Tätigkeitsbericht Datenschutz 2022 vorgelegt

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten vom 16.05.2023

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Dienstag in Dresden ihren Datenschutz-Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Auf über 230 Seiten sind die Schwerpunkte der Datenschutzaufsicht, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst.

Facebook-Fanpages in der Kritik
Im Berichtszeitraum hat die SDTB ein aufsichtsrechtliches Verfahren gegen die Sächsische Staatskanzlei als Betreiberin einer Facebook-Fanpage eingeleitet (1.1). Dabei handelt es sich um ein Musterverfahren, denn auch andere Ministerien oder öffentliche Stellen sind auf der Plattform des Meta-Konzerns vertreten. Die Staatskanzlei hatte nach mehreren Fristverlängerungen schließlich Ende März 2023 eine Stellungnahme übersandt.
Dr. Juliane Hundert: »Ob ich der Staatskanzlei den Betrieb einer Facebook-Fanpage untersage, entscheidet die derzeitige datenschutzrechtliche Prüfung. Das Ergebnis liegt voraussichtlich in den kommenden Wochen vor. Unabhängig davon will ich noch einmal deutlich sagen: Es ist nicht die Aufgabe staatlicher Stellen, Facebook-Algorithmen mit Daten von Bürgerinnen und Bürgern zu füttern. Zumal eine Reihe an datenschutzfreundlichen Alternativen bereitstehen. Dazu zählen beispielsweise ein aktueller Internetauftritt, Newsletter oder soziale Netzwerke wie der Kurznachrichtendienst Mastodon.“

Zensus, Kommune und Polizei kontrolliert
Die SDTB befasste sich im Berichtszeitraum unter anderem mit dem Zensus 2022 (1.2). Zudem nahm sie nach Abklingen der Pandemie die Querschnittskontrollen bei Kommunen (1.3) wieder auf. „Bei Vor-Ort-Kontrollen habe ich mir die Datenverarbeitung genau angeschaut. Das Ergebnis war erfreulich. Sowohl bei der stichprobenartigen Kontrolle des Zensus als auch bei der überprüften Kommune wurde sorgsam mit den Daten der Bürgerinnen und Bürger umgegangen“, fasst Dr. Juliane Hundert zusammen.

Hingegen variierten die Ergebnisse bei der Kontrolle der Polizei. Im Fokus standen im Berichtszeitraum die besonders eingriffsintensiven Maßnahmen (8.5), wie beispielsweise die längerfristige Observation, Videoüberwachung, die elektronische Aufenthaltsüberwachung oder die Telekommunikationsüberwachung.
Dr. Juliane Hundert resümiert: »Während in vielen Fällen die Vorschriften des Sächsische Polizeivollzugsdienstgesetzes korrekt angewendet wurden, musste ich auch einige, teilweise gravierende Defizite feststellen. Beispielsweise enthielten die Anträge unzureichende Angaben zu Art und Umfang der geplanten Maßnahme. Auch habe ich festgestellt, dass Maßnah¬men für Zeiträume beantragt wurden, welche die gesetzlich normierte Höchstdauer weit überschritten. In mehreren Fällen wurden die betroffenen Personen nach Abschluss der Maßnahme nicht korrekt informiert. Insbesondere fehlten in den Benachrichtigungsschreiben zum Beispiel die Angabe der Rechtsgrundlage der Datenverarbeitung, der Speicherdauer sowie der Rechte der Betroffenen. Weiterhin wurden die erhobenen Daten, die für die polizeiliche Arbeit nicht mehr erforderlich waren, nicht in allen Fällen unverzüglich gelöscht. Die Speicherung von Daten über einen für den konkreten erforderlichen Zweck hinausgehenden Zeitraum ist jedoch rechtswidrig.«

Im Ergebnis der Kontrollen wies die SDTB die betroffenen Polizeistellen auf die festgestellten Fehler hin und forderte sie zur dringenden Beachtung der gesetzlichen Anforderungen auf. Über die Feststellungen informierte Dr. Juliane Hundert auch das Innenministerium als oberste Aufsichtsbehörde und das parlamentarische Kontrollgremium des Landtags. Gemeinsam mit dem Staatsministerium wurde erörtert, wie zukünftig die Beachtung der gesetzlichen Anforderungen und damit die Rechtmäßigkeit der Datenerhebung und -verarbeitung durch die Polizei sichergestellt werden können.
»Ich habe die Erstellung von einheitlichen Prüfschemata und Mustern für die Beantragung, Durchführung und Nachbereitung der Maßnahmen angeregt. Die Beachtung gesetzlicher Vorgaben ist Grundlage rechtsstaatlichen Handelns und dient dem Schutz der Betroffenen und der Gewährleistung ihrer Rechte«, betont die Sächsische Datenschutz- und Transparenzbeauftragte.

