Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Jahresbericht 2022

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, hat heute ihren Jahresbericht für das Jahr 2022 vorgestellt. Auf 170 Seiten informiert sie darin über die wichtigsten Beratungen und Verfahren sowie maßgebliche Bußgeldfälle aus dem vergangenen Jahr.

Meike Kamp: „Im Jahr 2022 beschäftigten uns erneut die Folgen der Corona-Pandemie, etwa in mehreren Bußgeldfällen gegen Corona-Testzentren. Im Fokus standen aber auch Beratungen zur datenschutzkonformen Digitalisierung der Verwaltung sowie die Prüfung von knapp 4.500 Eingaben der Berlinerinnen und Berliner. Ich sehe es als meine Aufgabe an, sicherzustellen, dass Menschen von der Digitalisierung profitieren, ohne auf Selbstbestimmung und unbeobachtete Freiräume verzichten zu müssen.“

Im Jahr 2022 wandten sich Privatpersonen in insgesamt 4.445 Fällen mit einer Beschwerde oder einem Beratungsersuchen an die BlnBDI. Die Zahl ist weiterhin auf einem hohen Niveau, doch geringer als im Vorjahr (5.671 Eingaben), als sich besonders viele Menschen im Zusammenhang mit der Pandemiebekämpfung beschwerten. Auch die Zahl der gemeldeten Datenpannen ging leicht zurück auf 1.068 Vorfälle, häufig verursacht durch Schadsoftware-Angriffe oder Schwachstellen.

Die Behörde hat 269 Verwarnungen, sieben Warnungen und vier Anordnungen gegenüber privaten und öffentlichen Stellen ausgesprochen. Zudem erließ sie Bußgelder in Höhe von insgesamt 716.575 Euro, u. a. gegen eine Auskunftei, die 13 falsche Geburtsdaten zu einem Beschwerdeführer gespeichert hatte. Das höchste Bußgeld mit 525.000 Euro wurde gegen einen Online-Händler aufgrund eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten erlassen. Weitere Bußgelder ergingen gegen Corona-Testzentren und aufgrund unbefugter Datenbankabfragen durch Polizeibedienstete und Beschäftigte der Jobcenter.

Erheblichen Aufholbedarf beschreibt der Jahresbericht bei der Verwaltungsdigitalisierung. Die konkrete Umsetzung ist mit vielen technischen Herausforderungen verbunden und wirft zahlreiche Datenschutzfragen auf, bei deren Beantwortung die BlnBDI umfangreich unterstützt. So hat die Behörde das Sozialamt Mitte bei der Erstellung des Datenschutzkonzepts zur E-Akte beraten, das nun auch von anderen Behörden verwendet werden soll.

Wie gelungene Beratung öffentlicher Stellen aussehen kann, zeigte sich bei zwei Projekten in den Bereichen Jugendhilfe und Hochschulen. In beiden Fällen wurde die BlnBDI frühzeitig eingebunden, um hinsichtlich des Datenschutzes zu beraten. So verwarf eine Berliner Universität nach der Beratung ihre ursprüngliche Idee, Studieneignungstests mithilfe von Proctoring-Software umfassend zu überwachen. Die neuen Ausführungsvorschriften für die Jugendhilfe im Strafverfahren wurden durch die Beratung der BlnBDI praxisgerecht an die DSGVO angepasst.

Im Nachgang zur Bundestagswahl erreichten die Behörde zahlreiche Beschwerden zu personalisierten Testimonials von Prominenten aus Politik und Wirtschaft, die für einen Bundestagskandidaten warben. Die BlnBDI stellte mehrere Datenschutzverstöße fest, u. a., weil die Betroffenen über den wahren Absender und die Herkunft der Daten im Unklaren gelassen wurden. Angesichts der hohen Zahl an Betroffenen und der Schwere der Verstöße prüft die BlnBDI derzeit die Verhängung eines Bußgeldes gegen den Bezirksverband der Partei.

In dieser Woche feiert die europäische Datenschutz-Grundverordnung (DSGVO) ihr fünfjähriges Jubiläum. Meike Kamp resümiert: „Es hat einige Zeit gedauert, aber mittlerweile gewinnt die europäische Kooperation unter den Aufsichtsbehörden an Fahrt. Jedes Jahr sehen wir mehr Sanktionen, mehr Aufsichtsmaßnahmen auf europäischer Ebene, auch gegen die großen Tech-Plattformen. Mit dem Digitalpaket und der Datenstrategie der Europäischen Union sowie der geplanten Regulierung des politischen Targetings stehen neue rechtliche Entwicklungen bevor, die unsere Arbeit mitbestimmen werden.“

