Tätigkeitsbericht 2021 veröffentlicht – Hoher Beratungsbedarf und Anstieg bei gemeldeten Datenpannen

Übergabe des Tätigkeitsberichts 2021
Sachsens Datenschutzbeauftragte Dr. Juliane Hunderte stellte am Dienstag in Dresden ihren Tätigkeitsbericht für das Jahr 2021 vor.
Foto: © SDB / Ronald Bonß

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat am Dienstag in Dresden ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken der Datenschutzbehörde unter ihrem Amtsvorgänger Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete.

Auf über 200 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Datenschutz in der Corona-Pandemie
Der Berichtszeitraum umfasst das zweite Pandemiejahr. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer (Beitrag 1.1), 3G-Regelung am Arbeitsplatz (1.1), Impfwerbung des Sozialministeriums (2.2.10), Testungen in Schulklassen (2.4.1) sowie die Quarantäne-Kontrolle durch Polizeibedienstete (2.4.5). Die Fragestellungen bewegten sich regelmäßig im Spannungsfeld zwischen einem wirksamen Infektionsschutz und dem nach Datenschutzrecht zulässigen Eingriffen in die Persönlichkeitsrechte der Bürgerinnen und Bürger.

Löschung von Corona-Datenbeständen
In Bezug auf die aktuelle Situation betont Dr. Juliane Hundert: „Unternehmen und Behörden haben noch vorhandene Corona-Datenbestände umgehend zu überprüfen und nicht mehr erforderliche Daten zu löschen. Für die Kontaktnachverfolgung, wie sie beispielsweise in Restaurants oder Behörden üblich war, gibt es inzwischen keine gesetzliche Grundlage mehr. Des Weiteren entfallen die Zutrittskontrollen zum Arbeitsplatz, denn Arbeitgeberinnen und Arbeitgeber dürfen den Impf-, Genesenen- und Teststatus von Beschäftigten grundsätzlich nicht mehr abfragen. Ausgenommen davon sind Einrichtungen und Unternehmen des Gesundheitswesens. Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betrifft die einrichtungsbezogene Impfpflicht in § 20a Infektionsschutzgesetz (neu).
Bei den zu löschenden Informationen und Unterlagen handelt es sich oftmals um besonders schützenswerte Gesundheitsdaten. Vor allem solche Dokumente dürfen nicht einfach in den Papierkorb geworfen werden, sondern sind fachgerecht zu vernichten.“

Die datenschutzkonforme Vernichtung von Datenträgern sollte sich nach der DIN 66399 richten. Die Norm enthält auch Vorgaben zum Löschen von Papierdokumenten. Demnach sind Aktenvernichter der Sicherheitsstufe 4 oder höher geeignet.

Anzahl der Beratungen steigt erneut (6.2.3)
Die Beratung in Datenschutzfragen zählte 2021 weiterhin zu den Hauptaufgaben. Über 1.100 Vorgänge entfielen auf diesen Bereich – ein Plus von über 9 Prozent gegenüber dem Vorjahr. Das waren fast so viele Fälle wie im Jahr 2018, als die Datenschutz-Grundverordnung wirksam wurde.

„Im Zuge der Digitalisierung haben wir es häufig mit sehr komplexen Datenverarbeitungen zu tun. Daher empfehle ich datenverarbeitenden Stellen stets, frühzeitig ihre Datenschutzbeauftragten einzubeziehen. Dieses Vorgehen hat sich bewährt. Schließlich lassen sich somit viele Verstöße von vornherein verhindern. Natürlich können sich Verantwortliche mit ihren Fragen auch an mich und meine Dienststelle wenden.“, erläutert Dr. Juliane Hundert.

Zu den Beratungsvorgängen zählte beispielsweise auch ein wissenschaftliches Projekt, bei dem eine Forschungseinrichtung mithilfe von Videobeobachtung das Fahrverhalten von E-Scootern untersuchte (2.2.4). Das Beispiel zeigt: „Es ist möglich, dass Forschungsdaten so verarbeitet werden, dass die Persönlichkeitsrechte der Bürgerinnen und Bürger bestmöglich geschützt werden“, so die Sächsische Datenschutzbeauftragte und fügt hinzu: „Ich unterstütze die Forderung der Datenschutzkonferenz, Methoden zu entwickeln, die eine Verarbeitung von Forschungsdaten nach europäischen Werten ermöglichen.“

Hohes Beschwerdeaufkommen (6.2.2)
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.254 auf dem hohen Niveau des Vorjahres. Ein Teil davon betraf die sogenannten Telemedien. Dr. Juliane Hundert empfiehlt: „Betreiber von Websites und Apps sollten die Verwendung von Cookies und anderen Technologien dringend überprüfen. Der häufig unrechtmäßige Einsatz von Tracking- und Zusatzdiensten offenbart Informationsdefizite bei den Verantwortlichen. Hier liegt noch viel Aufklärungsarbeit vor uns.“
Im Tätigkeitsbericht finden Verantwortliche ein vereinfachtes Prüfschema, mit dem sich häufige Datenschutzschwachstellen bei Websites und Apps ermitteln lassen (4.1.1).

