachten ist (Kapitel 6.1, S. 99).

Im Gesundheitsbereich wurde die Datenschutzbehörde z. B. häufig von verunsicherten Ärztinnen und Ärzten kontaktiert, die wissen wollten, ob sie die Herausgabe der Kopie einer Patientenakte wie bisher in Rechnung stellen dürften. Dies musste die BlnBDI verneinen. Patientinnen und Patienten haben im Rahmen ihres datenschutzrechtlichen Auskunftsanspruchs das Recht, unentgeltlich eine Kopie ihrer Akte zu erhalten. Eine anderslautende Regelung im Bürgerlichen Gesetzbuch ist seit der Einführung der Datenschutz-Grundverordnung mit europäischem Recht nicht mehr vereinbar (Kapitel 6.5, S. 107).

Nachdem im Jahr 2018 bekannt geworden war, dass aus Kreisen der Berliner Polizei Drohbriefe an Personen aus der linken Szene verfasst wurden, führte die BlnBDI eine Überprüfung der Datenverarbeitung im polizeilichen Informationssystem POLIKS durch. Dabei stellte sie gravierende Rechtsverstöße fest, die zu einer formellen Beanstandung führten. Unter anderem wurden personenbezogene Daten bereits seit Juni 2013 weder gelöscht noch im Zugriff beschränkt. Auch die erforderlichen Kontrollverfahren, mit denen unberechtigte Zugriffe auf die Datenbank aufgedeckt werden sollen, sowie die technischen Einstellungen für Datenabrufe aus dem System zeigten schwere Mängel (Kapitel 3.2, S. 62).

Einschreiten musste die BlnBDI auch gegen einen Sportverband, der für die Kommunikation mit seinen Mitgliedern eine Webseite betreibt. Auf dieser wurden im öffentlich zugänglichen Bereich die privaten Telefonnummern und E-Mail-Adressen von Sportlerinnen und Sportlern veröffentlicht, ohne dass diese in die Veröffentlichung eingewilligt hatten. Auf das Geheiß der Aufsichtsbehörde wurden die personenbezogenen Daten vom öffentlich zugänglichen Bereich des Webauftritts entfernt (Kapitel 3.9, S. 77).

Weniger einsichtig war ein Bankenverband. Die BlnBDI wies ihn darauf hin, dass es in Beratungsgesprächen für eine Kreditvergabe unzulässig ist, Kundinnen und Kunden nach deren Familienplanung zu fragen, soweit dies nicht ausdrücklich als freiwillige Angabe gekennzeichnet wird. Der Verband wollte dieser Auffassung jedoch nicht folgen und passte seine Empfehlungen an seine Mitgliedsbanken nicht entsprechend an. Banken, die die Familienplanung rechtswidrig abfragen, müssen nun mit aufsichtsrechtlichen Schritten rechnen (Kapitel 10.2, S. 150).

Im Bereich der Banken beschäftigte uns außerdem die Beschwerde einer Kundin gegen einen Bankmitarbeiter, der ihr nach dem Tod ihres Ehemanns nahegelegt hatte, ihre Immobilie an einen ihm bekannten Makler zu verkaufen. Nachdem die Beschwerdeführerin kein Interesse an dem Kontakt gezeigt hatte, hatte der Bankangestellte dem befreundeten Makler Hinweise auf die voraussichtlich zu verkaufende Immobilie gegeben, sodass dieser die Witwe ermitteln und kontaktieren konnte (Kapitel 10.4, S. 153).

Ein sich immer weiter entwickelndes Arbeitsgebiet ist nach wie vor der Bereich Videotechnik und Biometrie. In der zweiten Phase des Pilotprojekts zur Videoüberwachung am Bahnhof Südkreuz testete die Deutsche Bahn sog. „intelligente“ Videosysteme verschiedener Anbieter. Im Jahresbericht wird erklärt, was in dieser Phase des Projekts getestet wird, wie die Maßnahmen datenschutzrechtlich zu bewerten sind und welche Kriterien bei der Frage zu berücksichtigen sind, ob ein Echtbetrieb zulässig ist (Kapitel 11.1, S. 155).

Wiederholt wurde die Aufsichtsbehörde zudem mit Fragen zu biometrischen Gebäude-Zugangskontrollen befasst. Ein großes Verlagshaus testet ein solches System seit August 2019. Der Regelbetrieb ist jedoch insbesondere deshalb problematisch, weil die Teilnahme an dem Kontrollsystem nur freiwillig erfolgen darf (Kapitel 11.2, S. 157).

