Die Datenschutz-Grundverordnung zeigt positive Wirkung – Landesbeauftragter stellt seinen letzten Tätigkeitsbericht vor

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt

Heute hat der Landesbeauftragte für den Datenschutz Sachsen-Anhalt, Herr Dr. Harald von Bose, seinen XVI. Tätigkeitsbericht der Landtagspräsidentin Gabriele Brakebusch übergeben. Dieser Jahresbericht 2019 wurde dem Landtag zur Unterrichtung übermittelt (LT-Drs. 7/6184).

Die Berichtspflicht ergibt sich aus dem Auftrag aus der Europäischen Datenschutz-Grundverordnung (DS-GVO). Der Bericht wird daher auch dem Europäischen Datenschutzausschuss und der Europäischen Kommission übersandt.

Der Berichtszeitraum war in großem Umfang wiederum durch die Beratungsbedarfe im Hinblick auf die Anwendung des neuen europäischen Datenschutzrechts geprägt (s. Nr. 2.1). Der Landesbeauftragte wirkte weiterhin vielfältig als Berater insbesondere für kleine und mittlere Unternehmen (vgl. Nrn. 14.1 bis 14.3) und Vereine, und nicht zuletzt für die Menschen in Sachsen-Anhalt. Die Zahl der Beschwerden und Eingaben bewegte sich nach wie vor auf einem hohen Niveau; ein Schwerpunkt liegt weiterhin im Bereich der Videoüberwachung (s. Kap. 15). Die Behörde handelt bei ihren Beratungs- und Kontrollaufgaben praxisnah und mit Augenmaß und betont auch die Chancen eines klugen Datenschutzes für die verantwortlichen Stellen.
Die Herausforderungen des europäischen Rechts betrafen auch rechtspolitische Fragestellungen bei der Anpassung des Landesrechts (Beratung von Landesregierung und Landtag, s. Nrn. 4.1.1, 9, 12.1.6, 13.1.3).

Die Behörde des Landesbeauftragten ist durch den Aufgabenzuwachs, auch bei der Kooperation der Europäischen Aufsichtsbehörden (s. Nr. 5.2), weiterhin stark beansprucht. Zur Fallstatistik 2019 s. Kapitel 3, zu verhängten Bußgeldern s. Nr. 16.2.

Wie schon in den vergangenen Haushaltsjahren bleibt auch beim Doppelhaushalt 2020/21 im Vergleich zur Stellenanmeldung in 2019 die bewilligte Personalausstattung der Aufsichtsbehörde hinter dem tatsächlichen Bedarf weit zurück, denn es gibt überhaupt keine neue Stelle (s. Nr. 2.2). Der Datenschutz in Sachsen-Anhalt verdient mehr Wertschätzung durch die Politik, und dies betrifft nicht nur die Haushaltsmittel.

Schwerpunkte der Tätigkeit der Behörde des Landesbeauftragten im Bereich der öffentlichen Verwaltungen betrafen:
– Begleitung der E-Government-Entwicklungen (s. Nrn. 6.1, 6.2),
– Beratungen hinsichtlich der Verwendung von Fanpages bei Facebook (s. Nr. 7.2),
– Beratungen zu Schulthemen, wie Digitalpakt Schule und Bildungsmanagementsystem und Hinweise zum Fotografieren an Schulen (s. Nrn. 11.2.1, 11.2.3, 11.2.6).

Ein relativ neues Digitalisierungsthema betrifft die Methode des Building Information Modeling (BIM); im Rahmen von Vorträgen wurde festgestellt, dass der Datenschutz den BIM-Projekten nicht entgegensteht (s. Nr. 14.6). Daneben rückte das Themenfeld Künstliche Intelligenz immer mehr in den Fokus (s. Nr. 1.2).

In der Schlussphase der Berichtserstellung verzögerte die Corona-Pandemie die Fertigstellung, denn es waren viele neue Fragen zu Datenverarbeitungen bei der Bewältigung der Krise zu prüfen.

Der Tätigkeitsbericht ist auf der Homepage des Landesbeauftragten verfügbar und kann auch telefonisch oder schriftlich bestellt werden.