Polizeiliche und private Videoüberwachung
In einem anderen Fall schaute sich die SDTB die polizeiliche Videoüberwachung an Straßen im Grenzgebiet im Raum Görlitz an (8.6.). »Den weiteren Ausbau der Videoüberwachung sehe ich sehr kritisch. Vor Ort habe ich deutlich gemacht, dass Videoüberwachung nur dann zulässig ist, wenn es sich um einen Kriminalitätsschwerpunkt handelt oder sie in einem Ermittlungsverfahren angeordnet wurde. Liegen diese Voraussetzungen nicht mehr vor, sind die Anlagen abzuschalten. Das muss dann auch deutlich für die Bürgerinnen und Bürger erkennbar sein. Hierzu bin ich im ständigen Austausch mit der Polizei vor Ort.«

Die rechtlichen Anforderungen an eine Videoüberwachung sind auch im nichtöffentlichen Bereich hoch. Im Berichtszeitraum setzte sich die SDTB unter anderem mit der Videoüberwachung in Spielhallen (2.2.21), im Kleingartenverein (2.2.20) und auf Privatwegen (2.2.22) auseinander. »Wer unzulässig eine Kamera betreibt, für den kann das zu einer kostspieligen Angelegenheit werden. Zum einen sprechen Zivilgerichte Betroffenen auch Schadenersatzansprüche zu. Zum anderen droht ein Bußgeld meiner Behörde«, sagt Dr. Juliane Hundert.

Zahlen und Daten
Unerlaubte Videoüberwachung bildete 2022 erneut den größten Anteil der Ordnungswidrigkeitenverfahren im nichtöffentlichen Bereich (6.4.2). Etwa zwei Drittel der Anzeigen (47) bezogen sich auf die Anfertigung von Videoaufnahmen. Generell waren im Berichtszeitraum 71 neue Ordnungswidrigkeitenanzeigen zu verzeichnen – die Anzahl bewegte sich damit geringfügig unter dem Niveau von 2021. Hingegen gab es im öffentlichen Bereich insgesamt 18 neue Verfahren (6.4.1).

Im Berichtszeitraum gingen 1.068 Beschwerden und Kontrollanregungen bei der SDTB ein. Das Aufkommen lag damit etwas unter dem der Vorjahre (2021: 1.254).
Dr. Juliane Hundert: »Auffällig ist, dass der Rückgang sowohl den öffentlichen als auch den nichtöffentlichen Bereich betraf und auch bei Kolleginnen und Kollegen in den anderen Bundesländern zu verzeichnen war. Etwa zwei Drittel der in meiner Behörde eingehenden Beschwerden betreffen den Bereich der nichtöffentlichen Stellen, also mögliche Verstöße in Unternehmen oder durch Private.«

Ein leichter Rückgang zeigte sich ebenfalls bei den Beratungen. Mit 966 schriftlichen Anfragen registrierte die Behörde etwas weniger Vorgänge als in den ersten beiden Corona-Jahren (2021: über 1.100).

Der Trend bei der Meldung von Datenschutzverletzungen weist seit Jahren nach oben. »Im Berichtszeitraum meldeten Verantwortliche insgesamt 809 Datenpannen. Das waren weniger als 2021 (923), jedoch deutlich mehr als in den Vorjahren. Sollte es tatsächlich zu weniger Vorfällen gekommen sein, wäre dies vor dem Hintergrund der zunehmenden Digitalisierung eine erfreuliche Entwicklung«, erläutert Dr. Juliane Hundert.
Wie in den Jahren zuvor waren die häufigsten Datenpannen der Fehlversand und der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität (4.4.1).

