Sachsen – Virtuelles Datenschutzbüro

Kontrolle der SDTB sorgt für Verbesserung des Datenschutzes auf über 1.500 sächsischen Websites

Veröffentlicht am: 27. Oktober 202428. Oktober 2024

Infolge einer großangelegten Prüfung der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) haben über 1.500 Website-Betreiber und -Betreiberinnen beim Datenschutz ihrer Seiten nachgebessert. Während einer Kontrolle im Mai dieses Jahres hatte die SDTB bei 2.300 von 30.000 sächsischen Internetauftritten den rechtswidrigen Einsatz von Google Analytics festgestellt. In all diesen Fällen wurden mit dem Webanalyse-Dienst Daten gesammelt, ohne dass die Besucherinnen und Besucher zuvor eingewilligt hatten: in das Setzen von Analytics-Cookies und/oder den Aufbau von Serververbindungen zu Google Analytics.

Sachsens Datenschutzbeauftragte Dr. Juliane Hundert:
»Bei der Nutzung des Internets nicht ungefragt getrackt zu werden, ist vielen Bürgerinnen und Bürgern wichtig. Durch die automatisierten Webseiten-Scans meiner Behörde konnte nicht nur eine Vielzahl an Datenschutzverstößen ermittelt, sondern inzwischen auch zum überwiegenden Teil beseitigt werden. Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten. Die Kontrolle bewirkte zudem, dass Verantwortliche auch bei anderen Diensten das Datenschutzniveau verbesserten. Dadurch sank beispielsweise die Anzahl der Cookies auf den geprüften Websites um die Hälfte. Für den Datenschutz im Internet ist das eine gute Nachricht. Weitere automatisierte Website-Prüfungen sind bereits in Planung.«

Verantwortliche, die trotz der Aufforderung der SDTB weiterhin rechtswidrig Nutzerdaten mit Google Analytics verarbeiten, müssen nun mit Sanktionen rechnen. Der Aufsichtsbehörde steht ein umfassender Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.

Große Resonanz bei Verantwortlichen
Im Zusammenhang mit der Website-Prüfung bearbeitete die SDTB 300 schriftliche Rückmeldungen sowie 250 Anrufe. Vor allem Unternehmen und Vereine benötigten Hilfestellung bei der Umsetzung der rechtlichen Anforderungen. In den Anfragen ging es nicht nur um Google Analytics, sondern beispielsweise auch um die richtige Einbindung von Zahlungsdienstleistern bei Onlineshops und die Einbettung von Videos aus sozialen Netzwerken.

In den Beratungsgesprächen stellte sich des Weiteren heraus, dass oftmals eine erhebliche Zahl von Einwilligungsbannern (auch »Cookie-Banner« genannt) nicht das taten, was die Einstellungen den Nutzerinnen und Nutzern versprachen. Zum Teil wurden Dienste ausgeführt und Cookies gesetzt, obwohl die Einstellungen »aus« signalisierten. Das war vielen Verantwortlichen nicht bewusst.
Die SDTB forderte die betroffenen Website-Betreiber und -Betreiberinnen auf, diesen Fehler umgehend zu beheben.

Weiterführende Links:
Hinweise der SDTB zum Einsatz von Google Analytics und weiteren Diensten
Pressemitteilung vom 13.06.2024: SDTB kontrolliert 30.000 Websites und weist 2.300 Verantwortliche auf Datenschutzverstöße hin
[Dokument] Statistik zur Datenschutzkontrolle der SDTB bei Websites im Juni und Oktober 2024

Gesichtserkennung in Sachsen ist ein tiefer Eingriff in die Grundrechte

Veröffentlicht am: 24. September 2024

Die Sächsische Datenschutz- und Transparenzbeauftragte appelliert an die Sicherheitsbehörden im Freistaat, beim Einsatz von Gesichtserkennungssystemen die Verhältnismäßigkeit und Rechtsstaatlichkeit zu wahren.
Anlässlich des im Gesetzgebungsverfahren befindlichen Asyl- und Sicherheitspakets der Bundesregierung weist Dr. Juliane Hundert auf die aktuelle Situation in Sachsen hin:

»Die Polizeidirektion Görlitz setzt für strafprozessuale Ermittlungsverfahren stationäre und mobile Kameras ein. Mit dieser Technik lassen sich Bildaufzeichnungen in hoher Auflösung anfertigen. Ein automatisierter biometrischer Abgleich von aufgezeichneten Gesichtsbildern mit zuvor hinterlegten Referenzbildern findet nach meinen Erkenntnissen bisher in ausgewählten Fällen und ausschließlich auf richterlicher Anordnung statt. Gleichwohl halte ich diese Maßnahmen für höchst bedenklich. Werden beim Passieren von Videokameras von unbeteiligten und nicht verfahrensrelevanten Personen biometrische Muster ihrer Gesichter erstellt, erreicht die Maßnahme eine Eingriffstiefe, die nicht ansatzweise von den aktuell geltenden Ermittlungsbefugnissen in der Strafprozessordnung gedeckt ist. Für einen solchen massenhaften biometrischen Abgleich im Strafverfahren bedarf es einer bestimmten, normenklaren gesetzlichen Grundlage.
Mit Blick auf die Rechtsprechung des Bundesverfassungsgerichts zu präventiven Maßnahmen der automatisierten Kennzeichenerfassung dürfte kein Zweifel bestehen, dass die biometrische Verarbeitung und ein Abgleich der Gesichtsbilder sämtlicher Personen, die eine Überwachungskamera im öffentlichen Raum passieren, mangels hinreichender Rechtsgrundlage gegen die Verfassung verstößt. Zu beachten sind überdies die europarechtlichen Anforderungen der neuen KI-Verordnung, die von den bestehenden Regelungen nicht annähernd erfüllt werden.«

Die Sächsische Datenschutz- und Transparenzbeauftragte verfügt über keine Interventionsmöglichkeit bei polizeilichen Maßnahmen, die richterlich angeordnet wurden. Gerichte unterliegen nicht ihrer Aufsicht. Insofern sind auch keine datenschutzaufsichtsbehördlichen Anordnungen gegen polizeiliche Datenverarbeitungen möglich, die die Polizei aufgrund richterlicher Beschlüsse durchführt. Gleichwohl appelliert Dr. Juliane Hundert an Polizei und Staatsanwaltschaften in Sachsen, solche Maßnahmen nicht zu beantragen, sowie an die Gerichte, solche Maßnahmen nicht anzuordnen: »Dem Sächsischen Innenministerium und dem Sächsischen Justizministerium habe ich meine Auffassung zur Kenntnis gegeben.«

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich des Themas ebenfalls angenommen und in ihrer Entschließung vom 20. September 2024 auf die hohen rechtlichen Hürden für die Nutzung automatisierter Gesichtserkennungssysteme hingewiesen.
Auch die Bundesbeauftragte für den Datenschutz- und die Informationsfreiheit (BfDI) hat sich zum aktuellen Gesetzgebungsvorhaben des Bundes kritisch zu Wort gemeldet.

Weiterführende Links:
Entschließung der DSK: Vorsicht bei dem Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden
Stellungnahme der BfDI zum Entwurf eines Gesetzes zur Verbesserung der Terrorismusbekämpfung

Sachsens Datenschutzbeauftragte veröffentlicht neue Auflage von »Achtung Kamera!«

Veröffentlicht am: 30. Juli 2024

Weiterhin Anstieg bei Beschwerden zur Videoüberwachung
Bei der Sächsischen Datenschutz- und Transparenzbeauftragten sind in der ersten Jahreshälfte mehr Beschwerden zu Videoüberwachungen eingegangen. Gegenüber dem Vorjahreszeitraum stieg die Zahl auf 115 – ein Plus von 20 Prozent.
Der Anstieg ist bislang ausschließlich auf Fälle zurückzuführen, in denen Privatpersonen oder Unternehmen Kameras einsetzen. Meist reichen Betroffene aus der Nachbarschaft eine Beschwerde ein. Eingaben zur Videoüberwachung durch öffentliche Stellen, wie Kommunen oder die Polizei, gibt es weiterhin nur wenige.
Dr. Juliane Hundert: »Der Zuwachs an Beschwerden macht deutlich, dass sich immer mehr Menschen durch privatmotivierte Videoüberwachung in ihrer Freiheit eingeschränkt fühlen. Inwieweit die Beschwerden berechtigt sind, lässt sich jedoch erst nach Abschluss der Verfahren sagen. Es deutet derzeit aber vieles darauf hin, dass in der Mehrzahl Datenschutzverstöße vorliegen. Erfahrungsgemäß überwiegen die Persönlichkeitsrechte der Betroffenen fast immer das berechtigte Interesse der Kamerabetreibenden.«