Anlässlich der Vorstellung seines letzten Tätigkeitsberichts zog der Landesbeauftragte eine vorläufige Bilanz seiner über 15 Jahre im und für den Datenschutz:

„Es war eine erfüllte und herausfordernde Zeit. Stand in den ersten Jahren die Abwehr von übermäßigen Eingriffen in die Grundrechte durch den „Präventionsstaat“ und ein vermeintliches Superrecht auf Sicherheit im Vordergrund, kamen seit 2011 durch die Aufsicht über den nichtöffentlichen Bereich Kontrollaufgaben zumal bei Wirtschaftsunternehmen hinzu. Die Reform des europäischen Datenschutzrechts habe ich intensiv begleiten können. Die Sensibilität für die Belange des Datenschutzes ist gewachsen. Der Vorwurf, Datenschutz behindere Datenverarbeitungen und verursache Bürokratieaufwand, greift nicht durch: Die Behörde zeigt auf, wie die Datenschätze mit Datenschutz gehoben werden können. Auch mit anderen Widersprüchen habe ich aufgeräumt. Datenschutz und Informationssicherheit sind Gegenstand von Beratung und Gestaltung bei der Digitalisierung in Gesellschaft, Wirtschaft und Staat. Beim E-Government muss Sachsen-Anhalt aufholen, schon vor Jahren empfahl ich eine ganzheitliche, nachhaltige, verbindliche und vernetzte Strategie. Stets haben mich Fragen nach der Zukunft von Privatheit besonders interessiert, auch bei den vielen Themen, mit denen sich die Datenschutzkonferenz befasst. Deren Vorsitz hatte ich bereits im Jahr 2006 inne. Dass die Digitalisierung nicht nur technisch und ökonomisch betrachtet werden muss, sondern vor allem ethisch (dies ist auch Gegenstand von Bildungskonzepten zur Vermittlung von Medienkompetenz), rechtlich und politisch, wird häufig noch nicht berücksichtigt. Der Freiheitsmaßstab des Datenschutzes in der demokratischen Gesellschaft ist Erfolgs- und Vertrauensfaktor – das zeigt sich aktuell auch bei den Maßnahmen zur Eindämmung der Corona-Pandemie.“



Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern legt Tätigkeitsbericht für 2019 vor

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat heute seinen Tätigkeitsbericht für das Jahr 2019 vorgelegt. Das Arbeitsvolumen der Behörde ist gegenüber dem Jahr 2018 weiter gestiegen. Während er in den letzten vier Monaten des Jahres 2018 nur von einer der in der europäischen Datenschutzgrundverordnung (DS-GVO) vorgesehenen aufsichtsrechtlichen Maßnahmen Gebrauch gemacht hat, waren es im Jahr 2019 bereits 82. Dabei war die häufigste Maßnahme die förmliche Warnung, mit der der Verantwortliche auf absehbare Datenschutzverstöße hingewiesen wird. Im Berichtszeitraum wurden auch fünf Bußgelder verhängt. Als deutlich wirksameres Mittel zur Durchsetzung des Datenschutzrechts hat sich allerdings die Androhung von Zwangsgeldern erwiesen. Hierzu kam es im Jahr 2019 in acht Fällen. Die Anzahl der Datenpannenmeldungen gemäß Art. 33 DS-GVO ist mit 108 im Jahr 2019 nahezu konstant geblieben. Weiterhin auf hohem Niveau liegt mit 1069 im Jahr 2019 die Anzahl der europäischen Verfahren, an denen der Landesbeauftragte beteiligt wurde. Eine Ursache für das in der Summe weiter ansteigende Arbeitsvolumen ist sicherlich in der DS-GVO zu suchen, die den Aufsichtsbehörden zahlreiche zusätzliche Aufgaben gegeben hat. Eine weitere Ursache liegt in der rasanten technischen Entwicklung der Datenverarbeitung und der fortschreitenden Durchdringung nahezu aller Lebensbereiche, die in der Corona-Krise weiter beschleunigt wurde.

Die Anzahl der anlassunabhängigen Prüfungen, die für die Durchsetzung des Datenschutzrechts von besonderer Bedeutung sind, verharrt demgegenüber mit drei Fällen im Jahr 2019 auf einem extrem niedrigen Niveau. Diese Zahl verdeutlicht, dass der Landesbeauftragte seiner Aufgabe der Durchsetzung der DS-GVO nicht ansatzweise gerecht wird. Als einzige Datenschutzaufsichtsbehörde in Deutschland arbeitet der Landesbeauftragte mit der gleichen Personalausstattung wie vor der Anwendung der DS-GVO. Mit dem am Ende des Berichtszeitraumes beschlossenen Doppelhaushalt 2020/2021 hat der Landtag auf Vorschlag der Landesregierung auch erhebliche Teile der Mittel für die Bewirtschaftung der Dienststelle mit einem Sperrvermerk versehen. Somit stehen für das laufende Jahr noch keine ausreichenden Mittel für Strom, Reinigung, Müllabfuhr und Bewachung zur Verfügung. Es bleibt zu hoffen, dass die Aufhebung dieses Sperrvermerks im Laufe des Jahres 2020 gelingt, weil anderenfalls die Behörde komplett handlungsunfähig wird.