Nach wie vor wartet Berlin auf die Verabschiedung eines modernen Transparenzgesetzes, nachdem der wiederholte Anlauf der letzten Koalition erneut scheiterte. Der Jahresbericht verdeutlicht, welchen Reformbedarf es bei der Informationsfreiheit in Berlin gibt. Dazu Meike Kamp: „Die Menschen in unserer Stadt müssen bei politischen Entscheidungen viel mehr mitgenommen werden. Da kann das Transparenzgesetz helfen, indem es die Behörden verpflichtet, von sich aus Informationen zur Verfügung zu stellen, die als Grundlage für politische Entscheidungen dienen.“

Der Jahresbericht ist abrufbar unter: www.datenschutz-berlin.de/jahresbericht-2022

PDF-Übersicht über ausgewählte Themen

Über die BlnBDI

Am 6. Oktober 2022 wählte das Abgeordnetenhaus Meike Kamp zur neuen Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI). Mit ihrem Amtsantritt am 15. November hat sie die Leitung der Dienststelle übernommen. Die BlnBDI ist in der Ausübung ihres Amtes unabhängig und nur dem Gesetz unterworfen.

Sie hat den Auftrag, die Einhaltung der datenschutzrechtlichen Vorschriften im Land Berlin zu kontrollieren sowie in Fragen des Datenschutzes zu informieren und zu beraten. Ihrer Aufsicht unterliegen die Berliner Behörden sowie private Stellen wie Unternehmen und Vereine mit Sitz in Berlin. Seit 1999 hat sie zudem die Wahrung des Rechts auf Akteneinsicht und Informationszugang sicherzustellen.

Kontakt

Simon Rebiger, Pressesprecher
+ 49 30 13889-900
presse@datenschutz-berlin.de

Tätigkeitsbericht Datenschutz 2022 vorgelegt

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten vom 16.05.2023

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Dienstag in Dresden ihren Datenschutz-Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Auf über 230 Seiten sind die Schwerpunkte der Datenschutzaufsicht, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst.

Facebook-Fanpages in der Kritik
Im Berichtszeitraum hat die SDTB ein aufsichtsrechtliches Verfahren gegen die Sächsische Staatskanzlei als Betreiberin einer Facebook-Fanpage eingeleitet (1.1). Dabei handelt es sich um ein Musterverfahren, denn auch andere Ministerien oder öffentliche Stellen sind auf der Plattform des Meta-Konzerns vertreten. Die Staatskanzlei hatte nach mehreren Fristverlängerungen schließlich Ende März 2023 eine Stellungnahme übersandt.
Dr. Juliane Hundert: »Ob ich der Staatskanzlei den Betrieb einer Facebook-Fanpage untersage, entscheidet die derzeitige datenschutzrechtliche Prüfung. Das Ergebnis liegt voraussichtlich in den kommenden Wochen vor. Unabhängig davon will ich noch einmal deutlich sagen: Es ist nicht die Aufgabe staatlicher Stellen, Facebook-Algorithmen mit Daten von Bürgerinnen und Bürgern zu füttern. Zumal eine Reihe an datenschutzfreundlichen Alternativen bereitstehen. Dazu zählen beispielsweise ein aktueller Internetauftritt, Newsletter oder soziale Netzwerke wie der Kurznachrichtendienst Mastodon.“

Zensus, Kommune und Polizei kontrolliert
Die SDTB befasste sich im Berichtszeitraum unter anderem mit dem Zensus 2022 (1.2). Zudem nahm sie nach Abklingen der Pandemie die Querschnittskontrollen bei Kommunen (1.3) wieder auf. „Bei Vor-Ort-Kontrollen habe ich mir die Datenverarbeitung genau angeschaut. Das Ergebnis war erfreulich. Sowohl bei der stichprobenartigen Kontrolle des Zensus als auch bei der überprüften Kommune wurde sorgsam mit den Daten der Bürgerinnen und Bürger umgegangen“, fasst Dr. Juliane Hundert zusammen.