Gemeldete Datenpannen auf neuem Höchststand (4.4)
Nach Artikel 33 der Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden.
„Im Berichtszeitraum sind 923 Meldungen von Datenschutzverletzungen in meiner Behörde eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um rund 45 Prozent. Wie in der Vergangenheit bereits prognostiziert steigt angesichts der fortschreitenden Digitalisierung auch das Risiko für Datenpannen“, erläutert die Sächsische Datenschutzbeauftragte.
Rund ein Drittel der Meldungen von Datenschutzverletzungen sind auf Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen zählten Anfang 2021 die Sicherheitslücken in Microsoft Exchange-Servern (4.4).

Weitere Fallgruppen, die im Berichtszeitraum besonders häufig auftraten: Fehlversand, offene E-Mail-Verteiler, Verlust auf dem Postweg, Verlust von Datenträgern und Datenschutzverletzungen durch Auftragsverarbeiter.

Breites Themenspektrum
Neben den Vorgängen, die im Zusammenhang mit der Pandemie standen, bearbeitete die Behörde eine große Vielfalt an weiteren Datenschutzthemen: Hingewiesen werden soll hier auf die Videoüberwachung durch Privatleute (2.2.6), den Einsatz einer Lernplattform mit künstlicher Intelligenz in der Schule (2.1.2), Internetveröffentlichungen von Wettkampfergebnissen im Jugendgolfsport (2.3.2), die biometrische Zutrittskontrolle in einer Freizeiteinrichtung (2.4.2), Stellungnahmen zu Gesetzesentwürfen und Rechtsverordnungen (6.2.7), Gesichtserkennung für die Strafverfolgung durch die Polizei (8.2) u. v. m.

Bezug des Tätigkeitsberichts 2021
Der Bericht der Sächsischen Datenschutzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden:
publikationen.sachsen.de
Download als PDF-Datei: www.saechsdsb.de

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.



Mehr Beratungen und deutlicher Anstieg bei gemeldeten Datenschutzverletzungen

Sächsischer Datenschutzbeauftragter legt Tätigkeitsberichts vor

 

Der Sächsische Datenschutzbeauftragte Andreas Schurig hat am Donnerstag in Dresden seinen Tätigkeitsbericht für das zurückliegende Jahr vorgestellt.

Auf knapp 180 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Hoher Beratungsbedarf
Andreas Schurig: »Infolge der Covid-19-Pandemie ist die Digitalisierung in nahezu allen Lebensbereichen rasant vorangeschritten. Dementsprechend werden immer häufiger personenbezogene Daten ausgetauscht, was oftmals mit datenschutzrechtlichen Fragen einhergeht. Zahlreiche Bürger, Unternehmen und vor allem öffentliche Stellen wandten sich mit ihren Anliegen an mich. So stieg die Anzahl der Beratungen im Berichtszeitraum auf über 1.000 – ein Zuwachs von fast 70 Prozent gegenüber dem vorangegangenen Jahr.«

Pandemie als Bewährungsprobe für den Datenschutz
Der Sächsische Datenschutzbeauftragte beriet 2020 unter anderem die Staatsregierung zu den Corona-Schutz-Verordnungen. Zudem gingen hunderte Beschwerden zu datenschutzrelevanten Sachverhalten und Anfragen bei ihm ein, beispielsweise zur Kontaktnachverfolgung durch Gesundheitsämter, Datenschutz im Homeoffice, Datenverarbeitung im Zusammenhang mit der sächsischen Lernplattform LernSax, Gesundheitsbestätigungen für den Schulbesuch, erforderliche Angaben von Masken-Befreiungsattesten, Weitergabe von Listen mit positiv Getesteten und in Quarantäne befindlichen Personen an die Polizei und vieles mehr.

»Seit Beginn der Pandemie steht der Datenschutz immer wieder in der Kritik. Zwar waren Kneipen bisher die meiste Zeit geschlossen, Parolen auf Stammtischniveau wie ‚Der Datenschutz verhindert die Pandemie-Bekämpfung‘ blieben uns leider nicht erspart. Diese Behauptung hält einem Faktencheck nämlich nicht stand. Sie wird auch nicht richtiger, indem sie öfter wiederholt wird. Sie hilft allenfalls denjenigen, die einen Sündenbock benötigen oder mit populistischen Forderungen komplexe Probleme lösen wollen. Tatsache ist, dass weder die Datenschutz-Grundverordnung noch die weiteren Datenschutzgesetze der Pandemie-Bekämpfung entgegenstehen, sie zeigen lediglich die Grenzen auf – insbesondere für die Verarbeitung von Gesundheitsdaten. Deshalb erinnere ich noch einmal daran, dass es sich beim Datenschutz um ein Grundrecht und Wesensmerkmal unserer Demokratie handelt. Verbunden mit der Abwägung gegenüber anderen Grundrechten soll auch weiterhin jeder Mensch selbst bestimmen können, wer zu welchem Zweck seine Daten verarbeitet. Versuche, den Datenschutz zu umgehen oder abzuschaffen, sind daher ein Angriff auf dieses Bürgerrecht und auf unsere freiheitliche demokratische Grundordnung«, so Andreas Schurig.