Beim Landesbeauftragten gingen im vergangenen Jahr 533 Eingaben und Beschwerden ein. In einem erheblichen Teil der Zuschriften kritisierten Bürgerinnen und Bürger, dass Betroffenenrechte, die sie gegenüber einem Unternehmen, dem Hausarzt, einem Verein oder einer Behörde geltend gemacht haben, schlicht ignoriert oder nur unzureichend erfüllt werden. Nach der Wertung der DS-GVO spielt die betroffene Person bei der Kontrolle der Rechtmäßigkeit der Verarbeitung ihrer Daten eine ganz entscheidende Rolle. Mit den Betroffenenrechten stellt die DS-GVO sicher, dass die betroffene Person auch über die Werkzeuge verfügt, um diese Kontrolle auszuüben. So muss die betroffene Person grundsätzlich darüber informiert werden, dass über sie personenbezogene Daten verarbeitet werden. Eine heimliche Datenverarbeitung ist in aller Regel unzulässig. Daher empfiehlt der Landesbeauftragte Verantwortlichen in Unternehmen und Verwaltung, einen festen Prozess zu etablieren und Beschäftigte entsprechend zu schulen, wie mit Betroffenenrechten umzugehen ist.

Der Landesbeauftragte vertritt die DSK im IT-Planungsrat, in dessen Projekt der „Registermodernisierung“ die in der Verwaltung geführten Register modernisiert und der Zugriff auf die dort gespeicherten personenbezogenen Daten vereinfacht werden sollen. Eine zentrale Rolle spielen dabei einheitliche, personenbezogene Identifikatoren. Die DSK hat in einer Entschließung vom September letzten Jahres auf die Risiken und die verfassungsrechtlichen Grenzen einheitlicher und verwaltungsübergreifender Identifikatoren hingewiesen. Sie lehnt derartige Personenkennzeichen zur direkten Identifizierung von Bürgerinnen und Bürgern ab und fordert alternative Methoden zur eindeutigen Identifizierung, etwa sektorspezifische Identifikatoren, die zwar eine eindeutige Identifizierung erlauben, einen einseitigen staatlichen Abgleich von Daten jedoch verhindern.

Seit 2012 zeigt der Landesbeauftragte mit dem Gemeinschaftsprojekt Medienscouts MV Kindern und Jugendlichen Chancen und Risiken der digitalen Welt auf. Grundlegend ist dabei der so genannte peer-to-peer-Ansatz. Die Medienscouts lernen, ihr Wissen unmittelbar an andere Kinder und Jugendliche weiterzugeben. Die gleichbleibend hohen Teilnehmerzahlen zeigen ein ungebrochenes Interesse an dem Projekt. Seit dem Jahr 2018 werden pro Durchgang bereits zehn Teilnehmende mehr als früher ausgebildet. Dennoch gibt es Wartelisten und interessierte Jugendliche müssen auf den folgenden Ausbildungslehrgang vertröstet werden. Mit der derzeitigen Teilnehmerzahl hat das Projekt die Grenze des Möglichen erreicht. Weder der Landesbeauftragte noch seine Kooperationspartner verfügen über die strukturellen und finanziellen Voraussetzungen, um beispielsweise die Zahl der Ausbildungsdurchgänge zu erhöhen oder zielgruppenspezifisch (etwa für Berufsschülerinnen und Berufsschüler) anzupassen.

Kurz nach Ende des Berichtszeitraumes, am 14. Januar 2020, ist der reguläre Support von Microsoft für das Betriebssystem Windows 7 ausgelaufen. Der Nachfolger von Windows 7 ist Windows 10. Wegen der fortwährenden Datenübermittlungen von Windows 10 an Microsoft stellt sich jedoch die Frage, ob sich Windows 10 überhaupt datenschutzkonform einsetzen lässt. Diese Frage kann nicht pauschal beantwortet werden. Deshalb hat die DSK auf ihrer Sitzung im Herbst 2019 ein Prüfschema zu Windows 10 herausgegeben, anhand dessen die Anwenderinnen und Anwender die Datenschutzkonformität ihres konkreten Einsatzfalls beurteilen können.