Hingegen variierten die Ergebnisse bei der Kontrolle der Polizei. Im Fokus standen im Berichtszeitraum die besonders eingriffsintensiven Maßnahmen (8.5), wie beispielsweise die längerfristige Observation, Videoüberwachung, die elektronische Aufenthaltsüberwachung oder die Telekommunikationsüberwachung.
Dr. Juliane Hundert resümiert: »Während in vielen Fällen die Vorschriften des Sächsische Polizeivollzugsdienstgesetzes korrekt angewendet wurden, musste ich auch einige, teilweise gravierende Defizite feststellen. Beispielsweise enthielten die Anträge unzureichende Angaben zu Art und Umfang der geplanten Maßnahme. Auch habe ich festgestellt, dass Maßnah¬men für Zeiträume beantragt wurden, welche die gesetzlich normierte Höchstdauer weit überschritten. In mehreren Fällen wurden die betroffenen Personen nach Abschluss der Maßnahme nicht korrekt informiert. Insbesondere fehlten in den Benachrichtigungsschreiben zum Beispiel die Angabe der Rechtsgrundlage der Datenverarbeitung, der Speicherdauer sowie der Rechte der Betroffenen. Weiterhin wurden die erhobenen Daten, die für die polizeiliche Arbeit nicht mehr erforderlich waren, nicht in allen Fällen unverzüglich gelöscht. Die Speicherung von Daten über einen für den konkreten erforderlichen Zweck hinausgehenden Zeitraum ist jedoch rechtswidrig.«

Im Ergebnis der Kontrollen wies die SDTB die betroffenen Polizeistellen auf die festgestellten Fehler hin und forderte sie zur dringenden Beachtung der gesetzlichen Anforderungen auf. Über die Feststellungen informierte Dr. Juliane Hundert auch das Innenministerium als oberste Aufsichtsbehörde und das parlamentarische Kontrollgremium des Landtags. Gemeinsam mit dem Staatsministerium wurde erörtert, wie zukünftig die Beachtung der gesetzlichen Anforderungen und damit die Rechtmäßigkeit der Datenerhebung und -verarbeitung durch die Polizei sichergestellt werden können.
»Ich habe die Erstellung von einheitlichen Prüfschemata und Mustern für die Beantragung, Durchführung und Nachbereitung der Maßnahmen angeregt. Die Beachtung gesetzlicher Vorgaben ist Grundlage rechtsstaatlichen Handelns und dient dem Schutz der Betroffenen und der Gewährleistung ihrer Rechte«, betont die Sächsische Datenschutz- und Transparenzbeauftragte.

Polizeiliche und private Videoüberwachung
In einem anderen Fall schaute sich die SDTB die polizeiliche Videoüberwachung an Straßen im Grenzgebiet im Raum Görlitz an (8.6.). »Den weiteren Ausbau der Videoüberwachung sehe ich sehr kritisch. Vor Ort habe ich deutlich gemacht, dass Videoüberwachung nur dann zulässig ist, wenn es sich um einen Kriminalitätsschwerpunkt handelt oder sie in einem Ermittlungsverfahren angeordnet wurde. Liegen diese Voraussetzungen nicht mehr vor, sind die Anlagen abzuschalten. Das muss dann auch deutlich für die Bürgerinnen und Bürger erkennbar sein. Hierzu bin ich im ständigen Austausch mit der Polizei vor Ort.«

Die rechtlichen Anforderungen an eine Videoüberwachung sind auch im nichtöffentlichen Bereich hoch. Im Berichtszeitraum setzte sich die SDTB unter anderem mit der Videoüberwachung in Spielhallen (2.2.21), im Kleingartenverein (2.2.20) und auf Privatwegen (2.2.22) auseinander. »Wer unzulässig eine Kamera betreibt, für den kann das zu einer kostspieligen Angelegenheit werden. Zum einen sprechen Zivilgerichte Betroffenen auch Schadenersatzansprüche zu. Zum anderen droht ein Bußgeld meiner Behörde«, sagt Dr. Juliane Hundert.

Zahlen und Daten
Unerlaubte Videoüberwachung bildete 2022 erneut den größten Anteil der Ordnungswidrigkeitenverfahren im nichtöffentlichen Bereich (6.4.2). Etwa zwei Drittel der Anzeigen (47) bezogen sich auf die Anfertigung von Videoaufnahmen. Generell waren im Berichtszeitraum 71 neue Ordnungswidrigkeitenanzeigen zu verzeichnen – die Anzahl bewegte sich damit geringfügig unter dem Niveau von 2021. Hingegen gab es im öffentlichen Bereich insgesamt 18 neue Verfahren (6.4.1).

Im Berichtszeitraum gingen 1.068 Beschwerden und Kontrollanregungen bei der SDTB ein. Das Aufkommen lag damit etwas unter dem der Vorjahre (2021: 1.254).
Dr. Juliane Hundert: »Auffällig ist, dass der Rückgang sowohl den öffentlichen als auch den nichtöffentlichen Bereich betraf und auch bei Kolleginnen und Kollegen in den anderen Bundesländern zu verzeichnen war. Etwa zwei Drittel der in meiner Behörde eingehenden Beschwerden betreffen den Bereich der nichtöffentlichen Stellen, also mögliche Verstöße in Unternehmen oder durch Private.«

Ein leichter Rückgang zeigte sich ebenfalls bei den Beratungen. Mit 966 schriftlichen Anfragen registrierte die Behörde etwas weniger Vorgänge als in den ersten beiden Corona-Jahren (2021: über 1.100).