Mehr Bußgelder
Wer mit seiner Kamera gegen das Datenschutzrecht verstößt, dem drohen Schadensersatzklagen der betroffenen Personen und ein Bußgeld. Letzteres verhängte die Sächsische Datenschutz- und Transparenzbeauftragte bereits in der ersten Jahreshälfte so oft wie im gesamten Jahr zuvor:
Bis Ende Juni 2024 betrafen fünf Bußgelder Videokameras in Fahrzeugen (Dashcams) sowie in zwei Fällen stationäre Kameras in Mehrfamilienhäusern. Die Bußgeldhöhe bewegte sich jeweils zwischen 100 Euro und 900 Euro. In einem weiteren Fall sprach die Sächsische Datenschutz- und Transparenzbeauftragte ein Bußgeld von 30.000 Euro aus. Von der – auch eine Audioaufzeichnung umfassenden – Videoüberwachung eines Gewerbebetriebs waren nicht nur Kunden auf einem Parkplatz, sondern auch Fahrzeugführer und Passanten, insbesondere Kinder, betroffen. Die Kameras erfassten neben öffentlichen Straßen und Gehwegen zudem Nachbarn auf ihren Privatgrundstücken und Beschäftigte einer angrenzenden Baustelle. Das Bußgeld ist allerdings noch nicht rechtskräftig.

Mit »Achtung Kamera!« dem Ärger aus dem Weg gehen
Unter welchen Voraussetzungen eine Videoüberwachung überhaupt zulässig ist, darüber informiert die Sächsische Datenschutz- und Transparenzbeauftragte in der Broschüre »Achtung Kamera!«. Der Ratgeber für Verantwortliche und Betroffene war Anfang des Jahres erschienen und umfasste in der 1. Auflage 1.000 Exemplare. Knapp sechs Monate später waren diese bereits vergriffen.
»Die gestiegenen Fallzahlen sowie die große Nachfrage nach der Broschüre sprachen klar für eine zweite Auflage. In dieser wurde die Entscheidung des Sächsischen Verfassungsgerichtshofs von Ende Januar berücksichtigt. Durch das Urteil liegen die rechtlichen Hürden für Polizeibehörden höher, wenn sie gefährdete öffentliche Anlagen oder Einrichtungen mit Kameras überwachen möchten«, erklärt Dr. Juliane Hundert.
Weiterhin erhalten Leserinnen und Leser in »Achtung Kamera!« einen umfassenden Überblick zur Rechtslage für die häufigsten Verarbeitungssituationen, unter anderem zur Videoüberwachung von Beschäftigten, in der Nachbarschaft, in Kleingärten, auf Baustellen, in der Gastronomie, im Handel, in Freizeiteinrichtungen, in medizinischen Einrichtungen, im ÖPNV, in Autos, mit Drohnen etc. Ebenso wird die Rechtslage bei der Videoüberwachung durch sächsische Kommunen und die Polizei erläutert.

Die Broschüre können Interessierte auf der Website der Sächsischen Datenschutz- und Transparenzbeauftragten herunterladen: www.datenschutz.sachsen.de
In gedruckter Form ist »Achtung Kamera!« über den zentralen Broschürenversand des Freistaates Sachsen erhältlich: publikationen.sachsen.de

Weiterführende Links:
Download der Broschüre »Achtung Kamera!«

SDTB kontrolliert 30.000 Websites und weist 2.300 Verantwortliche auf Datenschutzverstöße hin