Ende August 2019 hat der Landesverband der Partei „Alternative für Deutschland“ auf seiner Homepage ein sogenanntes Informationsportal „Neutrale Schule“ freigeschaltet. Nach Prüfung des Portals hat der Landesbeauftragte die Datenerhebung über das Portal untersagt und die sofortige Vollziehung dieses Verbotes angeordnet. Der Landesverband ist diesem Verbot fristgemäß nachgekommen. Er hat aber gegen das Verbot Anfechtungsklage erhoben und ist auch im einstweiligen Rechtsschutzverfahren gegen die Anordnung der sofortigen Vollziehung des Verbotes vorgegangen. Der Antrag auf einstweiligen Rechtsschutz hatte keinen Erfolg. Eine Entscheidung im Hauptsacheverfahren steht noch aus.

Dem Landesbeauftragten werden immer wieder Beschwerden zu Videoüberwachungsanlagen oder Videokameras im privaten und nachbarschaftlichen Bereich vorgelegt. Wenn der Verantwortliche ein privates Nachbargrundstück mit überwacht, ist dies unzulässig. Das gleiche gilt für die Überwachung des öffentlichen Straßenraumes, wobei die Erfassung eines schmalen Streifens entlang der Hauswand unter bestimmten Umständen nach der Rechtsprechung ausnahmsweise zulässig sein kann.

Der Landesbeauftragte hat eine umfangreiche Stellungnahme zum Entwurf eines Gesetzes über die Sicherheit und Ordnung in Mecklenburg-Vorpommern (SOG M-V) abgegeben. Wegen seiner Unverständlichkeit macht es das SOG M-V den Anwendern kaum möglich, rechtsfehlerfrei ihre Aufgaben zu erfüllen. Auch sind die Regelungen im SOG M-V über die Befugnisse der Datenschutzaufsicht nach Auffassung des Landesbeauftragten europarechtswidrig. Einzelne Regelungen wie die über die Online-Durchsuchung oder die automatisierte Kennzeichenerfassung lassen sich zudem nicht mit der Verfassung vereinbaren. Obwohl der Landesbeauftragte seiner Kritik auch im Rahmen der öffentlichen Anhörung zu dem Gesetzentwurf Ausdruck verlieh, wurde dieser im März 2020 fast unverändert beschlossen.

Regelmäßig muss der Landesbeauftragte Bußgeldverfahren gegen Polizeibeamte wegen der Nutzung von polizeilichen Informationssystemen für private Zwecke eröffnen. Im Jahr 2019 wurden insgesamt 16 Verfahren dieser Art geführt. Dazu Heinz Müller: „Ein Missbrauch von personenbezogenen Daten durch die Polizei geht gar nicht. Hier beschädigt eine verhältnismäßig kleine Anzahl von Missetätern den Ruf einer ganzen Institution. Darauf sind viele Polizisten zu Recht sauer.“

Mit der DS-GVO kamen auch auf die Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern neue Aufgaben zu. Um hier bei den anstehenden Fragen zu unterstützen, hat der Landesbeauftragte in Kooperation mit dem Datenschutzbeauftragten der Nordkirche im Jahr 2018 das Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns (UPKD)“ initiiert und im vergangenen Jahr abschließen können. Ziel des Projektes war es, einen Überblick über den Stand des Umgangs mit Patientendaten in ausgewählten Handlungsfeldern der Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern zu erhalten. Ein öffentlicher Projektbericht ist auf der Webseite des Landesbeauftragten zu finden.

Ein Ergebnis des Projektes war die Datenschutz-Fachtagung zum Thema „Datenschutz: Krankheit oder Therapie?“, die aufgrund des erhöhten Informationsbedarfes zum Thema Datenschutz in Krankenhäusern und Universitätskliniken in Mecklenburg-Vorpommern am 28. Oktober 2019 im Bürgersaal in Waren (Müritz) durchgeführt wurde. Eingeladen waren Geschäftsführungen, Datenschutzbeauftragte, Ärztinnen und Ärzte, Mitarbeitende in den Verwaltungen sowie Pflegekräfte und weitere Fachkräfte der Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern. Inhaltlicher Schwerpunkt dieser Fachtagung waren die Auswirkungen der DS-GVO auf die Arbeit in den Krankenhäusern und Universitätskliniken des Landes. Im Rahmen der Datenschutz-Fachtagung wurde diskutiert, ob der Datenschutz eher eine „Krankheit“ darstellt und den Versorgungsbetrieb stört oder ob der Datenschutz eher wie eine „Therapie“ wirkt und, richtig angewandt, unerwünschte Auswirkungen beseitigen kann. In vier bereichsspezifischen Diskussionsforen wurden Fragen der Teilnehmenden beantwortet und Lösungen aufgezeigt.