Der Trend bei der Meldung von Datenschutzverletzungen weist seit Jahren nach oben. »Im Berichtszeitraum meldeten Verantwortliche insgesamt 809 Datenpannen. Das waren weniger als 2021 (923), jedoch deutlich mehr als in den Vorjahren. Sollte es tatsächlich zu weniger Vorfällen gekommen sein, wäre dies vor dem Hintergrund der zunehmenden Digitalisierung eine erfreuliche Entwicklung«, erläutert Dr. Juliane Hundert.
Wie in den Jahren zuvor waren die häufigsten Datenpannen der Fehlversand und der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität (4.4.1).

Großes Themenspektrum auch in 2022
Neben den Vorgängen, die im Zusammenhang mit Datenpannen standen, bearbeitete die SDTB eine Vielzahl an weiteren Datenschutzthemen: Auskunftsrecht (3.2.), Abo-Modelle im Online-Bereich (2.3.6) sowie Websites und Apps (4.1.1; 4.3.1). Außerdem drehte sich im Berichtszeitraum vieles um den Schutz und die Verarbeitung von Gesundheitsdaten, beispielsweise um den Auskunftsanspruch bei Patientenakten (3.2.3) oder die Übermittlung von Gesundheitsdaten an Inkassounternehmen (2.4.1). Auch die ergriffenen Maßnahmen zur Corona-Pandemie waren Anfang des Jahres 2022 noch ein Thema (1.4, 1.5, 2.2.8). Ferner hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (6.2.8).

Bezug des Tätigkeitsberichts Datenschutz 2022
Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de

Tätigkeitsbericht 2021 veröffentlicht – Hoher Beratungsbedarf und Anstieg bei gemeldeten Datenpannen

Übergabe des Tätigkeitsberichts 2021
Sachsens Datenschutzbeauftragte Dr. Juliane Hunderte stellte am Dienstag in Dresden ihren Tätigkeitsbericht für das Jahr 2021 vor.
Foto: © SDB / Ronald Bonß

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat am Dienstag in Dresden ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken der Datenschutzbehörde unter ihrem Amtsvorgänger Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete.

Auf über 200 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Datenschutz in der Corona-Pandemie
Der Berichtszeitraum umfasst das zweite Pandemiejahr. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer (Beitrag 1.1), 3G-Regelung am Arbeitsplatz (1.1), Impfwerbung des Sozialministeriums (2.2.10), Testungen in Schulklassen (2.4.1) sowie die Quarantäne-Kontrolle durch Polizeibedienstete (2.4.5). Die Fragestellungen bewegten sich regelmäßig im Spannungsfeld zwischen einem wirksamen Infektionsschutz und dem nach Datenschutzrecht zulässigen Eingriffen in die Persönlichkeitsrechte der Bürgerinnen und Bürger.

Löschung von Corona-Datenbeständen
In Bezug auf die aktuelle Situation betont Dr. Juliane Hundert: „Unternehmen und Behörden haben noch vorhandene Corona-Datenbestände umgehend zu überprüfen und nicht mehr erforderliche Daten zu löschen. Für die Kontaktnachverfolgung, wie sie beispielsweise in Restaurants oder Behörden üblich war, gibt es inzwischen keine gesetzliche Grundlage mehr. Des Weiteren entfallen die Zutrittskontrollen zum Arbeitsplatz, denn Arbeitgeberinnen und Arbeitgeber dürfen den Impf-, Genesenen- und Teststatus von Beschäftigten grundsätzlich nicht mehr abfragen. Ausgenommen davon sind Einrichtungen und Unternehmen des Gesundheitswesens. Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betrifft die einrichtungsbezogene Impfpflicht in § 20a Infektionsschutzgesetz (neu).
Bei den zu löschenden Informationen und Unterlagen handelt es sich oftmals um besonders schützenswerte Gesundheitsdaten. Vor allem solche Dokumente dürfen nicht einfach in den Papierkorb geworfen werden, sondern sind fachgerecht zu vernichten.“

Die datenschutzkonforme Vernichtung von Datenträgern sollte sich nach der DIN 66399 richten. Die Norm enthält auch Vorgaben zum Löschen von Papierdokumenten. Demnach sind Aktenvernichter der Sicherheitsstufe 4 oder höher geeignet.

Anzahl der Beratungen steigt erneut (6.2.3)
Die Beratung in Datenschutzfragen zählte 2021 weiterhin zu den Hauptaufgaben. Über 1.100 Vorgänge entfielen auf diesen Bereich – ein Plus von über 9 Prozent gegenüber dem Vorjahr. Das waren fast so viele Fälle wie im Jahr 2018, als die Datenschutz-Grundverordnung wirksam wurde.