Veröffentlicht am: 13. Juni 2024

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat im Mai dieses Jahres rund 30.000 Internetauftritte aus Sachsen auf Datenschutzverstöße untersucht. Dabei ging es auch um den Einsatz des Webanalyse-Dienstes Google Analytics. Wer mit diesem Tracking-Werkzeug auf seiner Website das Nutzerverhalten überwachen möchte, benötigt von den Besucherinnen und Besuchern der Seite zuvor eine freiwillige und eindeutige Einwilligung. In 2.300 Fällen waren Betreiberinnen und Betreiber von Webauftritten dieser Pflicht nicht in ausreichender Form nachgekommen. Darunter befanden sich sowohl Unternehmen und Vereine als auch öffentliche Stellen. In den kommenden Tagen erhalten diese nun Post von der SDTB. In dem Schreiben werden die Verantwortlichen aufgefordert, den Datenschutzverstoß zu beseitigen und alle rechtswidrig erhobenen Daten zu löschen. Sollten Website-Betreibende diesem Hinweis nicht nachkommen, droht ihnen nach einer erneuten Überprüfung ein förmliches Verwaltungsverfahren.

Sachsens Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert hat bei den Kontrollen sowohl die Interessen der Website-Betreibenden als auch die Persönlichkeitsrechte von Bürgerinnen und Bürgern im Blick: »Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen.«

Für die Überprüfung von Onlineanwendungen steht in der Dienststelle der Sächsischen Datenschutz- und Transparenzbeauftragten seit Kurzem ein IT-Labor zur Verfügung. »Das IT-Labor ist wie eine Werkstatt. Zu den wichtigsten Werkzeugen gehört moderne Hard- und Software, mit denen wir Websites, Apps und IT-Produkte datenschutzrechtlich analysieren können. Damit bin ich mit meiner Behörde in der Lage, auch künftig Kontrollen in größerem Umfang vornehmen zu können«, erläutert Dr. Juliane Hundert abschließend.

Die Hinweise zum Einsatz von Google Analytics und weiteren Diensten finden Interessierte auch auf der Website der Sächsischen Datenschutz- und Transparenzbeauftragten unter:
www.datenschutz.sachsen.de/cookies-und-tracking.html

Sächsische Datenschutz- und Transparenzbeauftragte stellt Tätigkeitsbericht Datenschutz 2023 vor

Veröffentlicht am: 24. April 202424. April 2024

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Mittwoch in Dresden ihren Datenschutz-Tätigkeitsbericht an Landtagspräsident Dr. Matthias Rößler übergeben. In der Publikation sind die Arbeitsschwerpunkte des zurückliegenden Jahres zusammengefasst. Neben besonderen Fällen aus der Datenschutzpraxis enthält der Bericht Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung und zur Rechtsprechung.

Mehr Beschwerdeverfahren (S. 194)

Im Berichtszeitraum gingen bei der SDTB rund 1.160 Beschwerden und Kontrollanregungen zu potenziellen Datenschutzverstößen ein. Das waren fast zehn Prozent mehr als im Vorjahr. Der Zuwachs betraf vor allem den nichtöffentlichen Bereich. Das heißt, es handelte sich bei den datenschutzrechtlich Verantwortlichen beispielsweise um Unternehmen oder Privatpersonen.
Hinzu kamen knapp 600 schriftliche Beratungsanfragen.

Höchststand bei gemeldeten Datenpannen (S. 178 ff.)

Eine Steigerung der Fallzahlen verzeichnete die Sächsische Datenschutz- und Transparenzbeauftragte auch bei den gemeldeten Datenpannen: »2023 teilten mir Verantwortliche rund 950 Datenschutzverletzungen mit, so viele wie noch nie«, sagt Dr. Juliane Hundert.
Zum Vergleich: 2022 erreichten die SDTB etwa 150 Meldungen weniger.
Zu den häufigsten Datenpannen gehörten der Fehlversand sowie der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität.

KI und die Prüfung von ChatGPT (S. 26 f.)

Im Berichtszeitraum kam eine breite Debatte zum Einsatz von Künstlicher Intelligenz auf – maßgeblich entfacht durch die Entwicklungen bei ChatGPT von OpenAI. Deutsche und europäische Aufsichtsbehörden hatten allerdings Zweifel, dass der Dienst alle Anforderungen des europäischen Datenschutzrechts erfüllt. In Abstimmung mit den anderen Datenschutzbeauftragten leitete auch die SDTB ein Verfahren gegen das Unternehmen ein.
Dr. Juliane Hundert: » Im Rahmen unserer Prüfung ist deutlich geworden, dass auch bei KI-Anwendungen auf die Einhaltung datenschutzrechtlicher Regelungen geachtet werden muss. Dies gilt insbesondere für die öffentliche Verwaltung. Sie nimmt öffentliche Aufgaben wahr und kann sich deshalb bei der Verarbeitung personenbezogener Daten nicht auf ein unternehmerisches Interesse berufen. Natürlich bieten neue Technologien Chancen, aber wir müssen auch auf die Risiken für die Persönlichkeitsrechte der Bürgerinnen und Bürger schauen und diese Risiken minimieren.«