Im Jahr 2020 setzten sich die nationalen und europäischen Datenschutzaufsichtsbehörden verstärkt mit der datenschutzkonformen Kontaktnachverfolgung auseinander. In der ersten Hälfte dieses Jahres rückten nun Impf- und Genesungsnachweise in den Fokus. Sachsen eröffnete sowohl die Möglichkeit für den Einsatz der Corona-Warn-App als auch die Durchführung von Modellprojekten zur Realisierung von Ausnahmen der Pandemiebeschränkungen.

Andreas Schurig: »Es ist der richtige Weg aus dieser Pandemie, wenn wir die Chancen der Digitalisierung nutzen. Risiken und geltendes Recht können deshalb aber nicht außer Acht gelassen werden. Das gilt selbstverständlich auch für Corona-Modellprojekte, die mir zur Prüfung vorgelegt werden. Niemandem ist geholfen, wenn das jeweilige Konzept gegen Grundsätze des Datenschutzes verstößt – weder den Verantwortlichen noch den Menschen, deren Daten verarbeitet werden.«

Bisher sind an den Sächsischen Datenschutzbeauftragten 27 Modellprojektanträge weitergeleitet worden (Anträge nach § 31 SächsCoronaSchutzVO).
Zu konstatieren sind gravierende Schwierigkeiten bei der Umsetzung beziehungsweise dass die bei Modellprojektanträgen vorgelegten Dokumente häufig unvollständig und insuffizient gewesen sind. Wiederkehrende Probleme waren unter anderem Unklarheiten, welche am Projekt beteiligten Stellen welche personenbezogenen Daten verarbeiten, eine fehlende Verfahrensbeschreibung, ein nicht vorgelegtes Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Datenschutz-Grundverordnung, die nicht vorhandene Darstellung und Begründung der Verarbeitung von Beschäftigtendaten, insbesondere was Zugangs- und Zugriffsrechte, Dokumentation, Information der Beschäftigten anbelangt, ein fehlendes Löschkonzept, eine nicht durchgeführte Datenschutz-Folgenabschätzung, ein fehlendes Konzept zur Informationssicherheit – im Besonderen zum kryptographischen Schutz gespeicherter sensibler Daten – sowie fehlende Lösungsansätze bei der angesonnenen Verarbeitung von Daten in Drittstaaten außerhalb der EU. Unzureichende Unterlagen erschweren die datenschutzrechtliche Beurteilung der Aufsichtsbehörde und verzögern den Beginn entsprechender Vorhaben.

Bunter Themenmix und zu wenig Mitarbeiter
Wenngleich das vergangene Jahr stark von der Pandemie geprägt war, gingen deshalb nicht weniger Anliegen zu anderen Datenschutzthemen ein. So erreichten den Sächsischen Datenschutzbeauftragten fast täglich Eingaben und Hinweise zur Videoüberwachung. »Die Videografie stellte wie schon in den Vorjahren einen Arbeitsschwerpunkt dar. Des Öfteren standen die Fälle in Verbindung mit dem rechtswidrigen Einsatz von Dashcams, festgestellt von der Polizei bei Verkehrskontrollen«, erläutert Andreas Schurig.

Erstmalig befragte der Sächsische Datenschutzbeauftragte im Jahr 2020 Kommunen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO). Sie gilt seit dem 25. Mai 2018 und bildet die Grundlage für ein einheitliches Datenschutzrecht in der Europäischen Union. Die Kommunen wurden unter anderem danach gefragt, ob sie bereits organisatorische Vorkehrungen getroffen haben, um Bürgern Auskunftsersuche elektronisch zu erteilen, ob es einen Datenschutzbeauftragten gibt und inwiefern Schwierigkeiten im Umgang mit Einwilligungserklärungen auftreten.
»Insgesamt vermitteln die Umfrageergebnisse einen guten Eindruck, wie die Bestimmungen der DSGVO bis Anfang 2020 in den sächsischen Kommunen umgesetzt waren. Die Auswertung offenbarte aber nicht nur, welche Herausforderungen gemeistert wurden. Gleichsam traten die Defizite zu Tage. Diese Erkenntnisse sind bereits in meine Beratungsarbeit in 2020 eingeflossen, um das Datenschutzniveau in den Gemeinden weiter zu verbessern«, zieht Andreas Schurig eine positive Bilanz.

Wiederholt richteten sich Bürger, Unternehmen und öffentliche Stellen mit Fragen und Eingaben zu Cookie-Bannern und dem Einsatz von Messengern an ihn. In anderen Fällen befasste sich Andreas Schurig mit Auskunftsersuchen an Schulen, der datenschutzkonformen Löschung von Kundenprofilen, mit der Weitergabe von Mieterkontaktdaten an Makler und Nachmieter und vielen weiteren Anliegen.

Dazu kam das Urteil »Schrems II« des Europäischen Gerichtshofs, der das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam erklärte. Folglich ist es US-Unternehmen nicht mehr möglich, auf der bisherigen Basis personenbezogene Daten von EU-Bürgern zu verarbeiten. Diese Entscheidung zwang eine Vielzahl wirtschaftlicher, politischer und gesellschaftlicher Akteure zum Handeln. Der Sächsische Datenschutzbeauftragte beriet auch in dieser Angelegenheit.