„Im Zuge der Digitalisierung haben wir es häufig mit sehr komplexen Datenverarbeitungen zu tun. Daher empfehle ich datenverarbeitenden Stellen stets, frühzeitig ihre Datenschutzbeauftragten einzubeziehen. Dieses Vorgehen hat sich bewährt. Schließlich lassen sich somit viele Verstöße von vornherein verhindern. Natürlich können sich Verantwortliche mit ihren Fragen auch an mich und meine Dienststelle wenden.“, erläutert Dr. Juliane Hundert.

Zu den Beratungsvorgängen zählte beispielsweise auch ein wissenschaftliches Projekt, bei dem eine Forschungseinrichtung mithilfe von Videobeobachtung das Fahrverhalten von E-Scootern untersuchte (2.2.4). Das Beispiel zeigt: „Es ist möglich, dass Forschungsdaten so verarbeitet werden, dass die Persönlichkeitsrechte der Bürgerinnen und Bürger bestmöglich geschützt werden“, so die Sächsische Datenschutzbeauftragte und fügt hinzu: „Ich unterstütze die Forderung der Datenschutzkonferenz, Methoden zu entwickeln, die eine Verarbeitung von Forschungsdaten nach europäischen Werten ermöglichen.“

Hohes Beschwerdeaufkommen (6.2.2)
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.254 auf dem hohen Niveau des Vorjahres. Ein Teil davon betraf die sogenannten Telemedien. Dr. Juliane Hundert empfiehlt: „Betreiber von Websites und Apps sollten die Verwendung von Cookies und anderen Technologien dringend überprüfen. Der häufig unrechtmäßige Einsatz von Tracking- und Zusatzdiensten offenbart Informationsdefizite bei den Verantwortlichen. Hier liegt noch viel Aufklärungsarbeit vor uns.“
Im Tätigkeitsbericht finden Verantwortliche ein vereinfachtes Prüfschema, mit dem sich häufige Datenschutzschwachstellen bei Websites und Apps ermitteln lassen (4.1.1).

Gemeldete Datenpannen auf neuem Höchststand (4.4)
Nach Artikel 33 der Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden.
„Im Berichtszeitraum sind 923 Meldungen von Datenschutzverletzungen in meiner Behörde eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um rund 45 Prozent. Wie in der Vergangenheit bereits prognostiziert steigt angesichts der fortschreitenden Digitalisierung auch das Risiko für Datenpannen“, erläutert die Sächsische Datenschutzbeauftragte.
Rund ein Drittel der Meldungen von Datenschutzverletzungen sind auf Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen zählten Anfang 2021 die Sicherheitslücken in Microsoft Exchange-Servern (4.4).

Weitere Fallgruppen, die im Berichtszeitraum besonders häufig auftraten: Fehlversand, offene E-Mail-Verteiler, Verlust auf dem Postweg, Verlust von Datenträgern und Datenschutzverletzungen durch Auftragsverarbeiter.

Breites Themenspektrum
Neben den Vorgängen, die im Zusammenhang mit der Pandemie standen, bearbeitete die Behörde eine große Vielfalt an weiteren Datenschutzthemen: Hingewiesen werden soll hier auf die Videoüberwachung durch Privatleute (2.2.6), den Einsatz einer Lernplattform mit künstlicher Intelligenz in der Schule (2.1.2), Internetveröffentlichungen von Wettkampfergebnissen im Jugendgolfsport (2.3.2), die biometrische Zutrittskontrolle in einer Freizeiteinrichtung (2.4.2), Stellungnahmen zu Gesetzesentwürfen und Rechtsverordnungen (6.2.7), Gesichtserkennung für die Strafverfolgung durch die Polizei (8.2) u. v. m.

Bezug des Tätigkeitsberichts 2021
Der Bericht der Sächsischen Datenschutzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden:
publikationen.sachsen.de
Download als PDF-Datei: www.saechsdsb.de

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.

Mehr Beratungen und deutlicher Anstieg bei gemeldeten Datenschutzverletzungen

Sächsischer Datenschutzbeauftragter legt Tätigkeitsberichts vor

 

Der Sächsische Datenschutzbeauftragte Andreas Schurig hat am Donnerstag in Dresden seinen Tätigkeitsbericht für das zurückliegende Jahr vorgestellt.