Großes Themenspektrum auch in 2022
Neben den Vorgängen, die im Zusammenhang mit Datenpannen standen, bearbeitete die SDTB eine Vielzahl an weiteren Datenschutzthemen: Auskunftsrecht (3.2.), Abo-Modelle im Online-Bereich (2.3.6) sowie Websites und Apps (4.1.1; 4.3.1). Außerdem drehte sich im Berichtszeitraum vieles um den Schutz und die Verarbeitung von Gesundheitsdaten, beispielsweise um den Auskunftsanspruch bei Patientenakten (3.2.3) oder die Übermittlung von Gesundheitsdaten an Inkassounternehmen (2.4.1). Auch die ergriffenen Maßnahmen zur Corona-Pandemie waren Anfang des Jahres 2022 noch ein Thema (1.4, 1.5, 2.2.8). Ferner hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (6.2.8).

Bezug des Tätigkeitsberichts Datenschutz 2022
Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de



Neuer Internetauftritt und neue E-Mail-Adressen

Sächsische Verantwortliche sollten Datenschutzerklärung prüfen

Die Sächsische Datenschutz- und Transparenzbeauftragte hat ihre Website neu gestaltet. Der Internetauftritt ist ab sofort unter www.datenschutz.sachsen.de erreichbar. In den vergangenen Monaten wurde er inhaltlich, optisch sowie technisch überarbeitet. Das Informationsangebot ist nach Zielgruppen unterteilt und enthält Ausführungen zu den rechtlichen Grundlagen sowie themenspezifische Inhalte, beispielsweise zum Datenschutz in der Schule, im Homeoffice, bei Videokonferenzsystemen und in vielen weiteren Bereichen.

Die Sächsische und Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert freut sich über den Relaunch:
»Alles neu macht der Mai. Mein neues Webangebot richtet sich sowohl an Bürgerinnen und Bürger als auch an die Wirtschaft und Verwaltung. Im Unterschied zum bisherigen Internetauftritt sind viele Inhalte hinzugekommen, mit denen ich betroffene Personen und Verantwortliche umfangreicher über ihre Rechte und Pflichten informieren möchte. Etliche Beschwerden und Verstöße ließen sich verhindern, wenn der Datenschutz frühzeitig berücksichtigt würde. Hier gilt: Prävention ist besser als Intervention! Deshalb werde ich das Angebot in den kommenden Monaten gezielt um weitere praxisnahe Informationen erweitern.«

Die Überarbeitung der Website diente auch dazu, die Darstellung für mobile Endgeräte zu verbessern und Inhalte barrierefrei präsentieren zu können. Zudem unterstützen eigens entwickelte Symbole und Grafiken bei der Orientierung sowie Navigation.

Neue E-Mail-Adressen und Aktualisierung der Datenschutzerklärung

Neben der URL der Website haben sich auch die E-Mail-Adressen geändert. Statt »@slt.sachsen.de« heißt es ab sofort »@sdtb.sachsen.de«. Das zentrale E-Mail-Postfach lautet »post@sdtb.sachsen.de. Wer noch die bisherigen Angaben in einer Datenschutzerklärung eingebunden hat, zum Beispiel auf einer Website, sollte die Kontaktdaten der Aufsichtsbehörde aktualisieren. E-Mails an die bisherigen Postfächer der Sächsischen Datenschutz- und Transparenzbeauftragten werden nur noch bis Ende Juni 2023 an die neuen Adressen weitergeleitet.

Über die Sächsische Datenschutz- und Transparenzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von etwa 40 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.
Seit Inkrafttreten des Sächsischen Transparenzgesetzes zum 1. Januar 2023 übernimmt Dr. Juliane Hundert auch die Funktion der Transparenzbeauftragten.



Sächsische Datenschutzbeauftragte startet Mastodon-Kanal

Die Sächsische Datenschutzbeauftragte nutzt für ihre Öffentlichkeitsarbeit ab sofort auch den Microblogging-Dienst Mastodon. Nutzerinnen und Nutzer können Dr. Juliane Hundert unter @sdb@bfdi.bund folgen.