»Das Arbeitsaufkommen in meiner Dienststelle hat sich in den vergangenen Jahren drastisch erhöht. Dafür gibt es mehrere Gründe. So sind beispielsweise viele Bürger sensibilisierter für ihr Recht auf informationelle Selbstbestimmung und wenden sich öfter an mich. Zum anderen ist ein Aufgabenzuwachs zu verzeichnen, der vor allem auf die Datenschutz-Grundverordnung sowie auf nationale und regionale Gesetze und Verordnungen zurückzuführen ist. Sichtbar wird der Mehraufwand anhand der Posteingänge. Seit 2017 haben sich diese nahezu verdoppelt. Mit 17.100 verzeichnete meine Behörde 2020 einen neuen Rekord. Leider hat die Stellenentwicklung damit nicht Schritt gehalten, sodass die seit Jahren bestehende Unterbesetzung dazu führt, dass wir die gesetzlichen Aufgaben immer noch nicht vollumfänglich erfüllen konnten. Es ist ein Lichtblick und ein erster Schritt, dass meine Dienststelle bei den kürzlich abgeschlossenen Haushaltsverhandlungen acht neue Stellen zugesprochen bekam, die wir in den kommenden Monaten besetzen wollen«, so Andreas Schurig.

Seine Behörde beschäftigt derzeit über 30 Bedienstete, die mehr als 150.000 Unternehmen, 29.000 Vereine, 2,2 Millionen Privathaushalte sowie zahlreiche öffentliche Stellen in Sachsen im Hinblick auf deren Umgang mit personenbezogenen Daten beaufsichtigen.

Meldungen von Datenpannen auf neuem Höchststand
Nach Artikel 33 Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden. Ausnahme: Die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

»Im Jahr 2020 sind in meiner Dienststelle 635 Meldungen von Datenschutzverletzungen eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um über 40 Prozent. Prognostiziert auf die nächsten Jahre wird sich dieser Aufwärtstrend fortsetzen. Denn mit der zunehmenden digitalen Erfassung unseres Lebens steigt auch das Risiko für Datenpannen«, führt Andreas Schurig aus.

Die folgenden Fallgruppen sind im Berichtszeitraum besonders häufig gemeldet worden:
* Cyberkriminalität: Typische Handlungsfelder waren die Verschlüsselung und das Abgreifen von personenbezogenen Daten aus E-Mail-Postfächern, von Servern oder anderweitigen Datenträgern. *
* Fehlversand: Auf diese Fallgruppe entfielen im Berichtszeitraum die meisten Meldungen. Typische Fälle: Unterlagen mit falscher Zuordnung, fehlerhafter Kuvertierung oder Verwechslung der Empfängerperson. Vielfach waren Gesundheitsdaten betroffen, die aufgrund ihrer hohen Sensibilität und Vertraulichkeit ein besonders hohes Maß an Sorgfalt von der verantwortlichen Stelle fordern. *
* Offene E-Mail-Verteiler stellen nach wie vor den Klassiker der Datenschutzverletzung dar. Obgleich hierbei in der Regel das Risiko für die Betroffenen als durchaus gering eingeschätzt werden kann, ist eine solche Datenschutzverletzung gemäß Datenschutz-Grundverordnung in den meisten Fällen meldepflichtig. *
* Der Verlust von Unterlagen auf dem Postweg trat im Berichtsjahr häufig auf. Bei Bekanntwerden einer solchen Problematik, ist eine kritische Bewertung des Versanddienstleisters geboten. *
* Einbrüche und Diebstähle sind besonders problematisch. Sie zählen zu den kriminellen Handlungen, und damit ist das verbundene Risiko für die betroffenen Personen besonders hoch. Daher sind technisch-organisatorische Maßnahmen geboten, wie zum Beispiel die ordnungsgemäße Verwahrung und Verschlüsselung von Datenträgern. *

Beschwerden über Datenschutzverstöße auf hohem Niveau
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.247 nur geringfügig unter dem des Vorjahres (2019: 1.297). Seit Wirksamwerden der Datenschutz-Grundverordnung im Jahr 2018 haben sich die jährlich eingehenden Beschwerden und Hinweise mehr als verdoppelt. Sanken 2020 die Eingaben im nicht-öffentlichen Bereich, legten sie im öffentlichen Sektor gegenüber 2019 deutlich zu.

Führungsrolle in der Datenschutzkonferenz
Für den Sächsischen Datenschutzbeauftragten war das Jahr 2020 gleichwohl hinsichtlich der Arbeit in der Datenschutzkonferenz (DSK) außergewöhnlich. Denn nach 2003 hatte Sachsen 2020 zum zweiten Mal den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder inne. Erwartungsgemäß war damit ein hohes Arbeitspensum verbunden.

Andreas Schurig: »Trotz der Pandemie-Belastung und der Beschränkung auf digitale Zusammenkünfte können sich die Ergebnisse unter unserem Vorsitz sehen lassen. So wurden im zurückliegenden Jahr mehr als 20 Entschließungen, Beschlüsse, Orientierungshilfen und Materialien veröffentlicht, beispielsweise zum Einsatz von Videokonferenzsystemen und Wärmebildkameras oder zu Gesetzesvorhaben wie dem Patientendaten-Schutz-Gesetz. Ohne die lösungsorientierte und engagierte Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden wäre dies nicht möglich gewesen.«

Des Weiteren organisierte der Sächsische Datenschutzbeauftragte den Europäischen Datenschutztag, der am 28. Januar 2021 zum Thema »Cross-Border Data Transfers« stattfand. »Für die schließlich als Onlinekonferenz durchgeführte Veranstaltung konnte ich zusammen mit dem Bundesministerium des Innern, für Bau und Heimat herausragende Fachleute aus dem Europarat und der Europäischen Union gewinnen. Die Konferenz war mit knapp 1.000 Teilnehmern aus der ganzen Welt der bestbesuchte Europäische Datenschutztag seit seinem Bestehen«, resümiert Andreas Schurig.