Auf knapp 180 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Hoher Beratungsbedarf
Andreas Schurig: »Infolge der Covid-19-Pandemie ist die Digitalisierung in nahezu allen Lebensbereichen rasant vorangeschritten. Dementsprechend werden immer häufiger personenbezogene Daten ausgetauscht, was oftmals mit datenschutzrechtlichen Fragen einhergeht. Zahlreiche Bürger, Unternehmen und vor allem öffentliche Stellen wandten sich mit ihren Anliegen an mich. So stieg die Anzahl der Beratungen im Berichtszeitraum auf über 1.000 – ein Zuwachs von fast 70 Prozent gegenüber dem vorangegangenen Jahr.«

Pandemie als Bewährungsprobe für den Datenschutz
Der Sächsische Datenschutzbeauftragte beriet 2020 unter anderem die Staatsregierung zu den Corona-Schutz-Verordnungen. Zudem gingen hunderte Beschwerden zu datenschutzrelevanten Sachverhalten und Anfragen bei ihm ein, beispielsweise zur Kontaktnachverfolgung durch Gesundheitsämter, Datenschutz im Homeoffice, Datenverarbeitung im Zusammenhang mit der sächsischen Lernplattform LernSax, Gesundheitsbestätigungen für den Schulbesuch, erforderliche Angaben von Masken-Befreiungsattesten, Weitergabe von Listen mit positiv Getesteten und in Quarantäne befindlichen Personen an die Polizei und vieles mehr.

»Seit Beginn der Pandemie steht der Datenschutz immer wieder in der Kritik. Zwar waren Kneipen bisher die meiste Zeit geschlossen, Parolen auf Stammtischniveau wie ‚Der Datenschutz verhindert die Pandemie-Bekämpfung‘ blieben uns leider nicht erspart. Diese Behauptung hält einem Faktencheck nämlich nicht stand. Sie wird auch nicht richtiger, indem sie öfter wiederholt wird. Sie hilft allenfalls denjenigen, die einen Sündenbock benötigen oder mit populistischen Forderungen komplexe Probleme lösen wollen. Tatsache ist, dass weder die Datenschutz-Grundverordnung noch die weiteren Datenschutzgesetze der Pandemie-Bekämpfung entgegenstehen, sie zeigen lediglich die Grenzen auf – insbesondere für die Verarbeitung von Gesundheitsdaten. Deshalb erinnere ich noch einmal daran, dass es sich beim Datenschutz um ein Grundrecht und Wesensmerkmal unserer Demokratie handelt. Verbunden mit der Abwägung gegenüber anderen Grundrechten soll auch weiterhin jeder Mensch selbst bestimmen können, wer zu welchem Zweck seine Daten verarbeitet. Versuche, den Datenschutz zu umgehen oder abzuschaffen, sind daher ein Angriff auf dieses Bürgerrecht und auf unsere freiheitliche demokratische Grundordnung«, so Andreas Schurig.

Im Jahr 2020 setzten sich die nationalen und europäischen Datenschutzaufsichtsbehörden verstärkt mit der datenschutzkonformen Kontaktnachverfolgung auseinander. In der ersten Hälfte dieses Jahres rückten nun Impf- und Genesungsnachweise in den Fokus. Sachsen eröffnete sowohl die Möglichkeit für den Einsatz der Corona-Warn-App als auch die Durchführung von Modellprojekten zur Realisierung von Ausnahmen der Pandemiebeschränkungen.

Andreas Schurig: »Es ist der richtige Weg aus dieser Pandemie, wenn wir die Chancen der Digitalisierung nutzen. Risiken und geltendes Recht können deshalb aber nicht außer Acht gelassen werden. Das gilt selbstverständlich auch für Corona-Modellprojekte, die mir zur Prüfung vorgelegt werden. Niemandem ist geholfen, wenn das jeweilige Konzept gegen Grundsätze des Datenschutzes verstößt – weder den Verantwortlichen noch den Menschen, deren Daten verarbeitet werden.«

Bisher sind an den Sächsischen Datenschutzbeauftragten 27 Modellprojektanträge weitergeleitet worden (Anträge nach § 31 SächsCoronaSchutzVO).
Zu konstatieren sind gravierende Schwierigkeiten bei der Umsetzung beziehungsweise dass die bei Modellprojektanträgen vorgelegten Dokumente häufig unvollständig und insuffizient gewesen sind. Wiederkehrende Probleme waren unter anderem Unklarheiten, welche am Projekt beteiligten Stellen welche personenbezogenen Daten verarbeiten, eine fehlende Verfahrensbeschreibung, ein nicht vorgelegtes Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Datenschutz-Grundverordnung, die nicht vorhandene Darstellung und Begründung der Verarbeitung von Beschäftigtendaten, insbesondere was Zugangs- und Zugriffsrechte, Dokumentation, Information der Beschäftigten anbelangt, ein fehlendes Löschkonzept, eine nicht durchgeführte Datenschutz-Folgenabschätzung, ein fehlendes Konzept zur Informationssicherheit – im Besonderen zum kryptographischen Schutz gespeicherter sensibler Daten – sowie fehlende Lösungsansätze bei der angesonnenen Verarbeitung von Daten in Drittstaaten außerhalb der EU. Unzureichende Unterlagen erschweren die datenschutzrechtliche Beurteilung der Aufsichtsbehörde und verzögern den Beginn entsprechender Vorhaben.