»Kommunikation über Soziale Netzwerke funktioniert auch datenschutzfreundlich und ohne die großen Tech-Konzerne. Der Kurznachrichtendienst Mastodon ist dafür ein gutes Beispiel. Er ist dezentral, werbefrei und kommt ohne Überwachung der Nutzenden aus. Auch für Unternehmen und die öffentliche Verwaltung bietet Mastodon Vorteile. Denn anders als bei den großen gewerblichen Anbietern kann Mastodon datenschutzkonform betrieben werden.
Für mich ist die Plattform deshalb ein wichtiger Bestandteil einer zeitgemäßen und bürgernahen Kommunikation. Mit meiner Behörde informiere ich bei Mastodon über aktuelle Themen rund um den Datenschutz und die Informationsfreiheit«, sagt Dr. Juliane Hundert und ergänzt: »Ich würde mich freuen, wenn demnächst auch weitere öffentliche Stellen aus Sachsen auf Mastodon zu finden sind.«

Ihr Profil betreibt die Sächsische Datenschutzbeauftragte auf einer Instanz des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Es ist dort öffentlich und ohne Registrierung auf https://social.bund.de/@sdb einsehbar.

Über Mastodon
Mastodon ist eine datenschutzfreundliche Alternative zu Twitter. Nutzerinnen und Nutzer können auf Mastodon Kurznachrichten veröffentlichen, sogenannte »Toots« oder auf Deutsch: »Tröts«. Die maximale Länge dieser Nachrichten beträgt 500 Zeichen. Bilder und Videos können ebenfalls eingebunden werden. Anders als bei Twitter gibt es auf Mastodon keinen zentralen Anbieter des Dienstes, denn das Mastodon-Netzwerk besteht aus einer Vielzahl an Servern, auf denen sogenannte Mastodon-Instanzen laufen. Diese Instanzen, die häufig von Privatpersonen eingerichtet und betrieben werden, können miteinander verbunden werden. Ein weiterer Unterschied zu Twitter: Bei Mastodon gibt es keinen Algorithmus, der auf Basis der detaillierten Auswertung des persönlichen Nutzungsverhaltens Nachrichten sortiert und damit sogenannte »Filter-Blasen« generiert. Stattdessen werden die Neuigkeiten der abonnierten Kanäle chronologisch geordnet.

Wer sich ein Mastodon-Profil einrichten und darüber kommunizieren möchte, findet beispielsweise auf https://joinmastodon.org/servers eine Liste mit verfügbaren Instanzen. Für die Nutzung von Mastodon auf Mobilgeräten stehen in den App-Stores zahlreiche kostenfreie und oftmals quelloffene Applikationen zum Download bereit.

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.
Mit Inkrafttreten des Sächsischen Transparenzgesetzes übernimmt Dr. Juliane Hundert ab 2023 auch die Funktion der Transparenzbeauftragten.



Tätigkeitsbericht 2021 veröffentlicht – Hoher Beratungsbedarf und Anstieg bei gemeldeten Datenpannen

Übergabe des Tätigkeitsberichts 2021
Sachsens Datenschutzbeauftragte Dr. Juliane Hunderte stellte am Dienstag in Dresden ihren Tätigkeitsbericht für das Jahr 2021 vor.
Foto: © SDB / Ronald Bonß

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat am Dienstag in Dresden ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken der Datenschutzbehörde unter ihrem Amtsvorgänger Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete.

Auf über 200 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Datenschutz in der Corona-Pandemie
Der Berichtszeitraum umfasst das zweite Pandemiejahr. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer (Beitrag 1.1), 3G-Regelung am Arbeitsplatz (1.1), Impfwerbung des Sozialministeriums (2.2.10), Testungen in Schulklassen (2.4.1) sowie die Quarantäne-Kontrolle durch Polizeibedienstete (2.4.5). Die Fragestellungen bewegten sich regelmäßig im Spannungsfeld zwischen einem wirksamen Infektionsschutz und dem nach Datenschutzrecht zulässigen Eingriffen in die Persönlichkeitsrechte der Bürgerinnen und Bürger.