Eine Vielzahl von Beschwerden betraf den Bereich Telemedien. Ein Beschwerdeführer wandte sich beispielsweise an die BlnBDI, nachdem er eine E-Mail von einem Online-Plattform-Betreiber erhalten hatte, obwohl er kein Nutzer dieser Plattform war. Wie sich herausstellte, hatte er zuvor einen mehrstufigen Registrierungsprozess auf dieser Plattform vorzeitig abgebrochen und entschieden, das Angebot nicht weiter zu nutzen. Der Plattform-Betreiber hatte die bereits eingetragenen Daten dennoch gespeichert und weiterverarbeitet. Das war unzulässig (Kapitel 9.10, S. 144).

Als höchstproblematisch im Umgang mit Daten von Besucherinnen und Besuchern erwies sich das Stadtportal Berlin.de. Auf dem Webportal, das in Public-Private-Partnerschaft zwischen dem Land Berlin und einem privaten Anbieter betrieben wird, erfolgte ein intensives Tracking durch Drittanbieter. Die umfangreiche Prüfung dauert an. Im Jahresbericht wird der Sachstand dargestellt (Kapitel 13.8, S. 190).

Auch die komplexen Prüfverfahren gegen Stellen der Landesverwaltung, politische Parteien und Unternehmen wegen des Betriebs von sog. Facebook-Fanpages beschäftigten die Behörde weiterhin. Diese Verfahren waren eingeleitet worden, nachdem der Europäische Gerichtshof im Jahr 2018 festgestellt hatte, dass Betreiberinnen und Betreiber derartiger Fanpages für die dabei erfolgende Datenverarbeitung mit Facebook gemeinsam verantwortlich sind. Im Jahresbericht werden die Problematik, die aktuellen Entwicklungen sowie der Stand der Verfahren ausführlich erläutert (Kapitel 13.6, S. 185).

Große Beachtung fand das in Deutschland erste nach der Datenschutz-Grundverordnung verhängte Bußgeld in Millionenhöhe gegen die Deutsche Wohnen SE. Im Jahresbericht wird dargelegt, welche datenschutzrechtlichen Verstöße geahndet wurden und wie die Aufsichtsbehörde die Höhe des Bußgeldes bemessen hat (Kapitel 9.1, S. 126 und Kapitel 12.3, S. 164). Neben diesem und anderen bereits bekannt gewordenen Bußgeldverfahren gegen die Online Bank N26 und die Delivery Hero Germany GmbH verhängte die BlnBDI auch ein Bußgeld in Höhe von 6000 Euro gegen den Landesverband der NPD. Dieser hatte bereits im Februar 2018, also noch bevor die DS-GVO galt, in unzulässiger Weise auf einer Webseite die Namen, Telefonnummern und E-Mail-Adressen von Beschäftigten in Flüchtlings-Einrichtungen veröffentlicht (Kapitel 12.4, S. 165).

Seit Ende 2016 entwickelt die Berliner Datenschutzbeauftragte Angebote, mit denen Grundschulkinder für den Schutz ihrer Daten in der digitalisierten Welt sensibilisiert werden. Das neugestaltete und ausgeweitete medienpädagogische Angebot www.data-kids.de wurde im Jahr 2019 nicht nur für den deutschen Kindersoftwarepreis TOMMI nominiert, sondern auch in mehreren an Schulen durchgeführten Projektstunden von Kindern und Lehrpersonal mit Begeisterung angenommen (Kapitel 5.6, S. 97).

Nachdem neben den Ländern Bremen, Hamburg und Rheinland-Pfalz nun auch Thüringen über ein Transparenzgesetz verfügt, gibt es auch in Berlin erste Schritte in Richtung eines modernen Informationsfreiheitsrechts. Neben einem breiten Bündnis aus zivilgesellschaftlichen Organisationen, das den Volksentscheid Transparenz Berlin ins Leben gerufen hat, brachte auch die FDP-Fraktion im Abgeordnetenhaus von Berlin einen entsprechenden Gesetzesentwurf ein. Die BlnBDI begrüßt diese Initiativen und wird entsprechende Gesetzesvorhaben aktiv begleiten (Kapitel 17.3, S. 217).

Die Pressemitteilungen der Berliner Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.