Bunter Themenmix und zu wenig Mitarbeiter
Wenngleich das vergangene Jahr stark von der Pandemie geprägt war, gingen deshalb nicht weniger Anliegen zu anderen Datenschutzthemen ein. So erreichten den Sächsischen Datenschutzbeauftragten fast täglich Eingaben und Hinweise zur Videoüberwachung. »Die Videografie stellte wie schon in den Vorjahren einen Arbeitsschwerpunkt dar. Des Öfteren standen die Fälle in Verbindung mit dem rechtswidrigen Einsatz von Dashcams, festgestellt von der Polizei bei Verkehrskontrollen«, erläutert Andreas Schurig.

Erstmalig befragte der Sächsische Datenschutzbeauftragte im Jahr 2020 Kommunen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO). Sie gilt seit dem 25. Mai 2018 und bildet die Grundlage für ein einheitliches Datenschutzrecht in der Europäischen Union. Die Kommunen wurden unter anderem danach gefragt, ob sie bereits organisatorische Vorkehrungen getroffen haben, um Bürgern Auskunftsersuche elektronisch zu erteilen, ob es einen Datenschutzbeauftragten gibt und inwiefern Schwierigkeiten im Umgang mit Einwilligungserklärungen auftreten.
»Insgesamt vermitteln die Umfrageergebnisse einen guten Eindruck, wie die Bestimmungen der DSGVO bis Anfang 2020 in den sächsischen Kommunen umgesetzt waren. Die Auswertung offenbarte aber nicht nur, welche Herausforderungen gemeistert wurden. Gleichsam traten die Defizite zu Tage. Diese Erkenntnisse sind bereits in meine Beratungsarbeit in 2020 eingeflossen, um das Datenschutzniveau in den Gemeinden weiter zu verbessern«, zieht Andreas Schurig eine positive Bilanz.

Wiederholt richteten sich Bürger, Unternehmen und öffentliche Stellen mit Fragen und Eingaben zu Cookie-Bannern und dem Einsatz von Messengern an ihn. In anderen Fällen befasste sich Andreas Schurig mit Auskunftsersuchen an Schulen, der datenschutzkonformen Löschung von Kundenprofilen, mit der Weitergabe von Mieterkontaktdaten an Makler und Nachmieter und vielen weiteren Anliegen.

Dazu kam das Urteil »Schrems II« des Europäischen Gerichtshofs, der das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam erklärte. Folglich ist es US-Unternehmen nicht mehr möglich, auf der bisherigen Basis personenbezogene Daten von EU-Bürgern zu verarbeiten. Diese Entscheidung zwang eine Vielzahl wirtschaftlicher, politischer und gesellschaftlicher Akteure zum Handeln. Der Sächsische Datenschutzbeauftragte beriet auch in dieser Angelegenheit.

»Das Arbeitsaufkommen in meiner Dienststelle hat sich in den vergangenen Jahren drastisch erhöht. Dafür gibt es mehrere Gründe. So sind beispielsweise viele Bürger sensibilisierter für ihr Recht auf informationelle Selbstbestimmung und wenden sich öfter an mich. Zum anderen ist ein Aufgabenzuwachs zu verzeichnen, der vor allem auf die Datenschutz-Grundverordnung sowie auf nationale und regionale Gesetze und Verordnungen zurückzuführen ist. Sichtbar wird der Mehraufwand anhand der Posteingänge. Seit 2017 haben sich diese nahezu verdoppelt. Mit 17.100 verzeichnete meine Behörde 2020 einen neuen Rekord. Leider hat die Stellenentwicklung damit nicht Schritt gehalten, sodass die seit Jahren bestehende Unterbesetzung dazu führt, dass wir die gesetzlichen Aufgaben immer noch nicht vollumfänglich erfüllen konnten. Es ist ein Lichtblick und ein erster Schritt, dass meine Dienststelle bei den kürzlich abgeschlossenen Haushaltsverhandlungen acht neue Stellen zugesprochen bekam, die wir in den kommenden Monaten besetzen wollen«, so Andreas Schurig.