Löschung von Corona-Datenbeständen
In Bezug auf die aktuelle Situation betont Dr. Juliane Hundert: „Unternehmen und Behörden haben noch vorhandene Corona-Datenbestände umgehend zu überprüfen und nicht mehr erforderliche Daten zu löschen. Für die Kontaktnachverfolgung, wie sie beispielsweise in Restaurants oder Behörden üblich war, gibt es inzwischen keine gesetzliche Grundlage mehr. Des Weiteren entfallen die Zutrittskontrollen zum Arbeitsplatz, denn Arbeitgeberinnen und Arbeitgeber dürfen den Impf-, Genesenen- und Teststatus von Beschäftigten grundsätzlich nicht mehr abfragen. Ausgenommen davon sind Einrichtungen und Unternehmen des Gesundheitswesens. Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betrifft die einrichtungsbezogene Impfpflicht in § 20a Infektionsschutzgesetz (neu).
Bei den zu löschenden Informationen und Unterlagen handelt es sich oftmals um besonders schützenswerte Gesundheitsdaten. Vor allem solche Dokumente dürfen nicht einfach in den Papierkorb geworfen werden, sondern sind fachgerecht zu vernichten.“

Die datenschutzkonforme Vernichtung von Datenträgern sollte sich nach der DIN 66399 richten. Die Norm enthält auch Vorgaben zum Löschen von Papierdokumenten. Demnach sind Aktenvernichter der Sicherheitsstufe 4 oder höher geeignet.

Anzahl der Beratungen steigt erneut (6.2.3)
Die Beratung in Datenschutzfragen zählte 2021 weiterhin zu den Hauptaufgaben. Über 1.100 Vorgänge entfielen auf diesen Bereich – ein Plus von über 9 Prozent gegenüber dem Vorjahr. Das waren fast so viele Fälle wie im Jahr 2018, als die Datenschutz-Grundverordnung wirksam wurde.

„Im Zuge der Digitalisierung haben wir es häufig mit sehr komplexen Datenverarbeitungen zu tun. Daher empfehle ich datenverarbeitenden Stellen stets, frühzeitig ihre Datenschutzbeauftragten einzubeziehen. Dieses Vorgehen hat sich bewährt. Schließlich lassen sich somit viele Verstöße von vornherein verhindern. Natürlich können sich Verantwortliche mit ihren Fragen auch an mich und meine Dienststelle wenden.“, erläutert Dr. Juliane Hundert.

Zu den Beratungsvorgängen zählte beispielsweise auch ein wissenschaftliches Projekt, bei dem eine Forschungseinrichtung mithilfe von Videobeobachtung das Fahrverhalten von E-Scootern untersuchte (2.2.4). Das Beispiel zeigt: „Es ist möglich, dass Forschungsdaten so verarbeitet werden, dass die Persönlichkeitsrechte der Bürgerinnen und Bürger bestmöglich geschützt werden“, so die Sächsische Datenschutzbeauftragte und fügt hinzu: „Ich unterstütze die Forderung der Datenschutzkonferenz, Methoden zu entwickeln, die eine Verarbeitung von Forschungsdaten nach europäischen Werten ermöglichen.“

Hohes Beschwerdeaufkommen (6.2.2)
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.254 auf dem hohen Niveau des Vorjahres. Ein Teil davon betraf die sogenannten Telemedien. Dr. Juliane Hundert empfiehlt: „Betreiber von Websites und Apps sollten die Verwendung von Cookies und anderen Technologien dringend überprüfen. Der häufig unrechtmäßige Einsatz von Tracking- und Zusatzdiensten offenbart Informationsdefizite bei den Verantwortlichen. Hier liegt noch viel Aufklärungsarbeit vor uns.“
Im Tätigkeitsbericht finden Verantwortliche ein vereinfachtes Prüfschema, mit dem sich häufige Datenschutzschwachstellen bei Websites und Apps ermitteln lassen (4.1.1).

Gemeldete Datenpannen auf neuem Höchststand (4.4)
Nach Artikel 33 der Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden.
„Im Berichtszeitraum sind 923 Meldungen von Datenschutzverletzungen in meiner Behörde eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um rund 45 Prozent. Wie in der Vergangenheit bereits prognostiziert steigt angesichts der fortschreitenden Digitalisierung auch das Risiko für Datenpannen“, erläutert die Sächsische Datenschutzbeauftragte.
Rund ein Drittel der Meldungen von Datenschutzverletzungen sind auf Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen zählten Anfang 2021 die Sicherheitslücken in Microsoft Exchange-Servern (4.4).