 

Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2020

Die Datenschutz-Grundverordnung zeigt positive Wirkung – Landesbeauftragter stellt seinen letzten Tätigkeitsbericht vor

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt

Heute hat der Landesbeauftragte für den Datenschutz Sachsen-Anhalt, Herr Dr. Harald von Bose, seinen XVI. Tätigkeitsbericht der Landtagspräsidentin Gabriele Brakebusch übergeben. Dieser Jahresbericht 2019 wurde dem Landtag zur Unterrichtung übermittelt (LT-Drs. 7/6184).

Die Berichtspflicht ergibt sich aus dem Auftrag aus der Europäischen Datenschutz-Grundverordnung (DS-GVO). Der Bericht wird daher auch dem Europäischen Datenschutzausschuss und der Europäischen Kommission übersandt.

Der Berichtszeitraum war in großem Umfang wiederum durch die Beratungsbedarfe im Hinblick auf die Anwendung des neuen europäischen Datenschutzrechts geprägt (s. Nr. 2.1). Der Landesbeauftragte wirkte weiterhin vielfältig als Berater insbesondere für kleine und mittlere Unternehmen (vgl. Nrn. 14.1 bis 14.3) und Vereine, und nicht zuletzt für die Menschen in Sachsen-Anhalt. Die Zahl der Beschwerden und Eingaben bewegte sich nach wie vor auf einem hohen Niveau; ein Schwerpunkt liegt weiterhin im Bereich der Videoüberwachung (s. Kap. 15). Die Behörde handelt bei ihren Beratungs- und Kontrollaufgaben praxisnah und mit Augenmaß und betont auch die Chancen eines klugen Datenschutzes für die verantwortlichen Stellen.
Die Herausforderungen des europäischen Rechts betrafen auch rechtspolitische Fragestellungen bei der Anpassung des Landesrechts (Beratung von Landesregierung und Landtag, s. Nrn. 4.1.1, 9, 12.1.6, 13.1.3).

Die Behörde des Landesbeauftragten ist durch den Aufgabenzuwachs, auch bei der Kooperation der Europäischen Aufsichtsbehörden (s. Nr. 5.2), weiterhin stark beansprucht. Zur Fallstatistik 2019 s. Kapitel 3, zu verhängten Bußgeldern s. Nr. 16.2.

Wie schon in den vergangenen Haushaltsjahren bleibt auch beim Doppelhaushalt 2020/21 im Vergleich zur Stellenanmeldung in 2019 die bewilligte Personalausstattung der Aufsichtsbehörde hinter dem tatsächlichen Bedarf weit zurück, denn es gibt überhaupt keine neue Stelle (s. Nr. 2.2). Der Datenschutz in Sachsen-Anhalt verdient mehr Wertschätzung durch die Politik, und dies betrifft nicht nur die Haushaltsmittel.

Schwerpunkte der Tätigkeit der Behörde des Landesbeauftragten im Bereich der öffentlichen Verwaltungen betrafen:
– Begleitung der E-Government-Entwicklungen (s. Nrn. 6.1, 6.2),
– Beratungen hinsichtlich der Verwendung von Fanpages bei Facebook (s. Nr. 7.2),
– Beratungen zu Schulthemen, wie Digitalpakt Schule und Bildungsmanagementsystem und Hinweise zum Fotografieren an Schulen (s. Nrn. 11.2.1, 11.2.3, 11.2.6).

Ein relativ neues Digitalisierungsthema betrifft die Methode des Building Information Modeling (BIM); im Rahmen von Vorträgen wurde festgestellt, dass der Datenschutz den BIM-Projekten nicht entgegensteht (s. Nr. 14.6). Daneben rückte das Themenfeld Künstliche Intelligenz immer mehr in den Fokus (s. Nr. 1.2).

In der Schlussphase der Berichtserstellung verzögerte die Corona-Pandemie die Fertigstellung, denn es waren viele neue Fragen zu Datenverarbeitungen bei der Bewältigung der Krise zu prüfen.

Der Tätigkeitsbericht ist auf der Homepage des Landesbeauftragten verfügbar und kann auch telefonisch oder schriftlich bestellt werden.