Polizei und Justiz

Seit jeher gehören Polizei und Justiz wegen der hohen Eingriffstiefe in die Grundrechte zu den Schwerpunkten der Datenschutzaufsicht. Für Schlagzeilen sorgten im vergangenen Jahr die Ereignisse auf einer Demonstration in Leipzig (S. 41 ff). Am sogenannten »Tag X« kam es zu Angriffen auf Polizeibeamte und zu Sachbeschädigungen. Einsatzkräfte kesselten daraufhin über 1.300 Personen ein. Die Polizei nahm Identitätsfeststellungen vor und beschlagnahmte über 380 Mobiltelefone. Dr. Juliane Hundert: »Ich habe die Strafverfolgungsbehörden darauf aufmerksam gemacht, dass der Anteil verfahrensrelevanter Daten auf den beschlagnahmten Mobiltelefonen verschwindend gering sein dürfte. Zudem wies ich daraufhin, dass nach geltendem Recht, nicht verfahrensrelevante Daten unverzüglich gelöscht bzw. herausgegeben werden müssen. Später erfolgte aufgrund einer Allgemeinverfügung der Staatsanwaltschaft eine Freigabe bzw. Herausgabe von beschlagnahmten Mobiltelefonen, nachdem die Daten zuvor gesichert worden waren. Die Auswertung der gesicherten Datenbestände muss nun zeitnah erfolgen, damit die großen Mengen verfahrensirrelevanter, jedoch höchstpersönlicher Daten gelöscht werden können.«

Schwärzung von Sitzungsunterlagen für Gemeinderäte (S. 36 ff.)

In einem anderen Fall weigerte sich ein Bürgermeister, den Mitgliedern des Gemeinderats ungeschwärzte Sitzungsunterlagen vorzulegen. Geschwärzt wurden Firmennamen und -adressen, die zur Vorbereitung eines Zuschlagsbeschlusses für eine kommunale Vergabe an die Gemeinderäte übersandt wurden. Der Bürgermeister begründete die Schwärzung damit, dass die Bieterauswahl anonym und die Gemeinderäte objektiv entscheiden sollen.
»Allerdings wurde dabei nicht beachtet, dass die Gemeindeordnung vorsieht, dass den Ratsmitgliedern alle Unterlagen zur Verfügung gestellt werden müssen, die für die Beratung und Meinungsbildung benötigt werden. Dazu gehören selbstverständlich auch die Namen der Firmen, die sich auf eine öffentliche Ausschreibung beworben haben. Hier ist dem umfassenden Informationsbedarf der Räte Rechnung zu tragen. Diese sind wiederum verpflichtet, in bestimmten Fällen zum Schutz personenbezogener Daten Verschwiegenheit zu wahren«, sagt Sachsens Datenschutzbeauftragte.
Das Verfahren konnte 2023 noch nicht abgeschlossen werden.

Großes Themenspektrum im Berichtszeitraum

Neben den genannten Vorgängen befasste sich die SDTB mit einer Vielzahl an weiteren Sachverhalten, zum Beispiel mit der Zuverlässigkeitsüberprüfung von Personen für die Fußballeuropameisterschaft (S. 44 ff.), mit dem Beschäftigtendatenschutz bei der Vorlage von erweiterten Führungszeugnissen (S. 39 ff.), mit dem Datenschutz bei Funk-Rauchwarnmeldern (S. 86 ff.) und fernablesbaren Messgeräten (S. 88 ff.), mit Kfz-Kennzeichenerfassungssystemen (S. 61 ff.), mit der überzogenen Datenerhebung bei der Schulaufnahmeuntersuchung (S. 95 ff.) und der Aufzeichnung von Telefongesprächen durch eine Sozialbehörde (S. 107 ff.).
Weiterhin hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (S. 199 f.).

Bezug des Tätigkeitsberichts Datenschutz 2023

Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de