Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2024

Veröffentlicht am:

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg vom 12.05.2025

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Frau Dagmar Hartge, der Vizepräsidentin des Landtages Brandenburg, Frau Dr. Jouleen Gruhn, den Tätigkeitsbericht zum Datenschutz für das Jahr 2024.

Sowohl im Alltag als auch in der täglichen Praxis der Datenschutzaufsicht wird immer deutlicher, wie weitreichend die Auswirkungen des Einsatzes der Künstlichen Intelligenz (A I, Seite 11) sind. Inzwischen sind erste Regelungen erlassen worden. So trat auf europäischer Ebene im Berichtszeitraum die Verordnung über Künstliche Intelligenz in Kraft. Sie legt unter anderem fest, welche Anforderungen Unternehmen und Verwaltungen beim Einsatz von KI-Systemen einzuhalten haben. Die Regelungen über eine ausreichende KI-Kompetenz des Personals, das mit solchen Systemen arbeitet, sowie über verbotene Praktiken sind bereits jetzt, weitere Vorschriften werden erst später wirksam. Noch steht auch die Benennung zuständiger Behörden für die Marktüberwachung von KI-Systemen aus. Nach der Verordnung sind die Datenschutzaufsichtsbehörden für diese Aufgabe – zumindest in Bezug auf bestimmte Hochrisikosysteme – prädestiniert.

Für die Entwicklung und den Einsatz von Künstlicher Intelligenz sind praxisbezogene Handreichungen gefragt. Beispielsweise hat der Europäische Datenschutzausschuss eine Stellungnahme veröffentlicht, die sich mit der Verwendung personenbezogener Daten für die Entwicklung von KI-Modellen und der anschließenden Nutzung dieser Modelle befasst. Im Rahmen der Datenschutzkonferenz ist die Landesbeauftragte von Anfang an Mitglied eines Arbeitskreises, der sich mit den Auswirkungen der Künstlichen Intelligenz auf den Datenschutz befasst. Die Veröffentlichung seiner Ergebnisse in Form einer Orientierungshilfe war im Berichtszeitraum bereits Anlass für Beratungsanfragen von Verantwortlichen. Zudem erreichten uns erste Beschwerden von Bürgerinnen und Bürgern, die annahmen, dass ihre Daten in KI-Systemen des Landes verarbeitet werden. Außerdem hat die Landesregierung im vergangenen Jahr eine Landesstrategie Künstliche Intelligenz veröffentlicht, in deren Erarbeitung wir einbezogen waren.

Dass ein Aushang krankheitsbedingter Abwesenheitstage im Dienstplan (A II 6, Seite 40) nicht zulässig sein würde, ahnte wohl auch ein Unternehmen. Es fragte deshalb seine neuen Beschäftigten im Rahmen eines „Welcome Days“ nach deren Einverständnis. Die Abwesenheiten wurden dann im Krankheitsfall auf einem Schichtplan mit dem Buchstaben „K“ eingetragen. Der Plan war für einen weiten Personenkreis zugänglich; selbst die Einsichtnahme durch externe Dritte hatte das Unternehmen nicht ausgeschlossen. Trotz der erteilten Einwilligungen war diese Praxis nicht zulässig. Eine Einwilligung muss schließlich freiwillig gegeben werden. Im Rahmen eines Beschäftigungsverhältnisses bestehen an eine Freiwilligkeit strenge Anforderungen, die in diesem Fall nicht erfüllt waren. Der Aushang war somit unzulässig; die Landesbeauftragte hat gegenüber dem Unternehmen, das die Praxis im Übrigen sehr schnell änderte, eine Verwarnung ausgesprochen. Dagmar Hartge:

 
Unternehmen und Behörden haben eine besondere Verantwortung für die Daten ihrer Beschäftigten. Gerade weil diese sich in einem Abhängigkeitsverhältnis befinden, sind Einwilligungen in die Datenverarbeitung nur selten wirklich freiwillig. Ein sensibler Umgang mit den Beschäftigtendaten ist deshalb immer auch ein Ausdruck von Respekt.