Anlässlich der Vorstellung seines letzten Tätigkeitsberichts zog der Landesbeauftragte eine vorläufige Bilanz seiner über 15 Jahre im und für den Datenschutz:

„Es war eine erfüllte und herausfordernde Zeit. Stand in den ersten Jahren die Abwehr von übermäßigen Eingriffen in die Grundrechte durch den „Präventionsstaat“ und ein vermeintliches Superrecht auf Sicherheit im Vordergrund, kamen seit 2011 durch die Aufsicht über den nichtöffentlichen Bereich Kontrollaufgaben zumal bei Wirtschaftsunternehmen hinzu. Die Reform des europäischen Datenschutzrechts habe ich intensiv begleiten können. Die Sensibilität für die Belange des Datenschutzes ist gewachsen. Der Vorwurf, Datenschutz behindere Datenverarbeitungen und verursache Bürokratieaufwand, greift nicht durch: Die Behörde zeigt auf, wie die Datenschätze mit Datenschutz gehoben werden können. Auch mit anderen Widersprüchen habe ich aufgeräumt. Datenschutz und Informationssicherheit sind Gegenstand von Beratung und Gestaltung bei der Digitalisierung in Gesellschaft, Wirtschaft und Staat. Beim E-Government muss Sachsen-Anhalt aufholen, schon vor Jahren empfahl ich eine ganzheitliche, nachhaltige, verbindliche und vernetzte Strategie. Stets haben mich Fragen nach der Zukunft von Privatheit besonders interessiert, auch bei den vielen Themen, mit denen sich die Datenschutzkonferenz befasst. Deren Vorsitz hatte ich bereits im Jahr 2006 inne. Dass die Digitalisierung nicht nur technisch und ökonomisch betrachtet werden muss, sondern vor allem ethisch (dies ist auch Gegenstand von Bildungskonzepten zur Vermittlung von Medienkompetenz), rechtlich und politisch, wird häufig noch nicht berücksichtigt. Der Freiheitsmaßstab des Datenschutzes in der demokratischen Gesellschaft ist Erfolgs- und Vertrauensfaktor – das zeigt sich aktuell auch bei den Maßnahmen zur Eindämmung der Corona-Pandemie.“



Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern legt Tätigkeitsbericht für 2019 vor

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat heute seinen Tätigkeitsbericht für das Jahr 2019 vorgelegt. Das Arbeitsvolumen der Behörde ist gegenüber dem Jahr 2018 weiter gestiegen. Während er in den letzten vier Monaten des Jahres 2018 nur von einer der in der europäischen Datenschutzgrundverordnung (DS-GVO) vorgesehenen aufsichtsrechtlichen Maßnahmen Gebrauch gemacht hat, waren es im Jahr 2019 bereits 82. Dabei war die häufigste Maßnahme die förmliche Warnung, mit der der Verantwortliche auf absehbare Datenschutzverstöße hingewiesen wird. Im Berichtszeitraum wurden auch fünf Bußgelder verhängt. Als deutlich wirksameres Mittel zur Durchsetzung des Datenschutzrechts hat sich allerdings die Androhung von Zwangsgeldern erwiesen. Hierzu kam es im Jahr 2019 in acht Fällen. Die Anzahl der Datenpannenmeldungen gemäß Art. 33 DS-GVO ist mit 108 im Jahr 2019 nahezu konstant geblieben. Weiterhin auf hohem Niveau liegt mit 1069 im Jahr 2019 die Anzahl der europäischen Verfahren, an denen der Landesbeauftragte beteiligt wurde. Eine Ursache für das in der Summe weiter ansteigende Arbeitsvolumen ist sicherlich in der DS-GVO zu suchen, die den Aufsichtsbehörden zahlreiche zusätzliche Aufgaben gegeben hat. Eine weitere Ursache liegt in der rasanten technischen Entwicklung der Datenverarbeitung und der fortschreitenden Durchdringung nahezu aller Lebensbereiche, die in der Corona-Krise weiter beschleunigt wurde.

Die Anzahl der anlassunabhängigen Prüfungen, die für die Durchsetzung des Datenschutzrechts von besonderer Bedeutung sind, verharrt demgegenüber mit drei Fällen im Jahr 2019 auf einem extrem niedrigen Niveau. Diese Zahl verdeutlicht, dass der Landesbeauftragte seiner Aufgabe der Durchsetzung der DS-GVO nicht ansatzweise gerecht wird. Als einzige Datenschutzaufsichtsbehörde in Deutschland arbeitet der Landesbeauftragte mit der gleichen Personalausstattung wie vor der Anwendung der DS-GVO. Mit dem am Ende des Berichtszeitraumes beschlossenen Doppelhaushalt 2020/2021 hat der Landtag auf Vorschlag der Landesregierung auch erhebliche Teile der Mittel für die Bewirtschaftung der Dienststelle mit einem Sperrvermerk versehen. Somit stehen für das laufende Jahr noch keine ausreichenden Mittel für Strom, Reinigung, Müllabfuhr und Bewachung zur Verfügung. Es bleibt zu hoffen, dass die Aufhebung dieses Sperrvermerks im Laufe des Jahres 2020 gelingt, weil anderenfalls die Behörde komplett handlungsunfähig wird.

Beim Landesbeauftragten gingen im vergangenen Jahr 533 Eingaben und Beschwerden ein. In einem erheblichen Teil der Zuschriften kritisierten Bürgerinnen und Bürger, dass Betroffenenrechte, die sie gegenüber einem Unternehmen, dem Hausarzt, einem Verein oder einer Behörde geltend gemacht haben, schlicht ignoriert oder nur unzureichend erfüllt werden. Nach der Wertung der DS-GVO spielt die betroffene Person bei der Kontrolle der Rechtmäßigkeit der Verarbeitung ihrer Daten eine ganz entscheidende Rolle. Mit den Betroffenenrechten stellt die DS-GVO sicher, dass die betroffene Person auch über die Werkzeuge verfügt, um diese Kontrolle auszuüben. So muss die betroffene Person grundsätzlich darüber informiert werden, dass über sie personenbezogene Daten verarbeitet werden. Eine heimliche Datenverarbeitung ist in aller Regel unzulässig. Daher empfiehlt der Landesbeauftragte Verantwortlichen in Unternehmen und Verwaltung, einen festen Prozess zu etablieren und Beschäftigte entsprechend zu schulen, wie mit Betroffenenrechten umzugehen ist.