Das Informationsfreiheitsgesetz für Mecklenburg-Vorpommern (IFG M-V) stammt aus dem Jahr 2006 und ist mit lediglich einer inhaltlichen Novellierung im Jahr 2011 im Vergleich zu anderen Transparenzgesetzen/Informationsfreiheitsgesetzen, wie in Bremen, Hamburg, Rheinland-Pfalz oder Thüringen, ziemlich veraltet. Der Landesbeauftragte empfiehlt, das Informationsfreiheitsgesetz grundlegend zu überarbeiten und zu einem modernen Transparenzgesetz fortzuentwickeln. Dazu hat er der Landesregierung bereits vor zwei Jahren zahlreiche Vorschläge unterbreitet.

Das Polizeipräsidium Rostock hat eine Anfrage nach dem IFG M-V zur Datenschutz-Folgenabschätzung sowie zum Datenschutz- und Informationssicherheitskonzept für die Videoüberwachung auf dem Schweriner Marienplatz abgelehnt. Der Antragsteller bat daraufhin den Landesbeauftragten um Vermittlung. Nach dem IFG M-V ist der Antrag auf Informationszugang unter anderem dann abzulehnen, wenn zu befürchten ist, dass durch das Bekanntwerden der Informationen der Erfolg behördlicher Maßnahmen erheblich beeinträchtigt würde. Allerdings war dies hier auch nach Einschätzung des Landesbeauftragten der Fall. Datenschutzkonzepte, die technische und organisatorische Maßnahmen enthalten, oder auch eine Datenschutz-Folgenabschätzung beschreiben zunächst die Risiken der Verarbeitung und sollen dann Maßnahmen zur Eindämmung dieser Risiken festlegen. Damit sind in diesen Dokumenten aber regelmäßig auch die Schwachstellen einer Datenverarbeitung aufgelistet, mit deren Bekanntwerden Angriffe auf die jeweilige Datenverarbeitung gezielt vorbereitet werden könnten. Vor diesem Hintergrund sind auch nach der Wertung der DS-GVO diese Informationen gegenüber der betroffenen Person nicht zwingend transparent zu machen.

Der Tätigkeitsbericht 2019 steht unter https://www.datenschutz-mv.de/datenschutz/publikationen/taetigkeitsberichte/ zum Download bereit.



Ein Jahr DS-GVO – Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern legt seinen 14. Tätigkeitsbericht vor und zieht Bilanz

Für die Verarbeitung personenbezogener Daten gilt seit einem Jahr die europäische Datenschutz-Grundverordnung (DS-GVO) – Zeit, Bilanz zu ziehen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Heinz Müller, hat heute den Tätigkeitsbericht seiner Behörde für das Jahr 2018 vorgelegt.

Schwerpunktthemen 2018

Das Beschwerdeaufkommen beim Landesbeauftragten hat sich im Jahr 2018 gegenüber dem Vorjahr verdreifacht. Dazu sagt Heinz Müller: „Meine verfassungsmäßige Aufgabe ist die Wahrung des Rechts der Bürgerinnen und Bürger auf Schutz ihrer persönlichen Daten. Diese Rolle hat die DS-GVO erheblich gestärkt. Ich freue mich, dass die Bürgerinnen und Bürger ihre erweiterten Rechte nutzen.“

Durch die DS-GVO hat der Landesbeauftragte für Datenschutz und Informationsfreiheit über 50 neue Aufgaben erhalten. So bearbeitet seine Behörde nicht mehr nur Beschwerden gegen Behörden und Unternehmen in Mecklenburg-Vorpommern. Er ist seit Mai 2018 verpflichtet, auch Beschwerden gegen Stellen entgegenzunehmen, die nicht in Mecklenburg-Vorpommern oder nicht einmal in Deutschland angesiedelt sind. Er bleibt über das gesamte Verfahren hinweg Ansprechpartner für diejenigen, die bei ihm Beschwerde eingereicht haben. Insbesondere bei grenzüberschreitenden Datenverarbeitungen, bei denen die zuständige Aufsichtsbehörde in einem anderen europäischen Mitgliedstaat sitzt, ist dies mit einem erheblichen Koordinationsaufwand verbunden.