 
Die Anzahl der Beschwerden und Beratungen zur Videoüberwachung (A VI 3, Seite 103) ist erneut angestiegen, und zwar von 365 Fällen im Jahr 2023 auf 389 im vergangenen Jahr. Insgesamt haben wir 786 Kameras auf ihre Zulässigkeit überprüft. In einem aufwendigen Fall ging es um die Videoüberwachung in einem Hotel (A II 2, Seite 24). Anlass für unsere Überprüfung der über 40 dort eingesetzten Kameras war eine Beschwerde über eine Kamera auf dem Dach des Hotelgebäudes. Die Betreiberin gab als Grund für die Videoüberwachung den Schutz von Personen sowie die Verhinderung von Vandalismus an. Im Ergebnis untersagten wir die umfassende Überwachung der Lobby und der Aufenthaltsbereiche für die Gäste, die hier unbeobachtet ihre Freizeit verbringen wollen, der Aufzugskabinen, der Flure vor den Zimmern sowie der Sitzgelegenheiten im Außenbereich. Wir verpflichteten die Betreiberin zudem, den Erfassungsbereich einer auf dem Dach befindlichen Kamera so einzustellen, dass Nachbargebäude nicht mehr erfasst werden.

Die Landesbeauftragte beteiligte sich im vergangenen Jahr an einer europaweiten Prüfung zur Umsetzung des Auskunftsrechts (A III 1, Seite 51) und prüfte im Rahmen dieser Aktion Kreditinstitute und Versicherungen daraufhin, wie sie das Auskunftsrecht umsetzen. Im Ergebnis stellte sie u. a. fest, dass die Fristen zur Aufbewahrung von bereits beauskunfteten Kundendaten erheblich variierten. Unter Berücksichtigung der Rechenschaftspflichten der Unternehmen ist hier eine angemessene Speicherbegrenzung unbedingt erforderlich. Gleichwohl hatten die Verantwortlichen funktionierende interne Prozesse zur Sicherstellung des Auskunftsrechts eingerichtet und kooperierten ausgesprochen konstruktiv. Dagmar Hartge:

 
Die Prüfungen haben wertvolle Erkenntnisse für die künftige Aufsichts- und Beratungstätigkeit meiner Behörde gebracht – und hoffentlich auch für die Verbesserung der Datenschutzprozesse in den geprüften Unternehmen. Im laufenden Jahr nehme ich erneut an einer europaweiten Prüfaktion der Datenschutzaufsichtsbehörden teil. Gegenstand ist das Recht auf Löschung der eigenen Daten; in Brandenburg liegt der Schwerpunkt auf einer Auswahl größerer Wohnungsunternehmen.

 
Im Jahr 2024 verhängte die Bußgeldstelle der Landesbeauftragten in 5 Fällen ein Bußgeld wegen festgestellter datenschutzrechtlicher Verstöße. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 33.500 Euro (A VI 5.2, Seite 109).

Eine Geldbuße in fünfstelliger Höhe verhängte die Bußgeldstelle gegen ein Unternehmen wegen des unberechtigten Versands von Newslettern (A II 8.3, Seite 48). Das Unternehmen schickte über einen Zeitraum von 9 Monaten 63 Werbe-E-Mails an einen Kunden, der die entsprechende Einwilligung bereits dreieinhalb Jahre zuvor widerrufen hatte. Bereits in einer ersten Anhörung durch uns teilte es mit, die E-Mail-Adresse des Kunden sei durch einen Fehler bei der Datenmigration wieder in den Verteiler aufgenommen worden. Es gab zwar an, den Fehler behoben zu haben, entfernte aber die Adresse des Kunden erst, als dieser sich ein zweites Mal bei der Landesbeauftragten beschwerte. Der Kunde war indes nicht verpflichtet, sich erneut über den in den E-Mails vorgehaltenen Link vom Newsletter abzumelden. Vielmehr ist es Aufgabe des Verantwortlichen, die Abmeldung unmittelbar nach dem Widerruf des Einverständnisses vorzunehmen. Das Unternehmen war wegen ähnlicher Verstöße bereits mehrfach in den Fokus der Landesbeauftragten geraten und verhielt sich bei der Aufklärung des Sachverhalts sowie bei der Abstellung des Verstoßes wenig kooperativ. Dagmar Hartge:

 
Ein verantwortungsvolles Datenschutzmanagement ist keine überflüssige Bürokratie, sondern vielmehr eine Investition in das Vertrauen der Kundinnen und Kunden. Unternehmen, die trotz eines Widerrufs der Einwilligung weiterhin Werbung versenden, verlieren dieses Vertrauen und gefährden damit auch ihren eigenen geschäftlichen Erfolg.

 
Unter der Überschrift „Bitte keine Werbung!“ (A II 5, Seite 33) erläutert der Tätigkeitsbericht unabhängig von dem hier dargestellten Fall die rechtlichen Voraussetzungen an eine zulässige Werbung unter Verwendung personenbezogener Daten.