Der Landesbeauftragte vertritt die DSK im IT-Planungsrat, in dessen Projekt der „Registermodernisierung“ die in der Verwaltung geführten Register modernisiert und der Zugriff auf die dort gespeicherten personenbezogenen Daten vereinfacht werden sollen. Eine zentrale Rolle spielen dabei einheitliche, personenbezogene Identifikatoren. Die DSK hat in einer Entschließung vom September letzten Jahres auf die Risiken und die verfassungsrechtlichen Grenzen einheitlicher und verwaltungsübergreifender Identifikatoren hingewiesen. Sie lehnt derartige Personenkennzeichen zur direkten Identifizierung von Bürgerinnen und Bürgern ab und fordert alternative Methoden zur eindeutigen Identifizierung, etwa sektorspezifische Identifikatoren, die zwar eine eindeutige Identifizierung erlauben, einen einseitigen staatlichen Abgleich von Daten jedoch verhindern.

Seit 2012 zeigt der Landesbeauftragte mit dem Gemeinschaftsprojekt Medienscouts MV Kindern und Jugendlichen Chancen und Risiken der digitalen Welt auf. Grundlegend ist dabei der so genannte peer-to-peer-Ansatz. Die Medienscouts lernen, ihr Wissen unmittelbar an andere Kinder und Jugendliche weiterzugeben. Die gleichbleibend hohen Teilnehmerzahlen zeigen ein ungebrochenes Interesse an dem Projekt. Seit dem Jahr 2018 werden pro Durchgang bereits zehn Teilnehmende mehr als früher ausgebildet. Dennoch gibt es Wartelisten und interessierte Jugendliche müssen auf den folgenden Ausbildungslehrgang vertröstet werden. Mit der derzeitigen Teilnehmerzahl hat das Projekt die Grenze des Möglichen erreicht. Weder der Landesbeauftragte noch seine Kooperationspartner verfügen über die strukturellen und finanziellen Voraussetzungen, um beispielsweise die Zahl der Ausbildungsdurchgänge zu erhöhen oder zielgruppenspezifisch (etwa für Berufsschülerinnen und Berufsschüler) anzupassen.

Kurz nach Ende des Berichtszeitraumes, am 14. Januar 2020, ist der reguläre Support von Microsoft für das Betriebssystem Windows 7 ausgelaufen. Der Nachfolger von Windows 7 ist Windows 10. Wegen der fortwährenden Datenübermittlungen von Windows 10 an Microsoft stellt sich jedoch die Frage, ob sich Windows 10 überhaupt datenschutzkonform einsetzen lässt. Diese Frage kann nicht pauschal beantwortet werden. Deshalb hat die DSK auf ihrer Sitzung im Herbst 2019 ein Prüfschema zu Windows 10 herausgegeben, anhand dessen die Anwenderinnen und Anwender die Datenschutzkonformität ihres konkreten Einsatzfalls beurteilen können.

Ende August 2019 hat der Landesverband der Partei „Alternative für Deutschland“ auf seiner Homepage ein sogenanntes Informationsportal „Neutrale Schule“ freigeschaltet. Nach Prüfung des Portals hat der Landesbeauftragte die Datenerhebung über das Portal untersagt und die sofortige Vollziehung dieses Verbotes angeordnet. Der Landesverband ist diesem Verbot fristgemäß nachgekommen. Er hat aber gegen das Verbot Anfechtungsklage erhoben und ist auch im einstweiligen Rechtsschutzverfahren gegen die Anordnung der sofortigen Vollziehung des Verbotes vorgegangen. Der Antrag auf einstweiligen Rechtsschutz hatte keinen Erfolg. Eine Entscheidung im Hauptsacheverfahren steht noch aus.

Dem Landesbeauftragten werden immer wieder Beschwerden zu Videoüberwachungsanlagen oder Videokameras im privaten und nachbarschaftlichen Bereich vorgelegt. Wenn der Verantwortliche ein privates Nachbargrundstück mit überwacht, ist dies unzulässig. Das gleiche gilt für die Überwachung des öffentlichen Straßenraumes, wobei die Erfassung eines schmalen Streifens entlang der Hauswand unter bestimmten Umständen nach der Rechtsprechung ausnahmsweise zulässig sein kann.