Seine Behörde beschäftigt derzeit über 30 Bedienstete, die mehr als 150.000 Unternehmen, 29.000 Vereine, 2,2 Millionen Privathaushalte sowie zahlreiche öffentliche Stellen in Sachsen im Hinblick auf deren Umgang mit personenbezogenen Daten beaufsichtigen.

Meldungen von Datenpannen auf neuem Höchststand
Nach Artikel 33 Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden. Ausnahme: Die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

»Im Jahr 2020 sind in meiner Dienststelle 635 Meldungen von Datenschutzverletzungen eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um über 40 Prozent. Prognostiziert auf die nächsten Jahre wird sich dieser Aufwärtstrend fortsetzen. Denn mit der zunehmenden digitalen Erfassung unseres Lebens steigt auch das Risiko für Datenpannen«, führt Andreas Schurig aus.

Die folgenden Fallgruppen sind im Berichtszeitraum besonders häufig gemeldet worden:
* Cyberkriminalität: Typische Handlungsfelder waren die Verschlüsselung und das Abgreifen von personenbezogenen Daten aus E-Mail-Postfächern, von Servern oder anderweitigen Datenträgern. *
* Fehlversand: Auf diese Fallgruppe entfielen im Berichtszeitraum die meisten Meldungen. Typische Fälle: Unterlagen mit falscher Zuordnung, fehlerhafter Kuvertierung oder Verwechslung der Empfängerperson. Vielfach waren Gesundheitsdaten betroffen, die aufgrund ihrer hohen Sensibilität und Vertraulichkeit ein besonders hohes Maß an Sorgfalt von der verantwortlichen Stelle fordern. *
* Offene E-Mail-Verteiler stellen nach wie vor den Klassiker der Datenschutzverletzung dar. Obgleich hierbei in der Regel das Risiko für die Betroffenen als durchaus gering eingeschätzt werden kann, ist eine solche Datenschutzverletzung gemäß Datenschutz-Grundverordnung in den meisten Fällen meldepflichtig. *
* Der Verlust von Unterlagen auf dem Postweg trat im Berichtsjahr häufig auf. Bei Bekanntwerden einer solchen Problematik, ist eine kritische Bewertung des Versanddienstleisters geboten. *
* Einbrüche und Diebstähle sind besonders problematisch. Sie zählen zu den kriminellen Handlungen, und damit ist das verbundene Risiko für die betroffenen Personen besonders hoch. Daher sind technisch-organisatorische Maßnahmen geboten, wie zum Beispiel die ordnungsgemäße Verwahrung und Verschlüsselung von Datenträgern. *

Beschwerden über Datenschutzverstöße auf hohem Niveau
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.247 nur geringfügig unter dem des Vorjahres (2019: 1.297). Seit Wirksamwerden der Datenschutz-Grundverordnung im Jahr 2018 haben sich die jährlich eingehenden Beschwerden und Hinweise mehr als verdoppelt. Sanken 2020 die Eingaben im nicht-öffentlichen Bereich, legten sie im öffentlichen Sektor gegenüber 2019 deutlich zu.

Führungsrolle in der Datenschutzkonferenz
Für den Sächsischen Datenschutzbeauftragten war das Jahr 2020 gleichwohl hinsichtlich der Arbeit in der Datenschutzkonferenz (DSK) außergewöhnlich. Denn nach 2003 hatte Sachsen 2020 zum zweiten Mal den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder inne. Erwartungsgemäß war damit ein hohes Arbeitspensum verbunden.

Andreas Schurig: »Trotz der Pandemie-Belastung und der Beschränkung auf digitale Zusammenkünfte können sich die Ergebnisse unter unserem Vorsitz sehen lassen. So wurden im zurückliegenden Jahr mehr als 20 Entschließungen, Beschlüsse, Orientierungshilfen und Materialien veröffentlicht, beispielsweise zum Einsatz von Videokonferenzsystemen und Wärmebildkameras oder zu Gesetzesvorhaben wie dem Patientendaten-Schutz-Gesetz. Ohne die lösungsorientierte und engagierte Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden wäre dies nicht möglich gewesen.«

Des Weiteren organisierte der Sächsische Datenschutzbeauftragte den Europäischen Datenschutztag, der am 28. Januar 2021 zum Thema »Cross-Border Data Transfers« stattfand. »Für die schließlich als Onlinekonferenz durchgeführte Veranstaltung konnte ich zusammen mit dem Bundesministerium des Innern, für Bau und Heimat herausragende Fachleute aus dem Europarat und der Europäischen Union gewinnen. Die Konferenz war mit knapp 1.000 Teilnehmern aus der ganzen Welt der bestbesuchte Europäische Datenschutztag seit seinem Bestehen«, resümiert Andreas Schurig.

 

Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2020