Landesbeauftragte stellt Tätigkeitsbericht Datenschutz 2018 vor

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg vom 09.04.2019.

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, veröffentlicht heute ihren Tätigkeitsbericht zum Datenschutz für das Jahr 2018:

Das zurückliegende Kalenderjahr stand für Unternehmen, Verwaltungen und Vereine ganz im Zeichen der Einführung des neuen Datenschutzrechts (Kapitel I, Nr. 1, Seite 10). Am 25. Mai 2018 endete die zweijährige Vorbereitungszeit. Alle Verantwortlichen haben seither die europaweit unmittelbar geltende Datenschutz-Grundverordnung anzuwenden. Dies sorgte teilweise für enorme Verunsicherung.

In zahlreichen Schulungsveranstaltungen vermittelten wir über 1.900 Führungskräften und Datenschutzverantwortlichen aus Verwaltungen und Unternehmen auf fast 40 Veranstaltungen die rechtlichen und technisch-organisatorischen Neuerungen (Kapitel I, Nr. 2.1, Seite 12). Hinzu kamen zahlreiche individuelle Beratungen insbesondere kleiner und mittlerer Unternehmen. Dabei ging es unter anderem um die künftige Umsetzung von Betroffenenrechten, die Grenzen der zulässigen Werbeansprache sowie um die Benennung von Datenschutzbeauftragten (Kapitel I, Nr. 2.2, Seite 13 sowie Nr. 2.7, Seite 21). Vereine erkundigten sich beispielsweise nach der rechtmäßigen Verarbeitung der Daten ihrer Mitglieder und nach den Bedingungen für den Versand von Newslettern (Kapitel I, Nr. 2.3, Seite 16). Besondere Blüten trieben einige Fälle aus dem Gesundheitsbereich: Manche Praxen machten die Behandlung plötzlich davon abhängig, ob die Patientin oder der Patient zuvor „freiwillig“ in die Datenverarbeitung eingewilligt hatte – obwohl der Behandlungsvertrag als Grundlage hierfür völlig ausgereicht hätte. Während hier meist ein kurzer Hinweis auf die Rechtslage genügte, fiel unsere Beratung zur praktischen Gestaltung der neuen Informationspflichten gegenüber den Patientinnen und Patienten intensiver aus (Kapitel I, Nr. 2.4, Seite 17). Viele der bei uns eingegangenen Anfragen und Beschwerden zum datenschutzgerechten Umgang mit Fotografien dürften der anfangs sehr pauschal geführten, öffentlichen Debatte geschuldet gewesen sein. Zwar halten wir hier insgesamt klarere gesetzliche Regelungen für wünschenswert, konnten in den meisten Fällen jedoch Entwarnung geben. So revolutionär waren die Änderungen nämlich nicht; insbesondere hatte es für die Abbildung von Personen bereits nach alter Rechtslage entweder ihrer Einwilligung oder einer Rechtsgrundlage bedurft (Kapitel I, Nr. 2.6, Seite 20). Dagmar Hartge:

Meine Mitarbeiterinnen und Mitarbeiter waren im Jahr 2018 vollauf damit beschäftigt, Anfragen zu beantworten, Schulungen durchzuführen und manchmal auch die Gemüter zu beruhigen. Nicht alles war neu. Es zeigte sich vielmehr, dass Stellen, die den Datenschutz bislang schon stiefmütterlich bzw. stiefväterlich behandelt hatten, nun erst recht vor dem Problem standen, alles auf einmal umsetzen zu müssen.

Die Nachfrage nach Beratungen ist inzwischen zwar zurückgegangen, ihr nachzukommen bleibt aber weiterhin eine wichtige Aufgabe für unsere Dienststelle.

Unternehmen oder Verwaltungen, die eine Facebook Fanpage betreiben, können sich ihrer datenschutzrechtlichen Mitverantwortung nicht entziehen. Das hat der Europäische Gerichtshof im vergangenen Jahr entschieden (Kapitel IV, Nr. 1, Seite 64). Sie müssen beispielsweise bestimmte Vereinbarungen mit Facebook schließen und nachvollziehbar darlegen, dass die Verarbeitung der Nutzerdaten mit der Datenschutz-Grundverordnung vereinbar ist. Dazu werden sie in der Regel nicht in der Lage sein, da Facebook bislang weder hinreichend transparent noch konkret darüber informiert. In der Kritik steht vor allem die undurchschaubare Verarbeitung von Nutzerdaten – auch solcher von Fanpagebesucherinnen und -besuchern, die gar nicht Mitglied des sozialen Netzwerks sind. Unter diesen Bedingungen ist der Betrieb von Facebook Fanpages rechtswidrig. Darauf hat zuletzt auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hingewiesen. Die Landesbeauftragte wird im laufenden Jahr Verantwortlichen, die solche Fanpages betreiben, auf den Zahn fühlen.