Weitere Fallgruppen, die im Berichtszeitraum besonders häufig auftraten: Fehlversand, offene E-Mail-Verteiler, Verlust auf dem Postweg, Verlust von Datenträgern und Datenschutzverletzungen durch Auftragsverarbeiter.

Breites Themenspektrum
Neben den Vorgängen, die im Zusammenhang mit der Pandemie standen, bearbeitete die Behörde eine große Vielfalt an weiteren Datenschutzthemen: Hingewiesen werden soll hier auf die Videoüberwachung durch Privatleute (2.2.6), den Einsatz einer Lernplattform mit künstlicher Intelligenz in der Schule (2.1.2), Internetveröffentlichungen von Wettkampfergebnissen im Jugendgolfsport (2.3.2), die biometrische Zutrittskontrolle in einer Freizeiteinrichtung (2.4.2), Stellungnahmen zu Gesetzesentwürfen und Rechtsverordnungen (6.2.7), Gesichtserkennung für die Strafverfolgung durch die Polizei (8.2) u. v. m.

Bezug des Tätigkeitsberichts 2021
Der Bericht der Sächsischen Datenschutzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden:
publikationen.sachsen.de
Download als PDF-Datei: www.saechsdsb.de

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.



Start des Zensus 2022 – Dr. Juliane Hundert: „Einhaltung des Datenschutzes wird kontrolliert“

Am 15. Mai startet in Sachsen mit dem Zensus 2022 eine große Bevölkerungs-, Gebäude- und Wohnungszählung.
Das Statistische Landesamt organisiert die Erhebung, bei der rund 15 Prozent der sächsischen Bevölkerung im Rahmen einer Haushaltebefragung persönliche Informationen über sich preisgeben müssen. Die gesetzliche Grundlage bildet insbesondere das vom Bundesgesetzgeber verabschiedete Zensusgesetz 2022, wonach für Befragte eine Auskunftspflicht besteht. Weiterhin enthält das Gesetz detaillierte Regelungen zum Datenschutz und zur Datenverarbeitung.

Dazu erklärt die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert:
„In seinem wegweisenden Volkszählungsurteil aus dem Jahr 1983 hat das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung festgeschrieben. Die Richter haben damit dem Staat bei Bevölkerungsbefragungen klare Grenzen gesetzt. Er muss unter anderem eine Rechtsgrundlage schaffen sowie organisatorische und verfahrensrechtliche Vorkehrungen treffen, damit die erhobenen Daten nicht in falsche Hände gelangen. In der Praxis heißt das beispielsweise, dass statistische Einzelangaben einer befragten Person streng geheim zu halten sind. Sie dürfen nicht an Verwaltungsbehörden oder Private herausgegeben werden. Mit meiner Behörde werde ich beim Zensus 2022 stichprobenartig überprüfen, ob die datenschutzrechtlichen Bestimmungen eingehalten werden. Bürgerinnen und Bürger haben schließlich ein Recht darauf, dass der Staat ihre Daten stets rechtskonform verarbeitet.“

Befragte Personen haben beim Zensus zum Beispiel Angaben zu ihrer Wohnsituation, zur Bildung und Erwerbstätigkeit zu machen.

Ein Teil der Erhebung ist die Haushaltebefragung. Dabei nehmen Beauftragte des Statistischen Landesamts persönlich Kontakt zu den auskunftspflichtigen Personen auf.
Die zweite Säule bildet die Gebäude- und Wohnungszählung (GWZ). Alle Eigentümerinnen und Eigentümer sowie Verwalterinnen oder Verwalter von Wohneigentum erhalten hierzu Post. Bei der GWZ wird kein persönlicher Kontakt durch Erhebungsbeauftragte aufgenommen. Zu befragende Personen erhalten Zugangsdaten zum Online-Fragebogen. Über eine Hotline können sie auch einen Papierfragebogen anfordern.

Weitere Informationen:
zensus.sachsen.de
zensus2022.de

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.
Mehr Informationen: www.saechsdsb.de