Die Anwendung der DS-GVO ab dem 25. Mai 2018 führte zu einer breiten Hysterie sowohl im öffentlichen als auch im privaten Sektor. Zwar war die DS-GVO bereits 2016 in ganz Europa in Kraft gesetzt worden. Die zweijährige Übergangszeit blieb jedoch weitgehend ungenutzt. So konnte man im Mai 2018 den Eindruck gewinnen, das neue Recht sei über Nacht gekommen. Die Nachfrage nach Information, Schulung und Beratung explodierte geradezu. „Wir haben in zahlreichen Schulungen und Informationsveranstaltungen immer wieder klargestellt, welche Anforderungen wirklich neu sind und welche an bestehendes deutsches Recht anknüpfen, und dadurch zu einer Versachlichung der Debatte beigetragen“, sagt Müller rückblickend.

Vor besondere Herausforderungen stellt die DS-GVO die Vereine. Vereinsvorstände sind größtenteils ehrenamtlich tätig und müssen sich seit Mai 2018 mit Fragen befassen wie: „Brauchen wir einen Datenschutzbeauftragten? Müssen wir von unseren Vereinsmitgliedern Einwilligungen einholen, um deren Daten im Verein verarbeiten zu dürfen? Dürfen wir Fotos vom letzten Fußballturnier auf unsere Homepage stellen?“. Für die Vereine hat der Landesbeauftragte daher gemeinsam mit der Ehrenamtsstiftung einen Leitfaden entwickelt, der seit Oktober 2018 kostenlos beim Landesbeauftragten erhältlich ist.

Als Vorsitzender des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) berät der Landesbeauftragte den IT-Planungsrat. Der IT-Planungsrat befasst sich unter anderem mit dem Digitalisierungsproramm für die öffentliche Verwaltung. Das Onlinezugangsgesetz verpflichtet Bund und Länder, bis Ende 2022 ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten. In diesem Zusammenhang sollen auch die deutschen Verwaltungsregister modernisiert und das Identitätsmanagement verbessert werden. Das Bundesinnenministerium hat dem IT-Planungsrat daher die Einführung eines sogenannten Identifikators zum zuverlässigen Auffinden von Datensätzen einer Person in verschiedenen Registern vorgeschlagen. Zulässig ist dies nur in sehr engen Grenzen, da die Einführung derartiger Personenkennzeichen massiv in das Recht auf informationelle Selbstbestimmung der betroffenen Bürgerinnen und Bürger eingreift. Die Datenschutzbehörden in Bund und Ländern werden darauf achten, dass bei der Umsetzung des Digitalisierungsprogramms die Regelungen der DS-GVO Beachtung finden.

Zu den Kernaufgaben der Behörde gehört die zielgruppenorientierte Information über den Datenschutz. Nach der DS-GVO soll dabei besonderes Augenmerk auf spezifischen Angeboten für Kinder und Jugendliche liegen. Seit 2012 zeigt der Landesbeauftragte mit dem Gemeinschaftsprojekt Medienscouts MV Kindern und Jugendlichen Chancen und Risiken der digitalen Welt auf. Ziel ist ein selbstbestimmter, kritischer, aber auch kreativer Umgang mit Instagram, Google & Co. Grundlegend ist dabei der so genannte peer-to-peer-Ansatz. Die Medienscouts lernen, ihr Wissen unmittelbar an andere Kinder und Jugendliche weiterzugeben. Mit den derzeit zur Verfügung stehenden Mitteln werden pro Jahr 60-70 Medienscouts ausgebildet. Insgesamt sensibilisiert das gemeinsam von Landesbeauftragtem, Landesjugendring, Landeskriminalamt, Landesmedienanstalt und Landeskoordinierungsstelle für Suchtfragen getragene Projekt auf diese Weise etwa 3000 bis 3500 Personen pro Jahr. Dazu Müller: „Wir Datenschützer können nicht überall sein. Deswegen müssen die Bürgerinnen und Bürger, angefangen bei Kindern und Jugendlichen, den Schutz ihrer Daten auch in die eigene Hand nehmen. Wie das geht, können sie von den Medienscouts lernen.“