Facebook hat uns im vergangenen Jahr aber auch in ganz konkreten Beschwerdefällen beschäftigt. So publizierte eine Arbeitgeberin auf dem öffentlichen Facebook-Profil ihrer ehemaligen Mitarbeiterin, dass diese mehrere Tausend Euro Steuerschulden habe und daher ihr Lohn gepfändet werden müsse (Kapitel IV, Nr. 2, Seite 66). Dass sich ein solches Anprangern datenschutzrechtlich weit jenseits des Zulässigen bewegt, liegt auf der Hand. Die Landesbeauftragte hat daher – noch nach alter Rechtslage – ein Bußgeld in vierstelliger Höhe verhängt.

Immer wieder erkundigten sich Behörden und Unternehmen zudem, ob sie den Messenger-Dienst WhatsApp für ihre jeweiligen Zwecke datenschutzgerecht einsetzen können (Kapitel IV, Nr. 3, Seite 66). Unsere Antwort war in allen Fällen ein klares Nein. Wer WhatsApp nutzt, deren oder dessen Kontaktdaten (Telefonbuch) liest WhatsApp automatisch aus und speichert die Daten auf konzerneigenen Servern. Einwilligungen der Betroffenen dürften hierfür wohl kaum vorliegen. Dagmar Hartge:

Spätestens die von Facebook geplante Zusammenführung der Messengerdienste von WhatsApp, Instagram, Messenger und Facebook sollten Unternehmen und Behörden zum Anlass nehmen, Alternativen zu suchen. Ich empfehle, nur solche Kommunikationskanäle zu nutzen, die unter eigener Kontrolle stehen und eine sichere, vertrauliche Kommunikation gewährleisten.

Die Novellierung des Brandenburgischen Polizeigesetzes sorgte im Jahr 2018 für intensive Diskussionen (Kapitel V, Nr. 1.1, Seite 82). Einige weitreichende Eingriffsbefugnisse – beispielsweise die elektronische Aufenthaltsüberwachung zur Gefahrenabwehr und die sog. Online Durchsuchung – wurden schon vor der parlamentarischen Debatte aus dem Gesetzentwurf gestrichen. Später fand auch die Kritik der Landesbeauftragten an der ursprünglich geplanten, letztlich aber ebenfalls gestrichenen Überwachung von Messengerdiensten (Quellen-Telekommunikationsüberwachung – „Quellen-TKÜ“) Gehör. Dennoch weitet das vom Landtag gerade verabschiedete Gesetz die polizeilichen Datenverarbeitungsbefugnisse im Ergebnis erheblich aus. Insbesondere sind Eingriffe zur Terrorabwehr bereits im Vorfeld einer konkreten Gefährdung zulässig, sodass Unbeteiligte leichter in den polizeilichen Fokus geraten können. Für bedenklich halten wir auch die aus unserer Sicht unverhältnismäßige Verlängerung der Speicherfrist für polizeiliche Videoaufnahmen von zwei Tagen auf zwei Wochen.

Bei der Prüfung des polizeilichen Einsatzleitsystems für Behörden und Organisationen mit Sicherheitsaufgaben („ELBOS“) haben wir im Berichtszeitraum gleich mehrere datenschutzrechtliche Verstöße festgestellt (Kapitel III, Nr. 1, Seite 54). Beispielsweise konnten tausende Bedienstete Einsatzprotokolle mitlesen oder in bereits beendeten Einsätzen Recherchen durchführen. Es fehlten unter anderem eine restriktivere Vergabe von Zugriffsrechten sowie eine Verschlüsselung sensitiver personenbezogener Daten.