Der Landesbeauftragte hat eine umfangreiche Stellungnahme zum Entwurf eines Gesetzes über die Sicherheit und Ordnung in Mecklenburg-Vorpommern (SOG M-V) abgegeben. Wegen seiner Unverständlichkeit macht es das SOG M-V den Anwendern kaum möglich, rechtsfehlerfrei ihre Aufgaben zu erfüllen. Auch sind die Regelungen im SOG M-V über die Befugnisse der Datenschutzaufsicht nach Auffassung des Landesbeauftragten europarechtswidrig. Einzelne Regelungen wie die über die Online-Durchsuchung oder die automatisierte Kennzeichenerfassung lassen sich zudem nicht mit der Verfassung vereinbaren. Obwohl der Landesbeauftragte seiner Kritik auch im Rahmen der öffentlichen Anhörung zu dem Gesetzentwurf Ausdruck verlieh, wurde dieser im März 2020 fast unverändert beschlossen.

Regelmäßig muss der Landesbeauftragte Bußgeldverfahren gegen Polizeibeamte wegen der Nutzung von polizeilichen Informationssystemen für private Zwecke eröffnen. Im Jahr 2019 wurden insgesamt 16 Verfahren dieser Art geführt. Dazu Heinz Müller: „Ein Missbrauch von personenbezogenen Daten durch die Polizei geht gar nicht. Hier beschädigt eine verhältnismäßig kleine Anzahl von Missetätern den Ruf einer ganzen Institution. Darauf sind viele Polizisten zu Recht sauer.“

Mit der DS-GVO kamen auch auf die Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern neue Aufgaben zu. Um hier bei den anstehenden Fragen zu unterstützen, hat der Landesbeauftragte in Kooperation mit dem Datenschutzbeauftragten der Nordkirche im Jahr 2018 das Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns (UPKD)“ initiiert und im vergangenen Jahr abschließen können. Ziel des Projektes war es, einen Überblick über den Stand des Umgangs mit Patientendaten in ausgewählten Handlungsfeldern der Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern zu erhalten. Ein öffentlicher Projektbericht ist auf der Webseite des Landesbeauftragten zu finden.

Ein Ergebnis des Projektes war die Datenschutz-Fachtagung zum Thema „Datenschutz: Krankheit oder Therapie?“, die aufgrund des erhöhten Informationsbedarfes zum Thema Datenschutz in Krankenhäusern und Universitätskliniken in Mecklenburg-Vorpommern am 28. Oktober 2019 im Bürgersaal in Waren (Müritz) durchgeführt wurde. Eingeladen waren Geschäftsführungen, Datenschutzbeauftragte, Ärztinnen und Ärzte, Mitarbeitende in den Verwaltungen sowie Pflegekräfte und weitere Fachkräfte der Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern. Inhaltlicher Schwerpunkt dieser Fachtagung waren die Auswirkungen der DS-GVO auf die Arbeit in den Krankenhäusern und Universitätskliniken des Landes. Im Rahmen der Datenschutz-Fachtagung wurde diskutiert, ob der Datenschutz eher eine „Krankheit“ darstellt und den Versorgungsbetrieb stört oder ob der Datenschutz eher wie eine „Therapie“ wirkt und, richtig angewandt, unerwünschte Auswirkungen beseitigen kann. In vier bereichsspezifischen Diskussionsforen wurden Fragen der Teilnehmenden beantwortet und Lösungen aufgezeigt.

Das Informationsfreiheitsgesetz für Mecklenburg-Vorpommern (IFG M-V) stammt aus dem Jahr 2006 und ist mit lediglich einer inhaltlichen Novellierung im Jahr 2011 im Vergleich zu anderen Transparenzgesetzen/Informationsfreiheitsgesetzen, wie in Bremen, Hamburg, Rheinland-Pfalz oder Thüringen, ziemlich veraltet. Der Landesbeauftragte empfiehlt, das Informationsfreiheitsgesetz grundlegend zu überarbeiten und zu einem modernen Transparenzgesetz fortzuentwickeln. Dazu hat er der Landesregierung bereits vor zwei Jahren zahlreiche Vorschläge unterbreitet.

Das Polizeipräsidium Rostock hat eine Anfrage nach dem IFG M-V zur Datenschutz-Folgenabschätzung sowie zum Datenschutz- und Informationssicherheitskonzept für die Videoüberwachung auf dem Schweriner Marienplatz abgelehnt. Der Antragsteller bat daraufhin den Landesbeauftragten um Vermittlung. Nach dem IFG M-V ist der Antrag auf Informationszugang unter anderem dann abzulehnen, wenn zu befürchten ist, dass durch das Bekanntwerden der Informationen der Erfolg behördlicher Maßnahmen erheblich beeinträchtigt würde. Allerdings war dies hier auch nach Einschätzung des Landesbeauftragten der Fall. Datenschutzkonzepte, die technische und organisatorische Maßnahmen enthalten, oder auch eine Datenschutz-Folgenabschätzung beschreiben zunächst die Risiken der Verarbeitung und sollen dann Maßnahmen zur Eindämmung dieser Risiken festlegen. Damit sind in diesen Dokumenten aber regelmäßig auch die Schwachstellen einer Datenverarbeitung aufgelistet, mit deren Bekanntwerden Angriffe auf die jeweilige Datenverarbeitung gezielt vorbereitet werden könnten. Vor diesem Hintergrund sind auch nach der Wertung der DS-GVO diese Informationen gegenüber der betroffenen Person nicht zwingend transparent zu machen.

Der Tätigkeitsbericht 2019 steht unter https://www.datenschutz-mv.de/datenschutz/publikationen/taetigkeitsberichte/ zum Download bereit.