Seit vielen Jahren weist der Landesbeauftragte darauf hin, dass E-Mails mit schutzbedürftigen Inhalten verschlüsselt werden sollen, denn eine E-Mail ist in Bezug auf die Sicherheit mit einer Postkarte zu vergleichen: Was man einer Postkarte nicht anvertrauen würde, sollte man auch nicht per unverschlüsselter E-Mail versenden. Dennoch werden E Mails auch mit sensiblen Daten noch sehr oft unverschlüsselt versendet. Dazu Müller: „Es ist keinesfalls immer kriminelle Energie erforderlich, um unberechtigt Zugang zu Inhalten unverschlüsselter E-Mails zu erhalten.“ Das zeigte ein beim Landesbeauftragten eingegangener Hinweis eines Bürgers. Dieser hatte eine offensichtlich nicht für ihn bestimmte E-Mail von einer öffentlichen Stelle des Landes erhalten. Der E-Mail lag als Anlage eine Liste von Personen mit deren Namen, Anschriften, Personalausweisnummern, Kfz-Kennzeichen und Hinweise auf deren Sicherheitsüberprüfungen durch die Bundespolizei bei. Der richtige Adressat der E-Mail war bis auf die Schreibweise eines Umlautes namensgleich mit dem falschen Empfänger. Die Absenderin hatte versehentlich die Schreibweise des falschen Empfängers gewählt, so dass dieser die E-Mail erhielt.

Auf weiterhin sehr hohem Niveau liegt die Anzahl der Petitionen zur Videoüberwachung. Oft wird nicht bedacht, dass eine Videoüberwachung öffentlich zugänglicher Räume nur unter bestimmten Voraussetzungen zulässig ist. Daran hat sich mit der DS-GVO nicht viel geändert. Eine Videoüberwachung ist in jedem Fall nur dann zulässig, wenn in einer Abwägung zwischen den berechtigten Interessen des Betreibers der Kamera und den Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person letztere nicht überwiegen. Grundsätzlich unzulässig sind daher Überwachungsmaßnahmen, die die Intimsphäre verletzen, beispielsweise im Fall von Saunen, Toiletten oder Duschkabinen. Schutzwürdige Interessen überwiegen zudem häufig dort, wo Menschen kommunizieren, essen und trinken oder sich erholen, beispielsweise in den Sitzbereichen von Restaurants oder Parks. Ein berechtigtes Interesse kann grundsätzlich angenommen werden, wenn der Zweck im Schutz vor Einbrüchen, Vandalismus oder Diebstählen besteht, sofern eine tatsächliche Gefahrenlage nachgewiesen wurde. Auch Webcams, die Live-Aufnahmen ins Internet übertragen, werden immer häufiger eingesetzt. Die Aufnahmen dieser Kameras sind einer unbestimmten Zahl von Personen weltweit zugänglich. Sie sind daher nur dann zulässig, wenn auf den Bildern keine Personen identifizierbar sind.

Seit Anwendung der DS-GVO ist der Landesbeauftragte zuständig für Bußgeldverfahren gegen Polizeibeamte, die aus Datenschutzverletzungen in ihrem Dienstverhältnis resultieren. Bislang lag die Zuständigkeit hierfür beim Ministerium für Inneres und Europa. Der Landesbeauftragte hatte es dabei mit unerfreulichen Fällen zu tun. Unter anderem haben Polizeibeamte in zwei Fällen ihre Dienststellung ausgenutzt, um an die Kontaktdaten minderjähriger Mädchen zu gelangen. In beiden Fällen hat der Landesbeauftragte ein Bußgeld verhängt.

Der Landesbeauftragte hat gegen das OLG Rostock eine Verwarnung ausgesprochen, weil dort die Datensicherheit bei der Nutzung des Telefax-Gerätes nicht eingehalten wurde. Eine Bürgerin hatte dem Landesbeauftragten mitgeteilt, dass in zwei Fällen irrtümlich Beschlüsse des OLG in Strafsachen anderer Personen auf ihrem Faxgerät angekommen waren. Es handelte sich um die vollständigen Beschlüsse in Strafvollstreckungsverfahren wegen Totschlags und anderer Delikte. Im Gegensatz zur Briefpost handelt es sich beim Telefax um eine Art offener Zustellung. Deshalb müssen bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung dieser Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden kann. Die Verantwortlichen sollten vor dem Versand von schutzwürdigen Daten mit dem Telefax-Dienst prüfen, ob diese Versandart wirklich erforderlich ist und nicht eine andere Versandart angemessener ist.