Ein Polizist hatte tausende polizeiinterne Daten auf eine private Festplatte kopiert (A II 8.2, Seite 46). Darunter befanden sich Angaben zu Beschuldigten, Geschädigten sowie Zeuginnen und Zeugen. Ferner kopierte der Beamte Adressen und Telefonnummern von Polizeibeschäftigten, Angaben zu deren Gesundheit und dienstliche Beurteilungen sowie Schulungsunterlagen zum Thema Kinderpornografie. Die Polizei meldete uns diesen Datenschutzvorfall. Unabhängig davon, ob der Polizist die Absicht hatte, die Daten nur zu beruflichen Zwecken zu nutzen, war bereits das Speichern der dienstlichen Dateien auf einer privaten Festplatte unzulässig. Dies sieht im Übrigen auch eine entsprechende Richtlinie der Polizei Brandenburg vor. In seiner bewussten Entscheidung, die Daten dennoch zu überspielen, erkannte die Landesbeauftragte ein vorsätzliches Handeln und verhängte ein Bußgeld.

Unabhängig von diesem Ordnungswidrigkeitenverfahren befasste sich die Datenschutzaufsicht mit der Verantwortung der Polizeibehörde für das Datenschutzmanagement (B I, Seite 115). Dabei standen die Wirksamkeit der Sensibilisierung der Beschäftigten für Datenschutzfragen sowie die Mängel bei der (verspäteten) Meldung der Datenschutzverletzung im Vordergrund. Im Ergebnis beanstandete die Landesbeauftragte die entsprechenden Verstöße gegenüber dem Polizeipräsidium.

Kurz vor der Landtagswahl 2024 meldete eine Stadtverwaltung uns eine Datenschutzverletzung wegen der Übermittlung von Meldedaten Minderjähriger für Wahlwerbung (A II 7, Seite 43). Eine Partei hatte die Datensätze der Erstwählerinnen und Erstwähler zum Zweck der Wahlwerbung beantragt. Im Rahmen der hierfür vorgesehenen Gruppenauskunft hatte die Meldebehörde das Geburtsdatum jedoch versehentlich so gesetzt, dass unzulässigerweise auch Daten von etwa 1.500 Personen übermittelt wurden, die noch nicht wahlberechtigt waren. Darüber haben sich auch einige Eltern bei der Landesbeauftragten beschwert. Zwar meldete die Stadt den Vorfall fristgerecht und reagierte angemessen, die Datenschutzverletzung ließ sich aber nicht mehr rückgängig machen. Deshalb und angesichts der hohen Zahl der betroffenen Personen und ihrer Minderjährigkeit hat die Landesbeauftragte von ihrer Sanktionsbefugnis der Verwarnung Gebrauch gemacht.

Die bundesweite Einführung der Bezahlkarte für Geflüchtete (A V 5.3, Seite 85) war und ist auch in Brandenburg ein viel diskutiertes Thema. Mit der Karte sollen Geflüchtete Waren und Dienstleistungen bezahlen und Bargeld in begrenzter Höhe abheben können. Neben einer Entlastung der Verwaltung bezweckt die Karte auch, den Geldtransfer ins Ausland zu unterbinden. Daher sind Überweisungen und Lastschriften grundsätzlich ausgeschlossen. In vielen Fällen können Geflüchtete benötigte Leistungen deshalb aber nicht bezahlen, beispielsweise ein Abonnement des Deutschland-Tickets, medizinische Zusatzleistungen oder Rechtsberatungen. Um dies dennoch zu ermöglichen, beabsichtigten Leistungsbehörden im Berichtsjahr, sogenannte Whitelists zu führen, die auf Antrag der Geflüchteten freigegebene Zahlungsempfängerinnen und -empfänger auflisten sollen. Damit wäre die Verarbeitung teils sensibler personenbezogener Daten der Geflüchteten, aber auch der Zahlungsempfängerinnen und -empfänger verbunden. Eine Rechtsgrundlage für diese Datenverarbeitung bestünde nur, wenn diese auch erforderlich wäre. Nach Auffassung der Landesbeauftragten ist das aber nicht der Fall. Die Auszahlung der den Geflüchteten zustehenden Leistungen kann vielmehr auch ohne Whitelist erfolgen; zudem sehen wir es nicht als Aufgabe der Leistungsbehörde an, das Ausgabeverhalten der Geflüchteten durch eine solche Maßnahme zu beschränken. Dies gilt vor allem dann, wenn die Leistungen zumindest teilweise zur freien Verwendung gewährt werden.