Gemeinsam mit den Berliner Kolleginnen und Kollegen haben wir das Klinische Krebsregister der Länder Brandenburg und Berlin kontrolliert (Kapitel III, Nr. 3, Seite 59). Dabei interessierte uns vor allem, ob die für den effizienten Datenschutz erforderlichen technisch-organisatorischen Maßnahmen ergriffen worden waren. Auch prüften wir die Verfahren und Abläufe zur Verarbeitung der Sozialdaten. Die Sicherheit der Räumlichkeiten sowie der Umgang mit den Papierdokumenten waren im Ergebnis nicht zu beanstanden. Allerdings fehlte unter anderem ein umfassendes Löschkonzept; auch wurden postalisch übermittelte Befundberichte – regelwidrig – komplett eingescannt und dauerhaft elektronisch gespeichert.

Gegenüber öffentlichen Stellen war die sog. Beanstandung bis zur Einführung der Datenschutz-Grundverordnung das wichtigste Instrument für die Datenschutzaufsicht. Im ersten Halbjahr 2018 hat die Landesbeauftragte es mehrfach eingesetzt. Beispielsweise beanstandete sie das Integrationsportal eines Jobcenters (Kapitel II, Nr. 3, Seite 44). Mithilfe dieses Portals übermittelte der Landkreis schutzbedürftige Sozialdaten der Leistungsberechtigten regelmäßig an ein beauftragtes Unternehmen, das passende Stellenangebote an das Jobcenter zurückmeldete. Obwohl ein datenschutzgerechtes Verfahrenskonzept hierfür nicht vorlag und der eigene IT-Sicherheitsbeauftragte an der Rechtmäßigkeit zweifelte, führte der Landkreis das Verfahren ein. Seine Versprechen, Nachbesserungen vorzunehmen, verliefen im märkischen Sand. Erst als die Landesbeauftragte nach ihrer Beanstandung eine auf dem neuen Datenschutzrecht basierende Anweisung zur Dokumentation des Verfahrens in Aussicht stellte, beendete das Jobcenter den Betrieb des Portals. Dies spricht nicht zuletzt für die Wirksamkeit der zusätzlichen Aufsichtsbefugnisse gegenüber öffentlichen Stellen.

Das neue Datenschutzrecht sieht bereits im Vorfeld einer Anweisung eine größere Spannbreite von Instrumenten der Datenschutzaufsicht vor: Eine Warnung zeigt dem Verantwortlichen an, dass die beabsichtigte Datenverarbeitung voraussichtlich gegen die Datenschutz-Grundverordnung verstößt; eine Verwarnung im Falle eines bereits erfolgten Verstoßes entspricht der früheren Beanstandung. Gegenüber einem Gericht hat die Landesbeauftragte eine Warnung ausgesprochen, nachdem dort das Wählerverzeichnis im Rahmen der Wahl des Ausschusses ehrenamtlicher Richter an einen zu großen Empfängerkreis übersandt worden war und nicht ausgeschlossen werden konnte, dass sich dieser Fehler in Zukunft wiederholt (Kapitel II, Nr. 4, Seite 45). Verwarnt haben wir einen Anbieter von Reiterferien, der die Eltern der Kinder über die Stornierung ihrer Buchung informierte (Kapitel II, Nr. 5, Seite 48). Er tat dies unter Verwendung eines offenen E-Mail-Verteilers, sodass alle Empfängerinnen und Empfänger sämtliche Adressen sehen konnten.

Mit der Datenschutz-Grundverordnung hat sich die Zusammenarbeit der europäischen Datenschutzaufsichtsbehörden erheblich intensiviert (Kapitel VII, Nr. 4, Seite 116). Die Bearbeitung von Beschwerden über die grenzüberschreitende Verarbeitung personenbezogener Daten geschieht mithilfe eines EU-weiten, elektronischen Registers, in das alle diese Fälle zum Zweck einer länderübergreifenden Bearbeitung eingestellt werden. Seit dem 25. Mai 2018 hatte die Landesbeauftragte insgesamt 597 grenzüberschreitende Fälle daraufhin zu prüfen, ob wir uns an der Bearbeitung beteiligen. In 55 Fällen taten wir dies, weil der Verantwortliche eine Niederlassung in Brandenburg hatte oder die gemeldete Verarbeitung personenbezogener Daten erhebliche Auswirkungen auf Bürgerinnen und Bürger unseres Bundeslandes haben könnte. In einem Fall nahmen wir die Federführung an. Weitere 18 Beschwerden, die bei uns eingegangen sind, haben wir an das Register gemeldet; in 36 Fällen haben wir uns an der Erarbeitung eines gemeinsamen Standpunktes beteiligt. Dagmar Hartge:

Das aufwendige und ausschließlich in englischer Sprache geführte Abstimmungsverfahren zwischen den europäischen Aufsichtsbehörden ist für alle Beteiligten neu. Der europäische Verordnungsgeber hat mit seiner Etablierung auf die Erkenntnis reagiert, dass die Verarbeitung personenbezogener Daten nicht an Staatsgrenzen Halt macht. Das Ziel des Verfahrens – eine einheitliche Anwendung der Datenschutz-Grundverordnung in allen Mitgliedstaaten – war und ist ein wichtiger Bestandteil der Datenschutzreform.

Ein Modus Operandi sowohl im Umgang mit dem Register als auch bei den grenzüberschreitenden Abstimmungen muss sich gleichwohl erst noch etablieren.

Die Datenschutz-Grundverordnung sieht eine deutliche Verschärfung der Verpflichtung vor, die Aufsichtsbehörde im Falle eines Verstoßes gegen den Datenschutz zu informieren (Kapitel VII, Nr. 3, Seite 116). Folglich ist die Zahl der Meldungen von Datenschutzverletzungen seit dem 25. Mai 2018 massiv angestiegen. Bis zum Jahresende lagen uns insgesamt 124 Meldungen nach der neuen Rechtslage vor. Einen großen Teil der Fälle nahm der Fehlversand von Unterlagen ein; auch wurden beispielsweise der Diebstahl der Digitalkamera einer Kita mit Kinderfotos und der Verlust einer Akte gemeldet, die ein Behördenmitarbeiter beim Losfahren auf dem Autodach vergessen hatte. Einen nennenswerten Anteil nahmen auch Angriffe auf Computernetzwerke ein, bei denen personenbezogene Daten erbeutet wurden. Die Neuregelung zwingt Verantwortliche in vielen solcher Fälle dazu, die betroffenen Personen über das Geschehene zu informieren. Zweck der erweiterten Meldepflicht ist es, Unternehmen, Verwaltungen und Vereine dafür zu sensibilisieren, dass sie von sich aus Maßnahmen ergreifen, um den Datenschutz zu gewährleisten – und sei es nur, um gegenüber der Datenschutzaufsichtsbehörde nicht aufzufallen.

Wie bereits seit Jahren verzeichneten wir auch im Berichtszeitraum wieder eine deutliche Zunahme von Beschwerden und Anfragen zur Videoüberwachung (Kapitel VII, Nr. 1, Seite 112) auf insgesamt 118 Fälle. 87 davon haben wir als Beschwerde bearbeitet. Teilweise ging es um die Überwachung des öffentlich zugänglichen Raums, teilweise standen die Beschwerden aber auch mit langjährigen Nachbarschaftsstreitigkeiten in Verbindung. Besonders aufwendig gestaltet sich die Prüfung einer Videoüberwachung, wenn mehrere Kameras zu Einsatz kommen. Dies ist bei Unternehmen häufig der Fall. Hier müssen wir für jede einzelne Kamera bewerten, ob sie den Anforderungen des Datenschutzes genügt. Alleine aufgrund der Beschwerden haben wir auf diese Weise im zurückliegenden Jahr 360 Videokameras überprüft.

Noch hat sich die Datenschutz-Grundverordnung nicht auf den Umfang der von der Landesbeauftragten geführten Bußgeldverfahren ausgewirkt (Kapitel VII, Nr. 5, Seite 118). Da Ordnungswidrigkeiten stets nach dem zum Zeitpunkt ihrer Begehung geltenden Recht zu bewerten sind, betreffen die meisten der neuen Verfahren aus dem Jahr 2018 noch die alte Rechtslage.

Zum Schluss noch ein Hinweis in eigener Sache: Bislang hat die Landesbeauftragte ihren Tätigkeitsbericht sowohl für den Datenschutz als auch für die Akteneinsicht alle zwei Jahre gemeinsamen erstattet. Die Neuregelung des Datenschutzrechts bewirkt, dass wir unseren Tätigkeitsbericht Datenschutz nunmehr jährlich, den Bericht zur Akteneinsicht hingegen weiterhin in zweijährlichem Turnus herausgeben.

Der Tätigkeitsbericht Datenschutz 2018 der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg kann hier abgerufen werden.

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg können hier abgerufen werden.