Schwerwiegende Verletzungen des Schutzes personenbezogener Daten, so genannte Datenpannen, sind dem Landesbeauftragten nach Art. 33 DS-GVO innerhalb von 72 Stunden zu melden. Im Berichtszeitraum gingen beim Landesbeauftragten 36 solcher Meldungen ein, darunter die Mitteilung, dass das Ratsinformationssystem einer Amtsverwaltung gehackt wurde, so dass ein unerlaubter Zugriff auf personenbezogene Daten in nichtöffentlichen Beschlussvorlagen und Protokollen nicht ausgeschlossen werden konnte. Die Amtsverwaltung stellte fest, dass sämtliche Unterlagen der Sitzungen in den Jahren 2012 – 2018 betroffen waren. Als Sofortmaßnahme deaktivierte sie alle Zugänge zu der Plattform. Zudem war zu berücksichtigen, dass bei Bestehen eines hohen Risikos nach Art. 34 DS-GVO unverzüglich die betroffenen Personen zu benachrichtigen sind. Also informierte die Amtsverwaltung die betroffenen Gemeindevertreter über die Datenpanne. Da aber auch die Daten einer Vielzahl anderer Personen in den Beschlussvorlagen beziehungsweise Protokollen enthalten waren, darunter Angaben über wirtschaftliche Verhältnisse von Antragstellern, mussten auch diese entsprechend informiert werden. Aufgrund der Vielzahl der betroffenen Personen machte die Amtsverwaltung in Abstimmung mit dem Landesbeauftragten von der öffentlichen Bekanntmachung der Datenpanne nach Art. 34 Abs. 3 lit. c) DS-GVO Gebrauch.

Aktuelle Themen 2019

Als Mitglied der Taskforce „Künstliche Intelligenz“ war der Landesbeauftragte an der Vorbereitung der „Hambacher Erklärung zur Künstlichen Intelligenz“ der DSK beteiligt. Darin werden datenschutzrechtliche Anforderungen an den Einsatz „selbstlernender“ Systeme formuliert. Insbesondere müsse das Recht der betroffenen Person gewährleistet werden, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. „Nur wenn der Grundrechtsschutz und der Datenschutz mit dem Prozess der Digitalisierung Schritt halten, ist eine Zukunft möglich, in der am Ende Menschen und nicht Maschinen über Menschen entscheiden“, heißt es in der Erklärung wörtlich.

Seit vielen Jahren beobachten Datenschützer den Einsatz von Produkten der Firma Microsoft und haben wiederholt vor einer drohenden Monopolisierung des Marktes gewarnt. Wie berechtigt diese Warnungen sind, zeigt die aktuelle Diskussion zum Betriebssystem Windows 10. Nur mit massiven Eingriffen in das Betriebssystem und die dazugehörige IT-Umgebung kann der Versuch gemacht werden, Datenübermittlung von Windows 10 an Microsoft zu unterbinden. Da ein großer Teil der Daten verschlüsselt an Microsoft gesendet wird, ist nicht abschließend festzustellen, ob und wenn ja, welche personenbezogenen Daten an Microsoft übermittelt werden. Ob Windows 10 datenschutzkonform betrieben werden kann, ist aus Sicht des Landesbeauftragten äußerst zweifelhaft. Die DSK ist dazu mit der Firma Microsoft im Gespräch und arbeitet an einer ausführlichen Stellungnahme. Obwohl die Risiken des Einsatzes dieser Produkte in der Landesverwaltung seit vielen Jahren bekannt sind, hat die Landesregierung bisher keine Strategie entwickelt, wie diese Risiken etwa durch einen langfristigen Wechsel zu Open-Source-Produkten minimiert werden können.

Ausblick

Das stark gestiegene Arbeitsaufkommen muss die Behörde des Landesbeauftragten bisher mit einem unveränderten Personalbestand bewältigen. Im Januar 2018 wurden zwar fünf neue Stellen geschaffen. Die Zahl der Beschäftigten erhöhte sich dadurch jedoch nicht, weil lediglich fünf befristete Arbeitsverhältnisse in feste Arbeitsverhältnisse umgewandelt wurden. „Ich erwarte“, sagt Müller, „dass sich die kürzlich von der Landesregierung beschlossene Aussetzung des Personalkonzepts auch auf meine Behörde auswirkt.“

Ihre große Bewährungsprobe steht der DS-GVO erst bevor. Mehr als 10.000 Bürgerinnen und Bürger haben bei den französischen Kollegen Beschwerden eingereicht gegen Google, Amazon, Facebook, Apple und Microsoft. Es handelt sich dabei um Rechtsverstöße, die alle Bürgerinnen und Bürger betreffen. „Wir Datenschützer werden uns daran messen lassen müssen, ob wir die DS-GVO auch gegenüber Großkonzernen durchsetzen“, so Müller. „Dass die Politik hier nicht für ein ausgeglichenes Kräfteverhältnis sorgt und die Datenschutzaufsicht mit bedarfsgerechten Ressourcen ausstattet, zeugt von großer Kurzsichtigkeit.“