Umfangreich beschäftigte uns im zurückliegenden Jahr der Einsatz des Gesichtserkennungssystems PerIS in Brandenburg (B 2, Seite 119) durch die Polizei. Erst durch Medienberichte und eine Drucksache des Landtages Sachsen wurden wir darauf aufmerksam, dass im Rahmen der Amtshilfe durch den Freistaat Sachsen das sogenannte Personen-Identifikations-System (PerIS) auch in Brandenburg zum Einsatz kommt. Eine entsprechende Anfrage der Landesbeauftragten beantwortete das Polizeipräsidium Brandenburg letztlich erst nach 4 Monaten. Daraus ergab sich, dass das Landeskriminalamt in zwei Ermittlungsverfahren der Staatsanwaltschaft Frankfurt (Oder) auf das Verfahren PerIS im Rahmen strafprozessualer Observationsmaßnahmen zurückgegriffen hatte. Es handelte sich um Ermittlungen zu schwerer grenzüberschreitender Eigentumskriminalität.

Im Wesentlichen ermöglicht das Verfahren PerIS neben der Aufnahme von Bildern im öffentlichen Raum deren späteren biometrischen Abgleich mit bereitgestellten Bilddaten. Ergibt dieser keinen Treffer, werden die Aufnahmen nicht etwa sofort automatisch gelöscht. Dies geschieht vielmehr erst nach voreingestellten Fristen oder händisch, wenn festgestellt wurde, dass die Bilder nicht mehr benötigt werden. Nach den Vorschriften der Strafprozessordnung kann eine gezielte, längerfristige Observation zwar auch Unbeteiligte betreffen, wenn dies nicht zu vermeiden ist. Hier geht es jedoch um die Erfassung – und sogar den Bildabgleich – von Gesichtern hunderter oder tausender Unbeteiligter. Dies geht über das von der Strafprozessordnung Erlaubte weit hinaus. Auch als Rasterfahndung kann der Einsatz von PerIS nicht qualifiziert werden. Schließlich zeichnet diese sich gerade dadurch aus, dass nur Daten von Personen in den maschinellen Abgleich einbezogen werden, die bestimmte Prüfmerkmale erfüllen. Die Landesbeauftragte sieht die Datenverarbeitung im Ergebnis ihrer ersten Prüfung als nicht verhältnismäßig an. Dagmar Hartge:

 
Mich verwundert, dass die Ermittlungsbehörden für den Einsatz von PerIS auf nicht einschlägige Normen in der Strafprozessordnung zurückgreifen – ganz so, als hätte es den Skandal um das automatische Kennzeichenlesesystem (KESY) vor einigen Jahren nicht gegeben. Es liegt nahe, dass die für den Kennzeichenabgleich geltenden Bedenken erst recht für den besonders eingriffsintensiven Abgleich biometrischer Gesichtsbilder zum Tragen kommen.

 
Die Zahl der Datenschutzbeschwerden (A VI 1, Seite 101) hat sich im Vergleich zum Vorjahr erheblich erhöht – von 1.336 Beschwerden im Jahr 2023 auf 1.450 Beschwerden im vergangenen Jahr. Das ist der höchste Wert seit Einführung der Datenschutz-Grundverordnung. Noch deutlicher fällt die Bilanz für Beratungen aus. Hier stieg die Zahl der Fälle von 324 auf 467. Einen leichten Anstieg verzeichneten wir bei den Meldungen von Datenschutzverletzungen durch Verantwortliche (A VI 4, Seite 105). Nach 490 Meldungen im Jahr 2023 gingen im Berichtszeitraum 506 bei uns ein. Deutlich gestiegen ist der Anteil jener gemeldeten Datenschutzverletzungen, die auf technischen Mängeln beruhten und insofern Virenbefall, Phishing, Hackerangriffe, unberechtigte Zugriffe Dritter und erpresserische Verschlüsselungen von Datensätzen ermöglichten. Eine hohe Betroffenenzahl ergab sich nur bei vergleichsweise wenigen Vorfällen. Die Entgegennahme und Bearbeitung der Meldungen bindet weiterhin erhebliche personelle Ressourcen in der Datenschutzaufsicht.

Kontakt
Sven Müller
Tel. 033203 356-0
Poststelle@LDA.Brandenburg.de